JP6493497B1 - Information processing apparatus, information processing method, and program - Google Patents
Information processing apparatus, information processing method, and program Download PDFInfo
- Publication number
- JP6493497B1 JP6493497B1 JP2017230618A JP2017230618A JP6493497B1 JP 6493497 B1 JP6493497 B1 JP 6493497B1 JP 2017230618 A JP2017230618 A JP 2017230618A JP 2017230618 A JP2017230618 A JP 2017230618A JP 6493497 B1 JP6493497 B1 JP 6493497B1
- Authority
- JP
- Japan
- Prior art keywords
- organization name
- organization
- transmission source
- row
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】 電子メール本文から特定される組織と差出人のアドレスとに基づき注意喚起をすることで、標的型攻撃メールによる被害を防ぐこと
【解決手段】 受信した電子メールの本文から組織名を抽出し、抽出された組織名に対応するドメインを特定する。特定されたドメインと、前記電子メールの差出人アドレスのドメインとに基づき、組織詐称の可能性を通知する。
【選択図】 図1[PROBLEMS] To prevent damage by targeted attack emails by alerting based on the organization specified from the email text and the sender's address [Solution] Extract the organization name from the text of the received email Identify the domain corresponding to the extracted organization name. Based on the identified domain and the domain of the sender address of the e-mail, the possibility of organization spoofing is notified.
[Selection] Figure 1
Description
本発明は、情報処理装置、情報処理方法、プログラムに関する。 The present invention relates to an information processing apparatus, an information processing method, and a program.
近年、特定の組織や人物から金銭や重要情報の窃取を目的とした標的型攻撃が増加している。標的型攻撃では、目的を達成するために、標的となる組織や人物に特化した情報に基づき、多様な手法を組み合わせて攻撃が行われる。 In recent years, targeted attacks for the purpose of stealing money and important information from specific organizations and persons are increasing. In the targeted attack, in order to achieve the objective, the attack is performed by combining various methods based on information specialized for the target organization or person.
標的型攻撃における初期侵入手段としては、標的型攻撃メールと呼ばれる電子メールを用いる方法が典型的である。標的型攻撃メールでは、標的となる受信者の興味を引く内容や、受信者が自身と関連があると誤認する内容を本文に記載し、電子メールに添付したファイルや記載されたリンク先に仕込まれた不正プログラムを実行させることを狙う。標的が不正プログラムを実行してしまうとバッグドアが設置され更なる攻撃の侵入口となってしまう。 As an initial intrusion means in a targeted attack, a method using electronic mail called a targeted attack mail is typical. In targeted attack emails, the content that attracts the interest of the targeted recipient or the content that the recipient misidentifies as being related to the subject is described in the main text, and the file is attached to the email or the linked destination It aims to execute the malicious program. If the target executes a malicious program, a bag door is installed and becomes an entry point for further attacks.
標的型攻撃メールには大きく分けて2つの種類がある。1つめは、特定の個人を標的とした「やりとり型攻撃」であり、2つめは、多くの人に当てはまる属性に関する内容のメールを不特定多数に送信することで、特定の属性を持つ人を標的とする「ばらまき型攻撃」である。 There are two types of targeted attack emails. The first is an “interactive attack” that targets specific individuals, and the second is to send people with specific attributes by sending an email about the attributes that apply to many people to an unspecified number of people. The target is a “scattering attack”.
「ばらまき型攻撃」では、多くの人に当てはまる属性が使われるため、利用者の多いサービスや商品を扱う組織からの通知や連絡を偽装することが多い。 In “scattering attacks”, attributes that apply to many people are used, so notifications and communications from organizations that handle services and products with many users are often disguised.
詐称される組織は、一般的に認知度、信頼度ともに高く、標的となったユーザは組織の名前だけで無条件に信頼してしまいがちである。また、メールアドレスやURLが実際に該当組織に所属することを判断するには、メールアドレスはURLにおいて組織に対応するドメイン部から判断する必要があり、一般的なユーザには難しい。 An organization that is misrepresented generally has a high level of recognition and reliability, and a target user tends to trust unconditionally only by the name of the organization. Further, in order to determine that a mail address or URL actually belongs to the corresponding organization, it is necessary to determine the mail address from the domain part corresponding to the organization in the URL, which is difficult for general users.
特許文献1には、電子メール本文に記載されたURLと、予め登録されている組織名を抽出し、抽出したURLと組織名の位置関係からそれらを関連付け、組織名に関連づけられた抽出URLが予め組織名と関連付けられたURLリストに含まれているかにより正当性を判定する技術が開示されている。 In Patent Document 1, a URL described in an e-mail body and an organization name registered in advance are extracted, and the extracted URL and the organization name are associated with each other based on the positional relationship between the extracted URL and the organization name. A technique for determining validity based on whether a URL is previously included in a URL list associated with an organization name is disclosed.
また、特許文献2には、電子メール本文に記載されたURLを抽出し、URLのドメインと電子メールの差出人アドレスのドメインを比較し、一致しなければ警告を発する技術が開示されている。 Patent Document 2 discloses a technique for extracting a URL described in the body of an email, comparing the URL domain and the sender address domain of the email, and issuing a warning if they do not match.
特許文献1および特許文献2ともにフィッシング対策の技術でありURLの正当性を検証する手段となっており、メールによる詐欺そのものを判定しているわけではないため、添付ファイルによる攻撃には対応できないという課題がある。 Both Patent Document 1 and Patent Document 2 are anti-phishing technologies and are means for verifying the legitimacy of URLs, and because they do not determine fraud by email itself, they cannot respond to attacks by attached files. There are challenges.
また、特許文献2は、攻撃者が正当なアドレスを用いて、差出人を詐称している場合には有効ではあるが、攻撃者が正当なアドレスと誤認するようなドメインを使用し、URLと差出人アドレスのドメインが一致している場合は、検出することができないという課題がある。 Patent Document 2 is effective when an attacker uses a legitimate address to misrepresent the sender, but uses a domain that the attacker misidentifies as a legitimate address. If the domain of the address matches, there is a problem that it cannot be detected.
そのため、受信した電子メールが、本文冒頭における名乗りや末尾の署名において自称している組織の正当なアドレスから送信されたか否かを判定できることが望まれる。 Therefore, it is desirable to be able to determine whether or not the received electronic mail has been transmitted from a legitimate address of the organization that is self-proclaimed in the name identification or the signature at the end of the text.
そこで、本発明は、電子メール本文から特定される組織と差出人のアドレスとに基づき注意喚起をすることで、標的型攻撃メールによる被害を防ぐことを目的とする。 Therefore, an object of the present invention is to prevent damage caused by targeted attack emails by calling attention based on the organization specified from the body of the email and the address of the sender.
本発明の情報処理装置は、電子メール本文から組織名を抽出する抽出手段と、前記抽出手段により抽出された組織名に対応するドメインを特定するドメイン特定手段と、前記ドメイン特定手段により特定されたドメインと、前記電子メールの差出人アドレスのドメインとに基づき、組織詐称の可能性を通知する通知手段と、を備えることを特徴とする。 An information processing apparatus according to the present invention includes an extraction unit that extracts an organization name from an e-mail body, a domain identification unit that identifies a domain corresponding to the organization name extracted by the extraction unit, and a domain identification unit And a notification means for notifying the possibility of organization fraud based on the domain and the domain of the sender address of the e-mail.
本発明によれば、電子メール本文から特定される組織と差出人のアドレスとに基づき注意喚起をすることで、標的型攻撃メールによる被害を防ぐことが可能となる。 According to the present invention, it is possible to prevent damages due to targeted attack emails by calling attention based on the organization specified from the email text and the address of the sender.
以下、図面を参照して、本発明の実施形態を詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
図1は、本発明の実施形態における組織詐称メール検査装置のシステム構成の一例を示す図である。 FIG. 1 is a diagram illustrating an example of a system configuration of an organization spoofing mail inspection apparatus according to an embodiment of the present invention.
組織詐称メール検査装置100と、メールサーバ120とは、ローカルエリアネットワーク130を介して接続される構成となっている。またメールサーバ120は、外部ネットワーク140に接続可能な構成となっている。
The organization spoofing
組織詐称メール検査装置100は、一般的な電子メールクライアントの機能を持ち、電子メールの閲覧機能とメールサーバからの受信機能を有する。
The organization spoofing
更に、受信した電子メールを表示する際に、表示する電子メールに対する組織詐称の有無の判定を行ない、電子メールが組織詐称の可能性があると判断された場合、電子メールの組織詐称箇所を強調表示し目視確認を促す。 Furthermore, when displaying the received e-mail, it is determined whether or not there is any organization misrepresentation for the e-mail to be displayed. Display and prompt visual confirmation.
メールサーバ120は一般的なメールの受信サーバ(POP3またはIMAPサーバ)であり、外部またはローカルの送信先から受け取ったメールを電子メールクライアントの要求に応じて転送する。
The
本実施形態では、組織詐称メール検査装置を電子メールクライアントとした場合について説明するが、ゲートウェイ型の電子メール監査システムやWebメールシステムとして実施しても構わない。 In the present embodiment, a case where the organization spoofing mail inspection apparatus is an e-mail client will be described, but it may be implemented as a gateway-type e-mail audit system or a Web mail system.
図2は、本発明の実施形態における組織詐称メール検査装置(情報処理装置)100のハードウェア構成の一例を示すブロック図である。 FIG. 2 is a block diagram illustrating an example of a hardware configuration of the organization spoofing mail inspection apparatus (information processing apparatus) 100 according to the embodiment of this invention.
図2に示すように、情報処理装置は、システムバス204を介してCPU(Central Processing Unit)201、ROM(Read Only Memory)202、RAM(Random Access Memory)203、入力コントローラ205、ビデオコントローラ206、メモリコントローラ207、よび通信I/Fコントローラ208が接続される。
As shown in FIG. 2, the information processing apparatus includes a CPU (Central Processing Unit) 201, a ROM (Read Only Memory) 202, a RAM (Random Access Memory) 203, an
CPU201は、システムバス204に接続される各デバイスやコントローラを統括的に制御する。
The
ROM202あるいは外部メモリ211は、CPU201が実行する制御プログラムであるBIOS(Basic Input/Output System)やOS(Operating System)や、本情報処理方法を実現するためのコンピュータ読み取り実行可能なプログラムおよび必要な各種データ(データテーブルを含む)を保持している。
The
RAM203は、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードし、ロードしたプログラムを実行することで各種動作を実現する。
The
入力コントローラ205は、キーボード209や不図示のマウス等のポインティングデバイス等の入力装置からの入力を制御する。入力装置がタッチパネルの場合、ユーザがタッチパネルに表示されたアイコンやカーソルやボタンに合わせて押下(指等でタッチ)することにより、各種の指示を行うことができることとする。
The
また、タッチパネルは、マルチタッチスクリーンなどの、複数の指でタッチされた位置を検出することが可能なタッチパネルであってもよい。 The touch panel may be a touch panel capable of detecting a position touched with a plurality of fingers, such as a multi-touch screen.
ビデオコントローラ206は、ディスプレイ210などの外部出力装置への表示を制御する。ディスプレイは本体と一体になったノート型パソコンのディスプレイも含まれるものとする。なお、外部出力装置はディスプレイに限ったものははく、例えばプロジェクタであってもよい。また、前述のタッチ操作を受け付け可能な装置については、入力装置も提供する。
The
なおビデオコントローラ206は、表示制御を行うためのビデオメモリ(VRAM)を制御することが可能で、ビデオメモリ領域としてRAM203の一部を利用することもできるし、別途専用のビデオメモリを設けることも可能である。
Note that the
メモリコントローラ207は、外部メモリ211へのアクセスを制御する。外部メモリとしては、ブートプログラム、各種アプリケーション、フォントデータ、ユーザファイル、編集ファイル、および各種データ等を記憶する外部記憶装置(ハードディスク)、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等を利用可能である。
The
通信I/Fコントローラ209は、ネットワークを介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信やISDNなどの電話回線、および携帯電話の3G回線を用いた通信が可能である。
The communication I /
尚、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上での表示を可能としている。また、CPU201は、ディスプレイ210上の不図示のマウスカーソル等でのユーザ指示を可能とする。
Note that the
次に図3を用いて、組織詐称メール検査装置(情報処理装置)の機能について説明する。 Next, the function of the organization fraud mail inspection device (information processing device) will be described with reference to FIG.
一覧表示部301は、メールサーバ120から受信した電子メールを表示部に一覧表示する機能を備える。一覧表示された電子メールに対する選択を受け付ける(閲覧要求を受け付ける)ことで、図4のフローチャートで示す処理が実行される。
The
検査処理部302は、図4、図5、図10、図11のフローチャートで示す処理を実行する機能を備える。詳細は、各フローチャートを用いて説明する。
The
判定知識保存領域は、図7、図8に示すデータが保存された領域である。 The judgment knowledge storage area is an area in which data shown in FIGS. 7 and 8 is stored.
閲覧処理部304は、閲覧要求を受け付けた電子メールを表示する機能を備え、組織詐称の可能性がある旨の通知等を行う機能を備える
The
(メール検査処理)
次に図4のフローチャートを用いて、本発明の実施形態における検査処理部302が実行する電子メールの検査処理について説明する。
(Mail inspection process)
Next, an e-mail inspection process executed by the
図4のフローチャートは、組織詐称メール検査装置100のCPU201が所定の制御プログラムを読み出して実行する処理であり、一覧表示部301において閲覧を指示された電子メールを表示する前に実行される処理を示すフローチャートである。
The flowchart of FIG. 4 is a process in which the
ステップS401では、検査処理部302は、メール受信処理部301で閲覧を指示された電子メールを取得する。
In step S <b> 401, the
ステップS402では、検査処理部302は、ステップS401で受け取った電子メールから電子メール本文冒頭の挨拶部を特定し、挨拶部に記述されている組織名を抽出する。本ステップの処理の詳細は、図5のフローチャートを用いて後述する。
In step S402, the
ステップS403では、検査処理部302は、ステップS401で受け取った電子メールから電子メール本文末尾の署名部を特定し、署名部に記述されている組織名を抽出する。本ステップの処理の詳細は、図10のフローチャートを用いて後述する。
In step S403, the
ステップS404では、検査処理部302は、電子メールヘッダの差出人のフィールド(From)の実名部から組織名を抽出する。
In step S404, the
ステップS405では、検査処理部302は、ステップS402からS404で取得した組織名と差出人アドレスから組織詐称の有無を判定する。本ステップの処理の詳細は、図11のフローチャートを用いて後述する
In step S405, the
(挨拶部組織名抽出処理)
次に図5のフローチャートを用いて、ステップS402の挨拶部組織名抽出処理について説明する。
(Greeting department organization name extraction process)
Next, the greeting part organization name extraction process in step S402 will be described with reference to the flowchart of FIG.
ステップS501では、検査処理部302は、ステップS401で取得した電子メールの本文から空行と引用行を除去する。引用行は、返信メールや転送メール等において、返信元のメールや転送元のメールに記載されていた部分である。行頭に「>」が付されていること等に基づき判断することが可能である。
In step S501, the
ステップS502では、検査処理部302は、ステップS501で空行と引用行が除去された本文の先頭から規定数だけ行を取得する。
In step S502, the
ステップS503では、検査処理部302は、ステップS502で取得した行に対して、ステップS508までの繰り返し処理を開始する。
In step S503, the
ステップS504では、検査処理部302は、図6に示す判定知識保存領域303における行種別テーブル601を用いて、対象の行の種別を判定する。
In step S504, the
行種別の判断は、行種別テーブル601に登録されたパターン(正規表現)に合致した種別と判断される。合致するパターンがない場合、種別は「なし」とする。行種別テーブル601の一例を図7に示す。 The line type is determined as a type that matches the pattern (regular expression) registered in the line type table 601. If there is no matching pattern, the type is “none”. An example of the row type table 601 is shown in FIG.
本発明の実施形態では、正規表現を用いたが、単語や特定文字列の出現頻度や割合などにより判断するように構成しても構わない。 In the embodiment of the present invention, a regular expression is used. However, a determination may be made based on the appearance frequency or ratio of words or specific character strings.
ステップS505では、検査処理部302は、ステップS504の処理の結果、対象行の行種別が「挨拶」「宛名」「名乗り」のいずれかと判定された場合は、ステップS506に処理を移す。行種別が「挨拶」「宛名」「名乗り」のいずれでもないと判断された場合、処理を終了する。
In step S505, the
ステップS506では、検査処理部302は、テップS504の処理の結果、対象行の行種別が「名乗り」と判定された場合は、ステップS507に処理を移す。行種別が「名乗り」でないと判断された場合、ステップS508に処理を移す。
In step S506, the
ステップS507では、検査処理部302は、対象の行から組織名を抽出し、処理を終了する。
In step S507, the
組織名の抽出については、詳細は省略するが、判定知識保存領域303における組織ドメインテーブル602における「組織名」および「別名・ブランド名」に登録されている文字列を抽出する。組織ドメインテーブル602の一例を図8に示す。
Although the details of the extraction of the organization name are omitted, character strings registered in “organization name” and “alias / brand name” in the organization domain table 602 in the determination
ステップS508では、検査処理部302は、処理対象となる行がまだあれば、ステップS503からの繰り返し処理を実施する。処理対象となる行がなければ、処理を終了する。
In step S508, the
結果として、電子メール冒頭の挨拶部分で、差出人が自称している組織名を取得する As a result, in the greeting part at the beginning of the email, get the name of the organization that the sender is referring to
(挨拶部組織名抽出処理具体例)
次に挨拶部組織名抽出処理の具体例として、図9に示す電子メール901に対して図5に示す処理が実施された場合について説明する。
(Example of greeting department organization name extraction process)
Next, a case where the process shown in FIG. 5 is performed on the
ステップS501では、検査処理部302は、電子メール901の本文904から空行と引用行を除去する。
In step S501, the
ステップS502では、検査処理部302は、ステップS501で空行と引用行が除去された本文904の先頭から規定数だけ行を取得する(905)。本具体例では規定数を5とする。
In step S502, the
ステップS503では、検査処理部302は、ステップS502で取得した行「ニューセレクト 近藤様」に対して、ステップS508までの繰り返し処理を開始する。
In step S503, the
ステップS504では、検査処理部302は、図7の行種別テーブル601を用いて、対象の行「ニューセレクト 近藤様」の種別を「宛名」(701に合致)と判定する。
In step S504, the
ステップS505では、検査処理部302は、ステップS504の処理の結果、対象行の行種別が「宛名」と判定されたので、ステップS506に処理を移す。
In step S505, the
ステップS506では、検査処理部302は、テップS504の処理の結果、対象行の行種別が「宛名」と判定されたので、ステップS508に処理を移す。
In step S506, the
ステップS508では、検査処理部302は、処理対象となる行「お世話になっております。」があるので、ステップS503からの繰り返し処理を実施する。
In step S508, the
ステップS503では、検査処理部302は、次の行「お世話になっております。」に対して、ステップS508までの繰り返し処理を開始する。
In step S503, the
ステップS504では、検査処理部302は、図7の行種別テーブル601を用いて、対象の行「お世話になっております。」の種別を「挨拶」(702に合致)と判定する。
In step S504, the
ステップS505では、検査処理部302は、ステップS504の処理の結果、対象行の行種別が「挨拶」と判定されたので、ステップS506に処理を移す。
In step S505, the
ステップS506では、検査処理部302は、テップS504の処理の結果、対象行の行種別が「挨拶」と判定されたので、ステップS508に処理を移す。
In step S506, the
ステップS508では、検査処理部302は、処理対象となる行「長防銀の大村です。」がまだあるので、ステップS503からの繰り返し処理を実施する。
In step S508, the
ステップS503では、検査処理部302は、次の行「長防銀の大村です。」に対して、ステップS508までの繰り返し処理を開始する。
In step S503, the
ステップS504では、検査処理部302は、図7の行種別テーブル601を用いて、対象の行「長防銀の大村です。」の種別を「名乗り」(703に合致)と判定する。
In step S504, the
ステップS505では、検査処理部302は、ステップS504の処理の結果、対象行「長防銀の大村です。」の行種別が「名乗り」と判定されたので、ステップS506に処理を移す。
In step S505, as a result of the processing in step S504, the
ステップS506では、検査処理部302は、テップS504の処理の結果、対象行「長防銀の大村です。」の行種別が「名乗り」と判定されたので、ステップS507に処理を移す。
In step S506, as a result of the processing in step S504, the
ステップS507では、検査処理部302は、対象の行「長防銀の大村です。」から組織名「長防銀」(801に合致)を抽出し、処理を終了する。
In step S507, the
結果として、電子メール901冒頭から、差出人が自称している組織名として「長防銀」を取得する
As a result, from the beginning of the
(署名部組織名抽出処理)
次に図10のフローチャートを用いて、ステップS403の署名部組織名抽出処理について説明する。
(Signature department organization name extraction process)
Next, the signature part organization name extraction process in step S403 will be described with reference to the flowchart of FIG.
ステップS1001では、検査処理部302は、一時領域に署名部バッファを確保し初期化する。
In step S1001, the
ステップS1002では、検査処理部302は、ステップS401で取得した電子メールの本文から空行と引用行を除去する。
In step S1002, the
ステップS1003では、検査処理部302は、ステップS1002で空行と引用行が除去された本文の末尾から規定数だけ行を取得する。
In step S1003, the
ステップS1004では、検査処理部302は、ステップS1003で取得した行に対して、末尾からステップS1008までの繰り返し処理を開始する。
In step S1004, the
ステップS1005では、検査処理部302は、ステップS504と同様に、判定知識保存領域303における行種別テーブル601を用いて、対象行の行種別を判定する。
In step S1005, the
ステップS1006では、検査処理部302は、テップS1005の処理の結果、対象行の行種別が「本文」または「本文末」と判定された場合は、ステップS1009に処理を移す。行種別が「本文」または「本文末」でないと判断された場合、ステップS1007に処理を移す。
In step S1006, if the result of step S1005 determines that the line type of the target line is “text” or “end of text”, the
ステップS1007では、検査処理部302は、対象行を署名バッファに追加する。
In step S1007, the
ステップS1008では、検査処理部302は、処理対象となる行がまだあれば、ステップS1004からの繰り返し処理を実施する。処理対象となる行がなければ、ステップS1009に処理を移す。
In step S1008, the
ステップS1009では、検査処理部302は、ステップS507と同様に、署名部バッファに追加された行から組織名を抽出する。
In step S1009, the
結果として、電子メール末尾の署名部分で、差出人が自称している組織名を取得する As a result, in the signature part at the end of the email, get the name of the organization that the sender is referring to
(署名部組織名抽出処理具体例)
次に署名部組織名抽出処理の具体例として、図9に示す電子メール901に対して図10に示す処理が実施された場合について説明する。
(Specific example of signature part organization name extraction processing)
Next, as a specific example of the signature part organization name extraction process, a case where the process shown in FIG. 10 is performed on the
ステップS1001では、検査処理部302は、一時領域に署名部バッファを確保し初期化する。
In step S1001, the
ステップS1002では、検査処理部302は、電子メール901の本文904から空行と引用行を除去する。
In step S1002, the
ステップS1003では、検査処理部302は、ステップS1002で空行と引用行が除去された本文904の末尾から規定数だけ行を取得する(907)。本具体例では規定数を8とする。
In step S1003, the
ステップS1004では、検査処理部302は、ステップS1003で取得した末尾の行「■■■■■■■■■■■■■■■■■■■■■■」に対して、からステップS1008までの繰り返し処理を開始する。
In step S1004, the
ステップS1005では、検査処理部302は、図7の行種別テーブル601を用いて、対象行「■■■■■■■■■■■■■■■■■■■■■■」に合致するルールがないので行種別を「なし」と判定する。
In step S1005, the
ステップS1006では、検査処理部302は、テップS1005の処理の結果、対象行「■■■■■■■■■■■■■■■■■■■■■■」の行種別が「なし」と判断されたので、ステップS1007に処理を移す。
In step S1006, the
ステップS1007では、検査処理部302は、対象行「■■■■■■■■■■■■■■■■■■■■■■」を署名バッファに追加する。
In step S1007, the
ステップS1008では、検査処理部302は、処理対象となる行「大村 益二」がまだあるので、ステップS1004からの繰り返し処理を実施する。
In step S <b> 1008, the
以下、「大村 益二」、「E−Mail: oomura@chobo−bank.co.jp」、「Tel: XXXXXXX FAX:YYYYYYY」、「長防銀行 本店 営業部」、「長防銀行 本店 営業部」の各行についても同様の処理を行う。 “Masuji Omura”, “E-Mail: oomura@chobo-bank.co.jp”, “Tel: XXXXXX FAX: YYYYYYY”, “Changho Bank Head Office Sales Department”, “Chogo Bank Head Office Sales Department” The same processing is performed for each row.
ステップS1004では、検査処理部302は、ステップS1003で取得した行「以上」に対して、末尾からステップS1008までの繰り返し処理を開始する。
In step S1004, the
ステップS1005では、検査処理部302は、図7の行種別テーブル601を用いて、対象行「以上」の行種別を「本文末」(704に合致)と判定する。
In step S1005, the
ステップS1006では、検査処理部302は、テップS1005の処理の結果、対象行「以上」の行種別が「本文末」と判断されたので、ステップS1009に処理を移す。
In step S1006, the
ステップS1009では、検査処理部302は、ステップS507と同様に、署名部バッファに追加された行(908と同内容)から組織名「長防銀行」を抽出する。
In step S1009, as in step S507, the
結果として、電子メール901末尾署名部から、差出人が自称している組織名として「長防銀行」を取得する。
As a result, “Chogo Bank” is acquired from the end signature part of the
(組織詐称判定処理)
次に図11のフローチャートを用いて、ステップS405の組織詐称判定処理について説明する。
(Organization fraud determination processing)
Next, the organization misrepresentation determination process in step S405 will be described using the flowchart of FIG.
ステップS1101では、検査処理部302は、一時領域に結果バッファを確保し初期化する。
In step S1101, the
ステップS1102では、検査処理部302は、ステップS401で取得した電子メールのヘッダーにおける差出人(From)のアドレスからドメイン部分を差出人ドメインとして取得する。
In step S1102, the
ステップS1103では、検査処理部302は、ステップS402からステップS404で取得した組織名に対して、ステップS1109までの繰り返し処理を開始する。
In step S1103, the
ステップS1104では、検査処理部302は、組織ドメインテーブル602を用いて、対象の組織名に対するドメインを組織ドメインとして取得する。
In step S1104, the
ステップS1105では、検査処理部302は、ステップS1104で取得した組織ドメインに対して、ステップS1107までの繰り返し処理を開始する。
In step S1105, the
ステップS1106では、検査処理部302は、対象となる組織ドメインと差出人ドメインを比較し、一致すればステップS1109に処理を移す。一致しなければステップS1107に処理を移す。
In step S1106, the
ステップS1107では、検査処理部302は、処理対象となる組織ドメインがまだあれば、ステップS1105からの繰り返し処理を実施する。処理対象となる組織ドメインがなければ、ステップS1108に処理を移す。
In step S1107, if there is still a tissue domain to be processed, the
ステップS1108では、検査処理部302は、差出人ドメインと組織名の組み合わせを結果バッファに追加する。
In step S1108, the
ステップS1109では、検査処理部302は、処理対象となる組織名がまだあれば、ステップS1103からの繰り返し処理を実施する。処理対象となる行がなければ、処理を終了する。
In step S1109, if there is still an organization name to be processed, the
結果として、電子メールの本文において組織を自称しているが、差出人アドレスのドメインが、自称した組織が使用するドメインと異なる場合、差出人アドレスと自称した組織の差異を結果バッファに取得する。 As a result, although the organization is self-named in the body of the e-mail, if the domain of the sender address is different from the domain used by the self-named organization, the difference between the sender address and the self-named organization is acquired in the result buffer.
結果バッファが空であれば、差出人ドメインすべてが対応する正当なドメインがあったことを示し詐称がないと判断することが可能となる。結果バッファが空でなければ、差出人のドメインが対応する正当なドメインが存在せず、組織を詐称している可能性が高いことを示しており、組織詐称と判定することが可能となる If the result buffer is empty, it can be determined that there is no spoofing, indicating that there is a legitimate domain to which all sender domains correspond. If the result buffer is not empty, it indicates that there is no legitimate domain corresponding to the sender's domain, and there is a high possibility that the organization is misrepresented.
(組織詐称判定処理具体例)
次に組織詐称判定処理の具体例として、図9に示す電子メール901に対して図11に示す処理が実施された場合について説明する。
(Specific example of organization fraud determination processing)
Next, the case where the process shown in FIG. 11 is implemented with respect to the
ステップS1101では、検査処理部302は、一時領域に結果バッファを確保し初期化する。
In step S1101, the
ステップS1102では、検査処理部302は、電子メール901のヘッダー902おける差出人(From)903のアドレス「oomura@chobo−bank.attacker.com」からドメイン部分「chobo−bank.attacker.com」を差出人ドメインとして取得する。
In step S1102, the
前述した具体例に示したように、ステップS402では「長防銀」を、ステップS403では「長防銀行」を組織名として取得しており、また、ステップS404では、差出人903の実名部から「長防銀行」を抽出しており、組織名としては「長防銀」と「長防銀行」が取得されているものとする。
As shown in the specific example described above, “Chogo Silver” is acquired as the organization name in Step S402 and “Chogo Bank” is acquired in Step S403. In Step S404, the real name part of the
ステップS1103では、検査処理部302は、組織名「長防銀」に対して、ステップS1109までの繰り返し処理を開始する。
In step S1103, the
ステップS1104では、検査処理部302は、図8の組織ドメインテーブル602を用いて、対象の組織名「長防銀」に対するドメインを組織ドメインとして「chobo−bank.co.jp」を取得する。
In step S1104, the
ステップS1105では、検査処理部302は、ステップS1104で取得した組織ドメイン「chobo−bank.co.jp」に対して、ステップS1107までの繰り返し処理を開始する。
In step S1105, the
ステップS1106では、検査処理部302は、対象となる組織ドメイン「chobo−bank.co.jp」と差出人ドメイン「chobo−bank.attacker.com」を比較し、一致しないのでステップS1107に処理を移す。
In step S1106, the
ステップS1107では、検査処理部302は、処理対象となる組織ドメインがないので、ステップS1108に処理を移す。
In step S1107, since there is no organization domain to be processed, the
ステップS1108では、検査処理部302は、差出人ドメイン「chobo−bank.attacker.com」と組織名「長防銀」の組み合わせを結果バッファに追加する。
In step S1108, the
ステップS1109では、検査処理部302は、処理対象となる組織名「長防銀行」がまだあるので、ステップS1103からの繰り返し処理を実施する。
In step S1109, the
ステップS1103では、検査処理部302は、組織名「長防銀行」に対して、ステップS1109までの繰り返し処理を開始する。
In step S1103, the
ステップS1104では、検査処理部302は、図8の組織ドメインテーブル602を用いて、対象の組織名「長防銀行」に対するドメインを組織ドメインとして「chobo−bank.co.jp」を取得する。
In step S1104, the
ステップS1105では、検査処理部302は、ステップS1104で取得した組織ドメイン「chobo−bank.co.jp」に対して、ステップS1107までの繰り返し処理を開始する。
In step S1105, the
ステップS1106では、検査処理部302は、対象となる組織ドメイン「chobo−bank.co.jp」と差出人ドメイン「chobo−bank.attacker.com」を比較し、一致しないのでステップS1107に処理を移す。
In step S1106, the
ステップS1107では、検査処理部302は、処理対象となる組織ドメインがないので、ステップS1108に処理を移す。
In step S1107, since there is no organization domain to be processed, the
ステップS1108では、検査処理部302は、差出人ドメイン「chobo−bank.attacker.com」と組織名「長防銀行」の組み合わせを結果バッファに追加する。
In step S1108, the
ステップS1109では、検査処理部302は、処理対象となる組織名がもうないので、処理を終了する。
In step S1109, the
結果として、一時領域の結果バッファに、差出人ドメイン「chobo−bank.attacker.com」、組織名「長防銀」の組と差出人ドメイン「chobo−bank.attacker.com」、組織名「長防銀行」の組の2つの組み合わせを取得する As a result, in the temporary area result buffer, the sender domain “chobo-bank.attacker.com”, the organization name “Chogo Silver” and the sender domain “chobo-bank.attacker.com”, the organization name “Chobo Bank To get two combinations of
(メール閲覧処理)
次に、検査処理部302がメール検査処理により取得した結果バッファの情報を用いて、閲覧処理部304が、ユーザに対して、電子メールの内容を表示するとともに、組織を詐称していると判定した根拠となる箇所を強調することで、詐称の有無の判断を促すためのメール閲覧画面の一例を図12に示す。
(Mail browsing process)
Next, using the result buffer information acquired by the
図12に示すメール閲覧画面では、検査処理部302で取得した結果バッファに含まれる組織名と、組織名に対する組織ドメインを強調表示する。また、結果バッファに含まれる差出人ドメインを異なる表現で強調表示する。結果として、組織名に対応していないドメインが別の表現で表示されるため、ユーザは組織が詐称されていることを容易に理解できるようになる。
In the mail browsing screen shown in FIG. 12, the organization name included in the result buffer acquired by the
本発明の実施形態においては、電子メールに挨拶部や署名部がない場合は、組織名が抽出できず、警告を行わないが、挨拶部や署名部など自称している箇所がないことを警告するように構成してもよい。 In the embodiment of the present invention, if there is no greeting part or signature part in the e-mail, the organization name cannot be extracted and no warning is given. You may comprise.
また、本発明の実施形態においては、電子メールのヘッダーに記載された差出人(From)のアドレスを対象として説明したが、実際の差出人アドレス(エンベロープFrom)を対象とするように構成してもよい。 In the embodiment of the present invention, the address of the sender (From) described in the header of the e-mail has been described as an object. However, an actual sender address (envelope From) may be configured. .
以上、情報処理装置としての実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能である。具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。 The embodiment as the information processing apparatus has been described above, but the present invention can take an embodiment as a system, apparatus, method, program, recording medium, or the like. Specifically, the present invention may be applied to a system composed of a plurality of devices, or may be applied to an apparatus composed of a single device.
また、本発明におけるプログラムは、図4、図5、図10、図11に示すフローチャートの処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図4、図5、図10、図11の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは図4、図5、図10、図11の各装置の処理方法ごとのプログラムであってもよい。 The program according to the present invention is a program that allows a computer to execute the processing methods of the flowcharts shown in FIGS. 4, 5, 10, and 11, and the storage medium according to the present invention is illustrated in FIGS. A program capable of being executed by the computer in the processing method of FIG. 11 is stored. Note that the program in the present invention may be a program for each processing method of each apparatus in FIGS. 4, 5, 10, and 11.
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読み出し、実行することによっても本発明の目的が達成されることは言うまでもない。 As described above, a recording medium that records a program that implements the functions of the above-described embodiments is supplied to a system or apparatus, and a computer (or CPU or MPU) of the system or apparatus stores the program stored in the recording medium. It goes without saying that the object of the present invention can also be achieved by reading and executing.
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記録した記録媒体は本発明を構成することになる。 In this case, the program itself read from the recording medium realizes the novel function of the present invention, and the recording medium recording the program constitutes the present invention.
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、磁気テープ、不揮発性のメモリカード、ROM、EEPROM、シリコンディスク等を用いることが出来る。 As a recording medium for supplying the program, for example, a flexible disk, hard disk, optical disk, magneto-optical disk, CD-ROM, CD-R, DVD-ROM, magnetic tape, nonvolatile memory card, ROM, EEPROM, silicon A disk or the like can be used.
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。 Further, by executing the program read by the computer, not only the functions of the above-described embodiments are realized, but also an OS (operating system) operating on the computer based on an instruction of the program is actually It goes without saying that a case where the function of the above-described embodiment is realized by performing part or all of the processing and the processing is included.
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。 Furthermore, after the program read from the recording medium is written to the memory provided in the function expansion board inserted into the computer or the function expansion unit connected to the computer, the function expansion board is based on the instructions of the program code. It goes without saying that the case where the CPU or the like provided in the function expansion unit performs part or all of the actual processing and the functions of the above-described embodiments are realized by the processing.
また、本発明は、複数の機器から構成されるシステムに適用しても、ひとつの機器から成る装置に適用しても良い。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。 The present invention may be applied to a system constituted by a plurality of devices or an apparatus constituted by a single device. Needless to say, the present invention can be applied to a case where the present invention is achieved by supplying a program to a system or apparatus. In this case, by reading a recording medium storing a program for achieving the present invention into the system or apparatus, the system or apparatus can enjoy the effects of the present invention.
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ、データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。 Furthermore, by downloading and reading a program for achieving the present invention from a server, database, etc. on a network using a communication program, the system or apparatus can enjoy the effects of the present invention. In addition, all the structures which combined each embodiment mentioned above and its modification are also included in this invention.
100 組織詐称メール検査装置(情報処理装置)
120 メールサーバ
100 Organizational spoofing email inspection device (information processing device)
120 mail server
Claims (7)
受信した電子メールの本文について、行ごとに行種別を特定する行種別特定手段と、
前記行種別特定手段により特定された行種別が所定の行種別である行から組織名を抽出する抽出手段と、
前記抽出手段により抽出された組織名に対応付けて記憶された送信元に係る情報を特定する特定手段と、
前記特定手段により特定された送信元に係る情報と、当該電子メールの送信元に係る情報とが一致しない場合、警告を通知する通知手段として機能させるためのプログラム。 A computer that stores an organization name and information related to an email transmission source in association with each other .
A line type specifying means for specifying a line type for each line of the received email body;
Extracting means for extracting an organization name from a line whose line type specified by the line type specifying means is a predetermined line type ;
Identifying means for identifying information relating to a transmission source stored in association with the organization name extracted by the extracting means ;
A program for causing a function to function as a notification unit that notifies a warning when the information related to the transmission source specified by the specifying unit and the information related to the transmission source of the electronic mail do not match .
受信した電子メールの本文について、行ごとに行種別を特定する行種別特定手段と、
前記行種別特定手段により特定された行種別が所定の行種別である行から組織名を抽出する抽出手段と、
前記抽出手段により抽出された組織名に対応付けて記憶された送信元に係る情報を特定する特定手段と、
前記特定手段により特定された送信元に係る情報と、当該電子メールの送信元に係る情報とが一致しない場合、警告を通知する通知手段と、
を備えることを特徴とする情報処理装置。 Storage means for storing an organization name and information related to an email transmission source in association with each other;
A line type specifying means for specifying a line type for each line of the received email body;
Extracting means for extracting an organization name from a line whose line type specified by the line type specifying means is a predetermined line type ;
Identifying means for identifying information relating to a transmission source stored in association with the organization name extracted by the extracting means ;
A notification means for notifying a warning when the information related to the transmission source specified by the specifying means and the information related to the transmission source of the e-mail do not match ;
An information processing apparatus comprising:
前記情報処理装置の行種別特定手段が、受信した電子メールの本文について、行ごとに行種別を特定する行種別特定工程と、
前記情報処理装置の抽出手段が、前記行種別特定工程により特定された行種別が所定の行種別である行から組織名を抽出する抽出工程と、
前記情報処理装置の特定手段が、前記抽出工程により抽出された組織名に対応付けて記憶された送信元に係る情報を特定する特定工程と、
前記情報処理装置の通知手段が、前記特定工程により特定された送信元に係る情報と、当該電子メールの送信元に係る情報とが一致しない場合、警告を通知する通知工程と、
を備えることを特徴とする情報処理方法。
An information processing method in an information processing apparatus that stores an organization name and information related to an email transmission source in association with each other,
The row type specifying unit of the information processing apparatus specifies a row type for each row of the received e-mail body, and a row type specifying step;
An extraction step in which the extraction means of the information processing apparatus extracts an organization name from a row whose row type specified by the row type specifying step is a predetermined row type ;
A specifying step of specifying information relating to a transmission source stored in association with the organization name extracted by the extraction step, by the specifying unit of the information processing device ;
A notification step of notifying the information processing device when the information related to the transmission source specified in the specifying step and the information related to the transmission source of the e-mail do not match ;
An information processing method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017230618A JP6493497B1 (en) | 2017-11-30 | 2017-11-30 | Information processing apparatus, information processing method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017230618A JP6493497B1 (en) | 2017-11-30 | 2017-11-30 | Information processing apparatus, information processing method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6493497B1 true JP6493497B1 (en) | 2019-04-03 |
JP2019101656A JP2019101656A (en) | 2019-06-24 |
Family
ID=65999157
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017230618A Active JP6493497B1 (en) | 2017-11-30 | 2017-11-30 | Information processing apparatus, information processing method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6493497B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7270585B2 (en) * | 2020-08-27 | 2023-05-10 | ユーソナー株式会社 | Information management system, information management program and information management method |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004127145A (en) * | 2002-10-07 | 2004-04-22 | Nec Corp | E-mail order placement/reception method, device, system and program |
JP2007193717A (en) * | 2006-01-23 | 2007-08-02 | Mixa Kk | Emailing method and emailing program |
JP4998302B2 (en) * | 2008-02-05 | 2012-08-15 | 日本電気株式会社 | Mail misdelivery prevention system, mail misdelivery prevention method, and mail misdelivery prevention program |
JP5486452B2 (en) * | 2010-09-30 | 2014-05-07 | ニフティ株式会社 | Web mail server |
-
2017
- 2017-11-30 JP JP2017230618A patent/JP6493497B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019101656A (en) | 2019-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101298879B1 (en) | Reduced traceability electronic message system and method | |
US9749312B2 (en) | Systems and methods for secure password entry | |
US8010996B2 (en) | Authentication seal for online applications | |
US20080046738A1 (en) | Anti-phishing agent | |
US11336610B2 (en) | Email sender and reply-to authentication to prevent interception of email replies | |
TW201414260A (en) | Malicious message detection and processing | |
WO2016082718A1 (en) | Information access processing method and device | |
US8141150B1 (en) | Method and apparatus for automatic identification of phishing sites from low-level network traffic | |
KR102146586B1 (en) | Providing consistent security information | |
US9813412B1 (en) | Scanning of password-protected e-mail attachment | |
EP2919422A1 (en) | Method and device for detecting spoofed messages | |
JP6493497B1 (en) | Information processing apparatus, information processing method, and program | |
JP4429971B2 (en) | Legitimate site verification method, apparatus, and program | |
JP5486452B2 (en) | Web mail server | |
JP5197681B2 (en) | Login seal management system and management server | |
JP2008234437A (en) | Electronic mail incorrect transmission prevention device and electronic mail incorrect transmission prevention method and program | |
US11329936B1 (en) | Visual representation of sender domain information and e-mail routing | |
JP2018180871A (en) | Electronic mail processing device and electronic mail processing program | |
JP7068587B2 (en) | Information processing equipment, information processing method, program | |
US20210264430A1 (en) | Message Processing Platform for Automated Phish Detection | |
JP6531793B2 (en) | INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND PROGRAM | |
JP2020095304A (en) | Information processing apparatus, information processing system, control method thereof, and program | |
WO2023162136A1 (en) | Information processing device, method, and program | |
JP4809322B2 (en) | Server for detecting buzz information and advertisement distribution server | |
JP7338004B2 (en) | E-mail confirmation device, information processing method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20180703 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181016 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181016 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20181031 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181120 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20190115 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190116 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190218 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6493497 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |