JP6669954B2 - 情報処理装置、情報処理方法、及び情報処理プログラム - Google Patents

情報処理装置、情報処理方法、及び情報処理プログラム Download PDF

Info

Publication number
JP6669954B2
JP6669954B2 JP2018152773A JP2018152773A JP6669954B2 JP 6669954 B2 JP6669954 B2 JP 6669954B2 JP 2018152773 A JP2018152773 A JP 2018152773A JP 2018152773 A JP2018152773 A JP 2018152773A JP 6669954 B2 JP6669954 B2 JP 6669954B2
Authority
JP
Japan
Prior art keywords
transmission
source
mail
information
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018152773A
Other languages
English (en)
Other versions
JP2020027510A (ja
Inventor
登志夫 道具
登志夫 道具
松本 卓也
卓也 松本
光成 佐藤
光成 佐藤
Original Assignee
デジタルア−ツ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デジタルア−ツ株式会社 filed Critical デジタルア−ツ株式会社
Priority to JP2018152773A priority Critical patent/JP6669954B2/ja
Priority to PCT/JP2019/031960 priority patent/WO2020036201A1/ja
Priority to CN201980050377.9A priority patent/CN112534417A/zh
Priority to SG11202101380UA priority patent/SG11202101380UA/en
Priority to EP19850702.2A priority patent/EP3839752A4/en
Priority to US17/268,279 priority patent/US11785026B2/en
Publication of JP2020027510A publication Critical patent/JP2020027510A/ja
Application granted granted Critical
Publication of JP6669954B2 publication Critical patent/JP6669954B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明の実施形態は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。
近年、送信元のメールアドレスなどを偽装した電子メールを特定の相手に送り、添付したファイルやリンク先にアクセスさせることでユーザの端末をウィルスに感染させる等の標的型メール攻撃が増加している。
従来では、電子メールの送信元を偽装する、いわゆる「なりすまし」の電子メールに対応するための技術として、SPF(Sender Policy Framework)認証やDKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting & Conformance)といった送信元ドメインの認証技術が広く利用されている。
SPF認証では、認証用のサーバに送信元のメールアドレスのドメインと送信元IPアドレスとの組み合わせを適切な電子メールの送信元として予め登録しておき、メールサーバが電子メールを受信した際、当該電子メールの送信元に対応するドメインと送信元IPアドレスを認証用のサーバに問い合わせて、適切な電子メールの送信元であるか否かの認証を実行する。
特開2012−78922号公報
上述の送信元ドメインの認証技術のような、送信元のドメインとIPアドレスの組み合わせの登録が予め必要なメール認証システムでは、登録している法人や団体は限定的なものとなるため、認証可能な範囲には限界がある。加えて、送信元のドメイン及び送信元IPアドレスのいずれかがメールシステムの入れ替えなどにより変更された場合、認証を整合させるためには送信元のドメイン及び送信元IPアドレスとの組み合わせを改めて登録する必要がある。このため、送信元のドメイン及び送信元IPアドレスの変更に追随できない場合があった。
加えて、従来の送信元ドメインの認証技術では、悪意の第三者自身が、送信元のドメインとIPアドレスの組み合わせを認証用のサーバに登録した場合、悪意の第三者からの電子メールを受信した場合であっても認証結果が整合してしまうという問題もあった。
本発明はこのような事情を考慮してなされたもので、電子メールの適切な送信元を迅速かつ広範囲に収集でき、電子メールのなりすまし等の不正行為を防止することができる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。
本発明の実施形態に係る情報処理装置は、複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信に関する各種の情報である送信情報を受け付けるデータ受信部と、前記送信情報に基づいて前記電子メールの送信元が適切か否かを判定する送信情報判定部と、前記適切と判定された前記送信元を複数の前記メールサーバのそれぞれに配信するホワイトリスト配信部と、を備えて、前記メールサーバのそれぞれに配信される前記送信元は、送信元メールアドレスのドメインと送信元IPアドレスとの組み合わせから構成される、ことを特徴とする。
本発明の実施形態により、電子メールの適切な送信元を迅速かつ広範囲に収集でき、電子メールのなりすまし等の不正行為を防止することができる情報処理装置、情報処理方法、及び情報処理プログラムが提供される。
第1実施形態に係る情報処理装置が適用される電子メールシステムの構成の一例を示す構成図。 電子メールから抽出された送信情報の一例を示す説明図。 電子メールから抽出された送信情報について、送信情報判定部において適切な送信元か否かを判定した結果の一例を示す説明図。 ホワイトとなる送信元のリストの一例を示す説明図。 第1実施形態に係る情報処理方法の一例を示すフローチャート。 第2実施形態に係る情報処理装置が適用される電子メールシステムの構成の一例を示す構成図。 第2実施形態に係る情報処理方法の一例を示すフローチャート。
以下、本発明の実施形態を添付図面に基づいて説明する。
図1は、第1実施形態に係る情報処理装置10が適用される電子メールシステムの構成の一例を示す構成図である。
メールサーバ12は、外部メールサーバを介して、外部端末(図示省略)から電子メールを受信して、受信した電子メールを内部端末11に送信するサーバである。メールサーバ12は、例えばインターネットからの接続が制限される内部ネットワークとインターネットと任意に接続可能な外部ネットワークとの境界(DMZ:DeMilitarized Zone)に設けられる。
内部端末11は、メールサーバ12から電子メールを受信するクライアント端末である。
なお、ここでは、メールサーバ12(12a,12b)を2つで構成して、メールサーバ12a及び12bのそれぞれについて電子メールを受信する端末を内部端末11a、11bのそれぞれ1つで構成しているが、さらに複数のメールサーバ12及び内部端末11で構成してもよく、メールサーバ12及び内部端末11の数量、配置は図1に限定されるものは無い。
メールサーバ12は、電子メール解析部18と、送信情報保存部19と、ホワイトリストデータベース20と、送受信処理部22と、を備えている。
電子メール解析部18は、外部メールサーバを介して、外部端末から受信した電子メールから送信情報を抽出して、送信情報に基づいて電子メールの解析を実行する。送信情報とは、電子メールから抽出されるメール送信に関する各種の情報であり、送信元メールアドレス(エンベロープFrom)、メールヘッダ内に記載の送信元IPアドレス、送信時間、メール件名、メール本文内に記載のリンク先、添付されたファイル名、添付ファイル名及びそのファイル拡張子などである。送信元IPアドレスは、メールヘッダ内に記載されているIPアドレス(Received From)のうち、インターネットからの接続が制限される内部のネットワークで管理されるメールサーバ12の前段にある外部のメールサーバの送信元IPアドレスにより特定してもよいし、メールサーバ12の前段のサーバから送信された接続コマンドのIPアドレスを利用して特定してもよい。
電子メール解析部18は、抽出した送信情報に基づいて、悪意の第三者により電子メールの送信元が偽装された有害なメールか否かの解析を実行する。具体的には、例えば電子メール解析部18は、送信元メールアドレス(エンベロープFrom)とメールヘッダ内の送信元アドレスとが一致するか否かを判定して、一致しない場合には送信元の偽装と判定する。また、予め偽装と想定されるメール文章を保存しておき、このメール文章と電子メールの本文とを照合することで送信元の偽装と判定してもよい。
送信情報保存部19は、電子メール解析部18で抽出された送信情報を、電子メールを受信する内部端末11のそれぞれを識別する情報(例えば、内部端末11のIPアドレス、電子メールアドレスなど)と関連付けて保存する。送信情報は、送信情報保存部19に保存されるごとに情報処理装置10に送信される。あるいは、送信情報は、定期的(例えば2時間ごと)に情報処理装置10に送信されてもよい。
図2は、電子メールから抽出された送信情報の一例を示す説明図である。
図2に示すように、送信情報保存部19は、送信元メールアドレス、送信元IPアドレス、送信時間、メール件名、メール本文内に記載のリンク先、添付されたファイルのファイル名などが送信情報として保存される。また、電子メール解析部18において実行された、電子メールが偽装か否かの判定結果を送信情報として付加してもよい。
ホワイトリストデータベース20は、電子メールの送信元として適切となる(偽装メールのおそれが無い)、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせをリストとして予め保存するデータベースである。ホワイトリストデータベース20は、情報処理装置10から配信された、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせを保存する配信データ保存部21を有している。なお、情報処理装置10から配信されて、配信データ保存部21で保存されるホワイトな送信元(送信元として適切な)に対応するドメインと送信元IPアドレスの詳細については後述する。
送受信処理部22は、受信した電子メールについて、内部端末11へのメールの送信制御などを実行する。具体的には、電子メールの送信元メールアドレスのドメイン及び送信元IPアドレスがホワイトリストデータベース20に記載の送信元リストと合致する場合には、適切な送信元と判断して内部端末11に電子メールを送信する。一方、ホワイトリストデータベース20に記載の送信元リストと合致しない場合には、電子メール解析部18における偽装メールか否かの解析結果に基づいて電子メールの送信を制御する。例えば、電子メールが偽装と判定された場合には内部端末11に電子メールを送信せずに、メールサーバ12の内部にメールを隔離する。これにより、電子メールを受信する内部端末11がウィルスに感染するなどのリスクが回避されて、端末の安全性が担保される。
無料メールドメインやプロバイダ管轄のドメインなど法人や団体だけではなく個人も利用できるドメインについては、標的型のメールとして利用されるおそれが高いため、ホワイトリストデータベース20で保存されるホワイトな送信元としては除外することが望ましい。なお、プライベートドメインをホワイトリストデータベース20とは別に保存してもよい。
第1実施形態に係る情報処理装置10は、複数のメールサーバ12で受信された電子メールから抽出された送信情報を受け付けて、送信情報に基づいて送信元が適切か否かを判定して、適切と判定された送信元をメールサーバ12のそれぞれに配信する装置である。
情報処理装置10は、複数のメールサーバ12から送信される送信情報を取得する。情報処理装置10は、複数のメールサーバ12から送信情報を直接取得してもよいし、送信情報を収集する別個のサーバを経由して送信情報を取得してもよい。
なお、情報処理装置10は一台の装置から構成されてもよいが、複数の装置から構成されてもよい。情報処理装置10が複数の装置から構成される場合には、情報処理装置10を構成する装置は異なる部屋又は異なる場所に設置されてもよく、情報処理装置10の一部と情報処理装置10の残部が遠隔地に配置されてもよい。
情報処理装置10は、データ受信部13と、送信情報判定部14と、照合データ保存部15と、ホワイトリスト配信部16と、を備えている。
なお、情報処理装置10を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ASIC等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。
データ受信部13は、複数のメールサーバ12のそれぞれで受信された電子メールから抽出される、電子メールの送信情報をメールサーバ12から受け付ける。
照合データ保存部15は、電子メールの送信情報のそれぞれについて、内部端末11に有害となる悪性情報を予め保存するデータベースである。例えば、悪意のあるファイルのダウンロードやWebサイトへの接続に内部端末11を誘導する有害なIPアドレスやリンク先URL、偽装メールのおそれがある送信元メールアドレスのドメイン、IPアドレス、件名、添付ファイル名、添付ファイル名及びそのファイル拡張子等を保存する。
送信情報判定部14は、電子メールの送信情報に基づいて電子メールの送信元が適切か否かを判定する。送信情報判定部14は、受け付けた送信情報と、照合データ保存部15に保存されている悪性情報とを照合して、受け付けた送信情報が悪性情報に合致しない場合には、当該送信情報における送信元メールアドレスのドメイン及び送信元IPアドレスを適切な送信元と判定する。一方、受け付けた送信情報が悪性情報に合致する場合には、適切な送信元と判定しない。
また、送信情報判定部14は、複数のメールサーバ12から受け付けた送信情報において、送信情報に含まれる送信元メールアドレスのドメイン及び送信元IPアドレスが一致する場合には、当該送信元メールアドレスのドメイン及び送信元IPアドレスを適切と判定してもよい。例えば、送信情報を受け付けたメールサーバ12に対して基準値(例えば、3つ以上のメールサーバ12)を設けておき、基準値を超えるメールサーバ12から受信した送信情報において、送信元メールアドレスのドメイン及び送信元IPアドレスが一致する場合には、当該送信元メールアドレスのドメイン及び送信元IPアドレスを適切と判定する。また、送信情報判定部14は、複数のメールサーバ12から受け付けた送信情報において、電子メールの偽装判定の結果が良(偽装されていないとの判定結果が出た送信情報)となり、かつ送信元メールアドレスのドメイン及び送信元IPアドレスが一致する場合に、当該送信元メールアドレスのドメイン及び送信元IPアドレスを適切と判定してもよい。
また、送信情報判定部14は、複数のメールサーバ12から受け付けた送信情報において、送信情報に含まれる添付ファイル名及びその拡張子が送信情報の間で一致する場合には、不審な電子メールから抽出された送信情報の疑いがあるとして、送信情報に含まれる送信元メールアドレスのドメイン及び送信元IPアドレスを不適切な送信元と判定してもよい。
また、照合データ保存部15は、送信情報判定部14において適切な送信元と判定されなかった送信情報の各種情報を悪性情報として保存してもよい。
図3は、電子メールの送信情報に基づいて電子メールの送信元が適切か否かを判定した結果の一例を示す説明図である。送信情報判定部14は、受け付けた送信情報のそれぞれについて、照合データ保存部15に保存されている悪性情報と照合することで送信元が適切か否かを判定する。
図3に示すように、送信元IPアドレスが「178.50.1.x」に対応する電子メールの送信情報にリンク先として「http://・・/a.html」が存在して、このリンク先が悪性情報と合致する場合、この送信情報に対応する送信元は不適切と判定する。一方、送信元IPアドレスが「178.60.1.y」に対応する電子メールの送信情報について、送信情報のそれぞれが悪性情報と合致しない場合、送信情報に対応する送信元メールアドレスのドメイン及び送信元IPアドレスを適切な送信元、すなわちホワイトな送信元と判定する。
ホワイトリスト保存部17は、適切と判定された送信元を保存する。ホワイトリスト保存部17は、適切と判定された送信元を蓄積していく。また、ホワイトリスト保存部17に保存された送信元は、照合データ保存部15の悪性情報と随時照合されて、送信元が適切か否かの判定結果が更新されてもよい。
ホワイトリスト配信部16は、送信情報判定部14において適切と判定された送信元を複数のメールサーバ12のそれぞれに配信する。そして、メールサーバ12のそれぞれは、配信された送信元(メールアドレスのドメイン及び送信元IPアドレス)を配信データ保存部21に保存する。ホワイトリスト配信部16は、適切と判断された送信元が収集されるごとに複数のメールサーバ12のそれぞれに配信してもよいし、ホワイトリスト保存部17に保存された送信元の全てのデータを一定時間ごとに配信してもよい。また、情報処理装置10がメールサーバ12からの配信要求を受け付けて、ホワイトリスト保存部17に保存された送信元の全てのデータを配信してもよい。
また、ホワイトリスト配信部16は、ホワイトリスト保存部17に保存された送信元とともに照合データ保存部15に保存されている悪性情報をメールサーバ12のそれぞれに配信してもよい。メールサーバ12の電子メール解析部18は、配信された悪性情報を用いて偽装解析を実施してもよい。
図4は、ホワイトリストデータベース20(20a、20b)で保存されるホワイトリストの一例を示す説明図である。ホワイトリストデータベース20には、送信元として適切とされた、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせが保存される。ホワイトリスト配信部16から配信されるごとに、適切な送信元として新たに保存される。
続いて、第1実施形態に係る情報処理装置10の動作について説明する。
図5は、第1実施形態に係る情報処理方法の一例を示すフローチャートである(適宜、図1参照)。
データ受信部13は、複数のメールサーバ12のそれぞれで受信された電子メールから抽出される、電子メールの送信情報をメールサーバ12から受け付ける(S10)。
送信情報判定部14は、受け付けた電子メールの送信情報と、照合データ保存部15に保存されている悪性情報とを照合して、電子メールの送信元が適切か否かを判定する(S11)。
そして、受け付けた電子メールの送信情報が悪性情報に合致しない場合には、当該送信情報における送信元メールアドレスのドメイン及び送信元IPアドレスを適切な送信元と判定する(S12:YES)。一方、受け付けた電子メールの送信情報が悪性情報に合致する場合には、適切な送信元と判定しない(S12:NO)。
ホワイトリスト配信部16は、送信情報判定部14において適切と判定された送信元を複数のメールサーバ12のそれぞれに配信する(S13)。なお、ホワイトリスト配信部16は、ホワイトリスト保存部17に保存された送信元の全てのデータを一定時間ごとに配信してもよい。
このように、第1実施形態に係る情報処理装置10は、電子メールの適切な送信元を迅速かつ広範囲に収集できる。短期間で電子メールの適切な送信元を広範囲に収集できることで、電子メールのなりすまし等の不正行為を防止することができる。
メールシステムの入れ替えやドメイン情報変更などにより送信元のメールアドレスのドメインとIPアドレスとの組み合わせが変化する場合、SPF認証などでは、ドメインと送信元IPアドレスの組み合わせを改めて各メールサーバの管理者が登録する必要がある。
一方、本実施形態では、複数のメールサーバ12で実際に受信された電子メールの送信情報に基づいてホワイトとなる送信元を収集、配信することで、送信元のメールアドレスのドメインとIPアドレスとの組み合わせが変化する場合であっても、例えばSPF認証のようにドメインと送信元IPアドレスの組み合わせを各メールサーバの管理者が予めDNSサーバに登録する必要は無く、最新の適切な送信元を迅速に使用することができる。すなわち、実際に受信された電子メールの送信情報に基づいてホワイトとなる送信元を更新することで、ドメインや送信元IPアドレスの変更に追随でき、ホワイトとなる送信元リストを常に最新の状態に保持することができる。また、SPF認証とは異なり、悪意の第三者がメールアドレスのドメインと送信元IPアドレスの組み合わせを送信元として登録することはできないため、メールサーバ12において悪意の第三者から受信した電子メールが適切な送信元と判断されることを防止できる。
(第2実施形態)
図6は、第2実施形態に係る情報処理装置10の構成の一例を示す図である。なお、図6において第1実施形態(図1)と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。
第2実施形態に係る情報処理装置10では、内部端末11のユーザまたはメールサーバ12の管理者により登録された送信元メールアドレスのドメイン及び送信元IPアドレスについて情報処理装置10で受信して、この登録された送信元メールアドレスのドメイン及び送信元IPアドレスを適切な送信元としてメールサーバ12のそれぞれに配信する。
具体的な構成について説明する。
メールサーバ12のホワイトリストデータベース20は、内部端末11のユーザまたはメールサーバ12の管理者により登録される、電子メールの送信元として適切となる送信元メールアドレスのドメインと送信元IPアドレスの組み合わせを保存する登録データ保存部23をさらに有している。
なお、内部端末11のユーザ(またはメールサーバ12の管理者)は、送信元を登録するための登録画面を端末上に表示して、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせからなる送信元を登録する。登録された送信元は、登録データ保存部23に保存される。
また、ユーザの端末上に表示された登録画面は、すでにホワイトリストデータベース20の登録データ保存部23に登録されている送信元の登録データを表示可能に構成されてもよい。このとき、登録データ保存部23に保存された送信元の登録データを、情報処理装置10から配信されて配信データ保存部21に保存された送信元の配信データと比較照合して、配信データと一致する登録データについては、配信データとして保存されていることをユーザが認識できるように表示されてもよい(例えば、配信データと一致する登録データは識別用のマークを付して表示される)。
データ受信部13は、ユーザにより登録される、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせからなる送信元をメールサーバ12から受け付ける。なお、メールサーバ12は、送信元を情報処理装置10に送信する際、メールサーバ12のそれぞれを識別するための識別情報を送信元に付与して送信してもよい。これにより、情報処理装置10では、受け付けた送信元がいずれのメールサーバ12から送信されたものか識別することができる。
また、データ受信部13は、1つの送信元メールアドレスのドメインと複数の送信元IPアドレスとが対応付けてユーザにより登録された組み合わせを受け付けてもよい。例えば、図4のNo.3に示すように、CIDR(Classless Inter-Domain Routing)形式を用いて、1つのドメインに特定のアドレス範囲を指定する送信元IPアドレスを対応付けて受け付ける。
送信情報判定部14は、受け付けた送信元メールアドレスのドメインと送信元IPアドレスの組み合わせに基づいてこの送信元が適切か否かを判定する。具体的には、送信情報判定部14は、受け付けた送信元メールアドレスのドメインと送信元IPアドレスと、照合データ保存部15に保存されている悪性情報とを照合することで、適切な送信元か否かを判定する。
ホワイトリスト保存部17は、適切と判定された送信元を保存する。なお、送信情報判定部14において、メールサーバ12においてユーザ(または管理者)により登録され、データ受信部13で受け付けた送信元メールアドレスのドメインと送信元IPアドレスについて適切か否かの判定を必ず実行する必要は無く、データ受信部13で受け付けた送信元メールアドレスのドメインと送信元IPアドレスをホワイトリスト保存部17に保存してもよい。
ホワイトリスト配信部16は、ホワイトリスト保存部17に保存された送信元を、送信元の登録に係るメールサーバ12を含むメールサーバ12のそれぞれに配信する。なお、ホワイトリスト配信部16は、ホワイトリスト保存部17に送信元が保存されるごとに複数のメールサーバ12のそれぞれに配信してもよいし、ホワイトリスト保存部17に保存された送信元の全てのデータを一定時間ごとに配信してもよい。また、情報処理装置10がメールサーバ12からの配信要求を受け付けて、ホワイトリスト保存部17に保存された送信元の全てのデータを配信してもよい。
第2実施形態における配信の方法について図6を用いて具体的に説明する。メールサーバ12aにおいて、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせからなる送信元が登録データ保存部23aに登録された場合、この送信元は情報処理装置10に送信される。情報処理装置10の送信情報判定部14は、送信されたドメインと送信元IPアドレスが適切か否かを判定する。ホワイトリスト配信部16は、適切な送信元と判定された場合、この送信元はメールサーバ12a、12bに送信する。メールサーバ12a、12bのそれぞれは、送信された送信元を配信データ保存部21a、21bに保存する。
続いて、第2実施形態に係る情報処理装置10の動作について説明する。
図7は、第2実施形態に係る情報処理方法の一例を示すフローチャートである(適宜、図6参照)。
データ受信部13は、ユーザにより登録される、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせからなる送信元を受け付ける(S20)。
送信情報判定部14は、受け付けた送信元メールアドレスのドメインと送信元IPアドレスの組み合わせに基づいてこの送信元が適切か否かを判定する(S21)。
ホワイトリスト配信部16は、適切と判定された送信元(メールのドメイン及び送信元IPアドレス)を、ユーザによる送信元の登録に係るメールサーバ12を含むメールサーバ12a、12bのそれぞれに配信する(S22:YES、S23)。なお、ホワイトリスト配信部16は、ホワイトリスト保存部17に保存された送信元の全てのデータを一定時間ごとに配信してもよい。一方、適切と判定されなかった場合には、メールサーバ12に配信しない(S22:NO)。
第2実施形態に係る情報処理装置10は、ユーザにより登録された送信元について、メールサーバ12に配信することで、ホワイトとなる送信元を複数のメールサーバ間で即時に共有することができ、ホワイトとなる送信元リストを広範囲に収集できる。
なお、第2実施形態に係る情報処理装置10において、第1実施形態で示した情報処理装置10の構成、すなわち複数のメールサーバ12で実際に受信された電子メールの送信情報に基づいてホワイトとなる送信元を収集、配信する構成を組み合わせてもよい。
以上述べた実施形態の情報処理装置によれば、メールサーバのそれぞれから抽出された送信情報に基づいて電子メールの適切な送信元を判定し、送信元を各メールサーバに配信することにより、適切な電子メールの送信元を迅速かつ広範囲に収集でき、SPF認証などに比較してタイムリーにより正確に送信元を把握することにより、電子メールのなりすまし等の不正行為を防止することができる。
なお、情報処理装置10で実行されるプログラムは、ROM等の記憶回路に予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでCD−ROM、CD−R、メモリカード、DVD、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、情報処理装置10で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
10…情報処理装置、11…内部端末、12…メールサーバ、13…データ受信部、14…送信情報判定部、15…照合データ保存部、16…ホワイトリスト配信部、17…ホワイトリスト保存部、18…電子メール解析部、19…送信情報保存部、20…ホワイトリストデータベース、21…配信データ保存部、22…送受信処理部、23…登録データ保存部。

Claims (10)

  1. 複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信に関する各種の情報である送信情報を受け付けるデータ受信部と、
    前記送信情報に基づいて前記電子メールの送信元が適切か否かを判定する送信情報判定部と、
    前記適切と判定された前記送信元を複数の前記メールサーバのそれぞれに配信するホワイトリスト配信部と、を備えて、
    前記メールサーバのそれぞれに配信される前記送信元は、送信元メールアドレスのドメインと送信元IPアドレスとの組み合わせから構成される、
    ことを特徴とする情報処理装置。
  2. 前記送信情報は、受信された前記電子メールにおける送信に係る各種の情報を含み、
    前記送信情報のそれぞれについて有害となる悪性情報を予め保存する照合データ保存部を備えて、
    前記送信情報判定部は、受け付けた前記送信情報と前記悪性情報とを照合して、前記電子メールの前記送信元が適切か否かを判定する、
    ことを特徴とする請求項1に記載の情報処理装置。
  3. 前記送信情報判定部は、複数の前記メールサーバから受け付けた複数の前記送信情報において、前記送信情報に含まれる前記送信元が一致する場合には、当該前記送信元を適切と判定する、
    ことを特徴とする請求項1または請求項2に記載の情報処理装置。
  4. 前記送信情報判定部において前記適切と判定された前記送信元を保存するホワイトリスト保存部を備えて、
    保存された前記送信元は、前記悪性情報と照合されて、前記送信元が適切か否かの判定結果が更新される、
    ことを特徴とする請求項に記載の情報処理装置。
  5. 前記データ受信部は、ユーザにより登録される、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせからなる前記送信元を受け付けて、
    前記ホワイトリスト配信部は、前記送信元を前記メールサーバのそれぞれに配信する、
    ことを特徴とする請求項1から請求項のいずれか一項に記載の情報処理装置。
  6. 複数のメールサーバのそれぞれにおいてユーザにより登録される、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせからなる送信元を受け付けるデータ受信部と、
    受け付けた前記送信元メールアドレスのドメインと送信元IPアドレスとの組み合わせからなる前記送信元が適切か否かを判定する送信情報判定部と、
    前記送信元を前記メールサーバのそれぞれに配信するホワイトリスト配信部と、を備えることを特徴とする情報処理装置。
  7. 前記データ受信部は、ユーザにより登録される、1つのメールのドメインと複数の送信元IPアドレスとの組み合わせからなる前記送信元を受け付ける、
    ことを特徴とする請求項に記載の情報処理装置。
  8. 複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信情報を受け付けるデータ受信部と、
    前記送信情報に基づいて前記電子メールの送信元が適切か否かを判定する送信情報判定部と、
    前記適切と判定された前記送信元を複数の前記メールサーバのそれぞれに配信するホワイトリスト配信部と、を備えて、
    前記送信情報判定部は、複数の前記メールサーバから受け付けた複数の前記送信情報において、前記送信情報に含まれる前記送信元が一致する場合には、当該前記送信元を適切と判定する、
    ことを特徴とする情報処理装置。
  9. 複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信に関する各種の情報であるの送信情報を受け付けるステップと、
    前記送信情報に基づいて前記電子メールの送信元のドメイン及び送信元IPアドレスが適切か否かを判定するステップと、
    前記適切と判定された前記送信元のドメイン及び送信元IPアドレスを複数の前記メールサーバのそれぞれに配信するステップと、を含み、
    前記メールサーバのそれぞれに配信される前記送信元は、送信元メールアドレスのドメインと送信元IPアドレスとの組み合わせから構成される、
    ことを特徴とする情報処理方法。
  10. コンピュータを、
    複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信に関する各種の情報である送信情報を受け付ける機能、
    前記送信情報に基づいて前記電子メールの送信元のドメイン及び送信元IPアドレスが適切か否かを判定する機能、
    前記適切と判定された前記送信元のドメイン及び送信元IPアドレスを複数の前記メールサーバのそれぞれに配信する機能、を有して、
    前記メールサーバのそれぞれに配信される前記送信元は、送信元メールアドレスのドメインと送信元IPアドレスとの組み合わせから構成される、
    ことを特徴とする情報処理プログラム。
JP2018152773A 2018-08-14 2018-08-14 情報処理装置、情報処理方法、及び情報処理プログラム Active JP6669954B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2018152773A JP6669954B2 (ja) 2018-08-14 2018-08-14 情報処理装置、情報処理方法、及び情報処理プログラム
PCT/JP2019/031960 WO2020036201A1 (ja) 2018-08-14 2019-08-14 情報処理装置、情報処理方法、及び情報処理プログラム
CN201980050377.9A CN112534417A (zh) 2018-08-14 2019-08-14 信息处理装置、信息处理方法、及信息处理程序
SG11202101380UA SG11202101380UA (en) 2018-08-14 2019-08-14 Information processing device, information processing method and information processing program
EP19850702.2A EP3839752A4 (en) 2018-08-14 2019-08-14 INFORMATION PROCESSING DEVICE, INFORMATION PROCESSING METHOD AND INFORMATION PROCESSING PROGRAM
US17/268,279 US11785026B2 (en) 2018-08-14 2019-08-14 Information processing device, information processing method and information processing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018152773A JP6669954B2 (ja) 2018-08-14 2018-08-14 情報処理装置、情報処理方法、及び情報処理プログラム

Publications (2)

Publication Number Publication Date
JP2020027510A JP2020027510A (ja) 2020-02-20
JP6669954B2 true JP6669954B2 (ja) 2020-03-18

Family

ID=69525436

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018152773A Active JP6669954B2 (ja) 2018-08-14 2018-08-14 情報処理装置、情報処理方法、及び情報処理プログラム

Country Status (6)

Country Link
US (1) US11785026B2 (ja)
EP (1) EP3839752A4 (ja)
JP (1) JP6669954B2 (ja)
CN (1) CN112534417A (ja)
SG (1) SG11202101380UA (ja)
WO (1) WO2020036201A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11363060B2 (en) * 2019-10-24 2022-06-14 Microsoft Technology Licensing, Llc Email security in a multi-tenant email service
JP7121779B2 (ja) * 2020-08-27 2022-08-18 デジタルアーツ株式会社 情報処理装置、情報処理方法、及び情報処理プログラム

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5999932A (en) 1998-01-13 1999-12-07 Bright Light Technologies, Inc. System and method for filtering unsolicited electronic mail messages using data matching and heuristic processing
US20050015455A1 (en) 2003-07-18 2005-01-20 Liu Gary G. SPAM processing system and methods including shared information among plural SPAM filters
US7873996B1 (en) * 2003-11-22 2011-01-18 Radix Holdings, Llc Messaging enhancements and anti-spam
JP2005217750A (ja) * 2004-01-29 2005-08-11 Telepark Corp 電子メールシステムおよび電子メールの配信方法
US8655957B2 (en) * 2004-12-16 2014-02-18 Apple Inc. System and method for confirming that the origin of an electronic mail message is valid
US20090307320A1 (en) 2008-06-10 2009-12-10 Tal Golan Electronic mail processing unit including silverlist filtering
KR20080093084A (ko) * 2008-08-22 2008-10-20 주식회사 누리비젼 스팸메일 차단 시스템
US8392357B1 (en) * 2008-10-31 2013-03-05 Trend Micro, Inc. Trust network to reduce e-mail spam
JP5486452B2 (ja) 2010-09-30 2014-05-07 ニフティ株式会社 Webメールサーバ
JP5721535B2 (ja) * 2011-05-20 2015-05-20 Kddi株式会社 電子メール分類装置、電子メール分類方法及び電子メール分類プログラム
US9191401B2 (en) * 2013-06-14 2015-11-17 Paypal, Inc. Signed response to an abusive email account owner and provider systems and methods
CN103761478B (zh) * 2014-01-07 2016-11-23 北京奇虎科技有限公司 恶意文件的判断方法及设备
JP6266487B2 (ja) * 2014-09-30 2018-01-24 Kddi株式会社 メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム
JP6115595B2 (ja) * 2015-07-16 2017-04-19 日本電気株式会社 メール中継装置、メール中継方法、及び、プログラム
US10050998B1 (en) * 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
CN107231241A (zh) * 2016-03-24 2017-10-03 中国移动通信有限公司研究院 信息处理方法、网关及验证平台
US10701094B2 (en) * 2017-06-22 2020-06-30 Oracle International Corporation Techniques for monitoring privileged users and detecting anomalous activities in a computing environment
US11165800B2 (en) * 2017-08-28 2021-11-02 Oracle International Corporation Cloud based security monitoring using unsupervised pattern recognition and deep learning
US10805346B2 (en) * 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US10454954B2 (en) * 2017-11-06 2019-10-22 Paypal, Inc. Automated detection of phishing campaigns via social media
US10977161B2 (en) * 2018-05-30 2021-04-13 Microsoft Technology Licensing, Llc Automatic intelligent cloud service testing tool

Also Published As

Publication number Publication date
SG11202101380UA (en) 2021-03-30
US20210320930A1 (en) 2021-10-14
EP3839752A4 (en) 2022-04-20
CN112534417A (zh) 2021-03-19
WO2020036201A1 (ja) 2020-02-20
US11785026B2 (en) 2023-10-10
EP3839752A1 (en) 2021-06-23
JP2020027510A (ja) 2020-02-20

Similar Documents

Publication Publication Date Title
US11552981B2 (en) Message authenticity and risk assessment
US9635042B2 (en) Risk ranking referential links in electronic messages
Kucherawy et al. Domain-based message authentication, reporting, and conformance (DMARC)
US7320021B2 (en) Authenticating electronic communications
US9015090B2 (en) Evaluating a questionable network communication
EP1877904B1 (en) Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources
US8010609B2 (en) Method and apparatus for maintaining reputation lists of IP addresses to detect email spam
US20060212931A1 (en) Trust evaluation systems and methods
US20070156900A1 (en) Evaluating a questionable network communication
US20100313253A1 (en) Method, system and process for authenticating the sender, source or origin of a desired, authorized or legitimate email or electrinic mail communication
JP6115595B2 (ja) メール中継装置、メール中継方法、及び、プログラム
US20220353242A1 (en) Entity-separated email domain authentication for known and open sign-up domains
JP6669954B2 (ja) 情報処理装置、情報処理方法、及び情報処理プログラム
JP4693174B2 (ja) 中間ノード
Kucherawy et al. RFC 7489: Domain-based message authentication, reporting, and conformance (DMARC)
JP2020086547A (ja) 情報処理装置、情報処理方法、及び情報処理プログラム
Sakamuri Design and evaluation of a new authentication mechanism for validating the sender of an email

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191018

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191217

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200117

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200206

R150 Certificate of patent or registration of utility model

Ref document number: 6669954

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250