JP4545540B2 - Access prevention device - Google Patents
Access prevention device Download PDFInfo
- Publication number
- JP4545540B2 JP4545540B2 JP2004289860A JP2004289860A JP4545540B2 JP 4545540 B2 JP4545540 B2 JP 4545540B2 JP 2004289860 A JP2004289860 A JP 2004289860A JP 2004289860 A JP2004289860 A JP 2004289860A JP 4545540 B2 JP4545540 B2 JP 4545540B2
- Authority
- JP
- Japan
- Prior art keywords
- url
- site
- similarity
- characters
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
この発明は、通信ネットワークの正当なサイトになりすました不正なサイトを検出して、アクセスの危険性を警告することにより、不正なサイトにより行われる詐欺などの不正行為を未然に防止するアクセス防止装置、アクセス防止方法及びアクセス防止プログラムに関する。 This invention detects an unauthorized site impersonating a legitimate site of a communication network and warns of the danger of access, thereby preventing an unauthorized act such as fraud performed by the unauthorized site in advance. The present invention relates to an access prevention method and an access prevention program.
近年、インターネット上でPhishingと呼ばれる詐欺が急速に増大している。Phishingとは、実在する企業のWebサイトに見せかけたサイトへユーザを誘導し、クレジットカード番号などを入力させて盗み出す行為を意味する。 In recent years, fraud called Phishing on the Internet has increased rapidly. Phishing means an act of guiding a user to a site that appears to be a website of an actual company and stealing it by inputting a credit card number or the like.
例えば、有名企業からのものに見せかけた電子メールを被害者に送付することで、偽のサイトに誘導するのがPhishingの典型的な手法である。メールは送信者名(From)がその企業の名前になっており、本文には「下記のリンクへアクセスして個人情報を入力しないと、あなたのアカウントは失効します」などと書かれている。そのメールに記載されているリンク先を有名企業のものと勘違いしたユーザは、クレジットカード番号やそのサービスのパスワードなどを偽のサイトに入力してしまう。 For example, a typical Phishing technique is to send an e-mail pretending to be from a well-known company to a victim and lead to a fake site. The email has the sender's name (From) as the name of the company, and the text says "If you do not enter your personal information by accessing the link below, your account will expire." . A user who misunderstands the link destination described in the email as that of a well-known company will enter the credit card number and the password of the service into a fake site.
このような危険なサイトへのアクセスを防止する手段として、現在、アクセス不許可リストによるアクセス制限を行う方法が存在する。この方式ではあらかじめアクセスを許さないサイトのリストを用意しておき、そのサイトにユーザがアクセスしようとしたときにそのサイトへのアクセスを禁止する。また、その変形として、逆にアクセス許可リストを保持し、そのリストに含まれているサイトのみにアクセスを許す方式も存在する。
しかし、Phishingの防止という観点で見た場合、Phishing実施者がサイトを任意の名前で構築することは容易であるため、不許可リストに載った場合にはすぐに別の名称のサイトを構築することが可能である。従って、これに対応するためには、際限なくアクセス不許可リストを更新し続ける必要があり、Phishing詐欺を防止する手段としては機能しないという問題があった。また、アクセス許可リストに基づくアクセス制限は、自由なWebの閲覧を阻害するため、Webの使用用途を厳しく制限しても問題の無い環境でしか適用が困難であった。 However, from the viewpoint of prevention of Phishing, it is easy for Phishers to build a site with an arbitrary name, so if it is on the disallowed list, it will immediately build a site with a different name. It is possible. Therefore, in order to cope with this, it is necessary to continuously update the access disapproval list, and there is a problem that it does not function as a means for preventing Phishing fraud. In addition, since access restriction based on the access permission list inhibits free browsing of the Web, it is difficult to apply it only in an environment where there is no problem even if the usage of the Web is strictly limited.
そこで、Phishing詐欺を誘発する危険のあるリンクにユーザがアクセスした場合に、それを検出して事前に警告を行うことで、ユーザがPhishing詐欺の被害にあう事を防止することを目的とする。さらに、現在アクセスしているサイトの所有者(企業)の情報を常に表示し、ユーザが自分の意図したサイトにアクセスしているかどうかを常に確認できるようにすることで、一層、Phishing詐欺の被害にあう危険を低下させることを目的とする。 Therefore, when a user accesses a link at risk of inducing a Phishing scam, an object is to prevent the user from being damaged by the Phishing scam by detecting it and giving a warning in advance. In addition, the information on the owner (company) of the currently accessed site is always displayed, and the user can always check whether he / she is accessing his / her intended site, thereby further damaging the Phishing scam. The purpose is to reduce the risk of meeting.
アクセス防止装置は、通信ネットワークのサイトの情報を記憶するサイト情報記憶部と、通信ネットワークを介してアクセスするサイトの情報を入力する入力部と、入力部が入力したサイトの情報とサイト情報記憶部が記憶するサイトの情報との関連を所定のアルゴリズムを用いて判定する判定部と、判定部の判定結果にもとづいて警告を出力する出力部とを備えることとした。 An access prevention apparatus includes a site information storage unit that stores site information of a communication network, an input unit that inputs information of a site accessed via the communication network, and site information and site information storage unit that are input by the input unit Is provided with a determination unit that determines the association with the information on the site stored by the computer using a predetermined algorithm, and an output unit that outputs a warning based on the determination result of the determination unit.
この発明によりアクセス防止装置は、入力部から入力した通信ネットワークを介してアクセスするサイトと、サイト情報記憶部が記憶する通信ネットワークのサイトの情報とが関連すると判定部が判定した場合、出力部が警告を出力することにより、不正なサイトにより行われるPhishing詐欺などの不正行為を未然に防止することができる。 According to the present invention, when the determination unit determines that the site accessed via the communication network input from the input unit and the site information of the communication network stored in the site information storage unit are related, the output unit By outputting the warning, it is possible to prevent an illegal act such as a Phishing scam performed by an unauthorized site.
実施の形態1.
実施の形態1では、通信ネットワークを介してアクセスするサイトのURL(Uniform Resource Locator)と有名なサイトのURLとが類似するか否かを判定し、アクセスするサイトが有名なサイトではないと判定した場合、ユーザにそのことを警告する実施の形態について説明する。なお、「サイト」とは、インターネットに代表される通信ネットワークを介して情報を提供する装置(サーバ)やその装置(サーバ)が集まった情報提供拠点である。
In the first embodiment, it is determined whether or not the URL (Uniform Resource Locator) of a site accessed via a communication network is similar to the URL of a famous site, and it is determined that the accessing site is not a famous site In this case, an embodiment for warning the user of this will be described. A “site” is a device (server) that provides information via a communication network represented by the Internet, or an information providing base where the devices (servers) gather.
図1は、実施の形態1における端末101の構成とデータベース107との接続を示す図である。
端末101はブラウザ102、ネットワークアクセス部105に加え、偽装判定部103と有名サイト情報記憶部104で構成されている。
FIG. 1 is a diagram showing the configuration of the
In addition to the
実施の形態1では、端末101は特許請求の範囲に記載のアクセス防止装置に相当し、偽装判定部103は判定部に相当し、有名サイト情報記憶部104はサイト情報記憶部に相当する。また、ブラウザ102は、例えば、キーボードからデータを入力することにより入力部を実現し、ディスプレイにデータを表示することにより出力部を実現する。
In the first embodiment, the
ブラウザ102は、通信ネットワークを介してアクセスするサイトの情報を入力し、偽装判定部103(後述する)が行った判定結果にもとづいて警告を出力する。また、ブラウザ102は、ユーザによって操作され、通信ネットワーク上のWeb(World Wide Web)コンテンツやHTML(Hyper Text Markup Language)で記述された電子メールを閲覧するためのユーザインタフェースを提供する。
The
有名サイト情報記憶部104は、通信ネットワークのサイトの情報を記憶している。ここでは「サイトの情報」として、有名サイトのURLを想定している。
The famous site
偽装判定部103は、ブラウザ102から入力した通信ネットワークを介してアクセスするサイトの情報と、有名サイト情報記憶部104が記憶する有名サイトの情報との関連を所定のアルゴリズムを用いて判定する。具体的には、ブラウザ102がアクセスを行おうとするサイトが有名サイトを偽装したサイトであるか否かを判定する。
The
ネットワークアクセス部105は、ブラウザ102からの要求に従い、Webサーバやデータベースと通信を行う機能を提供する。
The
また、端末101は、通信ネットワーク106を介してデータベース107にアクセスすることができる。データベース107は、通信ネットワークのサイトを運営する組織の名称を記憶しており、URL等を用いた端末101からの問い合わせに対して、URLから特定されるサイトを運営する組織の名称を回答する。
The
次に、実施の形態1における端末101の動作を説明する。
端末101の有名サイト情報記憶部104は、サイトの情報としてURLを記憶し、ブラウザ102は、サイトの情報としてURLを入力し、偽装判定部103は、ブラウザ102が入力するURLと有名サイト情報記憶部104が記憶するURLとが類似しているか否かを判定し、ブラウザ102は、偽装判定部103が類似していると判定した場合、警告を出力する。
Next, the operation of
The famous site
動作を具体的に説明する。図2は、実施の形態1における動作を説明するためのフローチャートである。
端末101のブラウザ102は、ユーザ100によるリンク先の選択等によるページアクセスの要求を受け付ける(ステップS201)。ブラウザ102は、選択されたページにアクセスするためのURLを偽装判定部103に入力し、URLが有名サイトのそれと類似しているかどうかの判定を要求する(ステップS202)。偽装判定部103は、入力されたURL中のホスト名部分と、有名サイト情報記憶部104が記憶する既知の有名サイトのホスト名を比較して、それらの類似度を算出する。その結果、完全一致となる場合を除き、類似度がある閾値を超えた場合に、「偽装の可能性有り」と判定し、その判定結果をブラウザ102に返す(ステップS203)。ブラウザ102は、偽装判定部103から受け取った判定結果に応じて、アクセス先が有名サイトを装った偽サイトである可能性があるとの警告を表示し、アクセスを続行するか否かをユーザに確認する(ステップS204)。
The operation will be specifically described. FIG. 2 is a flowchart for explaining the operation in the first embodiment.
The
ユーザによる確認のための画面の例を図3に示す。ユーザが確認のための画面の「OK」ボタンをクリックすることにより、アクセスを了承した場合(ステップS205)、ブラウザ102は、従来どおりネットワークアクセス部105を通じて通信ネットワークのサイトへアクセスし、Webコンテンツを取得してユーザへ表示する(ステップS206)。
An example of a screen for confirmation by the user is shown in FIG. When the user accepts the access by clicking the “OK” button on the confirmation screen (step S205), the
次に、偽装判定部103での類似度の算出方法を図4と図5を用いて説明する。
偽装判定部103には、図4に示すような文字毎の類似度を与えるマトリクスを備えている。このマトリクスは、同一の文字どうしの類似度を1とし、異なる文字どうしの類似度を0とする。ただし、“1(イチ)”と“I(アイ)”、“0(ゼロ)”と“O(オー)”といった、ユーザによって誤認されやすい文字どうしには、その誤認のしやすさに応じて0〜1の範囲で類似度を割り当てる。
Next, a method for calculating the similarity in the
The
文字列どうしの類似度の算出方法を、図5を用いて説明する。
仮に、有名サイトのURLを“DOGS(ディー・オー・ジー・エス)”、アクセスしようとしているサイトのURLを“D0S(ディー・ゼロ・エス)”とする。
A method of calculating the similarity between character strings will be described with reference to FIG.
Suppose that the URL of a famous site is “DOGS” and the URL of the site to be accessed is “D0S”.
偽装判定部103は、図5に示すように、有名サイトのURLである“DOGS”の文字数(4)を水平方向とし、アクセス先URLである“D0S”の文字数(3)を垂直方向とする格子状有向グラフを生成し、さらに、各格子の左上から右下への対角線上にも辺を生成する。
As shown in FIG. 5, the
次に、グラフの各辺にスコアを割り当てる。対角に張られたグラフには、水平方向上の文字と垂直方向上の文字とを比較した際の類似度が割り当てられる。水平方向及び垂直方向に張られた各グラフには0以下の値を割り当てる。割り当てた値をGapペナルティと呼ぶ。図5ではGapペナルティとして−0.1を割り当てている。 Next, a score is assigned to each side of the graph. The degree of similarity when a horizontal character and a vertical character are compared is assigned to the diagonally drawn graph. A value of 0 or less is assigned to each graph stretched in the horizontal direction and the vertical direction. The assigned value is called a Gap penalty. In FIG. 5, -0.1 is assigned as the gap penalty.
このような各辺にスコアを割り当てたグラフの左上隅から右下隅までの経路のうち、最大のスコアを持つものを算出し、そのスコアを有名サイトの文字数で割った値をアクセス先URLの類似度とする。以上が、文字列どうしの類似度を算出する方法である。 Of the paths from the upper left corner to the lower right corner of the graph in which a score is assigned to each side, the route having the maximum score is calculated, and the value obtained by dividing the score by the number of characters of the famous site is similar to the access destination URL. Degree. The above is the method for calculating the similarity between character strings.
偽装判定部103では、ブラウザ102から入力した通信ネットワークを介してアクセスするサイトのホスト名と、有名サイト情報記憶部104が記憶している各有名サイトのホスト名との間で、この方法を用いて類似度の算出を行い、完全に一致する場合を除き、最大の類似度がある閾値を超えた場合、通信ネットワークを介してアクセスするサイトは偽装の恐れがあると判断し、ブラウザ102は警告を出力する。
The
なお、ブラウザ102は、警告を出力したにもかかわらずそれを無視し、ユーザがアクセスすることを承認したサイトについては、そのサイトを記憶しておくことにより、再度、そのサイトへアクセスする場合には、ユーザに警告を出力しないようにすることも可能である。
Note that the
実施の形態1によれば、端末101は、ブラウザ102から入力した通信ネットワークを介してアクセスするサイトと、有名サイト情報記憶部104が記憶する通信ネットワークのサイトの情報とが関連すると偽装判定部103が判定した場合、ブラウザ102が警告を出力することにより、不正なサイトにより行われるPhishing詐欺などの不正行為を未然に防止することができる。
According to the first embodiment, the terminal 101 determines that the site accessed via the communication network input from the
実施の形態1によれば、ブラウザ102から入力した通信ネットワークを介してアクセスするサイトのURLが、有名サイト情報記憶部104が記憶する有名サイトのURLと類似する場合には、通信ネットワークを介してアクセスするサイトが有名サイトを偽装していると判定してブラウザ102から警告を出力することにより、偽装しているサイトへのアクセスを回避し、Phishing詐欺などの不正行為を未然に防止することができる。
According to the first embodiment, when the URL of the site accessed via the communication network input from the
実施の形態1によれば、警告を受けたにもかかわらず、それを無視してアクセスしたサイトに、再度、アクセスする場合には、警告を受けることなくアクセスすることができ、逐一警告を受ける煩わしさを解消することができる。 According to the first embodiment, even when a warning is received, a site accessed by ignoring the warning can be accessed again without receiving the warning, and the warning is received one by one. Annoyance can be eliminated.
実施の形態1によれば、Phishing目的のサイトの特徴である有名サイトに類似したURLへのアクセスを検出することで、アクセス不許可リストを更新することなく、効果的にPhishingサイトへのアクセスを防止できる。 According to the first embodiment, by detecting access to a URL similar to a famous site that is a characteristic of the site for Phishing purpose, it is possible to effectively access the Phishing site without updating the access disapproval list. Can be prevented.
なお、実施の形態1では、アクセス防止装置を端末で実現した場合について説明したが、端末に限らず、パーソナルコンピュータと、携帯電話と、PDA(Personal Digital Assistance)と、プロキシサーバとのいずれかで実現することもできる。 In the first embodiment, the case where the access prevention device is realized by a terminal has been described. However, the present invention is not limited to a terminal, and may be any one of a personal computer, a mobile phone, a PDA (Personal Digital Assistance), and a proxy server. It can also be realized.
実施の形態2.
実施の形態2では、通信ネットワークを介してアクセスするサイトと有名サイトとの類似度の算出に、実施の形態1で用いたURLのホスト名全体ではなく、通信ネットワークを介してアクセスするサイトのURLに記載されたドメイン名と、有名サイトのURLの文字列またはその一部を用いる実施の形態について説明する。
Embodiment 2. FIG.
In the second embodiment, the URL of the site accessed via the communication network is used to calculate the similarity between the site accessed via the communication network and the famous site, instead of the entire host name of the URL used in the first embodiment. An embodiment using the domain name described in the above and a character string of a URL of a famous site or a part thereof will be described.
図6は、実施の形態2における端末101の構成とデータベース107との接続を示す図である。
実施の形態2における端末の構成は、実施の形態1と同じである。また、各部の機能は、偽装判定部103がネットワークアクセス部105を介して通信を行う点を除き、実施の形態1と同じである。
FIG. 6 is a diagram showing the configuration of the terminal 101 and the connection with the
The configuration of the terminal in the second embodiment is the same as that in the first embodiment. The function of each unit is the same as that of the first embodiment except that the
実施の形態2でも、端末101は特許請求の範囲に記載のアクセス防止装置に相当し、偽装判定部103は判定部に相当し、有名サイト情報記憶部104はサイト情報記憶部に相当する。また、ブラウザ102は、例えば、キーボードからデータを入力することにより入力部を実現し、ディスプレイにデータを表示することにより出力部を実現する。
Also in the second embodiment, the terminal 101 corresponds to the access prevention device described in the claims, the
次に、実施の形態2における端末101の動作を説明する。
端末101の有名サイト情報記憶部104は、サイトの情報としてURLで用いられる文字列の少なくとも一部を記憶し、ブラウザ102は、サイトの情報としてドメイン名が記載されたURLを入力し、偽装判定部103は、ブラウザ102が入力するURLに記載されたドメイン名と有名サイト情報記憶部104が記憶するURLで用いられる文字列の少なくとも一部とが類似しているか否かを判定し、ブラウザ102は、偽装判定部103が類似していると判定した場合、警告を出力する。
Next, the operation of
The famous site
端末1の有名サイト情報記憶部104は、サイトの情報として通信ネットワークのサイトを運営する組織の名称を記憶し、ブラウザ102は、サイトの情報としてURLを入力し、偽装判定部103は、通信ネットワークのサイトを運営する組織の名称を記憶するデータベース107から、ブラウザ102から入力したURLで特定されるサイトを運営する組織の名称を取得し、データベース107から取得した組織の名称と有名サイト情報記憶部104が記憶する組織の名称とが一致するか否かを判定し、ブラウザ102は、偽装判定部103が一致しないと判定した場合、警告を出力する。
The famous site
動作を具体的に説明する。図7は、実施の形態2における動作を説明するためのフローチャートである。 The operation will be specifically described. FIG. 7 is a flowchart for explaining the operation in the second embodiment.
ステップS801とステップS802は、実施の形態1におけるステップS201とステップS202と同じである。問い合わせを受け取った偽装判定部103は、入力されたURLが有名サイトのURLに類似しているかどうかを判定し、類似していると判定したとき、さらにネットワークアクセス部105を介してインターネットに存在するデータベース107に、例えば、Linux(「Linux」は登録商標)のWHOISコマンドを用いてURLから特定されるサイトを運営している組織の名称を問い合わせる(ステップS803)。偽装判定部103は、データベース107から組織の名称を取得し、取得した組織の名称と有名サイト情報記憶部104が記憶する有名サイトを運営する組織の名称と一致するかどうかを確認する(ステップS804)。一致していた場合には偽装の恐れなしを、一致していない場合には偽装の恐れありをブラウザに応答する(ステップS805)。ブラウザ102は、偽装の恐れがある場合、ユーザに警告を行う(ステップS806)。その後のステップS807とステップS808は、実施の形態1のステップS205とステップS206と同様である。
Steps S801 and S802 are the same as steps S201 and S202 in the first embodiment. The
次に、実施の形態2における類似の判定方法について説明する。実施の形態1では、URLの類似を判定するときに、URLのホスト名全体を比較した。しかし、実施の形態2では、URLのホスト名全体を比較するのではなく、ホスト名をドメインに分割し、分割した各ドメインと有名サイトのURLを特徴付ける文字列とを比較し、類似を判定する。 Next, a similar determination method in the second embodiment will be described. In the first embodiment, when determining the similarity of URLs, the entire host names of URLs are compared. However, in the second embodiment, instead of comparing the entire host name of the URL, the host name is divided into domains, each divided domain is compared with a character string characterizing the URL of a famous site, and similarity is determined. .
例えば、図8に示すように、偽装の有無を判定するサイトのURLをhttp://www.dec.def.com/とし、有名サイトのURLを特徴づける文字列をdefとした場合、defと、偽装の有無を判定するサイトのURLのドメインであるwwwとdecとdefとcomそれぞれとの比較を行う。 For example, as shown in FIG. 8, the URL of a site for determining the presence / absence of impersonation is http: // www. dec. def. com / and a character string that characterizes the URL of a famous site is def, and comparison is made between def and the URL of the site URL for determining the presence or absence of impersonation, www, dec, def, and com.
ここで、URLを特徴付ける文字列には、例えば、ある企業のサイトのURLがhttp://www.abc−xyz.co.jp)であれば、その中のabc−xyzが該当する。 Here, in the character string characterizing the URL, for example, the URL of a certain company site is http: // www. abc-xyz. co. jp), abc-xyz among them corresponds.
各文字列どうしの類似の判定には実施の形態1と同様の類似度を算出する方法を用いるが、実施の形態2では、より緩やかな類似度による判定で良いため、Gapペナルティを0とし、偽装とみなすURLの範囲をより広げた。 For the determination of similarity between character strings, the same method of calculating the similarity as in the first embodiment is used. However, in the second embodiment, since the determination may be based on a more gradual similarity, the gap penalty is set to 0, The range of URLs that are regarded as impersonation has been expanded.
比較した結果、URLが類似すると判定された場合、前記したように、例えば、WHOISコマンドを用いてそのURLから特定されるサイトを運営する組織名を取得し、偽装判定部103は、有名サイト情報記憶部104が記憶する有名サイトを運営する組織の名称と比較する。この時、日本法人と海外法人がそれぞれドメインの異なるサイトを運営する場合に対応するために、URLで特定される一つの有名サイトを運営する組織の名称として、複数の組織の名称を登録することが可能である。従って、実施の形態2における有名サイト情報記憶部には図9に示すようなテーブルが記憶される。
If it is determined that the URLs are similar as a result of the comparison, as described above, for example, the name of the organization that operates the site specified from the URL is acquired using the WHOIS command, and the
実施の形態2によれば、通信ネットワークを介してアクセスするサイトのURL全部と、有名サイト情報記憶部104が記憶する有名サイトのURL全部とを比較しなくても、それらの部分どおしと比較することにより、通信ネットワークを介してアクセスするサイトが有名サイトを偽装しているか否かを判定することができる。
According to the second embodiment, even if it is not necessary to compare all URLs of sites accessed via the communication network with all URLs of famous sites stored in the famous site
実施の形態2によれば、通信ネットワークを介してアクセスするサイトのURLを用いて、そのサイトを運営する組織の名称を、通信ネットワークのサイトを運営する組織の名称を記憶し管理している公正な第三者のデータベースに問い合わせ、得られた組織の名称と有名サイト情報記憶部104が記憶している有名サイトを運営する組織の名称とを比較することにより、通信ネットワークを介してアクセスするサイトのURLが、本当に有名サイトのURLであるのかを確認することができる。また、この確認を前記したURLまたはその一部を用いた偽装の判定と合わせて行うことにより、通信ネットワークを介してアクセスするサイトの有名サイトへの偽装の判定をより確実なものとすることができる。
According to Embodiment 2, using the URL of a site accessed via a communication network, the name of the organization that operates the site is stored and managed as the name of the organization that operates the site of the communication network. A site accessed via a communication network by inquiring a database of a third party and comparing the name of the obtained organization with the name of the organization that operates the famous site stored in the famous site
実施の形態2によれば、キーとなる文字列以外は有名サイトと異なるようなPhishingサイトであっても検出できる。 According to the second embodiment, even a Phishing site that is different from a famous site can be detected except for a character string as a key.
実施の形態3.
実施の形態1と実施の形態2では、偽装の判定をブラウザを備えた端末において行ったが、実施の形態3では、端末からWebアクセスを行う際に経由するプロキシサーバに偽装判定部と有名サイト情報記憶部を配置し、偽装の判定を端末とは通信ネットワークで接続されたプロキシサーバにおいて、端末からの要求にもとづいて行う実施の形態について説明する。
Embodiment 3 FIG.
In the first embodiment and the second embodiment, the impersonation determination is performed in the terminal equipped with the browser. However, in the third embodiment, the impersonation determination unit and the famous site are connected to the proxy server through which web access is performed from the terminal. An embodiment will be described in which an information storage unit is arranged and the determination of impersonation is performed based on a request from a terminal in a proxy server connected to the terminal via a communication network.
図10は、実施の形態3におけるプロキシサーバ1104の構成と端末1101との接続を示す図である。
プロキシサーバ1104は、ユーザが操作する端末1101と通信ネットワーク1103を介して接続されている。
FIG. 10 is a diagram showing the configuration of the
The
プロキシサーバ1104は、偽装判定部1105と有名サイト情報記憶部1107とウェブプロキシサーバ(Web Proxy Server)部1106とで構成されている。偽装判定部1105と有名サイト情報記憶部1107の機能は、実施の形態1と同じである。ウェブプロキシサーバ部1106は、プロキシサーバ1104のプロキシサーバとしての機能を実現する部分であり、その中には、通信ネットワーク1103を介した送受信も含まれる。
The
実施の形態3では、プロキシサーバ1104が特許請求の範囲に記載のアクセス防止装置に相当し、偽装判定部1105が判定部に相当し、有名サイト情報記憶部1107がサイト情報記憶部に相当する。また、ウェブプロキシサーバ部1106が、通信ネットワークを介した入力部と出力部を実現する。
In the third embodiment, the
次に、実施の形態3におけるプロキシサーバ1104の動作について説明する。
プロキシサーバ1104の有名サイト情報記憶部1107は、サイトの情報としてURLを記憶し、ウェブプロキシサーバ部1106は、端末1101からサイトの情報としてURLと、フォームから入力あるいはスクリプト言語によって生成されたパラメータを入力し、偽装判定部1105が、入力したURLと有名サイト情報記憶部1107が記憶するURLとが類似すると判定部が判定した場合に、ウェブプロキシサーバ部1106が、フォームから入力あるいはスクリプト言語によって生成されたパラメータを画面には表示されない形式で含む、HTMLで記述された警告を出力する。
Next, the operation of the
The famous site
プロキシサーバ1104のウェブプロキシサーバ部1106が、端末から警告を無視したサイトへのアクセスを承認する情報を入力した場合には、偽装判定部1105は、ウェブプロキシサーバ部1106が入力するURLと有名サイト情報記憶部1107が記憶するURLとが類似するか否かの判定を行わない。
When the web
端末1101のブラウザ1102はユーザ1100の操作により、Webサイトにアクセスするために、ブラウザ内部の設定に従い、プロキシサーバ1104にHTTPで記述されたリクエストURLを送信する。プロキシサーバ1104のウェブプロキシサーバ部1106は、端末1101からリクエストURLを受信し、偽装判定部1105に送る。偽装判定部1105は、実施の形態1で示した方法により、そのURLが有名サイトに偽装したものであるかを判定する。偽装の恐れがあると判定した場合、ウェブプロキシサーバ部1106にその結果を伝える。ウェブプロキシサーバ部1106は、ユーザ1100に確認を求めるためのプロキシエラーページを生成して、端末1101のブラウザ1102に送信する。
The
プロキシエラーページには、例えば、図11に示すような内容がHTMLにより記載されている。リクエストURLは、プロキシエラーページのformのactionアトリビュートに記載されており、また、URLリクエストと共に端末1101から送信されたパラメータ情報は、プロキシエラーページのformのタグ内にHTMLのhiddenエレメント1204として記載されている。
In the proxy error page, for example, the contents shown in FIG. 11 are described in HTML. The request URL is described in the action attribute of the proxy error page form, and the parameter information transmitted from the terminal 1101 together with the URL request is described as an HTML hidden
プロキシエラーページにHTMLにより記載された内容により、図11に示すような画面1201がブラウザ1102に表示される。表示された[OK]ボタンをユーザが押下することにより、再びプロキシサーバに対して、URLリクエストが送出される。ただし、今度はURLリクエストに、プロキシサーバが端末の送信したプロキシエラーページにHTMLで記述したパラメータ(図11では“−_−PHISHING_WARNING_CONFIRM−_−=1”(1203部分))が付加されて送信される。
A
このパラメータが付加されたリクエストURLをプロキシサーバ1104のウェブプロキシサーバ部1106が受信した場合、偽装判定部1105へ送らずに、URLで指定されたWebサーバにリクエストを送信する。その際、先にプロキシサーバがプロキシエラーページに付加したパラメータは自動的に取り除かれる。
If the web
実施の形態3では、プロキシサーバ1104で一括してPhishingの検出を行っているが、ユーザの端末でプロキシサーバの機能を実現し、そこで偽装の判定を行うことも可能である。
In the third embodiment, Phishing is detected collectively by the
実施の形態3によれば、偽装サイトを判定する機能を各端末に備える必要がなくなり、偽装の判定をプロキシサーバで一括して実行することができる。 According to the third embodiment, it is not necessary to provide each terminal with a function for determining a camouflaged site, and the determination of camouflage can be collectively executed by a proxy server.
実施の形態3によれば、例えプロキシサーバ1104から警告を受けても、ユーザがそれを認識した上で、アクセスを承認することにより、プロキシサーバによる偽装の判定を実行することなく、サイトへアクセスすることができる。
According to the third embodiment, even if a warning is received from the
実施の形態3によれば、プロキシサーバ1104で偽装の判定を行うことにより、組織内のLANに接続する端末1101のユーザを一括してPhishing詐欺から保護することができる。さらに、端末1101の既存のブラウザを変更することなく、Phishing詐欺に対応することができる。
According to the third embodiment, by performing impersonation determination by the
実施の形態4.
実施の形態4では、ブラウザに表示されたリンク先の表示と、このリンク先の表示をクリックすることにより、実際にアクセスするサイトとが一致するか否かを判定することにより、不正なサイトへのアクセスを防止する実施の形態について説明する。
In the fourth embodiment, by clicking on the display of the link destination displayed on the browser and the display of the link destination, it is determined whether or not the site that is actually accessed matches, and thus an illegal site is obtained. An embodiment for preventing such access will be described.
実施の形態4における端末101の構成は、実施の形態1と同じである。次に、動作を説明する。
ブラウザ102は、サイトの情報としてリンク先のURLを入力し、偽装判定部103は、ブラウザ102が入力するリンク先のURLと、ブラウザ102が入力するリンク先のURLを元に通信ネットワークを介してアクセスするサイトのURLとが一致するか否かを判定し、ブラウザ102は、偽装判定部103が一致しないと判定した場合、警告を出力する。
The configuration of
The
また、実施の形態4における動作を図12に示すフローチャートを用いて説明する。
ステップS301は、実施の形態1におけるステップS201と同じである。ブラウザ102は、偽装判定部103に対して通信ネットワーク106を介してアクセスするサイトのURLを送り、アクセスを要求すると共に、そのURLにアクセスするきっかけとなったアンカーやボタンに表示された文字列情報(ラベル)も送り、一致するか否かの判定を要求する(ステップS302)。偽装判定部103は、ラベルにURLが記述されていた場合には、そのURLと実際のアクセス先のURLが一致しているかどうかを判定し、異なっていた場合には偽装の可能性有りという応答をブラウザ102に返す(ステップS303)。ステップS304からステップS306は、ステップS204からステップS206と同じである。
The operation in the fourth embodiment will be described with reference to the flowchart shown in FIG.
Step S301 is the same as step S201 in the first embodiment. The
実施の形態4によれば、実際のアクセス先とは異なるURLをブラウザに表示し、表示を見たユーザを騙すことによる、不正なサイトへのアクセスを防止することができる。 According to the fourth embodiment, it is possible to prevent access to an unauthorized site by displaying a URL different from the actual access destination on the browser and tricking the user who viewed the display.
実施の形態4によれば、表示されているリンクと別のサイトにアクセスさせるようなPhishingの手口を検出することができる。 According to the fourth embodiment, it is possible to detect a Phishing technique that allows access to a site different from the displayed link.
実施の形態5.
実施の形態5では、ブラウザに通信ネットワークを介してアクセスしたサイトのURLを表示すると共に、URLと並べて常にサクセスしたサイトを運営する組織の名称を表示することで、ユーザが常に自分のアクセスしているサイトが目的のサイトであるかどうかを確認できるようにする実施の形態について説明する。
Embodiment 5 FIG.
In the fifth embodiment, the URL of the site accessed via the communication network is displayed on the browser, and the name of the organization that operates the site that is always accessed along with the URL is displayed so that the user can always access his / her own site. An embodiment in which it is possible to confirm whether or not a certain site is a target site will be described.
実施の形態5における端末101の構成は、実施の形態1と同じである。次に、動作を説明する。
偽装判定部103は、通信ネットワークのサイトを運営する組織の名称を記憶するデータベース107から、ブラウザ102から入力したURLで特定されるサイトを運営する組織の名称を取得し、ブラウザ102は、偽装判定部103が取得した組織の名称を出力する。
The configuration of
The
実施の形態5における動作を図13に示すフローチャートを用いて説明する。
ステップS401は実施の形態1におけるステップS201と同じである。ブラウザ102は、偽装判定部103にアクセスを要求するサイトのURLと共に、サイトを運営する組織の名称の問合せを要求する(ステップS402)。偽装判定部103は、例えば、WHOISコマンドを用いて、ネットワークアクセス部105を介して、データベース107に対して、URLで特定されるサイトを運営する組織の名称を問い合わせる(ステップS403)。データベース107は、偽装判定部103へ組織の名称を応答し(ステップS404)、偽装判定部103は、データベース107から得た組織の名称をブラウザ102へ回答する(ステップS405)。ブラウザ102は、ユーザへ回答により得られたアクセスするサイトを運営する組織の名称を表示する(ステップS406)。
The operation in the fifth embodiment will be described with reference to the flowchart shown in FIG.
Step S401 is the same as step S201 in the first embodiment. The
実施の形態5によりアクセスを要求するサイトのURLとデータベース107から得た組織の名称をブラウザ102へ表示した例を図14に示す。
FIG. 14 shows an example in which the URL of the site requesting access and the name of the organization obtained from the
実施の形態5によれば、アクセスするサイトのURLと共に、そのサイトを運営する組織の名称を表示することができ、ユーザは、アクセス先を確認しながら、サイトへのアクセスを実行することができる。 According to the fifth embodiment, the name of the organization that operates the site can be displayed together with the URL of the site to be accessed, and the user can access the site while confirming the access destination. .
実施の形態5によれば、ユーザは常に自分がアクセスしているサイトが、本当に自分のアクセスしたい企業のものであるかどうかを確認できる。 According to the fifth embodiment, the user can always confirm whether or not the site he / she is accessing is actually from a company he / she wants to access.
実施の形態6.
実施の形態6では、電子メールによって偽造された入力フォームが送信されてくるような場合に、電子メールの送信元と送信先を比較することにより、不正なサイトへの電子メールの送信を未然に防止する実施の形態について説明する。
Embodiment 6 FIG.
In the sixth embodiment, when an input form forged by e-mail is transmitted, the e-mail is sent to an unauthorized site by comparing the e-mail transmission source and destination. An embodiment to prevent will be described.
実施の形態6における端末1401の構成とデータベース1405との接続を図15に示す。
端末1401は、HTML表示機能付き電子メールクライアント(以下、電子メールクライアントと略称する)1402と、ネットワークアクセス部1404と、偽装判定部1403とで構成されている。
FIG. 15 shows the configuration of terminal 1401 and the connection with
The terminal 1401 includes an e-mail client with an HTML display function (hereinafter abbreviated as an e-mail client) 1402, a
電子メールクライアント1402は、電子メールの送受信と表示をおこなうと共に、HTMLで記述された情報を表示することができる。なお、ネットワークアクセス部1404と偽装判定部1403の機能は、実施の形態1と同じである。
The
実施の形態6では、端末1401は特許請求の範囲に記載のアクセス防止装置に相当し、偽装判定部1403は判定部に相当する。また、電子メールクライアント1402は、例えば、キーボードから電子メールを書き込むことにより入力部を実現し、ディスプレイに電子メールを表示することにより出力部を実現する。
In the sixth embodiment, the terminal 1401 corresponds to the access prevention device described in the claims, and the
次に、実施の形態6における、動作を説明する。
ブラウザ102は、サイトの情報として電子メールの送信元アドレスと送信先アドレスとを入力し、偽装判定部103は、通信ネットワーク上のサイトを運営する組織の名称を記憶するデータベース107から、ブラウザ102が入力した電子メールの送信元アドレスで特定されるサイトを運営する組織の名称と、ブラウザ102が入力した電子メールの送信先アドレスで特定されるサイトを運営する組織の名称とを取得し、取得した電子メールの送信元アドレスで特定されるサイトを運営する組織の名称と、電子メールの送信先アドレスで特定されるサイトを運営する組織の名称とが一致するか否かを判定し、ブラウザ102は、偽装判定部103が一致しないと判定した場合、警告を出力する。
Next, the operation in the sixth embodiment will be described.
The
実施の形態6における動作を図16に示すフローチャートを用いて具体的に説明する。
電子メールクライアント1402は、ユーザ1400から電子メールに表示されたフォームへのパスワード等の情報を入力する(ステップS501)。電子メールクライアント1402は、Webサイトへ電子メールを送信しようとしたとき、その電子メールの送信元アドレスとフォームの送信先アドレス(URL)を偽装判定部1403に送る(ステップS502)。偽装判定部1403は、ネットワークアクセス部を介して、受け取った送信元アドレスと送信先アドレスとから、実施の形態2と同様に、例えば、WHOISコマンドを用いて、それら送信元アドレスと送信先アドレスのサイトを運営する組織の名称をデータベース1405へ問い合わせる(S503)。偽装判定部1403は、データベースから電子メールの送信元アドレスのサイトと送信先アドレスのサイトをそれぞれ運営する組織の名称を取得し(ステップS504)、それらを比較する。その結果、名称が一致しなかった場合、そのメールはユーザを騙す目的で送信された可能性ありと、電子メールクライアントに応答する(ステップS505)。電子メールクライアント1402は、警告をユーザ1400に表示する(ステップS506)。
The operation in the sixth embodiment will be specifically described with reference to the flowchart shown in FIG.
The
実施の形態6によれば、送信先の電子メールアドレスとは異なる偽りの送信元の電子メールアドレスを表示し、知らずに偽装サイトへ電子メールを送信してしまうことによる情報の漏洩を防止することができる。 According to the sixth embodiment, a false source email address different from the destination email address is displayed, and information leakage due to sending an email to a camouflaged site without knowing is prevented. Can do.
以上、実施の形態について説明した。
以上の他に実施の形態として、有名サイト情報記憶部と偽装判定部を備えた端末もしくはブラウザ(HTMLメールを表示可能なメーラも含む)を実現できる。有名サイトに類似したサイトへのアクセスをユーザが行ったときに警告画面を表示する機能を有するブラウザを実現できる。警告表示後、ユーザに了承されたサイトに再びアクセスした場合には警告を表示せずに通常と同様にWebアクセスを行う機能を有するブラウザを実現できる。類似しているURLと判定した場合に、データベースに問い合わせを行って、そのサイトの所有者(企業)を確認する機能を有する偽装判定部を実現できる。有名サイトURLのキーワードとなる文字列をアクセス対象URLの各ドメインを表す文字列と比較することで類似度を判定する偽装判定部を実現できる。有名サイトのURLを代表する文字列と、そのサイトを所有する企業名を記憶した有名サイト情報記憶部を実現できる。偽装判定部を有するプロキシサーバを実現できる。
The embodiment has been described above.
In addition to the above, a terminal or browser (including a mailer that can display HTML mail) including a famous site information storage unit and a camouflage determination unit can be realized as an embodiment. A browser having a function of displaying a warning screen when a user accesses a site similar to a famous site can be realized. After a warning is displayed, a browser having a function of performing Web access as usual without displaying a warning when a site approved by the user is accessed again can be realized. When it is determined that the URLs are similar, an impersonation determination unit having a function of confirming the owner (company) of the site by making an inquiry to the database can be realized. It is possible to realize a camouflage determination unit that compares a character string that is a keyword of a famous site URL with a character string that represents each domain of the URL to be accessed. A famous site information storage unit that stores a character string representing the URL of a famous site and the name of a company that owns the site can be realized. A proxy server having an impersonation determination unit can be realized.
また、警告を行う際に生成されるWebページの内容として、<input hidden>タグに、元のアクセスで送信しようとしたパラメータを記述できる。さらに、ユーザがアクセスを承認したことを判別するために元のURLにパラメータ(図12−1203)を付加できる。 Further, as the contents of the Web page generated when the warning is issued, a parameter to be transmitted by the original access can be described in an <input hidden> tag. Further, a parameter (FIG. 12-1203) can be added to the original URL to determine that the user has approved access.
リンクとして表示されるURLと、そのリンクを選択したときに実際にアクセスされるURLが異なっているときに偽装の警告を行う偽装判定部を実現できる。
閲覧中のWebページの所有者情報をWHOISによって取得し、常に画面に表示し続けるブラウザを実現できる。送信元のメールアドレスのドメイン名部分と、メール中にあるフォームの送信先URLの保有組織をWHOISで調査・比較し、一致しなければ偽装と判定する偽装判定部と、それを呼び出す機能を持ったHTML表示機能付きメールクライアントを実現できる。
A camouflage determination unit that issues a camouflage warning when a URL displayed as a link is different from a URL that is actually accessed when the link is selected can be realized.
It is possible to realize a browser that acquires owner information of a Web page being browsed by WHOIS and always displays it on the screen. Checks and compares the domain name part of the email address of the sender and the organization holding the destination URL of the form in the email with WHOIS. A mail client with an HTML display function can be realized.
なお、アクセス防止装置については、サイト情報記憶部は、サイトの情報としてURL(Uniform Resource Locator)を記憶し、入力部は、サイトの情報としてURLとフォームから入力されたパラメータとスクリプト言語によって生成されたパラメータとの少なくともいずれかを入力し、入力部が入力するURLとサイト情報記憶部が記憶するURLとが類似すると判定部が判定した場合に、出力部は、フォームから入力されたパラメータとスクリプト言語によって生成されたパラメータとを画面には表示されない形式で含むHTMLで記述された警告を出力するとしてもよい。 As for the access prevention device, the site information storage unit stores a URL (Uniform Resource Locator) as the site information, and the input unit is generated by the URL and the parameters input from the form and the script language as the site information. When the determination unit determines that the URL input by the input unit and the URL stored by the site information storage unit are similar, the output unit receives the parameter and script input from the form. A warning described in HTML including parameters generated by a language in a format not displayed on the screen may be output.
以上、実施の形態1から実施の形態6において述べた端末やプロキシサーバであるアクセス防止装置は、コンピュータにより実現することができる。図16は、実施の形態1から実施の形態6における端末やプロキシサーバであるアクセス防止装置をコンピュータにより実現した場合のハードウェア構成を示す図である。
図17においてアクセス防止装置は、プログラムを実行するCPU(Central Processing Unit)911を備えている。CPU911は、バス912を介してROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード(K/B)902、マウス903、FDD(Flexible Disk Drive)904、磁気ディスク装置920、CDD(Compact Disk Drive)905、プリンタ装置906、スキャナ装置907と接続されている。
As described above, the access prevention device which is the terminal or the proxy server described in the first to sixth embodiments can be realized by a computer. FIG. 16 is a diagram illustrating a hardware configuration when the access prevention device that is a terminal or a proxy server in the first to sixth embodiments is realized by a computer.
In FIG. 17, the access prevention apparatus includes a CPU (Central Processing Unit) 911 that executes a program. The
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920、光ディスク装置は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
The
通信ボード915は、FAX機、電話器、LAN等に接続されている。通信ボード915、K/B902、FDD904、スキャナ装置907などは入力部の一例である。また、通信ボード915、表示装置901などは出力部の一例である。
The
ここで、通信ボード915は、LANに限らず、直接、インターネット、或いはISDN等のWAN(Wide Area Network)に接続されていても構わない。直接、インターネット、或いはISDN等のWANに接続されている場合、アクセス防止装置は、インターネット、或いはISDN等のWANに接続され、ウェブサーバは不用となる。
Here, the
磁気ディスク装置920には、オペレーティングシステム(OS)921、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923は、CPU911、OS921、ウィンドウシステム922により実行される。
The
プログラム群923には、前記した実施の形態1から実施の形態6の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
The
前記した実施の形態1から実施の形態6の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、磁気ディスク装置920、FD(Flexible Disk)、光ディスク、CD(Compact Disk)、MD(Mini Disk)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。
The arrows in the flowcharts described in the description of the first to sixth embodiments described above mainly indicate data input / output. For the data input / output, data is stored in a
前記した実施の形態1から実施の形態6の説明において「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
What is described as “˜unit” in the description of the first to sixth embodiments described above may be realized by firmware stored in the
前記した実施の形態1から実施の形態6を実施するプログラムは、また、磁気ディスク装置920、FD(Flexible Disk)、光ディスク、CD(Compact Disk)、MD(Mini Disk)、DVD(Digital Versatile Disk)等のその他の記録媒体による記録装置を用いて記憶されても構わない。
The programs for carrying out the first to sixth embodiments described above are a
100 ユーザ、101 端末(アクセス防止装置)、102 ブラウザ(入力部/出力部)、103 偽装判定部(判定部)、104 有名サイト情報記憶部(サイト情報記憶部)、105 ネットワークアクセス部、106 通信ネットワーク、107 データベース、1100 ユーザ、1101 端末、1102 ブラウザ、1103 通信ネットワーク、1104 プロキシサーバ(アクセス防止装置)、1105 偽装判定部(判定部)、1106 ウェブプロキシサーバ部(入力部/出力部)、1107 有名サイト情報記憶部(サイト情報記憶部)、1400 ユーザ、1401 端末(アクセス防止装置)、1402 HTML表示機能付き電子メールクライアント(入力部/出力部)、1403 偽装判定部(判定部)、1404 ネットワークアクセス部、1405 データベース、901 表示装置、902 キーボード(K/B)、903 マウス、904 FDD、905 CDD、906 プリンタ装置、907 スキャナ装置、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群。 100 user, 101 terminal (access prevention device), 102 browser (input unit / output unit), 103 impersonation determination unit (determination unit), 104 famous site information storage unit (site information storage unit), 105 network access unit, 106 communication Network, 107 database, 1100 user, 1101 terminal, 1102 browser, 1103 communication network, 1104 proxy server (access prevention device), 1105 impersonation determination unit (determination unit), 1106 web proxy server unit (input unit / output unit), 1107 Famous site information storage unit (site information storage unit), 1400 users, 1401 terminal (access prevention device), 1402 E-mail client with HTML display function (input unit / output unit), 1403 Impersonation determination unit (determination unit), 1404 Network access unit, 1405 database, 901 display device, 902 keyboard (K / B), 903 mouse, 904 FDD, 905 CDD, 906 printer device, 907 scanner device, 911 CPU, 912 bus, 913 ROM, 914 RAM, 915 communication Board, 920 magnetic disk device, 921 OS, 922 window system, 923 program group, 924 file group.
Claims (2)
ユーザが通信ネットワークを介してアクセスするサイトの情報として複数の文字からなる比較対象URLを入力する入力部と、
複数の文字の各文字を行と列とに配置し、行の文字と列の文字との類似度が高くなるほど類似度を表す類似値が大きくなるように行の文字と列の文字の類似値を行列の要素としてあらかじめ記憶するマトリクスを備えた判定部であって、
前記サイト情報記憶部から複数の文字からなる正規URLを入力し、入力した複数の文字からなる正規URLと前記入力部が入力した複数の文字からなる比較対象URLとが一致するか否かを判定し、正規URLと比較対象URLとが一致しないことを判定した場合、前記マトリクスに行列の要素として記憶された類似値の中から、前記入力部が入力した正規URLと比較対象URLとの各URLの複数の文字同士の類似値を取得し、取得した複数の文字同士の類似値に基づいて前記正規URLと比較対象URLとの類似度を算出し、算出した前記正規URLと比較対象URLとの類似度が所定の閾値を超えるか否かを判定し、算出した類似度が所定の閾値を超えることを判定した場合、前記比較対象URLが正規URLと完全に一致しないが前記比較対象URLの正規URLに対する類似度が高いことを示す判定結果を出力する判定部と、
前記判定部が、前記判定結果を出力した場合、前記判定結果を警告する警告情報を生成して出力する出力部と
を備えることを特徴とするアクセス防止装置。 A site information storage unit for storing a regular URL (Uniform Resource Locator) composed of a plurality of characters as information on a regular site of a communication network;
An input unit for inputting a comparison target URL composed of a plurality of characters as information on a site accessed by a user via a communication network;
The similarity value of the character in the row and the character in the column is such that the similarity value representing the similarity increases as the similarity between the character in the row and the character in the column increases as each character of the plurality of characters is arranged in a row and a column. Is a determination unit including a matrix for storing in advance as a matrix element,
A regular URL composed of a plurality of characters is input from the site information storage unit, and it is determined whether or not the regular URL composed of a plurality of characters input matches a comparison target URL composed of a plurality of characters input by the input unit. and, if it is determined that the compared URL regular URL does not match, the URL from among the similarity values stored as elements of a matrix to the matrix, a comparison target URL the regular URL of the input unit inputs The similarity value between the plurality of characters is acquired, the similarity between the regular URL and the comparison target URL is calculated based on the acquired similarity value between the plurality of characters, and the calculated normal URL and the comparison target URL When it is determined whether the similarity exceeds a predetermined threshold and it is determined that the calculated similarity exceeds a predetermined threshold, the comparison target URL does not completely match the regular URL A determining section for outputting a determination result indicating a high similarity to regular URL of the comparison URL,
An access prevention apparatus comprising: an output unit that generates and outputs warning information that warns the determination result when the determination unit outputs the determination result.
水平方向を前記正規URLの文字数とし垂直方向を前記比較対象URLの文字数とした複数の格子を有する格子状グラフを生成し、生成した格子状グラフの左上隅を始点とし右下隅を終点とし、格子状グラフの水平方向に前記正規URLの各文字を割り当て、格子状グラフの垂直方向に前記比較対象URLの各文字を割り当て、
前記格子状グラフの有するすべての格子の各格子に対して、当該格子の左上から水平方向に水平経路を生成し、生成した水平経路に対して0以下の値を設定し、当該格子の左上から垂直方向に垂直経路を生成し、生成した垂直経路に対して0以下の値を設定し、当該格子の左上から右下へ対角線経路を生成し、前記マトリクスに行列の要素として記憶された類似値の中から、当該格子の水平方向の文字と垂直方向の文字との類似値を取得し、取得した類似値を前記対角線経路に対して設定し、
すべての格子に対して水平経路と垂直経路と対角線経路とを生成した後、前記格子状グラフの始点から、水平経路と垂直経路と対角線経路とのいずれか一つ以上の経路を経由して終点に至る経由経路であり、かつ、経由する前記水平経路と垂直経路と対角線経路とのいずれか一つ以上の経路に対して設定された値を合計した合計値が最大になる経由経路を求め、
求めた経由経路の合計値を正規URLの文字数で割り商を求め、求めた商を前記正規URLと比較対象URLとの類似度とする
ことを特徴とする請求項1記載のアクセス防止装置。 The determination unit
A grid graph having a plurality of grids in which the horizontal direction is the number of characters of the regular URL and the vertical direction is the number of characters of the comparison target URL is generated, the upper left corner of the generated grid graph is the start point, and the lower right corner is the end point. Assigning each character of the regular URL in the horizontal direction of the graph, assigning each character of the URL to be compared in the vertical direction of the grid graph,
For each grid of all grids in the grid graph, a horizontal path is generated in the horizontal direction from the upper left of the grid, a value of 0 or less is set for the generated horizontal path, and from the upper left of the grid generates a vertical path in a vertical direction, resulting set to 0 following values for the vertical path, to generate a diagonal path from the upper left of the grid to the lower right, is stored as an element of the matrix to the matrix similarity values Obtaining a similarity value between a horizontal character and a vertical character of the grid, and setting the obtained similarity value for the diagonal path,
After generating a horizontal path, a vertical path, and a diagonal path for all grids, an end point is generated from the starting point of the grid graph via one or more of a horizontal path, a vertical path, and a diagonal path. A route that leads to the route, and a route that maximizes the sum total of the values set for any one or more of the horizontal route, the vertical route, and the diagonal route,
2. The access prevention apparatus according to claim 1, wherein a quotient is obtained by dividing the total value of the obtained route routes by the number of characters of the regular URL, and the obtained quotient is set as a similarity between the regular URL and the comparison target URL.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004289860A JP4545540B2 (en) | 2004-10-01 | 2004-10-01 | Access prevention device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004289860A JP4545540B2 (en) | 2004-10-01 | 2004-10-01 | Access prevention device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006106928A JP2006106928A (en) | 2006-04-20 |
JP4545540B2 true JP4545540B2 (en) | 2010-09-15 |
Family
ID=36376626
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004289860A Expired - Fee Related JP4545540B2 (en) | 2004-10-01 | 2004-10-01 | Access prevention device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4545540B2 (en) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100885634B1 (en) | 2006-09-22 | 2009-02-26 | 주식회사 소프트런 | Method of verifying web site and mail for phishing prevention, and media that can record computer program for method thereof |
KR100788904B1 (en) | 2006-12-06 | 2007-12-27 | 한국전자통신연구원 | System for authentication of confidence link and method for authentication and indicating authentication thereof |
JP5026781B2 (en) * | 2006-12-25 | 2012-09-19 | キヤノンソフトウェア株式会社 | Information processing apparatus, pop-up window display control method, program, and recording medium |
JP2009230662A (en) * | 2008-03-25 | 2009-10-08 | Kddi Corp | Web-site determination device and web-site determination program |
CN101504673B (en) * | 2009-03-24 | 2011-09-07 | 阿里巴巴集团控股有限公司 | Method and system for recognizing doubtful fake website |
JP4991786B2 (en) | 2009-04-17 | 2012-08-01 | 株式会社東芝 | Content playback apparatus and content playback method |
US20120047262A1 (en) | 2009-04-27 | 2012-02-23 | Koninklijke Kpn N.V. | Managing Undesired Service Requests in a Network |
JP2011237979A (en) * | 2010-05-10 | 2011-11-24 | Kddi Corp | Terminal, device, method and program for website determination |
WO2012043650A1 (en) * | 2010-09-29 | 2012-04-05 | 楽天株式会社 | Display program, display device, information processing method, recording medium, and information processing device |
JP5753302B1 (en) * | 2014-08-25 | 2015-07-22 | 株式会社 ディー・エヌ・エー | Program, method and system for warning access to web page |
CN107526967B (en) * | 2017-07-05 | 2020-06-02 | 阿里巴巴集团控股有限公司 | Risk address identification method and device and electronic equipment |
JP6947307B2 (en) * | 2018-07-25 | 2021-10-13 | 日本電信電話株式会社 | Analytical equipment, analysis method and analysis program |
JP7131621B2 (en) * | 2018-09-26 | 2022-09-06 | 日本電気株式会社 | Information processing device, control method, and program |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002157366A (en) * | 2000-11-17 | 2002-05-31 | Katsuyoshi Nagashima | System for checking home page pretension using internet and method for the same |
JP2002312395A (en) * | 2001-04-17 | 2002-10-25 | Canon Inc | Information processing device, origin information displaying method, program, and storage medium |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2354993C (en) * | 2001-08-10 | 2010-11-09 | Ibm Canada Limited-Ibm Canada Limitee | Method of indicating links to external urls |
-
2004
- 2004-10-01 JP JP2004289860A patent/JP4545540B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002157366A (en) * | 2000-11-17 | 2002-05-31 | Katsuyoshi Nagashima | System for checking home page pretension using internet and method for the same |
JP2002312395A (en) * | 2001-04-17 | 2002-10-25 | Canon Inc | Information processing device, origin information displaying method, program, and storage medium |
Also Published As
Publication number | Publication date |
---|---|
JP2006106928A (en) | 2006-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5254656B2 (en) | Client-side protection through referrer checks against drive-by farming | |
CN101390068B (en) | Client side attack resistant phishing detection | |
JP4950606B2 (en) | COMMUNICATION SYSTEM, SECURITY MANAGEMENT DEVICE, AND ACCESS CONTROL METHOD | |
US7690035B2 (en) | System and method for preventing fraud of certification information, and recording medium storing program for preventing fraud of certification information | |
US8335929B2 (en) | Communication across domains | |
JP5430692B2 (en) | Security management apparatus, communication system, and access control method | |
US7930289B2 (en) | Methods and systems for providing improved security when using a uniform resource locator (URL) or other address or identifier | |
US8438642B2 (en) | Method of detecting potential phishing by analyzing universal resource locators | |
US8775524B2 (en) | Obtaining and assessing objective data ralating to network resources | |
JP4545540B2 (en) | Access prevention device | |
US20080301766A1 (en) | Content processing system, method and program | |
US20080244715A1 (en) | Method and apparatus for detecting and reporting phishing attempts | |
US20090328208A1 (en) | Method and apparatus for preventing phishing attacks | |
KR20090019451A (en) | The method and apparatus for alarming phishing and pharming | |
JP2007287124A (en) | Phishing prevention method through analysis of internet website to be accessed and storage medium storing computer program for executing its method | |
WO2009111224A1 (en) | Identification of and countermeasures against forged websites | |
US7974956B2 (en) | Authenticating a site while protecting against security holes by handling common web server configurations | |
KR20090014507A (en) | System for verifying ip address of web-site and method thereof | |
JP4564916B2 (en) | Phishing fraud countermeasure method, terminal, server and program | |
JP4429971B2 (en) | Legitimate site verification method, apparatus, and program | |
US9407657B2 (en) | User terminal, unauthorized site information management server, and method and program for blocking unauthorized request | |
US9148444B2 (en) | Rotation of web site content to prevent e-mail spam/phishing attacks | |
JP2019194832A (en) | System and method for detecting changes in web resources | |
JP2007133488A (en) | Information transmission source verification method and device | |
JP2020135693A (en) | Transmission control method, transmission program, and terminal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070605 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100302 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100412 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100427 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100607 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100629 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100630 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130709 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |