JP4612535B2 - 正当サイト検証手法におけるホワイトリスト収集方法および装置 - Google Patents
正当サイト検証手法におけるホワイトリスト収集方法および装置 Download PDFInfo
- Publication number
- JP4612535B2 JP4612535B2 JP2005349214A JP2005349214A JP4612535B2 JP 4612535 B2 JP4612535 B2 JP 4612535B2 JP 2005349214 A JP2005349214 A JP 2005349214A JP 2005349214 A JP2005349214 A JP 2005349214A JP 4612535 B2 JP4612535 B2 JP 4612535B2
- Authority
- JP
- Japan
- Prior art keywords
- company name
- url
- company
- list
- whitelist
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明はネットワークセキュリティに関し、特にフィッシング詐欺対策方法に関する。
昨今のネットワーク技術の発達に伴い、メールやWebなどのネットワークツールを利用して、氏名・年齢・住所・電話番号などの個人情報や、クレジットカード番号・ID・パスワードなどの信用情報を盗むフィッシング詐欺が多発するようになってきた。
フィッシング詐欺は個人情報の確認や修正を要求する内容のメールを始めとすることが多い。同メールは、あたかも有名な銀行やクレジットカード会社が送信したかのように装い、受信者にWebサイトにおいて個人情報の入力・修正などを要求し、そのURLが記載されている。当該URLは偽のURLであるが、当該URLの画面は正規のサイトに酷似していたり、アドレスバーが詐称されていたりして、利用者にフィッシング詐欺サイトだと気づかれないよう装っている。図4にこの流れを示す。
このようなフィッシング詐欺への対策として様々な技術が提案されている。
CoreStreet社のSpoofStickは、Webブラウザのツールバーに接続しているサイト名を巨大に表示する手法を取ることで利用者の注意を喚起し、IPアドレスだけといった嫌疑サイトが分かり易いようにしている(非特許文献1)。
Deepnet Technologies社のDeepnet Explorerは、フィッシングサイトとしてブラックリストに載ったサイトを閲覧しようとした場合や、IPアドレスだけなどのイレギュラーなURLサイトを閲覧しようとした場合には、ポップアップダイアログにて利用者の注意を喚起する手法を採用している(非特許文献2)。
Netscape社のNetscape 8.0は、ブラックリストを用いてフィッシング詐欺サイトを排除する手法を採用している(非特許文献3)。
これらの技術においてはブラックリストを用いてフィッシングサイトの疑いのあるサイトへの接続を防ごうとしているが、以下の理由によりブラックリストを用いた方式の危険性が考えられる。
・全てのフィッシングサイトをインタネット上から発見することは非常に困難
・フィッシングサイトがonlineになってから、それを発見し、ブラックリストに登録するまでには一定の期間が必要である。しかし、フィッシングサイトの平均寿命は6日未満であり、あるフィッシングサイトがブラックリストに登録されてからオフラインとなり消滅するまでの「ブラックリスト有効期間」が非常に短い、またはブラックリスト登録がフィッシングサイト消滅後になる可能性が高い。
・ブラックリストに無いサイトは「危険ではない」と判断されるため、上記のような理由でブラックリストに未登録のフィッシングサイトに対しては効果が全くなく、ブラックリストとのマッチングが失敗(リストに存在しない)した場合にFail Outなシステムとなっている。
・全てのフィッシングサイトをインタネット上から発見することは非常に困難
・フィッシングサイトがonlineになってから、それを発見し、ブラックリストに登録するまでには一定の期間が必要である。しかし、フィッシングサイトの平均寿命は6日未満であり、あるフィッシングサイトがブラックリストに登録されてからオフラインとなり消滅するまでの「ブラックリスト有効期間」が非常に短い、またはブラックリスト登録がフィッシングサイト消滅後になる可能性が高い。
・ブラックリストに無いサイトは「危険ではない」と判断されるため、上記のような理由でブラックリストに未登録のフィッシングサイトに対しては効果が全くなく、ブラックリストとのマッチングが失敗(リストに存在しない)した場合にFail Outなシステムとなっている。
そこで、安全と考えられるサイトを登録するホワイトリスト方式が提案されている(非特許文献4、非特許文献5)。
http://www.corestreet.com/spoofstick/ http://www.deepnetexplorer.com/ http://browser.netscape.com/nsb/support/relnotes.jsp SecureBrain 社のPhishWall、http://www.securebrain.co.jp/products/phishwall/index.html NetMove 社のnProtect Netizen、http://nprotect.jp/netizen/
http://www.corestreet.com/spoofstick/ http://www.deepnetexplorer.com/ http://browser.netscape.com/nsb/support/relnotes.jsp SecureBrain 社のPhishWall、http://www.securebrain.co.jp/products/phishwall/index.html NetMove 社のnProtect Netizen、http://nprotect.jp/netizen/
しかしながら、これらのホワイトリスト方式では、ホワイトリストを収集する手法が課題となる。上記のSecureBrain社、NetMove社とも特定の企業と契約することで、その企業のサイトをホワイトリストに登録する手法を採っている。しかし、エンドユーザの視点では、小数の契約企業のサイトだけではなく、より多くのサイトに対してホワイトリストを発行することが望まれる。
また、従来の手法では、契約企業のサイト構成を把握し、ユーザ端末に対してそれを証明する役割のセンタが必要であり、一定の運用コストが必須である。
本発明の目的は、ホワイトリスト管理・証明用のセンタが不用なホワイトリスト収集方法および装置を提供することにある。
上記目的を達成するために、本発明のホワイトリスト収集方法は、
利用者が受信したメールの文章を解析して企業の正当サイトのURLホワイトリストを作成する、ホワイトリスト収集装置で行なわれるホワイトリスト収集方法であって、
企業名抽出部が前記メールから企業名を抽出し、取得企業名リストを作成するステップと、
URL解析部が前記メールからURLを抽出するステップと、
リンク企業名解析部が、抽出された各URLおよびそれらのメール内の位置関係から、抽出された企業名のうち当該URLと関係の深い企業名を抽出するステップと、
Webサイト取得・解析部が、取得企業名リストに含まれる企業名による検索を行い、検索結果である当該企業のトップページURLおよびそこから辿った範囲のURLを、当該企業の正当サイトのホワイトリストとして抽出するステップと
を有する。
利用者が受信したメールの文章を解析して企業の正当サイトのURLホワイトリストを作成する、ホワイトリスト収集装置で行なわれるホワイトリスト収集方法であって、
企業名抽出部が前記メールから企業名を抽出し、取得企業名リストを作成するステップと、
URL解析部が前記メールからURLを抽出するステップと、
リンク企業名解析部が、抽出された各URLおよびそれらのメール内の位置関係から、抽出された企業名のうち当該URLと関係の深い企業名を抽出するステップと、
Webサイト取得・解析部が、取得企業名リストに含まれる企業名による検索を行い、検索結果である当該企業のトップページURLおよびそこから辿った範囲のURLを、当該企業の正当サイトのホワイトリストとして抽出するステップと
を有する。
本発明では、フィッシング詐欺の発端となるフィッシングメールの内容を解析して詐称先企業名を割り出し、インタネット上の検索エンジンを利用して当該企業名から当該企業名の正規サイトを発見し、そのサイトをクロールして情報を集めることで、ホワイトリストをユーザ端末が自動的に取得するものである。
ユーザ端末が受信したメールの情報と検索サイトを用いてホワイトリストを構築するため、従来のホワイトリストでは必須であったホワイトリスト管理・証明用のセンタが不要となり、運用コスト削減に資する。
次に、本発明の実施の形態について図面を参照して説明する。
図1は本発明の一実施形態によるホワイトリスト収集装置のブロック図、図2は図1のホワイトリスト収集装置の処理の流れを示すフローチャートである。
本実施形態のホワイトリスト収集装置はメール解析部1とホワイトリスト構築部2で構成されている。
メール解析部1は、利用者が受信したメール3を解析し、メール3中に現れる企業名およびメール中のURLと結びつく企業名を解析・抽出し、取得企業名リスト14およびリンク企業名リスト18を作成するもので、URLルール辞書11とURL解析部12と企業名ルール辞書13と企業名リスト14と企業名解析部15と取得企業名リスト16とリンク企業名解析部17とリンク企業名リスト18で構成されている。
企業名解析部15は、企業名ルール辞書13および企業名リスト14を用いてメールヘッダとメールボディ(ヘッダ以外)から企業名を抽出する(ステップ101)。企業名ルール辞書13は、例えば正規表現で記述されており、表1、表2に示すように、「変数名リスト」と「ルールリスト」から構成される。
企業名解析部15は「変数名リスト」に記載されている“変数値”を“変数名”で記憶する。そして「ルールリスト」に記載されている各“ルール”の変数を、記憶した“変数名”−“変数値”の組で展開する。そして、入力である、メールヘッダとメールボディに対して“ルール”を用いて企業名を抽出する。なお、表2に示す例では、正規表現解析対象である入力は“$_”に代入されているとしている。そして、“企業名変数”に格納される抽出された企業名を取得企業名リスト16に登録する(ステップ102)。例として表1に示す変数v1、v2、v3は、それぞれEUC JP Encodingの「全角アルファベット」「半角アルファベット」「全角カタカナ」を示し、表2に示すルールr1、r2、r3は、それぞれ「3文字以上の連続する全角アルファベット」「3文字以上の連続する半角アルファベット」「3文字以上の連続する全角カタカナ」を企業名として抽出するルール例である。
表3に企業名リスト14の表記例を示す。
“企業名”およびその“別名(エイリアス)”から構築されており、“企業名”または“別名”に合致する文字列をメールヘッダとメールボディに見つけた場合には、それを取得企業名リスト16に登録する。なお、“別名”で抽出された場合には、その“別名”の“企業名”で取得企業名リスト16に登録されることで、複数の書き方が乱立した場合でも統合することが可能となる。さらに、企業名ルール辞書13を用いて抽出された企業名についても企業名リスト14との照合を行い、それが“別名”として登録されている場合には、その“別名”の“企業名”で取得企業名リスト16に登録が行われる。取得企業名リスト16の表記例を表4に示す。
企業名解析部15により抽出された企業名とその企業名が現れる位置(行数とその行の何文字目か)が記憶されている。
一方、URL解析部12は、メールヘッダとメールボディの中からリンクとなるURLと思われる文字列を抽出する(ステップ103)。表5にURL解析部12が利用するURLルール辞書11の記述例を示す。図3の例では、「http://」または「https://」または「ftp://」で始まるアドレスをURLであると定義している。
URL解析部12は抽出したURLをリンク企業名解析部17に通知する。
リンク企業名解析部17は、取得企業名リスト16とURL解析部12から通知されるURLリストおよびそれらの位置を用いて、各URLとそれが指し示す企業名との関係を求める(ステップ104)。例えば、メールヘッダのSubjectに記載されている企業名は+20点、当該URL前5行以内に出現する企業名は+10点、メール末尾に記載されている企業名は+15点などのルールに基づき得点が合算され、各URLに対して関係があると考えられる企業名のリストとその得点を抽出し、リンク企業名リスト18に格納される(ステップ105)。リンク企業名リスト18の記述例を表6に示す。
ホワイトリスト構築部2はホワイトリストを構築するもので、Webサイト取得・解析部21とホワイトリスト22から構成される。
Webサイト取得・解析部21は取得企業名リスト16にある企業名に対応するサイトを検索・収集してホワイトリスト22を作成する。Webサイト取得・解析部21は、取得企業名リスト16の“抽出企業名”を用いて、インタネット上の検索サイトで検索処理を行う(ステップ106)。そして、検索結果のトップを当該企業のホームページであるとして取得し(ステップ107)、ホワイトリスト22にトップページとして登録する(ステップ108)。次に、トップページのソースを解析し、トップページからリンクが張られているページを取得する。そして、さらにそのページのリンクについても同様に回帰的にページを取得してゆく。ただし、トップページのURLを解析し、そのURLと関係のあるページまでしか取得しないこととする。“関係のある”とは、例えば以下のような定義に基づく。
・トップページと同じドメイン内であれば関係があるとする。
・トップページと同じドメインであっても、トップページが「http://www.isp.ne.jp/〜username/」などの“〜(チルダ)”を利用している場合には、チルダの示すアカウント名のディレクトリ配下は関係があるとする。
・トップページと同じドメイン内であれば関係があるとする。
・トップページと同じドメインであっても、トップページが「http://www.isp.ne.jp/〜username/」などの“〜(チルダ)”を利用している場合には、チルダの示すアカウント名のディレクトリ配下は関係があるとする。
ホワイトリスト登録処理例を図3に示す。他ドメインであっても同一ドメインからリンクが1ホップにあるURLは信頼して「ホワイトリスト」に登録するが、2ホップ以上についてはホワイトリストには登録しない。ただし、図3に示すようにリンクを辿る経路において再び同一ドメインとなった場合は「ホワイトリスト」に登録するものとする。
「ホワイトリスト」の記述例を表7、表8に示す。
1 メール解析部
2 ホワイトリスト構築部
11 URLルール辞書
12 URL解析部
13 企業名ルール辞書
14 企業名リスト
15 企業名解析部
16 取得企業名リスト
17 リンク企業名解析部
18 リンク企業名リスト
21 Webサイト取得・解析部
22 ホワイトリスト
101〜108 ステップ
2 ホワイトリスト構築部
11 URLルール辞書
12 URL解析部
13 企業名ルール辞書
14 企業名リスト
15 企業名解析部
16 取得企業名リスト
17 リンク企業名解析部
18 リンク企業名リスト
21 Webサイト取得・解析部
22 ホワイトリスト
101〜108 ステップ
Claims (7)
- 利用者が受信したメールの文章を解析して企業の正当サイトのURLホワイトリストを作成する、ホワイトリスト収集装置で行なわれるホワイトリスト収集方法であって、
企業名抽出部が前記メールから企業名を抽出し、取得企業名リストを作成するステップと、
URL解析部が前記メールからURLを抽出するステップと、
リンク企業名解析部が、抽出された各URLおよび抽出された各企業名のメール内の位置関係に基づき、各URLごとに、前記取得企業名リストに含まれる、抽出された各企業名に得点を合算し、その得点に応じて企業名を抽出するステップと、
Webサイト取得・解析部が、前記取得企業名リストに含まれる企業名による検索を行い、検索結果である当該企業のトップページURLおよびそこから辿った範囲のURLを、当該企業の正当サイトのホワイトリストとして抽出するステップと
を有するホワイトリスト収集方法。 - 前記企業名を抽出し、取得企業名リストを作成するステップは、企業名およびその企業名の別名が記載されている企業名リストを用いて、メール内に企業名またはその別名がある場合に、その企業名がメール内に存在したと判断して、その企業名および出現位置を前期取得企業名リストに記録する、請求項1に記載のホワイトリスト収集方法。
- 前記企業名を抽出し、取得企業名リストを作成するステップは、3文字以上のアルファベットまたはカタカナを企業名として抽出し、その企業名および出現位置を前記取得企業名リストに記録する、請求項1に記載のホワイトリスト収集方法。
- 前記のURLと深い関係にある企業名を抽出するステップは、メールの文章から抽出されたURLと、前記取得企業名リストを照合し、メール文章内におけるURLの出現位置および取得企業名の出現位置から、当該URLに対する取得企業名の重み付けを行い、リンク企業名リストに登録する、請求項2または3に記載のホワイトリスト収集方法。
- 前記当該会社の正当サイトのホワイトリストとして抽出するステップは、前記取得企業名リストの各企業名に対して、インタネット上の検索サイトによる検索を行い、検索結果最上位のURLを当該企業のトップページであるとし、当該トップページから一定の範囲のリンクに対して、当該企業の正規サイトとしてホワイトリストに登録する、請求項2または3に記載のホワイトリスト収集方法。
- 前記ホワイトリストへの登録範囲として、トップページを基準として同一ドメイン内および同一ドメインから1ホップ内のURLを登録対象とする、請求項5に記載のホワイトリスト収集方法。
- 利用者が受信したメールの文章を解析して企業の正当サイトのURLホワイトリストを作成する、ホワイトリスト収集装置であって、
前記メールから企業名を抽出し、取得企業名リストを作成する企業名抽出部と、
前記メールからURLを抽出するURL解析部と、
抽出された各URLおよび抽出された各企業名のメール内の位置関係に基づき、各URLごとに、抽出された各企業名に得点を合算し、その得点に応じて企業名を抽出するリンク企業名解析部と、
検索サイトで抽出した企業名による検索を行い、検索結果である当該企業のトップページURLおよびそこから辿った範囲のURLを、当該企業の正当サイトのホワイトリストとして抽出するWebサイト取得・解析部と
を有するホワイトリスト収集装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005349214A JP4612535B2 (ja) | 2005-12-02 | 2005-12-02 | 正当サイト検証手法におけるホワイトリスト収集方法および装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005349214A JP4612535B2 (ja) | 2005-12-02 | 2005-12-02 | 正当サイト検証手法におけるホワイトリスト収集方法および装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007156697A JP2007156697A (ja) | 2007-06-21 |
| JP4612535B2 true JP4612535B2 (ja) | 2011-01-12 |
Family
ID=38241001
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005349214A Expired - Fee Related JP4612535B2 (ja) | 2005-12-02 | 2005-12-02 | 正当サイト検証手法におけるホワイトリスト収集方法および装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4612535B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4564916B2 (ja) * | 2005-12-02 | 2010-10-20 | 日本電信電話株式会社 | フィッシング詐欺対策方法、端末、サーバ及びプログラム |
| JP2009086960A (ja) * | 2007-09-28 | 2009-04-23 | Nippon Digital Kenkyusho:Kk | Urlフィルタ設定方法、クライアント装置、端末装置、クライアントサーバシステムおよびurlフィルタ設定プログラム |
| JP2009290469A (ja) * | 2008-05-28 | 2009-12-10 | Hideaki Watanabe | ネットワーク通信システム |
| KR100960511B1 (ko) | 2008-09-12 | 2010-06-01 | 주식회사 엔씨소프트 | 화이트리스트를 이용한 검색엔진 및 검색방법 |
| CN101504673B (zh) * | 2009-03-24 | 2011-09-07 | 阿里巴巴集团控股有限公司 | 一种识别疑似仿冒网站的方法与系统 |
| KR101067650B1 (ko) | 2009-11-09 | 2011-09-29 | 한국과학기술원 | 화이트리스트 구축 시스템 |
| US20130091580A1 (en) * | 2011-10-11 | 2013-04-11 | Mcafee, Inc. | Detect and Prevent Illegal Consumption of Content on the Internet |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003046764A1 (fr) * | 2001-11-26 | 2003-06-05 | Fujitsu Limited | Procede et appareil d'analyse d'informations |
| JP2005135024A (ja) * | 2003-10-28 | 2005-05-26 | Kazunori Ando | 迷惑メール遮断方法及び迷惑メール遮断プログラム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8769671B2 (en) * | 2004-05-02 | 2014-07-01 | Markmonitor Inc. | Online fraud solution |
-
2005
- 2005-12-02 JP JP2005349214A patent/JP4612535B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003046764A1 (fr) * | 2001-11-26 | 2003-06-05 | Fujitsu Limited | Procede et appareil d'analyse d'informations |
| JP2005135024A (ja) * | 2003-10-28 | 2005-05-26 | Kazunori Ando | 迷惑メール遮断方法及び迷惑メール遮断プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007156697A (ja) | 2007-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7739337B1 (en) | Method and apparatus for grouping spam email messages | |
| JP4612535B2 (ja) | 正当サイト検証手法におけるホワイトリスト収集方法および装置 | |
| US9762612B1 (en) | System and method for near real time detection of domain name impersonation | |
| EP1863240B1 (en) | Method and system for phishing detection | |
| US20180027013A1 (en) | Methods for preventing cyber intrusions and phishing activity | |
| US8904168B1 (en) | Email link rewriting with verification of link destination | |
| KR100935776B1 (ko) | 네트워크 어드레스 평가 방법, 컴퓨터 판독 가능한 기록 매체, 컴퓨터 시스템, 네트워크 어드레스 액세스 방법, 컴퓨터 인프라를 활용하는 방법 및 기업의 네트워크 통신 트래픽의 분석을 수행하는 방법 | |
| US20160063541A1 (en) | Method for detecting brand counterfeit websites based on webpage icon matching | |
| US20170359368A1 (en) | Identifying malicious identifiers | |
| US20120304295A1 (en) | Method and Apparatus for Detecting Computer Fraud | |
| KR100848319B1 (ko) | 웹 구조정보를 이용한 유해 사이트 차단 방법 및 장치 | |
| CN103810268B (zh) | 加载搜索结果推荐信息、网址检测的方法、装置和系统 | |
| EP1969468A4 (en) | EMAIL ANTI-PHISHING INSPECTOR | |
| Geng et al. | Favicon-a clue to phishing sites detection | |
| Banerjee et al. | SUT: Quantifying and mitigating url typosquatting | |
| US20190268373A1 (en) | System, method, apparatus, and computer program product to detect page impersonation in phishing attacks | |
| Geng et al. | Combating phishing attacks via brand identity and authorization features | |
| WO2018213574A1 (en) | System, method and domain name tokenization for domain name impersonation detection | |
| Banerjee et al. | Cyber-fraud is one typo away | |
| JP4429971B2 (ja) | 正当サイト検証方法、装置、およびプログラム | |
| CN112948725A (zh) | 基于机器学习的钓鱼网站url检测方法及系统 | |
| Fang et al. | A proactive discovery and filtering solution on phishing websites | |
| Sampat et al. | Detection of phishing website using machine learning | |
| Al Helou et al. | Multilingual web sites: Internationalized Domain Name homograph attacks | |
| Lasota et al. | Analysis of the similarities in malicious DNS domain names |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080212 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100520 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100602 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100629 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101006 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101015 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131022 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |