JP6004862B2 - 詐称メール検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び詐称メール検出方法 - Google Patents
詐称メール検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び詐称メール検出方法 Download PDFInfo
- Publication number
- JP6004862B2 JP6004862B2 JP2012209349A JP2012209349A JP6004862B2 JP 6004862 B2 JP6004862 B2 JP 6004862B2 JP 2012209349 A JP2012209349 A JP 2012209349A JP 2012209349 A JP2012209349 A JP 2012209349A JP 6004862 B2 JP6004862 B2 JP 6004862B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- unit
- communication
- route
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
また、コンピュータウィルスを検出する技術がある。
メールサーバ装置14は、端末装置12から社外へ向けて送信された電子メールを外部のメールサーバ装置82などへ転送する。また、メールサーバ装置14は、端末装置12に対して、他の端末装置12や外部のメールサーバ装置82から送信された電子メールをメールボックスに記憶し、端末装置12からの要求にしたがって、記憶した電子メールを端末装置12に対して送信する。
ウェブプロキシ装置15は、端末装置からの要求にしたがって、外部のウェブサーバ装置からウェブページを取得し、端末装置12に対して送信する。
コンピュータウィルスと攻撃者との間の通信は、例えば、端末装置12がウェブページを閲覧するときに用いるハイパーテキスト転送プロトコル(HTTP)におけるリクエストとそれに対するレスポンスの形式をとる。ウェブプロキシ装置15がこれに騙されて通信を中継すると、攻撃者は、コンピュータウィルスによる調査結果に基づいて、徐々に秘密情報に肉薄していく。
ネットワークを介した通信のうち、メール転送プロトコルである通信を取得するメール通信取得部と、
上記メール通信取得部が取得した通信によって転送される電子メールの作成者フィールドに記載された作成者が属する作成者ドメインを取得する作成者ドメイン取得部と、
上記電子メールの転送にかかるセッションを構成する一連のパケットそれぞれの送信方向を判定し、上記一連のパケットのうち2番目以降のパケットの送信方向が、1つ前のパケットと同じであるパケットの割合を算出して、上記電子メールのパケット連続度とする連続度算出部と、
判定対象メールと作成者ドメインが同じ1以上の電子メールについて上記連続度算出部が算出したパケット連続度に基づいて統計量を算出する統計量算出部と、
上記統計量算出部が算出した統計量に基づいて、上記判定対象メールについて上記連続度算出部が算出したパケット連続度が異常値であるか否かを判定し、上記パケット連続度が異常値であると判定した場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する詐称判定部とを有する。
上記詐称判定部は、上記標準偏差に所定の定数を乗じた値を上記平均値に加えた値よりも上記パケット連続度が大きい場合と、上記標準偏差に所定の定数を乗じた値を上記平均値から差し引いた値よりも上記パケット連続度が小さい場合とのうち、少なくともいずれかの場合に、上記パケット連続度が異常値であると判定する。
判定対象メールについて詐称評価値を算出し、上記統計量算出部が算出した統計量に基づいて、上記連続度算出部が算出したパケット連続度が異常値であるか否かを判定し、上記パケット連続度が異常値であると判定した場合に、上記詐称評価値に所定の値を加算する詐称評価値算出部と、
上記詐称評価値算出部が算出した詐称評価値が所定の詐称評価閾値より大きい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する詐称評価値判定部とを有する。
上記連続度算出部が算出したパケット連続度の異常度を算出し、算出した異常度に応じた値を上記詐称評価値に加算する。
上記詐称評価値算出部は、上記判定対象メールのパケット連続度と、上記統計量算出部が算出した平均値との差を、上記標準偏差で割った商を算出して、上記異常度とする。
上記電子メールの転送経路を算出する転送経路算出部と、
上記判定対象メールと作成者ドメインが同じ1以上の電子メールのうち、上記判定対象メールと転送経路が一致する経路一致メールの数を計数する経路一致計数部とを有する。
上記詐称判定部は、上記経路一致計数部が計数した経路一致メールの数が、所定の経路一致閾値より小さい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する。
上記作成者ドメイン取得部が取得した作成者ドメインが、所定の内部ドメインである場合に、上記電子メールの送信者が属する送信者ドメインを取得する送信者ドメイン取得部と、
上記判定対象メールと送信者ドメインが同じ1以上の電子メールのうち、作成者ドメインが上記内部ドメインである内部作成メールの数を計数する内部作成計数部とを有する。
上記詐称判定部は、上記内部作成計数部が計数した内部作成メールの数が所定の内部作成閾値より小さい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する。
上記作成者ドメイン取得部が取得した作成者ドメインが属する国が、上記電子メールの宛先ドメインが属する宛先国と同じである場合に、上記電子メールが上記宛先国と異なる国を経由したか否かを判定する外国経由判定部と、
上記判定対象メールと作成者ドメインが同じ電子メールのうち、上記宛先国と異なる国を経由した外国経由メールの数を計数する外国経由計数部とを有する。
上記詐称判定部は、上記判定対象メールが上記宛先国と異なる国を経由したと上記外国経由判定部が判定し、かつ、上記外国経由計数部が計数した外国経由メールの数が所定の外国経由閾値より小さい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する。
上記詐称メール検出装置と、
ネットワークを介した通信のうちから、不正通信の可能性がある通信を検出する不正通信検出装置とを有する。
コンピュータが実行することにより、上記コンピュータを上記詐称メール検出装置として機能させる。
ネットワークを介した通信のうち、メール転送プロトコルである通信を取得し、
取得した通信によって転送される電子メールの作成者フィールドに記載された作成者が属する作成者ドメインを取得し、
上記電子メールの転送にかかるセッションを構成する一連のパケットそれぞれの送信方向を判定し、上記一連のパケットのうち2番目以降のパケットの送信方向が、1つ前のパケットと同じであるパケットの割合を算出して、上記電子メールのパケット連続度とし、
判定対象メールと作成者ドメインが同じ1以上の電子メールについて算出したパケット連続度に基づいて統計量を算出し、
算出した統計量に基づいて、上記判定対象メールについて算出したパケット連続度が異常値であるか否かを判定し、上記パケット連続度が異常値であると判定した場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する。
実施の形態1について、図2〜図5を用いて説明する。
詐称メールを検出した場合、詐称メール検出装置20は、その電子メールの受信者である端末装置12の利用者や、ローカルネットワークシステム10の管理者などに対して、警告する。これにより、利用者が添付ファイルを開いて端末装置12がコンピュータウィルスに感染するのを防ぐ。また、端末装置12がコンピュータウィルスに感染してしまったとしても、管理者が迅速な対応をすることを可能にする。
不正な通信を検出した場合、不正通信検出装置30は、ローカルネットワークシステム10の管理者などに対して、警告する。これにより、管理者が迅速な対応をすることができるので、標的型サイバー攻撃のコンピュータウィルスを発見し、秘密情報の漏洩を防ぐことができる。
記憶装置94は、制御装置91が実行するコンピュータプログラムや、演算装置95が演算に用いるデジタルデータなどを記憶する。記憶装置94は、例えば、揮発性メモリや不揮発性メモリなどの内部記憶装置、磁気ディスク装置や光学ディスク装置などの外部記憶装置である。
演算装置95は、記憶装置94が記憶したデジタルデータなどを用いて、算術演算や論理演算などの演算をする。演算装置95は、演算の結果を表わすデジタルデータを生成する。演算装置95が生成したデジタルデータは、例えば、記憶装置94が記憶する。
入力装置92は、コンピュータ90の外部から情報を入力し、デジタルデータに変換する。入力装置92が変換したデジタルデータは、例えば、記憶装置94が記憶する。入力装置92は、例えば、キーボードやマウスなどの操作入力装置、カメラやスキャナなどの画像入力装置、マイクなどの音声入力装置、温度や電圧などの物理量を測定する測定装置、他の装置が送信した信号を受信する受信装置である。
出力装置93は、記憶装置94が記憶したデジタルデータなどを、コンピュータ90の外部へ出力できる形式に変換して出力する。出力装置93は、例えば、文字や画像を表示する表示装置、文字や画像を印刷する印刷装置、スピーカなどの音声出力装置、他の装置に対して信号を送信する送信装置である。
メール通信取得部21は、キャプチャしたIPパケットを解析して、トランスポート層のプロトコルにおけるメッセージを再構成する。トランスポート層のプロトコルには、例えばTCP(伝送制御プロトコル)やUDP(ユーザデータグラムプロトコル)などがある。
メール通信取得部21は、再構成したトランスポート層におけるメッセージを解析して、アプリケーション層のプロトコルにおけるメッセージを再構成する。アプリケーション層のプロトコルには、例えばHTTP(ハイパーテキスト転送プロトコル)やSMTP(シンプルメール転送プロトコル)などがある。
メール通信取得部21は、再構成したアプリケーション層におけるメッセージを解析して、SMTPにかかるメッセージだけを抽出する。メール通信取得部21は、抽出したメッセージのうちから、更に、メールサーバ装置14がSMTPサーバ(電子メールを受信する側)であるメッセージだけを抽出する。
メール通信取得部21は、抽出したメッセージを出力する。
作成者ドメイン取得部23は、取得したメールヘッダの「From」フィールドに記載されたメールアドレスを取得する。
作成者ドメイン取得部23は、取得したメールアドレスのうち、「@」より後ろの部分の文字列を、作成者ドメインとして取得する。
作成者ドメイン取得部23は、取得した作成者ドメインを出力する。
作成者ドメイン取得部23が取得した作成者ドメインが内部ドメインである場合、判定対象メールが詐称メールである可能性がある。ただし、例外的に、作成者ドメインが内部ドメインである電子メールが外部から届く場合もある。
作成者ドメイン取得部23が取得した作成者ドメインが属する国が宛先国と同じであるにもかかわらず、その電子メールが他の国を経由している場合、判定対象メールが詐称メールである可能性がある。ただし、例外的に、他の国を経由して届く場合もある。
ただし、送信側の装置と受信側の装置との間の距離が離れている場合など、データパケットが相手側に到達するまでに時間がかかる場合は、ACKを受信するまで次のデータパケットを送信しないと、通信速度が低くなる。これを避けるため、ACKを受信するのを待たずに、次のデータパケットを送信する。例えば、ACKを待たずに送信するデータパケットの数の上限をあらかじめ定めておき、その数に達するまでは、ACKを受信しなくても、データパケットを連続して送信する。このため、IPパケットの送受信方向は、規則正しく「送信」「受信」を繰り返すのではなく、「送信」が連続したり、「受信」が連続したりする。
このため、パケット連続度は、送信側の装置と受信側の装置との間の距離など、利用者が任意に設定することのできない要因によって、ある程度定まる。
例えば、詐称警告部29は、メールサーバ装置14に対して、判定対象メールを破棄するよう指示する。しかし、判定対象メールが詐称メールではない可能性もあるので、詐称警告部29は、判定対象メールの宛先である利用者宛の電子メールを、判定対象メールの代わりに生成する。詐称警告部29が生成する電子メールは、例えば、判定対象メールが詐称メールである可能性がある旨の警告文を、判定対象メールの情報に付加したものである。
また、例えば、詐称警告部29は、詐称メールの可能性があると詐称判定部28が判定した判定対象メールに関する情報をログに記録する。詐称警告部29は、例えば、月に一度など定期的に、あるいは、管理者からの要求に基づいて不定期に、記録したログの内容をレポートとして出力する。
上述したように、標的型サイバー攻撃の第一段階で送付される電子メールは、端末装置12をコンピュータウィルスに感染させることを目的としている。詐称警告部29が警告をするのは、利用者が添付ファイルやリンクを開いて端末装置12がコンピュータウィルスに感染するのを防ぐためである。したがって、たとえ詐称メールであっても、添付ファイルやリンクが含まれていなければ、警告をする必要はない。
例えば、内部ドメイン検査部24、外国経由検査部25、パケット連続度検査部26及び転送経路検査部27は、検査結果を表わすスコアを出力する。スコアは、例えば、0以上4以下の整数である。スコアは、数値が大きいほど、詐称メールである可能性が高いことを表わす。
詐称評価値算出部281は、内部ドメイン検査部24、外国経由検査部25、パケット連続度検査部26及び転送経路検査部27が出力したスコアを入力する。詐称評価値算出部281は、入力したスコアを合計した値を算出して、詐称評価値とする。
内部ドメイン検査部24、外国経由検査部25、パケット連続度検査部26及び転送経路検査部27が出力したスコアが、0より大きく、かつ、詐称評価閾値以下である場合、詐称評価値判定部283は、その観点単独では、判定対象メールが詐称メールである可能性があると判定しない。しかし、他の観点と総合した結果、詐称評価値が詐称評価閾値より大きくなれば、詐称評価値判定部283は、判定対象メールが詐称メールである可能性があると判定する。
なお、情報を消去する電子メールとして、メール通信記憶部22は、情報を記憶している電子メールのなかで一番古いものを選択する構成であってもよいし、次のようにして選択する構成であってもよい。
ここで、メール通信記憶部22は、例えば、選択する作成者ドメインが偏らないようにする。例えば、メール通信記憶部22は、情報を記憶している電子メールの数が所定の数(例えば10通)以上ある作成者ドメインのなかで、情報を記憶している電子メールの数が一番多い作成者ドメインを選択する。ただし、メール通信記憶部22は、選択した作成者ドメインを記憶しておき、次回は、選択したことのない作成者ドメインのなかから、作成者ドメインを選択する。したがって、二回目は、例えば、情報を記憶している電子メールの数が二番目に多い作成者ドメインが選択され、三回目は、例えば、情報を記憶している電子メールの数が三番目に多い作成者ドメインが選択される。情報を記憶している電子メールの数が所定の数(例えば10通)以上ある作成者ドメインがすべて選択済になった場合、メール通信記憶部22は、記憶している選択済の作成者ドメインを消去し、再び、情報を記憶している電子メールの数が一番多い作成者ドメインを選択する。これにより、それぞれの作成者ドメインから、情報を消去する電子メールを均等に選択することができる。
そこで、メール通信記憶部22は、あらかじめダミー通信についての情報を記憶しておく構成であってもよい。
ダミー通信とは、メール通信取得部21が実際に取得した通信ではない架空の通信のことである。ダミー通信についての情報をメール通信記憶部22が記憶していることにより、実際には転送されていないが、転送されたことになっている電子メールのことを「ダミーメール」と呼ぶ。例えば、メール通信記憶部22は、ダミーメールが所定の数存在することを表わすダミー通信についての情報を記憶する。メール通信記憶部22が記憶した情報によって表わされるダミーメールにかかるIPパケットの取得日時は、例えば、サイバー攻撃検出システム16の稼働開始時(システム導入時)である。
詐称メール検出装置は、ネットワークを介した通信によって転送される電子メールのうちから、作成者を詐称した詐称メールを検出する。
不正通信検出装置は、ネットワークを介した通信のうちから、不正通信の可能性がある通信を検出する。
実施の形態2について、図6〜図10を用いて説明する。
この実施の形態では、実施の形態1で説明した詐称メール検出装置20のうち、内部ドメイン検査部24の構成例について、詳しく説明する。
なお、実施の形態1と共通する構成には、同一の符号を付し、説明を省略する場合がある。
図6及び図7を用いて、本実施の形態に係る内部ドメイン検査部24の機能構成について説明する。
電子メール240のメッセージボディ240cには、メッセージテキストが設定される。
作成者ドメイン取得部23は、取得したメールアドレスのうち、「@」より後ろの部分の文字列「aaabbbcc.or.jp」を作成者ドメイン248bとして取得する。
作成者ドメイン取得部23は、取得した作成者ドメイン248bを内部ドメイン検査部24に出力する。
送信者ドメイン取得部241は、対象判定メールの作成者ドメイン248bが所定の内部ドメイン、すなわち、ローカルネットワークシステム10により付与された内部ドメインである場合は、メール通信記憶部22に記憶されている判定対象メールである電子メール240の情報から、送信者ドメイン249bを取得する。
送信者ドメイン取得部241は、取得した送信者メールアドレス249aのうち、「@」より後ろの部分の文字列「xxyyzzpp.or.jp」を送信者ドメイン249bとして取得する。
送信者ドメイン取得部241は、取得した送信者ドメイン249bを出力する。
これは、通常、内部ドメインのメールアドレスからの電子メールが外部から届くことがないと考えられるからである。
これに対して、標的型サイバー攻撃のメールは、基本的に、1通か、多くても数通程度である。したがって、そのドメインから送信された内部作成メールの数で、攻撃メールか否かを判定できる。
内部作成計数部242は、計数した内部作成メール数を、判定対象メールの送信者ドメイン249bに対応付けてドメイン別メール数一覧2421に記憶する。
内部ドメイン詐称スコア246とは、判定対象メールの作成者ドメインが内部ドメインに詐称された詐称メールである度合いを示す値である。
内部ドメイン検査部24は、システム導入時から計数時間2423の期間において、除外ドメイン一覧2425のなかに、送信者ドメイン249bが含まれている場合、計数した内部作成メール数に所定の数を加算する。この所定の数は、例えば、除外判定値2422である。
内部ドメイン検査部24は、所定の数を加算した内部作成メール数を、判定対象メールの送信者ドメイン249bに対応付けてドメイン別メール数一覧2421に記憶する。
逆に、計数時間2423が経過してもまだ内部作成メール数が除外判定値2422に達していない場合は、例えばMLの設定が変更になり、そのドメインから内部作成メールが送信されなくなったものと考えられる。
その場合、そのドメインからの電子メールを除外する必要がなくなるため、他のドメインからの電子メールと同様、実際の内部作成メール数に基づいて、詐称メールか否かを判定する。
例えば、詐称判定部28が備える詐称評価値算出部281は、判定対象メールについてスコアを算出し、判定対象メールの送信者ドメイン249bに対応する内部作成メール数が除外判定値2422より小さい場合に、スコアに所定の値(内部ドメイン詐称スコア246「4」)を加算する。
内部ドメイン検査部24は、予め、内部ドメインを記憶装置94に記憶している。
S2420において、送信者ドメイン取得部241は、入力した作成者ドメイン248bと記憶装置94に記憶している内部ドメインとを処理装置により比較して、判定対象メールの作成者ドメイン248bが内部ドメインであるか否かを判定する。
ドメイン別メール数一覧2421には、ドメイン毎の内部作成メール数が設定されている。内部ドメイン検査部24では、内部作成メール数が除外判定値2422以上になったドメインを、詐称メールであるか否かの判定から除外する。内部作成計数部242によるドメイン別メール数一覧2421への設定処理を「除外ドメイン学習処理」と呼ぶ。
内部ドメイン詐称スコア算出部243は、取得した内部作成メール数が除外判定値2422以上である場合、内部ドメイン詐称スコア246に「0」を設定する。
内部ドメイン詐称スコア算出部243は、取得した内部作成メール数が除外判定値2422より小さい値である場合、内部ドメイン詐称スコア246に「4」を設定する。
S2442において、内部作成計数部242は、記憶装置94に記憶されている計数時間2423を取得する。
例えば、現時点が2012年9月10日であり、計数時間2423が「3ヶ月」であるとすると、内部作成計数部242は、メール通信記憶部22に記憶されている電子メールのうち、過去3ヶ月分の電子メール(2012年6月10日から計数時間2423遡った時点から現時点までの期間に取得された電子メール)について、送信者ドメインが判定対象メールの送信者ドメイン249bであり、かつ、作成者ドメインが内部ドメインである内部作成メールを処理装置により計数する。
S2444において、内部作成計数部242は、判定対象メールの送信者ドメイン249bが除外ドメイン一覧2425に含まれているが否かを処理装置により判定する。判定対象メールの送信者ドメイン249bが除外ドメイン一覧2425に含まれていないと判定した場合(S2444)は、処理はS2446に進む。
この場合におけるダミーメールの取得日時は、例えば、システム導入時である。ダミーメールの送信者ドメイン249bは、上述した内部作成除外ドメインである。ダミーメールの作成者ドメイン248bは、内部ドメインである。
メール通信記憶部22は、1つの内部作成除外ドメインにつき所定の数(例えば除外判定値2422)のダミーメールについての情報を記憶しておく。
したがって、システム導入時から計数時間2423が経過するまでの間において、内部作成除外ドメインについて内部作成計数部242が計数する内部作成メール数には、ダミーメールの数が上乗せされる。
しかし、システム導入時から計数時間2423が経過したのちは、内部作成除外ドメインについて内部作成計数部242が計数する内部作成メール数に、ダミーメールの数は上乗せされない。内部作成計数部242は、実際の内部作成メールの数を計数する。
ネットワークを介した通信のうち、メール転送プロトコルである通信を取得するメール通信取得部(21)と、
上記メール通信取得部が取得した通信によって転送される電子メールの作成者フィールドに記載された作成者が属する作成者ドメインを取得する作成者ドメイン取得部(23)と、
上記作成者ドメイン取得部が取得した作成者ドメインが所定の内部ドメインである場合に、上記電子メールの送信者が属する送信者ドメインを取得する送信者ドメイン取得部(241)と、
判定対象メールと送信者ドメインが同じ1以上の電子メールのうち、作成者ドメインが上記内部ドメインである内部作成メールの数を計数する内部作成計数部(242)と、
上記内部作成計数部が計数した内部作成メールの数が所定の内部作成閾値より小さい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する詐称判定部(28,内部ドメイン詐称スコア算出部243)とを有する。
判定対象メールについて詐称評価値を算出し、上記内部作成計数部が計数した内部作成メールの数が所定の内部作成閾値より小さい場合に、上記詐称評価値に所定の値を加算する詐称評価値算出部(281,243)と、
上記詐称評価値算出部が算出した詐称評価値が所定の詐称評価閾値より大きい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する詐称評価値判定部(283)とを有する。
実施の形態3について、図11〜図16を用いて説明する。
この実施の形態では、実施の形態1で説明した詐称メール検出装置20のうち、外国経由検査部25の構成例について、詳しく説明する。
なお、実施の形態1または実施の形態2と共通する構成には、同一の符号を付し、説明を省略する場合がある。
実施の形態3における外国経由検査部25の構成について、図11に基づいて説明する。
外国経由判定部251は、中継装置ドメイン取得部253、中継時刻取得部254またはパケット送信元取得部255によって取得される情報に基づいて、作成国と宛先国とが同じである電子メールが宛先国と異なる外国を経由して通信された外国経由メールであるか否かを判定する。作成国とは、電子メールの作成者のドメインが属する国のことである。宛先国とは、電子メールの宛先ドメインが属する国のことである。
国内信頼ドメイン学習部252(外国経由計数部の一例)は、外国経由判定部251の判定結果に基づいて、電子メールの作成者が属する作成者ドメインのうち電子メールが外国を経由しないで通信される可能性が高い作成者ドメインを国内信頼ドメインとして学習し、国内信頼ドメイン一覧252Aを生成する。
中継装置ドメイン取得部253は、電子メールのヘッダを参照し、電子メールを中継した中継装置(メールサーバ)が属する中継装置ドメインを電子メールのヘッダから取得する。
中継時刻取得部254は、電子メールのヘッダを参照し、電子メールが中継された中継時刻のタイムゾーンを電子メールのヘッダから取得する。
パケット送信元取得部255は、電子メールの少なくとも一部を含んだIPパケットからIPパケットの送信元アドレスを取得する。
外国経由検査スコア決定部259は、外国経由判定部251の判定結果に基づいて、詐称メールであるか否かを判定する対象の電子メール(以下、「判定対象メール」という)が詐称メールである可能性の度合いを表す外国経由検査スコアを算出する。
国内信頼ドメイン一覧252Aを生成する国内信頼ドメイン学習処理について、図12および図13に基づいて説明する。
電子メールの作成国とは、電子メールを作成した作成者のドメインが属する国のことである。
電子メールの宛先国とは、電子メールの宛先のドメインが属する国のことである。
例えば、電子メールの宛先アドレス「aaa@bbb.us」を構成する文字列のうちアットマークの後ろの文字列「bbb.us」が宛先ドメインを表し、宛先ドメイン「bbb.us」の末尾の文字列「.us」が宛先国を表す。末尾の文字列が「.us」である場合、宛先国は米国である。
実施の形態の場合、電子メールの宛先国は、ローカルネットワークシステム10のメールサーバ装置14のドメイン(宛先ドメイン)が属する国と同じである。
外国経由判定部251は、電子メールの作成者ドメインを作成者ドメイン取得部23から取得し、取得した作成者ドメインから作成国を表す文字列を抽出する。
外国経由判定部251は、作成国を表す文字列と宛先国を表す文字列とが同じであるか否かを判定する。宛先国を表す文字列は、記憶装置94に予め記憶しておくか、または、電子メールの宛先アドレスから取得する。
外国経由判定部251は、電子メールの作成者ドメインを作成者ドメイン取得部23から取得し、取得した作成者ドメインに対応するIPアドレスをDNSサーバ(図示省略)から取得する。
外国経由判定部251は、DNSサーバから取得したIPアドレスが、宛先国に割り当てられているIPアドレスの範囲に含まれるか否かを判定する。
DNSサーバから取得したIPアドレスが、宛先国に割り当てられているIPアドレスの範囲に含まれる場合、電子メールの作成国と電子メールの宛先国は同じ国である。宛先国に割り当てられているIPアドレスの範囲に関する情報は記憶装置に予め記憶しておく。
宛先ドメインの末尾の文字列が国を表す文字列でない場合も、同様である。あるいは、外国経由判定部251は、あらかじめ宛先国を記憶しておく構成であってもよい。
作成国と宛先国とが同じである国内メールは、原則として、国内のメールサーバから送信され、外国のメールサーバを経由しない。したがって、外国のメールサーバを経由した国内メールは、詐称メールである可能性がある。
例えば、大手MLなどのメールサーバは、電子メールの作成者メールアドレスに、電子メールの宛先アドレスを設定する場合がある。この場合、作成国と宛先国とが同じになるが、実際の作成者が外国から送信した電子メールであれば、外国のメールサーバを経由する。
あるいは、国内の作成者が、外国のクラウドサービスを利用して送信した電子メールの場合も、作成国と宛先国とが同じになるが、外国のメールサーバを経由する。
したがって、実施の形態3における国内メールの中には、外国のメールサーバを経由していても詐称メールでないものが存在する。
S2501−1の後、S2501−2に進む。
また、メール通信取得部21によって取得された電子メールが国内メールでないと判定された場合(NO)、国内信頼ドメイン学習処理は終了する。
電子メールが外国経由メールであるか否かの判定方法は、後述する外国経由検査方法のS2520からS2522及びS2530と同様なので、外国経由検査方法についての説明を参照されたい。
S2502−1の後、S2502−2に進む。
S2502−2の後、S2502−3に進む。
電子メールの通信日時とは、例えば、メール通信取得部21が電子メールを取得した日時、または電子メールのメールヘッダに含まれる送信日時である。
S2502−3の後、図13のS2503に進む。
国内信頼ドメイン学習部252は、計数した電子メール数と所定の蓄積閾値(例えば、100個)とを比較する。
電子メール数(外国経由判定結果の数)が蓄積閾値以上である場合(YES)、S2504に進む。
電子メール数が蓄積閾値未満である場合(NO)、国内信頼ドメイン学習処理は終了する。
国内信頼ドメイン学習部252は、取得した外国経由判定結果のうち、電子メールが外国経由メールであることを示す外国経由判定結果の数を計数する。ここで、計数した外国判定結果の数を「外国経由メール数」という。
S2504の後、S2505に進む。
また、国内信頼ドメイン学習部252は、通信日時が新しい順に、所定数(例えば、上記蓄積閾値と同じ数)の外国経由判定結果を対象にして外国経由メール数を計数してもよい。
国内信頼ドメインとは、外国を経由せずに通信される可能性が高い電子メールを作成する作成者のドメイン(作成者ドメイン)である。
(1)国内信頼ドメイン学習部252は、外国経由メール数と所定の外国経由閾値(例えば、10通)とを大小比較する。外国経由メール数が所定の外国経由閾値より小さい場合、国内信頼ドメイン学習部252は、作成者ドメインが国内信頼ドメインであると判定する。
(2)国内信頼ドメイン学習部252は、S2504で計数した電子メール数に対する外国経由メール数の割合と所定の外国経由閾値(例えば、1割)とを大小比較する。外国経由メール数の割合が所定の外国経由閾値より小さい場合、国内信頼ドメイン学習部252は、作成者ドメインが国内信頼ドメインであると判定する。
S2505の後、S2506に進む。
例えば、国内信頼ドメイン学習部252は、上記(1)と(2)とを組み合わせて判定する構成であってもよい。
すなわち、外国経由メール数が第一の外国経由閾値より小さく、且つ、外国経由メール数の割合が第二の外国経由閾値より小さい場合に、国内信頼ドメイン学習部252は、作成者ドメインが国内信頼ドメインであると判定する構成であってもよい。
あるいは、外国経由メール数が第一の外国経由閾値より小さいか、または、外国経由メール数の割合が第二の外国経由閾値より小さい場合に、国内信頼ドメイン学習部252は、作成者ドメインが国内信頼ドメインであると判定する構成であってもよい。
但し、国内信頼ドメイン学習部252は、国内信頼ドメイン学習処理を終了する前に、以下の処理を行ってもよい。
まず、国内信頼ドメイン学習部252は、当該作成者ドメインが国内信頼ドメイン一覧252Aに設定されているか否かを判定する。
そして、当該作成者ドメインが国内信頼ドメイン一覧252Aに設定されている場合、国内信頼ドメイン学習部252は、国内信頼ドメイン一覧252Aから当該作成者ドメインを削除する。
当該作成者ドメインが国内信頼ドメイン一覧252Aに設定されていない場合、国内信頼ドメイン学習部252は、作成者ドメインを国内信頼ドメインとして国内信頼ドメイン一覧252Aに設定する。
そして、国内信頼ドメイン学習処理は終了する。
但し、国内信頼ドメイン学習部252は、電子メール数が所定の蓄積閾値未満である場合にも国内信頼ドメインを学習しても構わない。
この場合、学習に用いることができる外国経由判定結果の数が少ないため、国内信頼ドメインを適切に学習することができない可能性がある。つまり、国内信頼ドメインとして登録すべきでない作成者ドメインを国内信頼ドメインとして登録してしまう可能性がある。
そこで、電子メール数が所定の蓄積閾値未満である場合、国内信頼ドメイン学習部252は、所定数の外国経由メールを既に受信しているものとして、作成者ドメインが国内信頼ドメインであるか否かを判定する(S2505)。
例えば、国内信頼ドメイン学習部252は、実際の外国経由メール数に所定数を加えた値を判定用の外国経由メール数として算出する。そして、国内信頼ドメイン学習部252は、算出した判定用の外国経由メール数に基づいて、作成者ドメインが国内信頼ドメインであるか否かを判定する。
実施の形態3における外国経由検査方法(詐称メール検出方法の一例)について、図14に基づいて説明する。
例えば、国内信頼ドメイン一覧252Aが生成された後、作成者ドメイン取得部23が電子メールを取得したときに、外国経由検査部25が当該電子メールを判定対象メールとして図14に示す処理を実行する。
S2510の後、S2511に進む。
判定対象メールの作成者ドメインが国内信頼ドメインと同じドメインである場合(YES)、S2520からS2522の各処理に進む。
判定対象メールの作成者ドメインが国内信頼ドメインと同じドメインでない場合(NO)、S2540に進む。
S2520の後、S2530に進む。
3台の中継装置A、B、Cを中継して通信された電子メール(例えば、判定対象メール)のメールヘッダについて、図15に基づいて説明する。
電子メールのメールヘッダは、電子メールを中継した中継装置毎に「Received:」で始まるReceivedフィールドを備える。
各Receivedフィールドは、中継装置ドメイン(中継装置のIPアドレスを含む)および中継時刻(中継時刻のタイムゾーンを含む)などの情報を含む。Receivedフィールドのfrom句は、中継装置が中継した電子メールをその中継装置に対して送信した送信元の装置(電子メールを送信した装置または一つ前の中継装置)のドメインを示し、by句は、中継装置自身のドメインを示す。なお、by句は、ない場合もあある。
電子メールのメールヘッダは、「Date:」で始まるDateフィールドと、「From:」で始まるFromフィールドと、「To:」で始まるToフィールドとを備える。
Dateフィールドは、電子メールの送信日時を示す。
Fromフィールドは、電子メールを作成した作成者のメールアドレスを示す。このメールアドレスのアットマーク以降の文字列が作成者ドメインに相当する。
Toフィールドは電子メールの宛先のメールアドレスを示す。このメールアドレスのアットマーク以降の文字列が宛先ドメインに相当する。
例えば、中継時刻取得部254は、図15に示す判定対象メールのメールヘッダから、各Receivedフィールドに記載されている中継時刻「・・・ +900(JST)」を取得する。中継時刻の最後の部分「+900(JST)」は中継時刻のタイムゾーンを示す。
例えば、タイムゾーン「+900(JST)」の「+900」および「JST」は、中継時刻がグリニッジ標準時(GMT)より9時間進んでいる日本時間の時刻であることを意味する。
S2521の後、S2530に進む。
パケット送信元取得部255は、メール通信取得部21から取得したIPパケットのパケットヘッダからIPパケットの送信元アドレスを取得する。
S2522の後、S2530に進む。
例えば、外国経由判定部251は、判定対象メール(電子メールの一例)が外国経由メールであるか否かを以下のように判定する。
例えば、中継装置ドメイン「xxx.co.jp」に含まれる「.jp」は、中継国が日本であることを意味する。
宛先国と少なくともいずれかの中継国とが異なる場合、外国経由判定部251は、判定対象メールが外国経由メールであると判定する。それ以外の場合、外国経由判定部251は判定対象メールが外国経由メールでないと判定する。
少なくともいずれかの中継装置のIPアドレスが宛先国に割り当てられているIPアドレスの範囲に含まれないIPアドレスである場合、外国経由判定部251は、判定対象メールが外国経由メールであると判定する。それ以外の場合、外国経由判定部251は判定対象メールが外国経由メールでないと判定する。
少なくともいずれかの中継時刻のタイムゾーンが宛先国のタイムゾーンと異なる場合、外国経由判定部251は、判定対象メールが外国経由メールであると判定する。それ以外の場合、外国経由判定部251は判定対象メールが外国経由メールでないと判定する。
判定対象メールの送信元アドレスが宛先国に割り当てられているIPアドレスの範囲に含まれないIPアドレスである場合、外国経由判定部251は、判定対象メールが外国経由メールであると判定する。それ以外の場合、外国経由判定部251は判定対象メールが外国経由メールでないと判定する。
但し、外国経由判定部251は、上記の(1)から(4)のいずれかの判定結果に基づいて、判定対象メールが外国経由メールであるか否かを判定しても構わない。また、外国経由判定部251は、上記の(1)から(4)のうち2つまたは3つの判定結果に基づいて、判定対象メールが外国経由メールであるか否かを判定しても構わない。
S2530の後、S2540に進む。
外国経由検査スコアとは、判定結果メールが詐称メールである可能性の度合いを表す値である。例えば、判定結果メールが詐称メールである可能性が高いほど外国経由検査スコアは高く、判定結果メールが詐称メールである可能性が低いほど外国経由検査スコアは低い。
例えば、図16に示すような外国経由検査スコア一覧表259Aを記憶装置に予め記憶しておく。
外国経由検査スコア一覧表259Aは、条件と外国経由検査スコアとを対応付けている。
外国経由検査スコア決定部259は、S2511またはS2530の判定結果に対応する外国経由検査スコアを外国経由検査スコア一覧表259Aから取得する。
判定対象メールが外国経由メールでない場合、外国経由検査スコア決定部259は、判定対象メールが詐称メールである可能性が低いことを意味する外国経由検査スコア「0点」を外国経由検査スコア一覧表259Aから取得する。
判定対象メールが外国経由メールである場合、外国経由検査スコア決定部259は、判定対象メールが詐称メールである可能性が高いことを意味する外国経由検査スコア「4点」を外国経由検査スコア一覧表259Aから取得する。
S2540の後、S2550に進む。
例えば、詐称判定部28は、S2540で決定された判定対象メールの外国経由検査スコアと他の実施の形態で決定される判定対象メールのスコアとの合計値と、所定の詐称評価閾値とを比較する。判定対象メールのスコアの合計値が所定の詐称評価閾値より大きい場合、詐称判定部28は、判定対象メールが詐称メールであると判定する。
但し、詐称判定部28は、外国経由検査スコアを所定の詐称評価閾値と比較し、判定対象メールが詐称メールであるか否かを判定しても構わない。
S2550により、外国経由検査方法の処理は終了する。
但し、外国経由検査部25は、判定対象メールの作成者ドメインが国内信頼ドメインであるか否かに関わらず、判定対象メールが外国経由メールであるか否かを判定しても構わない。
例えば、外国経由検査部25は、外国経由検査方法のS2511で判定対象メールの作成者ドメインが国内信頼ドメインであるか否かを判定する代わりに、判定対象メールが国内メールであるか否かを判定する。外国経由検査部25は、判定対象メールが国内メールである場合にS2520以降の処理を実行する。
例えば、判定対象メールが国内メールでない場合の外国経由検査スコアは、判定対象メールの作成者ドメインが国内信頼ドメインでない場合の外国経由検査スコアと同じスコアである。
判定対象メールが国内メールであるか否かを判定する方法は、国内信頼ドメイン学習処理(図12参照)のS2501−1と同じである。
外国経由除外ドメインとは、国内信頼ドメインとは反対に、外国のメールサーバを経由する可能性が高い電子メールの作成者ドメインである。
外国経由検査部25は、判定対象メールの作成者ドメインが外国経由除外ドメインでない場合にS2520以降の処理を実行する。
例えば、判定対象メールの作成者ドメインが外国経由除外ドメインである場合の外国経由検査スコアは、判定対象メールの作成者ドメインが国内信頼ドメインでない場合の外国経由検査スコアと同じスコアである。
また、外国経由検査部25は、国内信頼ドメイン学習部252の代わりに、外国経由除外ドメイン学習部を備える。
外国経由除外ドメイン学習部は、国内信頼ドメイン学習処理(図12、図13参照)において国内信頼ドメインを外国経由除外ドメインに置き換えた処理を、外国経由除外ドメイン学習処理として実行する。
つまり、外国経由除外ドメイン学習部は、電子メールの作成者ドメインが外国経由除外ドメインであるか否かを判定し(図13のS2505)、外国経由除外ドメインである作成者ドメインを外国経由除外ドメイン一覧に設定する(図13のS2507)。
電子メールが外国経由除外ドメインである条件は、電子メールが国内信頼ドメインである条件と反対の条件である。
その場合、国内信頼ドメイン学習部252は、外国経由検査方法(図14参照)で得られた判定対象メールの外国経由判定結果と作成者ドメインとを記憶し、国内信頼ドメイン学習処理(図13参照)のS2503からS2507を実行すればよい。
ネットワークを介した通信のうち、メール転送プロトコルである通信を取得するメール通信取得部(31)と、
上記メール通信取得部が取得した通信によって転送される電子メールの作成者フィールドに記載された作成者が属する作成者ドメインを取得する作成者ドメイン取得部(23)と、
上記作成者ドメイン取得部が取得した作成者ドメインが属する国が、上記電子メールの宛先ドメインが属する宛先国と同じである場合に、上記電子メールが上記宛先国と異なる国を経由したか否かを判定する外国経由判定部(251)と、
判定対象メールと作成者ドメインが同じ1以上の電子メールのうち、上記宛先国と異なる国を経由した外国経由メールの数を計数する外国経由計数部(国内信頼ドメイン学習部252)と、
上記判定対象メールが上記宛先国と異なる国を経由したと上記外国経由判定部が判定し、かつ、上記外国経由計数部が計数した外国経由メールの数が所定の外国経由閾値より小さい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する詐称判定部(28,外国経由検査スコア決定部259)とを有する。
上記電子メールの中継装置フィールドに記載された中継装置ドメインを取得する中継装置ドメイン取得部(253)を有し、
上記外国経由判定部(251)は、上記中継装置ドメイン取得部が取得した中継装置ドメインが属する国が上記宛先国と異なる場合に、上記電子メールが上記宛先国と異なる国を経由したと判定する。
上記電子メールの中継装置フィールドに記載された中継時刻を取得する中継時刻取得部(254)を有し、
上記外国経由判定部(251)は、上記中継時刻取得部が取得した中継時刻のタイムゾーンが上記宛先国のタイムゾーンと異なる場合に、上記電子メールが上記宛先国と異なる国を経由したと判定する。
上記メール通信取得部が取得した通信に基づいて、上記通信を構成するパケットの送信元アドレスを取得するパケット送信元取得部(255)を有し、
上記外国経由判定部(251)は、上記パケット送信元取得部が取得した送信元アドレスが属する国が上記宛先国と異なる場合に、上記電子メールが上記宛先国と異なる国を経由したと判定する。
判定対象メールについて詐称評価値を算出し、上記判定対象メールが上記宛先国と異なる国を経由したと上記外国経由判定部が判定し、かつ、上記外国経由計数部が計数した外国経由メールの数が所定の外国経由閾値より小さい場合に、上記詐称評価値に所定の値を加算する詐称評価値算出部(281,259)と、
上記詐称評価値算出部が算出した詐称評価値が所定の詐称評価閾値より大きい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する詐称評価値判定部(283)とを有する。
また、外国経由検査部25は、電子メールが外国経由メールであるか否かに基づいて、電子メールが詐称メールである可能性の度合いを表す外国経由検査スコアを決定することができる。
そして、詐称判定部28は、外国経由検査スコアに基づいて、電子メールが詐称メールであるか否かを判定することができる。
実施の形態4について、図17〜図24を用いて説明する。
この実施の形態では、実施の形態1で説明した詐称メール検出装置20のうち、パケット連続度検査部26の構成例について、詳しく説明する。
なお、実施の形態1〜実施の形態3と共通する構成には、同一の符号を付し、説明を省略する場合がある。
実施の形態4におけるパケット連続度検査部26の構成について、図17に基づいて説明する。
以下に、パケット連続度検査部26が備える各構成の概要について説明する。パケット連続度検査部26が備える各構成の詳細については別途説明する。
セッションとは、1つ以上のメッセージを所定の手順で送受信することによって構成される単位である。例えば、SMTPでは、1つのセッションで1つの電子メールが送信される。
以下、連続度算出部261によって算出される割合を「パケット連続度」という。
以下、統計量算出部262によって算出されるパケット連続度の統計量を「連続度統計量」という。
また、作成者ドメイン毎に作成者ドメインと連続度統計量とを対応付けて設定したデータを「統計量一覧表262A」という。
パケット連続度検査スコア決定部269は、比較結果に基づいて、判定対象メールが詐称メールである可能性の度合いを表すパケット連続度検査スコアを算出する。
判定対象メールとは、詐称メールであるか否かを判定する対象の電子メールである。
作成者ドメイン別に連続度統計量を学習する統計量学習処理について、図18に基づいて説明する。
実施の形態4における電子メールのパケット連続度について、図19および図20に基づいて説明する。
また、「RX」は、ローカルネットワークシステム10のメールサーバ装置14から外部のメールサーバ装置82へ送信されたIPパケット(RXパケット、受信パケットともいう)を表す。例えば、TXパケットを受信したことを応答するACKパケットはRXパケットの一例である。
この場合、「TX」「RX」のいずれも連続して通信されていない。
つまり、2つ目以降の3つのIPパケットのいずれも1つ前のIPパケットと連続していない。
したがって、電子メールAのパケット連続度は「0%(=0/3)」である。
この場合、先頭のIPパケット「TX」と2つ目のIPパケット「TX」とが連続し、3つ目のIPパケット「RX」と4つ目のIPパケット「RX」とが連続している。
つまり、2つ目以降の3つのIPパケットのうち、2つのIPパケットが1つ前のIPパケットと連続している。
したがって、電子メールBのパケット連続度は「66.7%(=2/3)」である。
例えば、連続度算出部261は、「TX」毎に、「TX」と「TX」の1つ後のIPパケットとが連続しているか否か判定する。
図20の場合、1つ目の「TX」は1つ後のIPパケット「TX」と連続し、2つ目の「TX」は1つ後のIPパケット「RX」と連続していない。
つまり、2つの「TX」のうち、1つの「TX」が1つ後のIPパケットと連続している。したがって、パケット連続度は「50%(=1/2)」である。
したがって、同じ送信者ドメインから送信された電子メールにかかるパケット連続度が、いつもの値と異なる異常値である場合、送信者ドメインを詐称した詐称メールである可能性がある。
S2602の後、S2603に進む。
電子メールの通信日時とは、例えば、メール通信取得部21が電子メールを取得した日時、または電子メールのメールヘッダに含まれる送信日時である。
S2603の後、S2604に進む。
統計量算出部262は、計数したパケット連続度の数が所定の蓄積閾値(例えば、100個)以上であるか否かを判定する。
当該パケット連続度の数が蓄積閾値以上である場合(YES)、S2605に進む。
当該パケット連続度の数が蓄積閾値未満である場合(NO)、統計量学習処理は終了する。
但し、統計量算出部262は、S2604で計数したパケット連続度のうち、所定期間(例えば、直前の1カ月)の通信日時に対応付けられているパケット連続度を取得してもよい。
また、統計量算出部262は、電子メールの通信日時が新しい順に、所定数(例えば、上記蓄積閾値と同じ数)のパケット連続度を取得してもよい。
S2605の後、S2606に進む。
例えば、統計量算出部262は、パケット連続度の平均値および標準偏差を連続度統計量として算出する。
但し、統計量算出部262は、パケット連続度の最小値または最大値など、平均値または標準偏差以外の統計量を連続度統計量として算出しても構わない。
S2606の後、S2607に進む。
既に、当該ドメインに対応付けられて連続度統計量が設定されている場合、統計量算出部262は、設定されている連続度統計量を今回算出した新たな連続度統計量に更新する。これにより、連続度統計量を最新の状態にすることができる。
S2607により、統計量学習処理は終了する。
但し、統計量算出部262は、作成者ドメイン毎のパケット連続度を複数のグループに分類し、分類したグループ毎に連続度統計量を算出してもよい。
例えば、統計量算出部262は、作成者ドメイン毎のパケット連続度を電子メールの通信日時に基づいて、時間帯別、曜日別(平日休日別)またはこれらの組み合わせ別の複数のグループに分類し、分類したグループ毎に連続度統計量を算出してもよい。
例えば、統計量算出部262は、作成者ドメイン毎に連続度統計量(平均値、標準偏差)を算出し、作成者ドメインと連続度統計量とを対応付けて統計量一覧表262Aに設定する。
例えば、統計量算出部262は、作成者ドメイン毎のパケット連続度を時間帯別のグループに分類し、時間帯別に連続度統計量を算出し、作成者ドメインと時間帯と連続度統計量とを対応付けて統計量一覧表262Aに設定する。
実施の形態4におけるパケット連続度検査方法(詐称メール検出方法の一例)について、図23に基づいて説明する。
パケット連続度の算出方法は、図18で説明したS2601と同じである。
S2610の後、S2620に進む。
S2620の後、S2621に進む。
S2621の後、S2630に進む。
パケット連続度検査スコアは、判定対象メールが詐称メールである可能性の度合いを表す値である。
例えば、判定対象メールが詐称メールである可能性が高いほどパケット連続度検査スコアは高く、判定対象メールが詐称メールである可能性が低いほどパケット連続度検査スコアは低い。
例えば、図24に示すようなパケット連続度検査スコア一覧表269Aを記憶装置に予め記憶しておく。
パケット連続度検査スコア一覧表269Aは、パケット連続度の範囲とパケット連続度検査スコア(異常値の一例)とを対応付けている。図中において「α」はパケット連続度を意味し、「μ」は平均値(連続度統計量の一例)を意味し、「σ」は標準偏差(連続度統計量の一例)を意味している。
パケット連続度検査スコア決定部269は、パケット連続度と連続度統計量との関係に基づいて、パケット連続度検査スコアをパケット連続度検査スコア一覧表269Aから取得する。
パケット連続度(α)が「μ−2σ≦α<μ−1σ」または「μ+1σ<α≦μ+2σ」の関係を満たす場合、パケット連続度検査スコア決定部269は、判定対象メールが詐称メールである可能性が比較的高いことを意味するパケット連続度検査スコア「1点」をパケット連続度検査スコア一覧表269Aから取得する。
パケット連続度(α)が「α<μ−2σ」または「μ+2σ<α」の関係を満たす場合、パケット連続度検査スコア決定部269は、判定対象メールが詐称メールである可能性が高いことを意味するパケット連続度検査スコア「2点」をパケット連続度検査スコア一覧表269Aから取得する。
例えば、パケット連続度検査スコア決定部269は、パケット連続度と連続度統計量の平均値(または、最小値、最大値)との差(例えば、絶対値)を算出し、算出した差に応じてパケット連続度検査スコアを決定しても構わない。この場合、パケット連続度検査スコア一覧表269Aには、差の範囲とパケット連続度検査スコアとを対応付けて設定しておく。
例えば、パケット連続度検査スコア決定部269は、パケット連続度と連続度統計量の平均値との差を、連続度統計量の標準偏差で割ることによって得られる商(異常値の一例)をパケット連続度検査スコアとして算出しても構わない。
S2630の後、S2640に進む。
例えば、詐称判定部28は、S2630で決定された判定対象メールのパケット連続度検査スコアと他の実施の形態で決定される判定対象メールのスコアとの合計値と、所定の詐称評価閾値とを比較する。判定対象メールのスコアの合計値が所定の詐称評価閾値より大きい場合、詐称判定部28は、判定対象メールが詐称メールであると判定する。
但し、詐称判定部28は、パケット連続度検査スコアを所定の詐称評価閾値と比較し、判定対象メールが詐称メールであるか否かを判定しても構わない。
S2640により、パケット連続度検査方法の処理は終了する。
但し、統計量算出部262が作成者ドメイン別のパケット連続度を複数のグループ(例えば、時間帯別)に分類して連続度統計量を算出している場合、パケット連続度検査スコア決定部269は、判定対象メールが属するグループの連続度統計量を統計量一覧表262A(図22参照)から取得する。
そして、パケット連続度検査スコア決定部269は、判定対象メールが属するグループの連続度統計量に基づいて、S2630と同様にパケット連続度検査スコアを決定する。
この際、パケット連続度検査スコア一覧表269A(図24参照)をグループ別に記憶装置に記憶し、判定対象メールが属するグループ用のパケット連続度検査スコア一覧表269Aを用いてパケット連続度検査スコアを算出してもよい。
その場合、統計量算出部262は、パケット連続度検査方法(図23参照)で得られた判定対象メールのパケット連続度と作成者ドメインとを記憶し、統計量学習処理(図18参照)のS2604からS2607を実行すればよい。
ネットワークを介した通信のうち、メール転送プロトコルである通信を取得するメール通信取得部(21)と、
上記メール通信取得部が取得した通信によって転送される電子メールの作成者フィールドに記載された作成者が属する作成者ドメインを取得する作成者ドメイン取得部(23)と、
上記電子メールの転送にかかるセッションを構成する一連のパケットそれぞれの送信方向を判定し、上記一連のパケットのうち2番目以降のパケットの送信方向が、1つ前のパケットと同じであるパケットの割合を算出して、上記電子メールのパケット連続度とする連続度算出部(261)と、
判定対象メールと作成者ドメインが同じ1以上の電子メールについて上記連続度算出部が算出したパケット連続度に基づいて統計量を算出する統計量算出部(262)と、
上記統計量算出部が算出した統計量に基づいて、上記判定対象メールについて上記連続度算出部が算出したパケット連続度が異常値であるか否かを判定し、上記パケット連続度が異常値であると判定した場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する詐称判定部(28,パケット連続度検査スコア決定部269)とを有する。
上記詐称判定部(28,269)は、上記標準偏差に所定の定数を乗じた値を上記平均値に加えた値よりも上記パケット連続度が大きい場合と、上記標準偏差に所定の定数を乗じた値を上記平均値から差し引いた値よりも上記パケット連続度が小さい場合とのうち、少なくともいずれかの場合に、上記パケット連続度が異常値であると判定する。
判定対象メールについて詐称評価値を算出し、上記統計量算出部が算出した統計量に基づいて、上記連続度算出部が算出したパケット連続度が異常値であるか否かを判定し、上記パケット連続度が異常値であると判定した場合に、上記詐称評価値に所定の値を加算する詐称評価値算出部(281,269)と、
上記詐称評価値算出部が算出した詐称評価値が所定の詐称評価閾値より大きい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する詐称評価値判定部(283)とを有する。
上記連続度算出部が算出したパケット連続度の異常度を算出し、算出した異常度に応じた値を上記詐称評価値に加算する。
上記詐称評価値算出部は、上記判定対象メールのパケット連続度と、上記統計量算出部が算出した平均値との差を、上記標準偏差で割った商を算出して、上記異常度とする。
また、パケット連続度検査部26は、電子メールの指標値と指標値の統計量との差に基づいて、電子メールが詐称メールである可能性の度合いを表すパケット連続度検査スコアを決定することができる。
そして、詐称判定部28は、パケット連続度検査スコアに基づいて、電子メールが詐称メールであるか否かを判定することができる。
これにより、判定対象メールが詐称メールであるか否かの判定精度を高くすることができ、標的型サイバー攻撃による秘密情報の漏洩を防ぐことができる。
実施の形態5について、図25〜図31を用いて説明する。
この実施の形態では、実施の形態1で説明した詐称メール検出装置20のうち、転送経路検査部27の構成例について、詳しく説明する。
なお、実施の形態1〜実施の形態4と共通する構成には、同一の符号を付し、説明を省略する場合がある。
実施の形態5における転送経路検査部27の構成について、図25に基づいて説明する。
以下に、転送経路検査部27が備える各構成の概要について説明する。転送経路検査部27が備える各構成の詳細については別途説明する。
転送経路は、電子メールを中継(転送)した1つ以上の中継装置(メールサーバ)を示す情報である。
以下、転送経路を示すデータを「転送経路データ271A」という。
作成者ドメインとは、電子メールを作成した作成者が属するドメインである。
以下、ドメイン経路学習部272によって学習された転送経路を「ドメイン経路」という。また、ドメイン経路を一覧にしたリストを「ドメイン経路リスト272A」という。
IPパケットを中継した中継装置のドメイン(中継装置ドメイン)およびIPパケットの送信元アドレスは、経路情報取得部273によって取得される経路情報の一例である。
判定対象メールとは、詐称メールであるか否かを判定する対象の電子メールである。
電子メールの作成者ドメイン別にドメイン経路を学習するドメイン経路学習処理について、図26に基づいて説明する。
また、経路情報取得部273は、当該電子メールを通信するために用いられたIPパケット(例えば、電子メールの少なくとも一部を含んだIPパケット)をメール通信取得部21から取得し、取得したIPパケットから経路情報を取得する。
3台の中継装置A、B、Cを中継して通信された電子メールのメールヘッダについて、図27に基づいて説明する。
Receivedフィールドは、電子メールを受信した中継装置が電子メールを中継する際に設定する。ここで、電子メールを受信した中継装置を「受信中継装置」といい、電子メールを受信中継装置へ中継した中継装置を「送信中継装置」という。
Receivedフィールドは、中継装置のドメイン(中継装置のIPアドレスを含む)などの情報を含む。
Receivedフィールドのfrom句は送信中継装置のドメインを示し、by句は受信中継装置のドメインを示す。
但し、受信中継装置は、電子メールを中継する際、Receivedフィールドにby句を設定しなくても構わない。この場合、電子メールを最後に中継した中継装置のドメインを電子メールのメールヘッダから取得することはできない。
Dateフィールドは電子メールの送信日時を示す。
Fromフィールドは電子メールを作成した作成者のメールアドレスを示す。このメールアドレスのアットマーク以降の文字列が作成者ドメインに相当する。
Toフィールドは電子メールの宛先のメールアドレスを示す。このメールアドレスのアットマーク以降の文字列が宛先ドメインに相当する。
このとき、from句とby句とで重複している中継装置Bドメインは二重に取得する必要はない。
また、Receivedフィールドに中継装置のIPアドレスが記載されていない場合、経路情報取得部273は、中継装置ドメインに対応するIPアドレスをDNSサーバ(図示省略)から取得する。
そこで、経路情報取得部273は、この中継装置のIPアドレスとして、IPパケットのパケットヘッダからIPパケットの送信元アドレスを取得する。
転送経路算出部271は、例えば、以下のように電子メールの転送経路を算出する。
ローカルIPリストには、「192.168.…」、「172.16.…」〜「172.31.…」、「10.…」など、ローカルIPアドレスに用いられるアドレス(以下、「ローカルアドレス」という)を設定しておく。
転送経路算出部271は、このローカルIPリストを用いて、経路情報に含まれるIPアドレスからローカルIPアドレスを抽出する。
ローカルIPリストに含まれるいずれかのアドレスから始まるIPアドレスがローカルIPアドレスである。例えば、「192.168.xxx.xxx」「172.16.xxx.xxx」〜「172.31.xxx.xxx」または「10.xxx.xxx.xxx」はローカルIPアドレスである。
転送経路算出部271は、抽出したローカルIPアドレス毎に、ローカルIPアドレスから、ローカルIPリストに設定されているローカルアドレスを抽出する。
グローバルIPアドレスは、グローバルネットワーク(例えば、インターネット81)で用いられるIPアドレスである。
転送経路算出部271は、抽出したグローバルIPアドレス毎に、グローバルIPアドレス(32ビット)の先頭から所定のバイト数(例えば、24ビット)をネットワークアドレスとして抽出する。
以下、転送経路のうち1つ以上のローカルアドレスによって表される経路を「ローカル経路」といい、1つ以上のグローバルアドレスによって表される経路を「グローバル経路」という。
転送経路算出部271は、転送経路(ローカル経路およびグローバル経路)を示す転送経路データ271Aを生成する。
図28に示す転送経路データ271Aは、ローカル経路としてローカルアドレスのリスト「IP1、IP2」を示し、グローバル経路としてグローバルアドレス(IP3、IP4)を示している。
ローカル経路を示すローカルアドレスのリストおよびグローバル経路を示すグローバルアドレスのリストは、電子メールの転送順(メールヘッダのReceivedフィールドの昇順)にアドレスを並べた順序有りリストであってもよいし、電子メールの転送順に関係なくアドレスを並べた順序無しリストであってもよい。
S2702の後、S2703に進む。
S2703の後、S2704に進む。
電子メールの通信日時とは、例えば、メール通信取得部21が電子メールを取得した日時、または電子メールのメールヘッダに含まれる送信日時である。
S2704の後、S2705に進む。
ドメイン経路学習部272は、S2702で算出した転送経路がドメイン経路リスト272Aから抽出したいずれかのドメイン経路と同じ経路であるか否かを判定する。
図29に示すように、ドメイン経路リスト272Aは、作成者ドメインと、ドメイン経路(ローカル経路およびグローバル経路)と、ドメイン経路の使用日時とを対応付けている。
例えば、ドメイン経路学習部272は、現在日時、メール通信取得部21が電子メールを取得した日時または電子メールの送信日時を用いて当該使用日時を更新する。
これにより、ドメイン経路学習処理は終了する。
ドメイン経路学習部272は、電子メールの通信日時が新しい順に、所定数の転送経路を選択してもよい。
以下に、S2706の説明を続ける。
ドメイン経路学習部272は、計数した転送経路の数と所定の学習閾値(例えば、10個)とを比較し、計数した転送経路の数が所定の学習閾値(例えば、10個)以上であるか否かを判定する。
転送経路の数が学習閾値未満である場合(NO)、ドメイン経路学習処理は終了する。
このとき、ドメイン経路学習部272は、S2703で取得した作成者ドメインと、S2702で算出した転送経路(ドメイン経路)と、ドメイン経路の使用日時とを対応付けて設定する。
例えば、ドメイン経路学習部272は、現在日時、メール通信取得部21が電子メールを取得した日時または電子メールの送信日時をドメイン経路の使用日時として設定する。
S2702により、ドメイン経路学習処理は終了する。
転送経路の全経路と転送経路内のグローバル経路との両方を学習する場合、以下のような条件で転送経路の全経路および転送経路内のグローバル経路が学習される。ここで、メール通信取得部21が取得した転送経路を対象経路とする。
対象経路の全経路と一致する転送経路が学習閾値より多く記憶されている場合(S2706)、ドメイン経路学習部272は、対象経路の全経路(転送経路内のグローバル経路を含む)をドメイン経路としてドメイン経路リスト272Aに設定する。
対象経路の全経路と一致する転送経路が学習閾値より少なく、対象経路とグローバル経路が一致する転送経路が学習閾値より多く記憶されている場合(S2706)、ドメイン経路学習部272は、対象経路内のグローバル経路だけをドメイン経路としてドメイン経路リスト272Aに設定する。この場合、ドメイン経路リスト272Aのローカル経路欄は空欄である。
実施の形態5における転送経路検査方法(詐称メール検出方法の一例)について、図30に基づいて説明する。
経路情報の取得方法は、ドメイン経路学習処理(図26参照)のS2701と同様である。
S2710の後、S2720に進む。
転送経路の算出方法は、ドメイン経路学習処理(図26参照)のS2702と同様である。
S2720の後、S2730に進む。
S2730の後、S2731に進む。
S2731の後、S2740に進む。
転送経路検査スコアは、判定対象メールが詐称メールである可能性の度合いを表す値である。
例えば、判定対象メールが詐称メールである可能性が高いほど転送経路検査スコアは高く、判定対象メールが詐称メールである可能性が低いほど転送経路検査スコアは低い。
このとき、転送経路検査スコア決定部279は、転送経路の全経路がドメイン経路と同じであるか否かを判定すると共に、転送経路内のグローバル経路がドメイン経路内のグローバル経路と同じであるか否かを判定する。但し、転送経路検査スコア決定部279は、いずれか一方の判定だけを行っても構わない。
例えば、図31に示すような転送経路検査スコア一覧表279Aを記憶装置に予め記憶しておく。
転送経路検査スコア一覧表279Aは、条件と転送経路検査スコアとを対応付けている。
転送経路検査スコア決定部279は、S2720で算出した転送経路とS2731で取得したドメイン経路との関係に基づいて、転送経路検査スコアを転送経路検査スコア一覧表279Aから取得する。
転送経路のグローバル経路がいずれかのドメイン経路のグローバル経路と一致する場合、転送経路検査スコア決定部279は、判定対象メールが詐称メールである可能性が比較的低いことを意味する転送経路検査スコア「2点」を転送経路検査スコア一覧表279Aから取得する。
転送経路のグローバル経路がいずれのドメイン経路のグローバル経路とも一致しない場合、転送経路検査スコア決定部279は、判定対象メールが詐称メールである可能性が高いことを意味する転送経路検査スコア「4点」を転送経路検査スコア一覧表279Aから取得する。
また、S2731でドメイン経路が取得されなかった場合、転送経路検査スコア決定部279は、判定対象メールが詐称メールであるか否かを判定できないことを意味する転送経路検査スコア「0点」を転送経路検査スコア一覧表279Aから取得する。
S2740の後、S2750に進む。
例えば、詐称判定部28は、S2740で決定された判定対象メールの転送経路検査スコアと他の実施の形態で決定される判定対象メールのスコアとの合計値と、所定の詐称評価閾値とを比較する。判定対象メールのスコアの合計値が所定の詐称評価閾値より大きい場合、詐称判定部28は、判定対象メールが詐称メールであると判定する。
但し、詐称判定部28は、転送経路検査スコアを所定の詐称評価閾値と比較し、判定対象メールが詐称メールであるか否かを判定しても構わない。
S2750により、転送経路検査方法の処理は終了する。
その場合、ドメイン経路学習部272は、転送経路検査方法(図30参照)で得られた判定対象メールの転送経路と作成者ドメインとを記憶し、ドメイン経路学習処理(図26参照)のS2705からS2707を実行すればよい。
ネットワークを介した通信のうち、メール転送プロトコルである通信を取得するメール通信取得部(21)と、
上記メール通信取得部が取得した通信によって転送される電子メールの作成者フィールドに記載された作成者が属する作成者ドメインを取得する作成者ドメイン取得部(23)と、
上記電子メールの転送経路を算出する転送経路算出部(271)と、
判定対象メールと作成者ドメインが同じ1以上の電子メールのうち、上記判定対象メールと転送経路が一致する経路一致メールの数を計数する経路一致計数部(ドメイン経路学習部272)と、
上記経路一致計数部が計数した経路一致メールの数が所定の経路一致閾値より小さい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する詐称判定部(28,転送経路検査スコア決定部279)とを有する。
上記電子メールの中継装置フィールドに記載された中継装置ドメインを取得する中継装置ドメイン取得部(経路情報取得部273)を有し、
上記転送経路算出部(271)は、上記中継装置ドメイン取得部が取得した中継装置ドメインに基づいて、上記転送経路を算出する。
上記メール通信取得部が取得した通信に基づいて、上記通信を構成するパケットの送信元アドレスを取得するパケット送信元取得部(経路情報取得部273)を有し、
上記転送経路算出部(271)は、上記パケット送信元取得部が取得した送信元アドレスに基づいて、上記転送経路を算出する。
判定対象メールについて詐称評価値を算出し、上記経路一致計数部が計数した経路一致メールの数が所定の経路一致閾値より小さい場合に、上記詐称評価値に所定の値を加算する詐称評価値算出部(281,279)と、
上記詐称評価値算出部が算出した詐称評価値が所定の詐称評価閾値より大きい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する詐称評価値判定部(283)とを有する。
上記転送経路算出部が算出した転送経路からプライベートネットワーク内における転送経路を除外したグローバル経路について、上記判定対象メールと作成者ドメインが同じ1以上の電子メールのうち、上記判定対象メールと上記グローバル経路が一致する経路部分一致メールの数を計数する経路部分一致計数部(ドメイン経路学習部272)を有し、
上記詐称評価値算出部(279)は、
上記経路一致計数部が計数した経路一致メールの数が所定の経路一致閾値より小さく、かつ、上記経路部分一致計数部が計数した経路部分一致メールの数が所定の経路部分一致閾値以上である場合に、第一の値を上記詐称評価値に加算し、上記経路一致計数部が計数した経路一致メールの数が所定の経路一致閾値より小さく、かつ、上記経路部分一致計数部が計数した経路部分一致メールの数が所定の経路部分一致閾値より小さい場合に、上記第一の値よりも大きい第二の値を上記詐称評価値に加算する。
また、転送経路検査部27は、電子メールの転送経路と学習したドメイン経路とに基づいて、電子メールが詐称メールである可能性の度合いを表す転送経路検査スコアを決定することができる。
そして、詐称判定部28は、転送経路検査スコアに基づいて、電子メールが詐称メールであるか否かを判定することができる。
しかし、ローカルネットワーク内での経路は、人や組織によって異なる可能性がある。そこで、転送経路を、グローバル経路とローカル経路とに分け、全経路が一致した転送経路と、グローバル経路のみが一致した転送経路とを学習する。判定対象メールが詐称メールであるか否かの判定は、全経路が一致する場合、グローバル経路は一致するがローカル経路は一致しない場合、グローバル経路も一致しない場合の3段階で行う。
これにより、判定対象メールが詐称メールであるか否かの判定精度を高くすることができ、標的型サイバー攻撃による秘密情報の漏洩を防ぐことができる。
実施の形態6について、図32〜図40を用いて説明する。
この実施の形態では、実施の形態1で説明した不正通信検出装置30の構成例について、詳しく説明する。
なお、実施の形態1〜実施の形態5と共通する構成には、同一の符号を付し、説明を省略する場合がある。
不正通信検出装置30は、通信取得部31、通信記憶部31a、特性値算出部32、特性値蓄積部32a、統計量算出部33、統計量記憶部33a、通信計数部35、通信数蓄積部35a、通信数統計量算出部36、通信数統計量記憶部36a、不正判定部37、分析結果テーブル37aを備える。
また、「User−Agent」フィールドには、UAが設定されている。UAは、そのHTTPリクエストを生成したウェブブラウザなどのプログラムを識別するための文字列である。
リソース名は、絶対パス文字列を含む。リソース名は、クエリー文字列を含む場合がある。クエリー文字列は、リソース名のうち、文字「?」より後ろの部分である。クエリー文字列は、パラメータを表わす。リソース名がクエリー文字列を含む場合、絶対パス文字列は、リソース名のうち、文字「?」より前の部分である。
HTTPリクエスト310がゲットリクエスト310gの場合のクエリー文字列をGETパラメータ312と呼ぶ。
リソース名に文字「?」が含まれない場合、リソース名は、クエリー文字列を含まない。その場合、リソース名全体が絶対パス文字列である。
ポストリクエスト310pは、GETパラメータ312を含まない代わりに、ポストメッセージ311pをメッセージボディに含む。ポストメッセージ311pは、パラメータを表わす。
GETパラメータ長322とは、GETパラメータ312の長さ(クエリー文字列の長さ)のことである。例えば、特性値算出部32は、取得したURI311からクエリー文字列を抽出する。特性値算出部32は、抽出したクエリー文字列に基づいて、GETパラメータ長322を算出する。
URL長323とは、URL313の長さのことである。例えば、特性値算出部32は、取得したURI311からURL313を抽出する。特性値算出部32は、抽出したURL313に基づいて、URL長323を算出する。
リクエスト全体長324とは、HTTPリクエスト310全体の長さのことである。例えば、特性値算出部32は、入力したHTTPリクエスト310に基づいて、リクエスト全体長324を算出する。
統計量算出部33は、判定対象のHTTPリクエスト310がゲットメソッドであるかポストメソッドであるかにかかわらず、URI全体長321、GETパラメータ長322、URL長323などの平均値及び標準偏差を算出する。
例えば、特性値分析部371は、判定対象特性値325と平均値Xとの差が、標準偏差σの3倍以内である場合には正常と判定し、判定対象特性値325と平均値Xとの差が、標準偏差σの3倍を超える場合には異常値であると判定する。
そこで、これらの特性値320が異常に大きい場合は、標的型サイバー攻撃のコンピュータウィルスによる不正通信である可能性がある。
判定対象のHTTPリクエスト310がゲットリクエストである場合、特性値分析部371は、判定対象のHTTPリクエスト310から算出したリクエスト全体長324を、ゲットリクエスト310gについての統計量330から算出した閾値と比較する。また、判定対象のHTTPリクエスト310がゲットリクエストである場合、特性値分析部371は、判定対象のHTTPリクエスト310から算出したリクエスト全体長324を、ポストリクエスト310pについての統計量330から算出した閾値と比較する。
このように通信の種類によって大きく異なる可能性がある特性値320の場合、特性値320が正規分布していると仮定することができない。したがって、通信の種類に関わらず算出した統計量330を使ったのでは、よい閾値を算出することができない。
そこで、そのような特性値320については、通信を種類によって分類し、それぞれの種類の通信についての統計量330を算出する。
それぞれの分類のなかでは、特性値320が正規分布しているとの仮定が成り立つ。これにより、通信の種類に関わらず算出した統計量330を用いる場合よりも適切な閾値を使うことができるので、不正通信の可能性を精度よく判定することができる。
例えば、同じサーバ装置に対して繰り返しHTTPリクエストを送信すると、不正通信を疑われる可能性があるので、攻撃者は、サーバ装置を複数用意しておき、コンピュータウィルスは、HTTPリクエストを送信する相手のサーバ装置を、送信のたびに変える可能性がある。
そのような攻撃パターンの可能性を考えると、一定期間に1アクセスしかないサイトは、逆に怪しいと考えられる。通常のウェブページ閲覧に伴うHTTPリクエストであれば、そのページに含まれる画像データにアクセスしたり、同じサイトの別のページにアクセスしたりするため、同じサーバ装置に対して、一定期間に複数のHTTPリクエストを送信するほうが、むしろ普通である。
通信数統計量360(変動係数)の値が小さいということは、所定期間通信数350の変動が小さいことを意味し、アクセスが機械的であることを意味する。
そこで、通信数分析部372は、通信数統計量360(変動係数)が前記所定の閾値より小さい場合に、その宛先ホスト317に対する通信が不正通信である可能性があると判定する。
例えば、セキュリティポリシーによりポストリクエスト310pの使用が禁止されている場合、ポストリクエスト310pがあるというだけで、その通信が不正通信であると判定できる。
例えば、標的型サイバー攻撃のコンピュータウィルスは、表面上は、HTTPにしたがったHTTPリクエスト310であると見せかけているが、内容をよく見ると、HTTPの規定にしたがっていないものを送信する可能性がある。
そこで、通信種別分析部373は、HTTPリクエストのUAが、一般的なウェブブラウザが使用しているものと異なる場合、その通信が不正通信である可能性があると判定する。
そこで、通信種別分析部373は、HTTPリクエストの宛先が、不正サイトである場合、その通信が不正通信である可能性があると判定する。
図34〜図39を用いて、不正通信検出装置30の不正通信検出方法の概要について説明する。
特性値算出部32は、通信記憶部31aから判定対象のHTTPリクエスト310を読み込む。特性値算出部32は、判定対象のHTTPリクエスト310のURI311(図33参照)を取得する。
上述したように、リクエスト全体長324は、ゲットリクエスト310gの場合と、ポストリクエスト310pの場合とで大きく異なる可能性が高い。これは、ウェブページの設計において、パラメータの数が少ない場合は、ゲットメソッドを用いることが多く、パラメータの数が多い場合や、ファイルのアップロードなどGETパラメータ312として記述することができない場合は、ポストメソッドを用いることが多いからである。したがって、リクエスト全体長324は、ポストリクエスト310pの方がゲットリクエスト310gよりも長いと考えられる。
なお、メソッドには、“GET”及び“POST”以外のものもある。判定対象のHTTPリクエスト310のメソッドが“GET”でも“POST”でもない場合、特性値算出部32は、例えば、判定対象のHTTPリクエスト310のメソッドが「その他」であると判定する。
統計量算出部33は、特性値蓄積部32aに蓄積されているHTTPリクエスト310について、URI全体長321の平均値及び標準偏差、GETパラメータ長322の平均値及び標準偏差、URL長323の平均値及び標準偏差を統計量330として演算装置95により算出する。統計量算出部33は、算出したURI全体長321の平均値及び標準偏差、GETパラメータ長322の平均値及び標準偏差、URL長323の平均値及び標準偏差を、統計量記憶部33aに記憶する。
あるいは、統計量算出部33は、メソッドが「その他」であるHTTPリクエスト310をゲットリクエスト310gであるとみなして、特性値の統計量を算出する構成であってもよい。すなわち、統計量算出部33は、ポストメソッド以外のメソッドであるHTTPリクエスト310についての統計量と、ポストメソッドであるHTTPリクエスト310についての統計量とを算出する構成であってもよい。
特性値分析部371は、特性値算出部32が特性値蓄積部32aに蓄積した判定対象のHTTPリクエスト310について、統計量記憶部33aに記憶されている統計量330に基づいて、判定対象特性値325を分析する。
通信計数部35は、所定の期間内に通信取得部31が取得した通信の数を、通信の宛先ホスト317ごとに計数する。通信計数部35は、例えば、24時間の間(所定の期間)に取得したHTTPリクエスト310の数を、宛先ホスト317ごとに計数し、所定期間通信数350として通信数蓄積部35aに蓄積する。図38(a)に示すように、通信計数部35は、宛先ホスト317ごとに24時間の所定期間通信数350を通信数蓄積部35aに蓄積する。通信計数部35は、所定の期間を24時間とした場合は、宛先ホスト317ごとに、かつ、1日ごとに計数した所定期間通信数350を通信数蓄積部35aに蓄積する。
通信数統計量算出部36は、通信計数部35が宛先ホスト317ごとに複数の所定の期間について計数した所定期間通信数350の通信数統計量360を宛先ホスト317ごとに算出する。通信数統計量算出部36は、宛先ホスト317ごとの複数の所定期間通信数350の平均値と標準偏差とを算出し、標準偏差を平均値で割った変動係数を宛先ホスト317ごとの通信数統計量360として演算装置95により算出する。通信数統計量算出部36は、宛先ホスト317ごとの通信数統計量360を通信数統計量記憶部36aに記憶する(図38(b)参照)。
S333において、通信数分析部372は、通信計数部35が所定期間通信数350を算出する度に、所定期間通信数350が1であるか否かを演算装置95により判定する。所定期間通信数350が1であるとは、例えば、1日(24時間)に特定の宛先ホスト317にHTTPリクエスト310を送信した数が1回だけであることを意味する。このような場合は、宛先ホスト317に不正通信をしている可能性があると判定する。
S341において、通信種別分析部373は、判定対象のHTTPリクエスト310のメソッド名314(図33参照)を演算装置95より判定する。通信種別分析部373は、メソッド名314がポストメソッドであると判定した場合(S341でYES)、S342に進む。
S343において、通信種別分析部373は、判定対象のHTTPリクエスト310のプロトコルを演算装置95より判定する。通信種別分析部373は、判定対象のHTTPリクエスト310のプロトコルがHTTP以外の独自のプロトコルであると判定した場合(S341でYES)、S344に進む。判定対象のHTTPリクエスト310のプロトコルがHTTP以外の独自のプロトコルである場合は、判定対象のHTTPリクエスト310はHTTPのポートを使用して独自プロトコルを使用している可能性が高く、通信種別分析部373は、不正通信の可能性があると判断する。
S345において、通信種別分析部373は、判定対象のHTTPリクエスト310の「User−Agent」(UA)(図33参照)を演算装置95により判定する。不正通信検出装置30では、予めUAとして設定されるUA名(各種ブラウザなど)のUAホワイトリストを記憶装置94に記憶している。通信種別分析部373は、判定対象のHTTPリクエスト310のUAに設定されているUA名がUAホワイトリストにあるか否かを演算装置95により判定する。UAホワイトリストにないと判定した場合(S345でYES)、不正UAであると判断してS346に進む。
S347において、通信種別分析部373は、判定対象のHTTPリクエスト310の「Host」(図33参照)を演算装置95より判定する。不正通信検出装置30では、予め「Host」として設定されるサイト名のHostブラックリストを記憶装置94に記憶している。通信種別分析部373は、判定対象のHTTPリクエスト310の「Host」に設定されるサイト名(ホスト名)がHostブラックリストにあるか否かを演算装置95により判定する。Hostブラックリストにあると判定した場合(S347でYES)、不正サイトであると判断してS348に進む。
あるいは、レポート生成部38は、スコアが高い宛先ホスト317から順に順位を付け、順位が所定の閾値以下である宛先ホスト317だけについてのレポート380を出力する構成であってもよい。
例えば、通信計数部35は、ある宛先ホスト317に対して送信されたHTTPリクエストの数をカウントする。カウントした数が所定の数に達したら、通信計数部35は、カウントした数をリセットして0にする。通信計数部35は、これを繰り返し、カウントした数をリセットしてから次にリセットするまでにかかった時間(以下「所定数通信期間」と呼ぶ。)を算出する。通信数統計量算出部36は、通信計数部35が算出した所定数通信期間の平均値及び標準偏差を算出し、変動係数を算出する。通信数分析部372は、所定数通信期間の変動係数を閾値と比較して、変動係数が閾値より小さい場合に、アクセスが機械的であると判定する。
ネットワークを介した通信を取得する通信取得部(31)と、
上記通信取得部が取得した通信を解析して、上記通信の特性値を算出する特性値算出部(32)と、
1以上の通信について上記特性値算出部が算出した特性値に基づいて統計量を算出する統計量算出部(33)と、
上記統計量算出部が算出した統計量に基づいて、上記特性値算出部が算出した特性値が異常値であるか否かを判定し、上記特性値が異常値であると判定した場合に、不正通信の可能性があると判定する不正判定部(37)とを有する。
上記特性値算出部(32)は、上記通信取得部が取得した通信に基づいて、上記特性値として、統一資源識別子の長さと、上記統一資源識別子のうち絶対パス文字列の長さと、上記統一資源識別子のうちクエリー文字列の長さと、上記リクエスト全体の長さとのうち、少なくともいずれかを算出する。
上記不正判定部(37)は、上記標準偏差に所定の定数を乗じた値を上記平均値に加えた値よりも上記特性値が大きい場合と、上記標準偏差に所定の定数を乗じた値を上記平均値から差し引いた値よりも上記特性値が小さい場合とのうち、少なくともいずれかの場合に、上記特性値が異常値であると判定する。
上記統計量算出部(33)は、上記統計量として、上記1以上の通信のうち、ゲットメソッドである通信についての上記特性値を平均した平均値及び標準偏差と、ポストメソッドである通信についての上記特性値を平均した平均値及び標準偏差とのうち、少なくともいずれかの平均値及び標準偏差を算出する。
所定の期間内に上記通信取得部が取得した通信の通信数を、上記通信の宛先ごとに計数する通信計数部(35)を有し、
上記不正判定部(37)は、いずれかの宛先について上記通信計数部が計数した通信数が1である場合に、不正通信の可能性があると判定する。
所定の期間内に上記通信取得部が取得した通信の数を、上記通信の宛先ごとに計数する通信計数部(35)と、
複数の期間について上記通信計数部が計数した通信数の統計量を、上記宛先ごとに算出する通信数統計量算出部(36)とを有し、
上記不正判定部(37)は、上記通信数統計量算出部が算出した統計量が所定の閾値より小さい場合に、不正通信の可能性があると判定する。
上記不正判定部(37)は、上記通信取得部が取得した通信がポストメソッドである場合と、上記通信のフォーマットがハイパーテキスト転送プロトコルの規定に合致しない場合と、上記通信のユーザエージェントが所定のリストに含まれるユーザエージェントでない場合とのうち、少なくともいずれかの場合に、不正通信の可能性があると判定する。
実施の形態7について、図41を用いて説明する。図41は、本実施の形態に係る不正通信検出装置30aのブロック構成図である。
なお、実施の形態6と共通する構成には、同一の符号を付し、説明を省略する場合がある。
特性値分析部371は、判定対象のHTTPリクエスト310の宛先ホスト317を取得して、取得した宛先ホスト317に対応する宛先別統計量340を宛先別統計量記憶部34aから取得する。
特性値分析部371は、判定対象のURL長323が(X−3σ)以上(X+3σ)以下であると判定した場合には、判定対象のURL長323は、宛先ホスト317が“dddd.co.jp”であるURL長323全体の約99.7%に入っているので、正常範囲であると判定する。
特性値分析部371は、判定対象のURL長323が(X−3σ)以上(X+3σ)以下でないと判定した場合には、判定対象のURL長323は、宛先ホスト317が“dddd.co.jp”であるURL長323全体の約99.7%に入っていないので、異常値であると判定する。
このような場合に、本実施の形態に係る不正通信検出装置30aによれば、宛先別に算出された宛先別統計量340に基づいて、特性値320を分析することができるので、高い精度で異常な特性値320を検出することができる。
実施の形態8について、図41及び図42を用いて説明する。図42は、本実施の形態に係るレポート作成処理により作成されたレポート380を示す図である。
なお、実施の形態6,7と共通する構成には、同一の符号を付し、説明を省略する場合がある。
例えば、特性値分析部371は、統計量記憶部33aに記憶されている統計量330に基づいて、判定対象の宛先別平均値が異常値であるか否かを判定する。
判定対象の宛先ホスト317が“aabb.com”であり、ゲットリクエストのリクエスト全体長324の宛先別平均値(以下、ゲット平均値とする)について判定を実行する場合について説明する。特性値分析部371は、宛先別統計量記憶部34aから、宛先ホスト317が“aabb.com”に対応するゲット平均値を取得する。特性値分析部371は、統計量記憶部33aに記憶されているゲットリクエストのリクエスト全体長324の統計量330(平均値及び標準偏差)に基づいて、判定対象のゲット平均値が異常値であるか否かを演算装置95により判定する。
特性値分析部371は、判定対象のゲット平均値が、(X−3σ)以上(X+3σ)以下でないと判定した場合には、判定対象のゲット平均値は、ゲットリクエストのリクエスト全体長324全体の約99.7%に入っていないので、異常値であると判定する。
例えば、統計量算出部33は、それぞれの宛先について算出した宛先別平均値を母集団として、宛先別統計量記憶部34aが記憶している宛先別平均値の平均値及び標準偏差を算出する。統計量記憶部33aは、宛先別平均値の平均値X’及び標準偏差σ’を記憶する。
特性値分析部371は、判定対象の宛先別平均値が(X’−3σ’)以上(X’+3σ’)以下でない場合に、判定対象の宛先別平均値が異常値であると判定する。
宛先が同じ複数の通信について上記特性値算出部(32)が算出した特性値を平均した宛先別平均値を算出する宛先別平均値算出部(宛先別統計量算出部34)を有し、
上記不正判定部(37)は、上記統計量算出部(33)が算出した統計量に基づいて、上記宛先別平均値算出部が算出した宛先別平均値が異常値であるか否かを判定し、上記宛先別平均値が異常値であると判定した場合に、不正通信の可能性があると判定する。
Claims (14)
- ネットワークを介した通信のうち、メール転送プロトコルである通信を取得するメール通信取得部と、
上記メール通信取得部が取得した通信によって転送される電子メールの作成者フィールドに記載された作成者が属する作成者ドメインを取得する作成者ドメイン取得部と、
上記電子メールの転送にかかるセッションを構成する一連のパケットそれぞれの送信方向を判定し、上記一連のパケットのうち2番目以降のパケットの送信方向が、1つ前のパケットと同じであるパケットの割合を算出して、上記電子メールのパケット連続度とする連続度算出部と、
判定対象メールと作成者ドメインが同じ1以上の電子メールについて上記連続度算出部が算出したパケット連続度に基づいて統計量を算出する統計量算出部と、
上記統計量算出部が算出した統計量に基づいて、上記判定対象メールについて上記連続度算出部が算出したパケット連続度が異常値であるか否かを判定し、上記パケット連続度が異常値であると判定した場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する詐称判定部と
を有することを特徴とする詐称メール検出装置。 - 上記統計量算出部は、上記統計量として、上記1以上の電子メールのパケット連続度を平均した平均値及び標準偏差を算出し、
上記詐称判定部は、上記標準偏差に所定の定数を乗じた値を上記平均値に加えた値よりも上記パケット連続度が大きい場合と、上記標準偏差に所定の定数を乗じた値を上記平均値から差し引いた値よりも上記パケット連続度が小さい場合とのうち、少なくともいずれかの場合に、上記パケット連続度が異常値であると判定する
ことを特徴とする請求項1に記載の詐称メール検出装置。 - 上記詐称判定部は、
判定対象メールについて詐称評価値を算出し、上記統計量算出部が算出した統計量に基づいて、上記連続度算出部が算出したパケット連続度が異常値であるか否かを判定し、上記パケット連続度が異常値であると判定した場合に、上記詐称評価値に所定の値を加算する詐称評価値算出部と、
上記詐称評価値算出部が算出した詐称評価値が所定の詐称評価閾値より大きい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する詐称評価値判定部と
を有することを特徴とする請求項1または請求項2に記載の詐称メール検出装置。 - 上記詐称評価値算出部は、
上記連続度算出部が算出したパケット連続度の異常度を算出し、算出した異常度に応じた値を上記詐称評価値に加算する
ことを特徴とする請求項3に記載の詐称メール検出装置。 - 上記統計量算出部は、上記統計量として、上記1以上の電子メールのパケット連続度を平均した平均値及び標準偏差を算出し、
上記詐称評価値算出部は、上記判定対象メールのパケット連続度と、上記統計量算出部が算出した平均値との差を、上記標準偏差で割った商を算出して、上記異常度とする
ことを特徴とする請求項4に記載の詐称メール検出装置。 - 上記統計量算出部は、上記1以上の電子メールを、上記電子メールが転送された時間帯と、曜日と、平日休日の別とのうち少なくともいずれかに基づいて、複数のグループに分類し、分類したそれぞれのグループについて、上記統計量を算出することを特徴とする請求項1乃至請求項5のいずれかに記載の詐称メール検出装置。
- 上記統計量算出部は、上記1以上の電子メールのうち、所定の期間内に転送された電子メールに基づいて、上記統計量を算出する
ことを特徴とする請求項1乃至請求項6のいずれかに記載の詐称メール検出装置。 - 上記統計量算出部は、転送時刻が新しい順に所定の数以内の電子メールに基づいて、上記統計量を算出する
ことを特徴とする請求項1乃至請求項7のいずれかに記載の詐称メール検出装置。 - 上記電子メールの転送経路を算出する転送経路算出部と、
上記判定対象メールと作成者ドメインが同じ1以上の電子メールのうち、上記判定対象メールと転送経路が一致する経路一致メールの数を計数する経路一致計数部と
を有し、
上記詐称判定部は、上記経路一致計数部が計数した経路一致メールの数が、所定の経路一致閾値より小さい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する
ことを特徴とする請求項1乃至請求項8のいずれかに記載の詐称メール検出装置。 - 上記作成者ドメイン取得部が取得した作成者ドメインが、所定の内部ドメインである場合に、上記電子メールの送信者が属する送信者ドメインを取得する送信者ドメイン取得部と、
上記判定対象メールと送信者ドメインが同じ1以上の電子メールのうち、作成者ドメインが上記内部ドメインである内部作成メールの数を計数する内部作成計数部と
を有し、
上記詐称判定部は、上記内部作成計数部が計数した内部作成メールの数が所定の内部作成閾値より小さい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する
ことを特徴とする請求項1乃至請求項9のいずれかに記載の詐称メール検出装置。 - 上記作成者ドメイン取得部が取得した作成者ドメインが属する国が、上記電子メールの宛先ドメインが属する宛先国と同じである場合に、上記電子メールが上記宛先国と異なる国を経由したか否かを判定する外国経由判定部と、
上記判定対象メールと作成者ドメインが同じ電子メールのうち、上記宛先国と異なる国を経由した外国経由メールの数を計数する外国経由計数部と
を有し、
上記詐称判定部は、上記判定対象メールが上記宛先国と異なる国を経由したと上記外国経由判定部が判定し、かつ、上記外国経由計数部が計数した外国経由メールの数が所定の外国経由閾値より小さい場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する
ことを特徴とする請求項1乃至請求項10のいずれかに記載の詐称メール検出装置。 - 請求項1乃至請求項11のいずれかに記載の詐称メール検出装置と、
ネットワークを介した通信のうちから、不正通信の可能性がある通信を検出する不正通信検出装置と
を有することを特徴とするサイバー攻撃検出システム。 - コンピュータが実行することにより、上記コンピュータを請求項1乃至請求項11のいずれかに記載の詐称メール検出装置として機能させることを特徴とするコンピュータプログラム。
- ネットワークを介した通信のうち、メール転送プロトコルである通信を取得し、
取得した通信によって転送される電子メールの作成者フィールドに記載された作成者が属する作成者ドメインを取得し、
上記電子メールの転送にかかるセッションを構成する一連のパケットそれぞれの送信方向を判定し、上記一連のパケットのうち2番目以降のパケットの送信方向が、1つ前のパケットと同じであるパケットの割合を算出して、上記電子メールのパケット連続度とし、
判定対象メールと作成者ドメインが同じ1以上の電子メールについて算出したパケット連続度に基づいて統計量を算出し、
算出した統計量に基づいて、上記判定対象メールについて算出したパケット連続度が異常値であるか否かを判定し、上記パケット連続度が異常値であると判定した場合に、上記判定対象メールが作成者を詐称した詐称メールである可能性があると判定する
ことを特徴とする詐称メール検出方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012209349A JP6004862B2 (ja) | 2012-09-24 | 2012-09-24 | 詐称メール検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び詐称メール検出方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012209349A JP6004862B2 (ja) | 2012-09-24 | 2012-09-24 | 詐称メール検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び詐称メール検出方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014064234A JP2014064234A (ja) | 2014-04-10 |
JP6004862B2 true JP6004862B2 (ja) | 2016-10-12 |
Family
ID=50619077
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012209349A Active JP6004862B2 (ja) | 2012-09-24 | 2012-09-24 | 詐称メール検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び詐称メール検出方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6004862B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7108302B2 (ja) * | 2018-11-30 | 2022-07-28 | サイレックス・テクノロジー株式会社 | 中継装置、中継方法、及びプログラム |
JP7280814B2 (ja) * | 2019-12-11 | 2023-05-24 | Kddi株式会社 | 信頼度評価装置、信頼度評価方法及び信頼度評価プログラム |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2003211548A1 (en) * | 2002-02-22 | 2003-09-09 | Access Co., Ltd. | Method and device for processing electronic mail undesirable for user |
-
2012
- 2012-09-24 JP JP2012209349A patent/JP6004862B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014064234A (ja) | 2014-04-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6033021B2 (ja) | 不正通信検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び不正通信検出方法 | |
US11522827B2 (en) | Detecting relayed communications | |
US7926108B2 (en) | SMTP network security processing in a transparent relay in a computer network | |
Acer et al. | Where the wild warnings are: Root causes of Chrome HTTPS certificate errors | |
US7870608B2 (en) | Early detection and monitoring of online fraud | |
EP2709046A1 (en) | Real-time classification of email message traffic | |
JP2008547067A (ja) | 参照リソースの確率的解析に基づく不要な電子メールメッセージの検出 | |
JP2008521149A (ja) | オンライン詐欺の可能性に関連するデータを解析するための方法およびシステム | |
Maier et al. | An assessment of overt malicious activity manifest in residential networks | |
Bou-Harb et al. | A statistical approach for fingerprinting probing activities | |
Deccio et al. | Measuring email sender validation in the wild | |
Park et al. | A large-scale behavioral analysis of the open DNS resolvers on the internet | |
Li et al. | RoVista: Measuring and analyzing the route origin validation (ROV) in RPKI | |
CN112910839B (zh) | 一种dns攻击的防御方法和装置 | |
JP6004862B2 (ja) | 詐称メール検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び詐称メール検出方法 | |
JP5980072B2 (ja) | 詐称メール検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び詐称メール検出方法 | |
JP5995626B2 (ja) | 詐称メール検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び詐称メール検出方法 | |
JP6004861B2 (ja) | 詐称メール検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び詐称メール検出方法 | |
Faizal et al. | Threshold verification technique for network intrusion detection system | |
Jin et al. | A detour strategy for visiting phishing URLs based on dynamic DNS response policy zone | |
Zhang et al. | Subdomain Protection is Needed: An SPF and DMARC-Based Empirical Measurement Study and Proactive Solution of Email Security | |
US20230412625A1 (en) | System and Method for Determining If a Sender's Email is being Eavesdropped On | |
CN113055405B (zh) | 一种dns旁路抢答设备识别及溯源方法 | |
Dai et al. | SMap: Internet-wide Scanning for Ingress Filtering | |
Fuhrman | Forensic value of backscatter from email spam |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150902 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160725 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160809 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160906 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6004862 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |