JP6099804B2 - スピアフィッシングターゲットを予測及び保護するための技法 - Google Patents

スピアフィッシングターゲットを予測及び保護するための技法 Download PDF

Info

Publication number
JP6099804B2
JP6099804B2 JP2016501242A JP2016501242A JP6099804B2 JP 6099804 B2 JP6099804 B2 JP 6099804B2 JP 2016501242 A JP2016501242 A JP 2016501242A JP 2016501242 A JP2016501242 A JP 2016501242A JP 6099804 B2 JP6099804 B2 JP 6099804B2
Authority
JP
Japan
Prior art keywords
information
spear phishing
organization
potential
targets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016501242A
Other languages
English (en)
Other versions
JP2016521388A (ja
Inventor
サーニー・サンジェイ
ラウンディー・ケビン・アレハンドロ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gen Digital Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2016521388A publication Critical patent/JP2016521388A/ja
Application granted granted Critical
Publication of JP6099804B2 publication Critical patent/JP6099804B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本開示は一般にネットワークセキュリティに関し、より具体的には、スピアフィッシングターゲットを予測及び保護するための技法に関する。
スピアフィッシングは電子メールのなりすまし技法であり、機密データへの不正アクセスを求めるために特定の組織又は団体をターゲットとするより一般的な方法の一つである。攻撃は通常は加害者がスピアフィッシングの電子メールの適切な受取人を特定する偵察フェーズから開始する。これらのターゲットは、例えば、特定の組織又は団体における彼らの役割に関し、彼らが機密データへアクセスする可能性に直接相当し得る情報に基づき注意深く選ばれる個人を含むことがある。加害者にとっては、組織又は団体の従業員ではないが、それにもかかわらず機密データへアクセスすることができる顧問又は請負業者をスピアフィッシングすることによって、特定の組織又は団体を間接的にターゲットにすることも一般的である。しかしながら、ほとんどの組織又は団体は通常、その従業員、顧問又は請負業者がスピアフィッシングスキームのターゲットになりそうなことに気づいていない。従来のコンピュータセキュリティ技法は可能性のあるスピアフィッシングターゲットを予測及び保護する知能及び能力を欠いている。
上記の観点から、従来のスピアフィッシングセキュリティ技術に関連する重大な問題及び欠点がありうることが理解できるであろう。
スピアフィッシングターゲットを予測及び保護する技法が開示される。特定の例示的な一実施形態において、この技法がスピアフィッシングターゲットを予測及び保護するためのシステムとして実現され得る。このシステムは、ネットワークに通信可能に連結される1つ又は複数のプロセッサを備えてもよい。前記1つ又は複数のプロセッサが組織からの情報に基づいて、1つ又は複数の潜在的スピアフィッシングターゲットを特定し、一般に利用可能な情報源から、前記1つ又は複数の潜在的スピアフィッシングターゲット及び前記組織に関連する追加情報を受け取り、前記組織及び前記追加情報から前記情報に基づいて、前記1つ又は複数の潜在的スピアフィッシングターゲットに対してスピアフィッシング攻撃の脅威レベルを決定し、前記1つ又は複数の潜在的スピアフィッシングターゲット及び前記1つ又は複数の潜在的スピアフィッシングターゲットに関連する前記脅威レベルのレポートを生成するように構成され得る。
この特定の実施形態の他の態様によれば、前記組織からの情報が前記組織に関連する従業員、請負業者、及び顧問の名簿を含んでもよい。
この特定の実施形態の更なる態様によれば、前記追加情報を、1つ又は複数の自動化された検索の結果として受け取ってもよい。
この特定の実施形態の追加の態様によれば、前記追加情報が、前記1つ又は複数の潜在的ターゲットに関連するプロファイル情報、前記組織に関連するウェブサイトからの情報、並びにプロフェッショナル及びソーシャルネットワーキングサイトからの情報のうちの少なくとも1つを含んでもよい。
この特定の実施形態の他の態様によれば、前記スピアフィッシング攻撃の前記脅威レベルが組織のセキュリティの興味及び嗜好に応じてランクづけされてもよい。
この特定の実施形態の更なる態様によれば、前記1つ又は複数のプロセッサがスピアフィッシング攻撃を防御するため、少なくとも1つのセキュリティ対策を実行することを更に含んでもよい。いくつかの実施形態において、前記少なくとも1つのセキュリティ対策を実行することが、前記組織に関連する一般に利用可能な情報の開示を最小限にすることを含んでもよい。他の実施形態において、前記少なくとも1つのセキュリティ対策を実行することが、前記1つ又は複数の潜在的スピアフィッシングターゲットのセキュリティ状態を強化することを含み、セキュリティ状態を強化することが、追加の認証要素を要求すること、セキュリティの監視を提供すること及び前記1つ又は複数の潜在的スピアフィッシングターゲットに関連するデバイス又はマシーンの機能を制限することのうちの少なくとも1つを含んでもよい。
別の特定の実施形態において、前記技法がスピアフィッシングターゲットを予測及び保護するための方法として実現され得る。前記方法が少なくとも1つのコンピュータプロセッサを使用して、組織からの情報に基づいて、1つ又は複数の潜在的スピアフィッシングターゲットを特定する工程と、一般に利用可能な情報源から、前記1つ又は複数の潜在的スピアフィッシングターゲット及び前記組織に関連する追加情報を受け取る工程と、前記組織からの情報及び前記追加情報に基づいて前記1つ又は複数の潜在的スピアフィッシングターゲットに対して、スピアフィッシング攻撃の脅威レベル決定する工程と、及び前記1つ又は複数の潜在的スピアフィッシングターゲット及び前記1つ又は複数の潜在的スピアフィッシングターゲットに関連する前記脅威レベルのレポートを生成する工程と、を含んでもよい。
更に別の特定の実施形態において、前記技法がスピアフィッシングターゲットを予測及び保護するためのシステムとして実現され得る。このシステムは、ネットワークに通信可能に連結される1つ又は複数のプロセッサを備えてもよい。前記1つ又は複数のプロセッサが組織に関連する関心のある新しい情報を特定し、前記関心のある新しい情報に基づいて前記組織に関連する1つ又は複数の潜在的スピアフィッシングターゲットを予測し、スピアフィッシング攻撃を防御するため、前記1つ又は複数の潜在的スピアフィッシングターゲットのレポートを生成するように構成されてもよい。
この特定の実施形態の他の態様によれば、組織に関連する前記関心のある新しい情報が製品ライン情報、プレスリリース、組織の部門情報、現在の世界のニュース、最近の国内又は国際セキュリティ侵害に関連する情報、合併情報、組織の噂及び組織の告知のうちの少なくとも1つを含んでもよい。
この特定の実施形態の更なる態様によれば、前記1つ又は複数の潜在的スピアフィッシングターゲットを予測することがプロフェッショナル及びソーシャルネットワーキングサイト、組織のウェブサイト、又は第三者のデータソースのうちの少なくとも1つから受け取ったプロファイル情報からの追加情報に更に基づく。
この特定の実施形態の追加の態様によれば、前記1つ又は複数のプロセッサがスピアフィッシング攻撃を防御するため少なくとも1つのセキュリティ対策を実行することを更に含んでもよい。いくつかの実施形態において、前記少なくとも1つのセキュリティ対策を実行することが前記組織に関連する一般に利用可能な情報の開示を最小限にすることを含んでもよい。他の実施形態において、前記少なくとも1つのセキュリティ対策を実行することが前記1つ又は複数の潜在的スピアフィッシングターゲットのセキュリティ状態を強化することを含んでもよく、セキュリティ状態を強化することが追加の認証要素を要求すること、セキュリティの監視を提供すること及び前記1つ又は複数の潜在的スピアフィッシングターゲットに関連するデバイス又はマシーンの機能を制限することのうちの少なくとも1つを含んでもよい。
以下、添付の図面に示されるように、特定の実施形態を参照して本開示を更に詳細に説明する。本開示は特定の実施形態を参照して以下に説明されるが、本開示がそれに限定されないことを理解されたい。本明細書中の教示に接する機会のある当業者であれば、他の使用分野のみならず、追加的な実施、変形例、及び実施形態も認めるであろうし、それらは、本明細書中に記載される本開示の範囲に含まれ、本開示の重要な有用性に関するものである。
本開示のより完全な理解を促すために、添付の図面を参照されたい。同様の要素には、同様の数字が付される。これらの図面は、本開示を限定するよう解釈されるべきでなく、単なる例示であると意図される。
本開示の実施形態によるスピアフィッシングターゲットを予測及び保護するためのネットワークアーキテクチャを表すブロックダイヤグラムを示す。 本開示の実施形態によるスピアフィッシングターゲットを予測及び保護するためのコンピュータシステムのブロックダイヤグラムを表す。 本開示の実施形態によるスピアフィッシングターゲットを予測及び保護するためのモジュールを示す。 本開示の実施形態によるスピアフィッシングターゲットを予測及び保護するための方法のフローチャートを表す。 本開示の別の実施形態によるスピアフィッシングターゲットを予測及び保護するための方法のフローチャートを表す。
図1は本開示の実施形態によるスピアフィッシングターゲットを予測及び保護するためのネットワークアーキテクチャを表すブロックダイヤグラムを示す。図1は、ネットワークアーキテクチャ100の簡略図であり、図中に示されていない付加的な要素を含んでもよい。ネットワークアーキテクチャ100は、クライアントシステム110、120及び130、並びにサーバ140A及び140B(そのうち1つ又は複数は、図2に示すコンピュータシステム200により実現されてもよい)を含んでもよい。クライアントシステム110、120及び130は、ネットワーク150に通信可能に連結することができる。サーバ140Aは、記憶装置160A(1)〜(N)と通信可能に連結されてもよく、サーバ140Bは、記憶装置160B(1)〜(N)と通信可能に連結されてもよい。サーバ140A及び140Bは管理モジュール(例えば、サーバ140Aのスピアフィッシング予測及び保護モジュール154)を含んでもよい。サーバ140A及び140Bは、SAN(ストレージ・エリア・ネットワーク)ファブリック170と通信可能に連結することができる。SANファブリック170は、サーバ140A及び140B、並びにネットワーク150を介してクライアントシステム110、120及び130により、記憶装置180(1)〜(N)へのアクセスをサポートすることができる。
図2のコンピュータシステム200を参照すると、モデム247、ネットワークインタフェース248又はその他の方法により、クライアントシステム110、120及び130のうちの1つ又は複数からネットワーク150への接続を提供することができる。クライアントシステム110、120及び130は、例えば、ウェブブラウザ又はその他のクライアントソフトウェア(図示せず)により、サーバ140A又は140Bの情報にアクセスすることもできる。このようなクライアントにより、クライアントシステム110、120及び130は、サーバ140A若しくは140B、又は記憶装置160A(1)〜(N)、160B(1)〜(N)、及び/若しくは180(1)〜(N)のいずれかによりホストされるデータにアクセスすることが可能になる。
ネットワーク150及び190は、ローカル・エリア・ネットワーク(LAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、セルラーネットワーク、衛星ネットワーク、又はクライアント110、120及び130、サーバ140、並びにネットワーク150及び190と通信可能に連結されるその他のデバイスとの間の通信を可能にするその他のネットワークであってもよい。ネットワーク150及び190は、スタンドアロンネットワークとして、又は互いに協働して作動する、1つ、又は任意の数の、上述した例示的なタイプのネットワークを更に含むことができる。ネットワーク150及び190は、それらが通信可能に連結される1つ若しくは複数のクライアント又はサーバの1つ若しくは複数のプロトコルを利用することができる。ネットワーク150及び190は、ネットワークデバイスの1つ又は複数のプロトコルに、その他のプロトコルから又はその他のプロトコルへ変換することができる。ネットワーク150及び190は、それぞれ1つのネットワークとして示されているが、1つ又は複数の実施形態によれば、ネットワーク150及び190は、それぞれ相互接続された複数のネットワークを含んでもよいことを理解されたい。
記憶装置160A(1)〜(N)、160B(1)〜(N)及び/又は180(1)〜(N)は、ネットワークアクセス可能なストレージであってもよく、サーバ140A又は140Bに対しローカル、リモート又はこれらの組み合わせであってもよい。記憶装置160A(1)〜(N)、160B(1)〜(N)及び/又は180(1)〜(N)は、レイド(「RAID」)、磁気テープ、ディスク、ストレージ・エリア・ネットワーク(「SAN」)、インターネット・スモール・コンピュータシステム・インタフェース(「iSCSI」)SAN、ファイバチャネルSAN、コモン・インターネット・ファイル・システム(「CIFS」)、ネットワーク・アタッチト・ストレージ(「NAS」)、ネットワーク・ファイル・システム(「NFS」)、光ベースのストレージ、又はその他のコンピュータアクセス可能なストレージを利用することができる。記憶装置160A(1)〜(N)、160B(1)〜(N)及び/又は180(1)〜(N)は、バックアップ又はアーカイブの目的で使用することができる。
いくつかの実施形態によれば、クライアント110、120、及び130は、ネットワーク150への無線又は有線接続を介して連結される、スマートフォン、PDA、デスクトップコンピュータ、ノート型パソコン、サーバ、その他のコンピュータ、又はその他のデバイスであってもよい。クライアント110、120、及び130は、ユーザ入力、データベース、ファイル、ウェブサービス、及び/又はアプリケーション・プログラミング・インタフェースからデータを受信することができる。
サーバ140A及び140Bは、アプリケーションサーバ、アーカイブプラットフォーム、バックアップサーバ、ネットワーク記憶装置、メディアサーバ、電子メールサーバ、文書管理プラットフォーム、エンタープライズサーチサーバ、又はネットワーク150と通信可能に連結されたその他のデバイスであってもよい。サーバ140A及び140Bは、記憶装置160A(1)〜(N)、160B(1)〜(N)、及び/又は180(1)〜(N)のいずれかをアプリケーションデータ、バックアップデータ、又はその他のデータの記憶のために利用することができる。サーバ140A及び140Bは、クライアント110、120、及び130と、バックアッププラットフォーム、バックアッププロセス、及び/又は記憶装置との間で送受信されるデータを処理することができる、アプリケーションサーバなどのホストであってもよい。いくつかの実施形態によれば、サーバ140A及び140Bは、データのバックアップ及び/又はアーカイブのために使用されるプラットフォームであってもよい。データの1つ又は複数の部分は、適用されたバックアップポリシー及び/又はアーカイブ、データソースに関連する属性、バックアップのために利用可能なスペース、データソースにおいて利用可能なスペース、又は他の要因に基づいて、バックアップ又はアーカイブされてもよい。
いくつかの実施形態によれば、クライアント110、120、及び/又は130は、例えば、スピアフィッシング予測及び保護モジュール154のようなスピアフィッシングターゲットを予測及び保護するための1つ又は複数の部分のソフトウェアを含んでもよい。図示するように、1つ又は複数の部分のスピアフィッシング予測及び保護モジュール154はネットワーク側の位置で常駐してもよい。例えば、サーバ140Aは、スピアフィッシングターゲットを予測及び保護する1つ又は複数のアクションを実行することができるサーバ、ファイアウォール、ゲートウェイ、又はその他のネットワーク要素であってもよい。いくつかの実施形態によれば、ネットワーク190は、外部ネットワークであってもよく(例えば、インターネット)、サーバ140Aは、1つ又は複数の内部構成要素とクライアントと外部ネットワークとの間のゲートウェイ又はファイアウォールであってもよい。
スピアフィッシング予測及び保護モジュール154は潜在的スピアフィッシングターゲットを予測し、かかる潜在的ターゲットの特定に基づき、セキュリティを強化するための1つ又は複数の様々な改善技法を実行してもよい。上述したように、コンピュータセキュリティ技法は可能性のあるスピアフィッシングターゲットを予測及び保護するための知能及び能力を欠いている。例えば、スピアフィッシャーは直接の従業員又はその組織と間接的に働く顧問若しくは請負業者さえもターゲットにすることによって組織の機密データを捜し求めてもよい。ほとんどの組織は通常はその従業員、顧問、又は請負業者がスピアフィッシングスキームのターゲットになりそうなことに気づいておらず、通常はスピアフィッシングに対して予測及び保護するための強固なシステムを提供しないので、組織又は団体における価値ある情報及びデータが容易に危険にさらされることがある。
スピアフィッシング予測及び保護モジュール154は様々な異なる方法で潜在的スピアフィッシングターゲットを特定することができる。いくつかの実施形態において、組織から従業員、請負業者、又は顧問の名簿を得ることにより、潜在的スピアフィッシングターゲットを特定することができる。この名簿を使用して、組織に関連する従業員、請負業者、又は顧問それぞれに対して、1つ又は複数の調査を行うことができる。これらの調査は、一般大衆に見えており、かつこれらの個人に関連する会社関連情報を決定することを伴ってもよい。顧問又は請負業者の名簿が利用できない場合は(彼らがその組織の直接的な従業員ではないので)、組織に関連する請負業者及び顧問を決定するため1つ又は複数の予備調査を行ってもよい。一般的に、彼らの業務の一部として、組織に直接雇用されていない請負業者又は顧問は、頻繁に組織との取引関係を広告することがある。スピアフィッシング予測及び保護モジュール154は、興味のある組織と関連する、請負業者又は顧問の潜在的な名簿を決定するため、この情報を使用してもよい。
いくつかの実施形態において、潜在的ターゲットの名簿及び関連検索機能を制限付き自動操作、もしあれば、手動処理を通じて達成することができることを理解されたい。例えば、ウェブクローラを、これらの及びその他の関連検索の1つ又は複数を実行するのに使用してもよい。その他の検索ツールもまた使用し、自動化することができる。例えば、検索を自動化し、マシーン消耗結果(machine-consumable results)を提供する1つ又は複数のサーチエンジンを使用して、アプリケーション・プログラミング・インタフェース(API)を作製し、カスタマイズしてもよく、それはウェブクローラの使用があるウェブサイトに対して制限され得る状況において特に有用な場合がある。字句解析の使用は、検索を強化し、検索結果を微調整するために用いてもよい。例えば、秘密検索用語を検索結果のテキストに適合させることはまた、潜在的スピアフィッシングターゲットとしての従業員、請負業者、若しくは顧問の名簿、又はプロセス情報及びこれら個人に関連するデータの特定を促進するためのこれらの又はその他の自動化技法を通じて達成することができる。
いったん従業員、請負業者又は顧問の名簿が決定されれば、スピアフィッシング予測及び保護モジュール154は、これらの個人に関連する追加情報を見つけるため、ウェブクローラ又は同様の検索ツールを使用して、探索及び検索することができる。例えば、スピアフィッシング予測及び保護モジュール154は、LinkedIn、Viadeo、Facebook、Twitter、Tumblr等のような一般に利用可能なウェブサイト上でこれらの個人のプロファイルを検索することができる。スピアフィッシング予測及び保護モジュール154は興味を持った組織に関連する情報に対するこれらのプロファイルをフィルタリングすることもできる。一実施例においては、組織の従業員は雇用主の組織の新製品ライン、合併又はその他の同様のビジネスニュース若しくは最新情報に関する情報をブログに書いたり、投稿したりする場合がある。かかる情報はスピアフィッシング攻撃を介して機密データ又は組織の情報にアクセスするために加害者に使用される場合がある。
スピアフィッシング予測及び保護モジュール154は組織に関連する潜在的ターゲットの名簿を決定する前に、組織情報を検索できることを理解されたい。例えば、スピアフィッシング予測及び保護モジュール154はウェブクローラ又はその他の検索ツールを使用して、組織に関連する公開された情報を検索することができる。この情報は組織のウェブサイト、第三者のウェブサイト、又はその他の情報源からの製品ライン情報、プレスリリース、組織の部門情報、又はその他の同様の情報を含んでもよい。スピアフィッシング予測及び保護モジュール154はかかる組織情報に関連する潜在的ターゲットを検索することができる。例えば、スピアフィッシング予測及び保護モジュール154はLinkedIn、Viadeo、Facebook、Twitter、Tumblr等のような一般に利用可能なウェブサイト及びブログサイト上でこれら個人のプロファイルを検索してもよい。
官庁に関連する従業員、請負業者及び顧問に対して追加調査が行われ得ることを理解されたい。例えば、スピアフィッシング予測及び保護モジュール154は時事ニュース及び世界の出来事、国内及び国際セキュリティ侵害(例えば、中国の反体制)、又はその他の官庁に関連する情報を検索することができる。
スピアフィッシング予測及び保護モジュール154は更に機密扱いの公開情報を検索することができ、これとしては、電子メールアドレス、会社の電話番号、非上場会社情報、又はその他の同様の情報が挙げられるが、これらに限定されない。また、かかる情報はスピアフィッシング攻撃を介して組織の機密データ又は情報にアクセスするために加害者によって使用される場合がある。例えば、加害者はかかる情報を使用し潜在的ターゲットをおびき寄せて、(直接的又は間接的に)組織(例えば、その構造、プロジェクト、チーム)に関するもっと多くの情報を与えることにより、組織をより過酷な危険にさらすことがある。
この情報を検索し、どれくらい多くの情報又はどれくらい少ない情報が公衆に(したがって、加害者に対して)見えているかを把握することによって、スピアフィッシング攻撃が起こる前に、それを先取りしたり、かかる侵害が起こるときにその影響を減らしたりすることができる場合がある。
いくつかの実施形態において、攻撃に対するリスクをもたらす恐れがある、公知の十分な情報が存在することがいったん判明されると、又は攻撃が特定される場合、スピアフィッシング予測及び保護モジュール154は組織に対する重要度によってその脅威をランクづけすることができる。スピアフィッシング予測及び保護モジュール154は組織の機密情報を保護するために多くのセキュリティ対策を提供することができる。
例えば、いくつかの実施形態において、個人に攻撃をより受けやすくする組織関連情報の過度の開示を見える範囲から取り除くことができる。例えば、これは組織のウェブサイトに発見される情報、従業員、請負業者又は顧問により別のウェブサイト上に投稿された情報、又は第三者のウェブサイト上に発見される情報を含んでもよい。この情報のいくつかを取り除くにはその他の個人又は団体との協力が必要となる場合があることを理解されたい。
機密扱いの情報の過度の開示に対して組織又は団体が取る別のセキュリティ対策は、組織に関連する従業員、請負業者又は顧問のセキュリティ状態を一般的に強化することであってもよい。例えば、スピアフィッシング予測及び保護モジュール154は、追加のセキュリティを提供するために、バイオメトリック、セキュリティトークン(例えば、VIPトークン)、又は同様の認証的特徴等の余計な認証要因を必要とする組織によって使用されてもよい。別の強化されたセキュリティ状態は組織の様々なサーバ、コンピュータ、ゲートウェイ、又はマシーンにおいてデータトラフィックを監視する追加のセキュリティのインストールを含んでもよい。これは第三者プロバイダにより提供されるデータ損失防止ソフトウェア及び/又はイベントロギング技法のインストールを含んでもよい。
組織における1つ又は複数の様々なデバイスをロックダウンすることによっても強化されたセキュリティ状態を提供することができる。例えば、これはリモートコンピューティングアクセスを阻止すること、ホワイトリストのアプリケーションのインストールを許可すること、管理者権限の使用を低減又は排除すること、又はシステムのセキュリティ設定へのアクセスを制限又は限定するための第三者のソリューションをインストールすることを含むことができる。
他の強化されたセキュリティ状態は、影響を受けやすいユーザにセキュリティソフトウェアを直接彼らのデバイス又はマシーンにインストールするように要求すること、個人が組織の目的のために個人的なデバイスを使用することを禁ずること、カスタマイズされたセキュリティ機能を有し、組織が支給するデバイス及びマシーンのみを許可すること、より影響を受けにくいオペレーティングシステムにアップグレードすること、パスワード強化要件を増加させること、パスワードが有効である時間を減らすこと、又はディスク全体の暗号化を要求することも含んでもよい。これらのセキュリティ対策は、個人によって又は組織に対するリスクによってもたらされるリスクのレベルに基づき、異なる程度で適用されてもよい。
スピアフィッシング予測及び保護モジュール154を使用することによって、多くの利点を実現することができる。例えば、スピアフィッシング予測及び保護モジュール154はスピアフィッシング攻撃の影響を排除又は低減するための技法を提供することができる。最終的に、この提案された技法は、従来の方法及び技法と比較した場合、潜在的スピアフィッシングターゲットを特定する際、及びスピアフィッシング攻撃からの保護の際に、より一層の効率化、低減されたコスト、及びより大きな信頼性を提供することができる。
図2は本開示の実施形態によるスピアフィッシングターゲットを予測及び保護するためのコンピュータシステムのブロックダイヤグラムを示す。コンピュータシステム200は、本開示にしたがって技術を実施するのに好適である。コンピュータシステム200は、コンピュータシステム210の主要なサブシステムを相互接続することができるバス212を含むことができ、主要なサブシステムには、中央処理装置214、システムメモリ217(例えば、RAM(ランダム・アクセス・メモリ)、ROM(リード・オンリー・メモリ)、フラッシュRAM等)、入力/出力(I/O)コントローラ218、オーディオ出力インタフェース222を介するスピーカシステム220などの外部オーディオ装置、ディスプレイアダプタ226を介するディスプレイ画面224などの外部装置、シリアルポート228及び230、キーボード232(キーボードコントローラ233を介してインタフェース接続される)、ストレージインタフェース234、フロッピーディスク238(「フロッピー」は登録商標、以下同じ)を受け取るように動作するフロッピーディスクドライブ237、ファイバ・チャネル・ネットワーク290と接続するように動作するホスト・バス・アダプタ(HBA)インタフェースカード235A、SCSIバス239と接続するように動作するホスト・バス・アダプタ(HBA)インタフェースカード235B、及び光ディスク242を受け取るように動作する光ディスクドライブ240等が含まれる。同様に、マウス246(又はシリアルポート228を介してバス212に連結された他のポイントアンドクリックデバイス)、モデム247(シリアルポート230を介してバス212に連結される)、ネットワークインタフェース248(バス212に直接連結される)、電力管理部250、及びバッテリ252が含まれてもよい。
バス212は、上述のように、中央処理装置214とシステムメモリ217との間のデータ通信を可能にし、システムメモリ217は、リード・オンリー・メモリ(ROM)又はフラッシュメモリ(いずれも図示せず)と、ランダム・アクセス・メモリ(RAM)(図示せず)とを含んでもよい。RAMは、オペレーティングシステム及びアプリケーションプログラムがロードされてもよいメインメモリであってもよい。ROM又はフラッシュメモリは、他のコードと共に、周辺コンポーネンツとの相互作用等の基本的なハードウェアの動作を制御する、ベーシック・インプット/アウトプット・システム(BIOS)を含むことができる。コンピュータシステム210に常駐するアプリケーションは、ハードディスクドライブ(例えば、固定ディスク244)、光学ドライブ(例えば、光学ドライブ240)、フロッピーディスクユニット237、又はその他の記憶媒体等の、コンピュータ読み取り可能媒体上に格納されたり、それを介してアクセスしたりすることができる。例えば、スピアフィッシング予測及び保護モジュール154はシステムメモリ217の中に常駐してもよい。
ストレージインタフェース234は、コンピュータシステム210のその他のストレージインタフェースと同様に、固定ディスクドライブ244等の、記憶及び/又は情報の検索のための、標準的なコンピュータ読み取り可能媒体に接続することができる。固定ディスクドライブ244は、コンピュータシステム210の一部であってもよく、独立していて、他のインタフェースシステムを介してアクセスされてもよい。モデム247は、電話回線を介してリモートサーバへの直接接続を提供してもよく、インターネット・サービス・プロバイダ(ISP)経由でインターネットに接続してもよい。ネットワークインタフェース248は、POP(ポイント・オブ・プレゼンス)を介したインターネットへのダイレクトネットワークリンクを介してリモートサーバへの直接接続を提供してもよい。ネットワークインタフェース248は、デジタル携帯電話接続、セルラー・デジタル・パケット・データ(CDPD)接続、又はデジタル衛星データ接続等を含む無線技術を用いて、このような接続を提供してもよい。
他の多くのデバイス又はサブシステム(図示せず)も同様の方法で接続することができる(例えば、文書スキャナ、デジタルカメラ等)。逆に、図2に図示されるすべてのデバイスが、本開示を実践するために存在する必要はない。デバイス及びサブシステムは、図2に示されるものとは異なる方法で相互接続することができる。本開示を実施するためのコードは、システムメモリ217、固定ディスク244、光ディスク242、又はフロッピーディスク238等、コンピュータ読み取り可能記憶媒体のうちの1つ又は複数に格納することができる。本開示を実施するためのコードは、1つ又は複数のインタフェースを介して受け取り、メモリに格納することもできる。コンピュータシステム210に設けられたオペレーティングシステムは、MS−DOS(登録商標)、MS−WINDOWS(登録商標)、OS/2(登録商標)、OS X(登録商標)、UNIX(登録商標)、Linux(登録商標)、又はその他の周知のオペレーティングシステムでもよい。
電力管理部250は、バッテリ252の電力レベルを監視することができる。電力管理部250は、電力レベル、コンピュータシステム200のシャットダウン前残り時間窓、電力消費率、コンピュータシステムが主電源(例えば、AC電源)又はバッテリ電源のいずれを使用しているかの表示器、及びその他電力関連情報の判定を可能にするために、1つ又は複数のAPI(アプリケーション・プログラミング・インタフェース)を提供することができる。いくつかの実施形態によれば、電力管理部250のAPIは、リモートアクセス可能であってもよい(例えば、ネットワーク接続を介して、リモートバックアップ管理モジュールにアクセス可能であってもよい)。いくつかの実施形態によれば、バッテリ252は、コンピュータシステム200のローカル又はリモートのいずれかに位置する無停電電源装置(UPS)であってもよい。このような実施形態では、電力管理部250は、UPSの電力レベルに関する情報を提供することができる。
図3は本開示の実施形態によるスピアフィッシングターゲットを予測及び保護するためのモジュールを示す。図3を参照すると、本開示の実施形態によるスピアフィッシング予測及び保護モジュール310が示されている。図示されるように、スピアフィッシング予測及び保護310は、ターゲット特定モジュール312、検索モジュール314、セキュリティモジュール316、並びにエラーロギング及び報告モジュール318を含む1つ又は複数の構成要素を含んでもよい。
以下の説明には、1つ又は複数のモジュールを含み得るスピアフィッシングターゲットを予測及び保護するための、ネットワーク要素、コンピュータ、及び/又はシステムの構成要素並びに方法が記述されている。本明細書において、用語「モジュール」は、コンピューティングソフトウェア、ファームウェア、ハードウェア、及び/又はそれらの様々な組み合わせを指すものと理解することができる。しかしながら、モジュールは、プロセッサによる読み取り及び記録可能な記憶媒体に記録も、又はハードウェア、ファームウェアに実装もされていないソフトウェアである、と解釈されるべきではない(すなわち、モジュールはソフトウェア自体ではない)。モジュールは例示であることに留意されたい。モジュールは、様々なアプリケーションをサポートするために、組み合わせたり、統合されたり、分離及び/又は二重化されてもよい。また、特定のモジュールで実行されるものとして本明細書に記載の機能は、1つ又は複数のその他のモジュールで、及び/又は特定のモジュールで実行される機能に加えて、又はその代わりに、1つ又は複数のその他のデバイスによって、実行されてもよい。更にモジュールは、複数のデバイス及び/又は互いに対してローカル又はリモートのその他の構成要素に実装することができる。更に、モジュールは、あるデバイスから別のデバイスに移動して加えられてもよく、及び/又は両方のデバイスに含まれてもよい。
ターゲット特定モジュール312は、上述のように、スピアフィッシング攻撃のターゲットを決定するために使用することができる。例えば、ターゲット特定モジュール312はスピアフィッシングの加害者に類似する技法を用いて、潜在的スピアフィッシングターゲットを特定又は予測することができる。検索モジュール314は、上述のように上記探索及び検索機能を提供するのに使用することができる。例えば、検索モジュール314は、ターゲット特定及びセキュリティ実装に関連する、一般に利用可能なデータ又は情報を検索することができる。セキュリティモジュール316は、上述のように、スピアフィッシング攻撃の影響を防止又は低減するための多数のセキュリティ対策を提供するのに使用することができる。エラーロギング及び報告モジュール318はログ、レポート、又はスピアフィッシングのターゲットの予測及び保護に関連するその他の情報を生成することができる。
図4は本開示の実施形態によるスピアフィッシングターゲットを予測及び保護するための方法のフローチャートを示す。本明細書に開示される方法を実施するためには様々な方法があるため、例示的な方法400は、その一例として与えられる。図4に示される方法400は、1つ又は様々なシステムの組み合わせにより、実施されるか、ないしは別の方法で行われてもよい。方法400は、一例として、少なくとも図1のシステム100、図2のアーキテクチャ200、及び図3のモジュール310により実行されるものとして以下に記述され、システム100の様々な要素は図4の例示的な方法の説明において参照される。図4に示される各ブロックは、例示的な方法400にて実行される1つ又は複数のプロセス、方法、又はサブルーチンを表す。コンピュータにより実行されるときに、コードを含む、方法400の作用を実行してもよい、非一時的コンピュータ読み取り可能媒体も提供されてよい。図4を参照すると、例示的な方法400は、ブロック402で始まってもよい。
方法400は、ブロック402で開始することができる。
ブロック404では、組織からの情報に基づいて、1つ又は複数の潜在的スピアフィッシングターゲットを特定することができる。いくつかの実施形態において、組織からの情報は、この組織に関連する従業員、請負業者、及び顧問の名簿を含んでもよい。その他の情報は上述のように、1つ又は複数の潜在的スピアフィッシングターゲットを特定するのに使用することができる。
ブロック406では、1つ又は複数の潜在的スピアフィッシングターゲット及び組織に関連する追加情報を、一般に利用可能な情報源から受け取ることができる。例えば、この追加情報を、1つ又は複数の自動化された検索の結果として受け取ることができる。いくつかの実施形態において、この追加情報は1つ又は複数の潜在的ターゲットに関連するプロファイル情報を含んでもよい。他の実施形態において、追加情報はプロフェッショナル及びソーシャルネットワーキングサイトからの情報を含んでもよい。
ブロック408では、1つ又は複数の潜在的スピアフィッシングターゲットに対するスピアフィッシング攻撃の脅威レベルを、組織からの情報及び追加情報に基づいて決定することができる。いくつかの実施形態において、スピアフィッシング攻撃の脅威レベルを、組織のセキュリティの興味及び嗜好に応じてランクづけすることができる。
ブロック410では、レポートを生成することができる。例えば、1つ又は複数の潜在的スピアフィッシングターゲット及び1つ又は複数の潜在的スピアフィッシングターゲットに関連する脅威レベルのレポートを、スピアフィッシング攻撃からの防御に使用するために生成することができる。
方法400はまたスピアフィッシング攻撃を防御するために少なくとも1つのセキュリティ対策を実行することを含むこともできることを理解されたい。いくつかの実施形態において、この少なくとも1つのセキュリティ対策は、組織に関連する一般に利用可能な情報の開示を最小限にすることを含んでもよい。例えば、この少なくとも1つのセキュリティ対策は、上述のように組織に関連する一般に利用可能な情報の開示を最小限にすることを含んでもよい。この少なくとも1つのセキュリティ対策はまた1つ又は複数の潜在的スピアフィッシングターゲットのセキュリティ状態を強化することを含んでもよく、それは追加の認証要素を要求すること、セキュリティ監視を提供すること、及び1つ又は複数の潜在的スピアフィッシングターゲットに関連するデバイス又はマシーンの機能を制限することを含んでもよいが、これらに限定されない。これらの及び他の強化されたセキュリティ状態は、上述のように使用することができる。
ブロック412において、方法400は終了してもよい。
図5は本開示の別の実施形態によるスピアフィッシングターゲットを予測及び保護する方法のフローチャートを示す。例示的な方法500は、本明細書に開示される方法を実施するためには様々な方法があるため、その一例として与えられる。図5に示される方法500は、1つ又は様々なシステムの組み合わせにより、実施されるか、ないしは別の方法で行われてもよい。この方法500が、少なくとも図1のシステム100、図2のアーキテクチャ200、及び図3のモジュール310によって実行されるように以下に説明し、一例として、図5の例示的な方法を説明するのにシステム100の様々な要素を参照する。図5に示される各ブロックは、例示的な方法400にて実行される1つ又は複数のプロセス、方法、又はサブルーチンを表す。コンピュータにより実行されるときに、コードを有する、方法500の作用を実行してもよい、非一時的コンピュータ読み取り可能媒体も提供されてよい。図5を参照すると、例示的な方法500は、ブロック502で始まってもよい。
方法500は、ブロック502で開始することができる。
ブロック504では、組織に関連する新しい情報又は興味を特定することができる。いくつかの実施形態において、この組織からの新しい情報は、製品ライン情報、プレスリリース、組織の部門情報、現在の世界のニュース、最近の国内又は国際セキュリティ侵害に関連する情報、合併情報、組織の噂及び組織の告知のうちの少なくとも1つを含むことができる。他の実施形態において、この新しい情報を1つ又は複数の自動化された検索の結果として、受け取ることができる。
ブロック506では、組織に関連する1つ又は複数の潜在的スピアフィッシングターゲットを、関心のある新しい情報に基づいて予測することができる。いくつかの実施形態において、1つ又は複数の潜在的スピアフィッシングターゲットを予測するのに、更に、プロフェッショナル及びソーシャルネットワーキングサイト、組織のウェブサイト、又は第三者のデータソースのうちの少なくとも1つから受け取ったプロファイル情報からの追加情報に基づいてもよい。
ブロック508では、レポートを生成することができる。例えば、1つ又は複数の潜在的スピアフィッシングターゲット及び1つ又は複数の潜在的スピアフィッシングターゲットに関連する脅威レベルのレポートを、スピアフィッシング攻撃からの防御に使用するために、生成することができる。
方法500はまたスピアフィッシング攻撃を防御するための少なくとも1つのセキュリティ対策を実行することを含んでもよいことを理解されたい。いくつかの実施形態において、この少なくとも1つのセキュリティ対策は、組織に関連する一般に利用可能な情報の開示を最小限にすることを含んでもよい。例えば、この少なくとも1つのセキュリティ対策は、上述のように組織に関連する一般に利用可能な情報の開示を最小限にすることを含んでもよい。この少なくとも1つのセキュリティ対策はまた、1つ又は複数の潜在的スピアフィッシングターゲットのセキュリティ状態を強化することを含んでもよく、それは追加の認証要素を要求すること、セキュリティの監視を提供すること、及び1つ又は複数の潜在的スピアフィッシングターゲットに関連するデバイス又はマシーンの機能を制限することを含んでもよいが、これらに限定されない。これらの及びその他の強化されたセキュリティ状態は、上述のように使用することができる。
ブロック510において、方法500は終了してもよい。
この時点では、上述のように本開示によってスピアフィッシングターゲットを予測及び保護することは、典型的に、ある程度の入力データの処理及び出力データの生成を伴うことを留意されたい。この入力データ処理及び出力データ生成は、ハードウェア又はソフトウェアにより実施されてもよい。例えば、特定の電子部品はスピアフィッシング予測及び保護モジュール又は上述のように本開示によるスピアフィッシングターゲットの予測及び保護に関連する機能を実行するための同様若しくは関連の回路において使用することができる。あるいは、指令にしたがって動作する1つ又は複数のプロセッサは、上述のように本開示によるスピアフィッシングターゲットの予測及び保護を関連する機能を実行することができる。かかる場合、このような命令が1つ又は複数のプロセッサ読み取り可能記憶媒体(例えば、磁気ディスク又は他の記憶媒体)に記憶されたり、又は1つ又は複数の搬送波中に具現化された1つ又は複数の信号を介して1つ又は複数のプロセッサに伝送されたりしてもよいことは、本開示の範囲に含まれる。
本開示は、本明細書に示す特定の実施形態により範囲を限定されるものではない。実際、本明細書に記載されるものに加え、本開示の他の様々な実施形態及びその変更形態は、上述の説明及び添付の図面から、当業者には明らかとなろう。したがって、このような他の実施形態及びその変更形態は本開示の範囲内に含まれるものである。更に、本開示は特定の目的のための特定の環境における特定の実施の上で本明細書に記載されているが、その有用性はそれらに限定されず、本開示は任意の数の目的のために任意の数の環境において有益に実施され得ることが当業者には理解されよう。それに応じて、以下に記載する「特許請求の範囲」は、本明細書に記載された本開示の範囲の最大限の広さ及び趣旨を考慮して解釈されるべきである。

Claims (18)

  1. メモリと、前記メモリ及びネットワークに通信可能に連結される1つ又は複数のプロセッサを備え、前記1つ又は複数のプロセッサは、
    組織からの情報に基づいて、1つ又は複数の潜在的スピアフィッシングターゲットを特定し、
    一般に利用可能な情報源から、前記1つ又は複数の潜在的スピアフィッシングターゲット及び前記組織に関連する追加情報を受け取り、
    前記組織からの前記情報及び前記追加情報を前記メモリに記憶し、
    前記メモリに記憶された前記組織からの情報及び前記追加情報に基づいて、前記1つ又は複数の潜在的スピアフィッシングターゲットに対するスピアフィッシング攻撃の脅威レベルを決定し、
    前記1つ又は複数の潜在的スピアフィッシングターゲットと前記脅威レベルとを対応付けた対応付け情報を前記メモリに記憶し、
    前記メモリに記憶された前記対応付け情報に基づいて、前記1つ又は複数の潜在的スピアフィッシングターゲット及び前記1つ又は複数の潜在的スピアフィッシングターゲットに関連する前記脅威レベルのレポートを生成するように構成され、
    前記組織からの前記情報が、前記組織に関連する従業員、請負業者、及び顧問の名簿を含む、
    スピアフィッシングターゲットを予測及び保護するためのシステム。
  2. 前記追加情報を1つ又は複数の自動化された検索の結果として受け取る、請求項1に記載のシステム。
  3. 前記追加情報が、前記1つ又は複数の潜在的ターゲットに関連するプロファイル情報、前記組織に関連するウェブサイトからの情報、並びにプロフェッショナル及びソーシャルネットワーキングサイトからの情報のうちの少なくとも1つを含む、請求項1に記載のシステム。
  4. 前記スピアフィッシング攻撃の前記脅威レベルが、組織のセキュリティの興味及び嗜好に応じてランクづけされる、請求項1に記載のシステム。
  5. 前記1つ又は複数のプロセッサが、スピアフィッシング攻撃を防御するための少なくとも1つのセキュリティ対策を実行することを更に含む、請求項1に記載のシステム。
  6. 前記少なくとも1つのセキュリティ対策を実行することが、前記組織に関連する一般に利用可能な情報の開示を最小限にすることを含む、請求項に記載のシステム。
  7. 前記少なくとも1つのセキュリティ対策を実行することが、前記1つ又は複数の潜在的スピアフィッシングターゲットのセキュリティ状態を強化することを含み、セキュリティ状態を強化することが、追加の認証要素を要求すること、セキュリティの監視を提供すること、及び前記1つ又は複数の潜在的スピアフィッシングターゲットに関連するデバイス又はマシーンの機能を制限すること、のうちの少なくとも1つを含む、請求項に記載のシステム。
  8. 組織からの情報に基づいて、メモリと、前記メモリと通信可能に連結される少なくとも1つのコンピュータプロセッサを使用して、1つ又は複数の潜在的スピアフィッシングターゲットを特定する工程と、
    一般に利用可能な情報源から、前記1つ又は複数の潜在的スピアフィッシングターゲット及び前記組織に関連する追加情報を受け取る工程と、
    前記組織からの前記情報及び前記追加情報を前記メモリに記憶する工程と、
    前記メモリに記憶された、前記組織からの情報及び前記追加情報に基づいて、前記1つ又は複数の潜在的スピアフィッシングターゲットに対してスピアフィッシング攻撃の脅威レベルを決定する工程と、
    前記1つ又は複数の潜在的スピアフィッシングターゲットと前記脅威レベルとを対応付けた対応付け情報を前記メモリに記憶する工程と、
    前記メモリに記憶された前記対応付け情報に基づいて、前記1つ又は複数の潜在的スピアフィッシングターゲット及び前記1つ又は複数の潜在的スピアフィッシングターゲットに関連する前記脅威レベルのレポートを生成する工程と、を含
    前記組織からの前記情報が、前記組織に関連する従業員、請負業者、及び顧問の名簿を含む、
    スピアフィッシングターゲットを予測及び保護する方法。
  9. 前記追加情報を1つ又は複数の自動化された検索の結果として受け取る、請求項に記載の方法。
  10. 前記追加情報が、前記1つ又は複数の潜在的ターゲットに関連するプロファイル情報、前記組織に関連するウェブサイトからの情報、並びにプロフェッショナル及びソーシャルネットワーキングサイトからの情報のうちの少なくとも1つを含む、請求項に記載の方法。
  11. 前記スピアフィッシング攻撃の前記脅威レベルが組織のセキュリティの興味及び嗜好に応じてランクづけされている、請求項に記載の方法。
  12. スピアフィッシング攻撃を防御するための少なくとも1つのセキュリティ対策を実行する工程を更に含む、請求項に記載の方法。
  13. 前記少なくとも1つのセキュリティ対策を実行する工程が、前記組織に関連する一般に利用可能な情報の開示を最小限にする工程を含む、請求項12に記載の方法。
  14. 前記少なくとも1つのセキュリティ対策を実行する工程が、前記1つ又は複数の潜在的スピアフィッシングターゲットのセキュリティ状態を強化する工程を含み、セキュリティ状態を強化する工程が、追加の認証要素を要求する工程、セキュリティの監視を提供する工程、及び前記1つ又は複数の潜在的スピアフィッシングターゲットに関連するデバイス又はマシーンの機能を制限する工程のうちの少なくとも1つを含む、請求項12に記載の方法。
  15. 請求項に記載の方法を実行するためのコンピュータプロセスを実行するように、少なくとも1つのコンピュータプロセッサに指示するための、前記少なくとも1つのコンピュータプロセッサにより読み取り可能に構成された命令のコンピュータプログラムを記憶する、非一時的コンピュータ読み取り可能記憶媒体。
  16. メモリと、前記メモリ及びネットワークに通信可能に連結される1つ又は複数のプロセッサを備え、前記1つ又は複数のプロセッサは、
    組織に関連する関心のある新しい情報を特定し、
    前記関心のある新しい情報を前記メモリに記憶し、
    前記組織に関連する1つ又は複数の潜在的スピアフィッシングターゲットを、前記メモリに記憶された関心のある新しい情報に基づいて予測し、
    前記1つ又は複数の潜在的スピアフィッシングターゲットを示す情報を前記メモリに記憶し、
    前記メモリに記憶された前記1つ又は複数の潜在的スピアフィッシングターゲットを示す情報に基づいて、スピアフィッシング攻撃を防御するため、前記1つ又は複数の潜在的スピアフィッシングターゲットのレポートを生成するように構成され、
    前記関心のある新しい情報が、前記組織に関連する従業員、請負業者、及び顧問の名簿を含む、
    スピアフィッシングターゲットを予測及び保護するシステム。
  17. 前記組織に関連する関心のある新しい情報が、製品ライン情報、プレスリリース、組織の部門情報、現在の世界のニュース、最近の国内又は国際セキュリティ侵害に関連する情報、合併情報、組織の噂、及び組織の告知のうちの少なくとも1つを含む、請求項16に記載のシステム。
  18. 前記1つ又は複数の潜在的スピアフィッシングターゲットの予測が、プロフェッショナル及びソーシャルネットワーキングサイト、組織のウェブサイト、又は第三者のデータソースのうちの少なくとも1つから受け取ったプロファイル情報からの追加情報に更に基づく、請求項1に記載のシステム。
JP2016501242A 2013-03-15 2014-03-11 スピアフィッシングターゲットを予測及び保護するための技法 Active JP6099804B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/840,920 2013-03-15
US13/840,920 US10069862B2 (en) 2013-03-15 2013-03-15 Techniques for predicting and protecting spearphishing targets
PCT/US2014/023477 WO2014150517A1 (en) 2013-03-15 2014-03-11 Techniques for predicting and protecting spearphishing targets

Publications (2)

Publication Number Publication Date
JP2016521388A JP2016521388A (ja) 2016-07-21
JP6099804B2 true JP6099804B2 (ja) 2017-03-22

Family

ID=51535090

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016501242A Active JP6099804B2 (ja) 2013-03-15 2014-03-11 スピアフィッシングターゲットを予測及び保護するための技法

Country Status (5)

Country Link
US (1) US10069862B2 (ja)
EP (1) EP2973143A4 (ja)
JP (1) JP6099804B2 (ja)
CN (1) CN105144653A (ja)
WO (1) WO2014150517A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9548988B1 (en) 2014-08-18 2017-01-17 Symantec Corporation Systems and methods for attributing potentially malicious email campaigns to known threat groups
US9754106B2 (en) 2014-10-14 2017-09-05 Symantec Corporation Systems and methods for classifying security events as targeted attacks
US9571510B1 (en) 2014-10-21 2017-02-14 Symantec Corporation Systems and methods for identifying security threat sources responsible for security events
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10244109B2 (en) 2016-07-13 2019-03-26 International Business Machines Corporation Detection of a spear-phishing phone call
US10031821B2 (en) * 2016-09-26 2018-07-24 James Nelson Distributed network electronic interference abatement system and method
US20210185080A1 (en) * 2019-12-11 2021-06-17 At&T Intellectual Property I, L.P. Social engineering attack prevention
CN111614543B (zh) * 2020-04-10 2021-09-14 中国科学院信息工程研究所 一种基于url的鱼叉式钓鱼邮件检测方法及系统
CN115134805B (zh) * 2021-03-29 2024-07-16 中国移动通信集团福建有限公司 预测潜在携入的异网号码的方法、装置、设备及存储介质
US20240163303A1 (en) * 2022-11-15 2024-05-16 At&T Intellectual Property Ii, L.P. Predicting and Using Threat Levels for Cyber Threats Using Data From Public Data Sources

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070192863A1 (en) 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US9525696B2 (en) * 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
JP2002251374A (ja) 2000-12-20 2002-09-06 Fujitsu Ltd 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US7953814B1 (en) * 2005-02-28 2011-05-31 Mcafee, Inc. Stopping and remediating outbound messaging abuse
US20070022202A1 (en) 2005-07-22 2007-01-25 Finkle Karyn S System and method for deactivating web pages
WO2007016869A2 (en) 2005-08-07 2007-02-15 Metaswarm (Hongkong) Ltd. Systems and methods of enhanced e-commerce,virus detection and antiphishing
US7530105B2 (en) * 2006-03-21 2009-05-05 21St Century Technologies, Inc. Tactical and strategic attack detection and prediction
KR100798923B1 (ko) * 2006-09-29 2008-01-29 한국전자통신연구원 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체
US8145708B2 (en) 2006-11-10 2012-03-27 Microsoft Corporation On-line virtual robot (bot) security agent
US8352738B2 (en) * 2006-12-01 2013-01-08 Carnegie Mellon University Method and apparatus for secure online transactions
US8307431B2 (en) 2008-05-30 2012-11-06 At&T Intellectual Property I, L.P. Method and apparatus for identifying phishing websites in network traffic using generated regular expressions
US20100251369A1 (en) * 2009-03-25 2010-09-30 Grant Calum A M Method and system for preventing data leakage from a computer facilty
GB0909079D0 (en) * 2009-05-27 2009-07-01 Quantar Llp Assessing threat to at least one computer network
US10015169B2 (en) * 2010-02-22 2018-07-03 Avaya Inc. Node-based policy-enforcement across mixed media, mixed-communications modalities and extensible to cloud computing such as SOA
WO2011162848A2 (en) * 2010-04-01 2011-12-29 21Ct, Inc. System and method for providing impact modeling and prediction of attacks on cyber targets
US8752172B1 (en) * 2011-06-27 2014-06-10 Emc Corporation Processing email messages based on authenticity analysis
US9239908B1 (en) * 2011-06-29 2016-01-19 Emc Corporation Managing organization based security risks
US10129211B2 (en) * 2011-09-15 2018-11-13 Stephan HEATH Methods and/or systems for an online and/or mobile privacy and/or security encryption technologies used in cloud computing with the combination of data mining and/or encryption of user's personal data and/or location data for marketing of internet posted promotions, social messaging or offers using multiple devices, browsers, operating systems, networks, fiber optic communications, multichannel platforms
US8739281B2 (en) * 2011-12-06 2014-05-27 At&T Intellectual Property I, L.P. Multilayered deception for intrusion detection and prevention
CN102882739B (zh) 2012-09-07 2016-05-11 中国科学院信息工程研究所 通信行为检测方法及装置

Also Published As

Publication number Publication date
EP2973143A4 (en) 2016-08-17
CN105144653A (zh) 2015-12-09
WO2014150517A1 (en) 2014-09-25
EP2973143A1 (en) 2016-01-20
US20140283035A1 (en) 2014-09-18
US10069862B2 (en) 2018-09-04
JP2016521388A (ja) 2016-07-21

Similar Documents

Publication Publication Date Title
JP6099804B2 (ja) スピアフィッシングターゲットを予測及び保護するための技法
US11003775B2 (en) Methods for behavioral detection and prevention of cyberattacks, and related apparatus and techniques
JP6059812B2 (ja) セキュリティ脆弱性を検出するための技術
US9800606B1 (en) Systems and methods for evaluating network security
Kent et al. Guide to integrating forensic techniques into incident
JP6596596B2 (ja) ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法
Bamiah et al. Seven deadly threats and vulnerabilities in cloud computing
US10225284B1 (en) Techniques of obfuscation for enterprise data center services
US11706237B2 (en) Threat detection and security for edge devices
US10382416B1 (en) Techniques for detecting shared devices
US20160171208A1 (en) Selective Password Synchronization
US10200374B1 (en) Techniques for detecting malicious files
US10938849B2 (en) Auditing databases for security vulnerabilities
CA2876662C (en) Techniques for providing dynamic account and device management
Kent et al. Sp 800-86. guide to integrating forensic techniques into incident response
JP6602471B2 (ja) 自動化されたアプリケーション分析のための技法
JP2020095459A (ja) 履歴監視方法、監視処理装置および監視処理プログラム
Grance et al. Guide to computer and network data analysis: Applying forensic techniques to incident response
US9794258B1 (en) Techniques for managing authorization
US9578057B1 (en) Techniques for detecting an intranet spoofing attack
JP2018531470A6 (ja) 自動化されたアプリケーション分析のための技法
US10547637B1 (en) Systems and methods for automatically blocking web proxy auto-discovery protocol (WPAD) attacks
EP3284004B1 (en) Quantitative security improvement system based on crowdsourcing
TWM599062U (zh) 特權帳號管理系統
Aggarwal A survey of threats associated with cloud computing

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160920

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161219

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170124

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170221

R150 Certificate of patent or registration of utility model

Ref document number: 6099804

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250