JP6509752B2 - 通信システムおよびサーバ - Google Patents

通信システムおよびサーバ Download PDF

Info

Publication number
JP6509752B2
JP6509752B2 JP2016021760A JP2016021760A JP6509752B2 JP 6509752 B2 JP6509752 B2 JP 6509752B2 JP 2016021760 A JP2016021760 A JP 2016021760A JP 2016021760 A JP2016021760 A JP 2016021760A JP 6509752 B2 JP6509752 B2 JP 6509752B2
Authority
JP
Japan
Prior art keywords
server
mail
sender
determination information
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016021760A
Other languages
English (en)
Other versions
JP2017142568A (ja
Inventor
雪子 澤谷
雪子 澤谷
山田 明
山田  明
明大 半井
明大 半井
歩 窪田
歩 窪田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2016021760A priority Critical patent/JP6509752B2/ja
Publication of JP2017142568A publication Critical patent/JP2017142568A/ja
Application granted granted Critical
Publication of JP6509752B2 publication Critical patent/JP6509752B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、電子メールの正規性を判定する技術に関する。
受信者による事前の要請または受信者の同意がないにもかかわらず、受信者の意図を無視して無差別かつ大量に発信されるスパムメールが問題になっている。このようなスパムメールは、以下の点で個人および団体を問わずに脅威となり得る。
(1)添付ファイル等によるウイルス感染
(2)不要なメールの増加による受信者の業務生産性および効率の低下
(3)トラフィックの増加によるサーバおよびネットワークへの負荷の増大
(4)詐欺サイトへの誘導等による個人情報および機密情報の漏洩
そこで、このようなスパムメールを排除するための様々な対策が行われている。例えば、PC(Personal Computer)のメールアカウントに届くメールに対するフィルタがある。このフィルタは、送信者の情報(メールアドレスおよびホスト情報のブラックリストおよびホワイトリスト)による仕分け(非特許文献1参照)またはメール本文の構文解析を行う(非特許文献1、2参照)。また、スパムメールを送る送信元のIPアドレスに関するブラックリスト(非特許文献3参照)およびホワイトリスト(非特許文献4参照)が利用されている。
「17種類のフィルタリング機能」,[online],TransWARE,[2015年12月18日検索],インターネット<URL:http://www.transware.co.jp/product/ah/filter.html> 「Welcome to SpamAssassin!」,[online],The Apache Software Foundation,[2015年12月18日検索],インターネット<URL:https://svn.apache.org/repos/asf/spamassassin/branches/3.3/README> 「Spamhaus DNSBL Usage Terms」,[online],SPAMHAUS,[2015年12月18日検索],インターネット<URL:https://www.spamhaus.org/zen/> 「Policy of ips.whitelisted.org」,[online],UCEPROTECT−Network,[2015年12月18日検索],インターネット<URL:http://www.whitelisted.org/?go=policy>
スパムメールは、無差別的に送られる。一方、ある特定の企業等の団体または組織を狙って内容および送信元を詐称して送られる標的型攻撃メールがある。このような標的型攻撃メールに対して従来技術を適用した場合、以下の問題が生じる。標的型攻撃メールは、団体または組織をピンポイントで狙う。このため、標的型攻撃メールは、その団体または組織に対して限定的に送られるメールを偽装し、かつ特別に構築されたサーバから送信される場合が多い。団体または組織に対して限定的に送られるメールを偽装するメールに対して、メール本文の構文解析は機能しない可能性が高い。また、特別に構築されたサーバに関する情報をブラックリストおよびホワイトリストによって網羅することが難しいため、特別に構築されたサーバから送信されるメールに対して、従来のブラックリストおよびホワイトリストは機能しない可能性が高い。
本発明は、電子メールが正規メールであるか否かをより高精度に判定することができる技術を提供する。
本発明は、サーバと、受信者端末とを有し、前記サーバは、電子メールの送信者を示す送信者情報と、前記送信者の端末である送信元ホストから送信された前記電子メールが正規メールであるか否かを前記受信者端末のユーザが判定した判定結果を示すユーザ判定情報とを関連付けて記憶する記憶部と、前記送信者情報を含む前記電子メールを前記送信元ホストから受信し、かつ前記電子メールと、前記電子メールが正規メールであるか否かをサーバ処理部が判定した結果を示すサーバ判定情報とを前記受信者端末に送信し、かつ前記ユーザ判定情報を前記受信者端末から受信するサーバ通信部と、前記記憶部に記憶された前記ユーザ判定情報のうち前記サーバ通信部によって受信された前記電子メールに含まれる前記送信者情報に対応する前記ユーザ判定情報に基づいて前記サーバ判定情報を生成し、かつ生成された前記サーバ判定情報を前記サーバ通信部に出力し、かつ前記サーバ通信部によって受信された前記ユーザ判定情報に基づいて、前記記憶部に記憶された前記ユーザ判定情報を更新する前記サーバ処理部と、を有し、前記記憶部に記憶された前記ユーザ判定情報は、前記電子メールが正規メールであると判定したユーザの数と、前記電子メールが正規メールでないと判定したユーザの数とを含み、前記受信者端末は、前記電子メールと前記サーバ判定情報とを前記サーバから受信し、かつ前記ユーザ判定情報を前記サーバに送信する受信者通信部と、前記サーバ判定情報を前記受信者端末のユーザに提示する提示部と、前記ユーザからの指示に基づいて前記ユーザ判定情報を生成し、かつ生成された前記ユーザ判定情報を前記受信者通信部に出力する受信者処理部と、を有することを特徴とする通信システムである。
また、本発明は、サーバと、受信者端末とを有し、前記サーバは、電子メールの送信者を示す送信者情報と、前記送信者の端末である送信元ホストから送信された前記電子メールが正規メールであるか否かを前記受信者端末のユーザが判定した判定結果を示すユーザ判定情報とを関連付けて記憶する記憶部と、前記送信者情報を前記受信者端末から受信し、かつ前記電子メールが正規メールであるか否かをサーバ処理部が判定した結果を示すサーバ判定情報を前記受信者端末に送信し、かつ前記ユーザ判定情報を前記受信者端末から受信するサーバ通信部と、前記記憶部に記憶された前記ユーザ判定情報のうち前記サーバ通信部によって受信された前記送信者情報に対応する前記ユーザ判定情報に基づいて前記サーバ判定情報を生成し、かつ生成された前記サーバ判定情報を前記サーバ通信部に出力し、かつ前記サーバ通信部によって受信された前記ユーザ判定情報に基づいて、前記記憶部に記憶された前記ユーザ判定情報を更新する前記サーバ処理部と、を有し、前記受信者端末は、前記送信者情報を含む前記電子メールを前記送信元ホストから受信し、かつ受信された前記電子メールに含まれる前記送信者情報と前記ユーザ判定情報とを前記サーバに送信し、かつ前記サーバ判定情報を前記サーバから受信する受信者通信部と、前記サーバ判定情報を前記受信者端末のユーザに提示する提示部と、前記ユーザからの指示に基づいて前記ユーザ判定情報を生成し、かつ生成された前記ユーザ判定情報を前記受信者通信部に出力する受信者処理部と、を有することを特徴とする通信システムである。
また、本発明の通信システムにおいて、前記送信者情報は、送信者の名前を示す送信者名情報と、前記送信者のメールアドレスを示すアドレス情報との少なくとも1つを含むことを特徴とする。
また、本発明の通信システムにおいて、前記送信者情報は、前記送信元ホストのドメインを示すドメイン情報を含むことを特徴とする。
また、本発明の通信システムにおいて、前記記憶部はさらに、前記送信者のメールアドレスのドメインと関連するドメインと、前記送信元ホストのドメインと関連するドメインとの少なくとも1つを示す関連ドメイン情報を前記送信者情報および前記ユーザ判定情報と関連付けて記憶し、前記サーバ処理部は、前記サーバ通信部によって受信された前記電子メールに含まれる前記送信者情報と前記記憶部に記憶された前記送信者情報とを比較した結果と、前記サーバ通信部によって受信された前記電子メールの送信者のメールアドレスのドメインおよび前記電子メールの前記送信元ホストのドメインの少なくとも1つと前記記憶部に記憶された前記関連ドメイン情報とを比較した結果とに基づいて、前記記憶部に記憶された前記ユーザ判定情報のいずれか1つを選択し、かつ選択された前記ユーザ判定情報に基づいて前記サーバ判定情報を生成することを特徴とする。
また、本発明は、電子メールの送信者を示す送信者情報と、前記送信者の端末である送信元ホストから送信された前記電子メールが正規メールであるか否かを受信者端末のユーザが判定した判定結果を示すユーザ判定情報とを関連付けて記憶する記憶部と、前記送信者情報を含む前記電子メールを前記送信元ホストから受信し、かつ前記電子メールと、前記電子メールが正規メールであるか否かをサーバ処理部が判定した結果を示すサーバ判定情報とを前記受信者端末に送信し、かつ前記ユーザ判定情報を前記受信者端末から受信するサーバ通信部と、前記記憶部に記憶された前記ユーザ判定情報のうち前記サーバ通信部によって受信された前記電子メールに含まれる前記送信者情報に対応する前記ユーザ判定情報に基づいて前記サーバ判定情報を生成し、かつ生成された前記サーバ判定情報を前記サーバ通信部に出力し、かつ前記サーバ通信部によって受信された前記ユーザ判定情報に基づいて、前記記憶部に記憶された前記ユーザ判定情報を更新する前記サーバ処理部と、を有し、前記記憶部に記憶された前記ユーザ判定情報は、前記電子メールが正規メールであると判定したユーザの数と、前記電子メールが正規メールでないと判定したユーザの数とを含むことを特徴とするサーバである。
また、本発明は、電子メールの送信者を示す送信者情報と、前記送信者の端末である送信元ホストから送信された前記電子メールが正規メールであるか否かを受信者端末のユーザが判定した判定結果を示すユーザ判定情報とを関連付けて記憶する記憶部と、前記送信者情報を前記受信者端末から受信し、かつ前記電子メールが正規メールであるか否かをサーバ処理部が判定した結果を示すサーバ判定情報を前記受信者端末に送信し、かつ前記ユーザ判定情報を前記受信者端末から受信するサーバ通信部と、前記記憶部に記憶された前記ユーザ判定情報のうち前記サーバ通信部によって受信された前記送信者情報に対応する前記ユーザ判定情報に基づいて前記サーバ判定情報を生成し、かつ生成された前記サーバ判定情報を前記サーバ通信部に出力し、かつ前記サーバ通信部によって受信された前記ユーザ判定情報に基づいて、前記記憶部に記憶された前記ユーザ判定情報を更新する前記サーバ処理部と、を有することを特徴とするサーバである。
本発明によれば、電子メールが正規メールであるか否かをより高精度に判定することができる。
本発明の第1の実施形態による通信システムの構成を示すブロック図である。 本発明の第1の実施形態によるサーバの構成を示すブロック図である。 本発明の第1の実施形態による受信者端末の構成を示すブロック図である。 本発明の第1の実施形態におけるBWリストを示す参考図である。 本発明の第1の実施形態によるサーバの動作の手順を示すフローチャートである。 本発明の第1の実施形態による受信者端末の動作の手順を示すフローチャートである。 本発明の第1の実施形態によるサーバの動作の手順を示すフローチャートである。 本発明の第1の実施形態によるサーバの動作の手順を示すフローチャートである。 本発明の第1の実施形態によるサーバの動作の手順を示すフローチャートである。 本発明の第1の実施形態における第1のケースの状態図である。 本発明の第1の実施形態における第2のケースの状態図である。 本発明の第1の実施形態における第3のケースの状態図である。 本発明の第1の実施形態における第4のケースの状態図である。 本発明の第1の実施形態における第5のケースの状態図である。 本発明の第2の実施形態による通信システムの構成を示すブロック図である。 本発明の第2の実施形態によるサーバの動作の手順を示すフローチャートである。 本発明の第2の実施形態による受信者端末の動作の手順を示すフローチャートである。
以下、図面を参照し、本発明の実施形態を説明する。
(第1の実施形態)
図1は、本発明の第1の実施形態による通信システム1の構成を示している。図1に示すように、通信システム1は、サーバ10と、受信者端末20とを有する。
例えば、サーバ10は、受信者端末20が使用される団体または組織によって管理されるサーバである。サーバ10は、メールサーバとして機能する。サーバ10は、受信者端末20によって受信される電子メールの転送経路上に配置されている。サーバ10は、団体または組織のネットワークにおける電子メールの配信を管理する。サーバ10は、送信者の端末である送信元ホスト30から受信者端末20に送信された電子メールを受信し、かつ受信された電子メールを受信者端末20に転送する。例えば、受信者端末20は、特定の団体または組織に所属する人物によって使用される端末である。
図2は、サーバ10の構成を示している。図2に示すように、サーバ10は、記憶部100と、サーバ通信部101と、サーバ処理部102とを有する。
記憶部100は、不揮発性の記録媒体である。記憶部100は、電子メールの送信者を示す送信者情報と、送信元ホスト30から送信された電子メールが正規メールであるか否かを受信者端末20のユーザが判定した判定結果を示すユーザ判定情報とを関連付けて記憶する。具体的には、記憶部100は、送信者情報とユーザ判定情報とを含むBWリストを記憶する。BWリストは、ブラックリストおよびホワイトリストに相当する。
サーバ通信部101は、通信インターフェースである。サーバ通信部101は、送信者情報を含む電子メールを送信元ホスト30から受信する。サーバ通信部101は、電子メールと、電子メールが正規メールであるか否かをサーバ処理部102が判定した結果を示すサーバ判定情報とを受信者端末20に送信する。例えば、サーバ判定情報が付加された電子メールが受信者端末20に送信される。電子メールとサーバ判定情報とが別々に受信者端末20に送信されてもよい。サーバ通信部101は、ユーザ判定情報を受信者端末20から受信する。
サーバ処理部102は、CPU(Central Processing Unit)のような制御装置である。サーバ処理部102は、記憶部100に記憶されたユーザ判定情報のうちサーバ通信部101によって受信された電子メールに含まれる送信者情報に対応するユーザ判定情報に基づいてサーバ判定情報を生成する。サーバ処理部102は、生成されたサーバ判定情報をサーバ通信部101に出力する。サーバ処理部102は、サーバ通信部101によって受信されたユーザ判定情報に基づいて、記憶部100に記憶されたユーザ判定情報を更新する。
例えば、サーバ10のCPUが、記憶部100に記憶されたプログラムを読み込み、かつ読み込まれたプログラムを実行することにより、サーバ通信部101およびサーバ処理部102の機能が実現される。このプログラムは、例えばフラッシュメモリのような「コンピュータ読み取り可能な記録媒体」により提供されてもよい。また、上述したプログラムは、このプログラムが保存された記憶装置等を有するコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波によりサーバ10に伝送されてもよい。プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体である。また、上述したプログラムは、前述した機能の一部を実現してもよい。さらに、上述したプログラムは、前述した機能をコンピュータに既に記録されているプログラムとの組合せで実現できる差分ファイル(差分プログラム)であってもよい。
例えば、送信者情報は、送信者の名前を示す送信者名情報と、送信者のメールアドレスを示すアドレス情報との少なくとも1つを含む。送信者情報は、送信元ホスト30のドメインを示すドメイン情報を含んでもよい。
記憶部100はさらに、送信者のメールアドレスのドメインと関連するドメインと、送信元ホスト30のドメインと関連するドメインとの少なくとも1つを示す関連ドメイン情報を送信者情報およびユーザ判定情報と関連付けて記憶してもよい。サーバ処理部102は、サーバ通信部101によって受信された電子メールに含まれる送信者情報と記憶部100に記憶された送信者情報とを比較した結果と、サーバ通信部101によって受信された電子メールの送信者のメールアドレスのドメインおよび電子メールの送信元ホスト30のドメインの少なくとも1つと記憶部100に記憶された関連ドメイン情報とを比較した結果とに基づいて、記憶部100に記憶されたユーザ判定情報のいずれか1つを選択し、かつ選択されたユーザ判定情報に基づいてサーバ判定情報を生成してもよい。
図3は、受信者端末20の構成を示している。図3に示すように、受信者端末20は、受信者通信部200と、受信者処理部201と、提示部202と、操作部203とを有する。
受信者通信部200は、通信インターフェースである。受信者通信部200は、電子メールとサーバ判定情報とをサーバ10から受信する。受信者通信部200は、ユーザ判定情報をサーバ10に送信する。
受信者処理部201は、CPUのような制御装置である。受信者処理部201は、受信者端末20のユーザからの指示に基づいてユーザ判定情報を生成し、かつ生成されたユーザ判定情報を受信者通信部200に出力する。
提示部202は、サーバ判定情報を受信者端末20のユーザに提示する。例えば、提示部202は、液晶ディスプレイのような表示装置である。提示部202が表示装置である場合、提示部202は、サーバ判定情報を表示することによりサーバ判定情報をユーザに提示する。提示部202は、受信者通信部200によって受信された電子メール等の情報を表示してもよい。提示部202は、スピーカのような音声出力装置であってもよい。提示部202が音声出力装置である場合、提示部202は、サーバ判定情報に対応する音声を出力することによりサーバ判定情報をユーザに提示する。ユーザは、提示部202によって提示されたサーバ判定情報に基づいて、電子メールが正規メールと攻撃メールとのどちらであるのかを知ることができる。
操作部203は、キーボードおよびマウスのような入力装置である。操作部203は、受信者端末20のユーザによる操作を受け付ける。操作部203は、電子メールに対するユーザの判定結果の入力操作を受け付けたとき、その判定結果に対応した情報を受信者処理部201に出力する。受信者処理部201は、この情報に基づいてユーザ判定情報を生成する。
受信者端末20のユーザは、提示部202によって提示されるサーバ判定情報を参考にすることができる。しかし、ユーザは、電子メールが正規メールと攻撃メールとのどちらであるのかを自分自身で判定することもできる。例えば、電子メールにURL(Uniform Resource Locator)が記載されている場合、ユーザは、そのURLが示すウェブサイトにアクセスし、そのウェブサイトの情報に基づいて、判定を行う。ウェブサイトに特に不審な点が見当たらない場合、ユーザは、電子メールが正規メールであると判定することができる。ウェブサイトが不審なサイトである場合、ユーザは、電子メールが攻撃メールであると判定することができる。電子メールに添付ファイルが添付されている場合、ユーザは、その添付ファイルの情報に基づいて、判定を行ってもよい。添付ファイルが安全なファイルである場合、ユーザは、電子メールが正規メールであると判定することができる。添付ファイルがコンピュータウイルスを含むなど、添付ファイルが危険なファイルである場合、ユーザは、電子メールが攻撃メールであると判定することができる。ユーザは、上記の判定結果を操作部203により入力する。
例えば、受信者端末20のCPUがプログラムを実行することにより、受信者通信部200、受信者処理部201、提示部202、および操作部203の機能が実現される。このプログラムの実現形態は、サーバ10の機能を実現するプログラムの実現形態と同様である。
第1の実施形態では、標的型攻撃メールを含む電子メールに対して、ユーザが判定を行った結果がユーザ判定情報としてサーバ10によって管理される。この結果、従来のブラックリストおよびホワイトリストが網羅することが難しい送信者からの電子メールに対して、サーバ10がユーザ判定情報に基づいて判定を行うことができる。つまり、サーバ10は、電子メールが正規メールであるか否かをより高精度に判定することができる。
図4は、サーバ10の記憶部100に記憶されるBWリストの例を示している。図4に示すように、BWリストは、4つのエントリE1,E2,E3,E4を有する。各エントリは、9つの項目を含む。各項目は、送信者名と、メールアドレスと、送信元ホストのドメインと、関連ドメインと、正規判定数と、非正規判定数と、受信数と、判定フラグと、更新日とである。
送信者名と、メールアドレスと、送信元ホストのドメインとは、送信者情報である。サーバ10によって受信される電子メールは、送信者名と、メールアドレスと、送信元ホストのドメインとを含む。送信者名は、電子メールの送信者を示す。送信者名は、送信者名情報である。メールアドレスは、電子メールを送信した送信元ホスト30のメールアドレスである。メールアドレスは、アドレス情報である。メールアドレスの代わりに、メールアドレスのドメインが使用されてもよい。送信元ホストのドメインは、電子メールを送信した送信元ホスト30のドメインである。
関連ドメインは、電子メールが経由するサーバのドメインを示す。関連ドメインは、送信者のメールアドレスのドメインと関連するドメインと、送信元ホスト30のドメインと関連するドメインとの少なくとも1つを示す。例えば、サーバ処理部102は、メールアドレスのドメインまたは送信元ホスト30のドメインに基づくウェブクロールによって関連ドメインを収集する。関連ドメインは、関連ドメイン情報である。送信者名と、メールアドレスと、送信元ホストのドメインと、関連ドメインとは、電子メールから抽出される。
正規判定数と、非正規判定数とは、ユーザ判定情報である。正規判定数は、電子メールが正規メールであると判定したユーザの数である。非正規判定数は、電子メールが正規メールでないと判定したユーザの数である。非正規判定数は、電子メールが攻撃メールであると判定したユーザの数と、電子メールが正規メールと攻撃メールとのどちらであるか不明であると判定したユーザの数とを含み得る。第1の実施形態では、受信者端末20から受信されたユーザ判定情報は頻度情報として記憶部100に記憶される。
受信数は、受信された電子メールの数である。受信者端末20のユーザは電子メールに対する判定を自分自身で行うか否かを任意に決定できるため、受信された電子メールに対してユーザ判定情報が得られない場合がある。このため、正規判定数と非正規判定数との合計は、受信数と必ずしも一致しない。
判定フラグは、サーバ判定情報である。判定フラグは、各エントリに対応する電子メールが正規メールであるか否かを示す。サーバ処理部102は、正規判定数と非正規判定数とに基づいて、電子メールが正規メールであるか否かを定期的に判定し、かつ判定結果に基づいて判定フラグを更新する。例えば、サーバ処理部102は、正規判定数を正規判定数と非正規判定数との合計で割ることにより、電子メールが正規メールである確率を算出する。サーバ処理部102は、この確率が所定の閾値以上である場合、電子メールが正規メールであると判定する。サーバ処理部102は、この確率が所定の閾値未満である場合、電子メールが正規メールでないと判定する。サーバ処理部102は、受信数を重要度の係数とみなし、かつ上記の確率と受信数とに基づいて判定を行ってもよい。例えば、サーバ処理部102は、上記の確率を受信数で割った数が所定の閾値以上である場合、電子メールが正規メールであると判定する。サーバ処理部102は、上記の確率を受信数で割った数が所定の閾値未満である場合、電子メールが正規メールでないと判定する。
判定フラグに代えて、電子メールが正規メールである確率等のBWリストに登録されてもよい。BWリストが判定フラグを含まなくてもよい。例えば、サーバ処理部102は、電子メールが受信されたとき、正規判定数と非正規判定数とに基づいて、各エントリに対応する電子メールが正規メールであるか否かを判定してもよい。これによって、判定フラグに対応するサーバ判定情報が生成される。
更新日は、各エントリが最後に更新された日である。サーバ処理部102は、新たに受信された電子メールから抽出された送信者名と、メールアドレスと、送信元ホストのドメインと、関連ドメインとの少なくとも1つが、BWリストに登録された情報と一致しない場合、新しいエントリをBWリストに生成する。これらの4つの項目のうち関連ドメインのみが一致しない場合、BWリストに存在するエントリの関連ドメインにその関連ドメインが追加されてもよい。
サーバ10の動作を説明する。図5は、サーバ10の動作の手順を示している。
(ステップS100)
サーバ通信部101は、電子メールを送信元ホスト30から受信し、かつ受信された電子メールをサーバ処理部102に出力する。送信元ホスト30から送信された電子メールは、受信者端末20に転送される経路の途中でサーバ10を経由する。
(ステップS101)
電子メールが受信された後、サーバ処理部102は、電子メールから送信者情報を抽出する。
(ステップS102)
送信者情報が抽出された後、サーバ処理部102は、メール判定処理により、電子メールが正規メールであるか否かを判定し、かつサーバ判定情報を生成する。メール判定処理の詳細については、後述する。例えば、サーバ判定情報は、正規メールと攻撃メールと不明メールとのいずれか1つを示す。不明メールは、正規メールと攻撃メールとのいずれか1つに特定できないメールである。サーバ処理部102は、サーバ判定情報が付加された電子メールをサーバ通信部101に出力する。
(ステップS103)
メール判定処理が行われた後、サーバ通信部101は、サーバ判定情報が付加された電子メールを受信者端末20に送信する。これによって、サーバ通信部101は、電子メールとサーバ判定情報とを受信者端末20に送信する。サーバ処理部102は、電子メールとサーバ判定情報とを別々に受信者端末20に送信してもよい。
(ステップS104)
電子メールとサーバ判定情報とが送信された後、サーバ通信部101は、ユーザ判定情報を受信者端末20から受信し、かつ受信されたユーザ判定情報をサーバ処理部102に出力する。
(ステップS105)
サーバ処理部102は、ユーザ判定情報に基づいて、記憶部100に記憶されたBWリストを更新する。つまり、サーバ処理部102は、ユーザ判定情報の内容に応じて、BWリストにおける正規判定数または非正規判定数を1増加させる。サーバ処理部102はさらに、BWリストにおける受信数を1増加させる。サーバ10は、ステップS100からステップS105の一連の処理を繰り返し行う。
受信者端末20の動作を説明する。図6は、受信者端末20の動作の手順を示している。
(ステップS200)
受信者通信部200は、サーバ判定情報が付加された電子メールをサーバ10から受信する。これによって、受信者通信部200は、電子メールとサーバ判定情報とをサーバ10から受信する。受信者通信部200は、受信された電子メールとサーバ判定情報とを受信者処理部201に出力する。
(ステップS201)
受信者処理部201は、サーバ判定情報を提示部202に出力する。提示部202は、サーバ判定情報を受信者端末20のユーザに提示する。これによって、ユーザは、電子メールが正規メールであるか否かをサーバ10が判定した結果を知ることができる。
(ステップS202)
サーバ判定情報がユーザに提示された後、操作部203は、電子メールに対するユーザの判定結果の入力操作を受け付け、かつその判定結果に対応した情報を受信者処理部201に出力する。受信者処理部201は、この情報に基づいてユーザ判定情報を生成する。例えば、判定結果が正規メールを示す場合、受信者処理部201は、電子メールが正規メールであることを示すユーザ判定情報を生成する。判定結果が攻撃メールを示す場合、受信者処理部201は、電子メールが攻撃メールであることを示すユーザ判定情報を生成する。受信者処理部201は、生成されたユーザ判定情報を受信者通信部200に出力する。このとき、提示部202は、電子メールをユーザに提示してもよい。例えば、提示部202は、電子メールを表示してもよい。ユーザは、電子メールに記載されたURLまたは電子メールに添付された添付ファイル等に基づいて、電子メールに対する判定を行う。
(ステップS203)
ユーザ判定情報が生成された後、受信者通信部200は、ユーザ判定情報をサーバ10に送信する(ステップS203)。受信者端末20は、ステップS200からステップS203の一連の処理を繰り返し行う。
ユーザが全ての電子メールに対して上記の判定を行う必要はない。このため、ステップS202とステップS203とにおける処理が行われなくてもよい。受信者端末20において、ステップS202とステップS203とにおける処理が行われない場合、サーバ10において、ステップS104とステップS105とにおける処理は行われない。
ステップS102におけるメール判定処理を説明する。図7と図8と図9とは、メール判定処理の手順を示している。
(ステップS300)
サーバ処理部102は、BWリストのエントリのうち、送信者名が電子メールの送信者名と一致するエントリがあるか否かを判定する。送信者名が電子メールの送信者名と一致するエントリがある場合、ステップS301における処理が行われる。送信者名が電子メールの送信者名と一致するエントリがない場合、ステップS306における処理が行われる。
(ステップS301)
ステップS300における判定の結果、BWリストのエントリは、電子メールに含まれる情報と部分的に一致する。サーバ処理部102は、部分的に一致するエントリのうちメールアドレスが電子メールのメールアドレスと一致するエントリがあるか否かを判定する。メールアドレスが電子メールのメールアドレスと一致するエントリがある場合、ステップS302における処理が行われる。メールアドレスが電子メールのメールアドレスと一致するエントリがない場合、ステップS303における処理が行われる。
(ステップS302)
ステップS300等における判定の結果、BWリストのエントリは、電子メールに含まれる情報と部分的に一致する。サーバ処理部102は、部分的に一致するエントリのうち送信元ホストのドメインが電子メールの送信元ホスト30のドメインと一致するエントリがあるか否かを判定する。送信元ホストのドメインが電子メールの送信元ホスト30のドメインと一致するエントリがある場合、ステップS308における処理が行われる。送信元ホスト30のドメインが電子メールの送信元ホスト30のドメインと一致するエントリがない場合、ステップS305における処理が行われる。
(ステップS303)
ステップS300における判定の結果、BWリストのエントリは、電子メールに含まれる情報と部分的に一致する。サーバ処理部102は、部分的に一致するエントリのうちメールアドレスのドメインが電子メールの送信者アドレスのドメインと類似するエントリがあるか否かを判定する。メールアドレスのドメインが電子メールの送信者アドレスのドメインと類似するエントリがある場合、ステップS304における処理が行われる。メールアドレスのドメインが電子メールの送信者メールアドレスのドメインと類似するエントリがない場合、ステップS307における処理が行われる。
(ステップS304)
ステップS300における判定の結果、BWリストのエントリは、電子メールに含まれる情報と部分的に一致する。サーバ処理部102は、部分的に一致するエントリの関連ドメインが電子メールの送信者メールアドレスのドメインと一致するか否かを判定する。部分的に一致するエントリの関連ドメインが電子メールの送信者メールアドレスのドメインと一致する場合、ステップS302における処理が行われる。部分的に一致するエントリの関連ドメインが電子メールの送信者メールアドレスのドメインと一致しない場合、ステップS307における処理が行われる。
(ステップS305)
ステップS300等における判定の結果、BWリストのエントリは、電子メールに含まれる情報と部分的に一致する。サーバ処理部102は、部分的に一致するエントリの関連ドメインが電子メールの送信元ホスト30のドメインと一致するか否かを判定する。部分的に一致するエントリの関連ドメインが電子メールの送信元ホスト30のドメインと一致する場合、ステップS308における処理が行われる。部分的に一致するエントリの関連ドメインが電子メールの送信元ホスト30のドメインと一致しない場合、ステップS311における処理が行われる。
(ステップS306)
サーバ処理部102は、メールアドレスが電子メールのメールアドレスと一致するエントリがあるか否かを判定する。メールアドレスが電子メールのメールアドレスと一致するエントリがある場合、ステップS308における処理が行われる。メールアドレスが電子メールのメールアドレスと一致するエントリがない場合、ステップS313における処理が行われる。
(ステップS307)
ステップS300等における判定の結果、BWリストのエントリは、電子メールに含まれる情報と部分的に一致する。サーバ処理部102は、部分的に一致するエントリのうち送信元ホストのドメインが電子メールの送信元ホスト30のドメインと一致するエントリがあるか否かを判定する。送信元ホストのドメインが電子メールの送信元ホスト30のドメインと一致するエントリがある場合、ステップS308における処理が行われる。送信元ホストのドメインが電子メールの送信元ホスト30のドメインと一致するエントリがない場合、ステップS310における処理が行われる。
(ステップS308)
ステップS300等における判定の結果、BWリストのエントリは、電子メールに含まれる情報と部分的に一致する。サーバ処理部102は、部分的に一致するエントリが正規メールのエントリであるか否かを判定する。判定フラグが正規メールを示す場合、そのエントリは正規メールのエントリである。判定フラグが非正規メールを示す場合、そのエントリは正規メールのエントリではない。部分的に一致するエントリが正規メールのエントリである場合、ステップS309における処理が行われる。部分的に一致するエントリが正規メールのエントリでない場合、ステップS312における処理が行われる。
(ステップS309)
サーバ処理部102は、電子メールが正規メールであると判定する。サーバ処理部102は、判定結果を示すサーバ判定情報を生成し、かつサーバ判定情報が付加された電子メールをサーバ通信部101に出力する。
(ステップS310)
ステップS300等における判定の結果、BWリストのエントリは、電子メールに含まれる情報と部分的に一致する。サーバ処理部102は、部分的に一致するエントリの関連ドメインが電子メールの送信元ホスト30のドメインと一致するか否かを判定する。部分的に一致するエントリの関連ドメインが電子メールの送信元ホスト30のドメインと一致する場合、ステップS308における処理が行われる。部分的に一致するエントリの関連ドメインが電子メールの送信元ホスト30のドメインと一致しない場合、ステップS311における処理が行われる。
(ステップS311)
ステップS300等における判定の結果、BWリストのエントリは、電子メールに含まれる情報と部分的に一致する。サーバ処理部102は、部分的に一致するエントリが正規メールのエントリであるか否かを判定する。部分的に一致するエントリが正規メールのエントリである場合、ステップS312における処理が行われる。部分的に一致するエントリが正規メールのエントリでない場合、ステップS317における処理が行われる。
(ステップS312)
サーバ処理部102は、電子メールが攻撃メールであると判定する。サーバ処理部102は、判定結果を示すサーバ判定情報を生成し、かつサーバ判定情報が付加された電子メールをサーバ通信部101に出力する。
(ステップS313)
サーバ処理部102は、メールアドレスが電子メールのメールアドレスと類似するエントリがあるか否かを判定する。メールアドレスが電子メールのメールアドレスと類似するエントリがある場合、ステップS314における処理が行われる。メールアドレスが電子メールのメールアドレスと類似するエントリがない場合、ステップS317における処理が行われる。
(ステップS314)
ステップS313における判定の結果、BWリストのエントリは、電子メールに含まれる情報と部分的に類似する。サーバ処理部102は、部分的に類似するエントリの関連ドメインが電子メールの送信者メールアドレスドメインと一致するか否かを判定する。部分的に類似するエントリの関連ドメインが電子メールの送信者メールアドレスドメインと一致する場合、ステップS302における処理が行われる。部分的に類似するエントリの関連ドメインが電子メールの送信者メールアドレスドメインと一致しない場合、ステップS315における処理が行われる。
(ステップS315)
ステップS313における判定の結果、BWリストのエントリは、電子メールに含まれる情報と部分的に類似する。サーバ処理部102は、部分的に類似するエントリのうち送信元ホストのドメインが電子メールの送信元ホスト30のドメインと一致するエントリがあるか否かを判定する。部分的に類似するエントリのうち送信元ホストのドメインが電子メールの送信元ホスト30のドメインと一致するエントリがある場合、ステップS308における処理が行われる。部分的に類似するエントリのうち送信元ホストのドメインが電子メールの送信元ホスト30のドメインと一致するエントリがない場合、ステップS316における処理が行われる。
(ステップS316)
ステップS313における判定の結果、BWリストのエントリは、電子メールに含まれる情報と部分的に類似する。サーバ処理部102は、部分的に類似するエントリの関連ドメインが電子メールの送信元ホスト30のドメインと一致するか否かを判定する。部分的に類似するエントリの関連ドメインが電子メールの送信元ホスト30のドメインと一致する場合、ステップS308における処理が行われる。部分的に類似するエントリの関連ドメインが電子メールの送信元ホスト30のドメインと一致しない場合、ステップS311における処理が行われる。
(ステップS317)
サーバ処理部102は、電子メールが不明メールであると判定する。サーバ処理部102は、判定結果を示すサーバ判定情報を生成し、かつサーバ判定情報が付加された電子メールをサーバ通信部101に出力する。
ステップS316における判定の結果が否定的であった場合、サーバ処理部102は、電子メールのメールアドレスのドメインおよび送信元ホスト30のドメインと、BWリストの部分的に類似するエントリの送信元ホストのドメインおよび関連ドメインのwhois情報を検索してもよい。電子メールの各ドメインと、BWリストの部分的に類似するエントリの各ドメインとにおいて、登録者等に共通性がある場合、BWリストにおける正規メールの送信者と同一の団体または組織に所属する送信者からの電子メールが受信された可能性が高い。この場合、サーバ処理部102は、電子メールが正規メールであると判定してもよい。
メール判定処理の具体的な例を説明する。以下では、5つのケースについて説明する。図10から図14は、各ケースの状態を示している。各図において、BWリストのうち、正規判定数と非正規判定数と受信数と更新日とを除く項目が示されている。
(第1のケース)
図10は、第1のケースにおける状態を示している。サーバ10によって受信された電子メールの送信者名は「へのへの もへじ」であり、かつメールアドレスは「henoheno@A.com」であり、かつ送信元ホスト30のドメインは「mail.A.com」である。
電子メールの送信者名である「へのへの もへじ」は、BWリストのエントリE1の送信者名である「へのへの もへじ」と一致する(ステップS300)。電子メールのメールアドレスである「henoheno@A.com」は、BWリストのエントリE1のメールアドレスである「henoheno@A.com」と一致する(ステップS301)。電子メールの送信元ホスト30のドメインである「mail.A.com」は、BWリストのエントリE1の送信元ホストのドメインである「mail.A.com」と一致する(ステップS302)。BWリストのエントリE1の判定フラグは、エントリE1に対応する電子メールが正規メールであることを示す(ステップS308)。このため、サーバ処理部102は、電子メールが正規メールであると判定し、かつ正規メールを示すサーバ判定情報を生成する(ステップS309)。
第1のケースにおいて、送信者名とメールアドレスと送信元ホストのドメインとの組合せに関して、電子メールの情報とBWリストにおける正規メールの情報とが一致する。この場合、サーバ10によって受信された電子メールは、正規メールであると判定される。
(第2のケース)
図11は、第2のケースにおける状態を示している。サーバ10によって受信された電子メールの送信者名は「へのへの もへじ」であり、かつメールアドレスは「henoheno@ya−−huhu.com」であり、かつ送信元ホスト30のドメインは「mail.du−−mmy.com」である。
電子メールの送信者名である「へのへの もへじ」は、BWリストのエントリE1の送信者名である「へのへの もへじ」であると一致する(ステップS300)。電子メールのメールアドレスである「henoheno@ya−−huhu.com」は、BWリストのエントリE1のメールアドレスである「henoheno@A.com」と一致しない(ステップS301)。電子メールのメールアドレスのドメインである「ya−−huhu.com」は、BWリストのエントリE1のメールアドレスのドメインである「A.com」と類似しない(ステップS303)。
電子メールの送信元ホスト30のドメインである「mail.du−−mmy.com」は、BWリストのエントリE1の送信元ホストのドメインである「mail.A.com」と一致しない(ステップS307)。電子メールの送信元ホスト30のドメインである「mail.du−−mmy.com」は、BWリストのエントリE1の関連ドメインである「A−−another.com」および「A−−test.com」と一致しない(ステップS310)。BWリストのエントリE1の判定フラグは、エントリE1に対応する電子メールが正規メールであることを示す(ステップS311)。このため、サーバ処理部102は、電子メールが攻撃メールであると判定し、かつ攻撃メールを示すサーバ判定情報を生成する(ステップS312)。
第2のケースにおいて、電子メールの送信者名とBWリストにおける正規メールの送信者名とは一致する。しかし、電子メールのメールアドレスおよび送信元ホストのドメインの組合せに関して、電子メールの情報とBWリストにおける正規メールの情報とは一致しない。この場合、電子メールの送信者名が偽装されている可能性が高い。このため、サーバ10によって受信された電子メールは、攻撃メールであると判定される。
(第3のケース)
図12は、第3のケースにおける状態を示している。サーバ10によって受信された電子メールの送信者名は「へのへの もへじ」であり、かつメールアドレスは「henoheno@A.com」であり、かつ送信元ホスト30のドメインは「mail.du−−mmy.com」である。
電子メールの送信者名である「へのへの もへじ」は、BWリストのエントリE1の送信者名である「へのへの もへじ」と一致する(ステップS300)。電子メールのメールアドレスである「henoheno@A.com」は、BWリストのエントリE1のメールアドレスである「henoheno@A.com」と一致する(ステップS301)。電子メールの送信元ホスト30のドメインである「mail.du−−mmy.com」は、BWリストのエントリE1の送信元ホストのドメインである「mail.A.com」と一致しない(ステップS302)。電子メールの送信元ホスト30のドメインである「mail.du−−mmy.com」は、BWリストのエントリE1の関連ドメインである「A−−another.com」および「A−−test.com」と一致しない(ステップS305)。BWリストのエントリE1の判定フラグは、エントリE1に対応する電子メールが正規メールであることを示す(ステップS311)。このため、サーバ処理部102は、電子メールが攻撃メールであると判定し、かつ攻撃メールを示すサーバ判定情報を生成する(ステップS312)。
第3のケースにおいて、電子メールの送信者名とBWリストにおける正規メールの送信者名とは一致する。また、電子メールのメールアドレスとBWリストにおける正規メールのメールアドレスとは一致する。しかし、電子メールの送信元ホスト30のドメインとBWリストにおける正規メールの送信元ホストのドメインとは一致しない。この場合、電子メールの送信者名が偽装されている可能性が高い。このため、サーバ10によって受信された電子メールは、攻撃メールであると判定される。
(第4のケース)
図13は、第4のケースにおける状態を示している。サーバ10によって受信された電子メールの送信者名は「ぺけぺけ ぽん」であり、かつメールアドレスは「henoheno@A−−test.com」であり、かつ送信元ホスト30のドメインは「A−−another.com」である。
電子メールの送信者名である「ぺけぺけ ぽん」は、BWリストのどのエントリの送信者名とも一致しない(ステップS300)。電子メールのメールアドレスである「henoheno@A−−test.com」は、BWリストのどのエントリのメールアドレスとも一致しない(ステップS306)。電子メールのメールアドレスである「henoheno@A−−test.com」は、BWリストのエントリE1のメールアドレスである「henoheno@A.com」と類似する(ステップS313)。電子メールのメールアドレスのドメインである「A−−test.com」は、BWリストのエントリE1の関連ドメインである「A−−test.com」と一致する(ステップS314)。
電子メールの送信元ホスト30のドメインである「A−−another.com」は、BWリストのエントリE1の送信元ホストのドメインである「mail.A.com」と一致しない(ステップS302)。電子メールの送信元ホスト30のドメインである「A−−another.com」は、BWリストのエントリE1の関連ドメインである「A−−another.com」と一致する(ステップS305)。BWリストのエントリE1の判定フラグは、エントリE1に対応する電子メールが正規メールであることを示す(ステップS308)。このため、サーバ処理部102は、電子メールが正規メールであると判定し、かつ正規メールを示すサーバ判定情報を生成する(ステップS309)。
第4のケースにおいて、電子メールの送信者名およびメールアドレスの組合せに関して、電子メールの情報とBWリストにおける正規メールの情報とは一致しない。電子メールのメールアドレスは、BWリストにおける正規メールのメールアドレスと類似する。この場合、電子メールが標的型攻撃メールである可能性がある。電子メールのメールアドレスのドメインは、BWリストにおける正規メールの関連ドメインと一致する。また、電子メールの送信元ホスト30のドメインは、BWリストにおける正規メールの関連ドメインと一致する。この場合、BWリストにおける正規メールの送信者と同一の団体または組織に所属する送信者からの電子メールが受信された可能性が高い。このため、サーバ10によって受信された電子メールは、正規メールであると判定される。
(第5のケース)
図14は、第5のケースにおける状態を示している。サーバ10によって受信された電子メールの送信者名は「ぺけぺけ ぽん」であり、かつメールアドレスは「henoheno@A−du−−mmy.com」であり、かつ送信元ホスト30のドメインは「mail.du−−mmy.com」である。
電子メールの送信者名である「ぺけぺけ ぽん」は、BWリストのどのエントリの送信者名とも一致しない(ステップS300)。電子メールのメールアドレスである「henoheno@A−du−−mmy.com」は、BWリストのどのエントリのメールアドレスとも一致しない(ステップS306)。電子メールのメールアドレスである「henoheno@A−du−−mmy.com」は、BWリストのエントリE1のメールアドレスである「henoheno@A.com」と類似する(ステップS313)。電子メールのメールアドレスのドメインである「A−du−−mmy.com」は、BWリストのエントリE1の関連ドメインである「A−−test.com」と一致しない(ステップS314)。
電子メールの送信元ホスト30のドメインである「mail.du−−mmy.com」は、BWリストのエントリE1の送信元ホストのドメインである「mail.A.com」と一致しない(ステップS315)。電子メールの送信元ホスト30のドメインである「mail.du−−mmy.com」は、BWリストのエントリE1の関連ドメインである「A−−another.com」および「A−−test.com」と一致しない(ステップS316)。BWリストのエントリE1の判定フラグは、エントリE1に対応する電子メールが正規メールであることを示す(ステップS311)。このため、サーバ処理部102は、電子メールが攻撃メールであると判定し、かつ攻撃メールを示すサーバ判定情報を生成する(ステップS312)。
第5のケースにおいて、電子メールの送信者名およびメールアドレスの組合せに関して、電子メールの情報とBWリストにおける正規メールの情報とは一致しない。電子メールのメールアドレスは、BWリストにおける正規メールのメールアドレスと類似する。この場合、電子メールが標的型攻撃メールである可能性がある。電子メールのメールアドレスのドメインは、BWリストにおける正規メールの関連ドメインと一致しない。また、電子メールの送信元ホスト30のドメインは、BWリストにおける正規メールの送信元ホストのドメインおよび関連ドメインと一致しない。この場合、電子メールが標的型攻撃メールである可能性が高い。このため、サーバ10によって受信された電子メールは、攻撃メールであると判定される。
第1の実施形態において、記憶部100は、電子メールに記載されたURLを示すURL情報を送信者情報およびユーザ判定情報と関連付けて記憶してもよい。例えば、BWリストの各エントリに対して、URLが追加されてもよい。サーバ処理部102は、サーバ通信部101によって受信された電子メールに含まれる送信者情報と記憶部100に記憶された送信者情報とを比較した結果と、サーバ通信部101によって受信された電子メールに含まれるURLと記憶部100に記憶されたURL情報とを比較した結果とに基づいて、記憶部100に記憶されたユーザ判定情報のいずれか1つを選択し、かつ選択されたユーザ判定情報に基づいてサーバ判定情報を生成してもよい。例えば、真の送信者から送信される電子メールに記載されたURLがBWリストに登録される。この電子メールに対するユーザ判定情報は、正規メールを示す可能性が高い。真の送信者を偽装した送信者から攻撃メールが送信された場合、その攻撃メールには、正規の電子メールに記載されたURLと異なるURLが記載される。この攻撃メールに対するユーザ判定情報は、攻撃メールを示す可能性が高い。例えば、メール判定処理によって電子メールが不明メールと判定された場合、サーバ処理部102は、電子メールに含まれるURLに対応するユーザ判定情報に基づいてサーバ判定情報を生成してもよい。送信者情報に加えてURL情報を判定に使用することにより、サーバ10は、電子メールが正規メールであるか否かをより高精度に判定することができる。
第1の実施形態において、記憶部100は、電子メールに添付された添付ファイルを示すファイル情報を送信者情報およびユーザ判定情報と関連付けて記憶してもよい。例えば、BWリストの各エントリに対して、ファイル情報が追加されてもよい。例えば、ファイル情報は、添付ファイルのハッシュ値である。サーバ処理部102は、サーバ通信部101によって受信された電子メールに含まれる送信者情報と記憶部100に記憶された送信者情報とを比較した結果と、サーバ通信部101によって受信された電子メールに含まれる添付ファイルの情報と記憶部100に記憶されたファイル情報とを比較した結果とに基づいて、記憶部100に記憶されたユーザ判定情報のいずれか1つを選択し、かつ選択されたユーザ判定情報に基づいてサーバ判定情報を生成してもよい。例えば、真の送信者から送信される電子メールに添付された添付ファイルの情報がBWリストに登録される。この電子メールに対するユーザ判定情報は、正規メールを示す可能性が高い。真の送信者を偽装した送信者から攻撃メールが送信された場合、その攻撃メールには、正規の電子メールに添付されたファイルと異なるファイルが添付される。この攻撃メールに対するユーザ判定情報は、攻撃メールを示す可能性が高い。例えば、メール判定処理によって電子メールが不明メールと判定された場合、サーバ処理部102は、電子メールに添付された添付ファイルに対応するユーザ判定情報に基づいてサーバ判定情報を生成してもよい。送信者情報に加えてファイル情報を判定に使用することにより、サーバ10は、電子メールが正規メールであるか否かをより高精度に判定することができる。
上記のように、第1の実施形態において、サーバ10は、電子メールに含まれる送信者情報に対応するユーザ判定情報に基づいて、電子メールが正規メールであるか否かを判定する。このため、サーバ10は、電子メールが正規メールであるか否かをより高精度に判定することができる。標的型攻撃メールのみならず、スパムメールおよびフィッシングメールに対しても、サーバ10は攻撃メールであると判定することができる。第1の実施形態で提供されるメール判定技術と従来のフィルタとを併用することにより、より網羅性の高いメール判定が可能となる。
受信者端末20から送信されるユーザ判定情報に基づいて、サーバ10の記憶部100に記憶されたユーザ判定情報が自動的に更新される。このため、ユーザ判定情報の管理が容易である。
送信者名およびメールアドレスの偽装が容易であるため、従来技術において、これらの情報に対するホワイトリストの信頼性が低い。しかし、送信元ホスト30のドメインを偽装することは困難であるため、この情報を送信者情報と組み合わせて判定を行うことにより、サーバ10は、電子メールが正規メールであるか否かをより高精度に判定することができる。
スパムメール等のフィルタ技術では、団体または組織に届く電子メールに関する情報が、フィルタを提供するセキュリティベンダに送信され、かつそのセキュリティベンダ内で解析が行われることが多い。しかし、メールサーバを保有する団体または組織にとって、取引先のメールアドレスおよびメール本文等は機密情報となりえる場合がある。このため、電子メールに関する情報を外部に提供したり、異なる組織間でブラックリストおよびホワイトリストの情報を共有したりすることが難しい。このため、サーバ10は、受信者端末20が使用される団体または組織によって管理されるサーバであることが望ましい。これによって、情報の提供または共有に関する問題が解決される。
(第2の実施形態)
図15は、本発明の第2の実施形態による通信システム2の構成を示している。図15に示すように、通信システム2は、サーバ11と、受信者端末21とを有する。
例えば、サーバ11は、受信者端末21が使用される団体または組織によって管理されるサーバである。サーバ11は、メールサーバの機能を有していなくてよい。例えば、受信者端末21は、特定の団体または組織に所属する人物によって使用される端末である。送信元ホスト30から送信された電子メールは、メールサーバ40を経由して受信者端末21によって受信される。
サーバ11の構成は、図2に示すサーバ10の構成と同様である。記憶部100は、電子メールの送信者を示す送信者情報と、送信元ホスト30から送信された電子メールが正規メールであるか否かを受信者端末21のユーザが判定した判定結果を示すユーザ判定情報とを関連付けて記憶する。サーバ通信部101は、送信者情報を受信者端末21から受信する。サーバ通信部101は、電子メールが正規メールであるか否かをサーバ処理部102が判定した結果を示すサーバ判定情報を受信者端末21に送信する。サーバ通信部101は、ユーザ判定情報を受信者端末21から受信する。サーバ処理部102は、記憶部100に記憶されたユーザ判定情報のうちサーバ通信部101によって受信された送信者情報に対応するユーザ判定情報に基づいてサーバ判定情報を生成する。サーバ処理部102は、生成されたサーバ判定情報をサーバ通信部101に出力する。サーバ処理部102は、サーバ通信部101によって受信されたユーザ判定情報に基づいて、記憶部100に記憶されたユーザ判定情報を更新する。
受信者端末21の構成は、図3に示す受信者端末20の構成と同様である。受信者通信部200は、送信者情報を含む電子メールを送信元ホスト30から受信する。受信者通信部200は、受信された電子メールに含まれる送信者情報とユーザ判定情報とをサーバ11に送信する。受信者通信部200は、サーバ判定情報をサーバ11から受信する。受信者処理部201は、受信者端末21のユーザからの指示に基づいてユーザ判定情報を生成し、かつ生成されたユーザ判定情報を受信者通信部200に出力する。提示部202は、サーバ判定情報を受信者端末21のユーザに提示する。操作部203は、受信者端末21のユーザによる操作を受け付ける。
サーバ11の動作を説明する。図16は、サーバ11の動作の手順を示している。以下では、図5に示すサーバ10の動作と異なる点を説明する。
(ステップS110)
サーバ通信部101は、送信者情報を受信者端末21から受信する。
送信者情報が受信された後、ステップS102におけるメール判定処理が行われる。図16に示すステップS102におけるメール判定処理は、図5に示すステップS102におけるメール判定処理と同様である。
(ステップS111)
メール判定処理が行われた後、サーバ通信部101は、サーバ判定情報を受信者端末21に送信する。
サーバ判定情報が送信された後、ステップS104およびステップS105の各々における処理が行われる。図16に示すステップS104およびステップS105の各々における処理は、図5に示すステップS104およびステップS105の各々における処理と同様である。
受信者端末21の動作を説明する。図17は、受信者端末21の動作の手順を示している。以下では、図6に示す受信者端末20の動作と異なる点を説明する。
(ステップS210)
受信者通信部200は、電子メールを送信元ホスト30から受信し、かつ受信された電子メールを受信者処理部201に出力する。この電子メールは、メールサーバ40を経由した電子メールである。
(ステップS211)
電子メールが受信された後、受信者処理部201は、電子メールから送信者情報を抽出する。受信者処理部201は、抽出された送信者情報を受信者通信部200に出力する。
(ステップS212)
送信者情報が抽出された後、受信者通信部200は、送信者情報をサーバ11に送信する。
(ステップS213)
送信者情報が送信された後、受信者通信部200は、サーバ判定情報をサーバ11から受信し、かつ受信されたサーバ判定情報を受信者処理部201に出力する。
サーバ判定情報が受信された後、ステップS201からステップS203の各々における処理が行われる。図17に示すステップS201からステップS203の各々における処理は、図6に示すステップS201からステップS203の各々における処理と同様である。
受信者端末21は、送信元ホスト30から受信した電子メールをサーバ11に転送することにより送信者情報をサーバ11に送信してもよい。
第2の実施形態において、サーバ11は、電子メールが正規メールであるか否かをより高精度に判定することができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
1,2 通信システム、10,11 サーバ、20,21 受信者端末、30 送信元ホスト、40 メールサーバ、100 記憶部、101 サーバ通信部、102 サーバ処理部、200 受信者通信部、201 受信者処理部、202 提示部、203 操作部

Claims (7)

  1. サーバと、受信者端末とを有し、
    前記サーバは、
    電子メールの送信者を示す送信者情報と、前記送信者の端末である送信元ホストから送信された前記電子メールが正規メールであるか否かを前記受信者端末のユーザが判定した判定結果を示すユーザ判定情報とを関連付けて記憶する記憶部と、
    前記送信者情報を含む前記電子メールを前記送信元ホストから受信し、かつ前記電子メールと、前記電子メールが正規メールであるか否かをサーバ処理部が判定した結果を示すサーバ判定情報とを前記受信者端末に送信し、かつ前記ユーザ判定情報を前記受信者端末から受信するサーバ通信部と、
    前記記憶部に記憶された前記ユーザ判定情報のうち前記サーバ通信部によって受信された前記電子メールに含まれる前記送信者情報に対応する前記ユーザ判定情報に基づいて前記サーバ判定情報を生成し、かつ生成された前記サーバ判定情報を前記サーバ通信部に出力し、かつ前記サーバ通信部によって受信された前記ユーザ判定情報に基づいて、前記記憶部に記憶された前記ユーザ判定情報を更新する前記サーバ処理部と、
    を有し、
    前記記憶部に記憶された前記ユーザ判定情報は、前記電子メールが正規メールであると判定したユーザの数と、前記電子メールが正規メールでないと判定したユーザの数とを含み、
    前記受信者端末は、
    前記電子メールと前記サーバ判定情報とを前記サーバから受信し、かつ前記ユーザ判定情報を前記サーバに送信する受信者通信部と、
    前記サーバ判定情報を前記受信者端末のユーザに提示する提示部と、
    前記ユーザからの指示に基づいて前記ユーザ判定情報を生成し、かつ生成された前記ユーザ判定情報を前記受信者通信部に出力する受信者処理部と、
    を有する
    ことを特徴とする通信システム。
  2. サーバと、受信者端末とを有し、
    前記サーバは、
    電子メールの送信者を示す送信者情報と、前記送信者の端末である送信元ホストから送信された前記電子メールが正規メールであるか否かを前記受信者端末のユーザが判定した判定結果を示すユーザ判定情報とを関連付けて記憶する記憶部と、
    前記送信者情報を前記受信者端末から受信し、かつ前記電子メールが正規メールであるか否かをサーバ処理部が判定した結果を示すサーバ判定情報を前記受信者端末に送信し、かつ前記ユーザ判定情報を前記受信者端末から受信するサーバ通信部と、
    前記記憶部に記憶された前記ユーザ判定情報のうち前記サーバ通信部によって受信された前記送信者情報に対応する前記ユーザ判定情報に基づいて前記サーバ判定情報を生成し、かつ生成された前記サーバ判定情報を前記サーバ通信部に出力し、かつ前記サーバ通信部によって受信された前記ユーザ判定情報に基づいて、前記記憶部に記憶された前記ユーザ判定情報を更新する前記サーバ処理部と、
    を有し、
    前記受信者端末は、
    前記送信者情報を含む前記電子メールを前記送信元ホストから受信し、かつ受信された前記電子メールに含まれる前記送信者情報と前記ユーザ判定情報とを前記サーバに送信し、かつ前記サーバ判定情報を前記サーバから受信する受信者通信部と、
    前記サーバ判定情報を前記受信者端末のユーザに提示する提示部と、
    前記ユーザからの指示に基づいて前記ユーザ判定情報を生成し、かつ生成された前記ユーザ判定情報を前記受信者通信部に出力する受信者処理部と、
    を有する
    ことを特徴とする通信システム。
  3. 前記送信者情報は、送信者の名前を示す送信者名情報と、前記送信者のメールアドレスを示すアドレス情報との少なくとも1つを含むことを特徴とする請求項1または請求項2に記載の通信システム。
  4. 前記送信者情報は、前記送信元ホストのドメインを示すドメイン情報を含むことを特徴とする請求項1から請求項3のいずれか一項に記載の通信システム。
  5. 前記記憶部はさらに、前記送信者のメールアドレスのドメインと関連するドメインと、前記送信元ホストのドメインと関連するドメインとの少なくとも1つを示す関連ドメイン情報を前記送信者情報および前記ユーザ判定情報と関連付けて記憶し、
    前記サーバ処理部は、前記サーバ通信部によって受信された前記電子メールに含まれる前記送信者情報と前記記憶部に記憶された前記送信者情報とを比較した結果と、前記サーバ通信部によって受信された前記電子メールの送信者のメールアドレスのドメインおよび前記電子メールの前記送信元ホストのドメインの少なくとも1つと前記記憶部に記憶された前記関連ドメイン情報とを比較した結果とに基づいて、前記記憶部に記憶された前記ユーザ判定情報のいずれか1つを選択し、かつ選択された前記ユーザ判定情報に基づいて前記サーバ判定情報を生成する
    ことを特徴とする請求項1から請求項4のいずれか一項に記載の通信システム。
  6. 電子メールの送信者を示す送信者情報と、前記送信者の端末である送信元ホストから送信された前記電子メールが正規メールであるか否かを受信者端末のユーザが判定した判定結果を示すユーザ判定情報とを関連付けて記憶する記憶部と、
    前記送信者情報を含む前記電子メールを前記送信元ホストから受信し、かつ前記電子メールと、前記電子メールが正規メールであるか否かをサーバ処理部が判定した結果を示すサーバ判定情報とを前記受信者端末に送信し、かつ前記ユーザ判定情報を前記受信者端末から受信するサーバ通信部と、
    前記記憶部に記憶された前記ユーザ判定情報のうち前記サーバ通信部によって受信された前記電子メールに含まれる前記送信者情報に対応する前記ユーザ判定情報に基づいて前記サーバ判定情報を生成し、かつ生成された前記サーバ判定情報を前記サーバ通信部に出力し、かつ前記サーバ通信部によって受信された前記ユーザ判定情報に基づいて、前記記憶部に記憶された前記ユーザ判定情報を更新する前記サーバ処理部と、
    を有し、
    前記記憶部に記憶された前記ユーザ判定情報は、前記電子メールが正規メールであると判定したユーザの数と、前記電子メールが正規メールでないと判定したユーザの数とを含む
    ことを特徴とするサーバ。
  7. 電子メールの送信者を示す送信者情報と、前記送信者の端末である送信元ホストから送信された前記電子メールが正規メールであるか否かを受信者端末のユーザが判定した判定結果を示すユーザ判定情報とを関連付けて記憶する記憶部と、
    前記送信者情報を前記受信者端末から受信し、かつ前記電子メールが正規メールであるか否かをサーバ処理部が判定した結果を示すサーバ判定情報を前記受信者端末に送信し、かつ前記ユーザ判定情報を前記受信者端末から受信するサーバ通信部と、
    前記記憶部に記憶された前記ユーザ判定情報のうち前記サーバ通信部によって受信された前記送信者情報に対応する前記ユーザ判定情報に基づいて前記サーバ判定情報を生成し、かつ生成された前記サーバ判定情報を前記サーバ通信部に出力し、かつ前記サーバ通信部によって受信された前記ユーザ判定情報に基づいて、前記記憶部に記憶された前記ユーザ判定情報を更新する前記サーバ処理部と、
    を有することを特徴とするサーバ。
JP2016021760A 2016-02-08 2016-02-08 通信システムおよびサーバ Active JP6509752B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016021760A JP6509752B2 (ja) 2016-02-08 2016-02-08 通信システムおよびサーバ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016021760A JP6509752B2 (ja) 2016-02-08 2016-02-08 通信システムおよびサーバ

Publications (2)

Publication Number Publication Date
JP2017142568A JP2017142568A (ja) 2017-08-17
JP6509752B2 true JP6509752B2 (ja) 2019-05-08

Family

ID=59627401

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016021760A Active JP6509752B2 (ja) 2016-02-08 2016-02-08 通信システムおよびサーバ

Country Status (1)

Country Link
JP (1) JP6509752B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6502461B1 (ja) * 2017-11-08 2019-04-17 ヤフー株式会社 不正メール判定装置、不正メール判定方法、およびプログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003115878A (ja) * 2001-10-04 2003-04-18 Japan Telecom Co Ltd メールサーバおよびメールサーバプログラム
JP5071224B2 (ja) * 2008-04-24 2012-11-14 日本電気株式会社 課金システム、迷惑メール情報登録装置および課金方法
JP6361090B2 (ja) * 2013-05-16 2018-07-25 ヤマハ株式会社 中継装置

Also Published As

Publication number Publication date
JP2017142568A (ja) 2017-08-17

Similar Documents

Publication Publication Date Title
US11271883B2 (en) System and method for securely performing multiple stage email processing with embedded codes
US10181957B2 (en) Systems and methods for detecting and/or handling targeted attacks in the email channel
US20220078197A1 (en) Using message context to evaluate security of requested data
US10027701B1 (en) Method and system for reducing reporting of non-malicious electronic messages in a cybersecurity system
US7941490B1 (en) Method and apparatus for detecting spam in email messages and email attachments
US7950047B2 (en) Reporting on spoofed e-mail
CA3079840A1 (en) Analysis and reporting of suspicious email
JP2013229656A (ja) メール処理方法及びシステム
US8959626B2 (en) Detecting a suspicious entity in a communication network
WO2008154835A1 (fr) Procédé de filtrage du courrier électronique et serveur de courrier électronique
US20070271346A1 (en) Method and System for Filtering Electronic Messages
US8381262B2 (en) Blocking of spoofed E-mail
JP6531529B2 (ja) 情報処理装置及びプログラム
US8230020B2 (en) Method and system for filtering electronic messages
JP2006251929A (ja) アドレス帳登録システム、およびアドレス帳登録プログラム
JP6509752B2 (ja) 通信システムおよびサーバ
US20160337394A1 (en) Newborn domain screening of electronic mail messages
WO2003053017A1 (fr) Systeme de transmission de courrier electronique avec adresse de serveur de courrier mandataire
JP7018808B2 (ja) メール監視装置および方法
JP6509749B2 (ja) 通信システムおよびサーバ
Juneja et al. A Survey on Email Spam Types and Spam Filtering Techniques
US20140297760A1 (en) Managing e-mail messages between related accounts
CN117640166A (zh) 名单构造方法、装置、存储介质及电子设备
JP2015222576A (ja) 情報処理装置、電子メール閲覧制限方法、コンピュータプログラムおよび情報処理システム
JP5942682B2 (ja) メールサーバ装置、不在通知メール送信方法および不在通知メール送信プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180313

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20180314

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190122

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190326

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190403

R150 Certificate of patent or registration of utility model

Ref document number: 6509752

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150