JP6418423B2 - 通信システム、通信方法及びプログラム - Google Patents
通信システム、通信方法及びプログラム Download PDFInfo
- Publication number
- JP6418423B2 JP6418423B2 JP2017056870A JP2017056870A JP6418423B2 JP 6418423 B2 JP6418423 B2 JP 6418423B2 JP 2017056870 A JP2017056870 A JP 2017056870A JP 2017056870 A JP2017056870 A JP 2017056870A JP 6418423 B2 JP6418423 B2 JP 6418423B2
- Authority
- JP
- Japan
- Prior art keywords
- identifier
- threat
- list
- threat detection
- url
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は通信システムに関する。本発明は、特に、URL(Uniform Resource Locator)が示すリソースへのアクセスの制御に関し、特に、メールに含まれるURLへのアクセス制御に関する。
近年、特定の組織、特定の個人といった特定の相手を標的として情報窃盗等を行う標的型攻撃による被害が多発している。特に、メールを用いた標的型攻撃が問題となっている。
標的型攻撃に対抗する技術として、所謂社内LAN(Local Area Network)のような組織内ネットワークから、インターネットに代表される組織外ネットワーク上のウェブサイトにアクセスするのにあたり、ウェブプロキシサーバを経由してアクセスを行うものがある。これにより、アクセス効率の向上や脅威を含むサイトへのアクセスの制限を図るものである。
一般に、ウェブプロキシサーバでは、アクセスを制限すべきURLを運用者が個別に設定することにより、アクセス制限を行っている。或いは、予め脅威ありと判定されたURLをリスト化したアクセス制限リストを提供するサービスがインターネット上に存在するので、こうした外部のアクセス制限リストを参照してアクセス制限を行うものもある。
この種のウェブプロキシサーバによれば、運用者がアクセス制限すべきURLとして設定しない限り、そのURLへのアクセスは容認される。外部のアクセス制限リストを参照する場合も同様である。従って、上記したウェブプロキシサーバを用いた方法は新たな脅威URLを用いた標的型攻撃に対抗することができない。
他の対抗技術としては、最初にメールに含まれるURLについて脅威の有無を判定し、その判定結果に応じて、そのメールに関する追加処理を行うと共にそのメールを宛先に配送するか、或いは、そのメールを破棄するものがある。ここで追加処理とは、メールの内容を更新する、そのメールの代わりに、或いは、そのメールと共に警告メッセージを送信する、といった処理である。
この種のメール配送装置では、まず、URLについて脅威の有無を判定し、次に、その判定結果に応じてメールを宛先のメールクライアントに配送する。このため、URLについての判定が終了するまではそのメールを宛先に配送することができない。従って、メール配送の遅延を引き起こす恐れがある。
URLの脅威を検出し、そのURLに脅威があるか否かを判定する方式として所謂振る舞い検知方式がある。振る舞い検知方式は高い精度で脅威の有無を判定することができるものの、判定に要する時間が長い。このため、上述のメール配送装置の脅威検出方式として振る舞い検知方式を採用すると、特にメール配送の遅延を引き起こしやすい。
標的型攻撃に対抗する技術が特許文献1に記載されている。同文献によれば、セキュアプロキシサーバ上に構築した仮想マシンでウェブブラウザを実行し、そのウェブブラウザでメールに含まれているURLにアクセスする。仮想マシンのブラウザによるアクセスに問題がなければ、ユーザ端末からそのURLにアクセスする。
特許文献1の手法では、仮想マシンを介して間接的に目的のURLにアクセスすることにより、URLに脅威が存在する場合であっても、ユーザ端末がその影響を回避することができる。
特許文献1によれば、URLが脅威であるか否かの判定を開始するのは、ユーザ端末からそのURLへのアクセスを試みたときである。特許文献1によれば、仮にそのURLに脅威があるとしても、その影響は仮想マシンに留まるため、ユーザ端末は影響を受けない。しかし、一度はそのURLへのアクセスを試みない限り、脅威があるか否かは不明である。
また、「アクセスが許容されないアクセス先のアドレス情報のパターン」(同文献請求項2)或いは「アクセスが許容されるアクセス先のアドレス情報のパターン」(同文献請求項3)を事前に記憶することは記載されている。しかし、同文献は、URLに脅威があるか否かの判定をどのようにして行うのかについては言及していない。このため、ユーザ端末から仮想マシン経由で脅威があるURLにアクセスしたとき、実際に脅威を引き起こすような操作(例えばそのURLのウェブページから、ウイルスを含むファイルをダウンロードし、実行することを許可するような操作)をしない限り、そのURLに脅威があるかどうかそのユーザ端末からは分からない。このため、仮想マシン経由であり、ユーザ端末に直接の影響はないとしても、そのURLへのアクセスは許可された状態が続く。
本発明はこのような状況を鑑みてなされたものであり、本発明が解決しようとする課題は、メールに含まれるURLの脅威検出の実行と、遅滞のないメール配信とを両立することが可能なアクセス制限システム、アクセス制限方法及びプログラムを提供することである。
上述の課題を解決するため、本発明は、その一態様として、受信したメッセージに含まれていた、ネットワーク上のリソースを一意に特定可能な識別子のリストを格納する記憶手段と、前記識別子によって特定されるリソースに脅威があるか否かを判定する脅威検出手段と、前記脅威検出手段による一の前記識別子についての判定に先立って、前記記憶手段に格納した前記リストに対し、当該一の前記識別子に関する処理を行う第1のリスト処理手段と、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、前記記憶手段に格納した前記リストに対し、当該一の前記識別子に関する処理を行う第2のリスト処理手段とを備える通信システムを提供する。
また、本発明は、他の一態様として、受信したメッセージに含まれていた、ネットワーク上のリソースを一意に特定可能な識別子のリストを記憶装置に格納する記憶段階と、前記識別子によって特定されるリソースに脅威があるか否かを判定する処理を処理装置で実行する脅威検出段階と、前記記憶装置に格納した前記リストに対し、前記脅威検出段階による一の前記識別子についての判定に先立って、当該一の前記識別子に関する処理を処理装置で実行する第1のリスト処理段階と、前記記憶装置に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、当該一の前記識別子に関する処理を処理装置で実行する第2のリスト処理段階と、を含む通信方法を提供する。
また、本発明は、他の一態様として、受信したメッセージに含まれていた、ネットワーク上のリソースを一意に特定可能な識別子によって特定されるリソースに脅威があるか否かを判定する脅威検出手段と、記憶手段に格納した前記識別子のリストに対し、前記脅威検出手段による一の前記識別子についての判定に先立って、当該一の前記識別子に関する処理を行う第1のリスト処理手段と、前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、当該一の前記識別子に関する処理を行う第2のリスト処理手段と、を備える脅威検出装置を提供する。
また、本発明は、他の一態様として、受信したメッセージに含まれていた、ネットワーク上のリソースを一意に特定可能な識別子によって特定されるリソースに脅威があるか否かを判定する脅威検出手段と、記憶手段に格納した前記識別子のリストに対し、前記脅威検出手段による一の前記識別子についての判定に先立って、当該一の前記識別子に関する処理を行う第1のリスト処理手段と、前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、当該一の前記識別子に関する処理を行う第2のリスト処理手段とをコンピュータに実現させるためのプログラムを提供する。
本発明によれば、メールに含まれるURLの脅威検出の実行と、遅滞のないメール配信とを両立することが可能なアクセス制限システム、アクセス制限方法及びプログラムを提供することができる。
(第1実施形態)
本発明の第1の実施の形態であるアクセス制限システム100について説明する。図1を参照すると、アクセス制限システム100は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、組織内ネットワーク4、組織外ネットワーク5、メール表示装置6、リスト記憶装置7、脅威検出装置8を備える。
本発明の第1の実施の形態であるアクセス制限システム100について説明する。図1を参照すると、アクセス制限システム100は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、組織内ネットワーク4、組織外ネットワーク5、メール表示装置6、リスト記憶装置7、脅威検出装置8を備える。
メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、メール表示装置6、リスト記憶装置7、脅威検出装置8は、それぞれ、一乃至複数のCPU(Central Processing Unit)、LAN(Local Area Network)カード等のネットワークインタフェース装置を備えるコンピュータである。リスト記憶装置7はネットワークインタフェース装置を備える記憶装置であってもよいし、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、メール表示装置6、脅威検出装置8のうちのいずれかの記憶装置の領域をリスト記憶装置7として割り当てたものであってもよい。
メール配送サーバ1は、組織外ネットワーク5から届いたメールを、組織内ネットワーク4経由で受け取る機能を有する。また、メール配送サーバ1は受け取ったメールの内容を走査する機能を有する。また、メール配送サーバ1は、走査の結果に応じて、リスト記憶装置7に格納した脅威URL(Uniform Resource Locator)一覧7Aを更新する機能を有すると共に、受け取ったメールをメール格納サーバ2に転送する機能を有する。
図2を参照してメール配送サーバ1について更に説明する。メール配送サーバ1は、メール受信処理部11、メールURL抽出部12、メールURL通知部13、メール格納処理部14を備える。
メール受信処理部11は、SMTP(Simple Mail Transfer Protocol)プロトコルに従ってメールを受け取る。受け取ったメールと、その時に使ったSMTPプロトコルのコマンド情報(MAIL FROMコマンドやRCPT TOコマンドの内容)は、一時的にメール配送サーバ1内に保持され、以降の処理で参照される。
メールURL抽出部12はメールの内容を走査する。また、メール本体をはじめとするメールデータからURLを抽出する。一般に、メールの内容はRFC(Request For Comments)822等の規約で定められた書式に従って記載されている。メールからURLを抽出するため、メールURL抽出部12はこの書式の解析を行う。その上で、メールURL抽出部12は、所定のURL文字列の書式に基づいてURL文字列を見つける。URL文字列の書式はRFC3986等に定められている。
メールURL通知部13はメールURL抽出部12が出力したURLを脅威検出装置8に送出する。送出処理の完了後、メールURL通知部13はメール格納処理部14での処理に遷移する。
メール格納処理部14は、メール受信処理部11、メールURL抽出部12、メールURL通知部13での処理が終わったメールを、メール格納サーバ2に転送する。
メール格納サーバ2は、メールの宛先であるメール表示装置6からの要求に応答して、そのメール表示装置6(或いはそのメール表示装置6のユーザ)を宛先とするメールの内容や、メールの一覧を送信する。また、この転送に備えて、メール格納処理部14から受け取ったメールを格納する記憶装置を備える。
組織内ネットワーク4には、複数のメール表示装置6が存在する。また、組織内ネットワーク4内にはウェブブラウザを実行する不図示の端末が存在してもよい。これらメール表示装置及びウェブブラウザ端末は、ウェブプロキシサーバ3に対し、URLを指定してリソースを要求する。URLは組織外ネットワーク5上のリソースを特定するための文字列である。ウェブプロキシサーバ3は、要求において指定されたURLから、ウェブページ等のリソースを取得する機能を有する。また、取得したリソースを、要求元のメール表示装置6、ウェブブラウザに対して転送する機能を有する。
図2を参照してウェブプロキシサーバ3について更に説明する。ウェブプロキシサーバ3は、脅威URL一覧7Aに記載のURLによって特定されるリソースへのアクセスを制限する。ウェブプロキシサーバ3によるアクセス制限の対象となるのは、メール表示装置6に代表される、組織内ネットワーク4の各種クライアントである。尚、脅威検出装置8はウェブプロキシサーバ3によるアクセス制限の対象外である。ウェブプロキシサーバ3はリクエスト受信部31、リクエスト解析部32及びリクエスト発行部33を備える。
リクエスト受信部31は、メール表示装置6やウェブブラウザからの要求を受け取って、移行の処理に必要なデータを、リクエスト解析部32に渡す。メール表示装置6やウェブブラウザからの要求とは、いわゆるHTTP(Hypertext Transport Protocol)やHTTPS(Hypertext Transport Protocol Secure)等のプロトコルに沿って発行されたリクエストである。
リクエスト解析部32はリクエスト受信部31からURLを受け取る。リクエスト解析部32はそのURLが脅威URL一覧7Aに含まれているか否かを判定する。そのURLが脅威URL一覧7Aに含まれている場合、リクエスト解析部32は、そのURLの要求元であるメール表示装置6やウェブブラウザに対してエラー応答を返信する。他方、そのURLが脅威URL一覧7Aに含まれていない場合、リクエスト解析部32はそのURLを含む必要なデータをリクエスト発行部33に渡す。
リクエスト発行部33は、組織内ネットワーク4及び組織外ネットワーク5を介して、リクエスト解析部32から受け取ったURLが示すリソースを取得する。また、リクエスト発行部33は、取得したリソースをその要求元であるメール表示装置6やウェブブラウザに転送する。
組織内ネットワーク4は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、メール表示装置6、リスト記憶装置7及び脅威検出装置8を相互に接続するデータ通信ネットワークである。組織内ネットワーク4は組織外ネットワーク5に接続されている。組織内ネットワーク4から組織外ネットワーク5へのアクセスは、特定のサーバや要求元からのみアクセスできるように制御されている。
組織外ネットワーク5は、組織内ネットワーク4の外部のデータ通信ネットワークであり、例えばインターネットである。
メール表示装置6はウェブページを表示可能なメールクライアントである。ここでは、メール表示装置6は特にメールの宛先となる端末として動作する。通常、組織内ネットワーク4には複数のメール表示装置6が接続されるが、本発明ではどのメール表示装置6も同じ動作をする。このため、図1では、組織内ネットワーク4にメール表示装置6を1台だけ図示している。
メール表示装置6は液晶表示装置、CRT(Cathode Ray Tube)等の表示装置を備える情報処理装置である。メール表示装置6として動作する情報処理装置のハードウェアの種類は問わない。例えば、メール表示装置6は、デスクトップコンピュータ、ラップトップコンピュータ、ワークステーション、タブレット、スマートフォン等であってもよい。
また、メール表示装置6は、これらのハードウェアの上で専用のメールクライアントプログラムを動作させるものであってもよいし、ウェブブラウザを動作させてウェブメールのメールクライアントとして動作させてもよい。専用のメールクライアントプログラムを動作させる場合、そのメールクライアントプログラム自体がウェブページを表示する機能を有することとしてもよい。或いは、メールクライアントプログラムが、そのメールクライアントプログラムとは別のウェブブラウザプログラムを呼び出してウェブページを表示することとしてもよい。
メール表示装置6は、メール格納サーバ2から情報を取得して、メールの一覧や、メールの内容を表示する機能を有する。また、メール表示装置6は、表示したメールに対する操作者の操作に応じて、ウェブプロキシサーバ3に対して要求を発行し、その内容を表示する機能を有する。例えば、表示したメールの中にURLが記載されていて、操作者がそのURLをマウス等のポインティングデバイスにてクリックしたときに、メール表示装置6は、そのURLが示すリソースをウェブプロキシサーバに対して要求する。
リスト記憶装置7は脅威URL一覧7Aを記憶する記憶装置である。脅威URL一覧7Aは、受信したメールに含まれていたURLのリストである。URLはネットワーク上のリソースを一意に特定可能な識別子である。脅威URL一覧7Aに含まれるURLは識別子全体を記録するのではなく、運用設計に基づいて前方の一部を記録し、例えばコンピュータホスト名部分までのみとして、前方一致するか否かで該当するかどうかを判断する方式としてもよい。リスト記憶装置7は、例えば所謂NAS(Network Attached Storage)のように、組織内ネットワーク4に接続するためのネットワークインタフェースを備える記憶装置であってもよい。或いは、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3の記憶装置の一部領域を、リスト記憶装置7として用いることとしてもよい。
リスト記憶装置7が脅威URL一覧7Aを格納する方式は特に問わない。例えば、単なるテキストファイルとして記憶することとしてもよいし、RDBMS(Relational Database Management System)などのデータベースサーバを用いて記憶することとしてもよい。
脅威URL一覧7Aは、アクセスすることにより攻撃を受ける恐れがあるURLのリストであり、ブラックリストと呼ばれることもある。本実施形態では、脅威検出装置8が脅威URL一覧7Aを生成、更新する。また、ウェブプロキシサーバ3が脅威URL一覧7Aを参照する。
脅威検出装置8は、入力されたURLが脅威であるか否かを判定し、判定結果に応じて脅威URL一覧7Aを更新する装置である。脅威検出装置8は、検出前脅威一覧更新処理部81、脅威検出部82、検出後脅威一覧更新処理部83を備える。
検出前脅威一覧更新処理部81は、メールURL通知部13から通知されたURLを、リスト記憶装置7の脅威URL一覧7Aに追加する。脅威URL一覧7AへのURLの追加は、脅威検出部82がそのURLを判定するのに先立って行われることが好ましく、遅くとも、この判定の完了前に行われる。また、検出前脅威一覧更新処理部81は、通知されたURLを脅威検出部82に渡す。
脅威検出部82は検出前脅威一覧更新処理部81から受け取ったURLによって特定されるリソースに実際に脅威があるか否かを判定(脅威検出)する処理を行う。脅威検出処理の方式には様々なものがあり、どのような方式であってもよいが、特に、所要時間が長くても検出精度が高い方式が適している。脅威検出の結果、そのURLに脅威を検出しなかった場合、脅威検出部82はその旨を検出後脅威一覧更新処理部83に通知する。
脅威検出部82の脅威検出方式として好適な方式としては振る舞い検知方式がある。振る舞い検知方式は、ビヘイビア法、ダイナミックヒューリスティック法等とも呼ばれる方式である。振る舞い検知方式では、仮想的な実行環境を用意して判定対象となるURLにアクセスし、異常な行動を起こさないか調べる。この場合、脅威検出部82は、メール表示装置6を仮想化した装置を含む構成とする。この仮想化装置によって判定対象となるURLにアクセスし、その後の仮想化装置の振る舞いを観察して、異常な行動をするか否かを判定する。
検出後脅威一覧更新処理部83は、脅威検出部82での脅威検出の結果に応じて、リスト記憶装置7の脅威URL一覧7Aを更新する。脅威検出の結果、そのURLに脅威がないと脅威検出部82が判定した場合、検出後脅威一覧更新処理部83は、リスト記憶装置7にアクセスし、脅威URL一覧7AからそのURLを削除する。
次に、図3を参照して、図2に示されたメール配送サーバ1及び脅威検出装置8を中心として、アクセス制限システム100の動作を説明する。
組織外ネットワーク5から組織内ネットワーク4にメールMが届く。ここで、メールMにはURLが記載されているものとし、その値をURL_Xとする。また、メールMの宛先をメール表示装置6の操作者とする。
メール配送装置1のメール受信処理部11がメールMを受信して、メール配送装置1の内部にメールMのデータを一時的に蓄積する(ステップS1)。次に、メールURL抽出部12はメールMからURL_Xを抽出する(ステップS2)。次に、メールURL通知部13は、脅威検出装置8の検出前脅威一覧更新処理部81及びメール格納処理部14にURL_Xを渡す(ステップS3)。
脅威検出装置8の検出前脅威一覧更新処理部81はURL_Xを脅威URL一覧7Aに追加する(ステップS4)。以後、ウェブプロキシサーバ3は、URL_Xが追加された脅威一覧URL一覧7Aに基づいて、組織内ネットワーク4内のメール表示装置6、ブラウザ端末その他によるURL_Xへのアクセスを禁止する。つまり、ウェブプロキシサーバ3は、URL_Xへのアクセス制限を開始する。脅威URL一覧7Aの一例として脅威URL一覧7A1を図4に示す。脅威URL一覧7A1は、左から順に、項番、URL、登録日時を格納する欄を有するテーブルである。
また、検出前脅威一覧更新処理部81はURL_Xを脅威検出部82に通知する。通知を受けて、脅威検出部82はURL_Xを対象とした脅威検出処理を開始する(ステップS5)。言い換えると、ウェブプロキシサーバ3がURL_Xへのアクセス制限を開始するのとほぼ同時に、脅威検出部82は、URL_Xの脅威検出処理を開始する。
この時点でURL_Xへのアクセス制限を実行しているものの、URL_Xが実際に脅威であるか否かの判定は未定である。本発明では、メールから抽出したURLについての脅威検出の結果を待たずに、そのURLへのアクセス制限を開始し、脅威なしの結果が出た後でアクセス制限を解除する。
脅威検出部82がURL_Xの脅威検出処理を完了し、脅威がないとの判定結果を得た場合、脅威検出部82はその旨を検出後脅威一覧更新処理部83に通知する(ステップS6)。この通知を受けて、検出後脅威一覧更新処理部83は、リスト記憶装置7にアクセスし、脅威URL一覧7AからURL_Xを削除する。一方、脅威検出処理の結果が脅威ありの場合は何もしない。
ステップS3に戻り、メールURL通知部13からURL_Xを通知されたメール格納処理部14は、ステップS1にて一時的に蓄積したメールMをメール格納サーバ2に転送する(ステップS7)。
次に、メール格納サーバ2がメールMを格納した後のメール表示装置6とウェブプロキシサーバ3の動作について説明する。図5において、ステップS11、S12、S16はメール表示装置6の動作である。また、ステップS13、S14、S15、S17はウェブプロキシサーバ3の動作である。
メール表示装置6の操作者は任意のタイミングでメール格納サーバ2からメールMを受信、表示する(ステップS11)。このとき、メール表示装置6は、メール格納サーバ2に対し、当該メール表示装置6或いは当該メール表示装置6の操作者を宛先とするメールMの転送をメール格納サーバ2に要求し、メール格納サーバ2は、この要求に応答してメールMを当該メール表示装置6に転送する。
操作者がメールMに記載されたURL_Xを、例えばマウス等のポインティングデバイスでクリックし、URL_Xが示す組織外ネットワーク5上のリソース、即ち、外部情報の取得を試みる。このとき、メール表示装置6は、リクエスト受信部31にURL_Xへのアクセス要求を送信する(ステップS12)。
リクエスト受信部31は、アクセス要求からURL_Xを抽出して、抽出されたURL_Xをウェブプロキシサーバ3のリクエスト解析部32に渡す。リクエスト解析部32はURL_Xが脅威URL一覧7Aに含まれているか否かを判定する(ステップS13、S14)。
まず、URL_Xが脅威URL一覧7Aに登録されていない場合について説明する。これは、上述のステップS4において、脅威URL一覧7AにURL_Xを一度登録したものの、その後、ステップS5の脅威検出において脅威なしと判定し、ステップS6にて脅威URL一覧7AからURL_Xを削除した場合である。
この場合、リクエスト解析部32はURL_Xへのアクセスに必要なデータをリクエスト発行部33に渡す。リクエスト発行部33は組織内ネットワーク4、組織外ネットワーク5を介してURL_Xが示すリソースを取得する(ステップS15)。リクエスト発行部33はアクセス要求の要求元であるメール表示装置6に取得した外部情報を転送する。メール表示装置6は、転送された外部情報を表示する(ステップS16)。
次に、URL_Xが脅威URL一覧7Aに登録されている場合について説明する。これは、上述のステップS4において、脅威URL一覧7AにURL_Xが登録された後、ステップS5の脅威検出において脅威ありとの判定が出て、ステップS6にて脅威URL一覧7Aから削除されなかった場合である。或いは、ステップS5の脅威検出がまだ完了していない場合である。
この場合、リクエスト解析部32はメール表示装置6からのアクセス要求に対して、取得エラーを返す(ステップS17)。この場合、メール表示装置6は操作者に対して取得エラーを表示し、URL_Xが示す外部情報の表示を行わない。
本実施形態では、メールMの宛先人が操作者であるメール表示装置6におけるアクセス制限に関して説明した。組織内ネットワーク4内のウェブブラウザ端末はすべて、ウェブプロキシサーバ3を介して組織外ネットワーク5のウェブページにアクセスする。このため、メール表示装置6以外のウェブブラウザ端末等であってもステップS12以後の動作は同様である。
このように、本実施形態では、メールURL抽出部12を用いてメールからURLを抽出(ステップS2)した後、脅威検出装置8を用いて当該URLの判定を開始する(ステップS5)のと並行してまたは前後して、メール格納サーバ2に当該メールを格納する(ステップS7)。言い換えると、組織内ネットワーク4にURLを含むメールが届くと、そのURLが実際に脅威であるか否かに関わらず、ウェブプロキシサーバ3にてそのURLへのアクセス制限を開始する。その一方で、そのメールをメール格納サーバ2に転送することにより、そのメールの配信処理を進める。更に、脅威検出装置8によってそのURLの脅威検出を並行して開始する。脅威検出が完了し、脅威がないと確認した後、そのURLへのアクセス制限を解除する。
このため、本実施の形態によれば、脅威検出の実行に起因するメール配信の遅延を回避しつつ、脅威の恐れがあるURLに対するアクセスを予防的に制限し、安全が確認されたURLについてはアクセスを許可するので、利便性と安全性の両立を図ることができる。
(第2実施形態)
図6は本発明の第2の実施の形態に係るアクセス制限システム200である。アクセス制限システム200は、図2に示されたアクセス制限システム100にもう一つの脅威検出装置9を追加したものである。この関係で、図2と対応する図6の部分には、図2と同じ参照番号が付されている。即ち、アクセス制限システム200は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、組織内ネットワーク4、組織外ネットワーク5、メール表示装置6、リスト記憶装置7、及び2つの脅威検出装置8、9を備える。ここでは、脅威検出装置8、9を順に第1及び第2の脅威検出装置とも呼ぶ。
図6は本発明の第2の実施の形態に係るアクセス制限システム200である。アクセス制限システム200は、図2に示されたアクセス制限システム100にもう一つの脅威検出装置9を追加したものである。この関係で、図2と対応する図6の部分には、図2と同じ参照番号が付されている。即ち、アクセス制限システム200は、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、組織内ネットワーク4、組織外ネットワーク5、メール表示装置6、リスト記憶装置7、及び2つの脅威検出装置8、9を備える。ここでは、脅威検出装置8、9を順に第1及び第2の脅威検出装置とも呼ぶ。
第2の脅威検出装置9は第1の脅威検出装置8と同様に、一乃至複数のCPUと、LANカード等のネットワークインタフェース装置を備えるコンピュータである。図6に示すように、脅威検出装置8及び9は、メール配送サーバ1及びリスト記憶装置7に対して互いに並列に接続されている。第1の脅威検出装置8と同様に、第2の脅威検出装置9は、入力されたURLが脅威であるか否かを判定し、判定結果に応じて脅威URL一覧7Aを更新する装置である。図6では記載を省略しているが、第2の脅威検出装置9も、第1の脅威検出装置8と同様、検出前脅威一覧更新処理部91、脅威検出部92、検出後脅威一覧更新処理部93を備える。各機能ブロックの動作は、脅威検出装置8の対応する機能ブロックと同様である。ただし、脅威検出部92の脅威検出方式は、脅威検出装置8の脅威検出部82のものとは異なる。異なる脅威検出方式であればどのようなものであってもよいが、検出の原理、精度、所要時間が異なるものであることが好ましい。
また、アクセス制限システム200では、リスト記憶装置7に格納するテーブルの構造が異なる。本システムでは、リスト記憶装置7に図7のような脅威URL一覧7A2のような構造のテーブルを格納する。脅威URL一覧7A2は、項番、URL、登録日時に加えて、安全と判断された回数を格納する点で脅威URL一覧7A1と異なる。
また、図2のアクセス制限システム100では、脅威検出部82があるURLを脅威なしと判定したとき、検出後脅威一覧更新処理部82は、そのURLを脅威URL一覧7Aから削除した。
これに対して、本システムでは、第1及び第2の脅威検出装置8、9のそれぞれにおいて、あるURLが脅威ありかなしかを独自に判定する。第1及び第2の脅威検出装置8、9が脅威なしと判定した回数を脅威URL一覧に記録する。記録した回数が2回になったとき、そのURLには脅威がないと判定し、そのURLを脅威URL一覧から削除する。
図8を参照してアクセス制限システム200の動作を説明する。ステップS21、S22はそれぞれ上述のステップS1、S2と同様である。
ステップS3では、メールURL通知部13は検出前脅威一覧更新処理部81にURLを通知した。これに対して、ステップS23では、メールURL通知部13は検出前脅威一覧更新処理部81及び検出前脅威一覧更新処理部91にURLを通知する。
第1の脅威検出装置8は次のように動作する。検出前脅威一覧更新処理部81は、URLを脅威URL一覧7A2に登録する際、そのURLと同じ行の「安全と判断された回数」欄にゼロを格納する(ステップS24A)。次に、脅威検出部82があるURLについて脅威の有無を判定する(ステップS25A)。次に、検出後脅威一覧更新処理部83は、脅威検出部82の判定結果と、そのURLの「安全と判断された回数」に応じて脅威URL一覧7A2を更新する(ステップS26A)。判定結果が脅威ありの場合、検出後脅威一覧更新処理部83は何もしない。判定結果が脅威なしの場合、検出後脅威一覧更新処理部83は、そのURLの「安全と判断された回数」欄の値に1を加算する。そして、加算後の値が2の場合、そのURLの行を脅威URL一覧7A2から削除する。
第2の脅威検出装置9の動作であるステップS24B、S25B、S26Bは、上述の第1の脅威検出装置8のステップS24A、S25A、S26Aの動作において、検出前脅威一覧更新処理部81、脅威検出部82、検出後脅威一覧更新処理部83を、それぞれ、検出前脅威一覧更新処理部91、脅威検出部92、検出後脅威一覧更新処理部93と読み替えたものである。ただし、上述のように、脅威検出部82と脅威検出部92は、脅威検出の方式が互いに異なるものとする。
本実施形態によれば、先に説明した第1実施形態の効果に加えて、複数の脅威検出方式によって脅威がないと確認したURLに限ってアクセス制限を解除するので、安全性を更に高めることができる。
(変形)
本発明は上述の第1及び第2実施形態に限定されるものではなく、様々な変形が可能である。
本発明は上述の第1及び第2実施形態に限定されるものではなく、様々な変形が可能である。
例えば、アクセス制限システム100、200は組織内ネットワーク4内の複数のノード装置を組み合わせて構成した。しかし、本発明はこれに限定されるものではない。説明の都合上、メール配送サーバ1、メール格納サーバ2、ウェブプロキシサーバ3、メール表示装置6、リスト記憶装置7、脅威検出装置8、9を別々の装置として説明したが、これらの装置のいくつかを適宜組み合わせて単体の装置として構築可能であることは当業者であれば理解できるであろう。
また、アクセス制限システム200は2つの脅威検出装置8、9を備えるものとして説明したが、3つ以上の脅威検出装置を備えることとしてもよい。3つ以上の脅威検出装置は、それぞれが異なる脅威検出方式に従って脅威検出を行うことが好ましいが、少なくとも2種類の脅威検出方式を含む、言い換えれば、脅威検出方式が互いに異なるものが含まれればよい。
また、上述の実施形態では、アクセス制限の手法として、脅威ありと判定したURLへのアクセスを禁止した。アクセスを禁止する代わりに、或いは、アクセスの禁止と共に、ウェブプロキシサーバ3は、脅威ありと判定したURLへのアクセス要求に対して、メール表示装置6に警告メッセージを表示させることとしてもよい。
また、上述の実施形態では、脅威検出部82、92において脅威を検出する際に用いる脅威検出方式の例として、振る舞い検知方式を挙げて説明したが、本発明はこれに限定されるものではない。検出精度は高いが、複雑な演算処理を含むために処理時間は長いような脅威検出方式は、どのような方式であっても脅威検出部82、92が行う脅威検出方式として好適である。また、脅威検出部82、92は、本発明の通信システムの外部のシステムや装置と連動して脅威検出を行うものであってもよい。この場合、外部のシステムや装置による処理時間が発生するが、本発明によれば、この種の処理時間によるメールの配送遅延は発生しない。
また、上述の実施形態では、脅威検出装置8、9を組織内ネットワーク4の中に設けているが、組織外ネットワーク5に設けることとしてもよい。特に、第2実施形態では、脅威検出装置8、9を両方とも組織内ネットワーク4の中に設けているが、一方を組織内ネットワーク4内に設け、他方を組織外ネットワーク5に設けることとしてもよい。例えば、第1の脅威検出装置8を自社の組織内ネットワーク4に設けると共に、他社がインターネット上で提供する脅威検出サービスを第2の脅威検出装置9として用いることが考えられる。
また、第2実施形態では、2つの脅威検出装置を設けたが、3つ以上の脅威検出装置を設けることとしてもよい。この場合、全ての脅威検出装置が脅威なしと判定するURLに限って、脅威URL一覧から削除することとしてもよい。或いは、複数の脅威検出装置の少なくともひとつがURLを脅威ありと判定している間は、そのURLを脅威URL一覧に記載しておき、ウェブプロキシサーバ3で当該URLへのアクセスを制限することとしてもよい。或いは、例えば3つの脅威検出装置のうちの2つがURLを脅威なしと判定したとき、そのURLを脅威URL一覧から削除して、ウェブプロキシサーバ3によるそのURLへのアクセス制限を解除することとしてもよい。
また、上述の実施形態では、メールに含まれるURLへのアクセスを制限するものとして説明したが、メールではなく所謂インスタントメッセージにも本発明を適用可能であることは当業者には明らかであろう。このため、本願では、メール、インスタントメッセージ等、データ通信ネットワークを介して指定した宛先に送信されるテキスト、画像、動画等を総称してメッセージと呼ぶものとする。
また、上述の実施形態では、URLによって特定されたリソースに関して説明したが、本発明はこれに限定されるものではなく、例えば、IPアドレスのように、ネットワーク上のリソースを特定可能な識別子であれば、本発明を同様に適用することができる。
上記の実施形態の一部又は全部は以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
受信したメッセージに含まれていた、ネットワーク上のリソースを一意に特定可能な識別子のリストを格納する記憶手段と、
前記識別子によって特定されるリソースに脅威があるか否かを判定する脅威検出手段と、
前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定に先立って当該一の前記識別子に関する処理を行う第1のリスト処理手段と、
前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて当該一の前記識別子に関する処理を行う第2のリスト処理手段と、
を備える通信システム。
受信したメッセージに含まれていた、ネットワーク上のリソースを一意に特定可能な識別子のリストを格納する記憶手段と、
前記識別子によって特定されるリソースに脅威があるか否かを判定する脅威検出手段と、
前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定に先立って当該一の前記識別子に関する処理を行う第1のリスト処理手段と、
前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて当該一の前記識別子に関する処理を行う第2のリスト処理手段と、
を備える通信システム。
(付記2)
前記第2のリスト処理手段は、前記脅威検出手段が脅威なしと判定した前記識別子を、前記記憶手段に格納した前記リストから削除する、付記1に記載の通信システム。
前記第2のリスト処理手段は、前記脅威検出手段が脅威なしと判定した前記識別子を、前記記憶手段に格納した前記リストから削除する、付記1に記載の通信システム。
(付記3)
前記リストに含まれる前記識別子によって特定されるリソースへのアクセスを制限するアクセス制限手段を更に備える付記1または付記2に記載の通信システム。
前記リストに含まれる前記識別子によって特定されるリソースへのアクセスを制限するアクセス制限手段を更に備える付記1または付記2に記載の通信システム。
(付記4)
前記脅威検出手段による一の前記識別子についての判定と、前記アクセス制限手段による当該一の前記識別子へのアクセス制限を、互いに並行して或いは前後して開始する付記3に記載の通信システム。
前記脅威検出手段による一の前記識別子についての判定と、前記アクセス制限手段による当該一の前記識別子へのアクセス制限を、互いに並行して或いは前後して開始する付記3に記載の通信システム。
(付記5)
受信したメッセージから前記識別子を抽出する識別子抽出手段と、
前記メッセージの宛先であるメッセージ表示装置に前記メッセージを転送するのに備えて、前記識別子抽出手段にて前記識別子を抽出したメッセージを記憶装置に格納するメッセージ格納手段と
を更に備える付記1乃至付記4のいずれかに記載の通信システム。
受信したメッセージから前記識別子を抽出する識別子抽出手段と、
前記メッセージの宛先であるメッセージ表示装置に前記メッセージを転送するのに備えて、前記識別子抽出手段にて前記識別子を抽出したメッセージを記憶装置に格納するメッセージ格納手段と
を更に備える付記1乃至付記4のいずれかに記載の通信システム。
(付記6)
前記脅威検出手段による一の前記識別子についての判定と、前記メッセージ格納手段による当該一の前記識別子を含むメッセージの格納とを、互いに並行して或いは前後して開始する付記5に記載の通信システム。
前記脅威検出手段による一の前記識別子についての判定と、前記メッセージ格納手段による当該一の前記識別子を含むメッセージの格納とを、互いに並行して或いは前後して開始する付記5に記載の通信システム。
(付記7)
前記脅威検出手段が前記識別子についての脅威を検出する方式は振る舞い検知方式である付記1乃至付記6のいずれかに記載の通信システム。
前記脅威検出手段が前記識別子についての脅威を検出する方式は振る舞い検知方式である付記1乃至付記6のいずれかに記載の通信システム。
(付記8)
複数の前記脅威検出手段を備え、
前記複数の脅威検出手段は脅威検出方式が互いに異なるものを含む
付記1乃至付記7のいずれかに記載の通信システム。
複数の前記脅威検出手段を備え、
前記複数の脅威検出手段は脅威検出方式が互いに異なるものを含む
付記1乃至付記7のいずれかに記載の通信システム。
(付記9)
前記複数の脅威検出手段の少なくともひとつが一の前記識別子を脅威ありと判定する場合、前記アクセス制限手段は当該一の前記識別子へのアクセス制限を維持する、付記8に記載の通信システム。
前記複数の脅威検出手段の少なくともひとつが一の前記識別子を脅威ありと判定する場合、前記アクセス制限手段は当該一の前記識別子へのアクセス制限を維持する、付記8に記載の通信システム。
(付記10)
受信したメッセージに含まれていた、ネットワーク上のリソースを一意に特定可能な識別子のリストを記憶装置に格納する記憶段階と、
前記識別子によって特定されるリソースに脅威があるか否かを判定する処理を処理装置で実行する脅威検出段階と、
前記記憶装置に格納した前記リストに対し、前記脅威検出段階による一の前記識別子についての判定に先立って、当該一の前記識別子に関する処理を処理装置で実行する第1のリスト処理段階と、
前記記憶装置に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、当該一の前記識別子に関する処理を処理装置で実行する第2のリスト処理段階と、
を含む通信方法。
受信したメッセージに含まれていた、ネットワーク上のリソースを一意に特定可能な識別子のリストを記憶装置に格納する記憶段階と、
前記識別子によって特定されるリソースに脅威があるか否かを判定する処理を処理装置で実行する脅威検出段階と、
前記記憶装置に格納した前記リストに対し、前記脅威検出段階による一の前記識別子についての判定に先立って、当該一の前記識別子に関する処理を処理装置で実行する第1のリスト処理段階と、
前記記憶装置に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、当該一の前記識別子に関する処理を処理装置で実行する第2のリスト処理段階と、
を含む通信方法。
(付記11)
前記第2のリスト処理段階は、前記脅威検出段階で脅威なしと判定した前記識別子を、前記記憶装置に格納した前記リストから削除する、付記10に記載の通信方法。
前記第2のリスト処理段階は、前記脅威検出段階で脅威なしと判定した前記識別子を、前記記憶装置に格納した前記リストから削除する、付記10に記載の通信方法。
(付記12)
前記リストに含まれる前記識別子によって特定されるリソースへのアクセスを制限するアクセス制限段階を更に含む付記10または付記11に記載の通信方法。
前記リストに含まれる前記識別子によって特定されるリソースへのアクセスを制限するアクセス制限段階を更に含む付記10または付記11に記載の通信方法。
(付記13)
前記脅威検出段階における一の前記識別子についての判定と、前記アクセス制限段階における当該一の前記識別子へのアクセス制限とを、互いに並行して或いは前後して開始する付記12に記載の通信方法。
前記脅威検出段階における一の前記識別子についての判定と、前記アクセス制限段階における当該一の前記識別子へのアクセス制限とを、互いに並行して或いは前後して開始する付記12に記載の通信方法。
(付記14)
受信したメッセージから前記識別子を抽出する識別子抽出段階と、
前記メッセージの宛先であるメッセージ表示装置に前記メッセージを転送するのに備えて、前記識別子抽出段階にて前記識別子を抽出したメッセージを記憶装置に格納するメッセージ格納段階と
を更に備える付記10乃至付記13のいずれかに記載の通信方法。
受信したメッセージから前記識別子を抽出する識別子抽出段階と、
前記メッセージの宛先であるメッセージ表示装置に前記メッセージを転送するのに備えて、前記識別子抽出段階にて前記識別子を抽出したメッセージを記憶装置に格納するメッセージ格納段階と
を更に備える付記10乃至付記13のいずれかに記載の通信方法。
(付記15)
前記脅威検出段階における一の前記識別子についての判定と、前記メッセージ格納段階における当該一の前記識別子を含むメッセージの格納とを、互いに並行して或いは前後して開始する付記14に記載の通信方法。
前記脅威検出段階における一の前記識別子についての判定と、前記メッセージ格納段階における当該一の前記識別子を含むメッセージの格納とを、互いに並行して或いは前後して開始する付記14に記載の通信方法。
(付記16)
前記脅威検出段階が前記識別子についての脅威を検出する方式は振る舞い検知方式である付記10乃至付記15のいずれかに記載の通信方法。
前記脅威検出段階が前記識別子についての脅威を検出する方式は振る舞い検知方式である付記10乃至付記15のいずれかに記載の通信方法。
(付記17)
複数の前記脅威検出段階を含み、
前記複数の脅威検出段階は脅威検出方式が互いに異なるものを含む
付記10乃至付記16のいずれかに記載の通信方法。
複数の前記脅威検出段階を含み、
前記複数の脅威検出段階は脅威検出方式が互いに異なるものを含む
付記10乃至付記16のいずれかに記載の通信方法。
(付記18)
前記複数の脅威検出段階の少なくともひとつが一の前記識別子を脅威ありと判定する場合、前記アクセス制限段階は当該一の前記識別子へのアクセス制限を維持する、付記17に記載の通信方法。
前記複数の脅威検出段階の少なくともひとつが一の前記識別子を脅威ありと判定する場合、前記アクセス制限段階は当該一の前記識別子へのアクセス制限を維持する、付記17に記載の通信方法。
(付記19)
受信したメッセージに含まれていた、ネットワーク上のリソースを一意に特定可能な識別子によって特定されるリソースに脅威があるか否かを判定する脅威検出手段と、
記憶手段に格納した前記識別子のリストに対し、前記脅威検出手段による一の前記識別子についての判定に先立って、当該一の前記識別子に関する処理を行う第1のリスト処理手段と、
前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、当該一の前記識別子に関する処理を行う第2のリスト処理手段と、
を備える脅威検出装置。
受信したメッセージに含まれていた、ネットワーク上のリソースを一意に特定可能な識別子によって特定されるリソースに脅威があるか否かを判定する脅威検出手段と、
記憶手段に格納した前記識別子のリストに対し、前記脅威検出手段による一の前記識別子についての判定に先立って、当該一の前記識別子に関する処理を行う第1のリスト処理手段と、
前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、当該一の前記識別子に関する処理を行う第2のリスト処理手段と、
を備える脅威検出装置。
(付記20)
前記第2のリスト処理手段は、前記脅威検出手段が脅威なしと判定した前記識別子を、前記記憶手段に格納した前記リストから削除する、付記19に記載の脅威検出装置。
前記第2のリスト処理手段は、前記脅威検出手段が脅威なしと判定した前記識別子を、前記記憶手段に格納した前記リストから削除する、付記19に記載の脅威検出装置。
(付記21)
前記脅威検出手段による一の前記識別子についての判定、及び、前記第1のリスト処理手段による処理を、互いに並行して或いは前後して開始する付記21に記載の脅威検出装置。
前記脅威検出手段による一の前記識別子についての判定、及び、前記第1のリスト処理手段による処理を、互いに並行して或いは前後して開始する付記21に記載の脅威検出装置。
(付記22)
前記脅威検出手段が前記識別子についての脅威を検出する方式は振る舞い検知方式である付記19乃至付記21のいずれかに記載の脅威検出装置。
前記脅威検出手段が前記識別子についての脅威を検出する方式は振る舞い検知方式である付記19乃至付記21のいずれかに記載の脅威検出装置。
(付記23)
複数の前記脅威検出手段を備え、
前記複数の脅威検出手段は脅威検出方式が互いに異なるものを含む
付記19乃至付記22のいずれかに記載の脅威検出装置。
複数の前記脅威検出手段を備え、
前記複数の脅威検出手段は脅威検出方式が互いに異なるものを含む
付記19乃至付記22のいずれかに記載の脅威検出装置。
(付記24)
前記複数の脅威検出手段の少なくともひとつが一の前記識別子を脅威ありと判定する場合、第2のリスト処理手段による当該一の前記識別子に関する処理を実行しない、付記23に記載の脅威検出装置。
前記複数の脅威検出手段の少なくともひとつが一の前記識別子を脅威ありと判定する場合、第2のリスト処理手段による当該一の前記識別子に関する処理を実行しない、付記23に記載の脅威検出装置。
(付記25)
受信したメッセージに含まれていた、ネットワーク上のリソースを一意に特定可能な識別子によって特定されるリソースに脅威があるか否かを判定する脅威検出手段と、
記憶手段に格納した前記識別子のリストに対し、前記脅威検出手段による一の前記識別子についての判定に先立って、当該一の前記識別子に関する処理を行う第1のリスト処理手段と、
前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、当該一の前記識別子に関する処理を行う第2のリスト処理手段と
をコンピュータに実現させるためのプログラム。
受信したメッセージに含まれていた、ネットワーク上のリソースを一意に特定可能な識別子によって特定されるリソースに脅威があるか否かを判定する脅威検出手段と、
記憶手段に格納した前記識別子のリストに対し、前記脅威検出手段による一の前記識別子についての判定に先立って、当該一の前記識別子に関する処理を行う第1のリスト処理手段と、
前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、当該一の前記識別子に関する処理を行う第2のリスト処理手段と
をコンピュータに実現させるためのプログラム。
(付記26)
前記第2のリスト処理手段は、前記脅威検出手段が脅威なしと判定した前記識別子を、前記記憶手段に格納した前記リストから削除する、付記25に記載のプログラム。
前記第2のリスト処理手段は、前記脅威検出手段が脅威なしと判定した前記識別子を、前記記憶手段に格納した前記リストから削除する、付記25に記載のプログラム。
(付記27)
前記脅威検出手段による一の前記識別子についての判定、及び、前記第1のリスト処理手段による処理を、互いに並行して或いは前後して開始する付記27に記載のプログラム。
前記脅威検出手段による一の前記識別子についての判定、及び、前記第1のリスト処理手段による処理を、互いに並行して或いは前後して開始する付記27に記載のプログラム。
(付記28)
前記脅威検出手段が前記識別子についての脅威を検出する方式は振る舞い検知方式である付記25乃至付記27のいずれかに記載のプログラム。
前記脅威検出手段が前記識別子についての脅威を検出する方式は振る舞い検知方式である付記25乃至付記27のいずれかに記載のプログラム。
(付記29)
複数の前記脅威検出手段を備え、
前記複数の脅威検出手段は脅威検出方式が互いに異なるものを含む
付記25乃至付記28のいずれかに記載のプログラム。
複数の前記脅威検出手段を備え、
前記複数の脅威検出手段は脅威検出方式が互いに異なるものを含む
付記25乃至付記28のいずれかに記載のプログラム。
(付記30)
前記複数の脅威検出手段の少なくともひとつが一の前記識別子を脅威ありと判定する場合、第2のリスト処理手段による当該一の前記識別子に関する処理を実行しない、付記29に記載のプログラム。
前記複数の脅威検出手段の少なくともひとつが一の前記識別子を脅威ありと判定する場合、第2のリスト処理手段による当該一の前記識別子に関する処理を実行しない、付記29に記載のプログラム。
1 メール配送サーバ
2 メール格納サーバ
3 ウェブプロキシサーバ
4 組織内ネットワーク
5 組織外ネットワーク
6 メール表示装置
7 リスト記憶装置
7A、7A1、7A2 脅威URL一覧
8、9 脅威検出装置
11 メール受信処理部
12 メールURL抽出部
13 メールURL通知部
14 メール格納処理部
31 リクエスト受信部
32 リクエスト解析部
33 リクエスト発行部
100、200 アクセス制限システム
2 メール格納サーバ
3 ウェブプロキシサーバ
4 組織内ネットワーク
5 組織外ネットワーク
6 メール表示装置
7 リスト記憶装置
7A、7A1、7A2 脅威URL一覧
8、9 脅威検出装置
11 メール受信処理部
12 メールURL抽出部
13 メールURL通知部
14 メール格納処理部
31 リクエスト受信部
32 リクエスト解析部
33 リクエスト発行部
100、200 アクセス制限システム
Claims (8)
- 受信したメッセージに含まれていた識別子であって、ネットワーク上のリソースを一意に特定可能な前記識別子のリストを格納する記憶手段と、
前記識別子によって特定されるリソースに脅威があるか否かを判定する脅威検出手段と、
前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定に先立って当該一の前記識別子に関する処理を行う第1のリスト処理手段と、
前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて当該一の前記識別子に関する処理を行う第2のリスト処理手段と、
前記リストに含まれる前記識別子によって特定されるリソースへのアクセスを制限するアクセス制限手段と、
を備え、
前記脅威検出手段による一の前記識別子についての判定と、前記アクセス制限手段による当該一の前記識別子へのアクセス制限を、互いに並行して開始する
通信システム。 - 前記第2のリスト処理手段は、前記脅威検出手段が脅威なしと判定した前記識別子を、前記記憶手段に格納した前記リストから削除する、請求項1に記載の通信システム。
- 受信したメッセージから前記識別子を抽出する識別子抽出手段と、
前記メッセージの宛先であるメッセージ表示装置に前記メッセージを転送するのに備えて、前記識別子抽出手段にて前記識別子を抽出したメッセージを記憶装置に格納するメッセージ格納手段と
を更に備える請求項1または請求項2に記載の通信システム。 - 前記脅威検出手段による一の前記識別子についての判定と、前記メッセージ格納手段による当該一の前記識別子を含むメッセージの格納とを、互いに並行して或いは前後して開始する請求項3に記載の通信システム。
- 前記脅威検出手段が前記識別子についての脅威を検出する方式は振る舞い検知方式である請求項1乃至請求項4のいずれかに記載の通信システム。
- 受信したメッセージに含まれていた識別子であって、ネットワーク上のリソースを一意に特定可能な前記識別子のリストを記憶装置に格納する記憶段階と、
前記識別子によって特定されるリソースに脅威があるか否かを判定する処理を処理装置で実行する脅威検出段階と、
前記記憶装置に格納した前記リストに対し、前記脅威検出段階による一の前記識別子についての判定に先立って、当該一の前記識別子に関する処理を処理装置で実行する第1のリスト処理段階と、
前記記憶装置に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、当該一の前記識別子に関する処理を処理装置で実行する第2のリスト処理段階と、
前記リストに含まれる前記識別子によって特定されるリソースへのアクセスを制限するアクセス制限段階とを含み、
前記脅威検出手段による一の前記識別子についての判定と、前記アクセス制限手段による当該一の前記識別子へのアクセス制限を、互いに並行して開始する
通信方法。 - 受信したメッセージに含まれていた識別子であって、ネットワーク上のリソースを一意に特定可能な前記識別子によって特定されるリソースに脅威があるか否かを判定する脅威検出手段と、
記憶手段に格納した前記識別子のリストに対し、前記脅威検出手段による一の前記識別子についての判定に先立って、当該一の前記識別子に関する処理を行う第1のリスト処理手段と、
前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、当該一の前記識別子に関する処理を行う第2のリスト処理手段と、
を備え、
前記脅威検出手段による一の前記識別子についての判定と、前記リストに含まれる前記識別子によって特定されるリソースへのアクセスを制限するアクセス制限手段による当該一の前記識別子へのアクセス制限を、互いに並行して開始する
脅威検出装置。 - 受信したメッセージに含まれていた識別子であって、ネットワーク上のリソースを一意に特定可能な前記識別子によって特定されるリソースに脅威があるか否かを判定する脅威検出手段と、
記憶手段に格納した前記識別子のリストに対し、前記脅威検出手段による一の前記識別子についての判定に先立って、当該一の前記識別子に関する処理を行う第1のリスト処理手段と、
前記記憶手段に格納した前記リストに対し、前記脅威検出手段による一の前記識別子についての判定の結果に応じて、当該一の前記識別子に関する処理を行う第2のリスト処理手段と
をコンピュータに実現させるためのプログラムであって、
前記脅威検出手段による一の前記識別子についての判定と、前記リストに含まれる前記識別子によって特定されるリソースへのアクセスを制限するアクセス制限手段による当該一の前記識別子へのアクセス制限を、互いに並行して開始するプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017056870A JP6418423B2 (ja) | 2017-03-23 | 2017-03-23 | 通信システム、通信方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017056870A JP6418423B2 (ja) | 2017-03-23 | 2017-03-23 | 通信システム、通信方法及びプログラム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018193313A Division JP6721874B2 (ja) | 2018-10-12 | 2018-10-12 | 通信システム、通信方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018160094A JP2018160094A (ja) | 2018-10-11 |
JP6418423B2 true JP6418423B2 (ja) | 2018-11-07 |
Family
ID=63796700
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017056870A Active JP6418423B2 (ja) | 2017-03-23 | 2017-03-23 | 通信システム、通信方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6418423B2 (ja) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014057542A1 (ja) * | 2012-10-10 | 2014-04-17 | 株式会社日立製作所 | セキュリティシステム、および、セキュリティ監視方法 |
JP6408395B2 (ja) * | 2015-02-09 | 2018-10-17 | 株式会社日立システムズ | ブラックリストの管理方法 |
JP2016148967A (ja) * | 2015-02-12 | 2016-08-18 | 富士通株式会社 | 情報処理装置、情報処理方法及びプログラム |
-
2017
- 2017-03-23 JP JP2017056870A patent/JP6418423B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018160094A (ja) | 2018-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10673896B2 (en) | Devices, systems and computer-implemented methods for preventing password leakage in phishing attacks | |
US9900346B2 (en) | Identification of and countermeasures against forged websites | |
US9083733B2 (en) | Anti-phishing domain advisor and method thereof | |
US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
JP6304833B2 (ja) | マルウェア定義パッケージサイズを縮小するためのテレメトリの使用 | |
WO2017004947A1 (zh) | 防止域名劫持的方法和装置 | |
US9225731B2 (en) | System for detecting the presence of rogue domain name service providers through passive monitoring | |
US20130333026A1 (en) | Malicious message detection and processing | |
US20130269042A1 (en) | Optimizing security seals on web pages | |
US20220300659A1 (en) | Data breach prevention and remediation | |
US20140283078A1 (en) | Scanning and filtering of hosted content | |
US20160241575A1 (en) | Information processing system and information processing method | |
JP5549281B2 (ja) | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム | |
US9270689B1 (en) | Dynamic and adaptive traffic scanning | |
EP3195140B1 (en) | Malicious message detection and processing | |
US8214898B2 (en) | ICAP processing of partial content to identify security issues | |
JP6418423B2 (ja) | 通信システム、通信方法及びプログラム | |
JP6721874B2 (ja) | 通信システム、通信方法及びプログラム | |
US10715539B1 (en) | Request header anomaly detection | |
KR100655492B1 (ko) | 검색엔진을 이용한 웹서버 취약점 점검 시스템 및 방법 | |
JP2020162158A (ja) | 通信システム、通信方法及びプログラム | |
JP2022031826A (ja) | 通信システム、通信方法及びプログラム | |
JP2023118766A (ja) | 通信システム、通信方法及びプログラム | |
US20150310449A1 (en) | Management system and control method | |
JP2018151739A (ja) | メール配送装置およびWebプロキシサーバ |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180730 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180912 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180925 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6418423 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |