JP5805585B2 - 中継サーバおよび代理アクセス方法 - Google Patents

中継サーバおよび代理アクセス方法 Download PDF

Info

Publication number
JP5805585B2
JP5805585B2 JP2012117568A JP2012117568A JP5805585B2 JP 5805585 B2 JP5805585 B2 JP 5805585B2 JP 2012117568 A JP2012117568 A JP 2012117568A JP 2012117568 A JP2012117568 A JP 2012117568A JP 5805585 B2 JP5805585 B2 JP 5805585B2
Authority
JP
Japan
Prior art keywords
access
address information
storage unit
mail
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012117568A
Other languages
English (en)
Other versions
JP2013246474A (ja
Inventor
斉藤 典明
典明 斉藤
榮太朗 塩治
榮太朗 塩治
裕平 川古谷
裕平 川古谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2012117568A priority Critical patent/JP5805585B2/ja
Publication of JP2013246474A publication Critical patent/JP2013246474A/ja
Application granted granted Critical
Publication of JP5805585B2 publication Critical patent/JP5805585B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、中継サーバおよび代理アクセス方法に関する。
従来、悪性サイトへのアクセスを防止するために、事前に定義されたネットワーク上のアクセス拒否リストを用いて、悪性サイトへのアクセスを制限する方法が知られている。また、ネットワーク上またはユーザ端末上のメールフィルタリング機能やアンチウィルス機能によって悪性電子メールの着信やコンピュータウィルスがユーザ端末に侵入してこないようにする技術も知られている。
また、一見正しい特徴をもった不審な電子メールは、ネットワーク上のアクセス拒否リストやユーザ端末上のアンチウィルス機能やスパムメールフィルタリング機能などをすり抜けるように作られている。このため、このような悪性電子メールについて、電子メール送信者の電子メールアドレスや電子メールに記載のURLを目視により判断し、悪性電子メールだと判断したものについては、アクセスをしないようにする対策も行われている。
"IPAテクニカルウォッチ 標的型攻撃メールの分析に関するレポート"、[online]、[平成24年5月18日検索]、インターネット<http://www.ipa.go.jp/about/technicalwatch/pdf/111003report.pdf> "アクセスコントロール"、[online]、[平成24年5月18日検索]、インターネット<http://squid.robata.org/faq_10.html> "標的型攻撃 [Japan IT Week 春]マクニカがゼロデイ攻撃検知装置を展示、プロキシとの連携防御も"、[online]、[平成24年5月18日検索]、インターネット<http://itpro.nikkeibp.co.jp/article/NEWS/20110513/360315/> "Emails MPS(入口対策)"、[online]、[平成24年5月18日検索]、インターネット<http://www.macnica.net/fireeye/emailmps.html/>
しかしながら、従来の悪性サイトへのアクセスを防止する技術では、悪性サイトであるかを迅速に判断することができず、アクセスを適切に制限することができないという課題があった。つまり、上記したアクセス拒否リストやアンチウィルス機能、スパムメールフィルタリング機能では、悪性と判定されるアドレスやファイルを事前に集めてその特徴から定義ファイルを作成する必要がある。このため、アクセス拒否リストや悪性な情報をフィルタリングするための悪性リストを作成するために膨大な時間がかかる場合があり、悪性サイトであるかを迅速に判断してアクセスを適切に制限することができなかった。
また、一見正しい特徴をもった不審な電子メールは、これらの機能をすり抜けるために、アクセス拒否リストやスパムメールフィルタリングやアンチウィルス機能の定義に登録されていないアドレスを用いてユーザ端末に電子メールを送信し、悪性サイトからコンピュータウィルスなどをダウンロードさせるように作られており、ネットワークやユーザ端末における事前定義型の防御機能では防止できない場合が多く存在する。このため、悪性サイトであるかを迅速に判断してアクセスを適切に制限することができなかった。
また、目視により不審な電子メールやアクセス先を判断する方法では、悪性電子メールは一見正しい特徴を持たせることによりユーザを惑わせるように仕組まれているため一定の確率でユーザが悪性サイトへ誘導される、または電子メール内のユーザの確認が及ばない場所に自動的に外部のサイトへアクセスを行うことがあった。このため、目視による判断だけでは、悪性サイトであるかを迅速に判断することができず、アクセスを適切に制限することができなかった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、悪性サイトであるかを迅速に判断してアクセスを適切に制限することを目的とする。
上述した課題を解決し、目的を達成するため、中継サーバは、ユーザ端末への電子メールのなかにインターネットにアクセスするためのアドレス情報が含まれているか検索し、前記電子メール内にアドレス情報が含まれている場合には、該アドレス情報を抽出する抽出部と、前記抽出部によって抽出されたアドレス情報を記憶部に登録する登録部と、前記ユーザ端末からインターネットへのアクセス要求を受信した際に、該アクセス要求のなかに前記記憶部に記憶されたアドレス情報が含まれているか検索し、アドレス情報が含まれている場合には、該アドレス情報を外部装置に転送し、該アドレス情報を用いたアクセスを前記外部装置に実行させる転送部と、前記外部装置から前記アドレス情報を用いたアクセスを実行した結果得られた画面イメージを受信し、該画面イメージを前記ユーザ端末に送信する送信部と、を備えることを特徴とする。
また、代理アクセス方法は、ユーザ端末への電子メールのなかにインターネットにアクセスするためのアドレス情報が含まれているか検索し、前記電子メール内にアドレス情報が含まれている場合には、該アドレス情報を抽出する抽出工程と、前記抽出工程によって抽出されたアドレス情報を記憶部に登録する登録工程と、前記ユーザ端末からインターネットへのアクセス要求を受信した際に、該アクセス要求のなかに前記記憶部に記憶されたアドレス情報が含まれているか検索し、アドレス情報が含まれている場合には、該アドレス情報を外部装置に転送し、該アドレス情報を用いたアクセスを前記外部装置に実行させる転送工程と、前記外部装置から前記アドレス情報を用いたアクセスを実行した結果得られた画面イメージを受信し、該画面イメージを前記ユーザ端末に送信する送信工程と、を含んだことを特徴とする。
本願に開示する中継サーバおよび代理アクセス方法は、悪性サイトであるかを迅速に判断してアクセスを適切に制限することができるという効果を奏する。
図1は、第一の実施の形態に係る通信システムの全体構成の一例を説明するための図である。 図2は、第一の実施の形態に係るプロキシサーバの構成の一例を示すブロック図である。 図3は、電子メールのフォーマットの一例を示す図である。 図4は、アクセス転送リストの一例を示す図である。 図5は、アクセス規制またはアクセス許容するべきURLのパターンの記述の一例を示す図である。 図6は、電子メールから抽出可能なアドレスの一例を示す図である。 図7は、電子メールからアドレスを抽出することができる場所の一例を示す図である。 図8は、第一の実施の形態に係る通信システムにおける処理の流れの一例を示すシーケンス図である。 図9は、従来の通信システムにおける処理の流れの一例を示すシーケンス図である。 図10は、第一の実施の形態に係るプロキシサーバによる抽出処理の流れの一例を説明するためのフローチャートである。 図11は、第一の実施の形態に係るプロキシサーバによる登録処理の流れの一例を説明するためのフローチャートである。 図12は、第一の実施の形態に係るプロキシサーバによる中継処理の流れの一例を説明するためのフローチャートである。 図13は、代理アクセスプログラムを実行するコンピュータを示す図である。
以下に、本願に係る中継サーバおよび代理アクセス方法の実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願に係る中継サーバおよび代理アクセス方法が限定されるものではない。
[第一の実施の形態]
以下の実施の形態では、第一の実施の形態に係る通信システムの構成、プロキシサーバの構成および処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
[第一の実施の形態に係る通信システムの構成]
まず、図1を用いて、第一の実施の形態に係る通信システム100について説明する。図1は、第一の実施の形態に係る通信システム100の全体構成の一例を説明するための図である。通信システム100では、プロキシサーバ10とセキュアプロキシサーバ20とユーザ端末30とメールサーバ40とがローカルエリアネットワーク80に接続され、インターネット90上には悪質メール送信端末50と悪質Webサーバ60が存在し、ローカルエリアネットワーク80がファイアーウォール70を介してインターネット90に接続されている。
プロキシサーバ10は、ユーザ端末30からインターネット90へのWebアクセスを中継するサーバであり、通信処理部11、制御部12、記憶部13を有する。なお、プロキシサーバ10の詳しい構成や処理については、図2等を用いて後に詳述する。
セキュアプロキシサーバ20は、インターネット90へのユーザ端末30のアクセスを代行することで、インターネット90へのアクセスをユーザ端末30と切り離し、ユーザ端末30の安全なアクセス処理を実現する。また、セキュアプロキシサーバ20は、通信処理部21、VM(Virtual Machine)22、Webブラウザ23、およびVM制御部24を有する。
通信処理部21は、プロキシサーバ10との間で行われる通信処理を制御する。VM22には、ユーザ端末30内のWebブラウザ32と連動して動作するWebブラウザ23がある。VM制御部24は、VM22の生成および消去を制御する。
ユーザ端末30は、電子メールの受信およびWebアクセスが可能な端末であり、通信処理部31、Webブラウザ32、メール受信部33を有する。通信処理部31は、プロキシサーバ10との間で行われる通信処理を制御する。Webブラウザ32は、Webページを閲覧するためのアプリケーションソフトである。メール受信部33は、メールサーバ40から転送されたメールを受信する。
メールサーバ40は、インターネット90からの電子メールをユーザ端末30に転送するサーバであり、通信処理部41、メール中継部42を有する。通信処理部41は、ユーザ端末30との間で行われる通信処理を制御する。メール中継部42は、インターネット90からの電子メールをユーザ端末30に転送すると共に、該電子メールをプロキシサーバ10に転送する。
悪質メール送信端末50は、悪質なメールを送信する端末であり、例えば、一見正しい特徴をもった不審な電子メールである標的型攻撃メールをユーザ端末30に対して送信する。悪質Webサーバ60は、悪質メール送信端末50によって送信された電子メールにより誘導される悪性サイトを運営するサーバである。
[第一の実施の形態に係るプロキシサーバの構成]
次に、図2を用いて、図1に示したプロキシサーバ10の構成を説明する。図2は、第一の実施の形態に係るプロキシサーバの構成を示すブロック図である。図2に示すように、このプロキシサーバ10は、通信処理部11、制御部12、記憶部13を有し、図示しないローカルエリアネットワーク80と接続される。以下にこれらの各部の処理を説明する。
通信処理部11は、接続されるセキュアプロキシサーバ20、ユーザ端末30およびメールサーバ40との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部11は、電子メールをメールサーバ40から受信し、Webアクセスの要求をユーザ端末30から受信し、セキュアプロキシサーバ20にユーザ端末30に代行してアクセスするアクセス先のURLを送信し、Web画面イメージをセキュアプロキシサーバ20から受信し、また、ユーザ端末30にWeb画面イメージを送信する。
ここで、電子メールの構成について図3の例を用いて説明する。図3は、電子メールのフォーマットの一例を示す図である。図3に例示するように、一つの電子メール301は、一つのファイルから構成されており、電子メールのヘッダ部分302、電子メール本文303、添付ファイル304から構成される。後述する抽出部12bでは、電子メール本文および添付ファイルに対する文字パターンによりURL305を抽出する。
記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、アクセス転送リスト記憶部13a、アクセス規制URLパターン記憶部13bおよびアクセス許容URLパターン記憶部13cを有する。
アクセス転送リスト記憶部13aは、ユーザ端末30への電子メールのなかに含まれるインターネット90にアクセスするためのアドレス情報のうち、アクセスを制限するべきアドレス情報を記憶する。例えば、アクセス転送リスト記憶部13aは、図4に例示するように、電子メールから抽出したURLまたは接続先アドレスのURL形式と、電子メールから抽出したURLまたは接続先アドレスの抽出箇所と、アクセス転送リストへの登録日が記録されている。図4は、アクセス転送リストの一例を示す図である。
図4の例を挙げて具体的に説明すると、アクセス転送リスト記憶部13aは、電子メールから抽出したURLまたは接続先アドレスのURLとして、「http://www.aaa.bbb.co.jp/ccc.php?page=ddd.html」を記憶し、抽出箇所として、「POINT=PDF」を記憶し、アクセス転送リストへの登録日として「DATE=2012/03/16」を記憶する。つまり、この例では、PDFデータからURL「http://www.aaa.bbb.co.jp/ccc.php?page=ddd.html」を抽出し、「2012/03/16」に上記URLがアクセス転送リスト記憶部13aに登録されたことを意味する。
アクセス規制URLパターン記憶部13bは、アクセスが許容されないアクセス先のURLのパターンを事前に記憶する。このようなアクセス規制するべきURLのパターンは、例えば、システム管理者によって事前に登録される。
アクセス許容URLパターン記憶部13cは、アクセスが許容されるアクセス先のURLのパターンを事前に記憶する。このようなアクセス許容するべきURLのパターンは、例えば、ユーザからの事前申請を受けて登録される。
アクセス規制URLパターン記憶部13bおよびアクセス許容URLパターン記憶部13cでは、アクセス規制またはアクセス許容するべきURLの全て記述を記憶するようにしてもよいし、URLの一部の記述を記憶するようにしてもよい。
ここで、図5を用いて、アクセス規制またはアクセス許容するべきURLのパターンの記述の一例を説明する。図5は、アクセス規制またはアクセス許容するべきURLのパターンの記述の一例を示す図である。図5に示すように、URLを全て記述する方法の他に、*を用いて*以外の部分が一致するものについても一致することを許容させてもよい。アクセスを許容するべきURLパターンは、一致するURLが少なくなるように記述し、アクセスを制限するべきURLパターンは、一致するURLが多くなるように記述することにより、世の中に知られていない悪性URLであってもアクセスを防止できるようにすることが可能である。
例えば、図5の例を挙げて説明すると、「http://www.aaa.bbb.co.jp」は、URLの全て記述を記憶している例である。また、「http://*.aaa.bbb.co.jp」は、URLの一部の記述を記憶している例である。この場合には、「http://*.aaa.bbb.co.jp」の*以外が一致していても一致するものとして扱われる。
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、中継部12a、抽出部12b、登録部12c、消去部12d、転送部12eおよび送信部12fを有する。
中継部12aは、セキュアプロキシサーバ20またはユーザ端末30がWebブラウザ23、32からインターネット90へアクセスを行う際に、該アクセスの中継する処理を行う。
抽出部12bは、ユーザ端末30への電子メールのなかにインターネット90にアクセスするためのアドレス(例えば、URLや接続先アドレス)が含まれているか検索し、電子メール内にアドレス情報が含まれている場合には、該アドレス情報を抽出する。
具体的には、抽出部12bは、メールサーバ40から電子メールを受信すると、メールサーバ40が外部から受信した電子メールであるか判定する。この結果、抽出部12bは、外部から受信した電子メールである場合には、電子メール本文、添付ファイル、添付ファイル内のスクリプトの中に電子メールが参照しているURLまたは接続先アドレスを抽出する。
ここで、図6および図7を用いて、電子メールから抽出可能なアドレス、電子メールからアドレスを抽出することができる場所について説明する。図6は、電子メールから抽出可能なアドレスの一例を示す図である。図7は、電子メールからアドレスを抽出することができる場所の一例を示す図である。図6に示すように、電子メールから抽出可能なアドレスとして、URL形式のものまたはスクリプトとしてコーディングされている接続先のアドレスがある。図6の例では、URL形式のアドレスの例として、「http://www2.xxx.yyy.com/zzz.php?page=aaa.html」が記載されており、接続先のアドレスの例として、「www2.xxx.yyy.com」および「192.168.100.123」が記載されている。
また、図7に示すように、上記したメールから抽出可能なアドレスは、電子メール本文、電子メールのHTMLで記述された部分、添付ファイルのワードファイル、添付ファイルのエクセルファイル、添付ファイルのPDFファイルの本文、添付ファイル内のPDFファイルのスクリプト部分などから抽出することができる。
登録部12cは、抽出部12bによって抽出されたアドレスを記憶部13のアクセス転送リスト記憶部13aに登録する。具体的には、登録部12cは、抽出されたアドレスが、アクセス許容URLパターン記憶部13cに記憶されたアクセスを許容するべきURLパターン(転送対象外URLパターン)と一致するか判定する。この結果、登録部12cは、抽出されたアドレスが転送対象外URLパターンと一致しない場合には、アクセス規制URLパターン記憶部13bに記憶されたアクセスを制限するべきURLパターン(転送対象URLパターン)と一致するか判定する。この結果、登録部12cは、抽出されたアドレスが転送対象URLパターンと一致する場合には、抽出されたアドレスをアクセス転送リスト記憶部13aに登録する。
消去部12dは、アドレス情報が記憶部13のアクセス転送リスト記憶部13aに記憶されてから所定の時間を経過した場合には、該アドレスをアクセス転送リスト記憶部13aから消去する。
転送部12eは、ユーザ端末30からインターネット90へのアクセス要求を受信した際に、該アクセス要求のなかに記憶部13のアクセス転送リスト記憶部13aに記憶されたアドレスが含まれているか検索し、アドレスが含まれている場合には、該アドレスをセキュアプロキシサーバ20に転送し、該アドレスを用いたアクセスをセキュアプロキシサーバ20に実行させる。
送信部12fは、セキュアプロキシサーバ20からアドレスを用いたアクセスを実行した結果得られた画面イメージを受信し、該画面イメージをユーザ端末30に送信する。なお、画面イメージを受信したユーザ端末30は、該画面イメージを表示して、ユーザに閲覧可能とする。これにより、接続先のWebサーバに、世の中に知られていない悪性ソフトウェアが仕込まれていている場合であっても、セキュアプロキシサーバ20がユーザ端末30のアクセスを代行するので、ユーザ端末30が感染することなくインターネット利用を実現できることを可能とする。
[第一の実施の形態に係る通信システムによる処理]
次に、図8を用いて、第一の実施形態に係る通信システム100による処理を説明する。図8は、第一の実施の形態に係る通信システム100における処理の流れの一例を示すシーケンス図である。
図8に示すように、通信システム100において、悪質メール送信端末50は、一見正しい特徴をもった不審な電子メールである標的型攻撃メールをユーザ端末30宛てに送信する(ステップS1)。そして、メールサーバ40のメール中継部42では、ユーザ端末30宛の標的型攻撃メールを受信すると、受信したメールをプロキシサーバ10に転送する(ステップS2)。
続いて、プロキシサーバ10の抽出部12bは、電子メールを受信すると、メールに含まれるURLを抽出し、抽出したURLを分析し、アクセス転送リスト記憶部13aに反映させる(ステップS3)。つまり、プロキシサーバ10は、URLの特徴からアクセスを制限するべきと判定した際には、そのURLをアクセス転送リスト記憶部13aにURLを追加する。また、これと同時に、セキュアプロキシサーバ20のVM制御部24では、事前にVM22とVM22内のWebブラウザ23を起動して、ユーザからのアクセスに対する準備を行っている。
また、メールサーバ40のメール中継部42は、電子メールをユーザ端末30に転送する(ステップS4)。そして、ユーザ端末30では、受信した電子メール中のURLへのアクセスまたは添付ファイルを開くことにより、ユーザ端末30内のWebブラウザ32がインターネット90上の悪質Webサイトにアクセスする(ステップS5)。
そして、ユーザ端末30のWebアクセスを中継するプロキシサーバ10の転送部12eでは、アクセス先のアドレスがアクセス転送リスト記憶部13aに記憶されているアドレスと一致する場合には、セキュアプロキシサーバ20にアドレスを転送する(ステップS6)。
そして、セキュアプロキシサーバ20は、プロキシサーバ10を中継して、事前に起動されていたVM22とVM中のWebブラウザ23にユーザ端末30からのアクセスを代行させる(ステップS7)。そして、セキュアプロキシサーバ20は、Web画面を取得するとともに、マルウェアをダウンロードする(ステップS8)。そして、セキュアプロキシサーバ20は、アクセスしたWeb画面のイメージのみをプロキシサーバ10に返送する(ステップS9)。ここで、セキュアプロキシサーバ20は、悪質なプログラムであるマルウェアをダウンロードしたが、VM22内でとどめて、ユーザ端末30と切り離す。
その後、プロキシサーバ10の送信部12fは、Web画面のイメージをセキュアプロキシサーバ20から受信すると、受信したWeb画面のイメージをユーザ端末30に送信する(ステップS10)。そして、セキュアプロキシサーバ20のVM制御部24は、アクセス終了後、一定時間経過後したらVM22ごとWebブラウザ23を消去する(ステップS11)。これにより、ユーザ端末30は、悪質なプログラムをダウンロードすることによる感染が防ぐことが可能となる。
ここで、本願と従来の処理を比較するため、図9を用いて、従来の通信システムにおける処理の流れの一例を説明する。図9は、従来の通信システムにおける処理の流れの一例を示すシーケンス図である。
図9に示すように、従来では、悪質メール送信端末は、標的型攻撃メールをユーザ端末宛てに送信する(ステップS21)。そして、メールサーバでは、ユーザ端末宛の標的型攻撃メールを受信すると、受信したメールをユーザ端末に転送する(ステップS22)。
そして、ユーザ端末では、受信した電子メール中のURLへのアクセスまたは添付ファイルを開くことにより、ユーザ端末内のWebブラウザがインターネット上の悪質Webサイトにアクセスする(ステップS23)。これにより、ユーザ端末は、プロキシサーバを介して、Web画面を取得するとともに、マルウェアをダウンロードしてしまう(ステップS24)。これにより、一見正しい特徴をもった不審な電子メールである標的型攻撃メールがユーザ端末に送信され、ユーザ端末では電子メール本文中または添付ファイルを開くことにより悪質Webサイトへ誘導され、コンピュータウィルスなどのマルウェアをダウンロードして感染してしまう(ステップS25)。
このように、従来であれば、ユーザ端末が電子メール本文中または添付ファイルを開くことにより悪質Webサイトへ誘導され、コンピュータウィルスなどのマルウェアをダウンロードして感染してしまっていた。しかし、本実施の形態1に係る通信システム100では、組織の外部から送信されてくる電子メールに含まれるURLまたは接続先アドレスを抽出し、アクセスを制限した方がよいURLをリストアップする。そして、ユーザ端末30が電子メールを受信し、該当の電子メール内に記載のWebサイトへアクセスする前までに組織内のプロキシサーバ10のアクセス転送リスト記憶部13aにアクセスを制限した方が良いURLのリストを反映し、当該URLへユーザ端末30からのアクセスが生じた際にはプロキシサーバ10から、セキュアプロキシサーバ20に転送され、セキュアプロキシサーバ20ではユーザ端末30とは別の仮想端末環境で代理のWebブラウザ32を起動し、当該Webブラウザ32から当該URLへアクセスし、そのアクセスの結果を画面イメージとしてユーザ端末30に転送する。これにより、ユーザ端末30からの一連のアクセスが終了した際には、代理のWebブラウザ23およびVM22を消去することにより、一連のアクセス最中に悪性ソフトウェアをダウンロードした際にもユーザ端末30は感染することなく、インターネット利用を実現することができる。
[第一の実施の形態に係るプロキシサーバによる処理]
次に、図10〜図12を用いて、第一の実施の形態に係るプロキシサーバ10による処理を説明する。図10は、第一の実施の形態に係るプロキシサーバによる抽出処理の流れの一例を説明するためのフローチャートである。図11は、第一の実施の形態に係るプロキシサーバによる登録処理の流れの一例を説明するためのフローチャートである。図12は、第一の実施の形態に係るプロキシサーバによる中継処理の流れの一例を説明するためのフローチャートである。
図10に示すように、プロキシサーバ10の中継部12bは、メールサーバ40から電子メールを受信すると(ステップS101)、メールサーバ40が外部から受信した電子メールであるか判定する(ステップS102)。この結果、メールサーバ40が外部から受信した電子メールでない場合には(ステップS102否定)、処理を終了する。一方、抽出部12bは、外部から受信した電子メールである場合には(ステップS102肯定)、本文を検査して、インターネット90にアクセスするためのURLを抽出する(ステップS103)。
続いて、抽出部12bは、添付ファイルがあるか判定し(ステップS104)、添付ファイルがある場合には(ステップS104肯定)、添付ファイルを抽出し(ステップS105)、添付ファイルの内部を検査し、URLまたはスクリプト内部にある接続先アドレスを抽出し(ステップS106)、ステップS107に移行する。また、ステップS104において、抽出部12bは、添付ファイルがない場合には(ステップS104否定)、そのままステップS107に移行する。
続いて、抽出部12bは、URLまたは接続アドレスを抽出したか判定し(ステップS107)、URLまたは接続アドレスを抽出しなかった場合には(ステップS107否定)、処理を終了する。一方、抽出部12bは、URLまたは接続アドレスを抽出した場合には(ステップS107肯定)、後に図11を用いて説明する登録処理を行って(ステップS108)、処理を終了する。
続いて、図11を用いて、プロキシサーバ10による登録処理の流れについて説明する。図11に示すように、プロキシサーバ10の登録部12cは、抽出されたアドレスが、アクセス許容URLパターン記憶部13cに記憶されたアクセスを許容するべきURLパターン(転送対象外URLパターン)と一致するか判定する(ステップS201)。この結果、登録部12cは、抽出されたアドレスが転送対象外URLパターンと一致する場合には、(ステップS201肯定)アクセスが許容されているので、登録することなく処理を終了する。
また、登録部12cは、抽出されたアドレスが転送対象外URLパターンと一致しない場合には(ステップS201否定)、アクセス規制URLパターン記憶部13bに記憶されたアクセスを制限するべきURLパターン(転送対象URLパターン)と一致するか判定する(ステップS202)。この結果、登録部12cは、抽出されたアドレスが転送対象URLパターンと一致しない場合には(ステップS202否定)、アクセスを制限されていないので、登録することなく処理を終了する。また、登録部12cは、抽出されたアドレスが転送対象URLパターンと一致する場合には(ステップS202肯定)、抽出されたアドレスをアクセス転送リスト記憶部13aに登録する(ステップS203)。
次に、図12を用いて、プロキシサーバ10による中継処理の流れについて説明する。図12に示すように、プロキシサーバ10は、ユーザ端末20から中継するURLを受信すると(ステップS301)、受信したURLがアクセス転送リスト記憶部13aに登録されているか否かを判定する(ステップS302)。
この結果、プロキシサーバ10は、受信したURLがアクセス転送リスト記憶部13aに登録されていない場合には(ステップS302否定)、通常の中継処理を行う(ステップS303)。つまり、プロキシサーバ10は、受信したURLを用いて、ユーザ端末30によるインターネット90に対するアクセスを中継する。
また、プロキシサーバ10は、受信したURLがアクセス転送リスト記憶部13aに登録されている場合には(ステップS302肯定)、セキュアプロキシサーバ20にURLを転送し、該URLを用いたアクセスをセキュアプロキシサーバ20に実行させるための中継処理を行う(ステップS303)。
[第一の実施形態による効果]
上述してきたように、プロキシサーバ10は、ユーザ端末30への電子メールのなかにインターネットにアクセスするためのアドレスが含まれているか検索し、電子メール内にアドレスが含まれている場合には、該アドレスを抽出する。そして、プロキシサーバ10は、抽出されたアドレスを記憶部13に登録する。そして、プロキシサーバ10は、ユーザ端末30からインターネット90へのアクセス要求を受信した際に、該アクセス要求のなかに記憶部13に記憶されたアドレスが含まれているか検索し、アドレスが含まれている場合には、該アドレスをセキュアプロキシサーバ20に転送し、該アドレス情報を用いたアクセスをセキュアプロキシサーバ20に実行させる。そして、プロキシサーバ10は、セキュアプロキシサーバ20からアドレスを用いたアクセスを実行した結果得られた画面イメージを受信し、該画面イメージをユーザ端末30に送信する。これにより、悪性サイトであるかを迅速に判断してアクセスを適切に制限することが可能である。
つまり、プロキシサーバ10は、組織の外部から送信されてくる電子メールに含まれるURLまたは接続先アドレスを抽出し、抽出されたURLまたは接続先アドレスからアクセスを制限した方が良いURLを判定しリストアップする。そして、プロキシサーバ10は、電子メールの受信から電子メールの内容に基づきユーザ端末30がWebサイトへアクセスするまでの短時間で、アクセスを制限するURLのリストをアクセス転送リスト記憶部13aに登録するので、悪性サイトであるかを迅速に判断することが可能となる。
そして、アクセス転送リスト記憶部13aに登録したアクセスを制限するURLを用いてユーザ端末30がアクセスを行う場合には、セキュアプロキシサーバ20のVM22上でWebブラウザ23を起動させ、Webブラウザ23にインターネット90の利用を代行させることにより、接続先のWebサーバに世の中に知られていない悪性ソフトウェアが仕込まれていてもユーザ端末30が感染することなくインターネット90利用が可能となり、電子メールを介して悪性サイトへ誘導される脅威からユーザを守ることができる結果、悪性サイトであるかを迅速に判断してアクセスを適切に制限することが可能である。
また、第一の実施形態によれば、アクセスが許容されないアクセス先のアドレスのパターンを事前に記憶し、抽出されたアドレスが記憶部13に記憶されたアクセスが許容されないアクセス先のアドレス情報のパターンに該当する場合には、抽出されたアドレス情報をアクセス転送リスト記憶部13aに登録する。これにより、事前に悪性サイトのURLのパターンが分かっている場合には、該悪性サイトへアクセスすることを適切に防止することが可能である。
また、第一の実施形態によれば、プロキシサーバ10は、アクセスが許容されるアクセス先のアドレスのパターンを事前に記憶し、抽出されたアドレス情報が記憶部13に記憶されたアクセスが許容されるアクセス先のアドレスのパターンに該当しない場合には、抽出されたアドレスを記憶部に登録する。これにより、事前にアクセスしても問題のないサイトのURLが分かっている場合には、事前に登録しておくことで、アクセスしても問題のないサイトがアクセス制限されることを防ぐことが可能となる。
また、第一の実施形態によれば、プロキシサーバ10は、アドレス情報がアクセス転送リスト記憶部13aに記憶されてから所定の時間を経過した場合には、該アドレス情報をアクセス転送リスト記憶部13aから消去する。このため、登録してから長時間経過しているアドレスについては、消去して、アクセス転送リスト記憶部13aのデータ量が増えすぎてしまうことを防止することが可能となる。
[システム構成]
また、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
[プログラム]
また、上記実施形態において説明したプロキシサーバ10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第一の実施形態に係るプロキシサーバ10が実行する処理をコンピュータが実行可能な言語で記述した代理アクセスプログラムを作成することもできる。この場合、コンピュータが代理アクセスプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる代理アクセスプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録され代理アクセスプログラムをコンピュータに読み込ませて実行することにより上記第一の実施形態と同様の処理を実現してもよい。以下に、図2に示したプロキシサーバ10と同様の機能を実現する代理アクセスプログラムを実行するコンピュータの一例を説明する。
図13は、代理アクセスプログラムを実行するコンピュータ1000を示す図である。図13に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図13に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図13に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図13に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェース1050は、図13に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図13に例示するように、例えばディスプレイ1061に接続される。
ここで、図13に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の代理アクセスプログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、抽出手順、登録手順、転送手順、送信手順を実行する。
なお、代理アクセスプログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、代理アクセスプログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 プロキシサーバ
11 通信処理部
12 制御部
12a 取得部
12b 抽出部
12c 登録部
12d 消去部
12e 転送部
12f 送信部
13 記憶部
13a アクセス転送リスト記憶部
13b アクセス規制URLパターン記憶部
13c アクセス許容URLパターン記憶部
20 セキュアプロキシサーバ
21 通信処理部
22 VM
23 Webブラウザ
24 VM制御部
30 ユーザ端末
31 通信処理部
32 Webブラウザ
33 メール受信部
40 メールサーバ
41 通信処理部
42 メール中継部
50 悪質メール送信端末
60 悪質Webサーバ
70 ファイアーウォール
80 ローカルエリアネットワーク
90 インターネット

Claims (5)

  1. ユーザ端末への電子メールのなかにインターネットにアクセスするためのアドレス情報が含まれているか検索し、前記電子メール内にアドレス情報が含まれている場合には、該アドレス情報を抽出する抽出部と、
    前記抽出部によって抽出されたアドレス情報を記憶部に登録する登録部と、
    前記ユーザ端末からインターネットへのアクセス要求を受信した際に、該アクセス要求のなかに前記記憶部に記憶されたアドレス情報が含まれているか検索し、アドレス情報が含まれている場合には、該アドレス情報を外部装置に転送し、該アドレス情報を用いたアクセスを前記外部装置において事前に起動された仮想マシン内のウェブブラウザであって、アクセス終了から一定時間経過後に前記仮想マシンごと消去されるウェブブラウザに実行させ、前記アドレス情報が含まれていない場合には、前記ユーザ端末による前記インターネットに対するアクセスを中継する転送部と、
    前記外部装置から前記アドレス情報を用いたアクセスを実行した結果得られた画面イメージを受信し、該画面イメージを前記ユーザ端末に送信する送信部と、
    を備えることを特徴とする中継サーバ。
  2. 前記記憶部は、アクセスが許容されないアクセス先のアドレス情報のパターンを事前に記憶し、
    前記登録部は、前記抽出部によって抽出されたアドレス情報が前記記憶部に記憶されたアクセスが許容されないアクセス先のアドレス情報のパターンに該当する場合には、抽出されたアドレス情報を記憶部に登録することを特徴とする請求項1に記載の中継サーバ。
  3. 前記記憶部は、アクセスが許容されるアクセス先のアドレス情報のパターンを事前に記憶し、
    前記登録部は、前記抽出部によって抽出されたアドレス情報が前記記憶部に記憶されたアクセスが許容されるアクセス先のアドレス情報のパターンに該当しない場合には、抽出されたアドレス情報を記憶部に登録することを特徴とする請求項1または2に記載の中継サーバ。
  4. 前記アドレス情報が前記記憶部に記憶されてから所定の時間を経過した場合には、該アドレス情報を記憶部から消去する消去部をさらに備えることを特徴とする請求項1〜3のいずれか一つに記載の中継サーバ。
  5. 中継サーバで実行される代理アクセス方法であって、
    ユーザ端末への電子メールのなかにインターネットにアクセスするためのアドレス情報が含まれているか検索し、前記電子メール内にアドレス情報が含まれている場合には、該アドレス情報を抽出する抽出工程と、
    前記抽出工程によって抽出されたアドレス情報を記憶部に登録する登録工程と、
    前記ユーザ端末からインターネットへのアクセス要求を受信した際に、該アクセス要求のなかに前記記憶部に記憶されたアドレス情報が含まれているか検索し、アドレス情報が含まれている場合には、該アドレス情報を外部装置に転送し、該アドレス情報を用いたアクセスを前記外部装置において事前に起動された仮想マシン内のウェブブラウザであって、アクセス終了から一定時間経過後に前記仮想マシンごと消去されるウェブブラウザに実行させ、前記アドレス情報が含まれていない場合には、前記ユーザ端末による前記インターネットに対するアクセスを中継する転送工程と、
    前記外部装置から前記アドレス情報を用いたアクセスを実行した結果得られた画面イメージを受信し、該画面イメージを前記ユーザ端末に送信する送信工程と、
    を含んだことを特徴とする代理アクセス方法。
JP2012117568A 2012-05-23 2012-05-23 中継サーバおよび代理アクセス方法 Expired - Fee Related JP5805585B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012117568A JP5805585B2 (ja) 2012-05-23 2012-05-23 中継サーバおよび代理アクセス方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012117568A JP5805585B2 (ja) 2012-05-23 2012-05-23 中継サーバおよび代理アクセス方法

Publications (2)

Publication Number Publication Date
JP2013246474A JP2013246474A (ja) 2013-12-09
JP5805585B2 true JP5805585B2 (ja) 2015-11-04

Family

ID=49846230

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012117568A Expired - Fee Related JP5805585B2 (ja) 2012-05-23 2012-05-23 中継サーバおよび代理アクセス方法

Country Status (1)

Country Link
JP (1) JP5805585B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3076431B1 (en) 2013-11-28 2020-07-08 Rohm Co., Ltd. Semiconductor device
JP2017091026A (ja) * 2015-11-05 2017-05-25 ニフティ株式会社 情報処理システム、情報処理方法、情報処理プログラム
JP6594277B2 (ja) * 2016-09-12 2019-10-23 株式会社日立製作所 計算機システム、アクセス制御方法、及び計算機
KR101907392B1 (ko) * 2017-05-19 2018-10-12 소프트캠프(주) 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템
JP6882217B2 (ja) * 2018-03-15 2021-06-02 デジタルア−ツ株式会社 情報処理装置、情報処理方法、プログラム及び記録媒体
JP2021009625A (ja) * 2019-07-02 2021-01-28 コニカミノルタ株式会社 情報処理装置、文字認識方法および文字認識プログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004021753A (ja) * 2002-06-19 2004-01-22 Oki Electric Ind Co Ltd ウェブアプリケーション対応代理サーバ及びウェブアプリケーション対応代理サーバシステム
JP2005208780A (ja) * 2004-01-21 2005-08-04 Nec Corp メールフィルタリングシステム及びそれに用いるurlブラックリスト動的構築方法
JP4699236B2 (ja) * 2006-02-24 2011-06-08 Kddi株式会社 サイト管理装置及びコンピュータプログラム
US8935609B2 (en) * 2007-12-18 2015-01-13 International Business Machines Corporation Method and system to secure the display of advertisements on web browsers

Also Published As

Publication number Publication date
JP2013246474A (ja) 2013-12-09

Similar Documents

Publication Publication Date Title
Zhang et al. Iot botnet forensics: A comprehensive digital forensic case study on mirai botnet servers
US10021129B2 (en) Systems and methods for malware detection and scanning
EP3113064B1 (en) System and method for determining modified web pages
JP5805585B2 (ja) 中継サーバおよび代理アクセス方法
US8595803B2 (en) Protection against malware on web resources utilizing scripts for content scanning
US9654494B2 (en) Detecting and marking client devices
US20150163234A1 (en) System and methods for protecting computing devices from malware attacks
US20090064337A1 (en) Method and apparatus for preventing web page attacks
US8584240B1 (en) Community scan for web threat protection
Gupta et al. Exploitation of cross-site scripting (XSS) vulnerability on real world web applications and its defense
JP5752642B2 (ja) 監視装置および監視方法
Mansoori et al. YALIH, yet another low interaction honeyclient
CN104796386A (zh) 一种僵尸网络的检测方法、装置和系统
US20130298121A1 (en) Method for Isolated Use of Browser
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
US8863286B1 (en) Notification for reassembly-free file scanning
JP5682181B2 (ja) 通信制御機能を有する通信装置、方法、プログラム
TW201543257A (zh) 結合雲端分析之防毒及防駭方法及系統
KR101077855B1 (ko) 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
KR101521903B1 (ko) 링크정보의 악성코드에 대응한 단말기의 로컬환경 보호방법과 보호시스템
JP7206980B2 (ja) 通信制御装置、通信制御方法及び通信制御プログラム
Syed Understanding worms, their behaviour and containing them
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
JP2011013974A (ja) ウェブサイト評価装置およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140711

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150514

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150706

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150901

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150902

R150 Certificate of patent or registration of utility model

Ref document number: 5805585

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees