JP7520329B2 - セキュリティレベルに基づく階層的アーキテクチャーを用いた電子メールセキュリティサービスの提供装置及びその動作方法 - Google Patents

セキュリティレベルに基づく階層的アーキテクチャーを用いた電子メールセキュリティサービスの提供装置及びその動作方法 Download PDF

Info

Publication number
JP7520329B2
JP7520329B2 JP2022573716A JP2022573716A JP7520329B2 JP 7520329 B2 JP7520329 B2 JP 7520329B2 JP 2022573716 A JP2022573716 A JP 2022573716A JP 2022573716 A JP2022573716 A JP 2022573716A JP 7520329 B2 JP7520329 B2 JP 7520329B2
Authority
JP
Japan
Prior art keywords
email
mail
information
security
inspection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022573716A
Other languages
English (en)
Other versions
JP2023527568A (ja
Inventor
チュンハン キム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kiwontech
Original Assignee
Kiwontech
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kiwontech filed Critical Kiwontech
Publication of JP2023527568A publication Critical patent/JP2023527568A/ja
Application granted granted Critical
Publication of JP7520329B2 publication Critical patent/JP7520329B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/60Business processes related to postal services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Virology (AREA)
  • Economics (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、電子メールセキュリティサービスの提供装置及びその動作方法に係り、さらに詳しくは、電子メールを介した悪性コードの感染、ソーシャルエンジニアリングハッキングなどのサイバー脅威を探知しかつ遮断することのできるセキュリティレベルに基づく階層的アーキテクチャーを用いた電子メールセキュリティサービスの提供装置及びその動作方法に関する。
今日の社会は、世界中で、コンピューターと情報通信技術の発展に乗じて、社会生活の全分野にわたってサイバー依存度が高まりつつあり、これは、ますます加速化が進んでいる傾向にある。近頃には、超高速、超低遅延、超接続性をもった5G移動通信が商用化され、これに基づいた新たなサービスが登場することに伴い、サイバーセキュリティは益々重要性を増している。
モノのインターネット(IoT)、クラウドシステム、ビッグデータ、人工知能(AI)などの技術分野は、情報通信技術と結び付けて新たなサービス環境を提供している。このようなサービスを提供するシステムは、無線インターネットネットワークなどを介してパソコン(PC)または携帯型端末装置などと結ばれて実際の生活において利用可能である。
このような様々な端末装置または通信機器と接続される情報通信技術が実際の生活になお一層密接に結び付いていることに伴い、これを用いて悪意的な意図をもったサイバーセキュリティ脅威が日々増えつつある。精巧化されかつ高度化されたサイバーセキュリティ脅威は、団体や機関、個人の情報通信端末装置の異常起動を引き起こしたり、管理情報の偽造、改ざんを通じた人間のミスを誘導して情報を奪い取り、毀損するなどの被害を被らせる虞がある。なお、サイバーセキュリティ脅威を通じて不法的に奪い取られた情報は、金銭詐欺犯罪や他の経済的・社会的な犯罪を犯すのに利用される虞がある。
サイバーセキュリティ脅威を遮断し、かつ、サイバーセキュリティ脅威に対応するために、システム化された情報通信技術を保護しかつ管理する情報保護システムが活用されることがある。情報保護システムは、様々なサイバー脅威に対応できるように情報通信技術のシステムの類型または技術の特徴に基づいて築かれることができ、かつ、段階ごとに適用可能である。
情報通信技術において活用されている電子メールシステムは、コンピューター端末を介してユーザー間の通信回線を用いてメッセージをやり取りできるように内容本文付きの電子郵便物サービスを提供することができる。このとき、電子メールには、共有しようとする内容付きの電子ファイルを添付することができ、または、ウェブサイト接続リンク(URL;Uniform Resource Locator)を本文に書き込んだり添付ファイル内に埋め込んだりすることができる。
このように、電子メールシステムを介して悪意的な意図をもって悪性コード付きの実行可能な電子ファイルが添付されたり、特定のウェブサイトにアクセス可能なURLが埋め込まれたりすることができる。これを通じて、電子メールの受信者をして悪性コードを実行せしめたり、埋め込まれたURLを介して偽造、改ざんされたウェブサイトにアクセスしたりすることにより、ユーザーが意図しない情報処理が行われ、情報を奪い取られてしまう虞がある。
このように、経済的・社会的な被害を引き起こす虞があり、しかも、各種の犯罪につながる虞がある電子メールセキュリティ脅威に対応するために、大韓民国登録特許第10-1595379号公報には、「悪性コード付きの電子メールの統制及び遮断システム」が開示されている。上記の登録特許には、外部のサーバーまたは端末から発送された電子メールがファイアウォールと、スパム遮断ソフトウェアが埋め込まれているスパム遮断装置を経由して送られてくると、対象システムにおいて電子メールを受信する機能と、前記電子メールを対象システムにおいて添付ファイルがあるか否かを確認するが、添付ファイルがなければ、対象システムからメールサーバーへと前記電子メールを送信し、添付ファイルがあれば、ユーザーの業務の目的に最も頻繁に使用する添付ファイルのタイプ(ドキュメント、圧縮、画像)の他には、前記電子メールを遮断して悪性コードの感染を予め防ぐ機能と、添付ファイルのタイプが画像である場合には、画像は変換が不可能であるため、悪性コードの感染が不可能であるため、対象システムからメールサーバーへと前記電子メールを送信し、添付ファイルのタイプがドキュメントである場合には、修正が不可能な形式のPDFにドキュメントを変換してドキュメントの内部に悪性コードが反映されたURLなどをメール受信者がクリックしてユーザー端末が悪性コードにより感染される場合を予め遮断する方式を用いて、対象システムからユーザー端末へと電子メール、メッセンジャー、モバイル、カカオトークのうちから単数または複数を選択してお知らせメールを送信する機能と、添付ファイルのタイプが圧縮ファイルである場合には、まず圧縮を解凍してファイルのタイプ分析を行い、画像である場合には、上記の方式を用いて処理し、ドキュメントである場合には、PDFに変換して上記の方式を用いて処理し、実行ファイルである場合には、色々な種類の悪性コード治療ソリューションが搭載されたVirtual BOXにおいて悪性コードの感染検査及び治療を行い、結果を含むお知らせメールを電子メール、メッセンジャー、モバイル、カカオトークのうちから単数または複数を選択して対象システムからメールサーバーへとお知らせ処理を送信する機能と、対象システムから実行ファイルの他に悪性コードの検査が必要な添付ファイルをVirtual BOXへと渡して悪性コードの検査及び治療を処理し、その結果を再び対象システムに渡して処理する機能と、を有する対象システムと、前記対象システムから実行ファイルを受信するVirtual BOXは、別途のシステムとして仮想化環境を造り、色々な種類の悪性コード治療ソリューションを搭載して実行ファイルの中に隠されている悪性コードの検査及び治療を処理し、その結果を再び対象システムに渡し、検査前の環境に原状回復処理するVirtual BOXと、前記対象システムから電子メール(お知らせメールを含む)を受信し、ユーザー端末へと電子メール(お知らせメールを含む)を渡す機能を有するメールサーバーと、前記対象システムからお知らせメールを受信したとき、ユーザーがお知らせメールの確認を通じてオリジナル電子メールの許容または拒否を選択する機能と、前記受信された電子メールをログインした後に確認する機能とを有するユーザー端末と、を備える悪性コード付きの電子メールの統制及び遮断システムについて述べられている。
しかしながら、このような悪性コード付きの電子メールの統制及び遮断システムは、電子メールの受信の側面からの対応システムに制限されており、この他に、電子メールの発信の側面とともに、電子メールの管理システムの内部の側面、ユーザー端末装置端における電子メールの処理の側面に対するサイバーセキュリティ脅威の対応には限界がある。
また、電子メールに添付された添付ファイルに植え付けられた悪性コード及び偽造、改ざんURLに対するPDF変換と仮想環境を用いた実行ファイルと添付ファイルの検査と治療に限られているが故に、まるで類似ドメインであるかのように偽装されたメールと社会的な攻撃を加えられる関係分析などの脅威の診断と対応には限界が生じる可能性がある。
本発明は、上述した従来の不都合を解消するために案出されたものであり、電子メールシステムにおいて処理される受信メール、発信メール、システム内におけるメールの処理、ユーザー端末装置などといった側面から考慮可能なスパム、ハッキング、詐欺などのサイバーセキュリティ脅威に対して、セキュリティレベルに基づく階層的アーキテクチャーを用いて段階的なサイバーセキュリティ脅威への対応と電子メールシステムの統制・管理が行える電子メールセキュリティサービスの提供装置及びその動作方法を提供するところにその目的がある。
上記のような課題を解決するための本発明の実施形態による方法は、電子メールセキュリティサービスの提供装置の動作方法において、一台以上のユーザー端末の間において送受信されるメール情報を取り集める収集段階と、予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理し、前記マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、前記検査結果に応じたメールセキュリティ検査情報を格納及び管理するセキュリティ脅威検査段階と、前記メールセキュリティ検査情報及び前記メール情報の分析を通じて取得されるセキュリティ脅威判別情報に基づいてメールの状態を処理するメール処理段階と、前記セキュリティ脅威判別情報に基づいて処理された前記メール情報をレコード情報として格納しかつ管理するレコード管理段階と、を含む。
また、上記のような課題を解決するための本発明の実施形態による装置は、一台以上のユーザー端末の間において送受信されるメール情報を取り集める収集部と、予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理し、前記マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、前記検査結果に応じたメールセキュリティ検査情報を格納及び管理するセキュリティ脅威検査部と、前記メールセキュリティ検査情報及び前記メール情報の分析を通じて取得されるセキュリティ脅威判別情報に基づいてメールの状態を処理するメール処理部と、前記セキュリティ脅威判別情報に基づいて処理された前記メール情報をレコード情報として格納しかつ管理するレコード管理部と、を備える電子メールセキュリティサービスの提供装置である。
一方、上記のような課題を解決するための本発明の実施形態による方法は、前記方法を実行するためのプログラムまたは前記プログラムが記録されてコンピューターにて読み取り可能な記録媒体により実現可能である。
本発明の実施形態によれば、電子メールを受信の側面からみて、スパムメール(迷惑メール)、悪性コード付きの添付ファイル、偽造、改ざんされたURLs、類似ドメイン、詐欺性の内容に脅威を区別して分析し、段階的な脅威対応処理を可能にすることにより、悪意的な目的をもって送られてきたメールを受信者が開く前に遮断したり、システムに無害なメールに変換したりすることができる。また、電子メールを発信の側面からみて、サイバーセキュリティ脅威を感知しかつ遮断し、電子メール管理システムの内部の側面からみては、情報の流出の疑いや、管理されるシステムアクセスIPアドレス情報の不一致などといった潜在的な脅威を予め感知して、悪意的な目的に利用できないように被害を未然に防ぐことができる。このように、電子メールシステムを介して行われ得るハッキング、詐欺、スパムなどの非正常的な処理を統制し、かつ被害を防ぐことにより、ユーザー間の安全な情報のやり取りと処理を保証する電子メールサービスを提供することができる。
本発明の一実施形態による全体のシステムを示す概念図である。 本発明の一実施形態によるメールセキュリティサービスの提供装置を説明するためのブロック図である。 本発明の一実施形態によるメールセキュリティサービスの提供装置の一部の構成をより具体的に説明するためのブロック図である。 本発明の一実施形態によるメールセキュリティサービスの提供装置の動作方法を説明するためのフローチャートである。 本発明の一実施形態によるメールセキュリティサービスのアーキテクチャーに従う検査方式を説明するための例示図である。
以下の内容は、単に本発明の原理を例示する。そのため、当業者であれば、たとえ本明細書に明らかに説明されたり図示されたりしていないものの、本発明の原理を実現し、本発明の概念と範囲に含まれている種々の装置と方法を発明することができるのである。なお、本明細書に列挙されたすべての条件付き用語及び実施形態は、原則として、本発明の概念が理解されるようにするための目的にしか明らかに意図されず、このように特別に列挙された実施形態及び状態に制限的ではないものと理解されるべきである。
また、本発明の原理、観点及び実施形態だけではなく、特定の実施形態を列挙するすべての詳細な説明は、このような事項の構造的及び機能的な均等物を含むように意図されるものであると理解されるべきである。なお、これらの均等物は、現在公知となっている均等物だけではなく、将来に開発されるべき均等物、すなわち、構造とは無関係に同一の機能を行うように発明されたあらゆる素子を網羅するものであると理解されるべきである。
よって、例えば、本明細書のブロック図は、本発明の原理を具体化させる例示的な回路の概念的な観点を示すものであると理解されるべきである。これと同様に、すべてのフローチャート、状態変換図、擬似コードなどは、コンピューターにて読み取り可能な媒体に実質的に示すことができ、コンピューターまたはプロセッサーが明らかに示されているか否かを問わずに、コンピューターまたはプロセッサーにより行われる様々なプロセスを示すものであると理解されるべきである。
また、プロセッサー、制御またはこれと略同じ概念として提示される用語の明確な使用は、ソフトウェアを実行する能力をもったハードウェアを排他的に引用して解釈されてはならず、制限なしにデジタル信号プロセッサー(DSP)ハードウェア、ソフトウェアを記憶するための読み込み専用メモリー(ROM)、ランダムアクセスメモリー(RAM)及び不揮発性メモリーを暗示的に含むものであると理解されるべきである。周知慣用の他のハードウェアもまた含まれ得る。
上述した目的、特徴及びメリットは、添付図面と結び付けて行われる以下の詳細な説明からなお一層明らかになる筈であり、それにより、本発明が属する技術分野において通常の知識を有する者が本発明の技術的思想を容易に実施することができる筈である。なお、本発明を実施するに当たって、本発明と関わる公知の技術についての具体的な説明が本発明の要旨を余計に曖昧にする虞があると認められる場合にはその詳細な説明を省略する。
本出願において用いた用語は、単に特定の実施形態を説明するために用いられたものであり、本発明を限定しようとする意図はない。単数の表現は、文脈からみて明らかに他の意味を有さない限り、複数の言い回しを含む。本出願において、「備える」または「有する」などの用語は、明細書に記載の特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定するものに過ぎず、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものの存在または付加の可能性を予め排除しないものと理解すべきである。
以下、添付図面に基づいて、本発明の好適な実施形態について詳しく説明する。本発明について説明するにあたって、全体的に理解し易くするために、図中の同一の構成要素に対しては、同一の参照符号を付し、同一の構成要素についての重複する説明は省略する。
本明細書において用いられる「メール(mail)」は、ユーザーが端末装置とここにインストールされるクライアントプログラムまたはウェブサイトを介してコンピューター通信網を用いてやり取りする電子メール(Electronic mail)、ウェブメール(Web mail)、電子郵便、電子郵便物などの用語をまとめて称することができる。
図1は、本発明の一実施形態による全体システムを示す概念図である。
図1を参照すると、本発明の一実施形態によるシステムは、サービス提供装置100と、ユーザー端末200と、メールサーバー300と、を備える。
より具体的に、サービス提供装置100と、ユーザー端末200、及びメールサーバー300は、公衆網(Public network)で結ばれることにより有線及び無線のうちのどちらか一方以上により接続されてデータを送受信することができる。前記公衆網は、国もしくは通信基幹事業者が構築及び管理する通信網であり、一般に、電話網、データ網、CATV網及び移動通信網などをはじめとして、不特定多数の一般人が他の通信網やインターネットに接続可能なように接続サービスを提供する。本発明においては、前記公衆網をネットワークに書き換える。
また、前記サービス提供装置100と、ユーザー端末200、及びメールサーバー300は、各通信網に対応するプロトコルにて通信するためのそれぞれの通信モジュールを備えていてもよい。
前記サービス提供装置100は、メールセキュリティサービスの提供のために、各ユーザー端末200及びメールサーバー300と有/無線ネットワークを介して接続されることができ、各ネットワークに結ばれた装置または端末は、予め設定されたネットワークチャンネルを介して相互間の通信を行うことができる。
ここで、前記各ネットワークは、近距離通信網(Local Area Network;LAN)、広域通信網(Wide Area Network;WAN)、付加価値通信網(Value Added Network;VAN)、個人近距離無線通信(Personal Area Network;PAN)、移動通信網(Mobile radiocommunication network)または衛星通信網などのあらゆる種類の有/無線ネットワークにより実現されることができる。
本明細書において説明されるサービス提供装置100は、メールを介して意図しないプログラムの実行とメール関係のシステムのデータ処理能力の低下、フィッシング詐欺などを引き起こす攻撃を探知しかつ遮断できるメールセキュリティサービスを提供することができる。
そして、本明細書において説明されるユーザー端末200としては、パソコン(PC:personal computer)、ノート型パソコン(laptop computer)、携帯電話(Mobile phone)、タブレットPC(Tablet PC)、パーソナルデジタルアシスタント(PDA:Personal Digital Assistants)、ポータブルマルチメディアプレーヤー(PMP:Portable Multimedia Player)などが挙げられるが、本発明は、これらに何ら限定されるものではなく、公衆網または私設網などを介して前記サービス提供装置100やメールサーバー300などと接続可能な装置であってもよい。
これらに加えて、それぞれの装置は、アプリケーション駆動またはウェブブラウジングを通じた情報の入出力が可能な様々な装置であってもよい。特に、一般に、ユーザー端末200は、個別的なセキュリティネットワークを介して前記サービス提供装置100と接続可能である。
前記メールサーバー300は、ユーザーがユーザー端末200を用いて作成したメールを発信したり、相手方がユーザー端末200を用いて作成したメールを受信したりできるように、電子郵便の内容を中継及び保管するシステムである。前記メールサーバー300は、メールの受信と発信の処理という使用目的に応じて予め設定されたプロトコルを活用して相互間の通信を行うことができる。
一般に、前記プロトコルとしては、メールの受信処理に際して、ポストオフィスプロトコルバージョン3(POP3:Post Office Protocol 3)、インターネットメッセージアクセスプロトコル(IMAP:Internet Message Access Protocol)が使用可能である。また、前記プロトコルとしては、メールの発信処理に際して、シンプルメールトランスファープロトコル(SMTP:Simple Mail Transfer Protocol)が使用可能である。このように、メールサーバー300は、メールの送受信処理のためのサーバー(server)システムから構成されて作動することができる。なお、前記メールサーバー300は、メール受信サーバーとメール発信サーバーとに細分化されてそれぞれの機能を提供することができる。
図2及び図3は、本発明の一実施形態によるメールセキュリティサービスの提供装置を説明するためのブロック図である。
図2及び図3を参照すると、本発明の一実施形態によるサービス提供装置100は、制御部110と、収集部120と、セキュリティ脅威検査部130と、関係分析部140と、メール処理部150と、ユーザー端末統制部160と、レコード管理部170と、脆弱点テスト部180、及び通信部190を備えていてもよい。
制御部110は、前記サービス提供装置100の各構成要素の動作を全般的に制御するための一つ以上のプロセッサーにより実現されることができる。
収集部120は、一台以上のユーザー端末200の間において送受信されるメール情報を取り集めることができる。前記メール情報には、電子メールのヘッダー情報、電子メールのタイトル、電子メールの内容本文、一定期間の受信回数などが盛り込まれていてもよい。
具体的に、前記電子メールのヘッダー情報には、メール発信サーバーIPアドレス、メール発信サーバーホスト名情報、発信者メールドメイン情報、発信者メールアドレス、メール受信サーバーIPアドレス、メール受信サーバーホスト名情報、受信者メールドメイン情報、受信者メールアドレス、メールプロトコル情報、メール受信時間情報、メール発信時間情報などが盛り込まれていてもよい。
また、前記電子メールヘッダーには、メールが送受信される過程において必要とされるネットワーク経路情報、メールのやり取りのためのメールサービスシステム間の使用プロトコル情報などが盛り込まれていてもよい。
追加的に、前記メール情報には、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイルの内容本文、統一資源位置指定子(URL:Uniform Resource Locator)情報などが盛り込まれていてもよい。前記添付ファイルには、発信者が受信者に届けようとするメールの本文内容に加えて、さらなる情報を届けたり、情報の返信を求めたりするためのさらなるコンテンツが盛り込まれていてもよい。
前記コンテンツは、テキスト、画像、動画などを提供することができる。受信者は、メールに添付されているファイルに対応するアプリケーションを起動して、コンテンツを確認することができる。なお、受信者は、メールに添付されているファイルをローカル記憶装置にダウンロードして格納及び管理することが可能である。
前記添付ファイルの拡張子は、ファイルの形式や種類を区別することができる。前記添付ファイルの拡張子は、一般に、ファイルの属性やファイルを生成したアプリケーションを示す文字列により区別されることができる。例えば、テキストファイルは、[ファイル名].txt、MSワードファイルは、[ファイル名].doc(docx)、ハングルファイルは[ファイル名].hwpなどの拡張子により区別されることができる。なお、画像ファイルは、gif、jpg、png、tifなどにより拡張子が区別されることができる。
追加的にコード化された指令に従って指示された作業を行うようにするコンピューターファイルである実行ファイルは、[ファイル名].com、[ファイル名].exe、[ファイル名].bat、[ファイル名].dll、[ファイル名].sys、[ファイル名].scrなどに区別されることができる。
前記添付ファイルのハッシュ情報は、情報の偽造、改ざんを確認して情報の無欠性を保証することができる。ハッシュ情報またはハッシュ値は、ハッシュ関数を用いて任意の長さを有する任意のデータに対して一定の長さのビット列にマッピングされることができる。
これを通じて、最初に生成される添付ファイルに関してハッシュ関数を通じて出力されるハッシュ情報は、固有の値を有することになる。前記出力されるハッシュ情報またはハッシュ値は、逆に、関数に入力されるデータを取り出せない一方向性を有する。また、ハッシュ関数は、一つの与えられた入力データに関して出力されたハッシュ情報またはハッシュ値と同じ出力を提供する他の入力データは、計算的に不可能な衝突回避性を保証することができる。これにより、前記添付ファイルのデータを修正したり付加したりすると、ハッシュ関数の出力値は異なるように返される。
このように、前記添付ファイルの固有のハッシュ情報は、メールを介してやり取りするファイルに関してハッシュ情報またはハッシュ値を比較することにより、ファイルの修正、偽造、改ざんの有無を確認することができる。また、前記ハッシュ情報は、固有の値に固定されるため、悪意的な意図をもって生成したファイルに関する過去の履歴のデータベースである評判情報を活用することにより、事前防疫措置を可能にすることができる。加えて、前記ハッシュ関数は、一方向性と衝突回避性とが保証可能な技術及びバージョンに利用可能である。
例えば、ハッシュ情報は、ウィルストータルウェブサイトやマルウェアウェブサイトを介してファイルの悪性コードの有無に関する検索情報として活用可能である。前記ファイルのハッシュ情報の分析を提供するウェブサイトを介してファイルの提供業者、ファイルのハッシュ値などの情報を提供されることができる。なお、ファイルのハッシュ情報に関する検索結果は、多数のIT情報セキュリティソリューションを提供するグローバル会社において判別した評判情報をクロスチェックすることができて、より信頼性のある情報をもって判断することが可能である。
セキュリティ脅威検査部130は、予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理し、前記マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、前記検査結果に応じたメールセキュリティ検査情報を格納及び管理することができる。
前記セキュリティ脅威アーキテクチャーは、スパムメールセキュリティ脅威、悪性コードセキュリティ脅威、ソーシャルエンジニアリングセキュリティ脅威、内部情報流出セキュリティ脅威などに区別されることができる。前記セキュリティ脅威アーキテクチャーによりセキュリティ脅威の類型/レベル/プロセス/プライオリティ/処理順序が設定されることができる。
前記セキュリティ脅威アーキテクチャーに従って対応するメールセキュリティプロセスは、スパムメールセキュリティプロセス、悪性コードセキュリティプロセス、なりすましメールセキュリティプロセス、メール搬出セキュリティプロセスなどを含んでいてもよい。
前記メールセキュリティプロセスとしては、前記セキュリティ脅威アーキテクチャーに従って、受信メールであるか、発信メールであるかに対応する互いに異なるメールセキュリティプロセスが決定されることができる。なお、前記メールセキュリティプロセスの検査順序または検査レベルは、予め設定したセキュリティ段階及びアーキテクチャーにより決定されることができる。
前記メールセキュリティプロセスは、受信または発信のためのメール情報がユーザー端末200から送信されれば、独立して区別されたプロセスがリソースに割り当てられ、前記メール情報において割り当てられた検査領域において即座に実行可能な流動的なリソースの割り当て方式は、仮想空間の概念に基づいて説明されることができる。前記仮想空間にリソースを割り当てる方式において、メールセキュリティプロセスは、処理が完了したとき、順次に流入するメール情報において割り当てられた検査領域において作業を即座に処理することができる。
これとは対照的に、仮想環境、仮想マシンのように一つのリソース内において処理が制限される一定のプロセスが割り当てられた環境は、要請される作業を処理するとき、特定のプロセスの処理が完了するまで他のプロセスが待機する休止(idle)タイムを有することができる。このように、プロセスを通じた分析方式において、流動的なリソースは、固定型リソースと比較するとき、処理速度及び性能において優位性を有することができる。
前記セキュリティ脅威検査部130は、前記収集部120において取り集められた前記メール情報に基づいて受信または発信の目的をもってメールを区別することができる。次いで、前記セキュリティ脅威検査部130は、前記メールセキュリティプロセスを順次にまたは設定されたプライオリティに基づいてマッチングしかつ分析することにより、それぞれのメールに関するメールセキュリティ検査情報を取得することができる。
前記スパムメールセキュリティ脅威は、関係のない発信者と受信者との間に広告と広報などを狙って一方的にかつ大量に不特定多数に無差別的に散布されるメールの類型を含んでいてもよい。また、大量のスパムメールは、メールシステムのデータ処理能力に負荷を与えてしまう結果、システムの処理能力を低下させる原因になる虞もある。なお、スパムメールは、内容本文などに盛り込まれている無分別な情報に対してユーザーが意図せずにアクセスする虞があり、潜在的なフィッシング詐欺のための情報のように偽装されるリスクがある。
このようなスパムメールを検出しかつフィルターリングするために、前記セキュリティ脅威検査部130は、スパムメール検査部131を備えていてもよい。前記スパムメール検査部131は、前記メールセキュリティプロセスがスパムメールセキュリティプロセスである場合、メールヘッダー情報、メールタイトル、メールの内容本文、一定期間の受信回数などが盛り込まれる前記メール情報を予め設定したスパム指標と段階ごとにマッチングすることができる。
前記スパムメール検査部131は、メールヘッダー情報とメールタイトル、メールの内容本文などが盛り込まれるメール情報に対してスパムメールであると区別可能な一定のパターンの検査などを通じてスパム指標において検査項目として用いることができる。これを通じて、前記スパムメール検査部131は、前記スパム指標を段階ごとにマッチングしてスパムメール検査情報を取得しかつ格納及び管理することができる。
前記スパム指標としては、段階ごとにメール情報に盛り込まれる項目に基づく検査項目と検査を通じたレベル値が設定されることができる。本発明の一実施形態によれば、スパム指標は,Level 1,Level 2,Level 3,...,Level [n]に細分化及び段階化されて構成されることができる。
前記スパム指標Level 1は、ビッグデータ及び評判情報に基づいてメール情報に盛り込まれるメールタイトルデータをマッチングすることができる。これを通じて、前記スパム指標Level 1は、評価されたレベル値をスパム指標Level 1の検査情報として取得することができる。前記レベル値は、定量的に測定可能な情報として設定されることができる。例えば、前記スパム指標Level 1の検査情報は、検査項目であるメールタイトルに「広告」、「広報」などの語句が含まれているとき、前記ビッグデータ及び評判情報においてスパムメールと定義した情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、スパム指標Level 1の検査情報は、「1」として取得されることができる。
追加的に、前記スパム指標Level 2は、ユーザー指定キーワードに基づいてメール情報に盛り込まれるデータをマッチングすることができる。これを通じて、前記スパム指標Level 2は、評価されたレベル値をスパム指標Level 2の検査情報として取得することができる。例えば、前記スパム指標Level 2の検査情報は、検査項目であるメールの内容本文に「お買い得価格」、「激安超特価」、「セール」、「sale」、「売れ切れ」などをはじめとするキーワードが含まれているとき、前記ユーザー指定キーワードにおいてスパムメールと定義した情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、スパム指標Level 2の検査情報は、「1」として取得されることができる。
次の段階において、前記スパム指標Level 3は、画像の分析に基づいてメール情報に盛り込まれるデータをマッチングすることができる。これを通じて、前記スパム指標Level 3は、評価されたレベル値をスパム指標Level 3の検査情報として取得することができる。例えば、前記スパム指標Level 3の検査情報は、検査項目であるメールの内容本文に盛り込まれる画像を分析して取り出したデータに「080」から始まる電話番号などが含まれているとき、前記画像の分析においてスパムメールと定義した情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、スパム指標Level 3の検査情報は、「1」として取得されることができる。
このように、前記スパムメールセキュリティプロセスを通じてスパム指標レベル単位で取得された検査情報は、最終的に合算(「3」)されてスパムメール検査情報として格納及び管理されることができる。このようにして合算されたスパムメール検査情報は、前記メールセキュリティ検査情報に盛り込まれて管理されることができ、前記メール処理部150においてセキュリティ脅威判別情報として活用されることができる。
前記セキュリティ脅威検査部130は、悪性コード検査部132をさらに備えていてもよい。前記悪性コード検査部132は、前記メールセキュリティプロセスが悪性コードセキュリティプロセスである場合、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイルの内容本文、URL(Uniform Resource Locator)情報などをさらに含む前記メール情報を予め設定した悪性コード指標と段階ごとにマッチングすることができる。
前記悪性コード検査部132は、添付ファイルの属性値をもって確認可能な添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名などとともに添付ファイルの内容本文と内容本文に埋め込まれるURL(Uniform Resource Locator)情報を悪性コード指標検査項目として用いることができる。これを通じて、前記悪性コード検査部132は、前記悪性コード指標を項目に応じて段階ごとにマッチングして悪性コード検査情報を取得しかつ格納及び管理することができる。
前記悪性コード指標としては、段階ごとにメール情報に盛り込まれる項目に基づく検査項目と検査を通じたレベル値が設定されることができる。本発明の一実施形態によれば、悪性コード指標は、Level 1,Level 2,Level 3,...,Level [n]に細分化及び段階化されて構成されることができる。
前記悪性コード指標Level 1は、ビッグデータ及び評判情報に基づいてメール情報に盛り込まれる添付ファイル名、添付ファイルの拡張子をマッチングすることができる。これを通じて、前記悪性コード指標Level 1は、評価されたレベル値を悪性コード指標Level 1の検査情報として取得することができる。例えば、前記悪性コード指標Level 1の検査情報は、検査項目である添付ファイル名が「Trojan」、添付ファイルの拡張子が「exe」を含んでいるとき、前記ビッグデータ及び評判情報において悪性コードと定義された情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、悪性コード指標Level 1の検査情報は、「1」として取得されることができる。
追加的に、前記悪性コード指標Level 2は、ビッグデータ及び評判情報に基づいてメール添付ファイルのハッシュ情報をマッチングすることができる。これを通じて、評価されたレベル値を悪性コード指標Level 2の検査情報として取得することができる。例えば、前記悪性コード指標Level 2の検査情報は、検査項目である添付ファイルハッシュ情報が「a1b2c3d4」であると分析されるとき、前記評判情報において悪性コードと定義された情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、悪性コード指標Level 2の検査情報は、「1」として取得されることができる。
次の段階において、前記悪性コード指標Level 3は、URL評判情報に基づいて添付ファイルまたはメールの内容本文に埋め込まれたURL(Uniform Resource Locator)情報をマッチングすることができる。これを通じて、評価されたレベル値を悪性コード指標Level 3の検査情報として取得することができる。例えば、前記悪性コード指標Level 3の検査情報は、検査項目であるURL情報が「www.malicious-code.com」であると確認されるとき、前記URL評判情報において悪性コードファイルが含まれる有害サイトと定義された情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、悪性コード指標Level 3の検査情報は、「1」として取得されることができる。そして、前記悪性コード検査部132は、URL評判情報において抜けや漏れが起こる可能性があるゼロデイ攻撃に対応することができる。前記悪性コード検査部132は、評判情報のないURLへのリンクIPアドレスを特定のシステムのIPアドレスに変更し、変更されたIPアドレスをユーザー端末200に提供することができる。前記ユーザー端末200は、前記URLに接続しようとするとき、前記悪性コード検査部132が変更した特定のシステムのIPアドレスに接続されることができる。以前に前記URLへのリンクIPアドレスに変更された特定のシステムは、持続的にURLのエンドポイントまで悪性コードの包含有無を検査することができる。
このように、前記悪性コードセキュリティプロセスを通じて悪性コード指標レベル単位で取得された検査情報は、最終的に合算(「3」)されて悪性コード検査情報として格納及び管理されることができる。このようにして合算された悪性コード検査情報は、前記メールセキュリティ検査情報に盛り込まれて管理されることができ、前記メール処理部150においてセキュリティ脅威判別情報として活用されることができる。
前記セキュリティ脅威検査部130は、なりすましメール検査部133をさらに備えていてもよい。前記なりすましメール検査部133は、メールセキュリティプロセスがなりすましメールセキュリティプロセスである場合であって、前記関係分析部140を介して取得される関係分析情報に対して予め設定した関係分析指標と段階ごとにマッチングすることができる。前記関係分析情報は、メール情報及び正常であると確認されたメールの属性情報などが盛り込まれるメール情報の分析を通じて取得されることができる。
前記なりすましメール検査部133は、正常と判別されたメールから取り出し可能な受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メールの内容本文情報などを関係分析指標検査項目として用いることができる。これを通じて、前記なりすましメール検査部133は、前記関係分析指標を項目に応じて段階ごとにマッチングしてなりすましメール検査情報を取得しかつ格納及び管理することができる。これを通じて、前記なりすましメール検査部133は、類似ドメインを検出することができ、メールの発送経路を追跡または検証してセキュリティ脅威を与える可能性があるメールをフィルターリングすることができる。
前記関係分析指標としては、段階ごとに前記関係分析情報に基づく検査項目と検査を通じたレベル値が設定されることができる。本発明の一実施形態によれば、関係分析指標は、Level 1,Level 2,Level 3,...,Level [n]に細分化及び段階化されて構成されることができる。
前記関係分析指標Level 1は、評判情報に基づいて発信者メールのドメイン、発信者メールのアドレスなどをマッチングすることができる。これを通じて、前記関係分析指標Level 1は、評価されたレベル値を関係分析指標Level 1の検査情報として取得することができる。例えば、前記関係分析指標Level 1の検査情報は、検査項目である発信済みのメールのドメインが「@なりすまし.com」であり、発信者メールのアドレスが「なりすまし@」を含んでいるとき、前記評判情報において悪性コードと定義された情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。
追加的に、前記関係分析指標Level 2は、前記関係分析情報に基づいて発信者メールのドメイン、発信者メールのアドレスなどをマッチングすることができる。これを通じて、前記関係分析指標Level 2は、評価されたレベル値を関係分析指標Level 2の検査情報として取得することができる。例えば、前記関係分析指標Level 2の検査情報は、検査項目である発信済みのメールのドメインが「@なりすまし.com」であり、発信者メールのアドレスが「なりすまし@」を含んでいるとき、前記関係分析情報において正常メールの属性情報と定義された情報と一致しない場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、関係分析指標Level 3の検査情報は、「1」として取得されることができる。
次の段階において、前記関係分析指標Level 3は、前記関係分析情報に基づいてメールルーティング情報などをマッチングすることができる。これを通じて、前記関係分析指標Level 3は、評価されたレベル値を関係分析指標Level 3の検査情報として取得することができる。例えば、前記関係分析指標Level 3の検査情報は、検査項目であるメールルーティング情報が「1.1.1.1」、「2.2.2.2」、「3.3.3.3」であると確認されるとき、メールの送信経路である前記ルーティング情報が前記関係分析情報において正常メールの属性情報と定義された情報と一致しない場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、関係分析指標Level 3の検査情報は、「1」として取得されることができる。
このように、前記なりすましメールセキュリティプロセスを通じて関係分析指標レベル単位で取得された検査情報は、最終的に合算(「3」)されてなりすましメール検査情報として格納及び管理されることができる。このようにして合算されたなりすましメール検査情報は、前記メールセキュリティ検査情報に盛り込まれて管理されることができ、前記メール処理部150においてセキュリティ脅威判別情報として活用されることができる。
前記セキュリティ脅威検査部130は、内部情報流出セキュリティ脅威に対応できるようにメール搬出検査部134を備えていてもよい。前記メール搬出検査部134は、メールセキュリティプロセスがメール搬出セキュリティプロセスである場合、前記メール情報に基づいて予め設定したメール搬出管理指標と段階ごとにマッチングすることができる。
前記メール搬出検査部134は、前記メール情報の属性情報を活かしてメール搬出管理指標検査項目として用いることができる。なお、前記管理指標検査項目としては、内部的に管理されるユーザー端末200の割り当てIP情報が用いられることができる。
前記メール搬出管理指標としては、段階ごとに予め設定された検査項目と検査を通じたレベル値が設定されることができる。本発明の一実施形態によれば、メール搬出管理指標は、Level 1,Level 2,Level 3,...,Level [n]に細分化及び段階化されて構成されることができる。
前記メール搬出管理指標は、発信環境の検査のために、ユーザー端末200に割り当てられたIPアドレスにおいて許容されたIPアドレスのみがメール情報を登録できるように統制する項目を含んでいてもよい。未認証のユーザー端末は、内部情報を流出する可能性が相対的に高く、かつ、メールを介してセキュリティ脅威を与える可能性が相対的に高いため、これを予め遮断可能な管理指標を管理することができる。
また、前記メール搬出検査部134は、前記メール搬出管理指標をIPアドレス情報、発送回数情報などの検査項目に区別してメール搬出管理指標として活用することができる。さらに、前記メール搬出検査部134は、メール発信環境検査項目として承認プロセスなどの統制部をさらに備えて、内部情報の流出脅威を低減することができる。これを通じて、前記メール搬出検査部134は、メール搬出プロセスを通じて検査項目とマッチングして算出されたレベル値をメール搬出検査情報として格納しかつ管理することができる。
関係分析部140は、前記メール情報及び信頼認証ログの分析に基づいて取得される関係分析情報を格納及び管理することができる。前記信頼認証ログには、前記レコード管理部170においてセキュリティ脅威判別情報に基づいてメール情報を正常メールとして処理する場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メールの内容本文情報などが盛り込まれるレコード情報が盛り込まれていてもよい。
メール処理部150は、前記メールセキュリティ検査情報及び前記メール情報の分析を通じて取得されるセキュリティ脅威判別情報に基づいてメールの状態を処理することができる。
前記メール処理部150は、予め設定されたプライオリティによる前記メールセキュリティプロセスを行うことができる。前記メール処理部150は、前記メールセキュリティプロセスを通じた前記セキュリティ脅威判別情報が非正常メールであると判別される場合、後続するメールセキュリティプロセスの中断有無を判断してメールの状態を処理することができる。これを通じて、前記メール処理部150は、プライオリティに応じて先に検査段階において問題が見つけられた場合、その段階において必要とされる処理のみを行い、検査の終了有無を判断して後続する検査段階は行わずに終了することができる。これを通じて、メールセキュリティサービスの効率性を確保してシステムの複雑性を低め、処理効率を向上させることができる。
前記メールセキュリティ検査情報としては、前記セキュリティ脅威検査部130において算出されたスパムメール検査情報と悪性コード検査情報、なりすましメール検査情報、メール搬出検査情報をまとめて取得された情報を活用することができる。例えば、前記セキュリティ脅威検査部130がメール情報に対してプロセスを行うことにより、前記スパムメール検査情報として算出されたスコアが「3」、悪性コード検査情報として算出されたスコアが「2」、なりすましメール検査情報として算出されたスコアが「1」、メール搬出検査情報として算出されたスコアが「0」である場合、メールセキュリティ検査情報として合算されるスコアは「7」として取得されることができる。このとき、予め設定されたセキュリティ脅威判別情報を目安にして総合スコアが0~3の範囲であるときに正常メール、4~6の範囲であるときにグレーメール、7~12の範囲であるときに非正常メールに仕分けされることができる。これにより、前記メールセキュリティ検査情報が「7」であるメールは、非正常メールと判別されることができる。そして、前記メール情報検査情報に盛り込まれるそれぞれの検査情報項目の結果値は、項目に応じて絶対的なプライオリティが指定されたり、重み付け値による情報によりプライオリティが定められたりすることができる。
前記メール処理部150は、前記セキュリティ脅威判別情報に基づいて正常メールと判別されたメールに対して、前記ユーザー端末が処理可能な受信または発信の状態に処理するメール振り分け処理部151を備えていてもよい。
また、前記メール処理部150は、前記セキュリティ脅威判別情報に基づいて非正常メールと判別されたメールに対して、前記ユーザー端末のアクセスが不可能な状態に処理するメール廃棄処理部152をさらに備えていてもよい。
追加的に、前記メール処理部150は、前記セキュリティ脅威判別情報に基づいてグレーメールと判別されたメールに対して、前記グレーメールを非実行ファイルコンテンツに変換処理し、前記ユーザー端末がメールの状態を選択的に処理できるように配設されるメール無害化処理部153をさらに備えていてもよい。
一般に、前記グレーメールは、スパムメールまたはジャンクメールとして区別されてもよく、逆に、正常メールとして区別されてもよい。本発明においては、前記グレーメールは、セキュリティ脅威判別情報が正常または非正常と確定できない一定の範囲内における中間値として算出された場合に区別されるメールの類型であると定義することができる。前記メール無害化処理部153は、疑いのある内容本文などが盛り込まれたグレーメールを画像ファイルに変換し、ユーザー端末200が確認可能なメールの状態で提供することができる。なお、前記メール無害化処理部153は、添付ファイル内の悪性コードであると疑われる部門を除去または修正してユーザー端末200に提供することができる。
ユーザー端末統制部160は、前記ユーザー端末200がネットワークにおいて使用するIPアドレス(Internet Protocol Address;IPアドレス)情報が予め設定した非認可IPアドレスに相当する場合、前記メール情報の送信を統制することができる。
レコード管理部170は、前記セキュリティ脅威判別情報に基づいて処理された前記メール情報をレコード情報として格納しかつ管理することができる。前記レコード管理部170は、前記セキュリティ脅威判別情報に基づいて正常メールとして処理される場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メールの内容本文情報などが盛り込まれる前記レコード情報を信頼認証ログとして格納しかつ管理する関係情報管理部171をさらに備えていてもよい。これを通じて、前記信頼認証ログは、受信者と発信者のメール情報について信頼可能な関係情報の分析に活用されることができる。なお、前記信頼認証ログに盛り込まれた情報は、相互間の情報のやり取りを通じて持続的にデータが蓄えられ続けながら信頼度が保証されることができる。
また、前記レコード管理部170は、前記セキュリティ脅威判別情報に基づいて非正常メールとして処理される場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メールの内容本文情報などが盛り込まれる前記レコード情報をメールセキュリティプロセスを行うに当たっての非正常メールの判断指標として活用することができる。
脆弱点テスト部180は、前記セキュリティ脅威判別情報に基づいて非正常メールと判別されたメールに対して、前記非正常メールを非実行ファイルコンテンツに変換して前記ユーザー端末において受信または発信の処理が行われるように配設されることができる。前記脆弱点テスト部180は、前記非正常メールに対して受信または発信の処理をした前記ユーザー端末の識別情報を取得して類型ごとの脆弱情報として格納及び管理する脆弱情報管理部181を備えていてもよい。
図4は、本発明の一実施形態によるメールセキュリティサービスの提供装置の動作方法を説明するためのフローチャートである。
図4を参照すると、メールセキュリティサービスの提供装置の動作方法において、収集段階(S101)においては、一台以上のユーザー端末200の間において送受信されるメール情報を取り集めることができる。
セキュリティ脅威検査段階(S103)においては、予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理することができる。次いで、前記セキュリティ脅威検査段階(S103)においては、前記マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査することができる。これを通じて、前記セキュリティ脅威検査段階(S103)においては、前記検査結果に応じたメールセキュリティ検査情報を格納及び管理することができる。
前記メールセキュリティプロセスとしては、前記セキュリティ脅威アーキテクチャーに従って、受信メールであるか、発信メールであるかに対応する互いに異なるメールセキュリティプロセスが決定されることができる。また、前記メールセキュリティプロセスの検査順序または検査レベルは、予め設定したセキュリティ段階及びアーキテクチャーにより決定されることができる。
メール処理段階(S105)においては、前記メールセキュリティ検査情報及び前記メール情報の分析を通じて取得されるセキュリティ脅威判別情報に基づいてメールの状態を処理することができる。
前記メール処理段階(S105)においては、予め設定されたプライオリティによる前記メールセキュリティプロセスが行われることができる。前記メール処理段階(S105)においては、前記メールセキュリティプロセスを通じた前記セキュリティ脅威判別情報が非正常メールであると判別される場合、後続するメールセキュリティプロセスの中断有無を判断してメールの状態を処理することができる。これを通じて、前記メール処理段階(S105)においては、プライオリティに従って先に検査段階において問題が見つけられた場合、その段階において必要とされる処理のみを行い、検査の終了有無を判断して、後続する検査段階は行わずに終了することができる。これを通じて、メールセキュリティサービスの効率性を確保してシステムの複雑性を低め、処理効率を向上させることができる。
レコード管理段階(S107)においては、前記セキュリティ脅威判別情報に基づいて処理された前記メール情報をレコード情報として格納しかつ管理することができる。前記レコード管理段階(S107)においては、前記セキュリティ脅威判別情報に基づいて正常メールとして処理される場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング情報、メールの内容本文などが盛り込まれる前記レコード情報を信頼認証ログとして格納しかつ管理する関係情報管理段階をさらに含んでいてもよい。
関係分析段階(図示せず)においては、前記メール情報及び前記信頼認証ログの分析に基づいて取得される関係分析情報を格納及び管理することができる。
前記セキュリティ脅威検査段階(S103)は、前記メールセキュリティプロセスがスパムメールセキュリティプロセスである場合、電子メールのヘッダー情報、電子メールのタイトル、電子メールの内容本文、一定期間の受信回数のうちのいずれか一つ以上が盛り込まれる前記メール情報を予め設定したスパム指標と段階ごとにマッチングするスパムメール検査段階をさらに含んでいてもよい。追加的に、前記セキュリティ脅威検査段階(S103)は、前記メールセキュリティプロセスが悪性コードセキュリティプロセスである場合、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイルの内容本文、URL(Uniform Resource Locator)情報のうちのいずれか一つ以上が盛り込まれる前記メール情報を予め設定した悪性コード指標と段階ごとにマッチングする悪性コード検査段階をさらに含んでいてもよい。また、前記セキュリティ脅威検査段階(S103)は、前記メールセキュリティプロセスがなりすましメールセキュリティプロセスである場合、前記関係分析情報に対して予め設定した関係分析指標と段階ごとにマッチングするなりすましメール検査段階をさらに含んでいてもよい。そして、前記セキュリティ脅威検査段階(S103)は、前記メールセキュリティプロセスがメール搬出セキュリティプロセスである場合、前記メール情報に基づいて予め設定したメール搬出管理指標と段階ごとにマッチングするメール搬出検査段階をさらに含んでいてもよい。
前記メール処理段階(S105)は、前記セキュリティ脅威判別情報に基づいて正常メールと判別されたメールに対して、前記ユーザー端末が処理可能な受信または発信の状態に処理するメール振り分け処理段階をさらに含んでいてもよい。なお、前記メール処理段階(S105)は、前記セキュリティ脅威判別情報に基づいて非正常メールと判別されたメールに対して、前記ユーザー端末のアクセスが不可能な状態に処理するメール廃棄処理段階をさらに含んでいてもよい。
追加的に、前記メール処理段階(S105)は、前記セキュリティ脅威判別情報に基づいてグレーメールと判別されたメールに対して、前記グレーメールを非実行ファイルコンテンツに変換処理し、前記ユーザー端末がメールの状態を選択的に処理できるように用意されるメール無害化処理段階をさらに含んでいてもよい。
脆弱点テスト段階(図示せず)は、前記セキュリティ脅威判別情報に基づいて非正常メールと判別されたメールに対して、前記非正常メールを非実行ファイルコンテンツに変換して前記ユーザー端末において受信または発信の処理が行われるように用意することができる。前記脆弱点テスト段階は、前記非正常メールに対して受信または発信の処理をした前記ユーザー端末の識別情報を取得して類型別の脆弱情報として格納及び管理する脆弱情報管理段階をさらに含んでいてもよい。
図5は、本発明の一実施形態によるメールセキュリティサービスのアーキテクチャーに従う検査方式を説明するための例示図である。
図5を参照すると、図5は、メールセキュリティサービスを提供するためのアーキテクチャーであって、これに従い、セキュリティ脅威の類型とレベル、プロセス、プライオリティ、処理順序などが設定されることができる。前記メールセキュリティサービスのアーキテクチャーは、受信メール、発信メール、内部メール、ユーザー教育などの最上位カテゴリーに区別されて各カテゴリーごとに下部構造として階層的、段階的な構成と処理方式が適用されることができる。前記最上位カテゴリーは、メール情報に盛り込まれる属性値またはユーザー端末200のメールの利用目的に応じて接続するシステムの区別に準拠して仕分けされることができる。
それぞれのセキュリティ脅威の類型内には、一つ以上の特定のメールセキュリティプロセスが割り当てられることができ、これは、レベルとして区別されて段階的かつ順次的に行われることができる。細部的に、セキュリティ脅威の類型は、SPAM、Malicious code(Attachment)、Malicious code(URL)、Social Engineering Attackなどのセキュリティ脅威の類型に区別されることができる。これによる、セキュリティ脅威の類型の検査プロセスが順次に行われることができる。なお、それぞれの前記セキュリティ脅威の類型内においては、レベル1,2,3,...[n]の段階に区別されて順次に行われることができる。このとき、各レベルは、検査する特定の項目と指標が割り当てられて検査結果を取得することができる。
また、アーキテクチャーの設定に伴い、それぞれのセキュリティ脅威の類型内のメールセキュリティプロセスは、割り当てられた検査領域を並列的に並行検査処理する方式によっても行われることができる。
最上位カテゴリーの一つである前記受信メールは、下位階層としてセキュリティ脅威の類型が区別されることができる。細部的に、前記セキュリティ脅威の類型は、SPAM処理、悪性コード処理、ソーシャルエンジニアリング処理などに区別されることができる。
受信メールのセキュリティ脅威の検査のために、SPAM処理部門内のレベル1(Lv.1)においては、評判に基づくスパムメールの有無を検査することができる。次いで、評判に基づくスパムメール検査において見つけられた問題がない場合、レベル2(Lv.2)においては、ユーザー指定キーワードに基づいて、フィルターリングを通じたスパムメールの有無を検査することができる。
レベル2が行われ終わった後、次の段階であるレベル3(Lv.3)においては、画像に基づく内容分析を通じたスパムメールの有無を検査することができる。このように、メールセキュリティサービスアーキテクチャーは、SPAM処理類型内における特定のスパムフィルターリングプロセスを通じてレベルごとの検証を行い、前記検証が完了したときに、次のレベルに進むようにする。そして、前記メールセキュリティサービスアーキテクチャーは、SPAM処理を通じたメールのスパム有無の検査を完了した後、メール内の悪性コードの包含有無を判別する悪性コード処理段階に進むことができる。
前記悪性コード処理は、レベル1の評判に基づく悪性コードの包含有無を判別することができ、正常であると確認されたとき、次の段階に進むことができる。レベルn(Lv.n)は、悪性コードの包含の可能性がある添付ファイルであると判別されたとき、添付ファイル内に埋め込まれた実行コードを変形する無害化処理を通じて悪性コード処理段階を終了することができる。前記悪性コード処理検査が完了した場合、検査段階は、ソーシャルエンジニアリング処理検査段階に進むことができる。前記ソーシャルエンジニアリング処理検査段階は、レベル1(Lv.1)のメタデータに基づく、かつ、レベルn(Lv.n)の関係分析に基づくソーシャルエンジニアリング攻撃メール検査プロセスを実行した後、検査結果情報に基づいて対応を処理または要請することができる。
最上位カテゴリーの一つである前記発信メールは、下位階層としてセキュリティ脅威の類型が区別されることができる。前記発信メールのカテゴリーもまた、受信メールのセキュリティ脅威の類型と同様に、SPAM処理、悪性コード処理、ソーシャルエンジニアリング処理の段階に区別され、検査が行われることができる。
特に、発信メールのセキュリティ脅威の検査は、発信環境検査段階を含んでいてもよい。前記発信環境検査段階においては、メールの発信を狙って一台以上のユーザー端末200がシステムに接続するとき、予め登録されたホワイトリストによるIPアドレス許容ユーザー端末であるか否かを検証するレベル1(Lv.1)の段階を行うことができる。前記レベル1の段階の検証を通じて認証が行われたユーザー端末200は、メールの発送回数が一定基準回数以内であって、基準と符合するとき、正常メールであると判別し、次の段階に進むことができる。次いで、レベルn(Lv.n)の段階においては、発信メールの内容を予め検査して異常有無を判別するプロセスが実行されて正常メールの有無を検証することができる。
最上位カテゴリーの一つである前記内部メールは、下位階層として内部情報の流出を防げる内部メール管理段階が行われることができる。前記内部メール管理段階においては、レベル1(Lv.1)の承認プロセスを通じて異常メールを検査することができる。前記承認プロセスにおいては、内部情報付きのメールに対する情報流出の危険度を判断することができる。
前記承認プロセスは、メール管理システムにより順次に承認処理されて外部に送られるメールの内容について事前検閲される方式により行われることができる。次いで、レベル2(Lv.2)の段階において、DLP(Data Loss Prevention;データ流出防止)及びDRM(Digital Rights Management:デジタル著作権管理)統制プロセスが行われて内部情報の流出有無を検査することができる。前記DLP統制プロセスにおいては、承認などの許可なしにポリシーに違反するシステムにアクセスして情報を送信しようとする行為を感知及び統制することができる。前記DRM統制プロセスにおいては、暗号化された内部ドキュメントが承認などの許可なしに復号化されるか、あるいは、復号化されたファイルをメールに添付しようとする試みを探知して統制することができる。次いで、レベルn(Lv.n)の段階においては、メールを発信しようとするとき、ユーザー端末200の認証処理段階として1段階、2段階などの多段階の認証プロセスを提供することができる。これを通じて、アカウントの奪取や盗用を試みるユーザーを遮断することにより、正常的なメール処理を保証することができる。
最上位カテゴリーの一つである前記ユーザー教育は、下位階層として模擬フィッシングとフィードバックシステムの段階を含んでいてもよい。前記模擬フィッシング段階においては、セキュリティ脅威付きのメールを使用した履歴があるユーザー端末200の識別値と回数などの情報を格納及び管理することができる。前記セキュリティ脅威には、実際にシステムやコンテンツに無害な方式により構成されたメールが用いられることができる。これを通じて、フィードバックシステムは、模擬フィッシングを通じて算出された統計値や脅威の度合いを分析した結果値を提供することができる。
前記カテゴリーごとに構成されたセキュリティ脅威の検査は、アーキテクチャー及びセキュリティ段階により決定されることができる。これにより、検査順序及び検査レベルが決定されることができ、順次的な検査により異常有無を確認することができる。また、前記検査順序及び検査レベルのプライオリティは、アーキテクチャー及びセキュリティ段階に応じて設定されることができる。前記プライオリティに応じて行われたプロセスは、取得される検査結果に基づいて問題が見つけられる場合、その段階において必要とされる処理を行い、検査の終了有無を判断することができる。上記の問題は、スパムメールと判別されたり、悪性コード付きのメールと判別されたりするとき、メールをユーザー端末200において確認できないように廃棄処理したり、返送処理したりすることにより解決することができる。このように、特定の段階における検査プロセスを通じてメールの問題を処理する場合、後続する検査段階または並列処理中の残りの検査段階は、行われずに終了されることができる。
上述した本発明による方法は、コンピューターにおいて実行されるためのプログラムとして作成されてコンピューターにて読み取り可能な記録媒体に記憶されることができ、コンピューターにて読み取り可能な記録媒体の例としては、読み取り専用メモリー(ROM)、ランダムアクセスメモリー(RAM)、コンパクトディスク-読み取り専用メモリー(CD-ROM)、磁気テープ、フロッピーディスク、光データ記憶装置などが挙げられ、なお、キャリアウェーブ(例えば、インターネットを介した送信)の形態により実現されることも挙げられる。
コンピューターにて読み取り可能な記録媒体は、ネットワークで結ばれたコンピューターシステムに分散されて、分散方式によりコンピューターにて読み取り可能なコードが記憶されかつ実行されることができる。そして、上記の方法を実現するための機能的な(function)プログラム、コード及びコードセグメントは、本発明が属する技術分野におけるプログラマーにより容易に推論されることができる。
また、以上においては、本発明の好適な実施形態について図示及び説明したが、本発明は、上述した特定の実施形態に何ら限定されるものではなく、特許請求の範囲において請求する本発明の要旨から逸脱することなく、当該発明が属する技術分野において通常の知識を有する者により種々の変形実施が可能であるということはいうまでもなく、これらの変形された実施形態は、本発明の技術的思想や見通しから個別的に理解されてはならない。

Claims (19)

  1. サービス提供装置において、
    一台以上のユーザー端末の間において送受信されるメール情報を取り集める収集部と、
    予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理し、マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、検査結果に応じたメールセキュリティ検査情報を格納及び管理するセキュリティ脅威検査部と、
    前記メールセキュリティ検査情報及び前記メール情報の分析を通じて取得されるセキュリティ脅威判別情報に基づいてメールの状態を処理するメール処理部と、
    前記セキュリティ脅威判別情報に基づいて処理された前記メール情報を管理するレコード管理部と、を備え、
    前記セキュリティ脅威検査部は、
    前記セキュリティ脅威アーキテクチャーにより、受信メールに対応して特定検査項目と指標が設定されたセキュリティ脅威の類型及びレベルに基づいて、前記メールセキュリティプロセスを段階的にマッチングして順次的に行い、前記セキュリティ脅威の類型は悪性コード処理及びソーシャルエンジニアリング処理を含み、
    前記メールセキュリティプロセスは、
    前記受信メールの前記悪性コード処理の類型に対応して前記受信メールの悪性コードの包含有無を判別する悪性コード処理段階を行い、
    前記悪性コード処理段階が終了する場合、前記ソーシャルエンジニアリング処理の類型に対応して前記受信メールの関係分析に基づくソーシャルエンジニアリング攻撃メール検査を実行するソーシャルエンジニアリング処理段階が行われるように処理し、
    前記悪性コード処理段階は、
    添付ファイルを用いた悪性コード、URLを用いた悪性コード及びURL評判情報から抜けや漏れが起こる可能性があるゼロデイ悪性コードを含む複数のレベルで前記検査情報を管理するサービス提供装置。
  2. 前記レコード管理部は、
    前記セキュリティ脅威判別情報に基づいて正常メールとして処理される場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メールの内容本文情報のうちのいずれか一つ以上信頼認証ログとして格納しかつ管理する関係情報管理部をさらに備える、
    請求項1に記載のサービス提供装置。
  3. 前記メール情報及び前記信頼認証ログの分析に基づいて取得される関係分析情報を格納及び管理する関係分析部をさらに備える、
    請求項2に記載のサービス提供装置。
  4. 前記セキュリティ脅威検査部は、
    前記メールセキュリティプロセスがスパムメールセキュリティプロセスである場合、電子メールのヘッダー情報、電子メールのタイトル、電子メールの内容本文、一定期間の受信回数のうちのいずれか一つ以上が盛り込まれる前記メール情報を予め設定したスパム指標と段階ごとにマッチングするスパムメール検査部を備える、
    請求項3に記載のサービス提供装置。
  5. 前記セキュリティ脅威検査部は、
    前記メールセキュリティプロセスが悪性コードセキュリティプロセスである場合、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイルの内容本文、URL(Uniform Resource Locator)情報のうちのいずれか一つ以上をさらに含む前記メール情報を予め設定した悪性コード指標と段階ごとにマッチングする悪性コード検査部をさらに備える、
    請求項4に記載のサービス提供装置。
  6. 前記セキュリティ脅威検査部は、
    前記メールセキュリティプロセスがなりすましメールセキュリティプロセスである場合、前記関係分析情報に対して予め設定した関係分析指標と段階ごとにマッチングするなりすましメール検査部をさらに備える、
    請求項5に記載のサービス提供装置。
  7. 前記セキュリティ脅威検査部は、
    前記メールセキュリティプロセスがメール搬出セキュリティプロセスである場合、前記メール情報に基づいて予め設定したメール搬出管理指標と段階ごとにマッチングするメール搬出検査部をさらに備える、
    請求項6に記載のサービス提供装置。
  8. 前記メール処理部は、
    前記セキュリティ脅威判別情報に基づいて正常メールと判別されたメールに対して、前記ユーザー端末が処理可能な受信または発信の状態に処理するメール振り分け処理部と、
    前記セキュリティ脅威判別情報に基づいて非正常メールと判別されたメールに対して、前記ユーザー端末のアクセスが不可能な状態に処理するメール廃棄処理部と、を備える、
    請求項1に記載のサービス提供装置。
  9. 前記メール処理部は、
    前記セキュリティ脅威判別情報に基づいてグレーメールと判別されたメールに対して、前記グレーメールを非実行ファイルコンテンツに変換処理し、前記ユーザー端末がメールの状態を選択的に処理できるように配設されるメール無害化処理部をさらに備える、
    請求項8に記載のサービス提供装置。
  10. 前記セキュリティ脅威判別情報に基づいて非正常メールと判別されたメールに対して、前記非正常メールを非実行ファイルコンテンツに変換して前記ユーザー端末において受信または発信の処理が行われるように配設される脆弱点テスト部をさらに備える、
    請求項1に記載のサービス提供装置。
  11. 前記脆弱点テスト部は、
    前記非正常メールに対して受信または発信の処理をした前記ユーザー端末の識別情報を取得して類型別の脆弱情報として格納及び管理する脆弱情報管理部を備える、
    請求項10に記載のサービス提供装置。
  12. 前記電子メールのヘッダー情報には、メール発信サーバーIPアドレス、メール発信サーバーホスト名情報、発信者メールドメイン情報、発信者メールアドレス、メール受信サーバーIPアドレス、メール受信サーバーホスト名情報、受信者メールドメイン情報、受信者メールアドレス、メールプロトコル情報、メール受信時間情報、メール発信時間情報のうちのいずれか一つ以上が盛り込まれる、
    請求項4に記載のサービス提供装置。
  13. 前記メールセキュリティプロセスとしては、前記セキュリティ脅威アーキテクチャーに従って、受信メールであるか、発信メールであるかに対応する互いに異なるメールセキュリティプロセスが決定され、
    前記メールセキュリティプロセスの検査順序または検査レベルは、予め設定したセキュリティ段階及びアーキテクチャーにより決定される、
    請求項1に記載のサービス提供装置。
  14. サービス提供装置の動作方法において、
    一台以上のユーザー端末の間において送受信されるメール情報を取り集める収集段階と、
    予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理し、マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、検査結果に応じたメールセキュリティ検査情報を格納及び管理するセキュリティ脅威検査段階と、
    前記メールセキュリティ検査情報及び前記メール情報の分析を通じて取得されるセキュリティ脅威判別情報に基づいてメールの状態を処理するメール処理段階と、
    前記セキュリティ脅威判別情報に基づいて処理された前記メール情報を管理するレコード管理段階と、
    を含み、
    前記セキュリティ脅威検査段階は、
    前記セキュリティ脅威アーキテクチャーにより、受信メールに対応して特定検査項目と指標が設定されたセキュリティ脅威の類型及びレベルに基づいて、前記メールセキュリティプロセスを段階的にマッチングして順次的に行い、前記セキュリティ脅威の類型は悪性コード処理及びソーシャルエンジニアリング処理を含み、
    前記メールセキュリティプロセスは、
    前記受信メールの前記悪性コード処理の類型に対応して前記受信メールの悪性コードの包含有無を判別する悪性コード処理段階を行い、
    前記悪性コード処理段階が終了する場合、前記ソーシャルエンジニアリング処理の類型に対応して前記受信メールの関係分析に基づくソーシャルエンジニアリング攻撃メール検査を実行するソーシャルエンジニアリング処理段階が行われるように処理し、
    前記悪性コード処理段階は、
    添付ファイルを用いた悪性コード、URLを用いた悪性コード及びURL評判情報から抜けや漏れが起こる可能性があるゼロデイ悪性コードを含む複数のレベルで前記検査情報を管理するサービス提供装置の動作方法。
  15. 前記レコード管理段階は、
    前記セキュリティ脅威判別情報に基づいて正常メールとして処理される場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング情報、メールの内容本文のうちのいずれか一つ以上信頼認証ログとして格納しかつ管理する関係情報管理段階をさらに含む、
    請求項14に記載のサービス提供装置の動作方法。
  16. 前記メール情報及び前記信頼認証ログの分析に基づいて取得される関係分析情報を格納及び管理する関係分析段階をさらに含む、
    請求項15に記載のサービス提供装置の動作方法。
  17. 前記セキュリティ脅威検査段階は、
    前記メールセキュリティプロセスがスパムメールセキュリティプロセスである場合、電子メールのヘッダー情報、電子メールのタイトル、電子メールの内容本文、一定期間の受信回数のうちのいずれか一つ以上が盛り込まれる前記メール情報を予め設定したスパム指標と段階ごとにマッチングするスパムメール検査段階と、
    前記メールセキュリティプロセスが悪性コードセキュリティプロセスである場合、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイルの内容本文、URL(Uniform Resource Locator)情報のうちのいずれか一つ以上が盛り込まれる前記メール情報を予め設定した悪性コード指標と段階ごとにマッチングする悪性コード検査段階と、
    前記メールセキュリティプロセスがなりすましメールセキュリティプロセスである場合、前記関係分析情報に対して予め設定した関係分析指標と段階ごとにマッチングするなりすましメール検査段階と、
    前記メールセキュリティプロセスがメール搬出セキュリティプロセスである場合、前記メール情報に基づいて予め設定したメール搬出管理指標と段階ごとにマッチングするメール搬出検査段階と、をさらに含む、
    請求項16に記載のサービス提供装置の動作方法。
  18. 前記メール処理段階は、
    前記セキュリティ脅威判別情報に基づいて正常メールと判別されたメールに対して、前記ユーザー端末が処理可能な受信または発信の状態に処理するメール振り分け処理段階と、
    前記セキュリティ脅威判別情報に基づいて非正常メールと判別されたメールに対して、前記ユーザー端末のアクセスが不可能な状態に処理するメール廃棄処理段階と、
    前記セキュリティ脅威判別情報に基づいてグレーメールと判別されたメールに対して、前記グレーメールを非実行ファイルコンテンツに変換処理し、前記ユーザー端末がメールの状態を選択的に処理できるように用意されるメール無害化処理段階と、をさらに含む、
    請求項14に記載のサービス提供装置の動作方法。
  19. 前記セキュリティ脅威判別情報に基づいて非正常メールと判別されたメールに対して、前記非正常メールを非実行ファイルコンテンツに変換して前記ユーザー端末において受信または発信の処理が行われるように用意される脆弱点テスト段階をさらに含む、
    請求項14に記載のサービス提供装置の動作方法。
JP2022573716A 2020-12-21 2021-05-24 セキュリティレベルに基づく階層的アーキテクチャーを用いた電子メールセキュリティサービスの提供装置及びその動作方法 Active JP7520329B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR10-2020-0180096 2020-12-21
KR1020200180096A KR102454600B1 (ko) 2020-12-21 2020-12-21 보안 레벨 기반의 계층적 아키텍처를 이용한 이메일 보안 서비스 제공 장치 및 그 동작 방법
PCT/KR2021/006395 WO2022139078A1 (ko) 2020-12-21 2021-05-24 보안 레벨 기반의 계층적 아키텍처를 이용한 이메일 보안 서비스 제공 장치 및 그 동작 방법

Publications (2)

Publication Number Publication Date
JP2023527568A JP2023527568A (ja) 2023-06-29
JP7520329B2 true JP7520329B2 (ja) 2024-07-23

Family

ID=82158088

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022573716A Active JP7520329B2 (ja) 2020-12-21 2021-05-24 セキュリティレベルに基づく階層的アーキテクチャーを用いた電子メールセキュリティサービスの提供装置及びその動作方法

Country Status (4)

Country Link
US (1) US20240007498A1 (ja)
JP (1) JP7520329B2 (ja)
KR (2) KR102454600B1 (ja)
WO (1) WO2022139078A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102534016B1 (ko) * 2022-07-18 2023-05-18 주식회사 세퍼드 지원사업 연계 보안 서비스 제공 방법 및 그 장치
KR102494546B1 (ko) * 2022-07-22 2023-02-06 (주)기원테크 이메일 통신 프로토콜 기반 접속 관리 및 차단 기능을 제공하는 메일 접속 보안 시스템의 메일 보안 처리 장치 및 그 동작 방법
WO2024029796A1 (ko) * 2022-08-04 2024-02-08 (주)기원테크 비승인 이메일 서버 접근 공격 검사를 수행하는 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법
JP2024533008A (ja) * 2022-08-04 2024-09-12 株式会社ギウォンテク 標的型電子メール攻撃の遮断及び対応のための電子メールセキュリティシステム及びその動作方法
KR102488942B1 (ko) * 2022-10-07 2023-01-18 시큐레터 주식회사 이메일에 첨부된 암호를 갖는 압축파일의 처리를 위한 방법 및 이를 위한 장치
KR102684949B1 (ko) * 2023-03-02 2024-07-15 주식회사 리얼시큐 사회공학기법으로 생성된 계정을 통해 발송된 메일공격을 탐지하는 방법 및 그에 따른 메일 시스템
CN117150486B (zh) * 2023-07-27 2024-04-26 河南中信科大数据科技有限公司 基于互联网的信息安全防护系统

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054376A (ko) 2000-06-02 2000-09-05 최정환 전자 메일에 의한 기업비밀 유출 방지 및 바이러스 확산방지 기능을 갖는 전자 메일 보안 시스템
JP2005157598A (ja) 2003-11-21 2005-06-16 Daiwa Institute Of Research Ltd ウィルス感染防止システム、メール閲覧用プログラム、および添付ファイル閲覧用プログラム
JP2008295042A (ja) 2008-05-16 2008-12-04 Fujitsu Ltd メッセージングウィルス対処プログラム等
JP2010045617A (ja) 2008-08-13 2010-02-25 Nippon Telegr & Teleph Corp <Ntt> ホワイトリストを利用したサーバ割り当てシステムおよびその方法
JP2011008730A (ja) 2009-06-29 2011-01-13 Lac Co Ltd コンピュータシステム、コンピュータ装置、ファイルオープン方法、及びプログラム
JP2011182352A (ja) 2010-03-04 2011-09-15 Nec Corp 電子メール処理装置、電子メール処理方法、および電子メール処理プログラム
WO2015072041A1 (ja) 2013-11-18 2015-05-21 株式会社日立製作所 セキュリティ対策訓練システム、セキュリティ対策訓練方法
US20160269422A1 (en) 2015-03-12 2016-09-15 Forcepoint Federal Llc Systems and methods for malware nullification
JP2016224871A (ja) 2015-06-03 2016-12-28 富士通株式会社 異常検出プログラム、異常検出装置及び異常検出方法
JP2019129337A (ja) 2018-01-22 2019-08-01 富士通株式会社 セキュリティ装置、セキュリティプログラム及びセキュリティ方法
US20190268373A1 (en) 2018-02-26 2019-08-29 Mucteba Celik System, method, apparatus, and computer program product to detect page impersonation in phishing attacks
JP2019192223A (ja) 2019-03-26 2019-10-31 キヤノンマーケティングジャパン株式会社 情報処理装置、情報処理システム、制御方法、及びプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8719352B2 (en) * 2010-01-29 2014-05-06 Mcafee, Inc. Reputation management for network content classification
US8521667B2 (en) * 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
KR101450961B1 (ko) * 2012-05-23 2014-10-14 경기대학교 산학협력단 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 지능화된 피싱 메일의 차단시스템
US9143476B2 (en) * 2012-09-14 2015-09-22 Return Path, Inc. Real-time classification of email message traffic
KR101595379B1 (ko) 2015-02-04 2016-02-18 (주)이월리서치 악성코드가 첨부된 전자메일의 통제 및 차단 시스템
KR101989509B1 (ko) * 2017-12-29 2019-06-14 (주)리투인소프트웨어 전자메일 가공 시스템 및 방법

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054376A (ko) 2000-06-02 2000-09-05 최정환 전자 메일에 의한 기업비밀 유출 방지 및 바이러스 확산방지 기능을 갖는 전자 메일 보안 시스템
JP2005157598A (ja) 2003-11-21 2005-06-16 Daiwa Institute Of Research Ltd ウィルス感染防止システム、メール閲覧用プログラム、および添付ファイル閲覧用プログラム
JP2008295042A (ja) 2008-05-16 2008-12-04 Fujitsu Ltd メッセージングウィルス対処プログラム等
JP2010045617A (ja) 2008-08-13 2010-02-25 Nippon Telegr & Teleph Corp <Ntt> ホワイトリストを利用したサーバ割り当てシステムおよびその方法
JP2011008730A (ja) 2009-06-29 2011-01-13 Lac Co Ltd コンピュータシステム、コンピュータ装置、ファイルオープン方法、及びプログラム
JP2011182352A (ja) 2010-03-04 2011-09-15 Nec Corp 電子メール処理装置、電子メール処理方法、および電子メール処理プログラム
WO2015072041A1 (ja) 2013-11-18 2015-05-21 株式会社日立製作所 セキュリティ対策訓練システム、セキュリティ対策訓練方法
US20160269422A1 (en) 2015-03-12 2016-09-15 Forcepoint Federal Llc Systems and methods for malware nullification
JP2016224871A (ja) 2015-06-03 2016-12-28 富士通株式会社 異常検出プログラム、異常検出装置及び異常検出方法
JP2019129337A (ja) 2018-01-22 2019-08-01 富士通株式会社 セキュリティ装置、セキュリティプログラム及びセキュリティ方法
US20190268373A1 (en) 2018-02-26 2019-08-29 Mucteba Celik System, method, apparatus, and computer program product to detect page impersonation in phishing attacks
JP2019192223A (ja) 2019-03-26 2019-10-31 キヤノンマーケティングジャパン株式会社 情報処理装置、情報処理システム、制御方法、及びプログラム

Also Published As

Publication number Publication date
KR102454600B1 (ko) 2022-10-14
WO2022139078A1 (ko) 2022-06-30
KR102464629B1 (ko) 2022-11-09
JP2023527568A (ja) 2023-06-29
KR102464629B9 (ko) 2023-04-17
KR20220141774A (ko) 2022-10-20
KR20220089459A (ko) 2022-06-28
KR102454600B9 (ko) 2023-04-17
US20240007498A1 (en) 2024-01-04

Similar Documents

Publication Publication Date Title
JP7520329B2 (ja) セキュリティレベルに基づく階層的アーキテクチャーを用いた電子メールセキュリティサービスの提供装置及びその動作方法
US10530806B2 (en) Methods and systems for malicious message detection and processing
US11102244B1 (en) Automated intelligence gathering
US11044267B2 (en) Using a measure of influence of sender in determining a security risk associated with an electronic message
US11722513B2 (en) Using a measure of influence of sender in determining a security risk associated with an electronic message
EP2859495B1 (en) Malicious message detection and processing
US20230070833A1 (en) Detecting fraud using machine-learning
KR102648653B1 (ko) 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법
WO2016004420A1 (en) System and methods for validating and managing user identities
JP2024532043A (ja) 電子メール通信プロトコルベースの接続管理及び遮断機能を提供するメール接続セキュリティシステムのメールセキュリティ処理装置及びその動作方法
JP7553035B2 (ja) 脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法
WO2016044065A1 (en) Malicious message detection and processing
WO2007016869A2 (en) Systems and methods of enhanced e-commerce,virus detection and antiphishing
KR20240019669A (ko) 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법
JP2024533008A (ja) 標的型電子メール攻撃の遮断及び対応のための電子メールセキュリティシステム及びその動作方法
US20240250988A1 (en) Determining unauthorised requests from senders of an electronic communication
JP2024533009A (ja) 非承認の電子メールサーバーへのアクセス攻撃の検査を行う標的型電子メールの攻撃の遮断及び対応のための電子メールセキュリティシステム及びその動作方法
KR20240118315A (ko) 메일 보안 방화벽 장치 및 그 동작 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221130

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240305

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240527

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240604

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240702

R150 Certificate of patent or registration of utility model

Ref document number: 7520329

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150