JP6493606B1 - 情報処理装置、クライアント端末、制御方法、及びプログラム - Google Patents

情報処理装置、クライアント端末、制御方法、及びプログラム Download PDF

Info

Publication number
JP6493606B1
JP6493606B1 JP2018124704A JP2018124704A JP6493606B1 JP 6493606 B1 JP6493606 B1 JP 6493606B1 JP 2018124704 A JP2018124704 A JP 2018124704A JP 2018124704 A JP2018124704 A JP 2018124704A JP 6493606 B1 JP6493606 B1 JP 6493606B1
Authority
JP
Japan
Prior art keywords
mail
similar
specifying
same
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018124704A
Other languages
English (en)
Other versions
JP2020004220A (ja
Inventor
透 藤城
透 藤城
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Marketing Japan Inc
Canon IT Solutions Inc
Original Assignee
Canon Marketing Japan Inc
Canon IT Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Marketing Japan Inc, Canon IT Solutions Inc filed Critical Canon Marketing Japan Inc
Priority to JP2018124704A priority Critical patent/JP6493606B1/ja
Application granted granted Critical
Publication of JP6493606B1 publication Critical patent/JP6493606B1/ja
Publication of JP2020004220A publication Critical patent/JP2020004220A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】脅威を引き起こし得るメールを特定することが可能となる技術を提供する。
【解決手段】メール受信部によりメールを外部メールサーバから受信すると、当該メールの本文、添付ファイル、URL等に関する情報を抽出部によって抽出し、記憶部によってメール情報テーブルへ記憶する。受信したメールと既にメール情報テーブルに記憶されているメールとの類似度を算出し、この算出した類似度が判定情報設定ファイルに設定されている類似度の閾値以上であって、送信元のメールアドレスの異なり数が、判定情報設定ファイルに設定されている類似メールの件数の閾値以上であれば、迷惑メールとして判定を行う。
【選択図】図4

Description

本発明は、電子メールのセキュリティ技術に関する発明であり、特に、受信した迷惑メールのセキュリティ技術に関する。
近年、ネットワークの発展に伴い、電子メール(以下、必要に応じて単に「メール」と称する)が広く利用されるようになった。
これに伴い、受信者が望まない広告や嫌がらせ等による迷惑メールを受信してしまうケースが多数あり、なかには、不特定多数の受信者に大量に送信されるスパムメールやマルウェアが付されている不審メール等も存在する。
このようなメールは、受信者にとって迷惑になるだけでなく、マルウェアの感染やフィッシングサイトへの誘導など、様々な脅威を引き起こす。
このようなメールは、テンプレート(メールの本文、添付ファイル、URL等を含む)の大部分を使いまわし、受信者の情報及び送信元の情報を変えながらメールが送信されることがある。
このため、異なる送信元のメールアドレスから全く同じもしくは、ほとんど同じ本文や添付ファイル、URLを含んだメールが送信される(このようなメールを類似メールと呼ぶ)。
また、テンプレート部分は定期的に更新され、特に、スパムボットによるメールなどは、上記のような特徴を持つことが多い。
通常のメールの運用においては、類似メールが様々な送信元から届くといった状況は少なく、例えば、空メールや受信側が送信内容を指定しているような場合等の特定の状況に限られる。
したがって、様々な脅威から身を守るためには、送信元から送信された脅威を引き起こし得る類似メールを特定する必要がある。
このような特定を行う方法として、既に受信したメールと新たに受信したメールとの送信元の情報とメッセージIDとを用いて、同じメールを受信したか否かを判定する方法が開示されている(例えば、特許文献1参照)。
特許第5326785号
しかしながら、特許文献1に記載の方法では、メーリングリストと当該メーリングリストに含まれる個人リストが宛先に設定されることにより、重複したメールを受信することを防ぐことを目的として、このようなメールを受信したときに、受信者に対して重複しないようにメールを表示するものである。
したがって、脅威を引き起こし得るメールが表示される可能性もあり、このようなメールが表示され、受信者の端末が脅威に侵されるような問題等が生じ得る。
そこで、本発明では、脅威を引き起こし得るメールを特定することが可能な仕組みを提供することを目的とする。
上記課題を解決するために、本発明は、コンピュータを、電子メールを受信する受手段と、前記受手段により受信した電子メールのなかから、同一または類似する電子メール特定する特定手段と、前記特定手段により特定された同一または類似する電子メールのなかから、送信元を異ならせて送信された電子メールを特定する送信元特定手段と、前記送信元特定手段によって特定した電子メールに係るアクションを実行する実行手段と、して機能させるためのプログラムである。
本発明によれば、脅威を引き起こし得るメールを特定することができる、という効果を奏する。
情報処理システムの概略構成の一例を示す構成図である。 メールサーバ、及びクライアント端末のハードウェア構成の一例を示すブロック図である。 ソフトウェア構成の一例を示すブロック図である。 迷惑メールを判定する処理の一例を示すフローチャートである。 判定情報設定ファイルの構成の一例を示す構成図である。 共有情報設定ファイルの構成の一例を示す構成図である。 メール情報テーブルの構成の一例を示す構成図である。 迷惑メールを判定する処理と既存の技術と組合せて利用するときの処理の一例を示す図である。 迷惑メールを再利用する処理の一例を示すフローチャートである。 リスト画面の構成の一例を示す構成図である。 詳細画面の構成の一例を示す図である。
以下、図面を参照して、本発明の実施形態を詳細に説明する。
図1は、本発明の実施形態に係る情報処理システムの構成の一例を示す構成図である。
図1に示すように、本実施形態に係る情報処理システム100は、メールサーバ101、クライアント端末102(少なくとも1台以上備える)、及びLAN103を含む構成を備えており、広域ネットワーク104を介して外部メールサーバ105と接続されている。
メールサーバ101は、電子メールの送受信を行うために用いられる情報処理装置であって、電子メールのメールアドレス管理や、当該メールアドレスに送信されてきた電子メールを保存する等の機能を有している。
また、外部メールサーバ105から送信される電子メールに対する迷惑メールを判定する処理(詳細後述)を行う。
クライアント端末102は、メールサーバ101で管理されているメールアドレスを使用して電子メールのやり取りを行うユーザが操作する端末装置である。
また、クライアント端末102は、外部メールサーバ105から提供される様々なコンテンツ等をユーザへ提供する端末装置でもある。
さらに、クライアント端末102は、LAN103を介してメールサーバ101に記憶した本発明に関する設定やデータの参照や編集等を行うことが可能である。
外部メールサーバ105は、様々なコンテンツ等をユーザへ提供する装置であり、サービス事業者や個人ユーザ等によって設置されたものであったり、外部のユーザが所有するメールサーバとして設置されたものであったりする。
尚、メールサーバ101とLAN103との間に情報処理装置を設け、この情報処理装置において、外部メールサーバ105から送信される電子メールに関して、迷惑メールを判定する構成でも良い。
図2は、本発明の実施形態におけるメールサーバ101、及びクライアント端末102のハードウェア構成の一例を示すブロック図である。
図2に示すように、メールサーバ101、及びクライアント端末102は、システムバス204を介してCPU(Central Processing Unit)201、ROM(Read Only Memory)202、RAM(Random Access Memory)203、入力コントローラ205、ビデオコントローラ206、メモリコントローラ207、よび通信I/Fコントローラ208が接続される。
CPU201は、システムバス204に接続される各デバイスやコントローラを統括的に制御する。
ROM202あるいは外部メモリ211は、CPU201が実行する制御プログラムであるBIOS(Basic Input/Output System)やOS(Operating System)や、本情報処理方法を実現するためのコンピュータ読み取り実行可能なプログラムおよび必要な各種データ(データテーブルを含む)を保持している。
RAM203は、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードし、ロードしたプログラムを実行することで各種動作を実現する。
入力コントローラ205は、キーボード209や不図示のマウス等のポインティングデバイス等の入力装置からの入力を制御する。入力装置がタッチパネルの場合、ユーザがタッチパネルに表示されたアイコンやカーソルやボタンに合わせて押下(指等でタッチ)することにより、各種の指示を行うことができることとする。
また、タッチパネルは、マルチタッチスクリーンなどの、複数の指でタッチされた位置を検出することが可能なタッチパネルであってもよい。
ビデオコントローラ206は、ディスプレイ210などの外部出力装置への表示を制御する。ディスプレイは本体と一体になったノート型パソコンのディスプレイも含まれるものとする。なお、外部出力装置はディスプレイに限ったものははく、例えばプロジェクタであってもよい。また、前述のタッチ操作を受け付け可能な装置については、入力装置も提供する。
なおビデオコントローラ206は、表示制御を行うためのビデオメモリ(VRAM)を制御することが可能で、ビデオメモリ領域としてRAM203の一部を利用することもできるし、別途専用のビデオメモリを設けることも可能である。
メモリコントローラ207は、外部メモリ211へのアクセスを制御する。外部メモリとしては、ブートプログラム、各種アプリケーション、フォントデータ、ユーザファイル、編集ファイル、および各種データ等を記憶する外部記憶装置(ハードディスク)、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等を利用可能である。
通信I/Fコントローラ209は、ネットワークを介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信やISDNなどの電話回線、および携帯電話の3G回線を用いた通信が可能である。
尚、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上での表示を可能としている。また、CPU201は、ディスプレイ210上の不図示のマウスカーソル等でのユーザ指示を可能とする。
次に図3を参照して、本発明の実施形態における各種装置の機能構成の一例について説明する。尚、各機能については、後述するフローチャート等と合わせて説明を行う。
メールサーバ101は、メール受信部300、抽出部302、記憶部304、判定部306、処理部308、共有部310、及び再利用部312を備えている。
メール受信部300は、外部メールサーバ105から送信される電子メールを受信し、抽出部302は、メール受信部300で受信した電子メールから所定の条件に従って、本文、添付ファイル、URL等に関する情報を取得する。
記憶部304は、抽出部302によって取得した電子メールに関する情報をテーブルへ記憶したり、迷惑メールの判定を行う際に使用する定義情報を設定ファイルへ記憶する。
判定部306は、メール受信部300で受信した電子メールと記憶部304によって記憶した電子メールとの本文、添付ファイル、URL等に関しての類似度を算出し、算出した類似度が設定ファイルに設定された閾値以上であって、送信元の異なり数が設定ファイルに設定された閾値上であるか否かによって、迷惑メールであるか否かの判定を行う。
処理部308は、判定部306によって、迷惑メールとして判定した電子メールに対して、2次被害等が生じないように処理を行い、共有部310は、同様な理由により、このような電子メールに関する情報を他のシステムやユーザへ共有する。
再利用部312は、迷惑メールとして判定した電子メールに関する情報を既存の技術(スパム対策ソフトやアンチウイルスソフト)にインプットし、セキュリティ全般の精度を向上させる。
次に図4に示すフローチャートを用いて、本発明の実施形態におけるメールサーバ101が実行する迷惑メールを判定する処理について説明する。尚、本処理は、メールサーバ101のCPU201が所定の制御プログラムを読み出して実行される。
ステップS400では、メール受信部300は、外部メールサーバ105から送信された電子メールを受信する。
ステップS402では、抽出部302は、ステップS400において受信した電子メールに関する情報を抽出する。
抽出する電子メールに関する情報としては、例えば、送信元に関する情報として、送信元のメールアドレス、送信元のメールアドレスのハッシュ値(予め決めた任意のハッシュ関数により算出された値。但し、一連の処理では、同じハッシュ関数を用いる。以後、同様)、送信元のメールアドレスの任意の識別子、送信元のメールサーバのドメイン情報、送信元のメールサーバのIPアドレス、MTA(Mail Transfer Agent)の経路情報などがある。
また、抽出するメールに関する情報として本文に関する情報があり、本文のハッシュ値、ファジーハッシュ値(予め決めた任意のファジーハッシュ関数により算出された値。但し、一連の処理では、同じファジーハッシュ関数を用いる。以後、同様)、任意の識別子(例えば、本文を識別するための番号を振り、重複した本文があれば同一番号を振る等)、特徴量、本文全体、要素ごとのハッシュ値、要素ごとの情報(ハッシュ値、ファジーハッシュ値、任意の識別子、特徴量等。)などがある。本文の要素としては、例えば、各段落や一定サイズのブロックごとなどがある。
要素ごとの情報に関しては、一部の要素をランダムに入れ替えたり、いくつかの要素から組合せたりして、本文を作成するような迷惑メールが存在する。
例えば、前半の段落に利用する文章リストと後半の段落に利用する文章リストから、それぞれランダムに選択して組合せて全体の文章を作成したメールや、最後の署名部分をランダムに作成したメール等が存在する。
したがって、要素ごとに情報を抽出することによって、迷惑メールを特定する精度を上げることが可能となる。
また、抽出するメールに関する情報として添付ファイルに関する情報があり、添付ファイルに関するハッシュ値、添付ファイルに関するファジーハッシュ値、任意の識別子(例えば、添付ファイルを識別するための番号を振り、重複した添付ファイルがあれば同一番号を振る等)、動作情報(サンドボックスや自動解析環境で動作させて動作ログを取得する。動作情報の例としては、、マクロ付きのEXCEL(登録商標)ファイルであれば、マクロによって行われる動作、通信先URL、ファイルの読み書きのログ等。実行ファイルでも同様に、実行ファイルを実行したときに行われる動作のログ。あるいは、通信先URLやファイルの読み書き、レジストリの読み書き、シャットダウンや再起動などのPCへの命令等)、添付ファイル自身(基本的には、ハッシュ値やファジーハッシュ値だけで問題ないが、添付ファイルそのものがあると様々な方法で類似度が算出できるようになるため。)、メタデータ(例えば、ファイル名、ファイルタイプ、ファイルサイズ、作成日時、作成者名、製品名、バージョン情報、Exif、アンチウイルスソフトによる検出名等)、要素ごとのハッシュ値、要素ごとの情報(ハッシュ値、ファジーハッシュ値、任意の識別子、動作情報(添付ファイルが複数存在する場合、各添付ファイルの動作情報))等がある。
添付ファイルの要素として、例えば、一定サイズのブロックごとや、ファイルのセクションごと、ファイルのリソース部分、Officeであれば、マクロ部分のみなどがある。
要素ごとの情報に関しては、一部の要素をランダムに入れ替えたり、いくつかの要素から組合せたりして、作成されたファイルが添付された迷惑メールが存在する。
例えば、ファイルのリソース部分のみを書き換えた添付ファイルや、Officeのマクロ部分のみを再利用し、内容は毎回書き換えている添付ファイルが存在する。
したがって、前述と同様に、要素ごとに情報を抽出することによって、迷惑メールを特定する精度を上げることが可能となる。
さらに、抽出する電子メールに関する情報としてURL等に関する情報があり、ハッシュ値、ファジーハッシュ値、任意の識別子(例えば、URLを識別するための番号を振り、重複したURLがあれば同一番号を振る等)、動作情報(サンドボックスや自動解析環境で動作させ動作ログを取得する。動作情報の例としては、URLにアクセスしたときのリダイレクト先や、ダウンロードされるファイル等。)、URL全体、メタデータ(ドメインならばIPアドレス、GeoLocation(IPアドレスの位置情報)、アンチウイルスソフト等の検出情報、要素ごとのハッシュ値、要素ごとの情報(ハッシュ値、ファジーハッシュ値、任意の識別子)などがある。
URLの要素として、例えばドメイン部分、FQDN、URLのパスの部分、URLのクエリ部分などがある。
要素ごとの情報に関しては、一部の要素をランダムに入れ替えたり、いくつかの要素から組合せたりして、URLを作成するような迷惑メールが存在する。
例えば、URLパスの末尾のディレクトリ部分をランダムに書き換えたURLや、URLのクエリ部分をランダムに入れ替えたURL等が存在する。
したがって、前述と同様に、要素ごとに情報を抽出することによって、迷惑メールを特定する精度を上げることが可能となる。
その他にも、抽出する電子メールに関する情報として、送信先のメールアドレスとしてTOやCC、BCCに設定されたアドレス、件名などを抽出してもよい。
各情報の任意の識別子は、ハッシュ関数以外にも、例えば、送信元のメールアドレス、本文、添付ファイル、URL、またこれらの要素に一つ一つ番号を振った識別子のようにデータを区別あるいは、概ね区別できるものであってもよい。
さらに、各情報は、加工してもよい。例えば、本文に関する情報ならば改行コードを削除したり、URL部分を削除したりしてもよい。また、添付ファイルに関する情報であれば、ファイル形式の変換や画像化、実行ファイルのアンパックなどをしてもよい。
ステップS404では、記憶部304は、ステップS402において抽出した各情報をメール情報テーブル700(図7参照)に記憶する。
図7には、メール情報テーブル700の構成が示されており、メール情報テーブル700は、ステップS402において抽出した電子メールの情報を記憶するテーブルであり、本文に関する情報である本文のハッシュ702及び本文のファジーハッシュ704、添付ファイルに関する情報である添付ファイルのハッシュ706及び添付ファイルのファジーハッシュ708、URLに関する情報であるURLのハッシュ710、送信元のメールアドレスのハッシュ712等の項目を含んで構成されている。
本文のハッシュ702には、本文に関するハッシュ値が記憶され、本文のファジーハッシュ704には、本文に関するファジーハッシュ値が記憶される。
添付ファイルのハッシュ706には、添付ファイルに関するハッシュ値が記憶され、添付ファイルのファジーハッシュ708には、添付ファイルに関するファジーハッシュ値が記憶される。
URLのハッシュ710には、URLに関するハッシュ値が記憶され、送信元アドレスのハッシュ712には、送信元のメールアドレスに関するハッシュ値が記憶される。
尚、記憶する形式はテーブルでなくともファイルでもよい。また、メール情報テーブル700は、情報処理システム100内に構築されたものを利用しても良いし、外部のシステムへ構築されたものを利用してもよい。さらに、外部のシステムのデータベースとデータを交換することも可能である。
尚、類似メールは頻繁に更新されるため、メール情報テーブル700に記憶された古いデータを削除した場合でも十分な効果が期待できる。
削除のタイミングとしては、例えば、定期的に削除する、または、最終アクセス(本文、添付ファイル、URLのハッシュ値、ファジーハッシュ値、識別子等を最後に画面等によって参照した時間を示す。類似メールがなければ受信した時間(テーブルに記憶した時間)になり、類似メールがあった場合は、最後に受信した時間を示す。)から一定時間経過したデータを削除してもよいし、最初に記憶されてから一定時間経過したデータを削除するなどでもよい。
これにより、リソースの負荷を軽減させたり、迷惑メールを判定する処理の速度を向上させたりする効果がある。
ステップS406では、判定部306は、ステップS404で記憶した電子メールが既にメール情報テーブル700に記憶されている電子メールと、本文に関する類似度が高く、送信元に関する情報の類似度が低い(送信元が異なる)場合、類似メールとして判定する。
あるいは、本文が同一の電子メールが、異なる送信元のメールアドレスから合計何件以上受信しているかを判定する。
本ステップでは、図5に示す判定情報設定ファイル500の本文に関する設定504に設定された類似度の閾値よりも、本文に関する類似度以上であるか否かによって判定を行う。
また、判定情報設定ファイル500の全体に関する設定502に設定された類似メールの件数の閾値よりも、本文が同一の電子メールであって、異なる送信元のメールアドレスから送信された電子メールの合計件数の方が高いか否かによって判定を行う。
図5に示す判定情報設定ファイル500は、本発明における各判定を行うための情報を記憶した設定ファイルである。
判定情報設定ファイル500は、全体の設定502、本文に関する設定504、添付ファイルに関する設定506、及びURLに関する設定508等を含んで構成されている。
判定情報設定ファイル500は、処理の最初に読み込んでもよいし、本処理における各ステップで必要な設定のみ読み込んでもよい。
全体の設定502は、全般的な処理に関する設定を記憶するものであり、本文に関する設定504は、本文の処理に関する設定を記憶するものであり、添付ファイルに関する設定506は、添付ファイルの処理に関する設定を記憶するものであり、URLに関する設定504は、URLの処理に関する設定を記憶するものである。
他の例としては、本文に関するファジーハッシュ値の類似度が、本文に関する設定504に設定された類似度の閾値以上となる電子メールであって、全体に関する設定502に設定された類似メールの件数の閾値よりも、異なる送信元のメールサーバのIPアドレスから送信された電子メールの合計件数の方が高いか否かによって判定してもよい。
もしくは、本文が同一の電子メールであって、全体に関する設定502に設定された類似メールの件数の閾値よりも、異なる送信元のメールアドレスから送信された電子メールの合計件数よりも高く、かつ、本文の類似度が、本文に関する設定504に設定された類似度の閾値以上の電子メールであり、全体に関する設定502に設定された類似メールの件数の閾値よりも、電子メールの受信件数が高くなる、の組合せで判定するなどでもよい。
尚、さらに、本文を前述した要素ごとに分割した情報を用いて、類似判定を行うことも可能である。この時、本文に関する設定504において、要素ごとに設定を行ってもよい。
設定には、類似度の閾値や本文に類似する迷惑メール検知に利用するかどうかなどがあり、状況に応じて要素ごとに設定を追加する。
判定情報設定ファイル500の「本文の大きさ(例えば、文字数やバイト数等)」に設定された値以上の場合のみ類似メールの判定を行うなどとしてもよい。
ステップS408では、判定部306は、ステップS404で記憶した電子メールが既にメール情報テーブル700に記憶されている電子メールと、添付ファイルに関する類似度が高く、送信元に関する情報の類似度が低い(送信元が異なる)場合、類似メールとして判定する。
本ステップでは、図5に示す判定情報設定ファイル500の添付ファイルに関する設定506に設定された類似度の閾値よりも、添付ファイルに関する類似度が高いか否かによって判定を行う。
例えば、添付ファイルに関するファジーハッシュ値の類似度が、添付ファイルに関する設定506に設定された類似度の閾値以上の電子メールであって、全体に関する設定502に設定された類似メールの件数の閾値よりも、異なる送信元アドレスから送信されたメールの合計件数が高くなるか否かによって判定する。
もしくは、サンドボックス等の保護された領域で添付ファイルを実行した結果、動作ログ(ファイルやレジストリの読み書き、ネットワーク通信、実行したAPI等)の類似度が、添付ファイルに関する設定506に設定された類似度の閾値以上となる電子メールであって、全体に関する設定502に設定された類似メールの件数の閾値よりも、異なる送信元のメールアドレスから送信された電子メールの合計件数が高いか否かによって判定するなどでもよい。
さらに、添付ファイルを前述した要素ごとに分割した情報を用いて、類似判定を行うことも可能である。
この時、添付ファイルに関する設定506において、要素ごとに設定を行ってもよい。
設定には、類似度の閾値や添付ファイルを類似する迷惑メール検知に利用するかどうかなどがあり、状況に応じて要素ごとに設定を追加する。
ステップS406では、判定部306は、ステップS404で記憶した電子メールが既にメール情報テーブル700に記憶されている電子メールと、URLに関する類似度が高く、送信元に関する情報の類似度が低い(送信元が異なる)場合、類似メールとして判定する。
本ステップでは、図5に示す判定情報設定ファイル500のURLに関する設定508に設定された類似度の閾値よりも、URLに関する類似度が高いか否かによって判定を行う。
例えば、メールに記載されたURLのFQDNが同一のメールであって、全体に関する設定502に設定された類似メールの件数の閾値よりも、異なる送信元のメールアドレスから送信された電子メールの合計件数が高いか否かによって判定する。
もしくは、サンドボックス等の保護された領域でURLにアクセスした後のレスポンスデータの類似度が、URLに関する設定508に設定された類似度以上となる電子メールであって、全体に関する設定502に設定された類似メールの件数の閾値よりも、異なる送信元のメールアドレスから送信された電子メールの合計件数が高いか否かによって判定するなどでもよい。
さらに、URLを要素ごとに分割した情報を用いて、類似判定を行うことも可能である。
この時、URLに関する設定508において、要素ごとに設定を行ってもよい。
設定には、類似度の閾値やURLが類似する迷惑メール検知に利用するかどうかなどがあり、状況に応じて要素ごとに設定を追加する。
ステップS412では、判定部306は、ステップS406において求めた件数やステップS408において求めた件数、あるいは、ステップS410において求めた件数が一定以上の場合、その類似メールを迷惑メールと判定し、ステップS414へ処理を進め、迷惑メールとして判定しない場合、ステップS416へ処理を進める。
また、ステップS406の件数、ステップS408の件数、及びステップS410の件数の組合せで判断してもよい。
また、完全一致の場合と類似の場合で、閾値を変えたり、組合せを変えたりしてもよい。例えば、本文が同一の電子メールを異なる送信元のメールアドレスから3件以上受信した場合、その本文の内容と同一の内容の電子メールを全て迷惑メールとして扱う。
または、本文が80%以上類似していて、添付ファイルに関するファジーハッシュ値も90%以上類似している電子メールが、異なる送信元のメールアドレスから3件以上受信した場合、当該電子メール(その電子メールと本文が80%以上類似し、添付ファイルと90%以上類似しているメール)を迷惑メールとして扱うことにしてもよい。
ステップS414では、処理部308は、ステップS412において迷惑メールとして判定した電子メールに対する任意の処理を行う。
迷惑メールに対する任意の処理として、例えば、対象電子メールの削除、対象電子メールへの警告文の追加、添付ファイルやURLの無害化、仮想環境上での実行などがある。
また、任意の処理は、完全一致で検知した場合や類似として検知した場合など、検知の仕方によって異なる処理を行ってもよい。例えば、完全一致で検知した場合は、電子メールを削除し、類似として検知した場合は、警告文を追加するなどがある。
さらに、組合せを利用してもよい。例えば、本文の類似度が高い電子メールは一定未満の件数だが、添付ファイルの類似度が高い電子メールは一定以上の件数が存在する場合は、削除せずに添付ファイルを無害化するなどの処理でもよい。このように検知条件によって、処理を変更することで精度や利便性が向上する。
ステップS416では、共有部310は、ステップS404において記憶した各情報をユーザと共有する。
共有先としては、例えば、他のユーザや経路上のサーバ、拠点内の別のサーバ、拠点間での共有、あるいは、他の企業や組織との共有、さらに開発元との共有などがある。
経路上のサーバと各情報を共有する方法としては、例えば、外部メールサーバ105からメールサーバAから、メールサーバBあるいはメールサーバCに電子メールを分岐して送信するような構成を備えている場合、メールサーバB、Cで本システムを通常利用する。
メールサーバBにおいて迷惑メールと判定した電子メールに関する情報をメールサーバAに共有する。
メールサーバAでは、負荷を減らすために代表的な情報のみ抽出し、メールサーバBから共有された情報のみ記憶し、類似メール判定を行う。これによりメールサーバCでも迷惑メールを判定できる。
共有する情報としては、送信元に関する情報や本文に関する情報、添付ファイルやURLに関する情報などを共有対象の情報ごとに、共有する先の範囲を設定することができる。
図6のように共有情報設定ファイル600によって設定を調整してもよい。図6に示す共有情報設定ファイル600は、情報共有の設定を行うための設定ファイルである。
共有情報設定ファイル600は、共有の設定602、送信元に関する設定604、本文に関する設定606、添付ファイルに関する設定608、及びURLに関する設定610等を含んで構成されている。
全体の共有の設定602は、全般的な共有設定を記憶するものであり、送信元に関する設定604は、送信元の共有に関する設定を記憶するものであり、本文に関する設定606は、本文の共有に関する設定を記憶するものであり、添付ファイルに関する設定608は、添付ファイルの共有に関する設定を記憶するものであり、URLに関する設定610は、URLの共有に関する設定を記憶するものである。
例えば、開発元に共有する場合は、本文に関する設定606により、本文のハッシュ値、及び送信元に関する設定604により、送信元のメールアドレスのハッシュ値の一部(例えば、先頭2文字)及びメールアドレスのドメイン情報のみ共有する。
これにより開発元へ共有することの懸念が少なくできる効果がある。(ここで、メールアドレスのハッシュ値は、レインボーテーブル(平文とハッシュ値のセットのテーブル)などにより元に戻せる可能性があるが、ハッシュ値の一部であれば衝突が発生するためもとの値を推測することがより困難になる。
また、一定以上の送信元が異なる類似メールの件数がカウントできればいいため衝突が発生しても影響は少ない)。
または、拠点間の別のメールサーバと共有する場合は、本文に関する設定606により、本文に関するハッシュ値及びファジーハッシュ値、添付ファイルに関する設定608により、添付ファイルに関するハッシュ値及びファジーハッシュ値、URLに関する設定610により、FQDN、送信元に関する設定604により、送信元のメールアドレス及びメールアドレスのハッシュ値全体の情報を共有するなどとしてもよい。
また、各クライアント端末102に本発明を実装している場合などでは、類似メールが一定以上溜まらない可能性があるため、経路上のメールサーバ等に共有することで、サンプル数が増え、判定精度が向上する効果が期待できる。
また、他企業、他組織または開発元と共有することで、セキュリティ企業がWeb等で注意喚起をする以上の効果が期待できる。
尚、ステップS406の処理を行う前に、ステップS406以降の処理を一時的に待機する待機時間(例えば、短めに設定した場合は、10分、長めに設定した場合は、1時間程度)を設けることも可能である。
類似する迷惑メールは、最初の一件目は類似メールが存在しないため必ず送信される。待機時間を設けることで、一定以上の件数が溜まるまでの時間的猶予ができ、最初の一件目を含めて検知することができる。また、類似する迷惑メールは短期間に送られてくるため、短い遅延時間でも効果が期待できる。
また、この待機時間は、送信元情報ごとに設定を変更してもよい。このような迷惑メールは、初めて受信する送信元から送信されることが多い。例えば、初めて受信する送信元に関してのみ待機時間を設けるなどがある。これにより、全ての電子メールを遅延させなくても、遅延時間を設ける効果が期待できる。
また、ステップS412において各類似メールの判定を行った結果に基づいて、迷惑メールの判定を行っているが、判定精度を上げるために、受信実績や送信実績を類似メールの判定に利用してもよい。
類似する迷惑メールの多くは、初めて受信する送信元であることが多い。また、同じ送信元が利用される場合でも、一方的に受信しているのみで送信実績がない場合もある。
利用法としては、例えば、受信実績がない、つまり、初めて受信する送信元(メール情報テーブル700に存在しない送信元)のみ各類似メールの判定を行う。
あるいは、受信実績はあるものの送信実績のない送信元のみ各類似メールの判定を行う。この場合、送信実績として、送信した電子メールの送信元に関する情報を含んだ電子メールに関する情報を記憶しておく必要がある。
また、受信実績や送信実績を本文に関する類似メール判定、添付ファイルに関する類似メール判定、URLに関する類似メール判定のそれぞれで利用してもよい。
例えば、受信実績がある電子メールに対して、本文は類似メール判定を行うが、添付ファイルやURLの類似メール判定を行わず、受信実績がない電子メールに対しては、本文、添付ファイル、URLの類似メール判定を行うことなどとすることも可能である。
これにより、受信実績がある電子メールの添付ファイルやURLは、危険性が少ないが、なりすましメールのように、受信実績がないにも関わらず、本文をコピーして、危険な添付ファイルやURLがある電子メールを検知することも可能である。
設定には、類似する電子メールが何件以上あった場合に迷惑メールとして判定するかの閾値や送信、受信実績を利用するかなどがあり、状況に応じて設定を追加する。
これによって、スパムボットに代表されるような同一のテンプレートを用いて、送信元、送信先を変えながら送信される迷惑メール(類似メール)を自動で検出し、受信を抑制することができる。
また、事前にデータを用意して機械学習する必要がなく、頻繁に更新される迷惑メールに対して、迅速に対応でき、頻繁に更新される迷惑メールに対して、都度ユーザが設定を追加する必要がなく、煩わしさを軽減できる。
また、受信側のみで対策を行っているため、送信側のメールサーバの仕様等に影響されずに対策を行うことが可能である
[変形例]
図8は、既存の技術と組合せることによって、迷惑メールと判定した電子メールに対して、セキュリティ精度を高めるシステムの構成図の一例である。
この既存の技術との組合せの構成図は、メール受信処理800、既存技術による処理802、前述した迷惑メール判定処理804、及びメール転送処理806からなる。
メール受信処理800は、外部メールサーバ105から電子メールを受け取る処理を行い、既存の技術による処理802は、スパムメールやマルウェア付き電子メールを、既存の技術であるスパム対策ソフトやアンチウイルスソフトにより検出する処理である。
迷惑メール判定処理804は、実施形態で説明した迷惑メールを判定する処理であり、メール転送処理806は、電子メールに対しての判定処理等が完了した後に、次のメールサーバ101やクライアント端末102等に当該電子メールを転送する処理である。
迷惑メール判定処理804は、既存の技術よりも先に処理を行ってもよいし、また、同一のメールサーバ101で処理を行わなくてもよい。
迷惑メール判定処理804は既存の技術と競合しない処理であるため、組み合わせて利用することが可能であり、組合せて利用することで、迷惑メールの検知率が向上する。
次に図9のフローチャートを用いて、本発明の実施形態における迷惑メールを再利用する処理について説明する。尚、本処理は、メールサーバ101のCPU201が所定の制御プログラムを読み出して実行される。
本発明では、自動で新規の迷惑メールを検知することが可能であるため、検出した電子メールのデータは、既存のフィルタリングやスパム対策ソフト、アンチウイルスソフトなどに流用することができる。
また、機械学習の学習データやセキュリティ訓練などで使用する教材としても流用することができる。これにより、本発明以外の技術の性能を向上させる効果がある。
ステップS900では、再利用部312は、迷惑メールとして判定した電子メールの送信元情報に関するデータを再利用する。
送信元情報は、他の迷惑メールの送信にも利用される可能性があるため、迷惑メールの送信元情報を、電子メールの送受信に係るフィルタリングやブラックリスト設定に登録するなどにより、迷惑メールの抑制が可能になる。
送信元情報には、メールアドレス、メールサーバのIPアドレス、あるいは、配信経路のメールサーバの情報などが利用できる。
ステップS902では、再利用部312は、迷惑メールとして判定した電子メールの送信先情報に関するデータを再利用する。
迷惑メールには、日常的には利用しない送信先情報の組合せが利用されることがある。例えば、TOに製品Aのサポート窓口と企業の採用の窓口、CCにWebサイトに関する問い合わせ窓口と個人宛等のように関連性の少ないメールアドレスを複数指定している場合がある。
このような送信先情報の組合せは、送信先のリストとして使用され、再度同様の送信先情報の組合せに対して迷惑メールが送信される可能性がある。
そのため、この送信先情報の組合せを再利用することが可能である。例えば、この送信先情報の組合せに対して送信される電子メールに警告文を追加するなどの利用ができる。
また、送信実績及び受信実績を利用して、本発明により検出した送信先情報の組合せが、実績のない組合せであった場合に、その送信先情報の組合せを電子メールの送受信に係るフィルタリングやブラックリストに登録することなどもできる。
ステップS904では、再利用部312は、迷惑メールとして判定した電子メールの本文情報に関するデータを再利用する。
迷惑メールは、図4のステップS416においてデータの共有を行っているが、既存のフィルタリングやスパム対策ソフトにも迷惑メールとして判定した電子メールの本文情報をインプットすることにより、このような本文情報を含む新たな電子メールを特定することが可能となる。
ステップS906では、再利用部312は、迷惑メールとして判定した電子メールの添付ファイルの情報に関するデータを再利用する。
迷惑メールは、図4のステップS416においてデータの共有を行っているが、既存のフィルタリング、スパム対策ソフト、または、アンチウイルスソフトなどにも迷惑メールとして判定した電子メールの添付ファイルの情報をインプットすることにより、このような添付ファイルの情報を含む新たな電子メールや通信を特定することが可能となる。
これにより、メール経由以外にWeb経由で当該ファイルが利用された場合でも検知することができる。
ステップS908では、再利用部312は、迷惑メールとして判定した電子メールのURLに関するデータを再利用する。
本発明で検出した迷惑メールは、図4のステップS416においてデータの共有を行っているが、既存のフィルタリング、スパム対策ソフト、アンチウイルスソフト、UTM(Unified Threat Management)などにも迷惑メールとして判定したURLに関する情報をインプットすることにより、このようなURLに関する情報を含む新たな電子メールや通信を特定することが可能となる。
これにより、メール経由以外にWeb経由で当該ファイルが利用された場合でも検知することができる。
ステップS910では、再利用部312は、迷惑メールとして判定した電子メールの本文、添付ファイル、URL等などからシグネチャを作成する。
シグネチャの例として、ハッシュ値または、データの一部を何か所か抽出し、パターンマッチングを行う。例えば、本文ならば2、5、7行から10文字ずつ抽出し、抽出した文字列をシグネチャとする。そして、抽出した文字列全てを含む電子メールを迷惑メールとして判定する。
あるいは、ファイルならば、nバイト〜n+100バイト、mバイト〜m+100バイトを抽出しシグネチャとする。そして、抽出したバイト列を全て含むファイルが添付された電子メールを迷惑メールとして判定する。
この時、迷惑メールの類似度が高いものから重複部分を抽出するしてもよい。これにより、ランダム要素を除外することで、判定精度を向上させることが可能となる。
また、受信時だけでなく、メール送信時にも利用できる。迷惑メールは、スパムボットなどにより送信されることが多いため、送信時にシグネチャで検出した場合は、クライアント端末102がスパムボットに感染し、踏み台になっている可能性がある。
スパムボットに感染したクライアント端末102は、同一のテンプレートを利用して迷惑メールを送信していることから、同じスパムボットに感染したクライアント端末102が複数ある場合、各クライアント端末102から同じ内容の電子メールが送信される。
メールサーバ101では、この同じ内容の電子メールが様々なところから受信されることからこのような迷惑メールを検知することが可能となる。
このため、送信時に検出することで、加害者になる可能性を減らすことができ、メールにより感染拡大するような場合は、被害の拡大も抑制できる。
さらに、踏み台になっているクライアント端末102を特定または自動検知することも可能である。
自動検知の方法例として、検知した電子メールのReceivedヘッダーから最初に利用した拠点内のメールサーバに対して、検知した電子メールを送信したクライアント端末102のIPアドレスを問い合わせる。
最初に利用されたメールサーバでは、電子メールの送信ログからクライアント端末のIPアドレスを抽出して、問い合わせに返答する。
これにより、自動で踏み台になっているクライアント端末102を自動検知することが可能となる。
シグネチャまたは検出したデータは、機械学習の学習データやセキュリティ訓練などで使用する教材としても流用することができる。
機械学習では、学習前に学習用のデータを作成する必要があるが、本発明では自動で迷惑メールを検出できるため、検出したデータをそのまま機械学習の学習データとしても利用することもできる。
ステップS912では、再利用部312は、迷惑メールを分類及び分析を行う。
分類の方法例として、迷惑メールのbody0、body1・・・・attachment0、attachment1、・・・・というようにパートごとに分割し、パートごとにハッシュ値を算出し、各パートのハッシュ値が同一の迷惑メールを抽出し、Fromアドレスのユニーク数をカウントし閾値(例えば、3件)以上あった迷惑メールを全て抽出し、ハッシュ値ごとにまとめて分類する。尚、さらに、Content−Typeごとに分類しても良い。
類似性の高い迷惑メールをまとめることで、図10及び図11に示す画面の表示内容のように迷惑メールを分類して表示することができる。
また、各画面は、それぞれ設定により表示する内容を変更することができる。またこの画面構成は一例であり、他の画面構成でもよい。
これにより、多く受信される迷惑メールや最近の傾向がわかり、注意喚起等を行いやすくできる。
また、分類を行うことで研究等に利用するうえでの労力を削減することができる。
さらに、分析にも利用できる。例えば、検出したメールの送信時間等を利用して、攻撃者の傾向や、迷惑メールの傾向を分析することができる。共通する項目などから攻撃者や攻撃者グループの追跡や特定にも利用できる。
また、定期的に送信される迷惑メールを事前予測することも可能である。例えば、「〇月の請求書」、「〇月の発注書」など、日時や季節、イベントごとに送信される迷惑メールは、事前予測し、送られてきた時点で警告文を挿入することなども可能である。
図10には、迷惑メールと判定したメールを分類してリスト表示するリスト画面1000の構成を示す構成図の一例である。
リスト画面1000は、表示設定1002、分類1004、及びリスト表示部1006等を含んで構成されている。
表示設定1002は、リスト画面1000に表示する条件を設定するが、表示設定1002は、類似項目1008、類似度1010、期間1012等を含んで構成されており、他の設定を追加してもよい。
また、類似項目1008は、本文が類似するメール、添付ファイルが類似するメール、URLが類似するメール等を少なくとも1以上選択することが可能である。
類似項目1008で選択した項目に該当する類似するメールのうち、類似度1010は、指定した類似度以上の類似度を示す類似するメール等を表示することが可能であり、期間1012は、指定した期間に受信した類似するメール等を表示することが可能である。
分類1004は、分類を行った単位を表示し、リスト表示部1006は、表示設定1102に設定された項目に対して指示された条件を満たす類似するメール等を、分類1004の分類に応じてリスト表示する。
図11には、迷惑メールと判定したメールを分類して当該メールの詳細情報を表示する詳細画面1100の構成を示す構成図の一例である。
詳細画面1100は、表示設定1102、分類1104、及び詳細情報表示部1106等からなる。
表示設定1102は、詳細画面1100に表示する条件を設定するが、表示設定1102は、類似項目1108、類似度1110、期間1112等を含んで構成されており、他の設定を追加してもよい。
また、類似項目1108は、本文が類似するメール、添付ファイルが類似するメール、URLが類似するメール等を少なくとも1以上選択することが可能である。
類似項目1108で選択した項目に該当する類似するメールのうち、類似度1110は、指定した類似度以上の類似度を示す類似するメール等を表示することが可能であり、期間1112は、指定した期間に受信した類似するメール等を表示することが可能である。
分類1104は、分類を行った単位を表示し、詳細情報表示部1106は、表示設定1102に設定された項目に対して指示された条件を満たす類似するメール等を分類1104の分類に応じて表示する。
尚、詳細画面1100は、詳細情報表示部1106は、分類ごとに表示単位を分けて表示を行っても良い。例えば、分類Aのみを表示し、次へボタン(不図示)を押下することで、分類Bのみを表示するような態様をとることが可能である。
また、詳細情報表示部1106は、1つのメールの詳細情報を表示することでも良い。例えば、分類Aに属する1つのメールの詳細情報を表示し、次へボタン(不図示)を押下することで、分類Aに属する他のメールが存在する場合は、当該メールの詳細情報を表示し、分類Aに属する他のメールが存在しない場合は、分類Bに属するメールの詳細情報を表示することでも良い。
また、分類1004を選択することによって、選択した分類に属するメールの詳細画面1100に表示しても良いし、リスト表示部1006に表示されたレコードを選択することによって、選択したレコードのメールの詳細情報を詳細画面1100に表示しても良い。
本発明の実施形態においては、迷惑メールを判定する処理をメールサーバ101において実行する構成として説明したが、クライアント端末102で実行するよう構成してもよい。
あるいは、クラウド環境における情報処理装置で迷惑メールを判定する処理を実行するように構成しても良く、この場合、メールサーバ101(あるいは、メールボックス)に対して外部プログラムとして実行してもよい。
以上、実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能である。具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
また、本発明におけるプログラムは、図4、9に示すフローチャートの処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図4、9の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは図4、9の各装置の処理方法ごとのプログラムであってもよい。
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読み出し、実行することによっても本発明の目的が達成されることは言うまでもない。
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記録した記録媒体は本発明を構成することになる。
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、磁気テープ、不揮発性のメモリカード、ROM、EEPROM、シリコンディスク等を用いることが出来る。
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
また、本発明は、複数の機器から構成されるシステムに適用しても、ひとつの機器から成る装置に適用しても良い。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適用できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ、データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。
100 情報処理システム
101 メールサーバ
102 クライアント端末
103 LAN
104 広域ネットワーク
105 外部メールサーバ

Claims (25)

  1. コンピュータを、
    電子メールを受信する受手段と、
    前記受手段により受信した電子メールのなかから、同一または類似する電子メール特定する特定手段と、
    前記特定手段により特定された同一または類似する電子メールのなかから、送信元を異ならせて送信された電子メールを特定する送信元特定手段と、
    前記送信元特定手段によって特定した電子メールに係るアクションを実行する実行手段と、
    して機能させるためのプログラム。
  2. 前記特定手段は、受信したメールを迷惑メールとして特定するために用いるデータを登録することなく、前記受信した電子メールのなかから、同一または類似する電子メールを特定するものとして機能させるための請求項1に記載のプログラム。
  3. 前記送信元特定手段を、所定数以上の前記送信元を異ならせて送信された電子メールを特定するものとして機能させるための請求項1または2に記載のプログラム。
  4. 前記送信元特定手段を、前記受手段により受信した電子メールのなかから、同一または類似する電子メールであって、前記送信元に係る情報の類似度の低い異なる電子メールを特定するものとして機能させるための請求項1乃至3の何れか1項に記載のプログラム。
  5. 前記同一または類似する電子メールは、電子メールの本文の要素が同一または類似する電子メールであることを特徴とする請求項1乃至の何れか1項に記載のプログラム。
  6. 前記同一または類似する電子メールは、電子メールの添付ファイルが同一または類似する電子メールであることを特徴とする請求項1乃至の何れか1項に記載のプログラム。
  7. 前記同一または類似する電子メールは、電子メールの添付ファイルの要素が同一または類似する電子メールであることを特徴とする請求項1乃至の何れか1項に記載のプログラム。
  8. 前記同一または類似する電子メールは、電子メールの添付ファイルを実行した結果得られた情報が同一または類似する電子メールであることを特徴とする請求項1乃至の何れか1項に記載のプログラム。
  9. 前記同一または類似する電子メールは、電子メールのURLが同一または類似する電子メールであることを特徴とする請求項1乃至の何れか1項に記載のプログラム。
  10. 前記同一または類似する電子メールは、電子メールのURLの要素が同一または類似する電子メールであることを特徴とする請求項1乃至の何れか1項に記載のプログラム。
  11. 前記同一または類似する電子メールは、電子メールのURLによりアクセスした結果得られた情報が同一または類似する電子メールであることを特徴とする請求項1乃至10の何れか1項に記載のプログラム。
  12. 前記コンピュータを、
    前記特定手段によって同一または類似する電子メールの特定方法により、当該電子メールが迷惑メールであるか否かを判定する判定手段を含めて機能させ、
    前記実行手段を、前記判定手段により迷惑メールと判定した電子メールに係るアクションを実行するものとして機能させるための請求項1乃至1の何れか1項に記載のプログラム。
  13. 前記実行手段を、前記特定方法によって、前記判定手段により迷惑メールとして判定された電子メールに対するアクションを実行するものとして機能させるための請求項1に記載のプログラム。
  14. 前記特定手段を、前記受手段により電子メールを受信してから所定時間経過後、既に前記受手段により受信した電子メールのなかから、同一または類似する電子メール特定するものとして機能させるための請求項1至1の何れか1項に記載のプログラム。
  15. 前記特定手段を、前記受手段により初めての送信元から電子メールを受信してから前記所定時間経過後、既に前記受手段により受信した電子メールのなかから、同一または類似する電子メール特定するものとして機能させるための請求項1に記載のプログラム。
  16. 前記送信元特定手段を、前記電子メールの送信元からの受信実績がない場合に前記特定する処理を行うものとして機能させるための請求項1乃至1の何れか1項に記載のプログラム。
  17. 前記送信元特定手段を、前記電子メールの送信元からの受信実績はあるが、前記送信元に送信実績のない場合に前記特定する処理を行うものとして機能させるための請求項1に記載のプログラム。
  18. 前記コンピュータを、
    前記送信元特定手段により特定された電子メールの情報と同一または類似する電子メールの情報を備えた電子メールの中継を制御する制御手段を含めて機能させることを特徴とする請求項1乃至1の何れか1項に記載のプログラム。
  19. 前記コンピュータを、
    前記特定手段による特定方法に基づいて前記特定された電子メールを分類して表示の制御を行う表示制御手段を含めて機能させることを特徴とする請求項1乃至1の何れか1項に記載のプログラム。
  20. 前記実行手段を、他の情報処理装置での電子メールの中継を制御するために、前記送信元特定手段により特定された電子メールの情報を当該他の情報処理装置へ共有するものとして機能させるための請求項1乃至1の何れか1項に記載のプログラム。
  21. 前記実行手段を、前記送信元特定手段により特定された電子メールの情報を、異なる情報処理装置へ分岐して電子メールを送信する他の情報処理装置へ共有するものとして機能させるための請求項20に記載のプログラム。
  22. 電子メールを中継する情報処理装置であって、
    電子メールを受信する受手段と、
    前記受手段により受信した電子メールのなかから、同一または類似する電子メール特定する特定手段と、
    前記特定手段により特定された同一または類似する電子メールのなかから、送信元を異ならせて送信された電子メールを特定する送信元特定手段と、
    前記送信元特定手段によって特定した電子メールに係るアクションを実行する実行手段と、
    を備えることを特徴とする情報処理装置。
  23. 電子メールの送受信を行う情報処理装置であって、
    電子メールを受信する受信手段と、
    前記受信手段により受信した電子メールのなかから、同一または類似する電子メール特定する特定手段と、
    前記特定手段により特定された同一または類似する電子メールのなかから、送信元を異ならせて送信された電子メールを特定する送信元特定手段と、
    前記送信元特定手段によって特定した電子メールに係るアクションを実行する実行手段と、
    を備えることを特徴とする情報処理装置。
  24. 電子メールを中継する情報処理装置の制御方法であって、
    前記情報処理装置は、
    電子メールを受信する受付ステップと、
    前記受ステップにより受信した電子メールのなかから、同一または類似する電子メール特定する特定ステップと、
    前記特定ステップにより特定された同一または類似する電子メールのなかから、送信元を異ならせて送信された電子メールを特定する送信元特定ステップと、
    前記送信元特定ステップによって特定した電子メールに係るアクションを実行する実行ステップと、
    を実行することを特徴とする情報処理装置の制御方法。
  25. コンピュータを、
    電子メールを受信する受信手段と、
    前記受信手段により受信した電子メールのなかから、同一または類似する電子メールであって、送信元を異ならせて送信された電子メールを特定する特定手段と、
    前記特定手段によって特定した電子メールに係るアクションを実行する実行手段と、
    して機能させるためのプログラム。
JP2018124704A 2018-06-29 2018-06-29 情報処理装置、クライアント端末、制御方法、及びプログラム Active JP6493606B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018124704A JP6493606B1 (ja) 2018-06-29 2018-06-29 情報処理装置、クライアント端末、制御方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018124704A JP6493606B1 (ja) 2018-06-29 2018-06-29 情報処理装置、クライアント端末、制御方法、及びプログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2019039307A Division JP7206488B2 (ja) 2019-03-05 2019-03-05 情報処理装置、クライアント端末、制御方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP6493606B1 true JP6493606B1 (ja) 2019-04-03
JP2020004220A JP2020004220A (ja) 2020-01-09

Family

ID=65999168

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018124704A Active JP6493606B1 (ja) 2018-06-29 2018-06-29 情報処理装置、クライアント端末、制御方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP6493606B1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112039874A (zh) * 2020-08-28 2020-12-04 绿盟科技集团股份有限公司 一种恶意邮件的识别方法及装置

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7334283B2 (ja) 2022-02-03 2023-08-28 デジタルアーツ株式会社 情報処理装置、情報処理方法、及び情報処理プログラム
JP7429733B2 (ja) 2022-07-04 2024-02-08 Lineヤフー株式会社 電子メール処理システム、電子メール処理方法、およびプログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3949978B2 (ja) * 2002-02-21 2007-07-25 株式会社富士通ソーシアルサイエンスラボラトリ 電子メール受信拒否装置
JP2003348161A (ja) * 2002-05-23 2003-12-05 Nec Corp メールサーバ,メールシステムおよび迷惑メール削除方法ならびにプログラム
JP2004021623A (ja) * 2002-06-17 2004-01-22 Nec Soft Ltd ディレクトリサーバを利用した電子メールフィルタシステム及びサーバプログラム
JP4138518B2 (ja) * 2003-02-07 2008-08-27 富士通株式会社 メール管理方法、プログラム及び装置
JP2004348523A (ja) * 2003-05-23 2004-12-09 Nippon Telegr & Teleph Corp <Ntt> 文書フィルタリングシステムとプログラム
JP4916702B2 (ja) * 2005-10-28 2012-04-18 京セラ株式会社 携帯端末装置、制御方法及び制御プログラム
JP2008192122A (ja) * 2007-01-09 2008-08-21 Nec Corp 悪意メール検出装置、検出方法およびプログラム
JP2010171471A (ja) * 2009-01-20 2010-08-05 Hitachi Ltd メールフィルタリングシステム
JP6094056B2 (ja) * 2012-05-10 2017-03-15 富士通株式会社 メールチェック方法、メールチェック装置、及び、メールチェックプログラム
JP6149508B2 (ja) * 2013-05-20 2017-06-21 富士通株式会社 メールチェックプログラム、メールチェック装置及びメールチェックシステム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112039874A (zh) * 2020-08-28 2020-12-04 绿盟科技集团股份有限公司 一种恶意邮件的识别方法及装置
CN112039874B (zh) * 2020-08-28 2023-03-24 绿盟科技集团股份有限公司 一种恶意邮件的识别方法及装置

Also Published As

Publication number Publication date
JP2020004220A (ja) 2020-01-09

Similar Documents

Publication Publication Date Title
US10616272B2 (en) Dynamically detecting abnormalities in otherwise legitimate emails containing uniform resource locators (URLs)
US10419478B2 (en) Identifying malicious messages based on received message data of the sender
US6851058B1 (en) Priority-based virus scanning with priorities based at least in part on heuristic prediction of scanning risk
JP5118020B2 (ja) 電子メッセージ中での脅威の識別
US9760616B2 (en) Electronic mail creation recording medium, method, and information processing apparatus
US8549642B2 (en) Method and system for using spam e-mail honeypots to identify potential malware containing e-mails
JP5047624B2 (ja) アンチスパム技法の組込みを可能にするフレームワーク
US20120216046A1 (en) System and Method for Decrypting Files
JP6493606B1 (ja) 情報処理装置、クライアント端末、制御方法、及びプログラム
US20110173272A1 (en) Filtering of electonic mail messages destined for an internal network
US11297024B1 (en) Chat-based systems and methods for data loss prevention
US20200120052A1 (en) Systems and methods for detecting, reporting and cleaning metadata from inbound attachments
JP2022539622A (ja) アプリケーションソフトウェアファイル内の難読化コードを検出するための方法、装置、およびシステム
CN112511517A (zh) 一种邮件检测方法、装置、设备及介质
EP3281144B1 (en) Message report processing and threat prioritization
US9813412B1 (en) Scanning of password-protected e-mail attachment
US20040054742A1 (en) Method and system for detecting malicious activity and virus outbreak in email
US20060075099A1 (en) Automatic elimination of viruses and spam
JP6759610B2 (ja) 安全性判定装置、安全性判定プログラムおよび安全性判定方法
JP2006517310A (ja) 組織の電子メールメッセージにおいて悪質コードの存在を検知する方法およびシステム
JP2005284454A (ja) 迷惑メール配信防止システム、当該システムにおける情報端末及び電子メールサーバ
JP7206488B2 (ja) 情報処理装置、クライアント端末、制御方法、及びプログラム
JP6515621B2 (ja) メール処理サーバ、メール処理方法、およびメール処理プログラム
US11126722B1 (en) Replacement of e-mail attachment with URL
US8613092B2 (en) System, method and computer program product for updating a security system definition database based on prioritized instances of known unwanted data

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20180703

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181016

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181016

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20181031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181120

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20190115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190218

R151 Written notification of patent or utility model registration

Ref document number: 6493606

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250