JP6493497B1 - Information processing apparatus, information processing method, and program - Google Patents

Information processing apparatus, information processing method, and program Download PDF

Info

Publication number
JP6493497B1
JP6493497B1 JP2017230618A JP2017230618A JP6493497B1 JP 6493497 B1 JP6493497 B1 JP 6493497B1 JP 2017230618 A JP2017230618 A JP 2017230618A JP 2017230618 A JP2017230618 A JP 2017230618A JP 6493497 B1 JP6493497 B1 JP 6493497B1
Authority
JP
Japan
Prior art keywords
organization name
organization
mail
transmission source
row
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017230618A
Other languages
Japanese (ja)
Other versions
JP2019101656A (en
Inventor
靖大 田中
靖大 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Marketing Japan Inc
Canon IT Solutions Inc
Original Assignee
Canon Marketing Japan Inc
Canon IT Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Marketing Japan Inc, Canon IT Solutions Inc filed Critical Canon Marketing Japan Inc
Priority to JP2017230618A priority Critical patent/JP6493497B1/en
Application granted granted Critical
Publication of JP6493497B1 publication Critical patent/JP6493497B1/en
Publication of JP2019101656A publication Critical patent/JP2019101656A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】 電子メール本文から特定される組織と差出人のアドレスとに基づき注意喚起をすることで、標的型攻撃メールによる被害を防ぐこと
【解決手段】 受信した電子メールの本文から組織名を抽出し、抽出された組織名に対応するドメインを特定する。特定されたドメインと、前記電子メールの差出人アドレスのドメインとに基づき、組織詐称の可能性を通知する。
【選択図】 図1[PROBLEMS] To prevent damage by targeted attack emails by alerting based on the organization specified from the email text and the sender's address [Solution] Extract the organization name from the text of the received email Identify the domain corresponding to the extracted organization name. Based on the identified domain and the domain of the sender address of the e-mail, the possibility of organization spoofing is notified.
[Selection] Figure 1

Description

本発明は、情報処理装置、情報処理方法、プログラムに関する。   The present invention relates to an information processing apparatus, an information processing method, and a program.

近年、特定の組織や人物から金銭や重要情報の窃取を目的とした標的型攻撃が増加している。標的型攻撃では、目的を達成するために、標的となる組織や人物に特化した情報に基づき、多様な手法を組み合わせて攻撃が行われる。   In recent years, targeted attacks for the purpose of stealing money and important information from specific organizations and persons are increasing. In the targeted attack, in order to achieve the objective, the attack is performed by combining various methods based on information specialized for the target organization or person.

標的型攻撃における初期侵入手段としては、標的型攻撃メールと呼ばれる電子メールを用いる方法が典型的である。標的型攻撃メールでは、標的となる受信者の興味を引く内容や、受信者が自身と関連があると誤認する内容を本文に記載し、電子メールに添付したファイルや記載されたリンク先に仕込まれた不正プログラムを実行させることを狙う。標的が不正プログラムを実行してしまうとバッグドアが設置され更なる攻撃の侵入口となってしまう。   As an initial intrusion means in a targeted attack, a method using electronic mail called a targeted attack mail is typical. In targeted attack emails, the content that attracts the interest of the targeted recipient or the content that the recipient misidentifies as being related to the subject is described in the main text, and the file is attached to the email or the linked destination It aims to execute the malicious program. If the target executes a malicious program, a bag door is installed and becomes an entry point for further attacks.

標的型攻撃メールには大きく分けて2つの種類がある。1つめは、特定の個人を標的とした「やりとり型攻撃」であり、2つめは、多くの人に当てはまる属性に関する内容のメールを不特定多数に送信することで、特定の属性を持つ人を標的とする「ばらまき型攻撃」である。   There are two types of targeted attack emails. The first is an “interactive attack” that targets specific individuals, and the second is to send people with specific attributes by sending an email about the attributes that apply to many people to an unspecified number of people. The target is a “scattering attack”.

「ばらまき型攻撃」では、多くの人に当てはまる属性が使われるため、利用者の多いサービスや商品を扱う組織からの通知や連絡を偽装することが多い。   In “scattering attacks”, attributes that apply to many people are used, so notifications and communications from organizations that handle services and products with many users are often disguised.

詐称される組織は、一般的に認知度、信頼度ともに高く、標的となったユーザは組織の名前だけで無条件に信頼してしまいがちである。また、メールアドレスやURLが実際に該当組織に所属することを判断するには、メールアドレスはURLにおいて組織に対応するドメイン部から判断する必要があり、一般的なユーザには難しい。   An organization that is misrepresented generally has a high level of recognition and reliability, and a target user tends to trust unconditionally only by the name of the organization. Further, in order to determine that a mail address or URL actually belongs to the corresponding organization, it is necessary to determine the mail address from the domain part corresponding to the organization in the URL, which is difficult for general users.

特許文献1には、電子メール本文に記載されたURLと、予め登録されている組織名を抽出し、抽出したURLと組織名の位置関係からそれらを関連付け、組織名に関連づけられた抽出URLが予め組織名と関連付けられたURLリストに含まれているかにより正当性を判定する技術が開示されている。   In Patent Document 1, a URL described in an e-mail body and an organization name registered in advance are extracted, and the extracted URL and the organization name are associated with each other based on the positional relationship between the extracted URL and the organization name. A technique for determining validity based on whether a URL is previously included in a URL list associated with an organization name is disclosed.

また、特許文献2には、電子メール本文に記載されたURLを抽出し、URLのドメインと電子メールの差出人アドレスのドメインを比較し、一致しなければ警告を発する技術が開示されている。   Patent Document 2 discloses a technique for extracting a URL described in the body of an email, comparing the URL domain and the sender address domain of the email, and issuing a warning if they do not match.

特開2007−156690号公報JP 2007-156690 A 特許第4429971号公報Japanese Patent No. 4429971

特許文献1および特許文献2ともにフィッシング対策の技術でありURLの正当性を検証する手段となっており、メールによる詐欺そのものを判定しているわけではないため、添付ファイルによる攻撃には対応できないという課題がある。   Both Patent Document 1 and Patent Document 2 are anti-phishing technologies and are means for verifying the legitimacy of URLs, and because they do not determine fraud by email itself, they cannot respond to attacks by attached files. There are challenges.

また、特許文献2は、攻撃者が正当なアドレスを用いて、差出人を詐称している場合には有効ではあるが、攻撃者が正当なアドレスと誤認するようなドメインを使用し、URLと差出人アドレスのドメインが一致している場合は、検出することができないという課題がある。   Patent Document 2 is effective when an attacker uses a legitimate address to misrepresent the sender, but uses a domain that the attacker misidentifies as a legitimate address. If the domain of the address matches, there is a problem that it cannot be detected.

そのため、受信した電子メールが、本文冒頭における名乗りや末尾の署名において自称している組織の正当なアドレスから送信されたか否かを判定できることが望まれる。   Therefore, it is desirable to be able to determine whether or not the received electronic mail has been transmitted from a legitimate address of the organization that is self-proclaimed in the name identification or the signature at the end of the text.

そこで、本発明は、電子メール本文から特定される組織と差出人のアドレスとに基づき注意喚起をすることで、標的型攻撃メールによる被害を防ぐことを目的とする。   Therefore, an object of the present invention is to prevent damage caused by targeted attack emails by calling attention based on the organization specified from the body of the email and the address of the sender.

本発明の情報処理装置は、電子メール本文から組織名を抽出する抽出手段と、前記抽出手段により抽出された組織名に対応するドメインを特定するドメイン特定手段と、前記ドメイン特定手段により特定されたドメインと、前記電子メールの差出人アドレスのドメインとに基づき、組織詐称の可能性を通知する通知手段と、を備えることを特徴とする。   An information processing apparatus according to the present invention includes an extraction unit that extracts an organization name from an e-mail body, a domain identification unit that identifies a domain corresponding to the organization name extracted by the extraction unit, and a domain identification unit And a notification means for notifying the possibility of organization fraud based on the domain and the domain of the sender address of the e-mail.

本発明によれば、電子メール本文から特定される組織と差出人のアドレスとに基づき注意喚起をすることで、標的型攻撃メールによる被害を防ぐことが可能となる。   According to the present invention, it is possible to prevent damages due to targeted attack emails by calling attention based on the organization specified from the email text and the address of the sender.

本発明の実施形態における、組織詐称メール検査装置のシステム構成の一例を示す図である。It is a figure which shows an example of the system configuration | structure of the organization fraud mail inspection apparatus in embodiment of this invention. 本発明の実施形態における、組織詐称メール検知装置のハードウェア構成の一例を示すブロック図である。It is a block diagram which shows an example of the hardware constitutions of the organization fraud mail detection apparatus in embodiment of this invention. 本発明の実施形態における、組織詐称メール検知装置の機能構成の一例を示す図である。It is a figure which shows an example of a function structure of the organization fraud mail detection apparatus in embodiment of this invention. 本発明の実施形態における、メールを検査する処理の一例を示すフローチャートである。It is a flowchart which shows an example of the process which test | inspects mail in embodiment of this invention. 本発明の実施形態における、メール本文における挨拶部の組織名を抽出する処理の一例を示すフローチャートである。It is a flowchart which shows an example of the process which extracts the organization name of the greeting part in the mail text in embodiment of this invention. 本発明の実施形態における、判定知識保存領域の構成の一例を示す図である。It is a figure which shows an example of a structure of the determination knowledge storage area | region in embodiment of this invention. 本発明の実施形態における、行種別テーブルの一例を示す図である。It is a figure which shows an example of a line classification table in embodiment of this invention. 本発明の実施形態における、組織ドメインテーブルの一例を示す図である。It is a figure which shows an example of the organization domain table in embodiment of this invention. 本発明の実施形態における、電子メールの一例を示す図である。It is a figure which shows an example of the email in embodiment of this invention. 本発明の実施形態における、メール本文における署名部の組織名を抽出する処理の一例を示すフローチャートである。It is a flowchart which shows an example of the process which extracts the organization name of the signature part in the mail text in embodiment of this invention. 本発明の実施形態における、メールの組織詐称を判定する処理の一例を示すフローチャートである。It is a flowchart which shows an example of the process which determines the organization fraud of mail in embodiment of this invention. 本発明の実施形態における、メール閲覧画面の一例を示す図である。It is a figure which shows an example of the mail browsing screen in embodiment of this invention.

以下、図面を参照して、本発明の実施形態を詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

図1は、本発明の実施形態における組織詐称メール検査装置のシステム構成の一例を示す図である。   FIG. 1 is a diagram illustrating an example of a system configuration of an organization spoofing mail inspection apparatus according to an embodiment of the present invention.

組織詐称メール検査装置100と、メールサーバ120とは、ローカルエリアネットワーク130を介して接続される構成となっている。またメールサーバ120は、外部ネットワーク140に接続可能な構成となっている。   The organization spoofing mail inspection device 100 and the mail server 120 are connected via a local area network 130. The mail server 120 is configured to be connectable to the external network 140.

組織詐称メール検査装置100は、一般的な電子メールクライアントの機能を持ち、電子メールの閲覧機能とメールサーバからの受信機能を有する。   The organization spoofing mail inspection device 100 has a function of a general electronic mail client, and has an electronic mail browsing function and a receiving function from a mail server.

更に、受信した電子メールを表示する際に、表示する電子メールに対する組織詐称の有無の判定を行ない、電子メールが組織詐称の可能性があると判断された場合、電子メールの組織詐称箇所を強調表示し目視確認を促す。   Furthermore, when displaying the received e-mail, it is determined whether or not there is any organization misrepresentation for the e-mail to be displayed. Display and prompt visual confirmation.

メールサーバ120は一般的なメールの受信サーバ(POP3またはIMAPサーバ)であり、外部またはローカルの送信先から受け取ったメールを電子メールクライアントの要求に応じて転送する。   The mail server 120 is a general mail receiving server (POP3 or IMAP server), and transfers mail received from an external or local destination in response to a request from the electronic mail client.

本実施形態では、組織詐称メール検査装置を電子メールクライアントとした場合について説明するが、ゲートウェイ型の電子メール監査システムやWebメールシステムとして実施しても構わない。   In the present embodiment, a case where the organization spoofing mail inspection apparatus is an e-mail client will be described, but it may be implemented as a gateway-type e-mail audit system or a Web mail system.

図2は、本発明の実施形態における組織詐称メール検査装置(情報処理装置)100のハードウェア構成の一例を示すブロック図である。   FIG. 2 is a block diagram illustrating an example of a hardware configuration of the organization spoofing mail inspection apparatus (information processing apparatus) 100 according to the embodiment of this invention.

図2に示すように、情報処理装置は、システムバス204を介してCPU(Central Processing Unit)201、ROM(Read Only Memory)202、RAM(Random Access Memory)203、入力コントローラ205、ビデオコントローラ206、メモリコントローラ207、よび通信I/Fコントローラ208が接続される。   As shown in FIG. 2, the information processing apparatus includes a CPU (Central Processing Unit) 201, a ROM (Read Only Memory) 202, a RAM (Random Access Memory) 203, an input controller 205, a video controller 206, a system bus 204, and the like. A memory controller 207 and a communication I / F controller 208 are connected.

CPU201は、システムバス204に接続される各デバイスやコントローラを統括的に制御する。   The CPU 201 comprehensively controls each device and controller connected to the system bus 204.

ROM202あるいは外部メモリ211は、CPU201が実行する制御プログラムであるBIOS(Basic Input/Output System)やOS(Operating System)や、本情報処理方法を実現するためのコンピュータ読み取り実行可能なプログラムおよび必要な各種データ(データテーブルを含む)を保持している。   The ROM 202 or the external memory 211 includes a BIOS (Basic Input / Output System) and an OS (Operating System) that are control programs executed by the CPU 201, and a computer-readable program and various necessary programs for realizing the information processing method. Holds data (including data table).

RAM203は、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードし、ロードしたプログラムを実行することで各種動作を実現する。   The RAM 203 functions as a main memory, work area, and the like for the CPU 201. The CPU 201 implements various operations by loading a program or the like necessary for executing the processing from the ROM 202 or the external memory 211 to the RAM 203 and executing the loaded program.

入力コントローラ205は、キーボード209や不図示のマウス等のポインティングデバイス等の入力装置からの入力を制御する。入力装置がタッチパネルの場合、ユーザがタッチパネルに表示されたアイコンやカーソルやボタンに合わせて押下(指等でタッチ)することにより、各種の指示を行うことができることとする。   The input controller 205 controls input from an input device such as a keyboard 209 or a pointing device such as a mouse (not shown). When the input device is a touch panel, the user can perform various instructions by pressing (touching with a finger or the like) in accordance with an icon, a cursor, or a button displayed on the touch panel.

また、タッチパネルは、マルチタッチスクリーンなどの、複数の指でタッチされた位置を検出することが可能なタッチパネルであってもよい。   The touch panel may be a touch panel capable of detecting a position touched with a plurality of fingers, such as a multi-touch screen.

ビデオコントローラ206は、ディスプレイ210などの外部出力装置への表示を制御する。ディスプレイは本体と一体になったノート型パソコンのディスプレイも含まれるものとする。なお、外部出力装置はディスプレイに限ったものははく、例えばプロジェクタであってもよい。また、前述のタッチ操作を受け付け可能な装置については、入力装置も提供する。   The video controller 206 controls display on an external output device such as the display 210. The display includes a display of a notebook computer integrated with the main body. The external output device is not limited to a display, and may be a projector, for example. An input device is also provided for the device that can accept the touch operation described above.

なおビデオコントローラ206は、表示制御を行うためのビデオメモリ(VRAM)を制御することが可能で、ビデオメモリ領域としてRAM203の一部を利用することもできるし、別途専用のビデオメモリを設けることも可能である。   Note that the video controller 206 can control a video memory (VRAM) for display control, and a part of the RAM 203 can be used as a video memory area, or a dedicated video memory can be provided separately. Is possible.

メモリコントローラ207は、外部メモリ211へのアクセスを制御する。外部メモリとしては、ブートプログラム、各種アプリケーション、フォントデータ、ユーザファイル、編集ファイル、および各種データ等を記憶する外部記憶装置(ハードディスク)、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等を利用可能である。   The memory controller 207 controls access to the external memory 211. The external memory is connected via an adapter to an external storage device (hard disk), flexible disk (FD), or PCMCIA card slot that stores boot programs, various applications, font data, user files, editing files, and various data. A compact flash (registered trademark) memory or the like can be used.

通信I/Fコントローラ209は、ネットワークを介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信やISDNなどの電話回線、および携帯電話の3G回線を用いた通信が可能である。   The communication I / F controller 209 connects and communicates with an external device via a network, and executes communication control processing on the network. For example, communication using TCP / IP, telephone lines such as ISDN, and communication using 3G lines of mobile phones are possible.

尚、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上での表示を可能としている。また、CPU201は、ディスプレイ210上の不図示のマウスカーソル等でのユーザ指示を可能とする。   Note that the CPU 201 enables display on the display 210 by executing outline font rasterization processing on a display information area in the RAM 203, for example. Further, the CPU 201 enables a user instruction with a mouse cursor (not shown) on the display 210.

次に図3を用いて、組織詐称メール検査装置(情報処理装置)の機能について説明する。   Next, the function of the organization fraud mail inspection device (information processing device) will be described with reference to FIG.

一覧表示部301は、メールサーバ120から受信した電子メールを表示部に一覧表示する機能を備える。一覧表示された電子メールに対する選択を受け付ける(閲覧要求を受け付ける)ことで、図4のフローチャートで示す処理が実行される。   The list display unit 301 has a function of displaying a list of e-mails received from the mail server 120 on the display unit. The processing shown in the flowchart of FIG. 4 is executed by accepting selection of the displayed e-mail (accepting a browsing request).

検査処理部302は、図4、図5、図10、図11のフローチャートで示す処理を実行する機能を備える。詳細は、各フローチャートを用いて説明する。   The inspection processing unit 302 has a function of executing processing shown in the flowcharts of FIGS. 4, 5, 10, and 11. Details will be described using each flowchart.

判定知識保存領域は、図7、図8に示すデータが保存された領域である。   The judgment knowledge storage area is an area in which data shown in FIGS. 7 and 8 is stored.

閲覧処理部304は、閲覧要求を受け付けた電子メールを表示する機能を備え、組織詐称の可能性がある旨の通知等を行う機能を備える   The browsing processing unit 304 has a function of displaying an e-mail that has received a browsing request, and a function of notifying that there is a possibility of organization fraud.

(メール検査処理)
次に図4のフローチャートを用いて、本発明の実施形態における検査処理部302が実行する電子メールの検査処理について説明する。 (Mail inspection process)
Next, an e-mail inspection process executed by the inspection processing unit 302 according to the embodiment of the present invention will be described with reference to the flowchart of FIG.

図4のフローチャートは、組織詐称メール検査装置100のCPU201が所定の制御プログラムを読み出して実行する処理であり、一覧表示部301において閲覧を指示された電子メールを表示する前に実行される処理を示すフローチャートである。   The flowchart of FIG. 4 is a process in which the CPU 201 of the organization fraud mail inspection device 100 reads and executes a predetermined control program, and the process executed before displaying the e-mail instructed to browse in the list display unit 301. It is a flowchart to show.

ステップS401では、検査処理部302は、メール受信処理部301で閲覧を指示された電子メールを取得する。   In step S <b> 401, the inspection processing unit 302 acquires an email instructed to be browsed by the mail reception processing unit 301.

ステップS402では、検査処理部302は、ステップS401で受け取った電子メールから電子メール本文冒頭の挨拶部を特定し、挨拶部に記述されている組織名を抽出する。本ステップの処理の詳細は、図5のフローチャートを用いて後述する。   In step S402, the inspection processing unit 302 identifies a greeting part at the beginning of the e-mail text from the e-mail received in step S401, and extracts an organization name described in the greeting part. Details of this step will be described later with reference to the flowchart of FIG.

ステップS403では、検査処理部302は、ステップS401で受け取った電子メールから電子メール本文末尾の署名部を特定し、署名部に記述されている組織名を抽出する。本ステップの処理の詳細は、図10のフローチャートを用いて後述する。   In step S403, the inspection processing unit 302 specifies the signature part at the end of the email body from the email received in step S401, and extracts the organization name described in the signature part. Details of the processing in this step will be described later using the flowchart of FIG.

ステップS404では、検査処理部302は、電子メールヘッダの差出人のフィールド(From)の実名部から組織名を抽出する。   In step S404, the inspection processing unit 302 extracts the organization name from the real name part of the sender field (From) in the email header.

ステップS405では、検査処理部302は、ステップS402からS404で取得した組織名と差出人アドレスから組織詐称の有無を判定する。本ステップの処理の詳細は、図11のフローチャートを用いて後述する   In step S405, the inspection processing unit 302 determines the presence / absence of organization spoofing from the organization name and sender address acquired in steps S402 to S404. Details of this step will be described later with reference to the flowchart of FIG.

(挨拶部組織名抽出処理)
次に図5のフローチャートを用いて、ステップS402の挨拶部組織名抽出処理について説明する。 (Greeting department organization name extraction process)
Next, the greeting part organization name extraction process in step S402 will be described with reference to the flowchart of FIG.

ステップS501では、検査処理部302は、ステップS401で取得した電子メールの本文から空行と引用行を除去する。引用行は、返信メールや転送メール等において、返信元のメールや転送元のメールに記載されていた部分である。行頭に「>」が付されていること等に基づき判断することが可能である。   In step S501, the inspection processing unit 302 removes blank lines and quoted lines from the body of the electronic mail acquired in step S401. The quoted line is a part described in the reply mail or the forwarding mail in the reply mail or the forwarding mail. This can be determined based on the fact that “>” is added to the beginning of the line.

ステップS502では、検査処理部302は、ステップS501で空行と引用行が除去された本文の先頭から規定数だけ行を取得する。   In step S502, the inspection processing unit 302 acquires a prescribed number of lines from the top of the text from which blank lines and quoted lines have been removed in step S501.

ステップS503では、検査処理部302は、ステップS502で取得した行に対して、ステップS508までの繰り返し処理を開始する。   In step S503, the inspection processing unit 302 starts the iterative process up to step S508 for the row acquired in step S502.

ステップS504では、検査処理部302は、図6に示す判定知識保存領域303における行種別テーブル601を用いて、対象の行の種別を判定する。   In step S504, the examination processing unit 302 determines the type of the target row using the row type table 601 in the determination knowledge storage area 303 illustrated in FIG.

行種別の判断は、行種別テーブル601に登録されたパターン(正規表現)に合致した種別と判断される。合致するパターンがない場合、種別は「なし」とする。行種別テーブル601の一例を図7に示す。   The line type is determined as a type that matches the pattern (regular expression) registered in the line type table 601. If there is no matching pattern, the type is “none”. An example of the row type table 601 is shown in FIG.

本発明の実施形態では、正規表現を用いたが、単語や特定文字列の出現頻度や割合などにより判断するように構成しても構わない。   In the embodiment of the present invention, a regular expression is used. However, a determination may be made based on the appearance frequency or ratio of words or specific character strings.

ステップS505では、検査処理部302は、ステップS504の処理の結果、対象行の行種別が「挨拶」「宛名」「名乗り」のいずれかと判定された場合は、ステップS506に処理を移す。行種別が「挨拶」「宛名」「名乗り」のいずれでもないと判断された場合、処理を終了する。   In step S505, the inspection processing unit 302 moves the process to step S506 when it is determined that the line type of the target line is “greeting”, “address” or “named” as a result of the process in step S504. If it is determined that the line type is neither “greeting”, “address” or “named”, the process is terminated.

ステップS506では、検査処理部302は、テップS504の処理の結果、対象行の行種別が「名乗り」と判定された場合は、ステップS507に処理を移す。行種別が「名乗り」でないと判断された場合、ステップS508に処理を移す。   In step S506, the inspection processing unit 302 moves the process to step S507 if it is determined that the row type of the target row is “named” as a result of the processing in step S504. If it is determined that the line type is not “named”, the process proceeds to step S508.

ステップS507では、検査処理部302は、対象の行から組織名を抽出し、処理を終了する。   In step S507, the examination processing unit 302 extracts the organization name from the target row and ends the process.

組織名の抽出については、詳細は省略するが、判定知識保存領域303における組織ドメインテーブル602における「組織名」および「別名・ブランド名」に登録されている文字列を抽出する。組織ドメインテーブル602の一例を図8に示す。   Although the details of the extraction of the organization name are omitted, character strings registered in “organization name” and “alias / brand name” in the organization domain table 602 in the determination knowledge storage area 303 are extracted. An example of the organization domain table 602 is shown in FIG.

ステップS508では、検査処理部302は、処理対象となる行がまだあれば、ステップS503からの繰り返し処理を実施する。処理対象となる行がなければ、処理を終了する。   In step S508, the inspection processing unit 302 performs the repetitive processing from step S503 if there are more rows to be processed. If there is no line to be processed, the process ends.

結果として、電子メール冒頭の挨拶部分で、差出人が自称している組織名を取得する   As a result, in the greeting part at the beginning of the email, get the name of the organization that the sender is referring to

(挨拶部組織名抽出処理具体例)
次に挨拶部組織名抽出処理の具体例として、図9に示す電子メール901に対して図5に示す処理が実施された場合について説明する。 (Example of greeting department organization name extraction process)
Next, a case where the process shown in FIG. 5 is performed on the e-mail 901 shown in FIG. 9 will be described as a specific example of the greeting part organization name extraction process.

ステップS501では、検査処理部302は、電子メール901の本文904から空行と引用行を除去する。   In step S501, the inspection processing unit 302 removes blank lines and quoted lines from the body 904 of the email 901.

ステップS502では、検査処理部302は、ステップS501で空行と引用行が除去された本文904の先頭から規定数だけ行を取得する(905)。本具体例では規定数を5とする。   In step S502, the inspection processing unit 302 acquires a specified number of lines from the top of the text 904 from which blank lines and quoted lines are removed in step S501 (905). In this specific example, the specified number is 5.

ステップS503では、検査処理部302は、ステップS502で取得した行「ニューセレクト 近藤様」に対して、ステップS508までの繰り返し処理を開始する。   In step S503, the inspection processing unit 302 starts the iterative process up to step S508 for the row “New Select Kondo-sama” acquired in step S502.

ステップS504では、検査処理部302は、図7の行種別テーブル601を用いて、対象の行「ニューセレクト 近藤様」の種別を「宛名」(701に合致)と判定する。   In step S504, the inspection processing unit 302 uses the row type table 601 in FIG. 7 to determine that the type of the target row “New Select Kondo-sama” is “address” (matches 701).

ステップS505では、検査処理部302は、ステップS504の処理の結果、対象行の行種別が「宛名」と判定されたので、ステップS506に処理を移す。   In step S505, the inspection processing unit 302 determines that the row type of the target row is “address” as a result of the processing in step S504, and moves the processing to step S506.

ステップS506では、検査処理部302は、テップS504の処理の結果、対象行の行種別が「宛名」と判定されたので、ステップS508に処理を移す。   In step S506, the inspection processing unit 302 determines that the row type of the target row is “address” as a result of the processing in step S504, and moves the process to step S508.

ステップS508では、検査処理部302は、処理対象となる行「お世話になっております。」があるので、ステップS503からの繰り返し処理を実施する。   In step S508, the inspection processing unit 302 performs the process from step S503 because there is a row “Thank you for your attention” as a processing target.

ステップS503では、検査処理部302は、次の行「お世話になっております。」に対して、ステップS508までの繰り返し処理を開始する。   In step S503, the inspection processing unit 302 starts the iterative process up to step S508 for the next line “Thank you for your help”.

ステップS504では、検査処理部302は、図7の行種別テーブル601を用いて、対象の行「お世話になっております。」の種別を「挨拶」(702に合致)と判定する。   In step S504, the inspection processing unit 302 determines that the type of the target row “I am indebted” is “greeting” (matches 702) using the row type table 601 of FIG.

ステップS505では、検査処理部302は、ステップS504の処理の結果、対象行の行種別が「挨拶」と判定されたので、ステップS506に処理を移す。   In step S505, the inspection processing unit 302 determines that the line type of the target line is “greeting” as a result of the process in step S504, and moves the process to step S506.

ステップS506では、検査処理部302は、テップS504の処理の結果、対象行の行種別が「挨拶」と判定されたので、ステップS508に処理を移す。   In step S506, the inspection processing unit 302 determines that the line type of the target line is “greeting” as a result of the process in step S504, and thus moves the process to step S508.

ステップS508では、検査処理部302は、処理対象となる行「長防銀の大村です。」がまだあるので、ステップS503からの繰り返し処理を実施する。   In step S508, the inspection processing unit 302 performs the repetitive processing from step S503 because there is still a line “Omura of Choho Silver” to be processed.

ステップS503では、検査処理部302は、次の行「長防銀の大村です。」に対して、ステップS508までの繰り返し処理を開始する。   In step S503, the inspection processing unit 302 starts the iterative processing up to step S508 for the next line “It is Oomura of Choho Silver.”

ステップS504では、検査処理部302は、図7の行種別テーブル601を用いて、対象の行「長防銀の大村です。」の種別を「名乗り」(703に合致)と判定する。   In step S504, the inspection processing unit 302 uses the row type table 601 in FIG. 7 to determine that the type of the target row “is Omura of Nagaho Silver” is “named” (matches 703).

ステップS505では、検査処理部302は、ステップS504の処理の結果、対象行「長防銀の大村です。」の行種別が「名乗り」と判定されたので、ステップS506に処理を移す。   In step S505, as a result of the processing in step S504, the inspection processing unit 302 determines that the row type of the target row “It is Omura of Choho Silver” is “named”, so the processing moves to step S506.

ステップS506では、検査処理部302は、テップS504の処理の結果、対象行「長防銀の大村です。」の行種別が「名乗り」と判定されたので、ステップS507に処理を移す。   In step S506, as a result of the processing in step S504, the inspection processing unit 302 determines that the row type of the target row “It is Omura of Choho Silver” is “named”, so the processing moves to step S507.

ステップS507では、検査処理部302は、対象の行「長防銀の大村です。」から組織名「長防銀」(801に合致)を抽出し、処理を終了する。   In step S507, the inspection processing unit 302 extracts the organization name “Chogo Silver” (matches 801) from the target row “Chogo Silver Omura” and ends the process.

結果として、電子メール901冒頭から、差出人が自称している組織名として「長防銀」を取得する   As a result, from the beginning of the e-mail 901, “Chogo Silver” is acquired as the organization name that the sender is referring to.

(署名部組織名抽出処理)
次に図10のフローチャートを用いて、ステップS403の署名部組織名抽出処理について説明する。 (Signature department organization name extraction process)
Next, the signature part organization name extraction process in step S403 will be described with reference to the flowchart of FIG.

ステップS1001では、検査処理部302は、一時領域に署名部バッファを確保し初期化する。   In step S1001, the inspection processing unit 302 secures and initializes a signature part buffer in the temporary area.

ステップS1002では、検査処理部302は、ステップS401で取得した電子メールの本文から空行と引用行を除去する。   In step S1002, the inspection processing unit 302 removes blank lines and quoted lines from the body of the electronic mail acquired in step S401.

ステップS1003では、検査処理部302は、ステップS1002で空行と引用行が除去された本文の末尾から規定数だけ行を取得する。   In step S1003, the inspection processing unit 302 acquires a prescribed number of lines from the end of the text from which blank lines and quoted lines have been removed in step S1002.

ステップS1004では、検査処理部302は、ステップS1003で取得した行に対して、末尾からステップS1008までの繰り返し処理を開始する。   In step S1004, the inspection processing unit 302 starts the iterative process from the end to step S1008 for the row acquired in step S1003.

ステップS1005では、検査処理部302は、ステップS504と同様に、判定知識保存領域303における行種別テーブル601を用いて、対象行の行種別を判定する。   In step S1005, the inspection processing unit 302 determines the row type of the target row using the row type table 601 in the determination knowledge storage area 303, as in step S504.

ステップS1006では、検査処理部302は、テップS1005の処理の結果、対象行の行種別が「本文」または「本文末」と判定された場合は、ステップS1009に処理を移す。行種別が「本文」または「本文末」でないと判断された場合、ステップS1007に処理を移す。   In step S1006, if the result of step S1005 determines that the line type of the target line is “text” or “end of text”, the inspection processing unit 302 moves the process to step S1009. If it is determined that the line type is not “text” or “end of text”, the process proceeds to step S1007.

ステップS1007では、検査処理部302は、対象行を署名バッファに追加する。   In step S1007, the inspection processing unit 302 adds the target line to the signature buffer.

ステップS1008では、検査処理部302は、処理対象となる行がまだあれば、ステップS1004からの繰り返し処理を実施する。処理対象となる行がなければ、ステップS1009に処理を移す。   In step S1008, the inspection processing unit 302 performs the repetition processing from step S1004 if there is still a row to be processed. If there is no row to be processed, the process proceeds to step S1009.

ステップS1009では、検査処理部302は、ステップS507と同様に、署名部バッファに追加された行から組織名を抽出する。   In step S1009, the inspection processing unit 302 extracts the organization name from the line added to the signature part buffer, as in step S507.

結果として、電子メール末尾の署名部分で、差出人が自称している組織名を取得する   As a result, in the signature part at the end of the email, get the name of the organization that the sender is referring to

(署名部組織名抽出処理具体例)
次に署名部組織名抽出処理の具体例として、図9に示す電子メール901に対して図10に示す処理が実施された場合について説明する。 (Specific example of signature part organization name extraction processing)
Next, as a specific example of the signature part organization name extraction process, a case where the process shown in FIG. 10 is performed on the e-mail 901 shown in FIG. 9 will be described.

ステップS1001では、検査処理部302は、一時領域に署名部バッファを確保し初期化する。   In step S1001, the inspection processing unit 302 secures and initializes a signature part buffer in the temporary area.

ステップS1002では、検査処理部302は、電子メール901の本文904から空行と引用行を除去する。   In step S1002, the inspection processing unit 302 removes blank lines and quoted lines from the body 904 of the email 901.

ステップS1003では、検査処理部302は、ステップS1002で空行と引用行が除去された本文904の末尾から規定数だけ行を取得する(907)。本具体例では規定数を8とする。   In step S1003, the inspection processing unit 302 acquires a prescribed number of lines from the end of the text 904 from which blank lines and quoted lines have been removed in step S1002 (907). In this specific example, the specified number is eight.

ステップS1004では、検査処理部302は、ステップS1003で取得した末尾の行「■■■■■■■■■■■■■■■■■■■■■■」に対して、からステップS1008までの繰り返し処理を開始する。   In step S1004, the inspection processing unit 302 performs the process from the last line “■■■■■■■■■■■■■■■■■■■■■■” acquired in step S1003 to step S1008. The repetition process is started.

ステップS1005では、検査処理部302は、図7の行種別テーブル601を用いて、対象行「■■■■■■■■■■■■■■■■■■■■■■」に合致するルールがないので行種別を「なし」と判定する。   In step S1005, the inspection processing unit 302 matches the target row “■■■■■■■■■■■■■■■■■■■■■■" using the row type table 601 of FIG. Since there is no rule, the line type is determined as “none”.

ステップS1006では、検査処理部302は、テップS1005の処理の結果、対象行「■■■■■■■■■■■■■■■■■■■■■■」の行種別が「なし」と判断されたので、ステップS1007に処理を移す。   In step S1006, the inspection processing unit 302 determines that the row type of the target row “■■■■■■■■■■■■■■■■■■■■■■” is “None” as a result of the processing in step S1005. Therefore, the process moves to step S1007.

ステップS1007では、検査処理部302は、対象行「■■■■■■■■■■■■■■■■■■■■■■」を署名バッファに追加する。   In step S1007, the inspection processing unit 302 adds the target line “■■■■■■■■■■■■■■■■■■■■■■” to the signature buffer.

ステップS1008では、検査処理部302は、処理対象となる行「大村 益二」がまだあるので、ステップS1004からの繰り返し処理を実施する。   In step S <b> 1008, the inspection processing unit 302 performs the repetitive processing from step S <b> 1004 because there is still a row “Masuji Omura” to be processed.

以下、「大村 益二」、「E−Mail: oomura@chobo−bank.co.jp」、「Tel: XXXXXXX FAX:YYYYYYY」、「長防銀行 本店 営業部」、「長防銀行 本店 営業部」の各行についても同様の処理を行う。   “Masuji Omura”, “E-Mail: oomura@chobo-bank.co.jp”, “Tel: XXXXXX FAX: YYYYYYY”, “Changho Bank Head Office Sales Department”, “Chogo Bank Head Office Sales Department” The same processing is performed for each row.

ステップS1004では、検査処理部302は、ステップS1003で取得した行「以上」に対して、末尾からステップS1008までの繰り返し処理を開始する。   In step S1004, the inspection processing unit 302 starts the iterative processing from the end to step S1008 for the row “above” acquired in step S1003.

ステップS1005では、検査処理部302は、図7の行種別テーブル601を用いて、対象行「以上」の行種別を「本文末」(704に合致)と判定する。   In step S1005, the inspection processing unit 302 determines that the line type of the target line “above” is “end of text” (matches 704) using the line type table 601 in FIG.

ステップS1006では、検査処理部302は、テップS1005の処理の結果、対象行「以上」の行種別が「本文末」と判断されたので、ステップS1009に処理を移す。   In step S1006, the inspection processing unit 302 determines that the line type of the target line “above” is “end of text” as a result of the process of step S1005, and thus moves the process to step S1009.

ステップS1009では、検査処理部302は、ステップS507と同様に、署名部バッファに追加された行(908と同内容)から組織名「長防銀行」を抽出する。   In step S1009, as in step S507, the inspection processing unit 302 extracts the organization name “Chungho Bank” from the line (the same content as 908) added to the signature part buffer.

結果として、電子メール901末尾署名部から、差出人が自称している組織名として「長防銀行」を取得する。   As a result, “Chogo Bank” is acquired from the end signature part of the e-mail 901 as the organization name that the sender himself / herself describes.

(組織詐称判定処理)
次に図11のフローチャートを用いて、ステップS405の組織詐称判定処理について説明する。 (Organization fraud determination processing)
Next, the organization misrepresentation determination process in step S405 will be described using the flowchart of FIG.

ステップS1101では、検査処理部302は、一時領域に結果バッファを確保し初期化する。   In step S1101, the inspection processing unit 302 secures and initializes a result buffer in the temporary area.

ステップS1102では、検査処理部302は、ステップS401で取得した電子メールのヘッダーにおける差出人(From)のアドレスからドメイン部分を差出人ドメインとして取得する。   In step S1102, the inspection processing unit 302 acquires the domain portion as the sender domain from the address of the sender (From) in the header of the email acquired in step S401.

ステップS1103では、検査処理部302は、ステップS402からステップS404で取得した組織名に対して、ステップS1109までの繰り返し処理を開始する。   In step S1103, the examination processing unit 302 starts the iterative process from step S402 to step S1109 on the organization name acquired in step S404.

ステップS1104では、検査処理部302は、組織ドメインテーブル602を用いて、対象の組織名に対するドメインを組織ドメインとして取得する。   In step S1104, the examination processing unit 302 uses the organization domain table 602 to acquire a domain for the target organization name as the organization domain.

ステップS1105では、検査処理部302は、ステップS1104で取得した組織ドメインに対して、ステップS1107までの繰り返し処理を開始する。   In step S1105, the examination processing unit 302 starts the iterative process up to step S1107 for the tissue domain acquired in step S1104.

ステップS1106では、検査処理部302は、対象となる組織ドメインと差出人ドメインを比較し、一致すればステップS1109に処理を移す。一致しなければステップS1107に処理を移す。   In step S1106, the examination processing unit 302 compares the target organization domain and the sender domain, and if they match, the processing moves to step S1109. If not, the process proceeds to step S1107.

ステップS1107では、検査処理部302は、処理対象となる組織ドメインがまだあれば、ステップS1105からの繰り返し処理を実施する。処理対象となる組織ドメインがなければ、ステップS1108に処理を移す。   In step S1107, if there is still a tissue domain to be processed, the examination processing unit 302 performs the repetition processing from step S1105. If there is no organization domain to be processed, the process proceeds to step S1108.

ステップS1108では、検査処理部302は、差出人ドメインと組織名の組み合わせを結果バッファに追加する。   In step S1108, the examination processing unit 302 adds the combination of the sender domain and the organization name to the result buffer.

ステップS1109では、検査処理部302は、処理対象となる組織名がまだあれば、ステップS1103からの繰り返し処理を実施する。処理対象となる行がなければ、処理を終了する。   In step S1109, if there is still an organization name to be processed, the examination processing unit 302 performs the repetition process from step S1103. If there is no line to be processed, the process ends.

結果として、電子メールの本文において組織を自称しているが、差出人アドレスのドメインが、自称した組織が使用するドメインと異なる場合、差出人アドレスと自称した組織の差異を結果バッファに取得する。   As a result, although the organization is self-named in the body of the e-mail, if the domain of the sender address is different from the domain used by the self-named organization, the difference between the sender address and the self-named organization is acquired in the result buffer.

結果バッファが空であれば、差出人ドメインすべてが対応する正当なドメインがあったことを示し詐称がないと判断することが可能となる。結果バッファが空でなければ、差出人のドメインが対応する正当なドメインが存在せず、組織を詐称している可能性が高いことを示しており、組織詐称と判定することが可能となる   If the result buffer is empty, it can be determined that there is no spoofing, indicating that there is a legitimate domain to which all sender domains correspond. If the result buffer is not empty, it indicates that there is no legitimate domain corresponding to the sender's domain, and there is a high possibility that the organization is misrepresented.

(組織詐称判定処理具体例)
次に組織詐称判定処理の具体例として、図9に示す電子メール901に対して図11に示す処理が実施された場合について説明する。 (Specific example of organization fraud determination processing)
Next, the case where the process shown in FIG. 11 is implemented with respect to the electronic mail 901 shown in FIG. 9 is demonstrated as a specific example of the organization fraud determination process.

ステップS1101では、検査処理部302は、一時領域に結果バッファを確保し初期化する。   In step S1101, the inspection processing unit 302 secures and initializes a result buffer in the temporary area.

ステップS1102では、検査処理部302は、電子メール901のヘッダー902おける差出人(From)903のアドレス「oomura@chobo−bank.attacker.com」からドメイン部分「chobo−bank.attacker.com」を差出人ドメインとして取得する。   In step S1102, the inspection processing unit 302 obtains the domain portion “chobo-bank.attacker.com” from the address “omura@chobo-bank.attacker.com” of the sender (From) 903 in the header 902 of the e-mail 901. Get as.

前述した具体例に示したように、ステップS402では「長防銀」を、ステップS403では「長防銀行」を組織名として取得しており、また、ステップS404では、差出人903の実名部から「長防銀行」を抽出しており、組織名としては「長防銀」と「長防銀行」が取得されているものとする。   As shown in the specific example described above, “Chogo Silver” is acquired as the organization name in Step S402 and “Chogo Bank” is acquired in Step S403. In Step S404, the real name part of the sender 903 is acquired from the real name part. It is assumed that “Chao Bank” has been extracted and “Chao Silver” and “Chao Bank” have been acquired as organization names.

ステップS1103では、検査処理部302は、組織名「長防銀」に対して、ステップS1109までの繰り返し処理を開始する。   In step S1103, the inspection processing unit 302 starts the iterative process up to step S1109 with respect to the organization name “long silver prevention”.

ステップS1104では、検査処理部302は、図8の組織ドメインテーブル602を用いて、対象の組織名「長防銀」に対するドメインを組織ドメインとして「chobo−bank.co.jp」を取得する。   In step S1104, the inspection processing unit 302 acquires “chobo-bank.co.jp” using the organization domain table 602 of FIG.

ステップS1105では、検査処理部302は、ステップS1104で取得した組織ドメイン「chobo−bank.co.jp」に対して、ステップS1107までの繰り返し処理を開始する。   In step S1105, the examination processing unit 302 starts the iterative process up to step S1107 for the organization domain “chobo-bank.co.jp” acquired in step S1104.

ステップS1106では、検査処理部302は、対象となる組織ドメイン「chobo−bank.co.jp」と差出人ドメイン「chobo−bank.attacker.com」を比較し、一致しないのでステップS1107に処理を移す。   In step S1106, the examination processing unit 302 compares the target organization domain “chobo-bank.co.jp” with the sender domain “chobo-bank.attacker.com”, and moves to step S1107 because they do not match.

ステップS1107では、検査処理部302は、処理対象となる組織ドメインがないので、ステップS1108に処理を移す。   In step S1107, since there is no organization domain to be processed, the examination processing unit 302 moves the process to step S1108.

ステップS1108では、検査処理部302は、差出人ドメイン「chobo−bank.attacker.com」と組織名「長防銀」の組み合わせを結果バッファに追加する。   In step S1108, the inspection processing unit 302 adds a combination of the sender domain “chobo-bank.attacker.com” and the organization name “Chogo Silver” to the result buffer.

ステップS1109では、検査処理部302は、処理対象となる組織名「長防銀行」がまだあるので、ステップS1103からの繰り返し処理を実施する。   In step S1109, the inspection processing unit 302 performs the repetitive processing from step S1103 because there is still an organization name “Changho Bank” to be processed.

ステップS1103では、検査処理部302は、組織名「長防銀行」に対して、ステップS1109までの繰り返し処理を開始する。   In step S1103, the inspection processing unit 302 starts the iterative process up to step S1109 for the organization name “Changho Bank”.

ステップS1104では、検査処理部302は、図8の組織ドメインテーブル602を用いて、対象の組織名「長防銀行」に対するドメインを組織ドメインとして「chobo−bank.co.jp」を取得する。   In step S1104, the inspection processing unit 302 uses the organization domain table 602 in FIG. 8 to obtain “chobo-bank.co.jp” with the domain for the target organization name “Changho Bank” as the organization domain.

ステップS1105では、検査処理部302は、ステップS1104で取得した組織ドメイン「chobo−bank.co.jp」に対して、ステップS1107までの繰り返し処理を開始する。   In step S1105, the examination processing unit 302 starts the iterative process up to step S1107 for the organization domain “chobo-bank.co.jp” acquired in step S1104.

ステップS1106では、検査処理部302は、対象となる組織ドメイン「chobo−bank.co.jp」と差出人ドメイン「chobo−bank.attacker.com」を比較し、一致しないのでステップS1107に処理を移す。   In step S1106, the examination processing unit 302 compares the target organization domain “chobo-bank.co.jp” with the sender domain “chobo-bank.attacker.com”, and moves to step S1107 because they do not match.

ステップS1107では、検査処理部302は、処理対象となる組織ドメインがないので、ステップS1108に処理を移す。   In step S1107, since there is no organization domain to be processed, the examination processing unit 302 moves the process to step S1108.

ステップS1108では、検査処理部302は、差出人ドメイン「chobo−bank.attacker.com」と組織名「長防銀行」の組み合わせを結果バッファに追加する。   In step S1108, the inspection processing unit 302 adds a combination of the sender domain “chobo-bank.attacker.com” and the organization name “Changho Bank” to the result buffer.

ステップS1109では、検査処理部302は、処理対象となる組織名がもうないので、処理を終了する。   In step S1109, the examination processing unit 302 ends the process because there is no more organization name to be processed.

結果として、一時領域の結果バッファに、差出人ドメイン「chobo−bank.attacker.com」、組織名「長防銀」の組と差出人ドメイン「chobo−bank.attacker.com」、組織名「長防銀行」の組の2つの組み合わせを取得する   As a result, in the temporary area result buffer, the sender domain “chobo-bank.attacker.com”, the organization name “Chogo Silver” and the sender domain “chobo-bank.attacker.com”, the organization name “Chobo Bank To get two combinations of

(メール閲覧処理)
次に、検査処理部302がメール検査処理により取得した結果バッファの情報を用いて、閲覧処理部304が、ユーザに対して、電子メールの内容を表示するとともに、組織を詐称していると判定した根拠となる箇所を強調することで、詐称の有無の判断を促すためのメール閲覧画面の一例を図12に示す。 (Mail browsing process)
Next, using the result buffer information acquired by the inspection processing unit 302 through the mail inspection processing, the browsing processing unit 304 displays the content of the e-mail to the user and determines that the organization is misrepresented. FIG. 12 shows an example of a mail browsing screen for encouraging the determination of the presence or absence of misrepresentation by emphasizing the location that is the basis for the above.

図12に示すメール閲覧画面では、検査処理部302で取得した結果バッファに含まれる組織名と、組織名に対する組織ドメインを強調表示する。また、結果バッファに含まれる差出人ドメインを異なる表現で強調表示する。結果として、組織名に対応していないドメインが別の表現で表示されるため、ユーザは組織が詐称されていることを容易に理解できるようになる。   In the mail browsing screen shown in FIG. 12, the organization name included in the result buffer acquired by the examination processing unit 302 and the organization domain for the organization name are highlighted. Also, the sender domain included in the result buffer is highlighted with different expressions. As a result, since the domain that does not correspond to the organization name is displayed in another expression, the user can easily understand that the organization is spoofed.

本発明の実施形態においては、電子メールに挨拶部や署名部がない場合は、組織名が抽出できず、警告を行わないが、挨拶部や署名部など自称している箇所がないことを警告するように構成してもよい。   In the embodiment of the present invention, if there is no greeting part or signature part in the e-mail, the organization name cannot be extracted and no warning is given. You may comprise.

また、本発明の実施形態においては、電子メールのヘッダーに記載された差出人(From)のアドレスを対象として説明したが、実際の差出人アドレス(エンベロープFrom)を対象とするように構成してもよい。   In the embodiment of the present invention, the address of the sender (From) described in the header of the e-mail has been described as an object. However, an actual sender address (envelope From) may be configured. .

以上、情報処理装置としての実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能である。具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。   The embodiment as the information processing apparatus has been described above, but the present invention can take an embodiment as a system, apparatus, method, program, recording medium, or the like. Specifically, the present invention may be applied to a system composed of a plurality of devices, or may be applied to an apparatus composed of a single device.

また、本発明におけるプログラムは、図4、図5、図10、図11に示すフローチャートの処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図4、図5、図10、図11の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは図4、図5、図10、図11の各装置の処理方法ごとのプログラムであってもよい。   The program according to the present invention is a program that allows a computer to execute the processing methods of the flowcharts shown in FIGS. 4, 5, 10, and 11, and the storage medium according to the present invention is illustrated in FIGS. A program capable of being executed by the computer in the processing method of FIG. 11 is stored. Note that the program in the present invention may be a program for each processing method of each apparatus in FIGS. 4, 5, 10, and 11.

以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読み出し、実行することによっても本発明の目的が達成されることは言うまでもない。   As described above, a recording medium that records a program that implements the functions of the above-described embodiments is supplied to a system or apparatus, and a computer (or CPU or MPU) of the system or apparatus stores the program stored in the recording medium. It goes without saying that the object of the present invention can also be achieved by reading and executing.

この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記録した記録媒体は本発明を構成することになる。   In this case, the program itself read from the recording medium realizes the novel function of the present invention, and the recording medium recording the program constitutes the present invention.

プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、磁気テープ、不揮発性のメモリカード、ROM、EEPROM、シリコンディスク等を用いることが出来る。   As a recording medium for supplying the program, for example, a flexible disk, hard disk, optical disk, magneto-optical disk, CD-ROM, CD-R, DVD-ROM, magnetic tape, nonvolatile memory card, ROM, EEPROM, silicon A disk or the like can be used.

また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。   Further, by executing the program read by the computer, not only the functions of the above-described embodiments are realized, but also an OS (operating system) operating on the computer based on an instruction of the program is actually It goes without saying that a case where the function of the above-described embodiment is realized by performing part or all of the processing and the processing is included.

さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。   Furthermore, after the program read from the recording medium is written to the memory provided in the function expansion board inserted into the computer or the function expansion unit connected to the computer, the function expansion board is based on the instructions of the program code. It goes without saying that the case where the CPU or the like provided in the function expansion unit performs part or all of the actual processing and the functions of the above-described embodiments are realized by the processing.

また、本発明は、複数の機器から構成されるシステムに適用しても、ひとつの機器から成る装置に適用しても良い。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。   The present invention may be applied to a system constituted by a plurality of devices or an apparatus constituted by a single device. Needless to say, the present invention can be applied to a case where the present invention is achieved by supplying a program to a system or apparatus. In this case, by reading a recording medium storing a program for achieving the present invention into the system or apparatus, the system or apparatus can enjoy the effects of the present invention.

さらに、本発明を達成するためのプログラムをネットワーク上のサーバ、データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。   Furthermore, by downloading and reading a program for achieving the present invention from a server, database, etc. on a network using a communication program, the system or apparatus can enjoy the effects of the present invention. In addition, all the structures which combined each embodiment mentioned above and its modification are also included in this invention.

100 組織詐称メール検査装置(情報処理装置)
120 メールサーバ
100 Organizational spoofing email inspection device (information processing device)
120 mail server

Claims (7)

組織名と電子メールの送信元に係る情報とを対応付けて記憶するコンピュータを、
受信した電子メールの本文について、行ごとに行種別を特定する行種別特定手段と、
前記行種別特定手段により特定された行種別が所定の行種別である行から組織名を抽出する抽出手段と、
前記抽出手段により抽出された組織名に対応付けて記憶された送信元に係る情報を特定する特定手段と、
前記特定手段により特定された送信元に係る情報と、当該電子メールの送信元に係る情報とが一致しない場合、警告を通知する通知手段として機能させるためのプログラム。 A computer that stores an organization name and information related to an email transmission source in association with each other .
A line type specifying means for specifying a line type for each line of the received email body;
Extracting means for extracting an organization name from a line whose line type specified by the line type specifying means is a predetermined line type ;
Identifying means for identifying information relating to a transmission source stored in association with the organization name extracted by the extracting means ;
A program for causing a function to function as a notification unit that notifies a warning when the information related to the transmission source specified by the specifying unit and the information related to the transmission source of the electronic mail do not match . 前記抽出手段を、前記行種別特定手段により、行種別が名乗りとして特定された行から組織名を抽出する手段として機能させるための請求項1に記載のプログラム。  The program according to claim 1, wherein the extracting unit functions as a unit that extracts an organization name from a row whose row type is specified as a name by the row type specifying unit. 前記抽出手段を、前記行種別特定手段により、行種別が署名部として特定された行から組織名を抽出する手段として機能させるための請求項1または2に記載のプログラム。  The program according to claim 1 or 2, wherein the extraction unit functions as a unit that extracts an organization name from a row whose row type is specified as a signature part by the row type specifying unit. 前記抽出手段を、前記電子メールのヘッダ情報から組織名を抽出する手段として機能させるための請求項1乃至3のいずれか1項に記載のプログラム。 The program according to any one of claims 1 to 3, which causes the extraction unit to function as a unit that extracts an organization name from header information of the electronic mail. 前記通知手段を、前記抽出手段により抽出された組織名から特定される送信元と、当該電子メールの送信元とを異なる形態で表示することで、警告を通知する手段として機能させるための請求項1乃至4のいずれか1項に記載のプログラム。   Claims for causing the notification means to function as means for notifying a warning by displaying the transmission source specified from the organization name extracted by the extraction means and the transmission source of the e-mail in different forms. The program according to any one of 1 to 4. 組織名と電子メールの送信元に係る情報とを対応付けて記憶する記憶手段と、
受信した電子メールの本文について、行ごとに行種別を特定する行種別特定手段と、
前記行種別特定手段により特定された行種別が所定の行種別である行から組織名を抽出する抽出手段と、
前記抽出手段により抽出された組織名に対応付けて記憶された送信元に係る情報を特定する特定手段と、
前記特定手段により特定された送信元に係る情報と、当該電子メールの送信元に係る情報とが一致しない場合、警告を通知する通知手段と、
を備えることを特徴とする情報処理装置。 Storage means for storing an organization name and information related to an email transmission source in association with each other;
A line type specifying means for specifying a line type for each line of the received email body;
Extracting means for extracting an organization name from a line whose line type specified by the line type specifying means is a predetermined line type ;
Identifying means for identifying information relating to a transmission source stored in association with the organization name extracted by the extracting means ;
A notification means for notifying a warning when the information related to the transmission source specified by the specifying means and the information related to the transmission source of the e-mail do not match ;
An information processing apparatus comprising: 組織名と電子メールの送信元に係る情報とを対応付けて記憶する情報処理装置における情報処理方法であって、
前記情報処理装置の行種別特定手段が、受信した電子メールの本文について、行ごとに行種別を特定する行種別特定工程と、
前記情報処理装置の抽出手段が、前記行種別特定工程により特定された行種別が所定の行種別である行から組織名を抽出する抽出工程と、
前記情報処理装置の特定手段が、前記抽出工程により抽出された組織名に対応付けて記憶された送信元に係る情報を特定する特定工程と、
前記情報処理装置の通知手段が、前記特定工程により特定された送信元に係る情報と、当該電子メールの送信元に係る情報とが一致しない場合、警告を通知する通知工程と、
を備えることを特徴とする情報処理方法。
 An information processing method in an information processing apparatus that stores an organization name and information related to an email transmission source in association with each other,
The row type specifying unit of the information processing apparatus specifies a row type for each row of the received e-mail body, and a row type specifying step;
An extraction step in which the extraction means of the information processing apparatus extracts an organization name from a row whose row type specified by the row type specifying step is a predetermined row type ;
A specifying step of specifying information relating to a transmission source stored in association with the organization name extracted by the extraction step, by the specifying unit of the information processing device ;
A notification step of notifying the information processing device when the information related to the transmission source specified in the specifying step and the information related to the transmission source of the e-mail do not match ;
An information processing method comprising:
JP2017230618A 2017-11-30 2017-11-30 Information processing apparatus, information processing method, and program Active JP6493497B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017230618A JP6493497B1 (en) 2017-11-30 2017-11-30 Information processing apparatus, information processing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017230618A JP6493497B1 (en) 2017-11-30 2017-11-30 Information processing apparatus, information processing method, and program

Publications (2)

Publication Number Publication Date
JP6493497B1 true JP6493497B1 (en) 2019-04-03
JP2019101656A JP2019101656A (en) 2019-06-24

Family

ID=65999157

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017230618A Active JP6493497B1 (en) 2017-11-30 2017-11-30 Information processing apparatus, information processing method, and program

Country Status (1)

Country Link
JP (1) JP6493497B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7270585B2 (en) * 2020-08-27 2023-05-10 ユーソナー株式会社 Information management system, information management program and information management method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004127145A (en) * 2002-10-07 2004-04-22 Nec Corp E-mail order placement/reception method, device, system and program
JP2007193717A (en) * 2006-01-23 2007-08-02 Mixa Kk Emailing method and emailing program
JP4998302B2 (en) * 2008-02-05 2012-08-15 日本電気株式会社 Mail misdelivery prevention system, mail misdelivery prevention method, and mail misdelivery prevention program
JP5486452B2 (en) * 2010-09-30 2014-05-07 ニフティ株式会社 Web mail server

Also Published As

Publication number Publication date
JP2019101656A (en) 2019-06-24

Similar Documents

Publication Publication Date Title
KR101298879B1 (en) Reduced traceability electronic message system and method
US9749312B2 (en) Systems and methods for secure password entry
US8010996B2 (en) Authentication seal for online applications
US20080046738A1 (en) Anti-phishing agent
US11336610B2 (en) Email sender and reply-to authentication to prevent interception of email replies
TW201414260A (en) Malicious message detection and processing
WO2016082718A1 (en) Information access processing method and device
US8141150B1 (en) Method and apparatus for automatic identification of phishing sites from low-level network traffic
KR102146586B1 (en) Providing consistent security information
US9813412B1 (en) Scanning of password-protected e-mail attachment
EP2919422A1 (en) Method and device for detecting spoofed messages
JP6493497B1 (en) Information processing apparatus, information processing method, and program
JP4429971B2 (en) Legitimate site verification method, apparatus, and program
JP5486452B2 (en) Web mail server
JP5197681B2 (en) Login seal management system and management server
JP2008234437A (en) Electronic mail incorrect transmission prevention device and electronic mail incorrect transmission prevention method and program
US11329936B1 (en) Visual representation of sender domain information and e-mail routing
JP2018180871A (en) Electronic mail processing device and electronic mail processing program
JP7068587B2 (en) Information processing equipment, information processing method, program
US20210264430A1 (en) Message Processing Platform for Automated Phish Detection
JP6531793B2 (en) INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND PROGRAM
JP2020095304A (en) Information processing apparatus, information processing system, control method thereof, and program
WO2023162136A1 (en) Information processing device, method, and program
JP4809322B2 (en) Server for detecting buzz information and advertisement distribution server
JP7338004B2 (en) E-mail confirmation device, information processing method, and program

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20180703

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181016

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181016

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20181031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181120

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20190115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190218

R151 Written notification of patent or utility model registration

Ref document number: 6493497

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250