JP5978748B2 - 添付情報付き電子メールによる不正メールの検知方法,その検知プログラム及びその検知装置 - Google Patents

添付情報付き電子メールによる不正メールの検知方法,その検知プログラム及びその検知装置 Download PDF

Info

Publication number
JP5978748B2
JP5978748B2 JP2012108458A JP2012108458A JP5978748B2 JP 5978748 B2 JP5978748 B2 JP 5978748B2 JP 2012108458 A JP2012108458 A JP 2012108458A JP 2012108458 A JP2012108458 A JP 2012108458A JP 5978748 B2 JP5978748 B2 JP 5978748B2
Authority
JP
Japan
Prior art keywords
information
mail
verification
attached
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012108458A
Other languages
English (en)
Other versions
JP2013235489A (ja
Inventor
孝司 吉岡
孝司 吉岡
津田 宏
宏 津田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2012108458A priority Critical patent/JP5978748B2/ja
Priority to US13/792,422 priority patent/US20130305360A1/en
Publication of JP2013235489A publication Critical patent/JP2013235489A/ja
Application granted granted Critical
Publication of JP5978748B2 publication Critical patent/JP5978748B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Description

本発明は,不正メールの検知方法,その検知プログラム及びその検知装置に関する。
近年,特定企業や個人のコンピュータを狙った標的型攻撃が急増しており,特に,企業や政府機関等,電子メールによる標的型攻撃(以降,標的型攻撃メールと説明)が急増している。標的型攻撃メールとは,機密情報の窃取を目的に,特定の企業や組織を標的として送られてくるウイルスメールのことで,不正コードを仕組んだ添付ファイルを開いてしまうことで感染してしまう。
従来のウイルス対策ソフトでは,問題のあるプログラムをシグネチャとして登録し,合致するものを検出することで感染を防ぐことが可能であるが,シグネチャのないプログラムを使った攻撃には通用しない。更に,ウイルス対策ソフトは,既に多くの企業で導入されているが,完全には防ぎ切れておらず,添付ファイルや本文が巧妙に作成され,一見して怪しいことがわかりにくい。また,電子メールヘッダ,添付ファイル,本文,送信者アドレス等の整合性を各人が厳しくチェックするには限界がある。
従来の対策技術として,サーバ側で所定の方法で認証されなかったファイルがクライアント側で開かれるのを防止する技術(特許文献1),サーバ側で送信経路に応じて危険性解析の実施を判定する技術(特許文献2)等がある。
特開2002-041173公報 特開2011-008730公報
しかしながら,上記の従来技術ではファイルの解析・検証用サーバを別途設置する必要があるため,運用コストが大きくなる可能性がある。更に,多くのクライアントから解析・検証用サーバへの解析依頼アクセスが頻繁に発生することが予想され,解析・検証用サーバの負荷が大きくなることが課題となっていた。
そこで,本発明は,上述した従来技術による問題点を解消するため,クライアントベースで標的型攻撃メール等の不正メールを検知できる方法,その検知プログラム及びその検知装置を提供することを目的とする。
電子メール端末装置のコンピュータにより実行される不正メールの検知方法の第1の側面は,
電子メールの送信時において,
前記コンピュータが,送信メールを本文情報と添付情報とに分割し,前記本文情報及び前記添付情報それぞれについて,共有情報を使用した所定のアルゴリズムで第1の検証情報を生成する第1の検証情報生成工程と,
前記コンピュータが,前記本文情報を含む電子メールのヘッダに前記第1の検証情報を付加して本文情報メールを生成し,前記添付情報を含む電子メールのヘッダに前記第1の検証情報を付加して添付情報メールを生成する検証情報付加工程と,
前記コンピュータが,前記本文情報メールと前記添付情報メールとを送信する送信工程と,
電子メールの受信時において,
前記コンピュータが,受信した前記本文情報メールに含まれる前記本文情報及び受信した前記添付情報メールに含まれる前記添付情報それぞれについて,前記共有情報を使用した前記所定のアルゴリズムで第2の検証情報を生成する第2の検証情報生成工程と,
前記コンピュータが,受信した前記本文情報メール及び受信した前記添付情報メールが有する前記第1の検証情報をそれぞれ前記第2の検証情報と比較して一致するか否かを判定する判定工程と,
前記コンピュータが,前記判定工程で前記第1の検証情報と前記第2の検証情報とが一致していると判定した場合,受信した前記本文情報メールに含まれる前記本文情報と受信した前記添付情報メールに含まれる前記添付情報とを結合して,受信メールを生成する結合工程とを有する。
不正メールの検知方法の第1の側面によれば,クライアントベースで不正メールを検知することが可能となる。
本実施の形態におけるシステム構成図である。 本実施の形態における電子メール送信端末を示す図である。 本実施の形態におけるメールチェッカーによって実現される電子メール送信時の機能を示す図である。 本実施の形態における電子メール受信端末を示す図である。 本実施の形態におけるメールチェッカーによって実現される電子メール受信時の機能を示す図である。 本実施の形態における電子メール送信端末のメールチェッカーによる共有情報生成・保管処理のフローチャートである。 本実施の形態における電子メール受信端末のメールチェッカーによる共有情報生成・保管処理のフローチャートである。 本実施の形態における電子メール送信端末のメール送信処理のフローチャートである。 本実施の形態における電子メール送信端末の特徴量情報生成処理を示す図である。 本実施の形態における電子メール送信端末の特徴量情報生成・暗号化処理を示す図である。 本実施の形態における電子メール受信端末のメール受信処理の検証情報生成・比較フローチャートである。 本実施の形態における電子メール受信端末の特徴量情報生成処理を示す図である。 本実施の形態における電子メール受信端末の特徴量情報生成・暗号化処理を示す図である。 本実施の形態における電子メール受信端末のメール受信処理の受信履歴比較フローチャートである。 本実施の形態における電子メール受信端末の受信履歴情報の例を示す図である。 本実施の形態における本文情報と添付情報の結合処理の一例を示す図である。 本実施の形態における電子メール受信端末の表示部に表示される検証結果の例を示す図である。
以下,図面を用いて本発明の実施の形態について説明する。
図1は,本実施の形態におけるシステム構成図である。
図1において,ネットワーク1は,イントラネットやインターネット通信回線網に相当する。送信端末2は,送信者が利用する。送信メール(SMTP)サーバ3は,送信者からの電子メールの送信を行う。受信メール(POP)サーバ4は,送信者からの電子メールの受信を行う。受信端末5は,受信者が利用する。
送信端末2及び受信端末5は,同じメールチェッカープログラムを有している。
SMTPは,Simple Mail Transfer Protocolで,インターネットやイントラネットで電子メールを送信するためのプロトコルである。送信メール(SMTP)サーバ3は,本プロトコルを利用することで,電子メールの送信が可能である。
POPは,Post Office Protocolで,インターネットやイントラネット上で電子メールを保存しているサーバからメールを受信するためのプロトコルである。受信メール(POP)サーバ4は,本プロトコルを利用すること,電子メールの受信が可能である。
[電子メール送信端末の構成]
図2は,本実施の形態における電子メール送信端末を示す図である。電子メールを送信する送信端末2は,図2に示すように,ROM20と,CPU24と,ネットワーク1と接続する通信部25と,液晶ディスプレイ等による表示部26とを有する。
ROM20は,送信者が電子メールの作成・送信指示を出す電子メールソフトウェア21や,不正メールであるか否かを確認するための情報となる検証情報の生成等を行うメールチェッカー22,ネットワーク1を介し電子メールを送信するための通信制御プログラム23等の各種プログラムを記憶する。電子メールソフトウェア21は,例えば,Microsoft Outlook,Mozilla Thunderbird等のメーラーに相当する。
CPU24は,ROM20に記憶された各種プログラムを実行し,送信端末2を制御する。
図3は,本実施の形態におけるメールチェッカーによって実現される電子メール送信時の機能を示す図である。図3に示すように,メールチェッカー22は,要求受付手段221と分割手段222と共有情報管理手段223と検証情報生成手段224とを有する。
要求受付手段221は入出力部2211を有し,検証情報の生成処理依頼の要求を受け付けて処理結果を返却する。分割手段222はメール分割部2221を有し,電子メールを本文情報と添付情報とに分割する。共有情報管理手段223は共有情報生成部2231と共有情報保管部2232とを有し,検証情報を生成する際に使用する共有情報の取り扱いを行う。検証情報生成手段224は特徴量情報生成部2241と検証情報付加部2242と暗号化処理部2243とを有し,検証情報の生成・付加を行う。なお,各手段の動作内容については後述する。
[電子メール受信端末の構成]
図4は,本実施の形態における電子メール受信端末を示す図である。図4に示すように,電子メールを受信する受信端末5は,ROM50と,CPU54と,ネットワーク1と接続する通信部55と,液晶ディスプレイ等による表示部56とを有する。
ROM50は,受信者が電子メールの受信指示を出す電子メールソフトウェア51や,“検証情報”の検証を行うメールチェッカー52,ネットワーク1を介し電子メールを送信するための通信制御プログラム53等の各種プログラムを記憶する。ここで,メールチェッカー52は,送信端末2のROM20が有するメールチェッカー22と同じプログラムである。また,電子メールソフトウェア51は,送信端末2と同様に,例えば,Microsoft Outlook,Mozilla Thunderbird等のメーラーに相当する。
CPU54は,ROM50に記憶された各種プログラムを実行し,受信端末5を制御する。
図5は,本実施の形態におけるメールチェッカーによって実現される電子メール受信時の機能を示す図である。検証プログラム52は,要求受付手段521と結合手段522と復号キー管理手段523と検証手段524とを有する。
要求受付手段521は入出力部5211を有し,検証情報の検証処理依頼の要求を受け付けて処理結果を返却する。結合手段522はメール結合部5221を有し,本文情報と添付情報に分割された電子メールを結合する。共有情報管理手段523は共有情報生成部5231と共有情報保管部5232とを有し,検証情報の復号を行う際に使用する共有情報の生成及び管理を行う。検証手段524は特徴量情報生成部5241と検証部5242と暗号化処理部5243と受信履歴情報保管部5244とを有し,本文情報や添付情報からの検証情報生成や検証情報の検証を行う。なお,各手段の動作内容については後述する。
[不正メール検知処理]
以上のように構成されたシステムによる標的型攻撃メール検知処理について,以下にその処理動作について説明する。
具体的な不正メール検知処理の流れを説明する前に,不正メール検知処理の概要について述べる。
まず,送信端末2は,事前に受信端末5と共有情報を共有する(以下,共有情報生成・保管処理と呼ぶ)。この共有情報は,後述するように,送信端末2及び受信端末5それぞれで検証情報を生成するために使用される情報であり,例えば所定の文字列で構成される。なお,検証情報は,受信端末5で受信された電子メールが不正メールか否かを判定するのに使用される情報である。後述するように,本実施の形態では受信端末5で検証情報に基づいて不正メールの判定が行われるため,攻撃者が検証情報を不正に生成しないように,送信端末2と受信端末5とで共有情報を秘密にする必要がある。
次に,送信端末2は,電子メールソフトウェア21を実行して送信メールを作成する。送信端末2は,作成した送信メールに対して,メールチェッカー22を実行し,共有情報を使用した所定のアルゴリズムで検証情報を生成して検証情報付き電子メールを作成する。そして,送信端末2は,電子メールソフトウェア21を実行して検証情報付き電子メールを送信する(以下,メール送信処理と呼ぶ)。
一方,受信端末5は,電子メールソフトウェア51を実行して検証情報付きメールを受信する。受信端末5は,検証情報付きメールに対して,メールチェッカー52を実行し,送信端末2と同一のアルゴリズムで検証情報を生成する。そして,受信端末5のメールチェッカー52は,検証情報付きメールに含まれる検証情報,すなわち送信端末2で生成された検証情報と,受信端末5で生成された検証情報とを比較し,不正メールの検知を行う。受信端末5で生成された検証情報と受信端末5で生成された検証情報とが一致しない場合には,受信した検証情報付きメールは不正メールの可能性があると判定される(以下,メール受信処理と呼ぶ)。
このように, 不正メール検知処理は,共有情報生成・保管処理と,メール送信処理と,メール受信処理とから構成される。
[共有情報生成・保管処理]
図6は,本実施の形態における電子メール送信端末のメールチェッカーによる共有情報生成・保管処理のフローチャートである。図7は,本実施の形態における電子メール受信端末のメールチェッカーによる共有情報生成・保管処理のフローチャートである。
送信端末2では,共有情報管理手段223が,共有情報の生成(S1001)を行い(S1002),共有情報保管部2232を介して保管する(S1003)。この時,生成した共有情報は外部に漏えいしないよう安全に保管する。
一方,受信端末5では,共有情報管理手段523が,送信端末2の共有情報生成処理(S2001)と同一アルゴリズムで共有情報を生成し(S2001),共有情報保管部5232を介して保管する(S2002)。この時,生成した共有情報は外部に漏えいしないよう安全に保管する。
このようにして,送信端末2と受信端末5とが,お互いにしか知りえない同一の共有情報を保管することにより,攻撃者は共有情報を知ることができず不正に検証情報を作ることができない。
[メール送信処理]
図8は,本実施の形態における電子メール送信端末のメール送信処理のフローチャートである。
図8の処理が開始される前に,まず,送信端末2は,電子メールソフトウェア21を実行し,送信メールを作成する。送信メールを作成後,電子メールソフトウェア21は,メールチェッカー22に対してメールヘッダ情報,本文情報と添付情報とを含む送信メールを送信し,さらに検証情報の生成依頼を発行する。
ここで,本文情報とは,送信メールのメッセージ本文に相当するものであり,文中に記載されるURL等のリンク情報も含まれる。メールヘッダ情報とは,差出人や宛先,件名,日付等の情報である。また,添付情報とは,例えば,送信メールのメッセージ本文に含まれるURL(Uniform Resource Locator)等のリンク情報や,本文情報とは別に用意される電子ファイル情報に相当する。電子ファイル情報とは,Microsoft Wordで作成されたDOCファイル,Adobe Acrobat等で作成されたPDFファイル,プログラム実行形式のEXEファイル,圧縮されたZIPファイル等がある。
メールチェッカー22の要求受付手段221は,入出力部2211を介して電子メールソフトウェア21からからヘッダ情報付き本文情報と添付情報を含む送信メールと共に検証情報の生成依頼を受信し,検証情報生成手段224に対して,検証情報生成依頼を発行する(S3001)。
検証情報生成手段224は,検証情報生成依頼を受信し(S3002),共有情報管理手段223に対して,共有情報取得依頼を送信する(S3003)。
共有情報管理手段223は共有情報取得依頼を受信する(S3004)。そして,共有情報管理手段223は共有情報保管部2232から共有情報を取得し(S3005),検証情報生成手段224に送信する(S3006)。
ステップS3006の後,検証情報生成手段224は共有情報管理手段223から共有情報を受信し(S3007),分割手段222に対してメール分割依頼を送信する(S3008)。
分割手段222は,メール分割依頼を受信し(S3009),メール分割部2221を介して,要求受付手段221が受信した送信メールを本文情報と添付情報とに分割する(S3010)。例えば,送信メールのメッセージ本文にリンク情報が記載されており,電子ファイル情報が添付されている場合には,ステップS3010の処理により,送信メールは,送信メールのメッセージ本文に相当する本文情報,メッセージ本文中に記載されたリンク情報に相当する添付リンク情報,送信メールに添付された電子ファイル情報に相当する添付ファイル情報の3つに分割される。本文情報,添付リンク情報,添付ファイル情報に,それぞれのソースコード等を用いてもよい。また,送信メールのメッセージ本文にリンク情報が記載されていなく,電子ファイル情報が添付されている場合には,ステップS3010の処理により,送信メールは本文情報,添付ファイル情報の2つに分割される。ステップS3010の後,分割手段222は,検証情報生成手段224に対して,分割した本文情報と添付情報とを送信する(S3011)。
検証情報生成手段224は,分割した本文情報と添付情報とを取得後(S3012),本文情報と添付情報それぞれについて,共有情報を使用した所定のアルゴリズムで検証情報(以下,第1の検証情報と呼ぶ。)を生成する。(S3013)。この検証情報の生成方法の具体例については後述する。
第1の検証情報の生成後,検証情報生成手段224は,検証情報付加部2242を介し,本文情報の検証情報情報及び添付情報の第1の検証情報報を,本文情報の電子メールのヘッダに付加して本文情報メールを生成する。また,検証情報生成手段224は,添付情報の電子メールのヘッダに対しても,同様に,本文情報の第1の検証情報及び添付情報の第1の検証情報を付加して添付情報メールを生成する(S3014)。そして,検証情報生成手段224は,要求受付手段221に対して,本文情報メール及び添付情報メールを送信する(S3015)。
要求受付手段221は,本文情報メール及び添付情報メールを受信すると(S3016),電子メールソフトウェア21に対して,受信した本文情報メール及び添付情報メールを送信する。送信端末2は,電子メールソフトウェア21を実行し,送信メール(SMTP)サーバ3を介して,受信端末5に対して本文情報メール及び添付情報メールを送信する。
[メール送信処理で生成される検証情報の例]
ここで,図9,図10を用いて,メール送信処理で生成される第1の検証情報の具体例について説明する。図9は,本実施の形態における電子メール送信端末の特徴量情報生成処理を示す図である。図10は,本実施の形態における電子メール送信端末の特徴量情報生成・暗号化処理を示す図である。
図9では,本文情報及び添付情報それぞれについて共有情報を使用して生成された特徴量情報が第1の検証情報として用いられている。
具体的には,まず,ステップS3010でメール分割部2221により,本文情報,添付リンク情報,添付ファイル情報が生成される。そして,検証情報生成手段224の特徴量情報生成部2241は,本文情報,添付リンク情報,添付ファイル情報それぞれの情報の先頭又は末尾に共有情報を付加して,特徴量生成アルゴリズム(第1のアルゴリズム)で第1の特徴量情報を生成する(S3013)。
この第1の特徴量情報は,例えば,一方向性ハッシュ関数を用いて生成したハッシュ情報であり,一方向性ハッシュ関数以外の特徴量生成アルゴリズムを用いて生成してもよい。ただし,後述するように,メール受信処理時に第1の特徴量情報の整合性を確保するため,検証情報生成手段224の特徴量情報生成部2241は,特徴量情報の生成アルゴリズムを,受信端末5のメールチェッカー52の特徴量情報生成部5241と共有する。
ステップS3013の結果,本文情報の第1の特徴量情報として“482DCBA724”,添付リンク情報の第1の特徴量情報として“BA3119DCA3”,添付ファイル情報の第1の特徴量情報として“9820A7D12B”が生成される。
第1の特徴量情報の生成(S3013)後,本文情報,添付リンク情報,添付ファイル情報の電子メールのヘッダそれぞれに対して,ステップS3013で生成した3つの第1の特徴量情報が第1の検証情報として付加され,本文情報メール,添付リンク情報メール,添付ファイル情報メールが生成される(S3014)。
図9では,ステップS3014の具体例として,本文情報の電子メールのヘッダに3つの第1の検証情報が付加されている。すなわち,本文情報の電子メールのヘッダに,“X-Inbound-VerifyFile:添付ファイル情報の第1の特徴量情報”と,“X-Inbound-VerifyLink:添付リンク情報の第1の特徴量情報”と,“X-Inbound-VerifyBody:本文情報の第1の特徴量情報”とが順に付加され,本文情報メールが生成されている。
一方,図10では,本文情報及び添付情報それぞれについて生成された特徴量情報に対して共有情報で暗号化した暗号化情報が,第1の検証情報として用いられている。
具体的には,まず,送信メールがメール分割部2221により本文情報,添付リンク情報,添付ファイル情報に分割される(S3010)。そして,特徴量情報生成部2241は,本文情報,添付リンク情報,添付ファイル情報それぞれについて,前述の特徴量生成アルゴリズムで第1の特徴量情報を生成する(S3013‐1)。ステップS3013‐1の結果,本文情報の第1の特徴量情報として“33321GJA44”,添付リンク情報の第1の特徴量情報として“QWE576413V”,添付ファイル情報の第1の特徴量情報として“R1E4TY1783”が生成される。
次に,暗号化処理部2243は,ステップS3005で取得した共有情報を鍵として使用した暗号化アルゴリズム(第2のアルゴリズム)で各第1の特徴量情報を暗号化し第1の暗号化情報を生成する(S3013‐2)。これにより本文情報の第1の暗号化情報“BC73DA1254231C”,添付リンク情報の第1の暗号化情報“123AB3371D901C”,添付ファイル情報の第1の暗号化情報“5A990148CA9412”が生成される。
検証情報付加部2242は,本文情報,添付リンク情報,添付ファイル情報の電子メールのヘッダそれぞれに対して3つの第1の暗号化情報が第1の検証情報として付加され,本文情報メール,添付リンク情報メール,添付ファイル情報メールが生成される(S3014)。
図10では,具体例として本文情報の電子メールに3つの第1の暗号化情報が付加されている。すなわち本文情報の電子メールのヘッダに,“X-Inbound-VerifyFile:添付ファイル情報の第1の暗号化情報”と,“X-Inbound-VerifyLink:添付リンク情報の第1の暗号化情報”と,“X-Inbound-VerifyBody:本文情報の第1の暗号化情報”とが順に付加され,本文情報メールが生成されている。
このように,送信端末2は,図9の第1の特徴量情報や図10の第1の暗号化情報等の第1の検証情報を共有情報を使用したアルゴリズムで生成し,本文情報の電子メールに第1の検証情報を付加した本文情報メールと添付情報の電子メールに第1の検証情報を付加した添付情報メールとを受信端末5に送信する。
[メール受信処理(検証情報生成・比較処理)]
図11は,本実施の形態における電子メール受信端末のメール受信処理の検証情報生成・比較フローチャートである。
受信端末5は,電子メールソフトウェア51を実行し,受信メール(POP)サーバ4を経由して,本文情報メール及び添付情報メールを受信する。そして,電子メールソフトウェア51は,メールチェッカー52に対して,受信した本文情報メール及び添付情報メールを送信し,さらに検証依頼を発行する。
メールチェッカー52の要求受付手段521は,入出力部5211を介して,電子メールソフトウェア51から本文情報メール及び添付情報メールと共に検証依頼を受信し,検証手段524に対して検証依頼を発行する(S4001)。
検証手段524は検証依頼を受信し(S4002),共有情報管理手段523に対して共有情報取得依頼を送信する(S4003)。
共有情報管理手段523は共有情報取得依頼を受信する(S4004)。そして,共有情報管理手段523は共有情報保管部5231から共有情報を取得し(S4005),検証手段524に送信する(S4006)。
検証手段524は共有情報管理手段523から共有情報を受信した後(S4007),本文情報メールの本文情報と添付情報メールの添付情報それぞれについて,送信端末2のメールチェッカー22で行われたメール送信処理のステップS3013と同一のアルゴリズムで検証情報(以下,第2の検証情報と呼ぶ。)を生成する(S4008)。
次に,検証手段524は,本文情報メールのヘッダから,本文情報の第1の検証情報及び添付情報の第1の検証情報を取得する。同様に,検証手段524は,添付情報メールのヘッダから本文情報の第1の検証情報及び添付情報の第1の検証情報を取得する(S4009)。
検証手段524は,本文情報メール,添付情報メールそれぞれについて,ステップS4009で取得した各第1の検証情報を,ステップS4008で生成した各第2の検証情報と比較し(S4010),一致するか否か判定する(S4011)。
受信端末5のメールチェッカー52は,受信した本文情報と添付情報について,送信端末2のメールチェッカー22と共有し,かつ外部に秘密にした共有情報を使用し同一のアルゴリズムで第2の検証情報を生成している。そのため,送信端末2から正常に電子メールが送信されていれば,第2の検証情報は第1の検証情報と一致する(S4011OK)。しかし,判定の結果,第2の検証情報と一致しない第1の検証情報が一つでも存在した場合(S4011NG),受信した本文情報メール及び添付情報メールのうち,第2の検証情報と一致しない第1の検証情報を有する電子メールは不正メールである可能性がある。例えば,第三者が送信端末2の送信者になりすまして不正メールを送信した,又は電子メールの送信途中で第三者が電子メールを改竄した等が挙げられる。そこで,検証手段524は,受信した電子メールから不正メールを区別できるようにするため,受信した本文情報メール及び添付情報メールの各ヘッダにステップS4011の判定結果を付加する(S4012,S4098)。
[メール受信処理(検証情報生成・比較処理)の具体例]
ここで,図12,図13を用いて,メール受信処理で生成される第2の検証情報の具体例について説明する。図12は,本実施の形態における電子メール受信端末の特徴量情報生成処理を示す図である。図13は,本実施の形態における電子メール受信端末の特徴量情報生成・暗号化処理を示す図である。
図12は,上述の図9に対応して行われる受信端末5での特徴量情報生成処理である。
具体的には,まず,検証情報生成手段224の特徴量情報生成部2241は,要求受付手段521で受信した本文情報メール,添付リンク情報メール,添付ファイル情報メールから本文情報,添付リンク情報,添付ファイル情報を取得する。
そして,特徴量情報生成部2241は,本文情報,添付リンク情報,添付ファイル情報それぞれの情報の先頭又は末尾に共有情報を付加して,図9の送信端末2のメールチェッカー22と同一の特徴量生成アルゴリズムで第2の特徴量情報を生成する(S4008)。
ステップS4008の結果,本文情報の第2の特徴量情報として“482DCBA724”,添付リンク情報の第2の特徴量情報として“BA3119DCA3”,添付ファイル情報の第2の特徴量情報として“9820A7D12B”が生成される。
第2の特徴量情報の生成(S4008)後,検証部5242は,本文情報メール,添付リンク情報メール,添付ファイル情報メールそれぞれのヘッダから第1の特徴量情報を取得し(S4009),第2の特徴量情報と比較する(S4010)。
図12では,本文情報メールのヘッダから,添付ファイル情報の第1の特徴量情報“9820A7D12B”,添付リンク情報の第1の特徴量情報“BA3119DCA3”,本文情報の第1の特徴量情報“482DCBA724”が取得されている。そして,各第1の特徴量情報が,対応する第2の特徴量情報と一致しているため(S4011OK),本文情報メールのヘッダに比較結果“X-Inbound-Verify:OK”が付加されている。なお,ステップS4010の結果,第2の検証情報と一致しない第1の検証情報が一つでも存在すると(S4011NG),“X-Inbound-Verify:NG”が付加される。
添付リンク情報メール,添付ファイル情報メールについても,本文情報メールと同様にステップS4009,S4010が行われ,それぞれのヘッダに比較結果が付加される。
一方,図13は,上述の図10に対応して行われる受信端末5での特徴量情報生成・暗号化処理である。
具体的には,まず,検証情報生成手段224の特徴量情報生成部2241は,要求受付手段521で受信した本文情報メール,添付リンク情報メール,添付ファイル情報メールから本文情報,添付リンク情報,添付ファイル情報を取得する。
そして,特徴量情報生成部5241は,本文情報,添付リンク情報,添付ファイル情報について,図10の送信端末2のメールチェッカー22と同一の特徴量生成アルゴリズムで第2の特徴量情報を生成する(S4008‐1)。図13では,ステップS4008‐1の結果,本文情報の第2の特徴量情報として“33321GJA44”,添付リンク情報の第2の特徴量情報として“QWE576413V”,添付ファイル情報の第2の特徴量情報として“R1E4TY1783”が生成される。
次に,暗号化処理部5243は,ステップS4005で取得した共有情報を鍵として使用した暗号化アルゴリズム(第2のアルゴリズム)で各第2の特徴量情報を暗号化し,第2の暗号化情報を生成する(S3013‐2)。これにより本文情報の第2の暗号化情報“BC73DA1254231C”,添付リンク情報の第2の暗号化情報“123AB3371D901C”,添付ファイル情報の第2の暗号化情報“5A990148CA9412”が生成される。
検証部5242は,本文情報メール,添付リンク情報メール,添付ファイル情報メールそれぞれから第1の暗号化情報を取得し(S4009),第2の暗号化情報と比較する(S4010)。図13では,添付ファイル情報の第1の暗号化情報“BC73DA1254231C”,添付リンク情報の第1の暗号化情報“123AB3371D901C”,本文情報の第1の暗号化情報“482DCBA724”が取得されている。そして,各第1の暗号化情報が,対応する第2の暗号化情報と一致しているため(S4011OK),本文情報メールのヘッダに比較結果“X-Inbound-Verify:OK”が付加されている。なお,ステップS4010の結果,第2の検証情報と一致しない第1の検証情報が一つでも存在すると(S4011NG),“X-Inbound-Verify:NG”が付加される。
このように,受信端末5は,受信した本文情報及び受信した添付情報それぞれについて第2の検証情報を生成し,受信した本文情報メール及び添付情報メールの第1の検証情報と生成した第2の検証情報とを比較する。これにより,受信した電子メールが不正メールであるか否かを判定することができる。
[メール受信処理(受信履歴比較処理)]
図14は,本実施の形態における電子メール受信端末のメール受信処理の受信履歴比較フローチャートである。
図12で示すようにステップS4011で第2の検証情報と一致しない第1の検証情報が一つでも存在すると(S4011NG),検証手段524は,比較結果を本文情報メール及び添付情報メールの各ヘッダに付加する(S4098)。そして,検証手段524は要求受付手段521に対し検証異常結果を送信する(S4099)。
一方,各第1の検証情報が対応する第2の検証情報と一致した場合(S4011OK),検証手段524の検証部5242は,比較結果をヘッダに付加する(S4012)。そして,検証部5242は,本文情報メール及び添付情報メールを,受信履歴情報保管部5244の受信履歴情報と比較し(S4013),不正メールの可能性があるか否かを判定する(S4014)。
ここで,図15は,本実施の形態における電子メール受信端末の受信履歴情報の例を示す図である。図15に示すように,受信履歴情報は,受信端末5がこれまで正常に受信した,不正メールではないメールの記録であり,第1の検証情報を含むヘッダ情報や本文情報,添付情報等を差出人毎に管理する。つまり,受信した本文情報メール及び添付情報メールが受信履歴情報と一致すれば,受信した各電子メールは不正メールではないと判定される。
ステップS4013では,まず,検証手段524の検証部5242は,受信した本文情報メール及び添付情報メールの差出人が受信履歴情報に存在するか確認する。
差出人が受信履歴情報に存在しない場合(S4014NG),受信した電子メールは不正メールである可能性があるため,要求受付手段521に対し検証異常結果を送信する(S4099)。
差出人が受信履歴情報に存在した場合,検証部5242は受信した本文情報の第1の検証情報,添付リンク情報の第1の検証情報及び添付ファイル情報の第1の検証情報が全て一致する履歴が受信履歴情報に存在するか確認する。
一致する履歴が存在しない場合(S4014NG),受信した電子メールは不正メールである可能性があるため,要求受付手段521に対し検証異常結果を送信する(S4099)。
一致する履歴が存在した場合,受信した電子メールは過去に受信したことがある可能性が高い。しかしながら,第1の検証情報を生成するアルゴリズムを知った第三者が,第1の検証情報が受信履歴情報と一致するように不正メールを作成したかもしれない。そこで,検証部5242は,受信履歴情報の管理項目について,受信した本文情報,添付リンク情報及び添付ファイル情報を当該履歴と比較する。例えば,検証部5242は,本文情報をハッシュ関数で変換したハッシュ値や,添付リンク情報のリンク情報,添付ファイル情報のファイルサイズを比較する。
そして,各管理項目のうち一つでも項目内容が一致しない項目が存在する場合(S4014NG),受信した電子メールは不正メールである可能性があるため,要求受付手段521に対し検証異常結果を送信する(S4099)。
各管理項目の内容が全て一致した場(S4014OK)合には,受信した電子メールは過去にも受信したことがあり不正メールではないと判定され,検証手段524は,結合手段522に対してメール結合処理依頼を送信する(S4015)。
一方,ステップS4099で送信された検証異常結果を受信(S4100)した要求受付手段521は,電子メールソフトウェア51に対して検証結果を送信し,検証異常結果が表示装置54を介して受信端末5を操作する受信者に通知される。
受信者は,検証異常結果を基に差出人へ確認する等対応を行い,受信した電子メールが不正メールではないと判断した場合,電子メールソフトウェア51を介して要求受付手段521にメール結合処理依頼をする。メール結合処理依頼を受信した要求受付手段521は,結合手段522に対してメール結合処理依頼を送信する(S4101)。また,検証手段524は,受信した電子メールを,受信履歴情報保管部5244を介し保管する。(S4102)
結合手段522は,メール受信依頼を受信し(S4016),メール結合部5221を介して,本文情報と添付情報から結合する(S4017)。結合手段522は,検証手段524に対して,結合した受信メールを送信する(S4018)。図16にステップS4017の結合処理の具体例を示す。
図16は,本実施の形態における本文情報と添付情報の結合処理の一例を示す図である。図16では,結合処理の前提として,受信端末5が送信端末2から本文情報メール,及び添付リンク情報メール及び添付ファイル情報メールを受信し,ステップS4014で各メールが不正メールではないと判定されている。上述のように本実施の形態では,本文情報メールの本文情報は,添付リンク情報メールに含まれるURL等のリンク情報も有する。そのため,図16では,結合手段522のメール結合部5221は,本文情報メールと添付ファイル情報メールから,本文情報と添付ファイル情報とを取得し結合して,ヘッダに検証情報を付加した受信メールを生成している(S4017)。
図14に戻り,検証手段524は結合された受信メールを取得し(S4019),検証正常結果と共に要求受付手段521へ送信される(S4019)。要求受付手段521は,検証結果を受信すると(S4020),電子メールソフトウェア51に対して検証結果を送信し,表示装置54を介して,受信端末5を操作する受信者に対して検証結果が通知される。
図17は,本実施の形態における電子メール受信端末の表示部に表示される検証結果の例を示す図である。図17(a),(b),(c)に表示される検証結果の通知と,本文情報メールの具体例を示す。
図17(a)は,ステップS4014で過去にも受信したことがあり不正メールではないと判定された場合(S4014OK)の検証結果の表示例である。すなわち,第1の検証情報が同一の電子メールを受信した履歴が受信履歴情報にあり,受信履歴情報の管理項目について,受信した電子メールと当該履歴とが一致する場合である。
図17(b)は,ステップS4011で不正メールの可能性がある(S4011NG)と判定された場合の検証結果の表示例である。すなわち,本文情報メール,添付リンク情報メール及び添付ファイル情報メールそれぞれのヘッダに付加されている第1の検証情報のうち少なくとも一つが,対応する第2の検証情報と一致しない場合である。
図17(c)は,ステップS4014で不正メールの可能性がある(S4014NG)と判定された場合の検証結果の表示例である。すなわち,受信した本文情報,添付リンク情報,添付ファイル情報それぞれの第1の検証情報が全て一致する履歴が受信履歴情報にあるが,添付ファイル情報のサイズが異なる場合である。
このように,図17(b),(c)のような通知が表示されることで,受信端末5を操作する受信者は,受信した電子メールが不正メールの可能性があると確認でき,添付ファイルを開かない等対応することができる。
以上のように,本実施の形態では,送信端末2と受信端末5とが,メールチェッカー22及び52の各機能を有する同一のメールチェッカープログラムを備えることで,クライアントベースで不正メールを検知することが可能となる。
具体的には,本実施の形態では,本文情報メールと添付情報メールとが送受信され,本文情報メールと添付情報メールそれぞれのヘッダには,不正メールの判定を行うための第1の検証情報が,送信端末2のメールチェッカー22によって付加される。この第1の検証情報は,秘密の共有情報を使用した所定のアルゴリズムにより生成される情報である。これにより,第三者は,本文情報メール及び添付情報メールそれぞれについて共有情報やアルゴリズムを解析する必要があるため,不正メールの生成が困難になる。
また,受信端末5のメールチェッカー52は,受信した本文情報メール及び添付情報メール第1の検証情報を,受信した本文情報メール及び添付情報メールについてメールチェッカー22と同一のアルゴリズムで生成した第2の検証情報と比較する。これにより,メールチェッカー52は受信した本文情報メール及び添付情報メールが不正メールか否かを判定でき,受信端末5を操作する受信者は不正メールを開かずにすむ。
また,受信端末5が不正メールを受信したにもかかわらず第1の検証情報と第2の検証情報とが一致しても,メールチェッカー52は,受信した本文情報メール及び添付情報メールを受信履歴情報と比較することで,不正メールを検知することができる。
以上の実施の形態をまとめると,次の付記のとおりである。
(付記1)
電子メール端末装置のコンピュータにより実行される不正メールの検知方法であって,
電子メールの送信時において,
前記コンピュータが,送信メールを本文情報と添付情報とに分割し,前記本文情報及び前記添付情報それぞれについて,共有情報を使用した所定のアルゴリズムで第1の検証情報を生成する第1の検証情報生成工程と,
前記コンピュータが,前記本文情報を含む電子メールのヘッダに前記第1の検証情報を付加して本文情報メールを生成し,前記添付情報を含む電子メールのヘッダに前記第1の検証情報を付加して添付情報メールを生成する検証情報付加工程と,
前記コンピュータが,前記本文情報メールと前記添付情報メールとを送信する送信工程と,
電子メールの受信時において,
前記コンピュータが,受信した前記本文情報メールに含まれる前記本文情報及び受信した前記添付情報メールに含まれる前記添付情報それぞれについて,前記共有情報を使用した前記所定のアルゴリズムで第2の検証情報を生成する第2の検証情報生成工程と,
前記コンピュータが,受信した前記本文情報メール及び受信した前記添付情報メールが有する前記第1の検証情報をそれぞれ前記第2の検証情報と比較して一致するか否かを判定する判定工程と,
前記コンピュータが,前記判定工程で前記第1の検証情報と前記第2の検証情報とが一致していると判定した場合,受信した前記本文情報メールに含まれる前記本文情報と受信した前記添付情報メールに含まれる前記添付情報とを結合して,受信メールを生成する結合工程とを有する不正メールの検知方法。
(付記2)
付記1において,
前記第1の検証情報生成工程にて,前記コンピュータは,前記共有情報を付加した本文情報,前記共有情報を付加した添付情報それぞれについて第1のアルゴリズムで生成した第1の特徴量情報を前記第1の検証情報とし,
前記第2の検証情報生成工程にて,前記コンピュータは,受信した前記本文情報メールに含まれる前記本文情報及び受信した前記添付情報メールに含まれる前記添付情報それぞれに前記共有情報を付加して前記第1のアルゴリズムで生成した第2の特徴量情報を前記第2の検証情報とする不正メールの検知方法。
(付記3)
付記2において,
前記判定工程にて,前記コンピュータは,前記本文情報及び前記添付ファイル情報それぞれの前記第1の特徴量情報と前記第2の特徴量情報とを比較し,一致しているか否かを判定する不正メールの検知方法。
(付記4)
付記1において,
前記第1の検証情報生成工程にて,前記コンピュータは,前記本文情報及び前記添付ファイル情報それぞれについて第1のアルゴリズムで生成した第1の特徴量情報を,前記共有情報で暗号化する第2のアルゴリズムで生成した第1の暗号化情報を第1の検証情報とし,
前記第2の検証情報生成工程にて,前記コンピュータは,受信した前記本文情報メールに含まれる前記本文情報及び受信した前記添付情報メールに含まれる前記添付情報それぞれについて前記第1のアルゴリズム生成した第2の特徴量情報を前記共有情報で暗号化する第2のアルゴリズムで生成した第2の暗号化情報を第2の検証情報とする不正メールの検知方法。
(付記5)
付記1,2,3又は4のいずれかにおいて,
前記添付情報は,前記電子メールに添付されたリンク情報を有する添付リンク情報又は前記電子メールに添付されたファイルデータを有する添付ファイル情報のいずれか,又は両方である不正メールの検知方法。
(付記6)
付記5において,
前記コンピュータは,前記結合工程において,前記判定工程で比較した結果一致していると判定した場合,前記添付リンク情報を使用せずに,前記本文情報と前記添付ファイル情報とを結合して前記受信メールを生成する不正メールの検知方法。
(付記7)
付記1において,
検証情報付加工程にて,前記コンピュータは,前記本文情報及び前記添付情報それぞれについて第1の検証情報を全て,本文情報メールを前記本文情報を含む電子メールのヘッダ及び前記添付情報を含む電子メールのヘッダに付加する不正メールの検知方法。
(付記8)
付記2又は4において,
前記第1の特徴量情報及び前記第2の特徴量情報を生成する前記第1のアルゴリズムは,一方向性ハッシュ関数である不正メールの検知方法。
(付記9)
付記1において,
前記比較工程は,前記前記コンピュータが,前記第1の検証情報と前記第2の検証情報とが一致した場合,受信した前記本文情報メール及び前記添付情報メールのそれぞれのヘッダに比較結果を付加する比較結果付加工程を有する不正メールの検知方法。
(付記10)
付記1において,
前記判定工程は,前記コンピュータが,受信した前記本文情報メール及び受信した前記添付情報メールが有する前記第1の検証情報と受信履歴情報の前記第1の検証情報とを比較する受信履歴比較工程を有する不正メールの検知方法。
(付記11)
不正メール検知処理を電子メールの端末装置のコンピュータに実行させる不正メール検知プログラムであって,
前記コンピュータが,送信メールを本文情報と添付情報とに分割し,前記本文情報及び前記添付情報それぞれについて,共有情報を使用した所定のアルゴリズムで第1の検証情報を生成する第1の検証情報生成工程と,
前記コンピュータが,前記本文情報を含む電子メールのヘッダに前記第1の検証情報を付加して本文情報メールを生成し,前記添付情報を含む電子メールのヘッダに前記第1の検証情報を付加して添付情報メールを生成する検証情報付加工程と,
前記コンピュータが,前記本文情報メールと前記添付情報メールとを送信する送信工程と,
電子メールの受信時において,
前記コンピュータが,受信した前記本文情報メールに含まれる前記本文情報及び受信した前記添付情報メールに含まれる前記添付情報それぞれについて,前記共有情報を使用した前記所定のアルゴリズムで第2の検証情報を生成する第2の検証情報生成工程と,
前記コンピュータが,受信した前記本文情報メール及び受信した前記添付情報メールが有する前記第1の検証情報をそれぞれ前記第2の検証情報と比較して一致するか否かを判定する判定工程と,
前記コンピュータが,前記判定工程で前記第1の検証情報と前記第2の検証情報とが共に一致していると判定した場合,受信した前記本文情報メールに含まれる前記本文情報と受信した前記添付情報メールに含まれる前記添付情報とを結合して,受信メールを生成する結合工程とを有する不正メール検知プログラム。
(付記12)
不正メール検知装置であって,
第1及び第2の検証情報を生成するために使用される共有情報を記憶する記憶手段と,
前記電子メールの送受信を制御する制御手段とを有し,
電子メールの送信時において,
送信メールを本文情報と添付情報とに分割し,前記本文情報及び前記添付情報それぞれについて,前記共有情報を使用した所定のアルゴリズムで前記第1の検証情報を生成し,
前記本文情報を含む電子メールのヘッダに前記第1の検証情報を付加して本文情報メールを生成し,前記添付情報を含む電子メールのヘッダに前記第1の検証情報を付加して添付情報メールを生成し,
前記本文情報メールと前記添付情報メールとを送信し,
電子メールの受信時において,
受信した前記本文情報メールに含まれる前記本文情報及び受信した前記添付情報メールに含まれる前記添付情報それぞれについて,前記共有情報を使用した前記所定のアルゴリズムで前記第2の検証情報を生成し,
受信した前記本文情報メール及び受信した前記添付情報メールが有する前記第1の検証情報をそれぞれ前記第2の検証情報と比較して一致するか否かを判定し,
前記第1の検証情報と前記第2の検証情報とが共に一致していると判定した場合,受信した前記本文情報メールに含まれる前記本文情報と受信した前記添付情報メールに含まれる前記添付情報とを結合して,受信メールを生成する不正メール検知装置。
1:ネットワーク
2:送信端末
3:送信メールサーバ
4:受信メールサーバ
5:受信端末
20,50:ROM
21,51:電子メールソフトウェア
22,52:メールチェッカー
23,53:通信制御プログラム
24,54:CPU
25,55:通信部
26,56:表示部

Claims (6)

  1. 電子メール端末装置のコンピュータにより実行される不正メールの検知方法であって,
    電子メールの送信時において,
    前記コンピュータが,送信メールを本文情報とリンク情報を有する添付情報とに分割し,前記本文情報及び前記添付情報それぞれについて,共有情報を使用した所定のアルゴリズムで第1の検証情報を生成する第1の検証情報生成工程と,
    前記コンピュータが,前記本文情報を含む電子メールのヘッダに前記第1の検証情報を付加して本文情報メールを生成し,前記添付情報を含む電子メールのヘッダに前記第1の検証情報を付加して添付情報メールを生成する検証情報付加工程と,
    前記コンピュータが,前記本文情報メールと前記添付情報メールとを送信する送信工程と,
    電子メールの受信時において,
    前記コンピュータが,受信した前記本文情報メールに含まれる前記本文情報及び受信した前記添付情報メールに含まれる前記添付情報それぞれについて,前記共有情報を使用した前記所定のアルゴリズムで第2の検証情報を生成する第2の検証情報生成工程と,
    前記コンピュータが,受信した前記本文情報メール及び受信した前記添付情報メールが有する前記第1の検証情報をそれぞれ前記第2の検証情報と比較して一致するか否かを判定する判定工程と,
    前記コンピュータが,前記判定工程で前記第1の検証情報と前記第2の検証情報とが一致していると判定した場合,受信した前記本文情報メールに含まれる前記本文情報と受信した前記添付情報メールに含まれる前記添付情報とを結合して,受信メールを生成する結合工程とを有する不正メールの検知方法。
  2. 請求項1において,
    前記第1の検証情報生成工程にて,前記コンピュータは,前記共有情報を付加した本文情報,前記共有情報を付加した添付情報それぞれについて第1のアルゴリズムで生成した第1の特徴量情報を前記第1の検証情報とし,
    前記第2の検証情報生成工程にて,前記コンピュータは,受信した前記本文情報メールに含まれる前記本文情報及び受信した前記添付情報メールに含まれる前記添付情報それぞれに前記共有情報を付加して前記第1のアルゴリズムで生成した第2の特徴量情報を前記第2の検証情報とする不正メールの検知方法。
  3. 請求項2において,
    前記判定工程にて,前記コンピュータは,前記本文情報及び前記添付情報それぞれの前記第1の特徴量情報と前記第2の特徴量情報とを比較し,一致しているか否かを判定する不正メールの検知方法。
  4. 請求項1において,
    前記第1の検証情報生成工程にて,前記コンピュータは,前記本文情報及び前記添付情報それぞれについて第1のアルゴリズムで生成した第1の特徴量情報を,前記共有情報で暗号化する第2のアルゴリズムで生成した第1の暗号化情報を第1の検証情報とし,
    前記第2の検証情報生成工程にて,前記コンピュータは,受信した前記本文情報メールに含まれる前記本文情報及び受信した前記添付情報メールに含まれる前記添付情報それぞれについて前記第1のアルゴリズム生成した第2の特徴量情報を前記共有情報で暗号化する第2のアルゴリズムで生成した第2の暗号化情報を第2の検証情報とする不正メールの検知方法。
  5. 不正メール検知処理を電子メールの端末装置のコンピュータに実行させる不正メール検知プログラムであって,
    電子メールの送信時において,
    前記コンピュータが,送信メールを本文情報とリンク情報を有する添付情報とに分割し,前記本文情報及び前記添付情報それぞれについて,共有情報を使用した所定のアルゴリズムで第1の検証情報を生成する第1の検証情報生成工程と,
    前記コンピュータが,前記本文情報を含む電子メールのヘッダに前記第1の検証情報を付加して本文情報メールを生成し,前記添付情報を含む電子メールのヘッダに前記第1の検証情報を付加して添付情報メールを生成する検証情報付加工程と,
    前記コンピュータが,前記本文情報メールと前記添付情報メールとを送信する送信工程と,
    電子メールの受信時において,
    前記コンピュータが,受信した前記本文情報メールに含まれる前記本文情報及び受信した前記添付情報メールに含まれる前記添付情報それぞれについて,前記共有情報を使用した前記所定のアルゴリズムで第2の検証情報を生成する第2の検証情報生成工程と,
    前記コンピュータが,受信した前記本文情報メール及び受信した前記添付情報メールが有する前記第1の検証情報をそれぞれ前記第2の検証情報と比較して一致するか否かを判定する判定工程と,
    前記コンピュータが,前記判定工程で前記第1の検証情報と前記第2の検証情報とが共に一致していると判定した場合,受信した前記本文情報メールに含まれる前記本文情報と受信した前記添付情報メールに含まれる前記添付情報とを結合して,受信メールを生成する結合工程とを有する不正メール検知プログラム。
  6. 不正メール検知装置であって,
    第1の検証情報及び第2の検証情報を生成するために使用される共有情報を記憶する記憶手段と,
    電子メールの送受信を制御する制御手段とを有し,
    電子メールの送信時において,
    送信メールを本文情報とリンク情報を有する添付情報とに分割し,前記本文情報及び前記添付情報それぞれについて,前記共有情報を使用した所定のアルゴリズムで前記第1の検証情報を生成し,
    前記本文情報を含む電子メールのヘッダに前記第1の検証情報を付加して本文情報メールを生成し,前記添付情報を含む電子メールのヘッダに前記第1の検証情報を付加して添付情報メールを生成し,
    前記本文情報メールと前記添付情報メールとを送信し,
    電子メールの受信時において,
    受信した前記本文情報メールに含まれる前記本文情報及び受信した前記添付情報メールに含まれる前記添付情報それぞれについて,前記共有情報を使用した前記所定のアルゴリズムで前記第2の検証情報を生成し,
    受信した前記本文情報メール及び受信した前記添付情報メールが有する前記第1の検証情報をそれぞれ前記第2の検証情報と比較して一致するか否かを判定し,
    前記第1の検証情報と前記第2の検証情報とが共に一致していると判定した場合,受信した前記本文情報メールに含まれる前記本文情報と受信した前記添付情報メールに含まれる前記添付情報とを結合して,受信メールを生成する不正メール検知装置。
JP2012108458A 2012-05-10 2012-05-10 添付情報付き電子メールによる不正メールの検知方法,その検知プログラム及びその検知装置 Active JP5978748B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012108458A JP5978748B2 (ja) 2012-05-10 2012-05-10 添付情報付き電子メールによる不正メールの検知方法,その検知プログラム及びその検知装置
US13/792,422 US20130305360A1 (en) 2012-05-10 2013-03-11 Detecting method and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012108458A JP5978748B2 (ja) 2012-05-10 2012-05-10 添付情報付き電子メールによる不正メールの検知方法,その検知プログラム及びその検知装置

Publications (2)

Publication Number Publication Date
JP2013235489A JP2013235489A (ja) 2013-11-21
JP5978748B2 true JP5978748B2 (ja) 2016-08-24

Family

ID=49549694

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012108458A Active JP5978748B2 (ja) 2012-05-10 2012-05-10 添付情報付き電子メールによる不正メールの検知方法,その検知プログラム及びその検知装置

Country Status (2)

Country Link
US (1) US20130305360A1 (ja)
JP (1) JP5978748B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2508174B (en) * 2012-11-22 2015-04-08 F Secure Corp Detecting application behavior
JP6337472B2 (ja) * 2014-01-15 2018-06-06 富士通株式会社 不正メール検知装置
JP6509749B2 (ja) * 2016-01-18 2019-05-08 Kddi株式会社 通信システムおよびサーバ
JP6440099B2 (ja) * 2016-03-31 2018-12-19 京セラドキュメントソリューションズ株式会社 電子機器
JP6440100B2 (ja) * 2016-03-31 2018-12-19 京セラドキュメントソリューションズ株式会社 電子機器
CN106528714B (zh) * 2016-10-26 2018-08-03 广州酷狗计算机科技有限公司 获取文字提示文件的方法及装置
JP6897257B2 (ja) * 2017-04-12 2021-06-30 富士フイルムビジネスイノベーション株式会社 電子メール処理装置および電子メール処理プログラム
JPWO2022070339A1 (ja) * 2020-09-30 2022-04-07

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7039954B2 (en) * 2001-05-04 2006-05-02 International Business Machines Corporation Method for enabling a network-addressable device to detect use of its identity by a spoofer
US8578480B2 (en) * 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
JP2006222476A (ja) * 2005-02-08 2006-08-24 Murata Mach Ltd 電子メール端末装置
US20060242251A1 (en) * 2005-04-04 2006-10-26 Estable Luis P Method and system for filtering spoofed electronic messages
JP2007135170A (ja) * 2005-10-12 2007-05-31 Hitachi Ltd 電子データ送受信方法
WO2008138440A2 (en) * 2007-05-16 2008-11-20 Panasonic Corporation Methods in mixed network and host-based mobility management
US20090006860A1 (en) * 2007-06-26 2009-01-01 John Gordon Ross Generating multiple seals for electronic data
JP4743306B2 (ja) * 2009-03-31 2011-08-10 ブラザー工業株式会社 通信装置
US8341023B2 (en) * 2009-06-17 2012-12-25 Trustifi Corporation Certified email system and method
US8595830B1 (en) * 2010-07-27 2013-11-26 Symantec Corporation Method and system for detecting malware containing E-mails based on inconsistencies in public sector “From” addresses and a sending IP address
US9049257B2 (en) * 2011-12-19 2015-06-02 Vmware, Inc. Methods and apparatus for an E-mail-based management interface for virtualized environments

Also Published As

Publication number Publication date
US20130305360A1 (en) 2013-11-14
JP2013235489A (ja) 2013-11-21

Similar Documents

Publication Publication Date Title
JP5978748B2 (ja) 添付情報付き電子メールによる不正メールの検知方法,その検知プログラム及びその検知装置
JP5983008B2 (ja) 不正メールの検知方法,その検知プログラム及びその検知装置
US7363495B2 (en) System and method for message encryption and signing in a transaction processing system
US20090327714A1 (en) System and Method for End-to-End Electronic Mail-Encryption
US20100306537A1 (en) Secure messaging
US20130103944A1 (en) Hypertext Link Verification In Encrypted E-Mail For Mobile Devices
US8281120B2 (en) Sending signed e-mail messages from a device
JP6044323B2 (ja) 不正メールの検知方法,その検知プログラム及びその検知装置
CA2352325A1 (en) High assurance digital signatures
US20130177156A1 (en) Encrypted Data Processing
Gupta et al. Forensic analysis of E-mail address spoofing
CA2793422C (en) Hypertext link verification in encrypted e-mail for mobile devices
US20120079275A1 (en) Content filtering of secure e-mail
Babrahem et al. Study of the security enhancements in various e-mail systems
US20060080533A1 (en) System and method for providing e-mail verification
US9652621B2 (en) Electronic transmission security process
Banday Easing PAIN with digital signatures
JP6085978B2 (ja) メール処理方法、メール処理プログラム及びメール処理装置
Eteng A Multilayer Secured Messaging Protocol for REST-based Services
Okpalla et al. Secured and Encrypted Data Transmission over the Web Using Cryptography
Sinha et al. Signature replacement attack and its counter-measures
Stavrou et al. W3bcrypt: Encryption as a stylesheet
AU760021B2 (en) High assurance digital signatures
Laurie et al. Signatures: an interface between law and technology
ALAM Innovative and User Friendly Secure Email

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160418

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160628

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160711

R150 Certificate of patent or registration of utility model

Ref document number: 5978748

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150