JP5983008B2 - 不正メールの検知方法,その検知プログラム及びその検知装置 - Google Patents

不正メールの検知方法,その検知プログラム及びその検知装置 Download PDF

Info

Publication number
JP5983008B2
JP5983008B2 JP2012108092A JP2012108092A JP5983008B2 JP 5983008 B2 JP5983008 B2 JP 5983008B2 JP 2012108092 A JP2012108092 A JP 2012108092A JP 2012108092 A JP2012108092 A JP 2012108092A JP 5983008 B2 JP5983008 B2 JP 5983008B2
Authority
JP
Japan
Prior art keywords
information
mail
feature quantity
transmission
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012108092A
Other languages
English (en)
Other versions
JP2013235463A (ja
Inventor
孝司 吉岡
孝司 吉岡
津田 宏
宏 津田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2012108092A priority Critical patent/JP5983008B2/ja
Priority to US13/792,331 priority patent/US8931098B2/en
Publication of JP2013235463A publication Critical patent/JP2013235463A/ja
Application granted granted Critical
Publication of JP5983008B2 publication Critical patent/JP5983008B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は,不正メールの検知方法,その検知プログラム及びその検知装置に関する。
近年,特定企業や個人のコンピュータを狙った標的型攻撃が急増しており,特に,企業や政府機関等に対して,不正な電子メールによる標的型攻撃(以下,標的型攻撃メールと称する)が急増している。標的型攻撃メールとは,機密情報の窃取を目的に,特定の企業や組織を標的として送られてくるウイルスメールであり,不正コードを仕組んだ添付ファイルを開いてしまうことで個人情報を流出させるなどの不正な行為が実行される。
従来のウイルス対策ソフトウエアでは,問題のあるプログラムについての不正プログラム照合情報をシグネチャとして登録し,合致するものを検出することで感染を防ぐ。しかし,そのようなウイルス対策ソフトウエアは,シグネチャのないプログラムを使った攻撃メールには通用しない。更に,ウイルス対策ソフトでは,添付ファイルや本文が巧妙に作成され一見して怪しいことがわかりにくいので,完全には防ぎ切れていない。また,各ユーザが,電子メールヘッダ,添付ファイル,本文,送信者アドレス等の整合性を厳しくチェックするには限界がある。
従来の対策技術として,送信ドメイン認証がある。これは,送信メールサーバの正当性,送信経路の証跡をサーバベースで実現する技術である。具体的には,電子メールアドレスのドメインをチェックし,その電子メールが正規のサーバから発信されているか否かを検証し,送信者のアドレスが正規のものであることを証明する。
送信ドメイン認証の種類として,主に,IPアドレスによる認証と,電子署名による認証の2つがある。前者は,SPF(Sender Policy Framework),Sender IDで,電子メールサーバのドメインと送信者のIPアドレスの関連(SPFレコード)をDNS(Domain Name System)サーバに公開し,受信時に送信者IPアドレスをDNSサーバに問い合わせ,照合を行うことで,送信者のアドレスが正規のものであることを確認する。この技術の詳細は,例えば,非特許文献1に開示されている。
後者は,DKIM(Domain Keys Identified Mail)で,電子メールサーバの公開鍵情報をDNSサーバに公開し,秘密鍵で電子署名を付加して電子メール送信し,受信時に公開鍵情報をDNSサーバに問い合わせ,電子署名の照合を行うことで,送信者のアドレスが正規のものであることを確認する。
特開2006−134313号公報
Sender Policy Framework Project Overview,インターネット<http://www.openspf.org/> DKIM.org,インターネット<http://www.dkim.org/>
しかしながら,標的型攻撃メールの場合,送信元アドレスも偽装され,正規サーバを利用して送信されたように偽装することが行われる。そのため,従来の方法による送信元アドレスのチェックでは本人性を担保することができない。また,標的型攻撃メールを検出するためのDNSサーバを設置する必要があり,運用コストが大きくなる。
本実施の形態の目的は,クライアントベースで標的型攻撃メールなどの不正メールを検知できる検知方法,検知プログラム,検知装置を提供することにある。
本実施の形態の第1の側面は,電子メール端末装置のコンピュータにより実行される不正メール検出方法であって,
内部ネットワーク向け電子メールで使用する内部送信用秘密鍵情報を予め送信端末と受信端末とで共有し,外部ネットワーク向け電子メールで使用する外部送信用秘密鍵情報と前記外部送信用秘密鍵情報に対応する外部送信用公開鍵情報を予め生成する準備工程を有し,
メール送信時において,
送信メールに含まれるヘッダ項目と本文と添付情報のうち特徴量対象項目を有する第1の特徴量対象情報を,または前記第1の特徴量対象情報を所定の関数に基づいて生成した第1の特徴量情報を,前記送信メールの送信先が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって暗号化して検証情報を生成し,前記送信メールの送信先が前記外部ネットワークである場合は,前記外部送信用秘密鍵情報によって暗号化して前記検証情報を生成する検証情報生成工程と,
前記検証情報と,前記特徴量対象項目に対応する特徴量対象項目情報とを,前記送信メールのヘッダに付加する付加工程とを有し,
メール受信時において,
前記受信メールに含まれているヘッダ項目と本文と添付情報のうち,前記受信メールに付加された前記特徴量対象項目情報が示す特徴量対象項目を有する第2の特徴量対象情報を生成する,または前記第2の特徴量対象情報を前記所定の関数に基づいて第2の特徴量情報を生成する特徴量生成工程と,
前記受信メールに付加された前記検証情報を,前記受信メールの送信元が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって復号化し,前記受信メールの送信元が前記外部ネットワークである場合は,前記外部送信用公開鍵情報によって復号化して,第3の特徴量対象情報または第3の特徴量情報を生成する復号工程と,
前記第2の特徴量対象情報または第2の特徴量情報と,前記第3の特徴量対象情報または第3の特徴量情報とを,それぞれ比較して一致するか否か検証する検証工程とを有する。
第1の側面によれば,クライアントベースで不正メールを検出することができる。
本実施の形態における電子メールシステムの構成図である。 送信者が利用する電子メール送信端末の構成図である。 検証情報生成装置の構成図である。 電子メール受信端末6の構成図である。 電子メール受信端末9の構成図である。 電子メール受信端末6の検証装置の構成図である。 電子メール受信端末9の検証装置の構成図である。 電子メールの送信,受信処理を開始する事前準備として行われるメールチェッカの処理のフローチャート図である。 電子メールの送信,受信処理を開始する事前準備として行われるメールチェッカの処理のフローチャート図である。 電子メールの送信,受信処理を開始する事前準備として行われるメールチェッカの処理のフローチャート図である。 メール内容の重要度に応じて設定された特徴量対象項目の候補の一覧例を示す図である。 電子メール送信端末3の検証情報生成装置32における検証情報の生成処理のフローチャート図である。 電子メール送信端末3の検証情報生成装置32における検証情報の生成処理のフローチャート図である。 内部送信用生成キー(内部送信用秘密鍵情報)利用時の検証情報の生成と付加処理の一例を示す図である。 外部送信用生成キー(外部送信用秘密鍵情報)利用時の検証情報の生成と付加処理の一例を示す図である。 電子メール受信端末6,9それぞれの検証装置62,検証装置92における検証情報の検証処理のフローチャート図である。 電子メール受信端末6,9それぞれの検証装置62,検証装置92における検証情報の検証処理のフローチャート図である。 内部用生成キー利用時の検証処理の一例を示す図である。 外部用生成キー利用時の検証処理の一例を示す図である。
本実施の形態において,不正メールとは例えば標的型攻撃メールである。標的型攻撃メールは,受信者が通常受信している正常なメールと外見上類似しているため,スパムメールやウイルスメールのフィルタリングをくぐりぬけて受信される。そして,受信者がその受信メールの添付ファイルを開いた場合に,または添付のURLにアクセスした場合に,例えば個人情報を流出させるなどの何らかの不正行為を実行する。外見上類似しているとは,例えば,送信元アドレスや本文が正常なメールと同じまたは酷似していて,一般的なスパムメールやウイルスメールのフィルタでは捕捉できないような場合である。
本実施の形態におけるメールチェッカは,メールソフトと共に端末装置にインストールされるプログラムである。メールチェッカは,メールソフトが電子メールを送信するときに以下に説明する検証情報を生成して電子メールに付加し,メールソフトが電子メールを受信したときに以下に説明する検証情報を利用した検証処理を行い,不正メールの疑いがある受信メールについて,ユーザに警告を発する。
検証情報の生成は所定の暗号化鍵情報を利用した暗号化処理で行うが,イントラネット(内部ネットワーク)内に送信する送信メールでは内部で秘密に管理されている内部送信用秘密鍵情報を利用し,インターネット(外部ネットワーク)に送信する送信メールでは外部送信用秘密鍵情報とその公開鍵情報を利用する。内部送信用秘密鍵情報は,イントラネット内の電子メール端末装置で共有されるが,外部ネットワークの電子メール端末とは共通鍵を共有できないので,秘密鍵情報と公開鍵情報の暗号化方式を利用する。
また,暗号化対象情報として,送信メールのヘッダ情報や本文,添付情報から抽出した情報を所定のアルゴリズムの関数で演算して生成した特徴量情報を使用する。したがって,送信メールのどの情報を抽出して,どのアルゴリズムの関数で特徴量情報を生成するかについて秘密にしておくことで,セキュリティ性をより高くすることができる。
[電子メールシステムの全体構成]
図1は,本実施の形態における電子メールシステムの構成図である。図1を参照して,電子メールシステムの全体構造を説明する。
図1において,インターネット通信回線網1を介して,2つのイントラネット2,7が接続されている。送信者Xと受信者Aが利用するイントラネット2には,送信者Xの電子メール送信端末3と,受信者Aの電子メール受信端末6と,送信メール(SMTP)サーバ4,受信メール(POP)サーバ5が接続されている。
また,受信者Bが利用するイントラネット7には,受信メール(POP)サーバ8,電子メール受信端末9が接続されている。
SMTPは,Simple mail Transfer Protocolで,インターネットやイントラネットで電子メールを送信するためのプロトコルである。送信メール(SMTP)サーバ4は,本プロトコルを利用すること,電子メールの送信が可能である。POPは,Post Office Protocolで,インターネットやイントラネット上で電子メールを保存しているサーバからメールを受信するためのプロトコルである。受信メール(POP)サーバ5,受信メール(POP)サーバ8は,本プロトコルを利用すること,電子メールの受信が可能である。
本実施の形態では,送信者Xが電子メール送信端末3から同じイントラネット2内の受信者Aの電子メール受信端末6に,またはインターネット1を介して外部のイントラネット7内の受信者Bの電子メール受信端末9に電子メールを送信する場合について説明する。送信者Xは,受信者A,Bに同報通信で電子メールを送信することも当然可能である。
[電子メールシステムの各端末装置の構成]
図2は,送信者が利用する電子メール送信端末の構成図である。電子メール送信端末3は,送信者が電子メールの作成や送信指示を行う電子メールソフトウエア31と,標的型攻撃メールの可能性があるか否かを確認するための情報となる検証情報の生成を行う検証情報生成装置32と,イントラネット2を経由して電子メールの送信を行う通信装置33を有する。電子メールソフトウエア31は,例えば,Microsoft社のOutlookや,Mozilla社のThunderbird等のメーラープログラムに対応する。また,検証情報生成装置32は,不正メールを検出するメールチェッカプログラムの一部分に対応する。
図3は,検証情報生成装置の構成図である。検証情報生成装置32は,要求受付手段321,管理手段322,生成キー管理手段323,検証情報生成手段324を有する。
要求受付手段321は,入出力部3211を有し,電子メールソフトウエア31から送信メールMについて検証情報の生成依頼の要求を受け付け,検証情報付き送信メールM'を返却する。
管理手段322は,特徴量対象項目管理部3221を有し,送信メールから特徴量を生成するときの特徴量の対象を示す特徴量対象項目を管理する。
生成キー管理手段323は,検証情報を生成する際に使用する生成キーの取り扱いを行う。この生成キーは,前述の内部送信用秘密鍵情報,外部送信用秘密鍵情報と,外部送信用秘密鍵情報とペアの外部送信用公開鍵情報である。生成キー管理手段323は,内部送信用秘密鍵を使用するか外部送信用秘密鍵を使用するかを判定する検証情報生成方法判定部3231と,上記の3つの鍵情報を生成する検証情報生成キー生成部3232と,3つの鍵情報のうち内部送信用及び外部送信用秘密鍵情報を秘密状態で保管する検証情報生成キー保管部3233とを有する。
検証情報生成手段324は,検証情報の生成と送信メールへの付加を行う。検証情報生成手段324は,送信メールのヘッダ情報や本文,添付情報から特徴量情報などを生成する特徴量情報生成部3241と,特徴量情報を前述の内部または外部送信用秘密鍵情報により暗号化して検証情報を生成する検証情報生成部3242と,生成した検証情報などを送信メールのヘッダに付加する検証情報付加部3243とを有する。
図4は,電子メール受信端末6の構成図である。図5は,電子メール受信端末9の構成図である。図4の電子メール受信端末6は,イントラネット2に接続される受信者Aが利用する端末であり,図5の電子メール受信端末9は,イントラネット7に接続される受信者Bが利用する端末である。
電子メール受信端末6,9は,受信者A,およびBが電子メールの受信指示を行う電子メールソフトウエア61,91と,検証情報の検証を行う検証装置62,92と,イントラネット2,7からそれぞれ電子メールの受信を行う通信装置63,93を有する。電子メールソフトウエア61,91は,電子メール送信端末3と同様に,例えばMicrosoft社のOutlookや,Mozilla社のThunderbird等のメーラープログラムに対応する。また,検証装置62,92は,不正メールを検出するメールチェッカプログラムの一部分に対応する。
図6は,電子メール受信端末6の検証装置の構成図である。検証装置62は,要求受付手段621,復号キー管理手段622,検証手段623を有する。
要求受付手段621は,入出力部6211を有し,電子メールソフトウエア61から受信した電子メールに含まれている検証情報の検証依頼の要求を受け付け,その検証結果を返却する。
復号キー管理手段622は,検証情報の復号を行う際に使用する復号キーの生成,および管理を行う。この復号キーは,前述の内部送信用秘密鍵情報であり,内部のイントラネット2から送信される電子メールの検証時に使用される。復号キー管理手段622は,検証情報復号キー生成部6221,検証情報復号キー保管部6222を有する。
検証手段623は,特徴量対象項目の情報(ヘッダ情報や本文,添付情報)から特徴量情報を生成し,さらに復号キーを使用して受信メールに付加されている検証情報を復号して特徴量情報を生成し,両特徴量情報を比較してその検証情報の検証を行う。検証手段623は,特徴量を生成する特徴量情報生成部6231と,検証情報の検証を行う検証部6232とを有する。
図7は,電子メール受信端末9の検証装置の構成図である。検証装置92は,要求受付手段921,検証手段922を有する。要求受付手段921は,入出力部9221を有し,電子メールソフトウエア91から受信した電子メールに含まれている検証情報の検証依頼の要求を受け付け,その検証結果を返却する。
検証手段922は,特徴量対象項目の情報(ヘッダ情報や本文,添付情報)から特徴量情報を生成し,さらに復号キーを使用して受信メールに付加されている検証情報を復号して特徴量情報を生成し,両特徴量情報を比較してその検証情報の検証を行う。検証手段922は,特徴量情報生成部9221と,検証部9222とを有する。送信者Xのイントラネット2の外部にあるイントラネット7の電子メール受信装置9では,検証装置92は,外部からの電子メールの受信,検証を行うことを前提としているため,内部送信用秘密鍵情報を保管する復号キー管理手段は保持しない。
[電子メールシステムの処理]
[事前準備の処理]
次に,電子メールシステムの処理の流れについて説明する。その前提として説明しておくと,図1に示したとおり,送信者Xが電子メール送信端末3で送信メールを作成し,メールチェッカにより検証情報を生成し送信メールに付加し,受信者AまたはB宛に送信メールを送信する。そして,受信者Aは,電子メール受信端末6で電子メールを受信し,メールチェッカにより検証し,標的型攻撃メールなどの不正メールの疑いがある場合に警告を出力する。同様に,受信者Bは,電子メール受信端末9で電子メールを受信し,メールチェッカにより検証,警告出力をする。
図8,図9,図10は,電子メールの送信,受信処理を開始する事前準備として行われるメールチェッカの処理のフローチャート図である。
図8は,電子メール送信端末3の生成キー管理手段323による認証情報生成キーの生成と保管処理のフローチャート図である。電子メール送信端末3では,電子メールの送信処理を行う前に,事前に認証情報を生成するための認証情報生成キーを生成し,保管する必要がある。
そこで,生成キー管理手段323は,内部送信用秘密鍵情報を生成し(S1001),さらに,外部送信用の鍵のペアである外部送信用秘密鍵情報と,公開鍵情報とを生成し(S1002),検証情報生成キー保管部3233がそれらの鍵情報を保管する(S1003)。この時,内部送信用の秘密鍵情報,および外部送信用の秘密鍵情報は,外部に情報漏えいしないよう安全に保管する。
内部送信用キーとして,送信側と受信側で内部送信用秘密鍵情報を共有することで,お互いにしか知りえない情報を用いて検証情報を生成することができるので,攻撃者はその秘密情報を知らなければ検証情報を作ることができない。それにより不正電子メールに対する防御が可能になる。
図9は,電子メール受信端末6の復号キー管理手段622による復号キーの生成と保管処理のフローチャート図である。電子メール受信端末6では,電子メールの受信処理をする前に,事前に検証情報を復号するためのキーを生成し,保管する処理が必要である。
そこで,復号キー管理手段622は,内部送信用秘密鍵情報の生成を行い(S2001),復号キー保管部6222は,その情報を保管する(S2002)。この時,内部送信用秘密鍵情報は外部に情報漏えいしないよう安全に保管する。
送信端末での暗号化キーと受信端末での復号キーである内部送信用秘密鍵情報は,送信端末と受信端末とで同一アルゴリズムで作成される必要があり,送信端末の検証情報生成装置32と,受信端末の検証装置62としか知りえない同一の情報となる必要がある。
図10は,電子メール送信端末3の管理手段322における,特徴量対象項目の生成と保管処理のフローチャート図である。電子メール送信端末3では,電子メールの送信を開始する前に,送信メールのヘッダ情報,本文情報,添付情報のどの項目を抽出して特徴量情報を生成するかを示す特徴量対象項目を予め選定しておく必要がある。この特徴量対象項目は,言い換えれば,送信メールに含まれる情報のどの項目を検証対象にするかを示す情報で,検証情報生成装置32が決定する。特徴量対象項目を示す情報(例えばFromヘッダとか,本文Bodyなど)を,特徴量対象項目情報と称する。また,特徴量対象項目の情報(例えば特徴量対象項目がFromヘッダの場合は,Fromヘッダのアドレス)を,特徴量対象情報と称する。
この場合,特徴量対象項目の生成ポリシーを検証情報生成装置32で管理してもよい。また,特徴量対象項目は,メール内容の重要度によって,メール単位で個別に生成してもよいし,作成されるメールはすべて同一の対象ヘッダ項目で生成してもよい。この制御は,前述の特徴量対象項目の生成ポリシー情報によって行われてもよい。
図11は,メール内容の重要度に応じて設定された特徴量対象項目の候補の一覧例を示す図である。この例では,電子メールの重要度に応じて,特徴量対象項目が異なっていて,重要度がAに近い程(つまり重要度が高い程)より多くの項目が選択される。
図11の特徴量対象項目の候補一覧を参照して,メール内容の重要度に応じて特徴量対象項目を選択した上で,もしくは予め決定している候補を選択した上で,後述するとおり特徴量情報を生成することになる。
本実施の形態例では,重要度Dの特徴量対象項目(From, Subject, Date, Bodyの項目)を選択した例で説明する。そして,管理手段322は,特徴量対象項目の生成(選択)を行い(S3001),特徴量対象項目管理部3231がその特徴量対象項目情報を保管する(S3002)。
上記の事前準備の処理のうち,秘密鍵情報の生成は,例えば,メールチェッカをインストールした時に登録処理として行われ,定期的に変更される。内部送信用秘密鍵情報は,同じイントラネット内のメールチェッカ全てで秘密に共有される。また,外部送信用秘密鍵情報は,全てのメールチェッカで秘密に共有される。
また,後述する特徴量生成のアルゴリズムについても,つまり,どの関数で特徴量情報を生成するかの情報(特徴量生成関数情報)についても,事前準備の段階で決定して,全てのメールチェッカで秘密に共有されることが好ましい。この特徴量生成関数情報の生成と保存は,例えば,電子メール送信端末3の管理手段322によって行われる。そして,その特徴量生成関数情報は電子メール受信端末6,9と共有される。
[電子メールの送信処理]
次に,電子メール送信端末3による電子メールの送信処理について説明する。
図12,図13は,電子メール送信端末3の検証情報生成装置32における検証情報の生成処理のフローチャート図である。そして,図14は,内部送信用生成キー(内部送信用秘密鍵情報)利用時の検証情報の生成と付加処理の一例を示す図である。図15は,外部送信用生成キー(外部送信用秘密鍵情報)利用時の検証情報の生成と付加処理の一例を示す図である。
図12において,送信者Xは,電子メール送信端末3を使用して,電子メールソフトウエア31を起動し,送信用電子メールを作成する。電子メールを作成後,電子メールソフトウエア31は,メールチェッカである検証情報生成装置32に,検証情報の生成依頼を発行すると共に,ヘッダ情報および本文情報を含む送信電子メールを出力する。
これに応答して,検証情報生成装置32は,要求受付手段321の入出力部3211を介して,電子メールソフトウエア31からの検証情報の生成依頼を受信する。そして,要求受付手段321は,検証情報生成手段324に対して,検証情報生成依頼を発行する(S4001)。この時,電子メールソフトウエア31から受け取ったヘッダ情報および本文情報を含む送信電子メールを,検証情報生成手段324に出力する。
これに応答して,検証情報生成手段324は,検証情報生成依頼を受信し(S4002),生成キー管理手段323に対して生成キー取得依頼を出力する(S4003)。この時,生成キー管理手段323が内部送信か外部送信かを判断できるように,送信メールのヘッダ情報を出力する。
これに応答して,生成キー管理手段323は,生成キー取得依頼を受信する(S4004)。続いて,生成キー管理手段323内の検証情報生成方法判定部3231は,送信メールのヘッダ情報解析を行う(S4005)。
具体的には,図14,図15で示す送信メールのヘッダ情報のTo:ヘッダを確認し,内部送信か,外部送信かを判断する(S4006)。図14の内部送信であれば,To:ヘッダのkimura@inter.system.comの@以下のドメイン(inter.system.com)により内部送信であると判断でき,図15の外部送信であれば,To:ヘッダのsatoh@extra.tech.comの@以下のドメイン(extra.tech.com)で外部送信であると判断できる。すなわち,検証情報生成方法判定部3231は,送信者Xのメールアドレスのドメインの情報を知っていることが前提である。もし,知っていない場合は,FromとToのヘッダの両ドメインが一致すれば内部送信,不一致なら外部送信であると判定できる。
検証情報生成方法判定部3231による判定が内部送信の場合,検証情報生成キー保管部3233が,内部送信用秘密鍵情報を取得し(S40071N),検証情報生成手段324に出力する(S4008)。一方,外部送信の場合,検証情報生成キー保管部3233が,外部送信用鍵ペア(秘密鍵情報,公開鍵情報)を取得し(S4007OUT),検証情報生成手段324に出力する(S4008)。
これに応答して,検証情報生成手段324は,生成キーを入力し(S4009),続いて,管理手段322に対して,特徴量対象項目取得依頼を出力する(S4010)。
管理手段322は,特徴量対象項目取得依頼を入力し(S4011),特徴量対象項目管理部3221から,特徴量対象項目を取得する(S4012)。取得方法については前述で示したとおりである。そして,管理手段322は,検証情報生成手段324に対して,特徴量対象項目を出力する(S4013)。
検証情報生成手段324は,特徴量対象項目を取得後(S4014),図13に示されるとおり,特徴量対象項目の情報を利用して特徴量情報を生成する(S4015)。
図14,図15に特徴量情報の生成が具体的に示されている。特徴量情報生成部3241は,特徴量対象項目である,送信メールのヘッダ情報のFrom:ヘッダ,Subject:ヘッダ,Date:ヘッダ,と,Body:本文情報の4つの項目に対する特徴量情報を生成する(S4015)。内部送信の図14では,特徴量情報として,“482DCBA724”が生成されていることを示している。外部送信の図15では,特徴量情報として,“23104AFC46”が生成されていることを示している。
この特徴量情報は,例えば,一方向性ハッシュ関数を用いて生成したハッシュ情報に相当する。これにより特徴量情報は比較的短い固定サイズのダイジェスト情報になり,秘密鍵情報を用いた暗号化処理を容易にすることができる。ただし,一方向性ハッシュ関数以外の生成アルゴリズムによる特徴量生成方法を用いてもよい。この生成アルゴリズムの関数は,検証時の整合性を確保するために,送信側の検証装置32が,受信側の検証装置62,92の特徴量情報生成部6231,9221と共有する必要がある。
また,本実施例では,特徴量対象項目に対してハッシュ関数により特徴量情報を生成しているが,図14,図15の破線矢印のように,特徴量対象項目の情報をそのまま有する特徴量対象情報を特徴量情報として用いてもよい。ただし,後者を選択した場合,前者に比較すると,検証情報を攻撃者から捏造される可能性がある。したがって,前者のように,ハッシュ関数などの生成アルゴリズムを送信側と受信側で秘密に共有し,特徴量対象項目の情報からその生成アルゴリズムにより特徴量情報を生成することが望ましい。
特徴量情報の生成が完了すると,検証情報生成手段324は,検証情報の生成を行う(S4016)。具体的には,検証情報生成キー保管部3233から生成キーの秘密鍵情報を取得して,それを利用して暗号化処理を行う。
内部送信の場合は,図14で示すとおり,検証情報生成部3242が,内部送信用秘密鍵情報を用いて特徴量情報を暗号化処理して検証情報を生成する。図14では,検証情報として,“BC73DA1254231C”が生成されていることを示している。
外部送信の場合は,図15で示すとおり,検証情報生成部3242が,外部送信用秘密鍵情報を用いて特徴量情報を暗号化処理して検証情報を生成する。図15では,検証情報として,“AF7D021BC81B43”が生成されていることを示している。
次に,検証情報付加部3243は,検証情報を新たなヘッダ情報として,送信メールのヘッダ情報に付加する(S4017)。さらに,検証情報付加部3243は,特徴量対象項目も新たなヘッダ情報として,送信メールのヘッダ情報に付加する(S4018)。特徴量対象項目は,メール受信時に検証を行うために必要な情報であり,メール受信時に送信時と同様の方法で,ヘッダ情報に付加されている特徴量対象項目の情報から特徴量情報が生成される。したがって,特徴量対象項目を送信メールのヘッダ情報に付加することで,受信端末のメールチェッカは,特徴量情報の生成を行うことができる。
図14,図15の例では,特徴量対象項目を直接示すFrom, Subject, Date, Bodyがヘッダ情報に付加されている。しかしながら,特徴量対象項目に対応する暗号情報,例えば重要度ランクなどの特徴量対象項目に対応する特徴量対象項目情報をヘッダ情報に付加してもよい。そのほうが,セキュリティ性が向上する。
内部送信の図14では,特徴量対象項目についての新たなヘッダ情報として,X-Inbound-TargetHead:ヘッダが生成され,特徴量対象項目となる“From, Subject, Date, Body”が付加されている。また,検証情報のヘッダ情報として,X-Inbound-MAC(Message Authentication Code):ヘッダが生成され,検証情報となる“BC73DA1254231C”が付加されている。
外部送信の場合は(S4019のYES),検証情報付加部3243は,内部送信に付加した特徴量対象項目と検証情報に加えて,メール受信時の検証を行うための情報として,暗号化した外部送信用秘密鍵情報に対応する外部送信用公開鍵情報を付加する(S4020)。ただし,外部送信用公開鍵情報は,公開されたインターネットサイトに掲示することもでき,その場合はヘッダ情報に付加する必要はない。
外部送信の図15では,外部送信用公開鍵情報の新たなヘッダ情報として,X-Inbound-PKey(Public Key):ヘッダが生成され,外部送信用公開鍵情報となる“4BCD781A23913A”が付加されている。
検証情報付加部3243は,特徴量を生成するための一方向性ハッシュ関数などの生成アルゴリズムを示す暗号情報をヘッダ情報として付加してもよい。こうすることで,生成アルゴリズムを送信側と受信側で共有する必要がなくなる。
ここまでの処理で,検証情報付きヘッダ情報を含む送信電子メールの生成が完了する。そこで,検証情報生成手段324は,要求受付手段321に対して,検証情報付きメール情報を出力する(S4021)。要求受付手段321は,検証情報付きメール情報を入力すると(S4022),電子メールソフトウエア31に対して検証情報付きメール情報を出力し,電子メールソフトウエア31は,通信装置33を介して,受信者に対して電子メールを送信する。受信者Aへの送信の場合,途中,送信メール(SMTP)サーバ4を経由し,受信者Bへの送信の場合,途中,送信メール(SMTP)サーバ7を経由して,電子メールが送信される。
[電子メールの受信処理]
次に,電子メール受信端末6,9での受信処理について説明する。
図16,図17は,電子メール受信端末6,9それぞれの検証装置62,検証装置92における検証情報の検証処理のフローチャート図である。図18は,内部用生成キー利用時の検証処理の一例を示す図である。図19は,外部用生成キー利用時の検証処理の一例を示す図である。
まず,図16,図17,図18を用いて,内部ネットワーク内の受信者Aの受信時における検証処理について説明する。受信者Aは,メール受信端末6上の電子メールソフトウエア61を起動し,電子メールの受信処理を行う。この時,受信メール(POP)サーバ5を経由して,検証情報付きメールを受信する。
そして,電子メールソフトウエア61は,検証情報付きメールを添付して,メールチェッカの検証装置62に対して検証情報の検証依頼を発行する。検証装置62は,要求受付手段621の入出力部6211を介して,電子メールソフトウエア61からの検証情報の検証依頼を受信する。それに応答して,要求受付手段621は,検証手段624に対して,検証依頼を発行する(S5001)。この時,電子メールソフトウエア61から受け取った,検証情報付きメールを検証手段624に提供する。
検証手段624は,検証依頼を入力し(S5002),検証情報付きメールのヘッダ情報および本文情報の解析を行う(S5003)。続いて,検証手段624は,ヘッダ情報から特徴量対象項目を取得する(S5004)。
具体的には,図18に示すように,特徴量対象項目に相当する,X-Inbound-TargetHead:ヘッダを参照して,どの項目が特徴量情報の生成対象かを確認する。本実施例では,送信時の処理で説明したとおり,From:ヘッダ,Subject:ヘッダ,Date:ヘッダ,Body:本文情報の4つの項目に対して特徴量情報を生成することを意味する。そして,後述するとおり,特徴量情報生成部6231は,特徴量対象項目を受信電子メールから抽出し,生成アルゴリズムの関数により特徴量情報を再生成する(S5011)。
特徴量対象項目を取得後,検証手段624,922は,内部ネットワークからの受信か,外部ネットワークからの受信かを判断する(S5005)。この判断は,例えば,受信メールのFROM:ヘッダに記載されたメールアドレスの@以下のドメインから判断することができる。図18の例では,内部ネットワークからの受信と判断される。そこで,検証手段624は,復号キー管理手段622に対して,復号キー(内部送信用秘密鍵情報)取得依頼を出力する(S50061N)。
これに応答して,復号キー管理手段622は,復号キー取得依頼を入力する(S5007)。そして,復号キー管理手段622は,検証情報復号キー保管部6222から,内部送信用秘密鍵情報を取得し(S5008),検証手段624に出力する(S5009)。これに応答して,検証手段624は,内部送信用秘密鍵情報を入力する(S5010)。
特徴量対象項目と復号キーがそろったところで,検証手段624は,特徴量対象項目の情報を利用して特徴量情報の再生成を行う(S5011)。具体的には,図18に示すように,特徴量情報生成部6231が,ヘッダ情報のFrom:ヘッダ,Subject:ヘッダ,Date:ヘッダ,Body:本文情報の4つの項目の情報について,送信側と同じ一方向性ハッシュ関数などの生成アルゴリズムを用いて特徴量情報を再生成する。図18では,特徴量情報として,“482DCBA724”が生成されている。
上記の特徴量情報を再生成するに際して,特徴量情報生成部6231は,受信メールのヘッダに特徴量生成アルゴリズムの関数に対応する関数対応情報が付加されている場合は,それを参照して,対応する関数を用いて特徴量対象項目から特徴量情報を生成する。
また,上記の特徴量情報を再生成するに際して,受信メールのヘッダに特徴量対象項目に対応する暗号情報である特徴量対象項目情報が付加されている場合は,その特徴量対象項目情報に対応する特徴量対象項目を図11の特徴量対象項目一覧から取得して,その特徴量対象項目から特徴量生成アルゴリズムによって特徴量情報を生成する。
さらに,上記の特徴量情報を再生成するに際して,送信側で特徴量対象項目の情報そのものの特徴量対象情報を一方向性ハッシュ関数による演算をすることなく特徴量情報として利用している場合は,受信側でも同様に,図18の破線の矢印に示されるように,一方向性ハッシュ関数による演算を行うことなく,特徴量対象項目の情報そのものの特徴量対象情報を特徴量情報として利用する。
続けて,検証手段624は,ヘッダ情報に付加された検証情報を取得する(S5012)。例えば,図18で示すように,X-Inbound-MAC:ヘッダを参照し,検証情報の“BC73DA1254231C”を取得する。
そして,図18における例では,内部ネットワークからの受信となるため(S5014IN),検証手段624は,復号キー管理手段622から取得した内部送信用秘密情報を用いて検証情報を復号し,特徴量情報を取得する(S5015)。図18で示すように,復号結果として,“482DCBA724”が生成されている。
検証情報の復号が完了すると,検証手段624は,復号された特徴量情報と再生成した特徴量情報と比較し,一致するか否か確認を行う(S5016)。そして,検証手段624は,比較確認結果を要求受付手段621へ出力する(S5017)。
要求受付手段621は,検証結果を受信すると(S5018),電子メールソフトウエア61に対して検証結果を出力し,出力装置64を介して,受信者Aに対して検証結果が通知される。
図18の例では,再生成された特徴量情報“482DCBA724”と,復号された特徴量情報“482DCBA724”とが一致しているので,適正な受信メールと通知される。一方,不一致の場合は,標的型攻撃電子メールなどの不正な受信メールの疑いがあることが,受信者Aに通知される。
次に,図16,図17,図19を用いて,外部ネットワークの受信者Bの受信時における検証処理について説明する。受信者Bは,メール受信端末9にインストールされている電子メールソフトウエア91を起動し,電子メールの受信処理を行う。この時,受信メール(POP)サーバ8を経由して,検証情報付きメールを受信する。
電子メールの受信依頼を受付後,電子メールソフトウエア91は,検証装置92に対して,検証情報付きメールを添付して検証情報の検証依頼を発行する。検証装置92は,要求受付手段921の入出力部9211を介して,電子メールソフトウエア91からの検証情報の検証依頼を受信する。そして,要求受付手段921は,検証手段922に対して,検証依頼を発行する(S5001)。その時,検証依頼と共に,電子メールソフトウエア91から受け取った検証情報付きメールを送信する。
検証手段922は,上記検証依頼を受信し(S5002),検証情報付きメールのヘッダ情報および本文情報の解析を行う(S5003)。そして,検証手段922は,検証情報付き受信メールのヘッダ情報から特徴量対象項目を取得する(S5004)。
具体的には,図19に示すように,特徴量対象項目に相当する,X-Inbound-TargetHead:ヘッダを参照して,どの項目が特徴量情報の生成対象か確認する。図19の例では,特徴量対象項目は,From:ヘッダ,Subject:ヘッダ,Date:ヘッダ,Body:本文情報の4つの項目であり,これらの項目から特徴量情報を生成することを意味する。
特徴量対象項目を取得後,検証手段922は,内部ネットワークからの受信か,外部ネットワークからの受信かを判断する(S5005)。この判断は,例えば,検証情報付き受信メールのFrom:ヘッダに記載されたメールアドレスの@以下のドメインから判断することができる。図19の例では,外部ネットワークからの受信となり(S5006OUT),復号キーはヘッダ情報に格納されているため,復号キー管理手段に対して取得依頼は発行されない。
特徴量対象項目と復号キーがそろったところで,検証手段922は,特徴量対象項目の情報を利用して特徴量情報の再生成を行う(S5011)。具体的には,図19に示すように,特徴量情報生成部9221が,ヘッダ情報のFrom:ヘッダ,Subject:ヘッダ,Date:ヘッダ,Body:本文情報の4つの項目に対する情報から,送信側と共有している所定の生成アルゴリズム,例えば一方向性ハッシュ関数により,特徴量情報を再生成する。図19では,特徴量情報として,“23104AFC46”が生成されている。
次に,検証手段922は,ヘッダ情報に付加された検証情報を取得する(S5012)。図19に示されるように,X-Inbound-MAC:ヘッダを参照し,付加された検証情報の“AF7D021BC81B43”を取得する。
外部ネットワークからの受信であるので,検証手段922は,ヘッダ情報に付加された外部送信用公開鍵情報を取得する(S5014OUT)。具体的には,図19で示すように,X-Inbound-PKey:ヘッダを参照し,“4BCD781A23913A”を取得する。この外部送信用公開鍵情報を用いて検証情報を復号し,特徴量情報を取得する(S5015)。図19で示すように,復号結果として,“23104AFC46”が生成されている。
検証情報の復号が完了すると,検証手段922は,復号された特徴量情報と,再生成した特徴量情報とを比較し,一致するか確認を行う(S5016)。そして,比較確認結果は,要求受付手段921へ送信される(S5017)。
要求受付手段921は,検証結果を受信すると(S5018),電子メールソフトウエア91に対して検証結果を出力し,出力装置94を介して,受信者Bに対して検証結果が通知される。
外部ネットワークへ送信された電子メールの受信端末でも,内部ネットワークへ送信された場合と同様に,特徴量情報の再生において,以下の変形例が可能である。
まず,上記の特徴量情報を再生成するに際して,特徴量情報生成部9221は,受信メールのヘッダに特徴量生成アルゴリズムの関数に対応する関数対応情報が付加されている場合は,それを参照して,対応する関数を用いて特徴量対象項目の情報から特徴量情報を生成する。
また,上記の特徴量情報を再生成するに際して,受信メールのヘッダに特徴量対象項目に対応する暗号情報である特徴量対象項目情報が付加されている場合は,その特徴量対象項目情報に対応する特徴量対象項目を図11の特徴量対象項目一覧から取得して,その特徴量対象項目の情報から特徴量生成アルゴリズムによって特徴量情報を生成する。
さらに,上記の特徴量情報を再生成するに際して,送信側で特徴量対象項目そのものの特徴量対象情報を一方向性ハッシュ関数による演算をすることなく特徴量情報として利用している場合は,受信側でも同様に,図19の破線の矢印に示されるように,一方向性ハッシュ関数による演算を行うことなく,特徴量対象項目そのものの特徴量対象情報を特徴量情報として利用する。
そして,外部送信用公開鍵情報が受信メールのヘッダに付加されていない場合でも,その外部送信用公開鍵情報を掲載している所定のインターネットサイトから取得して,復号処理を行うことができる。
外部ネットワークへ送信された電子メールの受信端末では,外部送信用秘密鍵情報と公開鍵情報の鍵ペアを利用して暗号化,復号化する。したがって,公開鍵情報が第三者により生成されたものではないことを保証するものではない。そこで,検証手段922が,認証事業者に,受信メールに付加されている外部送信用公開鍵情報の認証を依頼し,認証結果を受信する処理を行うようにしてもよい。認証事業者は,外部送信用秘密鍵情報と公開鍵情報とを登録しており,依頼された公開鍵情報に対応する秘密鍵情報が,不正な秘密鍵情報でないこと,つまり正当な送信者による鍵であることを認証する。それにより,不正な第三者が外部送信用秘密鍵情報と公開鍵情報とを自ら生成し,それを利用して認証情報付き電子メールを送信してきても,公開鍵認証事業者の認証処理により見破ることができる。
また,たとえ不正な第三者が生成した外部送信用秘密鍵情報と公開鍵情報により検証情報付き電子メールを受信したとしても,特徴量情報を生成する生成アルゴリズムが秘密に保たれていれば,再生成された特徴量情報と,復号化された特徴量情報とが一致しないので,不正な第三者による電子メールであることを検出することができる。
[内部と外部のネットワークへの同報電子メールの例]
本実施の形態では,送信者Xから,受信者Aと受信者Bとに対して同報メール(内部送信および外部送信が混同するメール)を送信することも可能である。その場合,送信端末のメールチェッカは,前述の内部ネットワークの場合の処理と,外部ネットワークの場合の処理とを両方行い,受信端末のメールチェッカは,内部ネットワーク内であれば前述の受信処理を行って検証を行い,外部ネットワーク内であれば前述の受信処理を行って検証を行う。
以上の通り,本実施の形態によれば,サーバベースで実現されている,SPF/Sender IDや,DKIMを利用しなくても,クライアントベースで標的型攻撃メールなどの不正メールを検知することができる。具体的には,内部送信用秘密鍵情報や外部送信用秘密鍵情報を用いて,ヘッダ情報や本文情報を含む検証情報を生成し,検証を行うため,攻撃者にこれら秘密となる情報が漏えいしない限り,ヘッダ情報を偽造して検証情報を生成することはできない。よって,検証情報が付加されているが,検証が正しく行えないメールに関しては,標的型攻撃メールの可能性があると判断することができ,この検知により,標的型攻撃メールの受信確率を軽減させることが可能になる。
以上の実施の形態をまとめると,次の付記のとおりである。
(付記1)
電子メール端末装置のコンピュータにより実行される不正メール検出方法であって,
内部ネットワーク向け電子メールで使用する内部送信用秘密鍵情報を予め送信端末と受信端末とで共有し,外部ネットワーク向け電子メールで使用する外部送信用秘密鍵情報と,前記外部送信用秘密鍵情報に対応する外部送信用公開鍵情報を予め生成する準備工程を有し,
メール送信時において,
送信メールに含まれるヘッダ項目と本文と添付情報のうち特徴量対象項目を有する第1の特徴量対象情報を,または前記第1の特徴量対象情報を所定の関数に基づいて生成した第1の特徴量情報を,前記送信メールの送信先が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって暗号化して検証情報を生成し,前記送信メールの送信先が前記外部ネットワークである場合は,前記外部送信用秘密鍵情報によって暗号化して前記検証情報を生成する検証情報生成工程と,
前記検証情報と,前記特徴量対象項目に対応する特徴量対象項目情報とを,前記送信メールのヘッダに付加する付加工程とを有し,
メール受信時において,
前記受信メールに含まれているヘッダ項目と本文と添付情報のうち,前記受信メールに付加された前記特徴量対象項目情報が示す特徴量対象項目を有する第2の特徴量対象情報を生成する,または前記第2の特徴量対象情報を前記所定の関数に基づいて第2の特徴量情報を生成する特徴量生成工程と,
前記受信メールに付加された前記検証情報を,前記受信メールの送信元が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって復号化し,前記受信メールの送信元が前記外部ネットワークである場合は,前記外部送信用公開鍵情報によって復号化して,第3の特徴量対象情報または第3の特徴量情報を生成する復号工程と,
前記第2の特徴量対象情報または第2の特徴量情報と,前記第3の特徴量対象情報または第3の特徴量情報とを,それぞれ比較して一致するか否か検証する検証工程とを有する不正メール検出方法。
(付記2)
付記1において,
前記メール送信時の付加工程では,前記送信メールの送信先が前記外部ネットワークの場合には,前記検証情報と前記特徴量対象項目情報とに加えて,前記外部送信用公開鍵情報を,前記送信メールのヘッダに付加する不正メール検出方法。
(付記3)
付記1において,
前記メール送信時の付加工程では,前記送信メールの送信先が前記内部ネットワークと外部ネットワークの両方の場合には,前記検証情報と,前記特徴量対象項目情報と,前記外部送信用公開鍵情報とを,前記送信メールのヘッダに付加する不正メール検出方法。
(付記4)
付記1または2において,
前記所定の関数は,一方向性ハッシュ関数であり,前記第1,第2の特徴量情報は,前記第1,第2の特徴量対象情報を前記一方向性ハッシュ関数でそれぞれ求めた第1,第2のハッシュ情報である不正メール検出方法。
(付記5)
付記1または4において,
前記メール送信時の付加工程では,さらに,前記所定の関数に対応する関数対応情報を前記送信メールのヘッダに付加し,
前記メール受信時の特徴量生成工程では,前記受信メールのヘッダに付加されている関数対応情報に対応する関数を,前記所定の関数に使用する不正メール検出方法。
(付記6)
付記1または4において,
前記準備工程で,前記所定の関数を予め送信端末と受信端末とで共有する不正メール検出方法。
(付記7)
付記2において,
前記メール受信時に,さらに,
前記受信メールに付加された前記外部送信用公開鍵情報を,公開鍵認証サーバに送信して,認証結果を受信する外部送信用公開鍵認証工程を有する不正メール検出方法。
(付記8)
付記1において,
前記特徴量対象項目情報は,前記特徴量対象項目を示す暗号情報である不正メール検出方法。
(付記9)
付記1において,
前記メール受信時に,さらに,前記比較結果が一致しない場合に,不正メールの警告をユーザに表示する工程を有する不正メール検出方法。
(付記10)
不正メール検出処理を電子メール端末装置のコンピュータに実行させる不正メール検出プログラムであって,
前記不正メール検出工程は,
内部ネットワーク向け電子メールで使用する内部送信用秘密鍵情報を予め送信端末と受信端末とで共有し,外部ネットワーク向け電子メールで使用する外部送信用秘密鍵情報と前記外部送信用秘密鍵情報に対応する外部送信用公開鍵情報を予め生成する準備工程を有し,
メール送信時において,
送信メールに含まれるヘッダ項目と本文と添付情報のうち特徴量対象項目を有する第1の特徴量対象情報を,または前記第1の特徴量対象情報を所定の関数に基づいて生成した第1の特徴量情報を,前記送信メールの送信先が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって暗号化して検証情報を生成し,前記送信メールの送信先が前記外部ネットワークである場合は,前記外部送信用秘密鍵情報によって暗号化して前記検証情報を生成する検証情報生成工程と,
前記検証情報と,前記特徴量対象項目に対応する特徴量対象項目情報とを,前記送信メールのヘッダに付加する付加工程とを有し,
メール受信時において,
前記受信メールに含まれているヘッダ項目と本文と添付情報のうち,前記受信メールに付加された前記特徴量対象項目情報が示す特徴量対象項目を有する第2の特徴量対象情報を生成する,または前記第2の特徴量対象情報を前記所定の関数に基づいて第2の特徴量情報を生成する特徴量生成工程と,
前記受信メールに付加された前記検証情報を,前記受信メールの送信元が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって復号化し,前記受信メールの送信元が前記外部ネットワークである場合は,前記外部送信用公開鍵情報によって復号化して,第3の特徴量対象情報または第3の特徴量情報を生成する復号工程と,
前記第2の特徴量対象情報または第2の特徴量情報と,前記第3の特徴量対象情報または第3の特徴量情報とを,それぞれ比較して一致するか否か検証する検証工程とを有する不正メール検出方法プログラム。
(付記11)
不正メール検出装置であって,
内部ネットワーク向け電子メールで使用する内部送信用秘密鍵情報を予め送信端末と受信端末とで共有し,外部ネットワーク向け電子メールで使用する外部送信用秘密鍵情報と前記外部送信用秘密鍵情報に対応する外部送信用公開鍵情報を予め生成する準備手段を有し,
メール送信時において,
送信メールに含まれるヘッダ項目と本文と添付情報のうち特徴量対象項目を有する第1の特徴量対象情報を,または前記第1の特徴量対象情報を所定の関数に基づいて生成した第1の特徴量情報を,前記送信メールの送信先が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって暗号化して検証情報を生成し,前記送信メールの送信先が前記外部ネットワークである場合は,前記外部送信用秘密鍵情報によって暗号化して前記検証情報を生成する検証情報生成手段と,
前記検証情報と,前記特徴量対象項目に対応する特徴量対象項目情報とを,前記送信メールのヘッダに付加する付加手段とを有し,
メール受信時において,
前記受信メールに含まれているヘッダ項目と本文と添付情報のうち,前記受信メールに付加された前記特徴量対象項目情報が示す特徴量対象項目を有する第2の特徴量対象情報を生成する,または前記第2の特徴量対象情報を前記所定の関数に基づいて第2の特徴量情報を生成する特徴量生成手段と,
前記受信メールに付加された前記検証情報を,前記受信メールの送信元が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって復号化し,前記受信メールの送信元が前記外部ネットワークである場合は,前記外部送信用公開鍵情報によって復号化して,第3の特徴量対象情報または第3の特徴量情報を生成する復号手段と,
前記第2の特徴量対象情報または第2の特徴量情報と,前記第3の特徴量対象情報または第3の特徴量情報とを,それぞれ比較して一致するか否か検証する検証手段とを有する不正メール検出装置。
1 インターネット
2 イントラネット
3 電子メール送信端末
31 電子メールソフトウエア
32 検証情報生成装置(メールチェッカ)
33 通信装置
321 要求受付手段
322 管理手段
323 生成キー管理手段
324 検証情報生成手段
3211 入出力部
3221 特徴量対象項目管理部
3231 検証情報生成方法判定部
3232 検証情報生成キー生成部
3233 検証情報生成キー保管部
3241 特徴量情報生成部
3242 検証情報生成部
3243 検証情報付加部
4 送信メール(SMTP)サーバ
5 受信メール(POP)サーバ
6 電子メール受信端末
61 電子メールソフトウエア
62 検証装置(メールチェッカ)
63 通信装置
64 表示装置
621 要求受付手段
622 復号キー管理手段
623 検証手段
6211 入出力部
6221 検証情報復号キー生成部
6222 検証情報復号キー保管部
6231 特徴量情報生成部
6232 検証部
7 イントラネット
8 受信メール(POP)サーバ
9 電子メール受信端末
91 電子メールソフトウエア
92 検証装置(メールチェッカ)
93 通信装置
94 表示装置
921 要求受付手段
922 検証手段
9211 入出力部
9221 特徴量情報生成部
9222 検証部

Claims (8)

  1. 電子メール端末装置のコンピュータにより実行される不正メール検出方法であって,
    内部ネットワーク向け電子メールで使用する内部送信用秘密鍵情報を予め送信端末と受信端末とで共有し,外部ネットワーク向け電子メールで使用する外部送信用秘密鍵情報と前記外部送信用秘密鍵情報に対応する外部送信用公開鍵情報を予め生成する準備工程を有し,
    メール送信時において,
    送信メールに含まれるヘッダ項目と本文と添付情報のうち特徴量対象項目を有する第1の特徴量対象情報を,または前記第1の特徴量対象情報を所定の関数に基づいて生成した第1の特徴量情報を,前記送信メールの送信先が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって暗号化して検証情報を生成し,前記送信メールの送信先が前記外部ネットワークである場合は,前記外部送信用秘密鍵情報によって暗号化して前記検証情報を生成する検証情報生成工程と,
    前記検証情報と,前記特徴量対象項目に対応する暗号情報を含む特徴量対象項目情報とを,前記送信メールのヘッダに付加する付加工程とを有し,
    メール受信時において,
    前記受信メールに含まれているヘッダ項目と本文と添付情報のうち,前記受信メールに付加された前記特徴量対象項目情報の前記暗号情報が示す特徴量対象項目を有する第2の特徴量対象情報を生成する,または前記第2の特徴量対象情報を前記所定の関数に基づいて第2の特徴量情報を生成する特徴量生成工程と,
    前記受信メールに付加された前記検証情報を,前記受信メールの送信元が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって復号し,前記受信メールの送信元が前記外部ネットワークである場合は,前記外部送信用公開鍵情報によって復号して,第3の特徴量対象情報または第3の特徴量情報を生成する復号工程と,
    前記第2の特徴量対象情報または第2の特徴量情報と,前記第3の特徴量対象情報または第3の特徴量情報とを,それぞれ比較して一致するか否か検証する検証工程とを有する不正メール検出方法。
  2. 請求項1において,
    前記メール送信時の付加工程では,前記送信メールの送信先が前記外部ネットワークの場合には,前記検証情報と前記特徴量対象項目情報とに加えて,前記外部送信用公開鍵情報を,前記送信メールのヘッダに付加する不正メール検出方法。
  3. 請求項1において,
    前記メール送信時の付加工程では,前記送信メールの送信先が前記内部ネットワークと外部ネットワークの両方の場合には,前記検証情報と,前記特徴量対象項目情報と,前記外部送信用公開鍵情報とを,前記送信メールのヘッダに付加する不正メール検出方法。
  4. 請求項1または2において,
    前記所定の関数は,一方向性ハッシュ関数であり,前記第1,第2の特徴量情報は,前記第1,第2の特徴量対象情報を前記一方向性ハッシュ関数でそれぞれ求めた第1,第2のハッシュ情報である不正メール検出方法。
  5. 請求項1または4において,
    前記メール送信時の付加工程では,さらに,前記所定の関数に対応する関数対応情報を前記送信メールのヘッダに付加し,
    前記メール受信時の特徴量生成工程では,前記受信メールのヘッダに付加されている関数対応情報に対応する関数を,前記所定の関数に使用する不正メール検出方法。
  6. 請求項2において,
    前記メール受信時に,さらに,
    前記受信メールに付加された前記外部送信用公開鍵情報を,公開鍵認証サーバに送信して,認証結果を受信する外部送信用公開鍵認証工程を有する不正メール検出方法。
  7. 不正メール検出処理を電子メール端末装置のコンピュータに実行させる不正メール検出プログラムであって,
    前記不正メール検出処理は,
    内部ネットワーク向け電子メールで使用する内部送信用秘密鍵情報を予め送信端末と受信端末とで共有し,外部ネットワーク向け電子メールで使用する外部送信用秘密鍵情報と前記外部送信用秘密鍵情報に対応する外部送信用公開鍵情報を予め生成する準備工程を有し,
    メール送信時において,
    送信メールに含まれるヘッダ項目と本文と添付情報のうち特徴量対象項目を有する第1の特徴量対象情報を,または前記第1の特徴量対象情報を所定の関数に基づいて生成した第1の特徴量情報を,前記送信メールの送信先が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって暗号化して検証情報を生成し,前記送信メールの送信先が前記外部ネットワークである場合は,前記外部送信用秘密鍵情報によって暗号化して前記検証情報を生成する検証情報生成工程と,
    前記検証情報と,前記特徴量対象項目に対応する暗号情報を含む特徴量対象項目情報とを,前記送信メールのヘッダに付加する付加工程とを有し,
    メール受信時において,
    前記受信メールに含まれているヘッダ項目と本文と添付情報のうち,前記受信メールに付加された前記特徴量対象項目情報の前記暗号情報が示す特徴量対象項目を有する第2の特徴量対象情報を生成する,または前記第2の特徴量対象情報を前記所定の関数に基づいて第2の特徴量情報を生成する特徴量生成工程と,
    前記受信メールに付加された前記検証情報を,前記受信メールの送信元が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって復号し,前記受信メールの送信元が前記外部ネットワークである場合は,前記外部送信用公開鍵情報によって復号して,第3の特徴量対象情報または第3の特徴量情報を生成する復号工程と,
    前記第2の特徴量対象情報または第2の特徴量情報と,前記第3の特徴量対象情報または第3の特徴量情報とを,それぞれ比較して一致するか否か検証する検証工程とを有する不正メール検出方法プログラム。
  8. 不正メール検出装置であって,
    内部ネットワーク向け電子メールで使用する内部送信用秘密鍵情報を予め送信端末と受信端末とで共有し,外部ネットワーク向け電子メールで使用する外部送信用秘密鍵情報と前記外部送信用秘密鍵情報に対応する外部送信用公開鍵情報を予め生成する準備手段を有し,
    メール送信時において,
    送信メールに含まれるヘッダ項目と本文と添付情報のうち特徴量対象項目を有する第1の特徴量対象情報を,または前記第1の特徴量対象情報を所定の関数に基づいて生成した第1の特徴量情報を,前記送信メールの送信先が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって暗号化して検証情報を生成し,前記送信メールの送信先が前記外部ネットワークである場合は,前記外部送信用秘密鍵情報によって暗号化して前記検証情報を生成する検証情報生成手段と,
    前記検証情報と,前記特徴量対象項目に対応する暗号情報を含む特徴量対象項目情報とを,前記送信メールのヘッダに付加する付加手段とを有し,
    メール受信時において,
    前記受信メールに含まれているヘッダ項目と本文と添付情報のうち,前記受信メールに付加された前記特徴量対象項目情報の前記暗号情報が示す特徴量対象項目を有する第2の特徴量対象情報を生成する,または前記第2の特徴量対象情報を前記所定の関数に基づいて第2の特徴量情報を生成する特徴量生成手段と,
    前記受信メールに付加された前記検証情報を,前記受信メールの送信元が前記内部ネットワークである場合は,前記内部送信用秘密鍵情報によって復号し,前記受信メールの送信元が前記外部ネットワークである場合は,前記外部送信用公開鍵情報によって復号して,第3の特徴量対象情報または第3の特徴量情報を生成する復号手段と,
    前記第2の特徴量対象情報または第2の特徴量情報と,前記第3の特徴量対象情報または第3の特徴量情報とを,それぞれ比較して一致するか否か検証する検証手段とを有する不正メール検出装置。
JP2012108092A 2012-05-10 2012-05-10 不正メールの検知方法,その検知プログラム及びその検知装置 Active JP5983008B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012108092A JP5983008B2 (ja) 2012-05-10 2012-05-10 不正メールの検知方法,その検知プログラム及びその検知装置
US13/792,331 US8931098B2 (en) 2012-05-10 2013-03-11 Detecting method and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012108092A JP5983008B2 (ja) 2012-05-10 2012-05-10 不正メールの検知方法,その検知プログラム及びその検知装置

Publications (2)

Publication Number Publication Date
JP2013235463A JP2013235463A (ja) 2013-11-21
JP5983008B2 true JP5983008B2 (ja) 2016-08-31

Family

ID=49549695

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012108092A Active JP5983008B2 (ja) 2012-05-10 2012-05-10 不正メールの検知方法,その検知プログラム及びその検知装置

Country Status (2)

Country Link
US (1) US8931098B2 (ja)
JP (1) JP5983008B2 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9185021B1 (en) * 2012-10-15 2015-11-10 Wal-Mart Stores, Inc. Content based routing architecture system and method
JP6044323B2 (ja) * 2012-12-20 2016-12-14 富士通株式会社 不正メールの検知方法,その検知プログラム及びその検知装置
JP6337472B2 (ja) * 2014-01-15 2018-06-06 富士通株式会社 不正メール検知装置
US9922324B2 (en) * 2014-05-21 2018-03-20 Square, Inc. Verified purchasing by email
US10776809B1 (en) 2014-09-11 2020-09-15 Square, Inc. Use of payment card rewards points for an electronic cash transfer
US9754106B2 (en) * 2014-10-14 2017-09-05 Symantec Corporation Systems and methods for classifying security events as targeted attacks
US9298940B1 (en) * 2015-01-13 2016-03-29 Centri Technology, Inc. Secure storage for shared documents
US11042863B1 (en) 2015-03-20 2021-06-22 Square, Inc. Grouping payments and payment requests
US10467615B1 (en) 2015-09-30 2019-11-05 Square, Inc. Friction-less purchasing technology
US10652276B1 (en) * 2017-06-28 2020-05-12 Intuit Inc. System and method for distinguishing authentic and malicious electronic messages
CN112653651A (zh) * 2019-10-11 2021-04-13 四川无国界信息技术有限公司 一种基于云计算的漏洞挖掘方法
US11823191B1 (en) 2022-08-29 2023-11-21 Block, Inc. Integration for performing actions without additional authorization requests

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7472164B2 (en) * 2004-01-09 2008-12-30 International Business Machines Corporation System and method for identifying spoofed email by modifying the sender address
US7437558B2 (en) * 2004-06-01 2008-10-14 Cisco Technology, Inc. Method and system for verifying identification of an electronic mail message
US7571319B2 (en) 2004-10-14 2009-08-04 Microsoft Corporation Validating inbound messages
JP2006222476A (ja) * 2005-02-08 2006-08-24 Murata Mach Ltd 電子メール端末装置
US7739338B2 (en) * 2005-06-21 2010-06-15 Data Laboratory, L.L.C. System and method for encoding and verifying the identity of a sender of electronic mail and preventing unsolicited bulk email
ATE374400T1 (de) * 2005-06-21 2007-10-15 Research In Motion Ltd Automatisierte auswahl und aufnahme einer nachrichtensignatur
CN100574180C (zh) * 2005-06-24 2009-12-23 捷讯研究有限公司 用于将证书与消息地址关联的系统和方法
US9002018B2 (en) * 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US8538028B2 (en) * 2006-11-20 2013-09-17 Toposis Corporation System and method for secure electronic communication services
US8423616B2 (en) * 2007-05-03 2013-04-16 Microsoft Corporation Identifying and correlating electronic mail messages
JP4444998B2 (ja) * 2007-10-12 2010-03-31 富士通株式会社 電子メール情報管理プログラム、電子メール情報管理装置、および電子メール情報管理方法
US8381262B2 (en) * 2008-02-20 2013-02-19 Yahoo! Inc. Blocking of spoofed E-mail
US7950047B2 (en) * 2008-02-22 2011-05-24 Yahoo! Inc. Reporting on spoofed e-mail
US9177296B2 (en) * 2008-03-31 2015-11-03 International Business Machines Corporation Composing, forwarding, and rendering email system
US8359357B2 (en) * 2008-07-21 2013-01-22 Raytheon Company Secure E-mail messaging system

Also Published As

Publication number Publication date
US8931098B2 (en) 2015-01-06
US20130305367A1 (en) 2013-11-14
JP2013235463A (ja) 2013-11-21

Similar Documents

Publication Publication Date Title
JP5983008B2 (ja) 不正メールの検知方法,その検知プログラム及びその検知装置
US20200195660A1 (en) Electronic interaction authentication and verification, and related systems, devices, and methods
US7650383B2 (en) Electronic message system with federation of trusted senders
US8582760B2 (en) Method and system of managing and filtering electronic messages using cryptographic techniques
US20070174636A1 (en) Methods, systems, and apparatus for encrypting e-mail
US20130103944A1 (en) Hypertext Link Verification In Encrypted E-Mail For Mobile Devices
JP5978748B2 (ja) 添付情報付き電子メールによる不正メールの検知方法,その検知プログラム及びその検知装置
Schryen Anti-spam measures
JP6044323B2 (ja) 不正メールの検知方法,その検知プログラム及びその検知装置
WO2009066302A2 (en) Secure messaging
CN101924635A (zh) 一种用户身份认证的方法及装置
CA2793422C (en) Hypertext link verification in encrypted e-mail for mobile devices
Gupta et al. Forensic analysis of E-mail address spoofing
US9652621B2 (en) Electronic transmission security process
Piedrahita Castillo et al. A new mail system for secure data transmission in cyber physical systems
Arvin S. Lat et al. SOUL System: secure online USB login system
JP6085978B2 (ja) メール処理方法、メール処理プログラム及びメール処理装置
JP6337472B2 (ja) 不正メール検知装置
Shaikh et al. E-commerce Development with Respect to its Security Issues and Solutions: A Literature Review
Zhao et al. An add-on end-to-end secure email solution in mobile communications
KR101987579B1 (ko) 웹 메일과 otp 및 디피 헬만 키교환을 이용한 보안메일의 송수신 방법 및 시스템
WO2014054009A1 (en) Secure email messaging system and method
Zeydan et al. Study on Protection Against Password Phishing
Yu et al. Challenges with End-to-End Email Encryption
Ojamaa et al. Securing Customer Email Communication in E-Commerce

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160418

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160705

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160718

R150 Certificate of patent or registration of utility model

Ref document number: 5983008

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150