JP6531793B2 - INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND PROGRAM - Google Patents
INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND PROGRAM Download PDFInfo
- Publication number
- JP6531793B2 JP6531793B2 JP2017147453A JP2017147453A JP6531793B2 JP 6531793 B2 JP6531793 B2 JP 6531793B2 JP 2017147453 A JP2017147453 A JP 2017147453A JP 2017147453 A JP2017147453 A JP 2017147453A JP 6531793 B2 JP6531793 B2 JP 6531793B2
- Authority
- JP
- Japan
- Prior art keywords
- fixed form
- sender
- transmission source
- form part
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、情報処理装置、情報処理方法、プログラムに関する。 The present invention relates to an information processing apparatus, an information processing method, and a program.
近年、特定の組織や人物から金銭や重要情報の窃取を目的とした標的型攻撃が増加している。標的型攻撃では、目的を達成するために、標的となる組織や人物に特化した情報に基づき、多様な手法を組み合わせて攻撃が行われる。 In recent years, targeted attacks aimed at stealing money and important information from specific organizations and persons have been increasing. In the targeted attack, in order to achieve the purpose, the attack is performed by combining various methods based on the information specific to the target organization or person.
標的型攻撃では、初期侵入手段として、標的型攻撃メールと呼ばれる電子メールを用いるのが典型的な方法である。標的型攻撃メールでは、標的となる受信者の興味を引く内容や、受信者と関連があると誤認させる内容を本文に記載し、電子メールに添付したファイルや記載されたリンク先に仕込まれた不正プログラムを実行させることを狙う。標的が不正ブログラムを実行してしまうとバッグドアが設置され更なる攻撃の侵入口となってしまう。 In a targeted attack, it is typical to use an email called a targeted attack email as an initial intrusion means. In targeted attack email, content that draws the interest of the targeted recipient, and content that misleads them to be related to the recipient are described in the text, and it is included in the file attached to the email or the linked destination. Aim to run a malicious program. If the target executes an illegal program, a bag door will be installed and it will be an entrance for further attacks.
標的型攻撃の対策としては多層防御の考え方が基本となるが、初期段階である標的型攻撃メールを防ぐことできれば最も効果的で望ましい。 While defense against targeted attacks is basically based on the concept of defense in depth, it is most effective and desirable if targeted attack emails can be prevented at the early stage.
標的型攻撃メールには、標的の興味・関心や誤認を利用するだけでなく、標的と関連の深い人物や組織を偽装するものがある。標的となった受信者は、知人からのメールと思って警戒を怠ってしまい、攻撃が成功する確率が高くなる。 Some targeted attack emails not only use the target's interest / interest or misidentification, but also disguise a person or organization closely related to the target. The targeted recipients are alerted because they think they are emails from acquaintances, and the chances of successful attacks are high.
特許文献1には、標的が過去に受信したことのある電子メールの送信者アドレスを偽装した電子メールを検知する技術について開示されている。
特許文献1には、過去に受信したメールから抽出したメールヘッダの特徴を記憶し、新規メールを受信した際に同じ送信者アドレスを持つ過去メールのヘッダの特徴と新規メールのヘッダの特徴の類似度を求め、類似度が規定値以下である場合に警告を発する旨が記載されている。すなわち、同じ送信元なのにいつもと異なるメール文面である場合に警告を発するものである。
しかしながら、特許文献1は、送信者アドレスが偽装された場合に対しては効果的であるが、全く異なるアドレスから本文の詐称による攻撃メールには効果が得られないという課題がある。
However, although
一般に、メールの受信時には、未読メールの一覧から件名と送信者を確認し、次に本文を見る。一覧では送信者として表示名が使われることが多く、本文の内容に違和感がない場合、送信者のアドレスの確認を怠ってしまう場合がある。また、誤認を狙って、偽装対象と関連する単語を一部に含むなど、紛らわしいアドレスを用いている場合もある。 Generally, when receiving mail, check the subject and sender from the list of unread mails, then look at the text. In a list, a display name is often used as a sender, and when there is no sense of incongruity in the contents of the text, the sender's address may be neglected. In addition, in some cases, misleading addresses are used, for example, including words related to the target of camouflage as part of misleading.
上述したようなケースでは、当然、送信者が不明な(新規)アドレスであることが多く、その旨の警告を出すことは可能であるが、明示的に攻撃である旨を警告するほうがより望ましい。 In the case described above, it is natural that the sender is often an unknown (new) address, and it is possible to issue a warning to that effect, but it is more preferable to warn explicitly that it is an attack .
そこで、本発明は、過去に受信したメールと同様の文面を持つが異なるアドレスから送信されたメール(詐称メール)について警告し送信者の確認を促すことで、標的型攻撃メールによる被害を防ぐことを目的とする。 Therefore, the present invention prevents damage by targeted attack mail by warning about mail (spoofed mail) sent from a different address but having the same text as mail received in the past and prompting the sender to confirm it. With the goal.
本発明の情報処理装置は、過去に受信した電子メールを用いて学習した知識に基づき、新たに受信した電子メールが詐称メールであるかを判定する判定手段と、前記判定手段による判定結果に基づき、警告を通知する通知手段と、を備えることを特徴とする。 According to the information processing apparatus of the present invention, based on the knowledge learned using e-mail received in the past, determination means for determining whether the newly received e-mail is an spoofed mail and the determination result by the determination means , And notification means for notifying a warning.
本発明の情報処理方法は、情報処理装置における情報処理方法であって、過去に受信した電子メールを用いて学習した知識に基づき、新たに受信した電子メールが詐称メールであるかを判定する判定工程と、前記判定工程による判定結果に基づき、警告を通知する通知工程と、を備えることを特徴とする。 The information processing method according to the present invention is an information processing method in an information processing apparatus, and determines whether newly received e-mail is a false mail based on knowledge learned using e-mail received in the past. It is characterized by including a process and a notification process of notifying a warning based on the determination result of the determination process.
本発明のプログラムは、情報処理装置を、過去に受信した電子メールを用いて学習した知識に基づき、新たに受信した電子メールが詐称メールであるかを判定する判定手段と、前記判定手段による判定結果に基づき、警告を通知する通知手段として機能させるためのプログラム。 A program according to the present invention is a determination unit that determines whether a newly received e-mail is an spoofed mail based on knowledge obtained by learning an information processing apparatus using an e-mail received in the past; A program for functioning as notification means for notifying a warning based on the result.
本発明によれば、標的型攻撃メールによる被害を低減させることが可能となる。 According to the present invention, it is possible to reduce the damage caused by targeted attack mail.
以下、図面を参照して、本発明の実施形態を詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
図1は、本発明の実施形態における詐称メール検査装置のシステム構成の一例を示す図である。 FIG. 1 is a diagram showing an example of a system configuration of a false mail inspection apparatus according to an embodiment of the present invention.
詐称メール検査装置100と、メールサーバ120とは、ローカルエリアネットワーク130を介して接続される構成となっている。またメールサーバ120は、外部ネットワーク140に接続可能な構成となっている。
The false
詐称メール検査装置100は、一般的な電子メールクライアントの機能を持ち、電子メールの閲覧機能とメールサーバからの受信機能を有する。更に、電子メールを新たに受信した際に、過去に受信済みの電子メールから得た知識に基づき、新たに受信した電子メールに対する詐称の有無の判定(電子メールの本文は、過去に受信した電子メールと同様の文面を含みながら(類似する文面でありながら)、当該過去に受信した電子メールの送信元とは異なる送信元から送信された電子メールであるか否かの判定)を行ない、電子メールが詐称の可能性があると判断された場合、電子メールの詐称箇所を強調表示し目視確認を促す。
The fraudulent
また、詐称メール検査装置100は、新たに受信したメールが詐称でないという判断がなされた際に、詐称を判定する知識を更新する。
In addition, when it is determined that the newly received e-mail is not an spoofing, the spoofed
メールサーバ120は一般的なメールの受信サーバ(POP3またはIMAPサーバ)であり、外部またはローカルの送信先から受け取ったメールを電子メールクライアントの要求に応じて転送する。
The
図2は、本発明の実施形態における詐称メール検査装置100のハードウェア構成の一例を示すブロック図である。
FIG. 2 is a block diagram showing an example of the hardware configuration of the fraudulent
図2に示すように、情報処理装置は、システムバス204を介してCPU(Central Processing Unit)201、ROM(Read Only Memory)202、RAM(Random Access Memory)203、入力コントローラ205、ビデオコントローラ206、メモリコントローラ207、よび通信I/Fコントローラ208が接続される。
As shown in FIG. 2, the information processing apparatus includes a central processing unit (CPU) 201, a read only memory (ROM) 202, a random access memory (RAM) 203, an
CPU201は、システムバス204に接続される各デバイスやコントローラを統括的に制御する。
The
ROM202あるいは外部メモリ211は、CPU201が実行する制御プログラムであるBIOS(Basic Input/Output System)やOS(Operating System)や、本情報処理方法を実現するためのコンピュータ読み取り実行可能なプログラムおよび必要な各種データ(データテーブルを含む)を保持している。
The
RAM203は、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードし、ロードしたプログラムを実行することで各種動作を実現する。
The
入力コントローラ205は、キーボード209や不図示のマウス等のポインティングデバイス等の入力装置からの入力を制御する。入力装置がタッチパネルの場合、ユーザがタッチパネルに表示されたアイコンやカーソルやボタンに合わせて押下(指等でタッチ)することにより、各種の指示を行うことができることとする。
The
また、タッチパネルは、マルチタッチスクリーンなどの、複数の指でタッチされた位置を検出することが可能なタッチパネルであってもよい。 Further, the touch panel may be a touch panel capable of detecting a position touched by a plurality of fingers, such as a multi-touch screen.
ビデオコントローラ206は、ディスプレイ210などの外部出力装置への表示を制御する。ディスプレイは本体と一体になったノート型パソコンのディスプレイも含まれるものとする。なお、外部出力装置はディスプレイに限ったものははく、例えばプロジェクタであってもよい。また、前述のタッチ操作を受け付け可能な装置については、入力装置も提供する。
なおビデオコントローラ206は、表示制御を行うためのビデオメモリ(VRAM)を制御することが可能で、ビデオメモリ領域としてRAM203の一部を利用することもできるし、別途専用のビデオメモリを設けることも可能である。
The
メモリコントローラ207は、外部メモリ211へのアクセスを制御する。外部メモリとしては、ブートプログラム、各種アプリケーション、フォントデータ、ユーザファイル、編集ファイル、および各種データ等を記憶する外部記憶装置(ハードディスク)、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等を利用可能である。
The
通信I/Fコントローラ209は、ネットワークを介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信やISDNなどの電話回線、および携帯電話の3G回線を用いた通信が可能である。
The communication I /
尚、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上での表示を可能としている。また、CPU201は、ディスプレイ210上の不図示のマウスカーソル等でのユーザ指示を可能とする。
The
次に図3を参照して、本発明の実施形態における各種装置の機能構成の一例について説明する。 Next, with reference to FIG. 3, an example of functional configurations of various devices in the embodiment of the present invention will be described.
受信処理部301は、メールサーバ120から電子メールを受信する機能を備える。
The
検査処理部302は、受信処理部301で受信した電子メールについて、詐称メール(過去に受信した電子メールと文面が類似する(同様の文面を含む)メールであるが、送信元が当該類似するメールの送信元とは異なるメール)であるか否かの判定を行う機能等を備える。
The
メール保存領域303は、電子メールを記憶する領域であり、詐称情報や判定情報を関連付けて電子メールを記憶する機能を備える。
The
判定知識保存領域304は、電子メールが詐称メールであるかの判定に用いる各種情報や学習した知識を記憶する機能を備える。
The determination
閲覧処理部305は、メール閲覧画面等を表示し、詐称メールである旨の警告等を表示する機能を備える。
The
判定知識構築処理部306は、電子メールが詐称メールであるかを判定するための知識を構築する処理を実行する機能を
The determination knowledge
(メール検査処理)
次に図4のフローチャートを用いて、本発明の実施形態における検査処理部302が実行する電子メールの検査処理について説明する。
(E-mail inspection process)
Next, an inspection process of an electronic mail performed by the
図4のフローチャートは、詐称メール検査装置100のCPU201が所定の制御プログラムを読み出して実行する処理であり、受信処理部301において電子メールを受信した際、電子メールが詐称されている可能性の有無を検査する処理を示すフローチャートである。
The flowchart in FIG. 4 is a process in which the
ステップS401では、検査処理部302は、メール受信処理部301で受信された電子メールを受け取る。
In step S401, the
ステップS402では、検査処理部302は、ステップS401で受け取った電子メールに対し、詐称の有無(詐称の可能性)を判定し、詐称情報を取得する。詐称判定処理の詳細については図20を用いて後述する。
In step S402, the
ステップS403では、検査処理部302は、ステップS402で詐称の可能性ありと判定した場合、ステップS404に処理を移す。詐称の可能性なしと判断した場合は、ステップS405に処理を移す。
In step S403, if the
ステップS404では、検査処理部302は、ステップS402で取得した詐称情報を処理対象である電子メールと関連付ける。
In step S404, the
ステップS405では、検査処理部302は、電子メールをメール保存領域303のメールテーブル501に保存する。
In step S405, the
図5はメール保存領域303の構成であり、メールテーブル501を有する。具体的なデータ内容については、図6を用いて説明する。
FIG. 5 shows the configuration of the
図6に示すメールテーブル501は、検査処理部302が受け取った電子メールを保存するテーブルであり、電子メールの各項目( 具体的には、電子メールの本文、受信者(送信先)、送信者、送信日時など)から構成
The e-mail table 501 shown in FIG. 6 is a table for storing the e-mail received by the
(メール判定処理)
次に図8のフローチャートを用いて、ユーザによるメール判定処理について説明する。
(Email judgment processing)
Next, mail determination processing by the user will be described using the flowchart of FIG.
詐称メール検査装置は、ユーザが起動(またはログイン)すると一般のメールクライアントと同様に図7に示すようなメール一覧画面701を表示する。メール一覧画面701の内容は、メールテーブル501の内容に基づく。詐称情報があり、かつ判定情報がないメールに対しては警告アイコン702が表示される。
When the user is activated (or logged in), the false mail examination apparatus displays a
ユーザが一覧に表示されている任意のメールに対して閲覧の指示を行うと、閲覧処理部305は、図8に示すフローチャートの処理を実行する。
When the user issues an instruction to browse an arbitrary email displayed in the list, the
ステップS801では、閲覧処理部305はユーザが指定した電子メールに対し、メールテーブル501から取得した情報に基づき、図9に示すようなメール閲覧画面901を表示する。電子メールに詐称情報がある場合、警告表示領域902に詐称情報の詳細を表示する。
In step S801, the
ユーザが閉じるボタン905を押下すると、メール閲覧画面901を閉じて処理をステップS802に処理を移す。
When the user presses the
ステップS802では、閲覧処理部305は、メール閲覧画面901の判定指示領域904の状態を判定情報として取得する。「詐称メールです。」がアクティブな場合(ユーザにより詐称メールである旨が選択された場合)は判定情報として「詐称」を取得し、「詐称メールではありません。」がアクティブな場合(ユーザにより詐称メールではない旨が選択された場合)は判定情報として「非詐称」を取得する。
In step S802, the
判定情報が「詐称」となったメールは一覧に表示しないように構成してもよいし、自動で削除するように構成してもよい。 The mail whose judgment information is “spoofed” may not be displayed on the list, or may be automatically deleted.
ステップS803では、閲覧処理部305は、ステップS802で取得した判定情報を、メールテーブル501の該当する電子メールに関連付けて保
In step S 803, the
(判定知識構築処理)
次に図10のフローチャートを用いて、判定知識構築処理について説明する。本発明の実施例において、判定知識構築処理は、メール判定処理とは非同期に実行される。判定知識構築処理は、定期的に実行されるように構成してもよいし、前回処理から保存されたメールの状態に基づき実行を判断するように構成してもよい。
(Determination knowledge construction processing)
Next, the determination knowledge construction process will be described using the flowchart of FIG. In the embodiment of the present invention, the determination knowledge construction process is executed asynchronously with the mail determination process. The determination knowledge construction processing may be configured to be periodically executed, or may be configured to determine execution based on the state of the mail saved from the previous processing.
また、本発明の実施形態においては、説明が容易になるように、全ての判定知識を構築しなおすように構成しているが、部分的に判定知識を更新するように構成してもよい。 Further, in the embodiment of the present invention, although all the determination knowledge is configured to be reconstructed so as to facilitate the description, the determination knowledge may be partially updated.
ステップS1001では、判定知識構築処理部306は、メールテーブル501から判定情報が「非詐称」に設定されている電子メールを取得する。取得する電子メールについては「直近半年に送ったメール」というように知識構築の対象となる過去メールの限定を行なうように構成してもよい。
In step S1001, the determination knowledge
ステップS1002では、判定知識構築処理部306は、ステップS1001で取得した電子メールに対して、ステップS1005までの繰り返し処理を開始する。
In step S1002, the determination knowledge
ステップS1003では、判定知識構築処理部306は、処理対象となった電子メールの本文に対し、形態素解析などを用いて、電子メールを構成する単語を取得する。単語の取得に際しては、助詞・助動詞などの付属語の除外を行なってもよいし、同義語辞書を用いるなどの正規化を行なってもよい。
In step S1003, the determination knowledge
ステップS1004では、判定知識構築処理部306は、ステップS1003で分割した単語に対して、単語統計テーブル1101を更新する。同時に、送信者と関連付けて送信者別単語統計テーブル1102を更新する。
In step S1004, the determination knowledge
ステップS1005では、判定知識構築処理部306は、処理対象となる電子メールがまだあれば、ステップS1002からの繰り返し処理を実施する。処理対象となる電子メールがなければ、ステップS1006に処理を移す。
In step S1005, if the e-mail to be processed is still present, the determination knowledge
ステップS1006では、判定知識構築処理部306は、ステップS1004で取得した単語の集計結果から、単語の出現確率を算出して単語統計テーブル1101および送信者別単語統計テーブル1102を更新する。
In step S1006, the determination knowledge
ステップS1007では、判定知識構築処理部306は、ステップS1001で取得した電子メールに対して、ステップS1010までの繰り返し処理を開始する。
In step S1007, the determination knowledge
ステップS1008では、判定知識構築処理部306は、処理対処である電子メールに対し、定型部を抽出する。定型部の抽出処理については図17を用いて後述する。
In step S1008, the determination knowledge
ステップS1009では、判定知識構築処理部306は、ステップS1008で抽出した電子メールの定型部を構成する単語を、対象となる電子メールと関連付けて、一時領域に保存する。単語の抽出は、ステップS1003の結果を再利用するように構成してもよい。
In step S1009, the determination knowledge
ステップS1010では、判定知識構築処理部306は、処理対象となる電子メールがまだあれば、ステップS1007からの繰り返し処理を実施する。処理対象となる電子メールがなければ、ステップS1011に処理を移す。
In step S1010, if the e-mail to be processed is still present, the determination knowledge
ステップS1011では、判定知識構築処理部306は、一時領域に蓄えられた、電子メールと定型部の単語の組みをベクトル化し、ベクトル化に必要な情報を判定知識保存領域304におけるベクトル化情報テーブル1103に保存する。ベクトル化はtf・idfなどの一般的な方法による。単語の組みを持たない、または規定の数より少ない単語しか持たない電子メールは対象外とするように構成してもよい。
In step S1011, the determination knowledge
ステップS1012では、判定知識構築処理部306は、ステップS1011で取得したベクトルに対し、関連付けられている電子メールの送信者(From:)を関連付けて学習を行ない、学習知識を判定知識保存領域304における学習知識テーブル1104に保存する。
In step S1012, the determination knowledge
学習には多クラスの分類を行なうことができる、一般的な分類器を用いるものとする Use a general classifier that can perform multi-class classification for learning
(判定知識構築処理具体例)
次に判定知識構築処理の具体例として、図6に示すメールテーブル501に対して図10に示す処理が実施された場合について説明する。
(Specific example of judgment knowledge construction process)
Next, as a specific example of the determination knowledge construction process, a case where the process shown in FIG. 10 is performed on the mail table 501 shown in FIG. 6 will be described.
ステップS1001では、判定知識構築処理部306は、電子メール601から始まる一連の電子メールを取得する。
In step S1001, the determination knowledge
ステップS1002では、判定知識構築処理部306は、電子メール601に対して、ステップS1005までの繰り返し処理を開始する。
In step S1002, the determination knowledge
ステップS1003では、判定知識構築処理部306は、電子メール601の本文から単語として「ニューセレクト」「近藤」「様」「お世話」「トサロジスティクス」「坂本」「納品書」「件」などを取得する(本具体例においては、助詞・助動詞などの付属語は対象外とする)。
In step S1003, the determination knowledge
ステップS1004では、判定知識構築処理部306は、ステップS1003で分割した単語に対して単語統計テーブル1101を更新する。具体的には、単語がなければ単語を単語統計テーブル1101に追加し、出現頻度(出現文書数)を1とする。単語があれば出現頻度(出現文書数)を1加算する。また同様に送信者「sakamoto@tosa.co.jp」と関連付けて送信者別単語統計テーブル1102も更新する。
In step S1004, the determination knowledge
ステップS1005では、判定知識構築処理部306は、処理対象となる電子メール602があるので、ステップS1002からの繰り返し処理を実施する。
In step S1005, the determination knowledge
以下、全ての電子メールに対して同様の処理を繰り返す。 Thereafter, the same processing is repeated for all e-mails.
ステップS1006では、判定知識構築処理部306は、ステップS1001〜ステップS1005で更新した単語統計テーブル1101に対し、単語の出現確率を算出して単語統計テーブル1101を更新し、結果として図12に示す単語統計テーブルを得る。また送信者別単語統計テーブル1102に対しても同様に単語の出現確率を求めて更新する。
In step S1006, the determination knowledge
ステップS1007では、判定知識構築処理部306は、電子メール601から始まる一連の電子メールに対して、ステップS1010までの繰り返し処理を開始する。
In step S1007, the determination knowledge
ステップS1008では、判定知識構築処理部306は、電子メール601に対する定型部抽出処理の結果、メール冒頭の挨拶や署名等の定型的に記述されている部分として「ニューセレクト 近藤様 お世話になっております。トサロジスティクス坂本です。」と「−− トサロジスティクス株式会社 Tel: 123−4567 Fax: 123−4568 坂本 辰雄」を抽出する。定型部抽出の具体例については後述する。
In step S1008, as a result of the routine extraction processing on the
ステップS1009では、判定知識構築処理部306は、ステップS1008で抽出した電子メールの定型部を構成する単語として「ニューセレクト」、「近藤」、「様」、「お世話」、「トサロジスティクス」、「坂本」、「以上」、「よろしく」、「お願い」、「株式」、「会社」、「tel」、「123−4567」、「fax」、「123−4568」、「辰雄」を、電子メール601と関連付けて、一時領域に保存する。
In step S1009, the determination knowledge
ステップS1010では、判定知識構築処理部306は、電子メール602があるので、ステップS1007からの繰り返し処理を実施する。
In step S1010, the determination knowledge
以下、同様の処理を繰り返し、図14の結果を一時領域に得る。 Thereafter, the same process is repeated to obtain the result of FIG. 14 in the temporary area.
ステップS1011では、判定知識構築処理部306は、一時領域に蓄えられた、電子メールと定型の単語の組みをベクトル化して図15に示すベクトルを得る。ベクトル化に必要な情報を判定知識保存領域304におけるベクトル化情報テーブル1103に保存する。
In step S1011, the determination knowledge
ステップS1012では、判定知識構築処理部306は、ステップS1011で取得したベクトルに対し、関連付けられている電子メールの送信者を関連付けて学習を行ない、学習した知識を判定知識保存領域304における学習知識テーブル1104に保存する。
In step S1012, the determination knowledge
結果として、誤送信防止装置100は、ステップS1011で取得したベクトル化情報とステップS1012で取得した学習知識を用いることで、電子メールの挨拶部に対する送信先候補を確度付きで推測することが可能となる。図16に分類器による送信先候補推測の概要につい
As a result, by using the vectorization information acquired in step S1011 and the learning knowledge acquired in step S1012, the erroneous
(定型部抽出処理)
次に図17のフローチャートを用いて、ステップS1008において、判定知識構築処理部306が電子メールから定型部を抽出する定型部抽出処理について説明する。
(Fixed part extraction process)
Next, with reference to the flowchart of FIG. 17, the fixed form part extraction processing will be described in which the determination knowledge
本発明の実施形態の説明では、出現する単語の出現頻度や出現確率を用いて定型部を特定するが、他の方法によって抽出するように構成しても構わない。 In the description of the embodiment of the present invention, the fixed part is specified using the appearance frequency and the appearance probability of the appearing word, but may be configured to be extracted by another method.
ステップS1701では、判定知識構築処理部306は、処理対象の電子メールから本文を取得する。
In step S1701, the determination knowledge
ステップS1702では、判定知識構築処理部306は、ステップS1701で取得した本文の各行に対して、ステップS1706までの繰り返し処理を開始する。
In step S1702, the determination knowledge
ステップS1703では、判定知識構築処理部306は、処理対象の行を単語に分割する。
In step S1703, the determination knowledge
ステップS1704では、判定知識構築処理部306は、ステップS1703で取得した単語それぞれに対し単語統計テーブル1101からの出現確率を全文書出現確率として取得する。また送信者別単語統計テーブル1102から出現確率を送信者別出現確率として取得する。送信者別単語統計テーブル1102からは1つの単語に対して複数の出現確率が得られる。全文書出現確率と送信者別出現確率の最大のものをその単語の出現確率とする。
In step S1704, the determination knowledge
ステップS1705では、判定知識構築処理部306は、ステップS1704で取得した出現確率の調和平均を行の重みとして算出する。行に有効な単語が1つも出現しない場合は行の重みを0とする。
In step S1705, the determination knowledge
ステップS1706では、判定知識構築処理部306は、処理対象となる行がまだあれば、ステップS1702からの繰り返し処理を実施する。処理対象となる行がなければ、ステップS1707に処理を移す。
In step S1706, if there is still a row to be processed, the determination knowledge
ステップS1707では、判定知識構築処理部306は、行の重みが規定値以上である行を定型部として抽出する。全ての行が規定値に満たない場合は定型部がないものと判断する。
In step S1707, the determination knowledge
上記のように構成することで、電子メールに記述されている定型部を抽出することが可能 By configuring as described above, it is possible to extract the fixed form part described in the e-mail
(定型部抽出処理具体例)
次に定型部抽出処理の具体例として、図18に示す電子メール1801に対して図17に示す処理が実施された場合について説明する。
(Specific example of fixed part extraction process)
Next, as a specific example of the fixed form part extraction process, a case where the process shown in FIG. 17 is performed on the
ステップS1701では、判定知識構築処理部306は、処理対象の電子メール1801から本文1802を取得する。
In step S1701, the determination knowledge
ステップS1702では、判定知識構築処理部306は、ステップS1701で取得した本文1802に対して、ステップS1706までの繰り返し処理を開始する。
In step S1702, the determination knowledge
ステップS1703では、判定知識構築処理部306は、本文1802の最初の行「ニューセレクト 近藤様」を単語に分割し、「ニューセレクト」「近藤」「様」を得る。
In step S1703, the determination knowledge
ステップS1704では、判定知識構築処理部306は、ステップS1703で取得した単語「ニューセレクト」「近藤」「様」に対し、単語統計テーブル1101から「1.000」「0.630」「0.630」を出現確率として取得する。同様に送信者別単語統計テーブル1102から「1.000」「1.000」「1.000」を得る。最終的に単語「ニューセレクト」「近藤」「様」に対する出現確率として「1.000」「1.000」「1.000」を得る。
In step S1704, the determination knowledge
ステップS1705では、判定知識構築処理部306は、「1.000」「1.000」「1.000」の調和平均「1.00」を行の重みとして得る。
In step S1705, the determination knowledge
ステップS1706では、判定知識構築処理部306は、本文1802にまだ行があるので、ステップS1702からの繰り返し処理を実施する。以下、同様の処理を繰り返した結果として、図19に示すような各行に対する重みを取得する。
In step S1706, the determination knowledge
ステップS1707では、判定知識構築処理部306は、行の重みが規定値(本実施形態では0.3とする)以上である行として定型部1803を抽
In step S1707, the determination knowledge
(詐称判定処理)
次に図20のフローチャートを用いて、検査処理部302が実行するメール検査処理におけるステップS402の詐称判定処理の詳細について説明する。
(Spoofing judgment processing)
Next, the details of the false recognition process in step S402 in the mail inspection process executed by the
ステップS2001では、検査処理部302は、対象となる電子メールから定型部を抽出する。定型部抽出処理は、図17に示した判定知識構築処理部306における定型部抽出処理と同様である。
In step S2001, the
ステップS2002では、検査処理部302は、ステップS2001で定型部がなければ、ステップS2003に処理を移す。定型部があれば、ステップS2004に処理を移す。
In step S2002, if there is no fixed form part in step S2001, the
ステップS2003では、検査処理部302は、対象となる電子メールを「定型部なし」と判定する。
In step S2003, the
ステップS2004では、検査処理部302は、ステップS2001で抽出した定型部を単語に分割する。
In step S2004, the
ステップS2005では、検査処理部302は、ステップS2006で抽出した単語の集合を、ベクトル化情報テーブル1103を参照してベクトル化する。
In step S2005, the
ステップS2006では、検査処理部302は、ステップS2005で取得したベクトルに対して、学習知識テーブル1104を参照した分類器を用いて確度が規定値以上の送信者を候補として取得する。
In step S2006, the
ステップS2007では、検査処理部302は、ステップS2006で推定した送信者候補がなければ、ステップS2008に処理を移す。送信者候補があれば、ステップS2011に処理を移す。
In step S2007, if there is no sender candidate estimated in step S2006, the
ステップS2008では、検査処理部302は、メールテーブル501を参照して、対象となる電子メールの送信者からの送信実績が過去にあるかを判定する。送信実績がなければ、ステップS2009に処理を移す。送信実績があれば、ステップS2010に処理を移す。
In step S2008, the
ステップS2009では、検査処理部302は、対象となる電子メールを「新規送信者」と判定する。
In step S2009, the
ステップS2010では、検査処理部302は、対象となる電子メールを「送信者要確認」と判定する。
In step S2010, the
ステップS2011では、検査処理部302は、送信者候補の中に、対象となる電子メールの送信者が含まれているかを判定する。送信者候補の中に送信者が含まれていなければ、ステップS2012に処理を移す。送信者が含まれていれば、ステップS2013に処理を移す。
In step S2011, the
ステップS2012では、検査処理部302は、対象となる電子メールを「詐称」と判定する。また、確度が最上位の送信者候補を正しい送信者として、警告時に提示するように構成する。
In step S2012, the
ステップS2013では、検査処理部302は、送信先と一致した送信先候補の確度がもっとも高いかを判定する。確度が最上位の値でなければ、ステップS2010に処理を移す。確度が最上位の値であれば、処理を終
In step S2013, the
(詐称判定処理具体例)
次に詐称判定処理の具体例として、図21に示す電子メール2101に対して図20に示す処理が実施された場合について説明する。
(A specific example of the false recognition process)
Next, a case where the process shown in FIG. 20 is performed on the
ステップS2001では、検査処理部302は、対象となる電子メール2101から定型部2102を抽出する。
In step S2001, the
ステップS2002では、検査処理部302は、ステップS2001で定型部2102を取得したので、ステップS2004に処理を移す。
In step S2002, since the
ステップS2004では、検査処理部302は、ステップS2001で抽出した定型部2102を単語に分割し、「ニューセレクト」、「近藤様」、「萩産業」、「高杉」、「お世話」、「依頼」、「見積書」、「送付」、「添付」、「ファイル」、「確認」、「株」、「東日本営業部」、「新太郎」、「tel」、「987−6543」、「email」、「takasugi@hagi.com」を得る。
In step S2004, the
ステップS2005では、検査処理部302は、ステップS2006で抽出した単語の集合を、ベクトル化情報テーブル1103を参照してベクトル化する。
In step S2005, the
ステップS2006では、検査処理部302は、ステップS2005で取得したベクトルに対して、学習知識テーブル1104を参照した分類器を用いて、図22に示す送信者候補2201(takasugi@hagi.com)および送信者候補2202(kogoro@hagi.com)を取得する。
In step S2006, the
ステップS2007では、検査処理部302は、ステップS2006で推定した送信者候補があるので、ステップS2011に処理を移す。
In step S2007, since there are sender candidates estimated in step S2006, the
ステップS2011では、検査処理部302は、送信者候補の中に、対象となる電子メールの送信者2103(a2b3c4@attacker.com)が含まれていないので、ステップS2012に処理を移す。
In step S2011, the
ステップS2012では、検査処理部302は、対象となる電子メールを「詐称」と判定する。また、確度が最上位の送信者候補2201(takasugi@hagi.com)を正しい送信者として取得し処理を終了する。
In step S2012, the
結果として、定型部2102に対する送信者2103(a2b3c4@attacker.com)が整合せず詐称の可能性があると判定し、正しい送信者の候補として送信者候補2201(takasugi@hagi.com)を提示することが可能となる。ユーザは送信者2103(a2b3c4@attacker.com)が信者候補2201(takasugi@hagi.com)を詐称してメールを送ってきたと容易に判断することが可能となる。
As a result, it is determined that the sender 2103 (a2b3c4@attacker.com) for the fixed
上記のように構成することで、メールの定型部が似ているメールを過去に送信してきた送信者と対象となるメールの送信者が異なる場合を判定することが可能となり、詐称の可能性が高い状態を検出することが可能となる。さらに詐称と判定した場合に正しいと推測される送信者を提示することができ、容易な確認が可能となる。 By configuring as described above, it is possible to determine the case where the sender who has sent an e-mail with similar fixed part of e-mail in the past and the sender of the target e-mail are different, and there is a possibility of spoofing It is possible to detect a high state. Further, it is possible to present a sender that is presumed to be correct when it is determined to be a false statement, and easy confirmation is possible.
本発明の実施形態においては、メールクライアントとして実施する構成とした場合について説明したが、いわゆるWebメールを提供するシステムやメールフィルタリングの機能として構成してもよい。 In the embodiment of the present invention, although the case where it implements as a mail client was explained, it may constitute as a system which provides what is called Web mail, and a function of mail filtering.
本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能である。具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。 The present invention can be embodied as, for example, a system, an apparatus, a method, a program, or a recording medium. Specifically, the present invention may be applied to a system constituted by a plurality of devices, or may be applied to an apparatus comprising a single device.
また、本発明におけるプログラムは、図4、図8、図10、図17、図20に示すフローチャートの処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図4、図8、図10、図17、図20の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは図4、図8、図10、図17、図20の各装置の処理方法ごとのプログラムであってもよい。 Further, the program in the present invention is a program that enables a computer to execute the processing method of the flowcharts shown in FIGS. 4, 8, 10, 17 and 20, and the storage medium of the present invention is FIG. A program that can execute a computer on the processing methods shown in FIGS. 10, 17 and 20 is stored. Note that the program in the present invention may be a program for each processing method of each device in FIG. 4, FIG. 8, FIG. 10, FIG. 17, and FIG.
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読み出し、実行することによっても本発明の目的が達成されることは言うまでもない。 As described above, the recording medium recording the program for realizing the functions of the above-described embodiments is supplied to the system or apparatus, and the computer (or CPU or MPU) of the system or apparatus stores the program stored in the recording medium. It goes without saying that the object of the present invention can also be achieved by reading and executing.
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記録した記録媒体は本発明を構成することになる。 In this case, the program itself read out from the recording medium realizes the novel function of the present invention, and the recording medium recording the program constitutes the present invention.
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、磁気テープ、不揮発性のメモリカード、ROM、EEPROM、シリコンディスク等を用いることが出来る。 As a recording medium for supplying the program, for example, a flexible disk, hard disk, optical disk, magneto-optical disk, CD-ROM, CD-R, DVD-ROM, magnetic tape, non-volatile memory card, ROM, EEPROM, silicon A disk etc. can be used.
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。 Further, by executing the program read by the computer, not only the functions of the above-described embodiment are realized, but also an operating system (OS) or the like running on the computer is actually executed based on the instructions of the program. It goes without saying that the processing is partially or entirely performed, and the processing realizes the functions of the above-described embodiments.
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。 Furthermore, after the program read from the recording medium is written to the memory provided to the function expansion board inserted into the computer or the function expansion unit connected to the computer, the function expansion board is read based on the instruction of the program code. It goes without saying that the case where the CPU or the like provided in the function expansion unit performs part or all of the actual processing and the functions of the above-described embodiment are realized by the processing.
また、本発明は、複数の機器から構成されるシステムに適用しても、ひとつの機器から成る装置に適用しても良い。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。 Further, the present invention may be applied to a system constituted by a plurality of devices or to an apparatus comprising a single device. It goes without saying that the present invention can also be applied to the case where it is achieved by supplying a program to a system or apparatus. In this case, by reading a recording medium storing a program for achieving the present invention into the system or apparatus, the system or apparatus can receive the effects of the present invention.
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ、データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。 Further, by downloading and reading out a program for achieving the present invention from a server on a network, a database or the like by a communication program, the system or apparatus can receive the effects of the present invention. In addition, the structure which combined each embodiment mentioned above and its modification is also contained in this invention altogether.
100 詐称メール検査装置(情報処理装置)
120 メールサーバ
130 LAN
140 外部ネットワーク
100 Spoofed Email Inspection System (Information Processing System)
120 Mail Server 130 LAN
140 External network
Claims (7)
過去に受信した電子メールの本文から、送信元毎の文字列の出現頻度を用いて、電子メールの定型部を特定する定型部特定手段と、
定型部特定手段により特定された定型部の特徴と、当該電子メールの送信元とを対応付けて記憶する記憶手段と、
前記記憶手段に記憶された情報に基づき、新たに受信した電子メールの送信元を推定する推定手段と、
前記推定手段により推定された送信元と、前記新たに受信した電子メールの実際の送信元とに基づき、警告を通知する通知手段として機能させるためのプログラム。 Computer,
From the text of the e-mail received in the past, using the appearance frequency of the character string for each transmission source, a fixed form part specifying means for specifying the fixed form part of the e-mail;
Storage means for storing the feature of the fixed form part specified by the fixed part specification means and the transmission source of the electronic mail in association with each other;
Estimating means for estimating a sender of the newly received e-mail based on the information stored in the storage means ;
A program for functioning as notification means for notifying a warning based on a transmission source estimated by the estimation means and an actual transmission source of the newly received e-mail.
前記推定手段により推定された新たに受信した電子メールの送信元と、当該新たに受信した電子メールの実際の送信元とが一致しない場合、前記推定手段により推定された送信元を通知する手段として機能させるための請求項1乃至3のいずれか1項に記載のプログラム。 Said notification means,
A sender of electronic mail newly received estimated by the estimation means, if the actual source of the newly received e-mail does not coincide, as a means for notifying the source estimated by said estimating means The program according to any one of claims 1 to 3 for functioning.
定型部特定手段により特定された定型部の特徴と、当該電子メールの送信元とを対応付けて記憶する記憶手段と、
前記記憶手段に記憶された情報に基づき、新たに受信した電子メールの送信元を推定する推定手段と、
前記推定手段により推定された送信元と、前記新たに受信した電子メールの実際の送信元とに基づき、警告を通知する通知手段と、
を備えることを特徴とする情報処理装置。 From the text of the e-mail received in the past, using the appearance frequency of the character string for each transmission source, a fixed form part specifying means for specifying the fixed form part of the e-mail;
Storage means for storing the feature of the fixed form part specified by the fixed part specification means and the transmission source of the electronic mail in association with each other;
Estimating means for estimating a sender of the newly received e-mail based on the information stored in the storage means ;
Notification means for notifying a warning based on the transmission source estimated by the estimation means and the actual transmission source of the newly received e-mail;
An information processing apparatus comprising:
前記情報処理装置の記憶手段が、定型部特定工程において特定された定型部の特徴と、当該電子メールの送信元とを対応付けて記憶する記憶工程と、
前記情報処理装置の推定手段が、前記記憶工程において記憶された情報に基づき、新たに受信した電子メールの送信元を推定する推定工程と、
前記情報処理装置の通知手段が、前記推定工程において推定された送信元と、前記新たに受信した電子メールの実際の送信元とに基づき、警告を通知する通知工程と、
を備えることを特徴とする情報処理方法。
A fixed form specification step of specifying a fixed form part of the electronic mail from the text of the e-mail received in the past using the appearance frequency of the character string for each transmission source;
A storage process in which storage means of the information processing apparatus stores the feature of the fixed form part specified in the fixed form part specification process in association with the transmission source of the electronic mail;
An estimation step of estimating the transmission source of the newly received electronic mail based on the information stored in the storage step, the estimation means of the information processing apparatus;
A notification step of notifying a warning based on the transmission source estimated in the estimation step and the actual transmission source of the newly received electronic mail, by the notification means of the information processing apparatus;
An information processing method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017147453A JP6531793B2 (en) | 2017-07-31 | 2017-07-31 | INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND PROGRAM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017147453A JP6531793B2 (en) | 2017-07-31 | 2017-07-31 | INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND PROGRAM |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019096650A Division JP7068587B2 (en) | 2019-05-23 | 2019-05-23 | Information processing equipment, information processing method, program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019028724A JP2019028724A (en) | 2019-02-21 |
JP6531793B2 true JP6531793B2 (en) | 2019-06-19 |
Family
ID=65476309
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017147453A Active JP6531793B2 (en) | 2017-07-31 | 2017-07-31 | INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND PROGRAM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6531793B2 (en) |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8566938B1 (en) * | 2012-11-05 | 2013-10-22 | Astra Identity, Inc. | System and method for electronic message analysis for phishing detection |
-
2017
- 2017-07-31 JP JP2017147453A patent/JP6531793B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019028724A (en) | 2019-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Mishra et al. | Smishing Detector: A security model to detect smishing through SMS content analysis and URL behavior analysis | |
Sonowal et al. | SmiDCA: an anti-smishing model with machine learning approach | |
Dewan et al. | Analyzing social and stylometric features to identify spear phishing emails | |
US20180191771A1 (en) | Threat intelligence management in security and compliance environment | |
US8055078B2 (en) | Filter for blocking image-based spam | |
Mishra et al. | SMS phishing and mitigation approaches | |
US20190052655A1 (en) | Method and system for detecting malicious and soliciting electronic messages | |
US20210126944A1 (en) | Analysis of potentially malicious emails | |
US11836730B2 (en) | Fraud detection based on an analysis of messages in a messaging account | |
US11258811B2 (en) | Email attack detection and forensics | |
CN111753192A (en) | Advertisement popup intercepting method and device, electronic equipment and storage medium | |
US20210382993A1 (en) | System and Method for Detecting a Malicious File | |
Balim et al. | Automatic detection of smishing attacks by machine learning methods | |
CN109450929A (en) | A kind of safety detection method and device | |
US9813412B1 (en) | Scanning of password-protected e-mail attachment | |
WO2017019968A1 (en) | Systems and methods for identifying electronic messages containing malicious content | |
EP2919422A1 (en) | Method and device for detecting spoofed messages | |
US10909198B1 (en) | Systems and methods for categorizing electronic messages for compliance reviews | |
JP6493606B1 (en) | Information processing apparatus, client terminal, control method, and program | |
JP7068587B2 (en) | Information processing equipment, information processing method, program | |
CN112039874B (en) | Malicious mail identification method and device | |
JP6531793B2 (en) | INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND PROGRAM | |
JP6493497B1 (en) | Information processing apparatus, information processing method, and program | |
US11257090B2 (en) | Message processing platform for automated phish detection | |
Shravasti et al. | Smishing detection: Using artificial intelligence |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181204 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20190115 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190201 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190423 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190506 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6531793 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |