JP6254401B2 - Information processing apparatus, information processing method, and information processing system - Google Patents
Information processing apparatus, information processing method, and information processing system Download PDFInfo
- Publication number
- JP6254401B2 JP6254401B2 JP2013191015A JP2013191015A JP6254401B2 JP 6254401 B2 JP6254401 B2 JP 6254401B2 JP 2013191015 A JP2013191015 A JP 2013191015A JP 2013191015 A JP2013191015 A JP 2013191015A JP 6254401 B2 JP6254401 B2 JP 6254401B2
- Authority
- JP
- Japan
- Prior art keywords
- business card
- card information
- search
- information processing
- external device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 37
- 238000003672 processing method Methods 0.000 title claims 6
- 230000005540 biological transmission Effects 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 6
- 238000004220 aggregation Methods 0.000 claims 1
- 230000002776 aggregation Effects 0.000 claims 1
- 230000002401 inhibitory effect Effects 0.000 claims 1
- 238000000034 method Methods 0.000 description 21
- 238000001514 detection method Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 8
- 208000015181 infectious disease Diseases 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000003384 imaging method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明は、セキュリティ技術に関するものである。 The present invention relates to security technology.
近年、企業に対するサイバー攻撃の新しい形態として、企業内の特定の社員が所有するコンピュータを標的に、そのコンピュータにマルウェアを感染させて企業内の情報を盗み出す標的型攻撃という手法が増えている。標的型攻撃の具体的な攻撃手法として特に多いのが、実在するユーザのメールアドレスを騙る成り済ましメールであり、メールヘッダの詐称や、実在のユーザコンピュータをRAT(リモートアクセスツール)と呼ばれる遠隔操作ツールで操るなどの手口で攻撃メールを攻撃対象者へ送りつけてくる。また、その偽装の手法も、「実在メールの転用」や「システムメールを装った偽造」、「製品問合せの偽装」など多様化・巧妙化が進んでおり、ユーザが攻撃メールの内容を信頼し、うっかりマルウェア感染してしまうリスクはますます高まってきている。 In recent years, as a new form of cyber attack on a company, a method called a targeted attack that targets a computer owned by a specific employee in the company and steals information in the company by infecting the computer with malware is increasing. The most common attack method for targeted attacks is a spoofed email that addresses the real user's email address. Mail header spoofing or a real-time user computer called RAT (Remote Access Tool) The attack mail is sent to the attack target person by the technique such as manipulating in. In addition, the methods of impersonation have been diversified and sophisticated, such as “diversion of real mail”, “forgery of system mail”, and “forgery of product inquiry”, and users have trusted the contents of attack mail. The risk of inadvertent malware infection is increasing.
ところで、マルウェア攻撃をしかけるハッカーはソーシャルエンジニアリングなどの手口を使い、攻撃対象者の近しい人や組織に接触し、攻撃対象者が信頼しやすい、実在の情報の入手を図る。しかし、攻撃対象者の所属する企業のセキュリティレベルが充分に高い場合には、情報入手が困難となる。そのため、近年のハッカーがとる行動の一つとして、攻撃対象者が所属する企業の「取引先企業」や「関連グループ企業」にマルウェアを送り込み、マルウェア感染させたコンピュータからメールデータなどを搾取し、攻撃対象者の情報を入手する傾向がみられる。即ち、外堀から攻めて本丸を落とす、という作戦が取られるケースが増えている。 By the way, hackers attacking malware use techniques such as social engineering to contact people and organizations that are close to the attack target, and to obtain real-world information that is easy to trust. However, it is difficult to obtain information if the security level of the company to which the attack target belongs is sufficiently high. Therefore, as one of the actions taken by hackers in recent years, malware is sent to "partner companies" and "related group companies" of companies to which the attack target belongs, and e-mail data etc. are exploited from malware infected computers, There is a tendency to obtain information on the attack target. In other words, there are an increasing number of cases where the strategy of attacking from the outer moat and dropping Honmaru is taken.
特許文献1のように、従来、このように成り済ましメールによる攻撃を受けた場合、その根本、即ちメールの送信元企業のマルウェア感染状況が改善されなければその根を絶つ事ができず、攻撃メールの数は増大し、更に長期間に渡って攻撃され続けるリスクが残存したままであった。そのような状況に対する具体的な施策として、システム管理者などが送信元ユーザへ都度連絡して確認してもらうという作業が必要であったり、そもそもハッカーの具体的な攻撃手法や攻撃アプローチを推測して適切な対応をとるべく情報の解析作業が必要であったりなど、システム管理者の手間となっていた。
Conventionally, as in
本発明はこのような問題に鑑みてなされたものであり、ハッカーによるサイバー攻撃を受けた後の二次対策にかかるシステム管理者の作業負担を軽減し、かつサイバー攻撃によるマルウェア感染リスクを低減するための技術を提供する。 The present invention has been made in view of such problems, and reduces the work burden on the system administrator for secondary countermeasures after a cyber attack by a hacker, and reduces the risk of malware infection due to the cyber attack. Provide technology for.
本発明の一様態は、外部機器から受信したメールに基づいてマルウェアを検知すると、前記外部機器のメールアドレスを特定する特定手段と、
前記特定手段が特定したメールアドレスを検索キーとして、メールアドレスを含む名刺情報を保持している記憶装置から名刺情報を検索する検索手段と、
前記検索手段による検索結果としての名刺情報を報知する報知手段と
を備え、
前記検索手段は、前記特定手段が特定したメールアドレスに含まれているドメイン名を含むメールアドレスが記されている名刺の名刺情報を、前記記憶装置から検索する
ことを特徴とする。
また、外部機器から受信したメールに基づいてマルウェアを検知すると、前記外部機器のメールアドレスを特定する特定手段と、
前記特定手段が特定したメールアドレスを検索キーとして、メールアドレスを含む名刺情報を保持している記憶装置から名刺情報を検索する検索手段と、
前記検索手段による検索結果としての名刺情報を報知する報知手段と、
前記検索手段が検索した名刺情報に含まれているURLへのアクセスを禁止する制御手段と
を備えることを特徴とする。
また、外部機器から受信したメールに基づいてマルウェアを検知すると、前記外部機器のメールアドレスを特定する特定手段と、
前記特定手段が特定したメールアドレスを検索キーとして、メールアドレスを含む名刺情報を保持している記憶装置から名刺情報を検索する検索手段と、
前記検索手段による検索結果としての名刺情報を報知する報知手段と
を備え、
前記報知手段は、
前記検索手段が検索した名刺情報に含まれている所有者を特定し、該所有者にマルウェアに感染している可能性があることを示すメッセージを報知することを特徴とする。
According to one aspect of the present invention, when malware is detected based on an email received from an external device, a specifying unit that specifies an email address of the external device;
Search means for searching for business card information from a storage device holding business card information including the mail address using the email address specified by the specifying means as a search key;
Notification means for notifying business card information as a search result by the search means ,
The searching means searches the storage device for business card information of a business card in which a mail address including a domain name included in the mail address specified by the specifying means is recorded .
Further, when malware is detected based on an email received from an external device, a specifying means for specifying the email address of the external device;
Search means for searching for business card information from a storage device holding business card information including the mail address using the email address specified by the specifying means as a search key;
Notification means for notifying business card information as a search result by the search means;
Control means for prohibiting access to a URL included in the business card information searched by the search means;
It is characterized by providing.
Further, when malware is detected based on an email received from an external device, a specifying means for specifying the email address of the external device;
Search means for searching for business card information from a storage device holding business card information including the mail address using the email address specified by the specifying means as a search key;
Notification means for notifying business card information as a search result by the search means;
With
The notification means includes
The search means identifies an owner included in the searched business card information, and notifies the owner of a message indicating that the owner may be infected with malware.
本発明の構成によれば、ハッカーによるサイバー攻撃を受けた後の二次対策にかかるシステム管理者の作業負担を軽減し、かつサイバー攻撃によるマルウェア感染リスクを低減することができる。 According to the configuration of the present invention, it is possible to reduce the work burden on the system administrator for the secondary countermeasure after receiving a cyber attack by a hacker, and to reduce the risk of malware infection due to the cyber attack.
また、感染状況を集計し、レポーティングする事で社内及び関連企業と構成されるネットワークにおけるマルウェア交信状況を把握し、セキュリティインシデントに対する適切な戦略を立てる為の補助データとして活用することもできる。 Moreover, by collecting and reporting the infection status, it is possible to grasp the malware communication status in the network composed of the company and related companies, and use it as auxiliary data for developing an appropriate strategy for security incidents.
以下、添付図面を参照し、本発明の好適な実施形態について説明する。なお、以下説明する実施形態は、本発明を具体的に実施した場合の一例を示すもので、特許請求の範囲に記載の構成の具体的な実施例の1つである。 Preferred embodiments of the present invention will be described below with reference to the accompanying drawings. The embodiment described below shows an example when the present invention is specifically implemented, and is one of the specific examples of the configurations described in the claims.
[第1の実施形態]
先ず、本実施形態に係る情報処理システムの構成例について、図1のブロック図を用いて説明する。図1に示す如く、本実施形態に係る情報処理システムは、端末1、端末2、名刺情報蓄積部3、を有しており、それぞれの装置は、LANやインターネットなどのネットワーク4に接続されている。
[First Embodiment]
First, a configuration example of the information processing system according to the present embodiment will be described with reference to the block diagram of FIG. As shown in FIG. 1, the information processing system according to the present embodiment includes a
なお、図1に示した構成は一例であり、端末の台数やネットワーク構成などは、図1に限るものではない。例えば、端末1及び名刺情報蓄積部3の機能の全てをネットワーク4上に接続されている不図示の管理サーバ/メールサーバが行ってもよいし、一部の機能を管理サーバ/メールサーバが行う構成でもよい。また、名刺情報蓄積部3は、ネットワーク4上に接続されている端末1とは別個の記憶装置内に設けてもよいし、端末1内の後述する外部記憶装置506(記憶装置)に設けてもよい。
The configuration shown in FIG. 1 is an example, and the number of terminals, the network configuration, and the like are not limited to those in FIG. For example, all of the functions of the
端末1,2は何れも、一般のPC(パーソナルコンピュータ)、サーバ装置、ネットワークスキャナ、ハンディターミナル、スマートフォンなど、メールの送受信機能を有すると共に、端末が行うものとして後述する各処理を実行可能な通信機器である。
Each of the
先ず、端末1について説明する。端末1は、名刺情報取得部11、メール交信部12、マルウェア検知部13、を有する。
First, the
名刺情報取得部11は、名刺に記されている情報を名刺情報として取得し、該取得した名刺情報を名刺情報蓄積部3に登録する。名刺情報の取得方法には様々な方法があり、特定の方法に限るものではない。例えば、名刺をスキャナ装置(OCR機能)を用いてスキャンし、該スキャンによって読み取った情報群(会社名、部署名、個人名、肩書き、ファックス番号、電話番号、メールアドレス、URLなど)を名刺情報として取得しても良い。また、撮像装置(端末1内に設けても良いし、端末1に外部接続しても構わない)を用いて名刺を撮像し、該撮像により得られる画像から上記の情報群を文字認識技術を用いて取得し、該取得した情報群を名刺情報として取得しても構わない。また、後述する操作部504を用いて入力された情報群を名刺情報として取得しても構わないし、ネットワーク4上に接続されている外部機器から受信した情報群を名刺情報として取得しても構わない。
The business card information acquisition unit 11 acquires information written on the business card as business card information, and registers the acquired business card information in the business card
なお、図1では、名刺情報取得部11は端末1内に設けられているが、端末1とは別個の装置(ネットワーク4上に接続されている)内に設けてもよく、その場合であっても、名刺情報取得部11は、取得した名刺情報を名刺情報蓄積部3に登録することになる。
In FIG. 1, the business card information acquisition unit 11 is provided in the
メール交信部12は、ネットワーク4に接続されている外部機器(図1の場合は端末2)との間のメールの送受信を行うと共に、送受信の履歴を送受信履歴として端末1がアクセス可能なメモリに記録する。なお、図1では、メール交信部12は端末1内に設けられているが、端末1とは別個の装置(ネットワーク4上に接続されている)内に設けてもよいし、不図示のメールサーバに設けてもよい。
The
マルウェア検知部13は、外部機器(図1の場合は端末2)から受信したメールに基づいてマルウェアを検知するためのものである。具体的には、外部機器から受信したメールにマルウェアが添付されていることや、マルウェアに感染するスクリプトがメール(HTML形式のメール)に記されていることや、アクセスするとマルウェアに感染するURLがメールに記されていることを検知する。なお、マルウェア検知部13についても、名刺情報取得部11と同様、図1では、端末1内に設けられているが、端末1とは別個の装置(ネットワーク4上に接続されている)内に設けてもよい。具体的には、このマルウェア検知部13は、メールの配送過程において通過するネットワーク4上に接続されたメールサーバ、スパムフィルタサーバ、UTM、ファイアウォールなどのネットワーク機器内に設けるようにしても構わない。このような場合、マルウェア検知部13は、検知結果をメールの送信先に通知(例えば、メール、インスタントメッセージ等を用いて)するので、該送信先の端末は、マルウェア検知部13による検知後に行う処理として後述する各処理を実行することになる。
The
次に、端末2について説明する。以下では、端末2は、端末1に、マルウェアが添付されているメール、マルウェアに感染するスクリプトが記されているメール、若しくはアクセスするとマルウェアに感染するURLが記されているメールを送信するものとする。
Next, the
次に、端末2から、マルウェアが添付されているメール、マルウェアに感染するスクリプトが記されているメール、若しくはアクセスするとマルウェアに感染するURLが記されているメールを受信した端末1が行う処理について、同処理のフローチャートを示す図2を用いて説明する。
Next, a process performed by the
ステップS1では、メール交信部12は、端末2から送信されたメール(マルウェアが添付されているメール、マルウェアに感染するスクリプトが記されているメール、若しくはアクセスするとマルウェアに感染するURLが記されているメール)を受信すると、このメールの受信履歴(メールレコード)を作成して、端末1がアクセス可能なメモリに登録されている送受信履歴に追加登録する。
In step S1, the
ステップS2では、マルウェア検知部13は、このメールにマルウェアが添付されていること、このメールにマルウェアに感染するスクリプトが記されていること、若しくはアクセスするとマルウェアに感染するURLがこのメールに記されていること、の何れかを検知すると、このメールからマルウェアに係る情報(マルウェアのファイル名、指定するとマルウェアに感染するURL、送信元のメールアドレス等)を抽出し、該抽出した情報に含まれているメールアドレスを含む受信履歴を、上記送受信履歴から抽出する。
In step S2, the
ステップS3では、マルウェア検知部13は、ステップS2で送受信履歴から抽出した受信履歴から、メールの送信元のメールアドレス(図1の場合、端末2のメールアドレス)を抽出する。
In step S3, the
ステップS4では、マルウェア検知部13は、ステップS3で受信履歴から抽出したメールアドレスを検索キーとして、名刺情報蓄積部3に登録(保持)されている名刺情報群から1以上の名刺情報を検索する。この検索では、ステップS3で受信履歴から抽出したメールアドレスが記されている名刺の名刺情報を検索するようにしても構わないし、ステップS3で受信履歴から抽出したメールアドレスに含まれているドメイン名を含むメールアドレスが記されている名刺の名刺情報を検索するようにしても構わない。すなわち、検索条件は特定の検索条件に限るものではない。
In step S4, the
一般に、一度により広範囲な名刺情報を取得する為に、検索条件を「ドメイン名の一致」、「グループ関連企業」、「ステップS3で受信履歴から抽出したメールアドレスを含む名刺情報を登録した日時と同時期に登録された名刺情報」等の予め用意された複数の検索条件から任意の条件を選択しても構わない。この検索条件の選択は、例えば、検索条件選択用の画面を不図示の表示画面に表示し、ユーザがマウスやキーボードなどを用いて選択した検索条件を採用するようにしても構わない。 In general, in order to obtain a wide range of business card information at once, the search conditions are “domain name match”, “group related company”, “date and time when the business card information including the email address extracted from the reception history in step S3 is registered, Arbitrary conditions may be selected from a plurality of search conditions prepared in advance such as “business card information registered at the same time”. For the selection of the search condition, for example, a search condition selection screen may be displayed on a display screen (not shown), and the search condition selected by the user using a mouse or a keyboard may be adopted.
ステップS5では、マルウェア検知部13は、ステップS4における検索結果としての名刺情報を名刺情報蓄積部3から取得し、該取得した名刺情報を報知する。本ステップにおける報知処理には様々なものが考えられる。
In step S5, the
例えば、検索した名刺情報を報知しても良いし、加えて及び/又はこれに代えて、検索した名刺情報と類似する情報が含まれている名刺情報を報知するようにしても構わない。ここで、「検索した名刺情報と類似する情報が含まれている名刺情報」とは、例えば、検索した名刺情報に含まれている会社名及び部署名だけが同じであったり等、検索した名刺情報と部分的に同じ情報を含む名刺情報である。なお、例えば、部署名は異なるが同じグループとして関連付けたいなど、ユーザが指定して関連付けた情報群を「検索した名刺情報と類似する情報が含まれている名刺情報」としてもよい。 For example, the searched business card information may be notified, and / or alternatively, the business card information including information similar to the searched business card information may be notified. Here, the “business card information including information similar to the searched business card information” means, for example, that the searched business card information includes the same company name and department name included in the searched business card information. It is business card information partially including the same information as the information. Note that, for example, a group of information designated and associated by the user, such as wanting to associate them as the same group but with different department names, may be “business card information including information similar to the retrieved business card information”.
名刺情報の報知方法は、例えば、名刺情報に含まれているそれぞれの情報をテキストとして端末1やその他の装置の不図示の表示画面に一覧表示したり、加えて、マルウェアに係る情報として抽出した情報を表示しても良い。また、この名刺情報をテキストデータとしてファイルに記録するようにしても構わないし、このファイルをメモリに記録したり外部機器に対して送信したりしても良い。
In the business card information notification method, for example, each information included in the business card information is displayed as a list on a display screen (not shown) of the
ここで、名刺情報蓄積部3に登録されている名刺情報群の一構成例について、図3を用いて説明する。図3では、各名刺に対応する氏名、会社名、所属、電話番号、メールアドレスが登録されている。
Here, a configuration example of the business card information group registered in the business card
このようにして得られた名刺情報を元に、端末1のユーザもしくはシステム管理者は、名刺情報に記載された情報を適切に活用し、マルウェアメールを発信した端末2のユーザ、もしくは端末2を有するネットワークの管理者へ本事実を通知し、本件の端末及び端末を含むネットワーク内におけるマルウェア感染状況の確認と対処を依頼もしくは指示する事ができ、自らの端末及びネットワーク内へ同様のマルウェア侵入を防止する事ができる。更には、本件の端末ユーザ及びネットワーク管理者の危機意識を高め、相互のセキュリティレベル向上に寄与する事が出来る。
Based on the business card information obtained in this manner, the user of the
名刺情報蓄積部3に登録されている名刺情報群の他の構成例について、図4を用いて説明する。図4では、各名刺に対応する氏名、会社名、所属、電話番号、メールアドレスに加えて、該名刺をスキャン(取得)したユーザ(該名刺を受け取った所有者)の情報が登録されている。これにより、同一の名刺情報を有する複数の個人を特定する事ができ、個人に対してマルウェアメールの受信状況や感染している可能性がある旨の通知をする事で、危険という認識を高め、被害拡大を防ぐことができる。
Another configuration example of the business card information group registered in the business card
また、Webメールの場合は、マルウェアを発信した端末2のメールアドレスのドメイン名とその他の端末のドメイン名が同一になる可能性が高い。したがって、特定のドメイン名の場合は、マルウェアを発信した端末2の氏名と同一の名刺を所有する所有者に対して通知し、ユーザの利便性を向上させることもできる。
In the case of Web mail, there is a high possibility that the domain name of the mail address of the
また、マルウェアを発信した端末2を有する企業内の他の端末も、マルウェアに感染している可能性がある。そこで、該当する企業名、またはメールアドレスのドメイン名を含む名刺の所有者に、マルウェアメールの受信状況や感染している可能性がある旨の通知をすることもできる。 In addition, there is a possibility that other terminals in the company having the terminal 2 that has transmitted the malware are also infected with the malware. Therefore, it is possible to notify the owner of the business card including the corresponding company name or the domain name of the mail address that the malware mail is received or that there is a possibility of being infected.
また、検索した名刺情報に含まれているメールアドレス、該検索した名刺情報に含まれているメールアドレスに含まれるドメイン名を含むメールアドレス、該検索した名刺情報と類似する情報が含まれている名刺情報に含まれているメールアドレス、の何れかのメールアドレスを有する外部機器からメールを受信した場合には、マルウェアに感染している可能性があることを示すメッセージを報知するようにしても構わない。 In addition, the e-mail address included in the searched business card information, the e-mail address including the domain name included in the e-mail address included in the searched business card information, and information similar to the searched business card information are included. If a mail is received from an external device having one of the mail addresses included in the business card information, a message indicating that there is a possibility of being infected with malware may be notified. I do not care.
また、図3で示されるメールアドレスのように、マルウェアを発信した端末2のメールアドレスのドメイン名を判断し、該ドメイン名を含むメールアドレスからのメールの送受信をメールサーバに対して禁止するように設定することにより、マルウェア侵入を防止する事ができる。このような禁止処理には様々な形態がある。
Further, as in the mail address shown in FIG. 3, the domain name of the mail address of the
例えば、ステップS4で検索した名刺情報に含まれているメールアドレス、該検索した名刺情報に含まれているメールアドレスに含まれるドメイン名を含むメールアドレス、該検索した名刺情報と類似する情報が含まれている名刺情報に含まれているメールアドレス、の何れかのメールアドレスを有する外部機器との間のメールの送信及び/又は受信を禁止する。 For example, the e-mail address included in the business card information searched in step S4, the e-mail address including the domain name included in the e-mail address included in the searched business card information, and information similar to the searched business card information are included. E-mail transmission and / or reception with an external device having one of the e-mail addresses included in the registered business card information is prohibited.
また、マルウェアを発信した端末2が属するURLを名刺情報から判断し、そのURLへのアクセスを禁止する(制御手段)ように設定することにより、フィッシングを防止する事ができる。また、過去にステップS3で抽出したメールアドレスからの受信状況及び該メールアドレスへの送信状況を集計し、該集計の結果を、該メールアドレスを検索キーとして用いて検索した名刺情報と共に表示するようにしても構わない。
Further, phishing can be prevented by determining the URL to which the
また、マルウェア情報のメールアドレス情報を元に、任意のメールボックスを検索し、該当メールアドレスからの受信メールレコードを検索して、該当メールアドレスを元に名刺情報蓄積部から得た名刺情報を併記し表示してもよい。また、該当するメールレコードを隔離・削除してもよい。 Also, search for an arbitrary mailbox based on the email address information of the malware information, search for incoming email records from the corresponding email address, and write the business card information obtained from the business card information storage unit based on the corresponding email address. It may be displayed. Also, the corresponding mail record may be quarantined / deleted.
また、検索した名刺情報に含まれているメールアドレス、該検索した名刺情報に含まれているメールアドレスに含まれるドメイン名を含むメールアドレス、該検索した名刺情報と類似する情報が含まれている名刺情報に含まれているメールアドレス、の何れかのメールアドレスを有する外部機器との間のメールの送信及び/又は受信を検知した際、ユーザに対して警告を報知すると共に、該送信及び/又は受信を継続するか否かをユーザに選択させるための画面を表示するようにしても構わない。そしてユーザが継続する旨の指示を入力した場合には、該送信及び/又は受信を継続し、継続しない旨の指示を入力した場合には、該送信及び/又は受信を中断する。 In addition, the e-mail address included in the searched business card information, the e-mail address including the domain name included in the e-mail address included in the searched business card information, and information similar to the searched business card information are included. When the transmission and / or reception of an email with an external device having one of the email addresses included in the business card information is detected, a warning is given to the user, and the transmission and / or Alternatively, a screen for allowing the user to select whether or not to continue reception may be displayed. When the user inputs an instruction to continue, the transmission and / or reception is continued. When an instruction to not continue is input, the transmission and / or reception is interrupted.
また、検索した名刺情報に含まれているメールアドレス、該検索した名刺情報に含まれているメールアドレスに含まれるドメイン名を含むメールアドレス、該検索した名刺情報と類似する情報が含まれている名刺情報に含まれているメールアドレス、の何れかのメールアドレスを有する外部機器との間のメールの送信及び/又は受信を検知した際、該外部機器のメールアドレスを含む名刺情報を報知するようにしても構わない。 In addition, the e-mail address included in the searched business card information, the e-mail address including the domain name included in the e-mail address included in the searched business card information, and information similar to the searched business card information are included. When detecting the transmission and / or reception of an email with an external device having any of the email addresses included in the business card information, the business card information including the email address of the external device is notified. It doesn't matter.
なお、表示、報知する情報の組み合わせは上記の例に限ったものではなく、適宜組み合わせても構わない。 In addition, the combination of the information displayed and alert | reported is not restricted to said example, You may combine suitably.
なお、送受信履歴を記録する際に、メールアドレスをキーとして送受信履歴と名刺情報を関連付けて記録してもよい。その場合、マルウェア検知部13が、受信したメールに基づいてマルウェアを検知したら、その受信履歴を検索キ―として、関連する名刺情報を含む受信履歴を検索する。
When the transmission / reception history is recorded, the transmission / reception history and business card information may be recorded in association with each other using the mail address as a key. In this case, when the
[第2の実施形態]
名刺情報取得部11、メール交信部12、マルウェア検知部13は何れもハードウェアで構成しても良いし、ソフトウェア(コンピュータプログラム)で構成しても良い。各部をソフトウェアで構成する場合、端末1には、図5に示したハードウェア構成を有するコンピュータ装置を適用することができる。
[Second Embodiment]
The business card information acquisition unit 11, the
CPU501は、RAM502やROM503に格納されているコンピュータプログラムやデータを用いて処理を実行することで、本装置全体の動作制御を行うと共に、端末1が行うものとして上述した各処理を実行する。
The
RAM502は、外部記憶装置506からロードされたコンピュータプログラムやデータを一時的に記憶するためのエリアや、I/F(インターフェース)507を介して外部(図1では端末2)から受信したデータを一時的に記憶するためのエリアを有する。更に、RAM502は、CPU501が各種の処理を実行する際に用いるワークエリアを有する。即ち、RAM502は、各種のエリアを適宜提供することができる。ROM503には、本装置の設定データや、ブートプログラムなどが格納されている。
The
操作部504は、マウスやキーボードなどのユーザインターフェースにより構成されており、本装置のユーザが操作することで、各種の指示をCPU501に対して入力することができる。
The
表示部505は、CRTや液晶画面などにより構成されており、CPU501による処理結果を画像や文字などでもって表示することができる。例えば、端末1の表示画面に表示するものとして上述した様々な情報を表示することができる。
The
外部記憶装置506は、ハードディスクドライブ装置に代表される大容量情報記憶装置である。この外部記憶装置506には、OS(オペレーティングシステム)や、名刺情報取得部11、メール交信部12、マルウェア検知部13のそれぞれの機能をCPU501に実現させるためのコンピュータプログラムやデータが保存されている。このデータには、上記の説明において既知の情報として説明したものが含まれる(特に説明がなくても、上記の処理を実現するために必要な情報も含まれている)。
The
外部記憶装置506に保存されているコンピュータプログラムやデータは、CPU501による制御に従って適宜RAM502にロードされ、CPU501による処理対象となる。
Computer programs and data stored in the
I/F507は、本装置を上記のネットワーク4に接続するためのもので、本装置はこのI/F507を介してネットワーク4上の機器との間のデータ通信を行うことができる。
The I /
上記の各部は何れも、バス508に接続されている。なお、図5に示したハードウェア構成は、端末2に適用しても構わない。また、図5に示したハードウェア構成は一例であり、例えばこの構成にスキャナを加えても良いし、撮像装置を加えても構わない。
Each of the above parts is connected to the
Claims (14)
前記特定手段が特定したメールアドレスを検索キーとして、メールアドレスを含む名刺情報を保持している記憶装置から名刺情報を検索する検索手段と、
前記検索手段による検索結果としての名刺情報を報知する報知手段と
を備え、
前記検索手段は、前記特定手段が特定したメールアドレスに含まれているドメイン名を含むメールアドレスが記されている名刺の名刺情報を、前記記憶装置から検索する
ことを特徴とする情報処理装置。 When detecting malware based on an email received from an external device, a specifying means for specifying an email address of the external device;
Search means for searching for business card information from a storage device holding business card information including the mail address using the email address specified by the specifying means as a search key;
Notification means for notifying business card information as a search result by the search means ,
The information processing apparatus, wherein the search unit searches the storage device for business card information of a business card in which a mail address including a domain name included in the mail address specified by the specifying unit is recorded .
前記特定手段が過去に特定したメールアドレスからの受信状況及び該メールアドレスへの送信状況を集計し、該集計の結果を、該メールアドレスを検索キーとして用いて前記検索手段が検索した名刺情報と共に表示することを特徴とする請求項1に記載の情報処理装置。 The notification means includes
The identification means aggregates the reception status from the email address identified in the past and the transmission status to the email address, and the result of the aggregation is used together with the business card information retrieved by the retrieval means using the email address as a search key. The information processing apparatus according to claim 1, wherein the information processing apparatus displays the information processing apparatus.
前記外部機器から受信したメールに基づいてマルウェアを検知すると、該メールの受信履歴を、前記外部機器との間でメールの送受信を行う度に記録される送受信履歴から特定し、該特定した受信履歴から、前記外部機器のメールアドレスを特定することを特徴とする請求項1又は2に記載の情報処理装置。 The specifying means is:
When malware is detected based on the mail received from the external device, the mail reception history is specified from the transmission / reception history recorded every time the mail is transmitted / received to / from the external device, and the specified reception history from the information processing apparatus according to claim 1 or 2, wherein the identifying mail address of the external device.
前記特定手段が特定したメールアドレスを検索キーとして、メールアドレスを含む名刺情報を保持している記憶装置から名刺情報を検索する検索手段と、
前記検索手段による検索結果としての名刺情報を報知する報知手段と、
前記検索手段が検索した名刺情報に含まれているURLへのアクセスを禁止する制御手段と
を備えることを特徴とする情報処理装置。 When detecting malware based on an email received from an external device, a specifying means for specifying an email address of the external device;
Search means for searching for business card information from a storage device holding business card information including the mail address using the email address specified by the specifying means as a search key;
Notification means for notifying business card information as a search result by the search means;
The information processing apparatus characterized by a control means for inhibiting access to the URL that the searching means is included in the retrieved business card information.
前記特定手段が特定したメールアドレスを検索キーとして、メールアドレスを含む名刺情報を保持している記憶装置から名刺情報を検索する検索手段と、
前記検索手段による検索結果としての名刺情報を報知する報知手段と
を備え、
前記報知手段は、
前記検索手段が検索した名刺情報に含まれている所有者を特定し、該所有者にマルウェアに感染している可能性があることを示すメッセージを報知することを特徴とする情報処理装置。 When detecting malware based on an email received from an external device, a specifying means for specifying an email address of the external device;
Search means for searching for business card information from a storage device holding business card information including the mail address using the email address specified by the specifying means as a search key;
Notification means for notifying business card information as a search result by the search means;
With
The notification means includes
An information processing apparatus characterized by identifying an owner included in business card information searched by the search means and notifying a message indicating that the owner may be infected with malware.
前記特定手段が特定したメールアドレスを検索キーとして、メールアドレスを含む名刺情報を保持している記憶装置から名刺情報を検索する検索手段と、
前記検索手段による検索結果としての名刺情報を報知する報知手段と
を備え、
前記検索手段は、前記特定手段が特定したメールアドレスに含まれているドメイン名を含むメールアドレスが記されている名刺の名刺情報を、前記記憶装置から検索する
ことを特徴とする情報処理システム。 When detecting malware based on an email received from an external device, a specifying means for specifying an email address of the external device;
Search means for searching for business card information from a storage device holding business card information including the mail address using the email address specified by the specifying means as a search key;
Notification means for notifying business card information as a search result by the search means ,
The information processing system , wherein the search means searches the storage device for business card information of a business card in which a mail address including a domain name included in the mail address specified by the specifying means is recorded .
前記特定手段が特定したメールアドレスを検索キーとして、メールアドレスを含む名刺情報を保持している記憶装置から名刺情報を検索する検索手段と、Search means for searching for business card information from a storage device holding business card information including the mail address using the email address specified by the specifying means as a search key;
前記検索手段による検索結果としての名刺情報を報知する報知手段と、Notification means for notifying business card information as a search result by the search means;
前記検索手段が検索した名刺情報に含まれているURLへのアクセスを禁止する制御手段とControl means for prohibiting access to a URL included in the business card information searched by the search means;
を備えることを特徴とする情報処理システム。An information processing system comprising:
前記特定手段が特定したメールアドレスを検索キーとして、メールアドレスを含む名刺情報を保持している記憶装置から名刺情報を検索する検索手段と、Search means for searching for business card information from a storage device holding business card information including the mail address using the email address specified by the specifying means as a search key;
前記検索手段による検索結果としての名刺情報を報知する報知手段とNotification means for notifying business card information as a search result by the search means;
を備え、With
前記報知手段は、The notification means includes
前記検索手段が検索した名刺情報に含まれている所有者を特定し、該所有者にマルウェアに感染している可能性があることを示すメッセージを報知することを特徴とする情報処理システム。An information processing system characterized by identifying an owner included in business card information searched by the search means and notifying the owner of a message indicating that the owner may be infected with malware.
前記情報処理装置の特定手段が、外部機器から受信したメールに基づいてマルウェアを検知すると、前記外部機器のメールアドレスを特定する特定工程と、
前記情報処理装置の検索手段が、前記特定工程で特定したメールアドレスを検索キーとして、メールアドレスを含む名刺情報を保持している記憶装置から名刺情報を検索する検索工程と、
前記情報処理装置の報知手段が、前記検索工程による検索結果としての名刺情報を報知する報知工程と
を備え、
前記検索工程では、前記特定工程で特定したメールアドレスに含まれているドメイン名を含むメールアドレスが記されている名刺の名刺情報を、前記記憶装置から検索する
ことを特徴とする情報処理方法。 An information processing method performed by an information processing apparatus,
When the identification unit of the information processing apparatus detects malware based on an email received from an external device, the identification step of identifying the email address of the external device;
A search step in which the search means of the information processing device searches the business card information from a storage device that holds the business card information including the mail address using the mail address specified in the specifying step as a search key;
A notification step of notifying a business card information as a search result by the search step, wherein the notification means of the information processing apparatus ,
In the search step, the business card information of a business card in which a mail address including a domain name included in the mail address specified in the specifying step is searched from the storage device .
前記情報処理装置の特定手段が、外部機器から受信したメールに基づいてマルウェアを検知すると、前記外部機器のメールアドレスを特定する特定工程と、When the identification unit of the information processing apparatus detects malware based on an email received from an external device, the identification step of identifying the email address of the external device;
前記情報処理装置の検索手段が、前記特定工程で特定したメールアドレスを検索キーとして、メールアドレスを含む名刺情報を保持している記憶装置から名刺情報を検索する検索工程と、A search step in which the search means of the information processing device searches the business card information from a storage device that holds the business card information including the mail address using the mail address specified in the specifying step as a search key;
前記情報処理装置の報知手段が、前記検索工程による検索結果としての名刺情報を報知する報知工程と、A notification step in which the notification means of the information processing apparatus notifies the business card information as a search result by the search step;
前記情報処理装置の制御手段が、前記検索工程で検索した名刺情報に含まれているURLへのアクセスを禁止する制御工程とA control step in which the control means of the information processing apparatus prohibits access to a URL included in the business card information searched in the search step;
を備えることを特徴とする情報処理方法。An information processing method comprising:
前記情報処理装置の特定手段が、外部機器から受信したメールに基づいてマルウェアを検知すると、前記外部機器のメールアドレスを特定する特定工程と、When the identification unit of the information processing apparatus detects malware based on an email received from an external device, the identification step of identifying the email address of the external device;
前記情報処理装置の検索手段が、前記特定工程で特定したメールアドレスを検索キーとして、メールアドレスを含む名刺情報を保持している記憶装置から名刺情報を検索する検索工程と、A search step in which the search means of the information processing device searches the business card information from a storage device that holds the business card information including the mail address using the mail address specified in the specifying step as a search key;
前記情報処理装置の報知手段が、前記検索工程による検索結果としての名刺情報を報知する報知工程とA notifying step in which the notifying means of the information processing device notifies the business card information as a search result by the searching step;
を備え、With
前記報知工程では、In the notification step,
前記検索工程で検索した名刺情報に含まれている所有者を特定し、該所有者にマルウェアに感染している可能性があることを示すメッセージを報知することを特徴とする情報処理方法。An information processing method comprising identifying an owner included in the business card information searched in the search step and notifying the owner of a message indicating that the owner may be infected with malware.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013191015A JP6254401B2 (en) | 2013-09-13 | 2013-09-13 | Information processing apparatus, information processing method, and information processing system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013191015A JP6254401B2 (en) | 2013-09-13 | 2013-09-13 | Information processing apparatus, information processing method, and information processing system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015056158A JP2015056158A (en) | 2015-03-23 |
JP6254401B2 true JP6254401B2 (en) | 2017-12-27 |
Family
ID=52820476
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013191015A Active JP6254401B2 (en) | 2013-09-13 | 2013-09-13 | Information processing apparatus, information processing method, and information processing system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6254401B2 (en) |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3724146B2 (en) * | 1997-09-30 | 2005-12-07 | ブラザー工業株式会社 | Computer, computer virus countermeasure method, and recording medium on which computer virus countermeasure program is recorded |
JP2002197036A (en) * | 2000-12-27 | 2002-07-12 | Ricoh Co Ltd | Information processor |
JP2002217981A (en) * | 2001-01-22 | 2002-08-02 | Daiwa Securities Group Inc | Device, program and method for watching electronic mail |
JP3693244B2 (en) * | 2001-10-31 | 2005-09-07 | 株式会社日立製作所 | E-mail system, mail server and mail terminal |
JP2003229911A (en) * | 2002-02-05 | 2003-08-15 | Osaka Gas Co Ltd | Communication method, communication device and computer program |
JP2006252407A (en) * | 2005-03-14 | 2006-09-21 | Canon Inc | Image-processing device and image-processing method |
JP2007226368A (en) * | 2006-02-22 | 2007-09-06 | Hitachi Ltd | Electronic mail traffic observation device |
JP2008278507A (en) * | 2008-05-16 | 2008-11-13 | Fujitsu Ltd | Messaging virus countermeasure program or the like |
JP5638547B2 (en) * | 2012-02-13 | 2014-12-10 | 日本電信電話株式会社 | Mail delivery system and mail delivery method |
-
2013
- 2013-09-13 JP JP2013191015A patent/JP6254401B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015056158A (en) | 2015-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10505956B1 (en) | System and method for detecting malicious links in electronic messages | |
US11489855B2 (en) | System and method of adding tags for use in detecting computer attacks | |
US9584535B2 (en) | System and method for real time data awareness | |
US8230497B2 (en) | Method of identifying software vulnerabilities on a computer system | |
US8549642B2 (en) | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails | |
JP6104149B2 (en) | Log analysis apparatus, log analysis method, and log analysis program | |
JP2021503142A (en) | Analysis and reporting of suspicious emails | |
RU2634173C1 (en) | System and detecting method of remote administration application | |
WO2018099206A1 (en) | Apt detection method, system, and device | |
WO2011153227A2 (en) | Dynamic multidimensional schemas for event monitoring priority | |
US9251367B2 (en) | Device, method and program for preventing information leakage | |
WO2014103115A1 (en) | Illicit intrusion sensing device, illicit intrusion sensing method, illicit intrusion sensing program, and recording medium | |
US20230179631A1 (en) | System and method for detection of malicious interactions in a computer network | |
KR20130116418A (en) | Apparatus, method and computer readable recording medium for analyzing a reputation of an internet protocol | |
JP2006295232A (en) | Security monitoring apparatus, and security monitoring method and program | |
JP6254401B2 (en) | Information processing apparatus, information processing method, and information processing system | |
JP5743822B2 (en) | Information leakage prevention device and restriction information generation device | |
US11770388B1 (en) | Network infrastructure detection | |
JP2019053613A (en) | Information processing device, information processing system, control method, and program | |
JP2018132823A (en) | Policy setting device, policy setting method and policy setting program | |
Smits | Model Based Concept Mining Applied to Information Security Data | |
CN117914848A (en) | Method and device for transmitting files across networks, electronic equipment and storage medium | |
JP2019053784A (en) | Information processing device, information processing system, control method, and program | |
JP2019125037A (en) | Attack type determination device, attack type determination method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160902 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170705 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170731 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170922 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171102 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171130 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6254401 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |