JP7138532B2 - メール検査システム、メール検査方法およびメール検査プログラム - Google Patents
メール検査システム、メール検査方法およびメール検査プログラム Download PDFInfo
- Publication number
- JP7138532B2 JP7138532B2 JP2018188821A JP2018188821A JP7138532B2 JP 7138532 B2 JP7138532 B2 JP 7138532B2 JP 2018188821 A JP2018188821 A JP 2018188821A JP 2018188821 A JP2018188821 A JP 2018188821A JP 7138532 B2 JP7138532 B2 JP 7138532B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- destination user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
一方、ヘッダおよび添付ファイルに基づいて明らかに不審な電子メールを検知するシステムが存在する。しかし、巧妙な標的型攻撃メールはこのようなシステムによって検知されない場合がある。そのため、巧妙な標的型攻撃メールについては、メール本文に基づいて不審さを検出し、ユーザに通知する必要がある。
OSINTは、Open Source Intelligenceの略称である。
巧妙な標的型攻撃メールは、正規メールを模倣するアプローチ、または、心理的要因を利用するアプローチ、によって作成される。例えば、心理的要因とは、URLを思わずクリックしてしまうような要因である。
このような方法では、検知漏れを防ぐために閾値が低く設定される傾向がある。また、人を説得する表現は通常のメールでも用いられる。そのため、このような方法では、誤検知が多く発生してしまう可能性がある。
このような事情を考慮すると、全てのユーザに一律に同じセキュリティ対策を講じることは適切ではなく、それぞれのユーザの特性に応じてユーザ別にアラートを調整する必要がある。
電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得するユーザ特性取得部と、
前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部とを備える。
そのため、検出された電子メールに対するアラートを強調することが可能となる。つまり、ユーザの特性に応じてユーザ別にアラートを調整することが可能となる。
メール検査システムについて、図1から図7に基づいて説明する。
図1に基づいて、メール検査装置100の構成を説明する。
メール検査装置100は、プロセッサ101とメモリ102と補助記憶装置103と通信装置104と入出力インタフェース105といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
メモリ102は揮発性の記憶装置である。メモリ102は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ102はRAM(Random Access Memory)である。メモリ102に記憶されたデータは必要に応じて補助記憶装置103に保存される。
補助記憶装置103は不揮発性の記憶装置である。例えば、補助記憶装置103は、ROM(Read Only Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリである。補助記憶装置103に記憶されたデータは必要に応じてメモリ102にロードされる。
通信装置104はレシーバ及びトランスミッタである。例えば、通信装置104は通信チップまたはNIC(Network Interface Card)である。
入出力インタフェース105は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース105はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。USBはUniversal Serial Busの略称である。
さらに、補助記憶装置103にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。
つまり、プロセッサ101は、OSを実行しながら、メール検査プログラムを実行する。
メール検査プログラムを実行して得られるデータは、メモリ102、補助記憶装置103、プロセッサ101内のレジスタ、または、プロセッサ101内のキャッシュメモリといった記憶装置に記憶される。
メール検査システム200において、メール検査装置100は、アラート調整装置100Aとして利用することができる。
不審メール検知装置300は、ユーザ201宛ての1つ以上の電子メールから不審メールを検知し、不審メールにアラート情報を付加し、アラート情報が付加された不審メールを出力する。アラート情報が付加された不審メールは、アラート調整装置100Aに入力される。
アラート調整装置100Aは、不審メールに付加されたアラート情報を調整し、調整されたアラート情報が付加された不審メールをユーザ201に提示する。アラート情報が調整される際には、インターネットに公開されたユーザ201の情報、または、情報データベースに登録されたユーザ201の情報、などが参照される。情報データベースは、例えば、社内情報を管理するためのデータベースである。
不審メール検知装置300は、プロセッサ301とメモリ302と補助記憶装置303と通信装置304と入出力インタフェース305といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
メモリ302は揮発性の記憶装置である。メモリ302は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ302はRAMである。メモリ302に記憶されたデータは必要に応じて補助記憶装置303に保存される。
補助記憶装置303は不揮発性の記憶装置である。例えば、補助記憶装置303は、ROM、HDDまたはフラッシュメモリである。補助記憶装置303に記憶されたデータは必要に応じてメモリ302にロードされる。
通信装置304はレシーバ及びトランスミッタである。例えば、通信装置304は通信チップまたはNICである。
入出力インタフェース305は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース305はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
不審メール検知部320は、表層解析部321と深層解析部322とを備える。
さらに、補助記憶装置303にはOSが記憶されている。OSの少なくとも一部は、メモリ302にロードされて、プロセッサ301によって実行される。
つまり、プロセッサ301は、OSを実行しながら、不審メール検知プログラムを実行する。
不審メール検知プログラムを実行して得られるデータは、メモリ302、補助記憶装置303、プロセッサ301内のレジスタ、または、プロセッサ301内のキャッシュメモリといった記憶装置に記憶される。
メール検査システム200またはメール検査装置100の動作はメール検査方法に相当する。また、メール検査方法の手順はメール検査プログラムの手順に相当する。メール検査システム200におけるメール検査プログラムには、不審メール検知プログラムが含まれる。
ステップS110において、メール受付部111は、電子メールを受け付ける。
不審メールを検知する方法は任意である。つまり、不審メールは、既存技術によって検知されてもよいし、新規技術によって検知されてもよい。
まず、メール受付部310は、通信装置304を用いて、電子メールを受信する。
次に、不審メール検知部320は、受信された電子メールが不審メールであるか判定する。
受信された電子メールが不審メールである場合、メール出力部330は、通信装置304を用いて、不審メールをアラート調整装置100Aに送信する。不審メールには、アラートが付加される。
そして、メール受付部111は、通信装置104を用いて、不審メールを受信する。
表層解析部321は、電子メールに対する表層解析を行う。そして、表層解析部321は、解析結果に基づいて、電子メールが不審メールであるか判定する。表層解析は、電子メールの表層情報に基づいて行われる解析である。表層情報は、電子メールの本文以外の情報である。例えば、表層情報は、電子メールのヘッダ情報、添付ファイルの情報、または、それらの組み合わせである。
深層解析部322は、表層解析において不審メールと判定されなかった電子メールに対して深層解析を行う。そして、深層解析部322は、解析結果に基づいて、電子メールが不審メールであるか判定する。深層解析は、電子メールの深層情報に基づいて行われる解析である。深層情報には、電子メールの本文が含まれる。つまり、深層解析は、メール全体に対する解析である。
表層解析の解析結果と比較される閾値および深層解析の解析結果と比較される閾値を低く設定することにより、検知漏れを防ぐことが可能となる。しかし、誤検知が多く発生する。
宛先ユーザは、電子メールの宛先アドレスで識別されるユーザである。
ユーザ情報は、宛先ユーザに関するユーザ情報である。
まず、ユーザ情報取得部112は、宛先ユーザ識別子を取得する。宛先ユーザ識別子は宛先ユーザを識別する。例えば、宛先ユーザが宛先ユーザ識別子をアラート調整装置100Aに入力し、ユーザ情報取得部112が宛先ユーザ識別子を受け付ける。宛先ユーザ識別子は電子メールから抽出されてもよい。電子メールの宛先アドレスは、宛先ユーザ識別子の一例である。
次に、ユーザ情報取得部112は、情報源にアクセスし、宛先ユーザ識別子に対応付けられた各種情報を情報源から収集する。情報源は情報システムともいう。情報源の一例は、インターネットおよび情報データベースである。インターネットに公開されている情報を公開情報という。情報データベースに登録されている情報を登録情報という。特に、社内で収集可能な登録情報を社内情報という。例えば、社内情報は、スケジュール、メール、ディレクトリまたは名刺管理ソフトなどの情報である。
そして、ユーザ情報取得部112は、収集された各種情報を集約する。集約された情報が宛先ユーザのユーザ情報である。
宛先ユーザのユーザ特性情報は、宛先ユーザの特性を表す情報である。
ビッグファイブは、主要5因子性格モデルと呼ばれる性格評価尺度の1つである。主要5因子性格モデルは、パーソナリティを理解する上で包括的かつ明瞭なモデルであると言われ、医療または消費嗜好調査などの多くの領域で用いられる。
ビッグファイブに基づいて、以下の5つの要素について性格の数値化が行われる。
(1)知的好奇心(Openness)
(2)誠実性(Conscientiousness)
(3)外向性(Extroversion)
(4)協調性(Agreeableness)
(5)感情起伏(Neuroticism)
ビッグファイブスコアは、Personality Insightsと呼ばれるサービスを利用することによって、得ることが可能である。また、ビッグファイブスコアはアンケートによって得ることも可能である。非特許文献2はPersonality Insightsについて記載されている。
メール検査システム200は、情報システム202と分析システム203とを備える。
情報システム202は、ユーザ情報を管理するシステムである。
分析システム203は、ユーザ情報に基づいてユーザの性格を分析するシステムである。
宛先ユーザ識別子の具体例はTwitterIDである。「Twitter」は登録商標である。
(2)ユーザ情報取得部112は、宛先ユーザ識別子を用いて、情報システム202から宛先ユーザのユーザ情報を取得する。
情報システム202の具体例はTwitterのシステムである。宛先ユーザのユーザ情報の一例は宛先ユーザのツイートである。
例えば、ユーザ情報取得部112は、Twitterが提供しているAPIを利用し、宛先ユーザのツイートを取得する。
(3)ユーザ特性取得部113は、宛先ユーザのユーザ情報を分析システム203のAPI用のフォーマットに変換する。
分析システム203の具体例は、Personality Insightsのシステムである。
(4)ユーザ特性取得部113は、(変換後の)ユーザ情報を分析システム203に送信する。分析システム203は、ユーザ情報を受け付け、ユーザ情報に基づいて宛先ユーザの性格を分析し、分析結果を送信する。そして、ユーザ特性取得部113は、分析結果を受信する。分析結果は複数の性格値を含む。
複数の性格値の具体例はビッグファイブスコアである。
性格値のデータ形式は性格値をそのまま利用することが可能な形式になっており、複数の性格値は行動予測部115に入力される。
以降の処理(5)および(6)は、ビッグファイブスコアをユーザに提示する際の処理である。
(5)ユーザ特性取得部113は、分析結果に基づいて性格グラフを生成する。性格グラフは、分析結果に含まれる複数の性格値を示すグラフである。
(6)ユーザ特性取得部113は、入出力インタフェース105を介して、ディスプレイに性格グラフを表示する。
性格グラフ204は、ビッグファイブスコアを示す性格グラフの一例である。具体的には、性格グラフ204は、ビッグファイブスコアを示すレーダーチャートである。
例えば、ユーザ特性取得部113は、性格グラフ204をディスプレイに表示することによって、ビッグファイブスコアをユーザ201に提示する。
ステップS140において、メール特徴取得部114は、受け付けられた電子メールに基づいて、受け付けられた電子メールのメール特徴情報を取得する。
メール特徴情報は、電子メールの特徴を表す情報である。
チャルディーニの法則は、相手に影響を与えることによって相手を自分の思い通りに誘導するための心理法則である。
チャルディーニの法則における6つの要素は以下の通りである。
(1)好意(Liking)
(2)返報性(Reciprocation)
(3)社会的証明(Consensus)
(4)一貫性(Commitment)
(5)権威(Authority)
(6)希少性(Scarcity)
識別器は、学習データを用いた機械学習によって予め生成される。学習データは、文章とその文章に対応付いた特徴量とのペアの配列である。識別器は、学習データの文章に対して、特徴量が出力されるように学習される。
悪性行動は、電子メールによる指示に従う行動である。
電子メールによる指示は、電子メールの文章に記載された指示である。
以下の(1)および(2)は、悪性行動の具体例である。
(1)電子メールに添付された電子ファイル(添付ファイル)の開封
(2)電子メールの文章に含まれるハイパーリンクのクリック
ハイパーリンクは、URL(Uniform Resource Locator)を示し、URLによって指定されるウェブサイトにリンクされている。
メール特徴情報が複数の影響値であり、ユーザ特性情報が複数の性格値であるものとする。
宛先ユーザの影響値を算出するための式は、式(1)で表すことができる。但し、性格要素がビッグファイブの要素であり、影響要素がチャルディーニの法則の要素であるものとする。
「X」は、宛先ユーザの性格値の集合を表す。
「xi」は、宛先ユーザの性格値の要素を表す。つまり、要素xiは、集合Xの中の要素の一つである。
「I」は、宛先ユーザの影響値の集合を表す。
「icj」は、宛先ユーザの影響値の要素を表す。つまり、要素icjは、集合Iの中の要素の一つである。
「C」は、性格要素と影響要素との関係を示す行列を表す。
「ckn」は、第k性格要素と第n影響要素との組の相関値を表す。
各影響要素に対する宛先ユーザの閾値を算出するための式は、式(2)で表すことができる。但し、影響要素がチャルディーニの法則の要素であるものとする。
「I」は、宛先ユーザの影響値の集合を表す。
「ici」は、宛先ユーザの影響値の要素を表す。つまり、要素iciは、集合Iの中の要素の一つである。
「Δ」は、各影響要素に対する宛先ユーザ用の閾値の集合を表す。
「δj」は、各影響要素に対する宛先ユーザ用の閾値を表す。つまり、閾値δjは、集合Δの中の要素の一つである。
「D」は、宛先ユーザの影響値から宛先ユーザ用の閾値への変換行列を表す。
「dkn」は、宛先ユーザの影響値から宛先ユーザ用の閾値への変換行列の要素を表す。つまり、要素dknは、変換行列Dの中の要素の一つである。
(1)少なくとも1つの影響要素について影響値が閾値を超えた場合、行動予測部115は、宛先ユーザが悪性行動を取ると判定する。
(2)全ての影響要素について影響値が閾値を超えた場合、行動予測部115は、宛先ユーザが悪性行動を取ると判定する。
(3)指定個数の影響要素について影響値が閾値を超えた場合、行動予測部115は、宛先ユーザが悪性行動を取ると判定する。
(4)行動予測部115は、複数の影響値の中の最大値に基づいて複数の影響値を正規化し、正規化後の複数の影響値の合計を算出する。正規化後の複数の影響値の合計が影響閾値を超える場合、行動予測部115は、宛先ユーザが悪性行動を取ると判定する。
相関データ205は、ビッグファイブの各要素が性格要素であり、チャルディーニの法則の各要素が特徴要素である場合の相関データである。
相関データ205には、第k性格要素と第n影響要素との組の相関値Cknが設定されている。
非特許文献4は、ビッグファイブとチャルディーニの法則との相関について記載されている。非特許文献4に記載された相関値は、相関データ205に設定する相関値の具体例である。
宛先ユーザが悪性行動を取ると予測された場合、処理はステップS160に進む。
宛先ユーザが悪性行動を取らないと予測された場合、処理はステップS170に進む。
フォントサイズの拡大、書体の変更または情報のポップアップは強調の一例である。
アラート強調部116は、電子メールの文章の中で影響要素に該当する箇所(例えば、チャルディーニの法則に当てはまる箇所)を強調してもよい。
具体的には、メール出力部117は、入出力インタフェース105を介して、不審メールとアラート情報とをディスプレイに表示する。宛先ユーザが悪性行動を取ると予測された場合、アラート情報は強調された状態で表示される。
実施の形態1において、人ごとに有効な心理的要因が抽出される。その要因がメール本文に用いられている場合には、その不審メールに対するアラートが強調され、その不審メールと強調されたアラートとがユーザに提示される。
これにより、アラートの形骸化を防ぎつつ、特に危険なメールをユーザに知らせることが可能となる。
個人が説得される可能性が高い不審メールに対するアラートを強調して表示することで、個人が説得されやすい不審メールに対して、より注意を払わせることが可能となる。その結果、チャルディーニの法則を利用した巧妙な標的型攻撃メールによる被害を防止することができる。
不審メールを検知する処理にユーザ特性情報をフィードバックする形態について、主に実施の形態1と異なる点を図8から図11に基づいて説明する。
図8に基づいて、メール検査システム200の構成を説明する。
メール検査システム200の構成は、実施の形態1における構成と同じである(図2参照)。
但し、アラート調整装置100Aから不審メール検知装置300にアラート調整の結果がフィードバックされる。具体的には、ユーザ特性情報がフィードバックされる。
結果的に、情報データベースには、ユーザにとって引っかかりやすい電子メールがどのような内容であるか示す情報も含まれている。
メール検査装置100は、さらに、フィードバック部118を備える。フィードバック部118はソフトウェアで実現される。
メール検査プログラムは、さらに、フィードバック部118としてコンピュータを機能させる。
不審メール検知装置300において、不審メール検知部320は、さらに、パラメータ調整部323を備える。
図11に基づいて、メール検査方法を説明する。
ステップS110からステップS170は、実施の形態1で説明した通りである(図4参照)。
ステップS130の後、処理はステップS210に進む。
不審メール検知部320は、パラメータを用いて不審メールを検知する。ユーザ特性情報は、パラメータを調整するための情報として使用される。
まず、パラメータ調整部323は、ユーザ特性情報に基づいて、調整が必要なパラメータを特定する。特定されるパラメータを対象パラメータと呼ぶ。
そして、パラメータ調整部323は、ユーザ特性情報に基づいて、対象パラメータを調整する。
例えば、パラメータ調整部323は、宛先ユーザに対して有効ではない特徴を有する電子メールが検知され難くなるように、深層解析で使用される閾値などのパラメータを調整する。
アラート調整装置100Aで処理しきることができないような大量のアラートがメール検査システム200から出力された場合、ユーザの特性に応じてアラートを適切に調整することが困難となる。
実施の形態2では、深層解析部322のアラート閾値などのパラメータが、ユーザの特性に応じて調整される。これにより、メール検査システム200から出力されるアラートをユーザに特化したアラートに絞りこむことが可能となる。その結果、アラート調整装置100Aにおいてアラートを適切に調整することが可能となる。
メール検査システム200を構成する装置の数は、1つであってもよいし、2つであってもよいし、3つ以上であってもよい。
例えば、不審メール検知装置300とアラート調整装置100Aとが1つの装置で構成されてもよい。
Claims (12)
- 電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの性格を複数の性格要素について表す複数の性格値を、前記宛先ユーザの特性を表すユーザ特性情報として取得するユーザ特性取得部と、
前記電子メールに基づいて、前記電子メールの文章が相手に与える影響を複数の影響要素について表す複数の影響値を、前記電子メールの特徴を表すメール特徴情報として取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部と
を備えるメール検査システム。 - 前記行動予測部は、前記複数の性格値に基づいて影響要素毎に影響閾値を決定し、影響要素毎に影響値を影響閾値と比較し、比較結果に基づいて予測を行う
請求項1に記載のメール検査システム。 - 前記行動予測部は、前記複数の性格値と、前記複数の影響値と、性格要素と影響要素との組毎の相関値を示す相関データとに基づいて、影響閾値と比較する代表値を算出し、前記代表値を前記影響閾値と比較し、比較結果に基づいて予測を行う
請求項1に記載のメール検査システム。 - 不審メールとして検知されてアラート情報が付加された電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得するユーザ特性取得部と、
前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部と、
前記宛先ユーザが悪性行動を取ると予測された場合に前記電子メールに付加されたアラート情報を強調するアラート強調部と、
を備えるメール検査システム。 - パラメータを用いて不審メールを検知する不審メール検知部に対して前記パラメータを調整するための情報として前記ユーザ特性情報をフィードバックするフィードバック部を備える
請求項4に記載のメール検査システム。 - 不審メールとして検知された電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得するユーザ特性取得部と、
前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部と、
パラメータを用いて不審メールを検知する不審メール検知部に対して前記パラメータを調整するための情報として前記ユーザ特性情報をフィードバックするフィードバック部と、
を備えるメール検査システム。 - ユーザ特性取得部が、電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの性格を複数の性格要素について表す複数の性格値を、前記宛先ユーザの特性を表すユーザ特性情報として取得し、
メール特徴取得部が、前記電子メールに基づいて、前記電子メールの文章が相手に与える影響を複数の影響要素について表す複数の影響値を、前記電子メールの特徴を表すメール特徴情報として取得し、
行動予測部が、前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する
メール検査方法。 - ユーザ特性取得部が、不審メールとして検知されてアラート情報が付加された電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得し、
メール特徴取得部が、前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得し、
行動予測部が、前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測し、
アラート強調部が、前記宛先ユーザが悪性行動を取ると予測された場合に前記電子メールに付加されたアラート情報を強調する
メール検査方法。 - ユーザ特性取得部が、不審メールとして検知された電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得し、
メール特徴取得部が、前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得し、
行動予測部が、前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測し、
フィードバック部が、パラメータを用いて不審メールを検知する不審メール検知部に対して前記パラメータを調整するための情報として前記ユーザ特性情報をフィードバックする
メール検査方法。 - 電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの性格を複数の性格要素について表す複数の性格値を、前記宛先ユーザの特性を表すユーザ特性情報として取得するユーザ特性取得部と、
前記電子メールに基づいて、前記電子メールの文章が相手に与える影響を複数の影響要素について表す複数の影響値を、前記電子メールの特徴を表すメール特徴情報として取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部として
コンピュータを機能させるためのメール検査プログラム。 - 不審メールとして検知されてアラート情報が付加された電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得するユーザ特性取得部と、
前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部と、
前記宛先ユーザが悪性行動を取ると予測された場合に前記電子メールに付加されたアラート情報を強調するアラート強調部として
コンピュータを機能させるためのメール検査プログラム。 - 不審メールとして検知された電子メールの宛先ユーザに関するユーザ情報に基づいて、前記宛先ユーザの特性を表すユーザ特性情報を取得するユーザ特性取得部と、
前記電子メールに基づいて、前記電子メールの特徴を表すメール特徴情報を取得するメール特徴取得部と、
前記メール特徴情報と前記ユーザ特性情報とに基づいて、前記宛先ユーザが前記電子メールを受け取った場合に前記宛先ユーザが前記電子メールによる指示に従う悪性行動を取るか否か、を予測する行動予測部と、
パラメータを用いて不審メールを検知する不審メール検知部に対して前記パラメータを調整するための情報として前記ユーザ特性情報をフィードバックするフィードバック部として
コンピュータを機能させるためのメール検査プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018188821A JP7138532B2 (ja) | 2018-10-04 | 2018-10-04 | メール検査システム、メール検査方法およびメール検査プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018188821A JP7138532B2 (ja) | 2018-10-04 | 2018-10-04 | メール検査システム、メール検査方法およびメール検査プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020057295A JP2020057295A (ja) | 2020-04-09 |
JP7138532B2 true JP7138532B2 (ja) | 2022-09-16 |
Family
ID=70107380
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018188821A Active JP7138532B2 (ja) | 2018-10-04 | 2018-10-04 | メール検査システム、メール検査方法およびメール検査プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7138532B2 (ja) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017138860A (ja) | 2016-02-04 | 2017-08-10 | 富士通株式会社 | 安全性判定装置、安全性判定プログラムおよび安全性判定方法 |
-
2018
- 2018-10-04 JP JP2018188821A patent/JP7138532B2/ja active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017138860A (ja) | 2016-02-04 | 2017-08-10 | 富士通株式会社 | 安全性判定装置、安全性判定プログラムおよび安全性判定方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2020057295A (ja) | 2020-04-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11252171B2 (en) | Methods and systems for detecting abnormal user activity | |
Van Der Heijden et al. | Cognitive triaging of phishing attacks | |
US11470029B2 (en) | Analysis and reporting of suspicious email | |
US20190052655A1 (en) | Method and system for detecting malicious and soliciting electronic messages | |
US11134097B2 (en) | Automated social account removal | |
US9674214B2 (en) | Social network profile data removal | |
US9628507B2 (en) | Advanced persistent threat (APT) detection center | |
JP6068506B2 (ja) | オンライン不正行為の検出の動的採点集計のシステムおよび方法 | |
US9674212B2 (en) | Social network data removal | |
US8839401B2 (en) | Malicious message detection and processing | |
US9055097B1 (en) | Social network scanning | |
US8549642B2 (en) | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails | |
Laorden et al. | Study on the effectiveness of anomaly detection for spam filtering | |
GB2555192A (en) | Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space | |
Singh et al. | Who is who on twitter–spammer, fake or compromised account? a tool to reveal true identity in real-time | |
US11394722B2 (en) | Social media rule engine | |
US11165801B2 (en) | Social threat correlation | |
US20200314125A1 (en) | Email Attack Detection And Forensics | |
US20220217160A1 (en) | Web threat investigation using advanced web crawling | |
Haupt et al. | Robust identification of email tracking: A machine learning approach | |
JP2016122273A (ja) | アラート発信方法、プログラム、及び装置 | |
Kumar Birthriya et al. | A comprehensive survey of phishing email detection and protection techniques | |
US10078750B1 (en) | Methods and systems for finding compromised social networking accounts | |
Gautam et al. | Email-based cyberstalking detection on textual data using multi-model soft voting technique of machine learning approach | |
US9332031B1 (en) | Categorizing accounts based on associated images |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210804 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220419 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220426 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220606 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220809 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220906 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7138532 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |