WO2020036201A1 - 情報処理装置、情報処理方法、及び情報処理プログラム - Google Patents

情報処理装置、情報処理方法、及び情報処理プログラム Download PDF

Info

Publication number
WO2020036201A1
WO2020036201A1 PCT/JP2019/031960 JP2019031960W WO2020036201A1 WO 2020036201 A1 WO2020036201 A1 WO 2020036201A1 JP 2019031960 W JP2019031960 W JP 2019031960W WO 2020036201 A1 WO2020036201 A1 WO 2020036201A1
Authority
WO
WIPO (PCT)
Prior art keywords
source
transmission
mail
information
address
Prior art date
Application number
PCT/JP2019/031960
Other languages
English (en)
French (fr)
Inventor
登志夫 道具
松本 卓也
光成 佐藤
Original Assignee
デジタルアーツ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デジタルアーツ株式会社 filed Critical デジタルアーツ株式会社
Priority to EP19850702.2A priority Critical patent/EP3839752A4/en
Priority to US17/268,279 priority patent/US11785026B2/en
Priority to CN201980050377.9A priority patent/CN112534417A/zh
Priority to SG11202101380UA priority patent/SG11202101380UA/en
Publication of WO2020036201A1 publication Critical patent/WO2020036201A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Definitions

  • the embodiments of the present invention relate to an information processing device, an information processing method, and an information processing program.
  • a combination of the domain of the sender's mail address and the sender's IP address is registered in advance in the authentication server as an appropriate sender of the email, and when the mail server receives the email, The authentication server inquires of the authentication server about the domain corresponding to the source of the e-mail and the source IP address, and performs authentication as to whether or not the source of the e-mail is appropriate.
  • the present invention has been made in view of such circumstances, and an information processing apparatus and an information processing apparatus capable of quickly and widely collecting an appropriate sender of an e-mail and preventing fraudulent acts such as e-mail spoofing. It is an object to provide a processing method and an information processing program.
  • An information processing apparatus includes a data receiving unit that receives transmission information of the electronic mail, which is extracted from the electronic mail received by each of a plurality of mail servers, and the electronic reception unit based on the transmission information.
  • a transmission information determination unit that determines whether the source of the mail is appropriate; and a whitelist distribution unit that distributes the source determined to be appropriate to each of the plurality of mail servers. I do.
  • an information processing apparatus capable of quickly and widely collecting an appropriate sender of an e-mail and preventing an improper act such as e-mail spoofing are provided. Is done.
  • FIG. 1 is a configuration diagram illustrating an example of a configuration of an e-mail system to which an information processing apparatus according to a first embodiment is applied.
  • Explanatory drawing showing an example of transmission information extracted from an electronic mail.
  • FIG. 9 is an explanatory diagram showing an example of a result of determining whether or not transmission information extracted from an electronic mail is an appropriate transmission source by a transmission information determination unit.
  • FIG. 6 is an explanatory diagram illustrating an example of a list of transmission sources that are white.
  • 5 is a flowchart illustrating an example of an information processing method according to the first embodiment.
  • FIG. 9 is a configuration diagram showing an example of the configuration of an e-mail system to which the information processing device according to the second embodiment is applied.
  • 9 is a flowchart illustrating an example of an information processing method according to the second embodiment.
  • FIG. 1 is a configuration diagram illustrating an example of a configuration of an electronic mail system to which the information processing device 10 according to the first embodiment is applied.
  • the mail server 12 is a server that receives an e-mail from an external terminal (not shown) via an external mail server and transmits the received e-mail to the internal terminal 11.
  • the mail server 12 is provided, for example, at a boundary (DMZ: DeMilitarized @ Zone) between an internal network where connection from the Internet is restricted and an external network that can be arbitrarily connected to the Internet.
  • DZ DeMilitarized @ Zone
  • the internal terminal 11 is a client terminal that receives an e-mail from the mail server 12.
  • the mail server 12 (12a, 12b) is configured by two, and the terminal that receives the e-mail for each of the mail servers 12a and 12b is configured by one of the internal terminals 11a and 11b.
  • the mail server 12 and the internal terminals 11 may be further configured with a plurality of mail servers 12 and the internal terminals 11, and the number and arrangement of the mail servers 12 and the internal terminals 11 are not limited to those in FIG.
  • the mail server 12 includes an e-mail analysis unit 18, a transmission information storage unit 19, a whitelist database 20, and a transmission / reception processing unit 22.
  • the e-mail analysis unit 18 extracts transmission information from the e-mail received from the external terminal via the external mail server, and analyzes the e-mail based on the transmission information.
  • the transmission information is various kinds of information relating to mail transmission extracted from the e-mail, and includes a transmission source mail address (envelope From), a transmission source IP address described in a mail header, a transmission time, a mail subject, and a mail text.
  • the source IP address is the IP address (Received @ From) described in the mail header, which is the address of an external mail server in front of the mail server 12 managed by the internal network whose connection from the Internet is restricted. It may be specified by the source IP address, or may be specified by using the IP address of the connection command transmitted from the server at the preceding stage of the mail server 12.
  • the e-mail analyzing unit 18 analyzes whether or not the transmission source of the e-mail is a harmful e-mail disguised by a malicious third party based on the extracted transmission information. Specifically, for example, the e-mail analysis unit 18 determines whether or not the source mail address (envelope From) matches the source address in the mail header, and if not, disguises the source. Is determined. Alternatively, a mail text that is assumed to be a forgery may be stored in advance, and the mail text may be compared with the body of the electronic mail to determine that the sender is forgery.
  • the transmission information storage unit 19 stores the transmission information extracted by the electronic mail analysis unit 18 with information for identifying each of the internal terminals 11 receiving the electronic mail (for example, the IP address of the internal terminal 11, an electronic mail address, and the like). Save by linking.
  • the transmission information is transmitted to the information processing device 10 each time it is stored in the transmission information storage unit 19. Alternatively, the transmission information may be transmitted to the information processing device 10 periodically (for example, every two hours).
  • FIG. 2 is an explanatory diagram illustrating an example of transmission information extracted from an electronic mail.
  • the transmission information storage unit 19 stores the transmission source mail address, the transmission source IP address, the transmission time, the mail subject, the link destination described in the mail text, the file name of the attached file, and the like. Will be saved as Further, the result of the determination made by the electronic mail analyzing section 18 as to whether the electronic mail is a forgery may be added as transmission information.
  • the whitelist database 20 is a database that stores in advance a combination of the domain of the source mail address and the source IP address that is appropriate as a source of the electronic mail (there is no possibility of spoofed mail).
  • the whitelist database 20 has a distribution data storage unit 21 that stores a combination of the domain of the source mail address and the source IP address distributed from the information processing device 10. The details of the domain and the source IP address corresponding to the white source (appropriate as the source) distributed from the information processing apparatus 10 and stored in the distribution data storage unit 21 will be described later.
  • the transmission / reception processing unit 22 controls transmission of a mail to the internal terminal 11 with respect to the received electronic mail. Specifically, when the domain of the source mail address and the source IP address of the e-mail match the source list described in the whitelist database 20, it is determined to be an appropriate source and the internal terminal 11 send an email. On the other hand, if the email does not match the sender list described in the whitelist database 20, the email analyzer 18 controls the transmission of the email based on the analysis result of whether or not the email is a fake email. For example, if the e-mail is determined to be a forgery, the e-mail is not transmitted to the internal terminal 11 but is quarantined inside the mail server 12. This avoids the risk that the internal terminal 11 receiving the e-mail is infected with a virus or the like, thereby ensuring the security of the terminal.
  • the information processing apparatus 10 receives transmission information extracted from e-mails received by the plurality of mail servers 12, determines whether the transmission source is appropriate based on the transmission information, This is a device that distributes a transmission source determined to be appropriate to each of the mail servers 12.
  • the information processing device 10 acquires transmission information transmitted from the plurality of mail servers 12.
  • the information processing apparatus 10 may directly acquire the transmission information from the plurality of mail servers 12, or may acquire the transmission information via a separate server that collects the transmission information.
  • the information processing device 10 may be configured by one device, or may be configured by a plurality of devices.
  • the devices constituting the information processing device 10 may be installed in different rooms or different places, and a part of the information processing device 10 and the The remainder may be located at a remote location.
  • the information processing apparatus 10 includes a data reception unit 13, a transmission information determination unit 14, a collation data storage unit 15, and a whitelist distribution unit 16.
  • each unit constituting the information processing apparatus 10 may be realized by executing a predetermined program code using a processor, and is not limited to such software processing.
  • a processor for example, an ASIC or the like may be used. It may be realized by hardware processing, or may be realized by combining software processing and hardware processing.
  • the data receiving unit 13 receives, from the mail server 12, transmission information of the electronic mail extracted from the electronic mail received by each of the plurality of mail servers 12.
  • the collation data storage unit 15 is a database for preliminarily storing malicious information harmful to the internal terminal 11 for each piece of electronic mail transmission information. For example, a harmful IP address or link destination URL that guides the internal terminal 11 to download a malicious file or connect to a website, a domain, an IP address, a subject, and an attached file of a source email address that may be a forged email Name, attached file name and its file extension are stored.
  • the transmission information determination unit 14 determines whether the transmission source of the e-mail is appropriate based on the transmission information of the e-mail.
  • the transmission information determination unit 14 compares the received transmission information with the malicious information stored in the verification data storage unit 15, and if the received transmission information does not match the malicious information, transmits the transmitted information.
  • the domain of the source mail address and the source IP address are determined to be appropriate sources. On the other hand, if the received transmission information matches the malicious information, it is not determined to be an appropriate transmission source.
  • the transmission information determination unit 14 determines whether the domain and the source IP address included in the transmission information match.
  • the domain and the source IP address may be determined to be appropriate. For example, a reference value (for example, three or more mail servers 12) is provided for the mail server 12 that has received the transmission information, and in the transmission information received from the mail server 12 exceeding the reference value, the transmission source mail address If the domain and the source IP address match, it is determined that the domain and the source IP address of the source mail address are appropriate.
  • the transmission information determination unit 14 determines that, in the transmission information received from the plurality of mail servers 12, the result of the forgery determination of the electronic mail is good (the transmission information for which the determination result that the e-mail is not forged) appears, and When the domain of the mail address and the source IP address match, the domain and the source IP address of the source mail address may be determined to be appropriate.
  • the transmission information determination unit 14 Assuming that the extracted transmission information is suspect, the domain of the transmission source mail address and the transmission source IP address included in the transmission information may be determined as an inappropriate transmission source.
  • the collation data storage unit 15 may store various types of transmission information that has not been determined as an appropriate transmission source by the transmission information determination unit 14 as malicious information.
  • FIG. 3 is an explanatory diagram showing an example of the result of determining whether or not the source of the e-mail is appropriate based on the e-mail transmission information.
  • the transmission information determination unit 14 determines whether the transmission source is appropriate by comparing each of the received transmission information with the malicious information stored in the verification data storage unit 15.
  • the transmission information of the e-mail corresponding to the source IP address "178.50.1.x” has "http: //../a.html” as the link destination, and this link If the destination matches the malicious information, the source corresponding to this transmission information is determined to be inappropriate.
  • the transmission information of the e-mail whose transmission source IP address corresponds to “178.6.10.1.y” when each of the transmission information does not match the malicious information, the domain and the transmission source of the transmission mail address corresponding to the transmission information The IP address is determined to be an appropriate source, that is, a white source.
  • the whitelist storage unit 17 stores the transmission source determined to be appropriate.
  • the whitelist storage unit 17 accumulates transmission sources determined to be appropriate. Further, the transmission source stored in the whitelist storage unit 17 may be collated with the malicious information in the collation data storage unit 15 as needed, and the determination result as to whether the transmission source is appropriate may be updated.
  • the whitelist distribution unit 16 distributes the transmission source determined to be appropriate by the transmission information determination unit 14 to each of the plurality of mail servers 12. Then, each of the mail servers 12 stores the distributed transmission source (the domain of the mail address and the transmission source IP address) in the distribution data storage unit 21. The whitelist distribution unit 16 may distribute to each of the plurality of mail servers 12 each time a transmission source determined to be appropriate is collected, or all data of the transmission source stored in the whitelist storage unit 17 May be delivered at regular intervals. Further, the information processing apparatus 10 may receive a distribution request from the mail server 12 and distribute all the data of the transmission source stored in the whitelist storage unit 17.
  • the whitelist distribution unit 16 may distribute the malicious information stored in the collation data storage unit 15 together with the transmission source stored in the whitelist storage unit 17 to each of the mail servers 12.
  • the e-mail analysis unit 18 of the mail server 12 may perform the forgery analysis using the distributed malicious information.
  • FIG. 4 is an explanatory diagram showing an example of a whitelist stored in the whitelist database 20 (20a, 20b).
  • the whitelist database 20 stores a combination of the domain of the source mail address and the source IP address, which are determined to be appropriate as the source. Each time it is distributed from the whitelist distribution unit 16, it is newly stored as an appropriate transmission source.
  • FIG. 5 is a flowchart illustrating an example of the information processing method according to the first embodiment (see FIG. 1 as appropriate).
  • the data receiving unit 13 receives, from the mail server 12, transmission information of the e-mail extracted from the e-mail received by each of the plurality of mail servers 12 (S10).
  • the transmission information determination unit 14 collates the received transmission information of the e-mail with the malicious information stored in the verification data storage unit 15 to determine whether the transmission source of the e-mail is appropriate (S11). .
  • the domain of the source mail address and the source IP address in the transmission information are determined to be appropriate transmission sources (S12: YES).
  • the e-mail is not determined to be an appropriate transmission source (S12: NO).
  • the whitelist distribution unit 16 distributes the transmission source determined to be appropriate by the transmission information determination unit 14 to each of the plurality of mail servers 12 (S13). Note that the whitelist distribution unit 16 may distribute all the data of the transmission source stored in the whitelist storage unit 17 at regular time intervals.
  • the information processing apparatus 10 can quickly and widely collect an appropriate sender of an e-mail. By being able to collect a wide range of appropriate e-mail sources in a short period of time, fraudulent acts such as e-mail spoofing can be prevented.
  • the administrator of each mail server renews the combination of the domain and the sender IP address in SPF authentication etc. You need to register.
  • the white mail source is collected and distributed based on the transmission information of the e-mail actually received by the plurality of mail servers 12, so that the domain and the IP address of the mail address of the source are collected. Even if the combination changes, the administrator of each mail server does not need to register the combination of the domain and the source IP address in the DNS server in advance as in, for example, SPF authentication. Can be used quickly. In other words, by updating the white source based on the transmission information of the actually received e-mail, it is possible to follow changes in the domain and the source IP address, and keep the white source list up to date. Can be held. Also, unlike SPF authentication, since a malicious third party cannot register a combination of the domain of the mail address and the source IP address as the transmission source, the e-mail received from the malicious third party at the mail server 12 Can be prevented from being determined as an appropriate transmission source.
  • FIG. 6 is a diagram illustrating an example of a configuration of the information processing apparatus 10 according to the second embodiment.
  • portions having the same configuration or function as those of the first embodiment (FIG. 1) are denoted by the same reference numerals, and redundant description will be omitted.
  • the domain of the source mail address and the source IP address registered by the user of the internal terminal 11 or the administrator of the mail server 12 are received by the information processing apparatus 10.
  • the domain of the registered source mail address and the source IP address are distributed to each of the mail servers 12 as an appropriate source.
  • the whitelist database 20 of the mail server 12 stores the combination of the source mail address domain and the source IP address registered by the user of the internal terminal 11 or the administrator of the mail server 12 and appropriate as the source of the e-mail. It further has a registration data storage unit 23 for storing.
  • the user of the internal terminal 11 (or the administrator of the mail server 12) displays a registration screen for registering a sender on the terminal, and includes a combination of the domain of the sender mail address and the sender IP address. Register the sender.
  • the registered transmission source is stored in the registration data storage unit 23.
  • the registration screen displayed on the user's terminal may be configured to be able to display the registration data of the transmission source already registered in the registration data storage unit 23 of the whitelist database 20.
  • the registration data of the transmission source stored in the registration data storage unit 23 is compared with the distribution data of the transmission source distributed from the information processing apparatus 10 and stored in the distribution data storage unit 21, and compared with the distribution data.
  • Matching registration data may be displayed so that the user can recognize that it is stored as distribution data (for example, registration data that matches distribution data is displayed with an identification mark). .
  • the data receiving unit 13 receives, from the mail server 12, a transmission source registered by the user, the transmission source being a combination of the domain of the transmission source mail address and the transmission source IP address.
  • the mail server 12 may add identification information for identifying each of the mail servers 12 to the transmission source and transmit the same. Thereby, the information processing apparatus 10 can identify which mail server 12 the received transmission source is transmitted from.
  • the data receiving unit 13 may receive a combination registered by the user in which the domain of one source mail address is associated with a plurality of source IP addresses. For example, in FIG. As shown in FIG. 3, a source IP address that specifies a specific address range is associated with one domain and accepted using a CIDR (Classless Inter-Domain Routing) format.
  • CIDR Classless Inter-Domain Routing
  • the transmission information determination unit 14 determines whether the transmission source is appropriate based on the combination of the domain of the received transmission source mail address and the transmission source IP address. More specifically, the transmission information determination unit 14 checks the domain of the received source mail address and the source IP address against the malicious information stored in the verification data storage unit 15 to determine the appropriate source. It is determined whether or not.
  • the whitelist storage unit 17 stores the transmission source determined to be appropriate.
  • the transmission information determination unit 14 always determines whether the domain and the source IP address of the source mail address registered by the user (or the administrator) in the mail server 12 and accepted by the data receiving unit 13 are appropriate. It is not necessary to execute the process, and the domain of the source mail address and the source IP address accepted by the data receiving unit 13 may be stored in the whitelist storage unit 17.
  • the whitelist distribution unit 16 distributes the transmission source stored in the whitelist storage unit 17 to each of the mail servers 12 including the mail server 12 related to the registration of the transmission source. Note that the whitelist distribution unit 16 may distribute each of the transmission sources to the plurality of mail servers 12 each time the transmission source is stored in the whitelist storage unit 17, or may store the transmission source stored in the whitelist storage unit 17. All data may be distributed at regular time intervals. Further, the information processing apparatus 10 may receive a distribution request from the mail server 12 and distribute all the data of the transmission source stored in the whitelist storage unit 17.
  • a distribution method will be specifically described with reference to FIG.
  • the mail server 12a when a transmission source including a combination of the domain of the transmission source mail address and the transmission source IP address is registered in the registration data storage unit 23a, the transmission source is transmitted to the information processing device 10.
  • the transmission information determination unit 14 of the information processing device 10 determines whether the transmitted domain and the source IP address are appropriate.
  • the whitelist distributor 16 sends the sender to the mail servers 12a and 12b.
  • Each of the mail servers 12a and 12b stores the transmitted source in the distribution data storage units 21a and 21b.
  • FIG. 7 is a flowchart illustrating an example of the information processing method according to the second embodiment (see FIG. 6 as appropriate).
  • the data receiving unit 13 receives a transmission source that is registered by the user and is composed of a combination of the domain of the transmission source mail address and the transmission source IP address (S20).
  • the transmission information determination unit 14 determines whether or not the transmission source is appropriate based on the combination of the domain of the received transmission source mail address and the transmission source IP address (S21).
  • the whitelist distribution unit 16 distributes the transmission source (mail domain and transmission source IP address) determined to be appropriate to each of the mail servers 12a and 12b including the mail server 12 related to the registration of the transmission source by the user ( S22: YES, S23). Note that the whitelist distribution unit 16 may distribute all the data of the transmission source stored in the whitelist storage unit 17 at regular time intervals. On the other hand, if it is not determined to be appropriate, it is not delivered to the mail server 12 (S22: NO).
  • the information processing apparatus 10 can immediately share a white transmission source among a plurality of mail servers by distributing the transmission source registered by the user to the mail server 12, A wide range of white sender lists can be collected.
  • white and white are set based on the configuration of the information processing apparatus 10 described in the first embodiment, that is, the transmission information of the electronic mail actually received by the plurality of mail servers 12. Configurations for collecting and distributing different transmission sources may be combined.
  • an appropriate transmission source of an e-mail is determined based on transmission information extracted from each of the mail servers, and the transmission source is distributed to each mail server. It is possible to quickly and widely collect the senders of such e-mails, and to grasp the senders more accurately and timely than SPF authentication or the like, thereby preventing improper activities such as e-mail spoofing.
  • the program executed by the information processing device 10 is provided by being previously incorporated in a storage circuit such as a ROM.
  • the program may be provided as a file in an installable format or an executable format stored in a computer-readable storage medium such as a CD-ROM, a CD-R, a memory card, a DVD, and a flexible disk. You may.
  • the program executed by the information processing apparatus 10 may be stored on a computer connected to a network such as the Internet, and may be provided by being downloaded via the network.
  • SYMBOLS 10 Information processing apparatus, 11 ... Internal terminal, 12 ... Mail server, 13 ... Data receiving part, 14 ... Transmission information determination part, 15 ... Collation data storage part, 16 ... White list distribution part, 17 ... White list storage part, 18: E-mail analysis unit, 19: Transmission information storage unit, 20: White list database, 21: Distribution data storage unit, 22: Transmission / reception processing unit, 23: Registration data storage unit

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

情報処理装置10は、複数のメールサーバ12のそれぞれで受信された電子メールから抽出される、電子メールの送信情報を受け付けるデータ受信部13と、送信情報に基づいて電子メールの送信元が適切か否かを判定する送信情報判定部14と、適切と判定された送信元を複数のメールサーバのそれぞれに配信するホワイトリスト配信部16と、を備える。

Description

情報処理装置、情報処理方法、及び情報処理プログラム
 本発明の実施形態は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。
 近年、送信元のメールアドレスなどを偽装した電子メールを特定の相手に送り、添付したファイルやリンク先にアクセスさせることでユーザの端末をウィルスに感染させる等の標的型メール攻撃が増加している。
 従来では、電子メールの送信元を偽装する、いわゆる「なりすまし」の電子メールに対応するための技術として、SPF(Sender Policy Framework)認証やDKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting & Conformance)といった送信元ドメインの認証技術が広く利用されている。
 SPF認証では、認証用のサーバに送信元のメールアドレスのドメインと送信元IPアドレスとの組み合わせを適切な電子メールの送信元として予め登録しておき、メールサーバが電子メールを受信した際、当該電子メールの送信元に対応するドメインと送信元IPアドレスを認証用のサーバに問い合わせて、適切な電子メールの送信元であるか否かの認証を実行する。
特開2012-78922号公報
 上述の送信元ドメインの認証技術のような、送信元のドメインとIPアドレスの組み合わせの登録が予め必要なメール認証システムでは、登録している法人や団体は限定的なものとなるため、認証可能な範囲には限界がある。加えて、送信元のドメイン及び送信元IPアドレスのいずれかがメールシステムの入れ替えなどにより変更された場合、認証を整合させるためには送信元のドメイン及び送信元IPアドレスとの組み合わせを改めて登録する必要がある。このため、送信元のドメイン及び送信元IPアドレスの変更に追随できない場合があった。
 加えて、従来の送信元ドメインの認証技術では、悪意の第三者自身が、送信元のドメインとIPアドレスの組み合わせを認証用のサーバに登録した場合、悪意の第三者からの電子メールを受信した場合であっても認証結果が整合してしまうという問題もあった。
 本発明はこのような事情を考慮してなされたもので、電子メールの適切な送信元を迅速かつ広範囲に収集でき、電子メールのなりすまし等の不正行為を防止することができる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。
 本発明の実施形態に係る情報処理装置は、複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信情報を受け付けるデータ受信部と、前記送信情報に基づいて前記電子メールの送信元が適切か否かを判定する送信情報判定部と、前記適切と判定された前記送信元を複数の前記メールサーバのそれぞれに配信するホワイトリスト配信部と、を備えることを特徴とする。
 本発明の実施形態により、電子メールの適切な送信元を迅速かつ広範囲に収集でき、電子メールのなりすまし等の不正行為を防止することができる情報処理装置、情報処理方法、及び情報処理プログラムが提供される。
第1実施形態に係る情報処理装置が適用される電子メールシステムの構成の一例を示す構成図。 電子メールから抽出された送信情報の一例を示す説明図。 電子メールから抽出された送信情報について、送信情報判定部において適切な送信元か否かを判定した結果の一例を示す説明図。 ホワイトとなる送信元のリストの一例を示す説明図。 第1実施形態に係る情報処理方法の一例を示すフローチャート。 第2実施形態に係る情報処理装置が適用される電子メールシステムの構成の一例を示す構成図。 第2実施形態に係る情報処理方法の一例を示すフローチャート。
 以下、本発明の実施形態を添付図面に基づいて説明する。
 図1は、第1実施形態に係る情報処理装置10が適用される電子メールシステムの構成の一例を示す構成図である。
 メールサーバ12は、外部メールサーバを介して、外部端末(図示省略)から電子メールを受信して、受信した電子メールを内部端末11に送信するサーバである。メールサーバ12は、例えばインターネットからの接続が制限される内部ネットワークとインターネットと任意に接続可能な外部ネットワークとの境界(DMZ:DeMilitarized Zone)に設けられる。
 内部端末11は、メールサーバ12から電子メールを受信するクライアント端末である。
 なお、ここでは、メールサーバ12(12a,12b)を2つで構成して、メールサーバ12a及び12bのそれぞれについて電子メールを受信する端末を内部端末11a、11bのそれぞれ1つで構成しているが、さらに複数のメールサーバ12及び内部端末11で構成してもよく、メールサーバ12及び内部端末11の数量、配置は図1に限定されるものは無い。
 メールサーバ12は、電子メール解析部18と、送信情報保存部19と、ホワイトリストデータベース20と、送受信処理部22と、を備えている。
 電子メール解析部18は、外部メールサーバを介して、外部端末から受信した電子メールから送信情報を抽出して、送信情報に基づいて電子メールの解析を実行する。送信情報とは、電子メールから抽出されるメール送信に関する各種の情報であり、送信元メールアドレス(エンベロープFrom)、メールヘッダ内に記載の送信元IPアドレス、送信時間、メール件名、メール本文内に記載のリンク先、添付されたファイル名、添付ファイル名及びそのファイル拡張子などである。送信元IPアドレスは、メールヘッダ内に記載されているIPアドレス(Received From)のうち、インターネットからの接続が制限される内部のネットワークで管理されるメールサーバ12の前段にある外部のメールサーバの送信元IPアドレスにより特定してもよいし、メールサーバ12の前段のサーバから送信された接続コマンドのIPアドレスを利用して特定してもよい。
 電子メール解析部18は、抽出した送信情報に基づいて、悪意の第三者により電子メールの送信元が偽装された有害なメールか否かの解析を実行する。具体的には、例えば電子メール解析部18は、送信元メールアドレス(エンベロープFrom)とメールヘッダ内の送信元アドレスとが一致するか否かを判定して、一致しない場合には送信元の偽装と判定する。また、予め偽装と想定されるメール文章を保存しておき、このメール文章と電子メールの本文とを照合することで送信元の偽装と判定してもよい。
 送信情報保存部19は、電子メール解析部18で抽出された送信情報を、電子メールを受信する内部端末11のそれぞれを識別する情報(例えば、内部端末11のIPアドレス、電子メールアドレスなど)と関連付けて保存する。送信情報は、送信情報保存部19に保存されるごとに情報処理装置10に送信される。あるいは、送信情報は、定期的(例えば2時間ごと)に情報処理装置10に送信されてもよい。
 図2は、電子メールから抽出された送信情報の一例を示す説明図である。
 図2に示すように、送信情報保存部19は、送信元メールアドレス、送信元IPアドレス、送信時間、メール件名、メール本文内に記載のリンク先、添付されたファイルのファイル名などが送信情報として保存される。また、電子メール解析部18において実行された、電子メールが偽装か否かの判定結果を送信情報として付加してもよい。
 ホワイトリストデータベース20は、電子メールの送信元として適切となる(偽装メールのおそれが無い)、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせをリストとして予め保存するデータベースである。ホワイトリストデータベース20は、情報処理装置10から配信された、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせを保存する配信データ保存部21を有している。なお、情報処理装置10から配信されて、配信データ保存部21で保存されるホワイトな送信元(送信元として適切な)に対応するドメインと送信元IPアドレスの詳細については後述する。
 送受信処理部22は、受信した電子メールについて、内部端末11へのメールの送信制御などを実行する。具体的には、電子メールの送信元メールアドレスのドメイン及び送信元IPアドレスがホワイトリストデータベース20に記載の送信元リストと合致する場合には、適切な送信元と判断して内部端末11に電子メールを送信する。一方、ホワイトリストデータベース20に記載の送信元リストと合致しない場合には、電子メール解析部18における偽装メールか否かの解析結果に基づいて電子メールの送信を制御する。例えば、電子メールが偽装と判定された場合には内部端末11に電子メールを送信せずに、メールサーバ12の内部にメールを隔離する。これにより、電子メールを受信する内部端末11がウィルスに感染するなどのリスクが回避されて、端末の安全性が担保される。
 無料メールドメインやプロバイダ管轄のドメインなど法人や団体だけではなく個人も利用できるドメインについては、標的型のメールとして利用されるおそれが高いため、ホワイトリストデータベース20で保存されるホワイトな送信元としては除外することが望ましい。なお、プライベートドメインをホワイトリストデータベース20とは別に保存してもよい。
 第1実施形態に係る情報処理装置10は、複数のメールサーバ12で受信された電子メールから抽出された送信情報を受け付けて、送信情報に基づいて送信元が適切か否かを判定して、適切と判定された送信元をメールサーバ12のそれぞれに配信する装置である。
 情報処理装置10は、複数のメールサーバ12から送信される送信情報を取得する。情報処理装置10は、複数のメールサーバ12から送信情報を直接取得してもよいし、送信情報を収集する別個のサーバを経由して送信情報を取得してもよい。
 なお、情報処理装置10は一台の装置から構成されてもよいが、複数の装置から構成されてもよい。情報処理装置10が複数の装置から構成される場合には、情報処理装置10を構成する装置は異なる部屋又は異なる場所に設置されてもよく、情報処理装置10の一部と情報処理装置10の残部が遠隔地に配置されてもよい。
 情報処理装置10は、データ受信部13と、送信情報判定部14と、照合データ保存部15と、ホワイトリスト配信部16と、を備えている。
 なお、情報処理装置10を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ASIC等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。
 データ受信部13は、複数のメールサーバ12のそれぞれで受信された電子メールから抽出される、電子メールの送信情報をメールサーバ12から受け付ける。
 照合データ保存部15は、電子メールの送信情報のそれぞれについて、内部端末11に有害となる悪性情報を予め保存するデータベースである。例えば、悪意のあるファイルのダウンロードやWebサイトへの接続に内部端末11を誘導する有害なIPアドレスやリンク先URL、偽装メールのおそれがある送信元メールアドレスのドメイン、IPアドレス、件名、添付ファイル名、添付ファイル名及びそのファイル拡張子等を保存する。
 送信情報判定部14は、電子メールの送信情報に基づいて電子メールの送信元が適切か否かを判定する。送信情報判定部14は、受け付けた送信情報と、照合データ保存部15に保存されている悪性情報とを照合して、受け付けた送信情報が悪性情報に合致しない場合には、当該送信情報における送信元メールアドレスのドメイン及び送信元IPアドレスを適切な送信元と判定する。一方、受け付けた送信情報が悪性情報に合致する場合には、適切な送信元と判定しない。
 また、送信情報判定部14は、複数のメールサーバ12から受け付けた送信情報において、送信情報に含まれる送信元メールアドレスのドメイン及び送信元IPアドレスが一致する場合には、当該送信元メールアドレスのドメイン及び送信元IPアドレスを適切と判定してもよい。例えば、送信情報を受け付けたメールサーバ12に対して基準値(例えば、3つ以上のメールサーバ12)を設けておき、基準値を超えるメールサーバ12から受信した送信情報において、送信元メールアドレスのドメイン及び送信元IPアドレスが一致する場合には、当該送信元メールアドレスのドメイン及び送信元IPアドレスを適切と判定する。また、送信情報判定部14は、複数のメールサーバ12から受け付けた送信情報において、電子メールの偽装判定の結果が良(偽装されていないとの判定結果が出た送信情報)となり、かつ送信元メールアドレスのドメイン及び送信元IPアドレスが一致する場合に、当該送信元メールアドレスのドメイン及び送信元IPアドレスを適切と判定してもよい。
 また、送信情報判定部14は、複数のメールサーバ12から受け付けた送信情報において、送信情報に含まれる添付ファイル名及びその拡張子が送信情報の間で一致する場合には、不審な電子メールから抽出された送信情報の疑いがあるとして、送信情報に含まれる送信元メールアドレスのドメイン及び送信元IPアドレスを不適切な送信元と判定してもよい。
 また、照合データ保存部15は、送信情報判定部14において適切な送信元と判定されなかった送信情報の各種情報を悪性情報として保存してもよい。
 図3は、電子メールの送信情報に基づいて電子メールの送信元が適切か否かを判定した結果の一例を示す説明図である。送信情報判定部14は、受け付けた送信情報のそれぞれについて、照合データ保存部15に保存されている悪性情報と照合することで送信元が適切か否かを判定する。
 図3に示すように、送信元IPアドレスが「178.50.1.x」に対応する電子メールの送信情報にリンク先として「http://・・/a.html」が存在して、このリンク先が悪性情報と合致する場合、この送信情報に対応する送信元は不適切と判定する。一方、送信元IPアドレスが「178.60.1.y」に対応する電子メールの送信情報について、送信情報のそれぞれが悪性情報と合致しない場合、送信情報に対応する送信元メールアドレスのドメイン及び送信元IPアドレスを適切な送信元、すなわちホワイトな送信元と判定する。
 ホワイトリスト保存部17は、適切と判定された送信元を保存する。ホワイトリスト保存部17は、適切と判定された送信元を蓄積していく。また、ホワイトリスト保存部17に保存された送信元は、照合データ保存部15の悪性情報と随時照合されて、送信元が適切か否かの判定結果が更新されてもよい。
 ホワイトリスト配信部16は、送信情報判定部14において適切と判定された送信元を複数のメールサーバ12のそれぞれに配信する。そして、メールサーバ12のそれぞれは、配信された送信元(メールアドレスのドメイン及び送信元IPアドレス)を配信データ保存部21に保存する。ホワイトリスト配信部16は、適切と判断された送信元が収集されるごとに複数のメールサーバ12のそれぞれに配信してもよいし、ホワイトリスト保存部17に保存された送信元の全てのデータを一定時間ごとに配信してもよい。また、情報処理装置10がメールサーバ12からの配信要求を受け付けて、ホワイトリスト保存部17に保存された送信元の全てのデータを配信してもよい。
 また、ホワイトリスト配信部16は、ホワイトリスト保存部17に保存された送信元とともに照合データ保存部15に保存されている悪性情報をメールサーバ12のそれぞれに配信してもよい。メールサーバ12の電子メール解析部18は、配信された悪性情報を用いて偽装解析を実施してもよい。
 図4は、ホワイトリストデータベース20(20a、20b)で保存されるホワイトリストの一例を示す説明図である。ホワイトリストデータベース20には、送信元として適切とされた、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせが保存される。ホワイトリスト配信部16から配信されるごとに、適切な送信元として新たに保存される。
 続いて、第1実施形態に係る情報処理装置10の動作について説明する。
 図5は、第1実施形態に係る情報処理方法の一例を示すフローチャートである(適宜、図1参照)。
 データ受信部13は、複数のメールサーバ12のそれぞれで受信された電子メールから抽出される、電子メールの送信情報をメールサーバ12から受け付ける(S10)。
 送信情報判定部14は、受け付けた電子メールの送信情報と、照合データ保存部15に保存されている悪性情報とを照合して、電子メールの送信元が適切か否かを判定する(S11)。
 そして、受け付けた電子メールの送信情報が悪性情報に合致しない場合には、当該送信情報における送信元メールアドレスのドメイン及び送信元IPアドレスを適切な送信元と判定する(S12:YES)。一方、受け付けた電子メールの送信情報が悪性情報に合致する場合には、適切な送信元と判定しない(S12:NO)。
 ホワイトリスト配信部16は、送信情報判定部14において適切と判定された送信元を複数のメールサーバ12のそれぞれに配信する(S13)。なお、ホワイトリスト配信部16は、ホワイトリスト保存部17に保存された送信元の全てのデータを一定時間ごとに配信してもよい。
 このように、第1実施形態に係る情報処理装置10は、電子メールの適切な送信元を迅速かつ広範囲に収集できる。短期間で電子メールの適切な送信元を広範囲に収集できることで、電子メールのなりすまし等の不正行為を防止することができる。
 メールシステムの入れ替えやドメイン情報変更などにより送信元のメールアドレスのドメインとIPアドレスとの組み合わせが変化する場合、SPF認証などでは、ドメインと送信元IPアドレスの組み合わせを改めて各メールサーバの管理者が登録する必要がある。
 一方、本実施形態では、複数のメールサーバ12で実際に受信された電子メールの送信情報に基づいてホワイトとなる送信元を収集、配信することで、送信元のメールアドレスのドメインとIPアドレスとの組み合わせが変化する場合であっても、例えばSPF認証のようにドメインと送信元IPアドレスの組み合わせを各メールサーバの管理者が予めDNSサーバに登録する必要は無く、最新の適切な送信元を迅速に使用することができる。すなわち、実際に受信された電子メールの送信情報に基づいてホワイトとなる送信元を更新することで、ドメインや送信元IPアドレスの変更に追随でき、ホワイトとなる送信元リストを常に最新の状態に保持することができる。また、SPF認証とは異なり、悪意の第三者がメールアドレスのドメインと送信元IPアドレスの組み合わせを送信元として登録することはできないため、メールサーバ12において悪意の第三者から受信した電子メールが適切な送信元と判断されることを防止できる。
(第2実施形態)
 図6は、第2実施形態に係る情報処理装置10の構成の一例を示す図である。なお、図6において第1実施形態(図1)と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。
 第2実施形態に係る情報処理装置10では、内部端末11のユーザまたはメールサーバ12の管理者により登録された送信元メールアドレスのドメイン及び送信元IPアドレスについて情報処理装置10で受信して、この登録された送信元メールアドレスのドメイン及び送信元IPアドレスを適切な送信元としてメールサーバ12のそれぞれに配信する。
 具体的な構成について説明する。
 メールサーバ12のホワイトリストデータベース20は、内部端末11のユーザまたはメールサーバ12の管理者により登録される、電子メールの送信元として適切となる送信元メールアドレスのドメインと送信元IPアドレスの組み合わせを保存する登録データ保存部23をさらに有している。
 なお、内部端末11のユーザ(またはメールサーバ12の管理者)は、送信元を登録するための登録画面を端末上に表示して、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせからなる送信元を登録する。登録された送信元は、登録データ保存部23に保存される。
 また、ユーザの端末上に表示された登録画面は、すでにホワイトリストデータベース20の登録データ保存部23に登録されている送信元の登録データを表示可能に構成されてもよい。このとき、登録データ保存部23に保存された送信元の登録データを、情報処理装置10から配信されて配信データ保存部21に保存された送信元の配信データと比較照合して、配信データと一致する登録データについては、配信データとして保存されていることをユーザが認識できるように表示されてもよい(例えば、配信データと一致する登録データは識別用のマークを付して表示される)。
 データ受信部13は、ユーザにより登録される、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせからなる送信元をメールサーバ12から受け付ける。なお、メールサーバ12は、送信元を情報処理装置10に送信する際、メールサーバ12のそれぞれを識別するための識別情報を送信元に付与して送信してもよい。これにより、情報処理装置10では、受け付けた送信元がいずれのメールサーバ12から送信されたものか識別することができる。
 また、データ受信部13は、1つの送信元メールアドレスのドメインと複数の送信元IPアドレスとが対応付けてユーザにより登録された組み合わせを受け付けてもよい。例えば、図4のNo.3に示すように、CIDR(Classless Inter-Domain Routing)形式を用いて、1つのドメインに特定のアドレス範囲を指定する送信元IPアドレスを対応付けて受け付ける。
 送信情報判定部14は、受け付けた送信元メールアドレスのドメインと送信元IPアドレスの組み合わせに基づいてこの送信元が適切か否かを判定する。具体的には、送信情報判定部14は、受け付けた送信元メールアドレスのドメインと送信元IPアドレスと、照合データ保存部15に保存されている悪性情報とを照合することで、適切な送信元か否かを判定する。
 ホワイトリスト保存部17は、適切と判定された送信元を保存する。なお、送信情報判定部14において、メールサーバ12においてユーザ(または管理者)により登録され、データ受信部13で受け付けた送信元メールアドレスのドメインと送信元IPアドレスについて適切か否かの判定を必ず実行する必要は無く、データ受信部13で受け付けた送信元メールアドレスのドメインと送信元IPアドレスをホワイトリスト保存部17に保存してもよい。
 ホワイトリスト配信部16は、ホワイトリスト保存部17に保存された送信元を、送信元の登録に係るメールサーバ12を含むメールサーバ12のそれぞれに配信する。なお、ホワイトリスト配信部16は、ホワイトリスト保存部17に送信元が保存されるごとに複数のメールサーバ12のそれぞれに配信してもよいし、ホワイトリスト保存部17に保存された送信元の全てのデータを一定時間ごとに配信してもよい。また、情報処理装置10がメールサーバ12からの配信要求を受け付けて、ホワイトリスト保存部17に保存された送信元の全てのデータを配信してもよい。
 第2実施形態における配信の方法について図6を用いて具体的に説明する。メールサーバ12aにおいて、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせからなる送信元が登録データ保存部23aに登録された場合、この送信元は情報処理装置10に送信される。情報処理装置10の送信情報判定部14は、送信されたドメインと送信元IPアドレスが適切か否かを判定する。ホワイトリスト配信部16は、適切な送信元と判定された場合、この送信元はメールサーバ12a、12bに送信する。メールサーバ12a、12bのそれぞれは、送信された送信元を配信データ保存部21a、21bに保存する。
 続いて、第2実施形態に係る情報処理装置10の動作について説明する。
 図7は、第2実施形態に係る情報処理方法の一例を示すフローチャートである(適宜、図6参照)。
 データ受信部13は、ユーザにより登録される、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせからなる送信元を受け付ける(S20)。
 送信情報判定部14は、受け付けた送信元メールアドレスのドメインと送信元IPアドレスの組み合わせに基づいてこの送信元が適切か否かを判定する(S21)。
 ホワイトリスト配信部16は、適切と判定された送信元(メールのドメイン及び送信元IPアドレス)を、ユーザによる送信元の登録に係るメールサーバ12を含むメールサーバ12a、12bのそれぞれに配信する(S22:YES、S23)。なお、ホワイトリスト配信部16は、ホワイトリスト保存部17に保存された送信元の全てのデータを一定時間ごとに配信してもよい。一方、適切と判定されなかった場合には、メールサーバ12に配信しない(S22:NO)。
 第2実施形態に係る情報処理装置10は、ユーザにより登録された送信元について、メールサーバ12に配信することで、ホワイトとなる送信元を複数のメールサーバ間で即時に共有することができ、ホワイトとなる送信元リストを広範囲に収集できる。
 なお、第2実施形態に係る情報処理装置10において、第1実施形態で示した情報処理装置10の構成、すなわち複数のメールサーバ12で実際に受信された電子メールの送信情報に基づいてホワイトとなる送信元を収集、配信する構成を組み合わせてもよい。
 以上述べた実施形態の情報処理装置によれば、メールサーバのそれぞれから抽出された送信情報に基づいて電子メールの適切な送信元を判定し、送信元を各メールサーバに配信することにより、適切な電子メールの送信元を迅速かつ広範囲に収集でき、SPF認証などに比較してタイムリーにより正確に送信元を把握することにより、電子メールのなりすまし等の不正行為を防止することができる。
 なお、情報処理装置10で実行されるプログラムは、ROM等の記憶回路に予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでCD-ROM、CD-R、メモリカード、DVD、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、情報処理装置10で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。
 本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
 10…情報処理装置、11…内部端末、12…メールサーバ、13…データ受信部、14…送信情報判定部、15…照合データ保存部、16…ホワイトリスト配信部、17…ホワイトリスト保存部、18…電子メール解析部、19…送信情報保存部、20…ホワイトリストデータベース、21…配信データ保存部、22…送受信処理部、23…登録データ保存部。

Claims (11)

  1.  複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信情報を受け付けるデータ受信部と、
     前記送信情報に基づいて前記電子メールの送信元が適切か否かを判定する送信情報判定部と、
     前記適切と判定された前記送信元を複数の前記メールサーバのそれぞれに配信するホワイトリスト配信部と、
    を備えることを特徴とする情報処理装置。
  2.  前記送信元は、送信元メールアドレスのドメインと送信元IPアドレスとの組み合わせから構成される、
    ことを特徴とする請求項1に記載の情報処理装置。
  3.  前記送信情報は、受信された前記電子メールにおける送信に係る各種の情報を含み、
     前記送信情報のそれぞれについて有害となる悪性情報を予め保存する照合データ保存部を備えて、
     前記送信情報判定部は、受け付けた前記送信情報と前記悪性情報とを照合して、前記電子メールの前記送信元が適切か否かを判定する、
    ことを特徴とする請求項1に記載の情報処理装置。
  4.  前記送信情報判定部は、複数の前記メールサーバから受け付けた複数の前記送信情報において、前記送信情報に含まれる前記送信元が一致する場合には、当該前記送信元を適切と判定する、
    ことを特徴とする請求項1に記載の情報処理装置。
  5.  前記送信情報判定部において前記適切と判定された前記送信元を保存するホワイトリスト保存部を備えて、
     保存された前記送信元は、前記悪性情報と照合されて、前記送信元が適切か否かの判定結果が更新される、
    ことを特徴とする請求項3に記載の情報処理装置。
  6.  前記データ受信部は、ユーザにより登録される、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせからなる前記送信元を受け付けて、
     前記ホワイトリスト配信部は、前記送信元を前記メールサーバのそれぞれに配信する、
    ことを特徴とする請求項1に記載の情報処理装置。
  7.  複数のメールサーバのそれぞれにおいてユーザにより登録される、送信元メールアドレスのドメインと送信元IPアドレスの組み合わせからなる送信元を受け付けるデータ受信部と、
     前記送信元を前記メールサーバのそれぞれに配信するホワイトリスト配信部と、
    を備えることを特徴とする情報処理装置。
  8.  受け付けた前記送信元メールアドレスのドメインと送信元IPアドレスとの組み合わせからなる前記送信元が適切か否かを判定する送信情報判定部を備えることを特徴とする請求項7に記載の情報処理装置。
  9.  前記データ受信部は、ユーザにより登録される、1つのメールのドメインと複数の送信元IPアドレスとの組み合わせからなる前記送信元を受け付ける、
    ことを特徴とする請求項7に記載の情報処理装置。
  10.  複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信情報を受け付けるステップと、
     前記送信情報に基づいて前記電子メールの送信元のドメイン及び送信元IPアドレスが適切か否かを判定するステップと、
     前記適切と判定された前記送信元のドメイン及び送信元IPアドレスを複数の前記メールサーバのそれぞれに配信するステップと、
    を含むことを特徴とする情報処理方法。
  11.  コンピュータを、
     複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信情報を受け付ける機能、
     前記送信情報に基づいて前記電子メールの送信元のドメイン及び送信元IPアドレスが適切か否かを判定する機能、
     前記適切と判定された前記送信元のドメイン及び送信元IPアドレスを複数の前記メールサーバのそれぞれに配信する機能、
    として機能させることを特徴とする情報処理プログラム。
PCT/JP2019/031960 2018-08-14 2019-08-14 情報処理装置、情報処理方法、及び情報処理プログラム WO2020036201A1 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
EP19850702.2A EP3839752A4 (en) 2018-08-14 2019-08-14 INFORMATION PROCESSING DEVICE, INFORMATION PROCESSING METHOD AND INFORMATION PROCESSING PROGRAM
US17/268,279 US11785026B2 (en) 2018-08-14 2019-08-14 Information processing device, information processing method and information processing program
CN201980050377.9A CN112534417A (zh) 2018-08-14 2019-08-14 信息处理装置、信息处理方法、及信息处理程序
SG11202101380UA SG11202101380UA (en) 2018-08-14 2019-08-14 Information processing device, information processing method and information processing program

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018-152773 2018-08-14
JP2018152773A JP6669954B2 (ja) 2018-08-14 2018-08-14 情報処理装置、情報処理方法、及び情報処理プログラム

Publications (1)

Publication Number Publication Date
WO2020036201A1 true WO2020036201A1 (ja) 2020-02-20

Family

ID=69525436

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2019/031960 WO2020036201A1 (ja) 2018-08-14 2019-08-14 情報処理装置、情報処理方法、及び情報処理プログラム

Country Status (6)

Country Link
US (1) US11785026B2 (ja)
EP (1) EP3839752A4 (ja)
JP (1) JP6669954B2 (ja)
CN (1) CN112534417A (ja)
SG (1) SG11202101380UA (ja)
WO (1) WO2020036201A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11363060B2 (en) * 2019-10-24 2022-06-14 Microsoft Technology Licensing, Llc Email security in a multi-tenant email service
JP7121779B2 (ja) * 2020-08-27 2022-08-18 デジタルアーツ株式会社 情報処理装置、情報処理方法、及び情報処理プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012078922A (ja) 2010-09-30 2012-04-19 Nifty Corp Webメールサーバ、メールクライアントプログラム及びメールサーバ
US8392357B1 (en) * 2008-10-31 2013-03-05 Trend Micro, Inc. Trust network to reduce e-mail spam
JP2017028368A (ja) * 2015-07-16 2017-02-02 日本電気株式会社 メール中継装置、メール中継方法、及び、プログラム

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5999932A (en) * 1998-01-13 1999-12-07 Bright Light Technologies, Inc. System and method for filtering unsolicited electronic mail messages using data matching and heuristic processing
US20050015455A1 (en) 2003-07-18 2005-01-20 Liu Gary G. SPAM processing system and methods including shared information among plural SPAM filters
US7873996B1 (en) * 2003-11-22 2011-01-18 Radix Holdings, Llc Messaging enhancements and anti-spam
JP2005217750A (ja) * 2004-01-29 2005-08-11 Telepark Corp 電子メールシステムおよび電子メールの配信方法
US8655957B2 (en) * 2004-12-16 2014-02-18 Apple Inc. System and method for confirming that the origin of an electronic mail message is valid
US20090307320A1 (en) 2008-06-10 2009-12-10 Tal Golan Electronic mail processing unit including silverlist filtering
KR20080093084A (ko) * 2008-08-22 2008-10-20 주식회사 누리비젼 스팸메일 차단 시스템
JP5721535B2 (ja) * 2011-05-20 2015-05-20 Kddi株式会社 電子メール分類装置、電子メール分類方法及び電子メール分類プログラム
US9191401B2 (en) * 2013-06-14 2015-11-17 Paypal, Inc. Signed response to an abusive email account owner and provider systems and methods
CN103761478B (zh) * 2014-01-07 2016-11-23 北京奇虎科技有限公司 恶意文件的判断方法及设备
JP6266487B2 (ja) * 2014-09-30 2018-01-24 Kddi株式会社 メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム
US10050998B1 (en) * 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
CN107231241A (zh) * 2016-03-24 2017-10-03 中国移动通信有限公司研究院 信息处理方法、网关及验证平台
US10701094B2 (en) * 2017-06-22 2020-06-30 Oracle International Corporation Techniques for monitoring privileged users and detecting anomalous activities in a computing environment
US11165800B2 (en) * 2017-08-28 2021-11-02 Oracle International Corporation Cloud based security monitoring using unsupervised pattern recognition and deep learning
US10805346B2 (en) * 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US10454954B2 (en) * 2017-11-06 2019-10-22 Paypal, Inc. Automated detection of phishing campaigns via social media
US10977161B2 (en) * 2018-05-30 2021-04-13 Microsoft Technology Licensing, Llc Automatic intelligent cloud service testing tool

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8392357B1 (en) * 2008-10-31 2013-03-05 Trend Micro, Inc. Trust network to reduce e-mail spam
JP2012078922A (ja) 2010-09-30 2012-04-19 Nifty Corp Webメールサーバ、メールクライアントプログラム及びメールサーバ
JP2017028368A (ja) * 2015-07-16 2017-02-02 日本電気株式会社 メール中継装置、メール中継方法、及び、プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ANONYMOUS: "Forefront of SOFTWARE i-FILTER m-FILTER", vol. 307, 25 August 2017 (2017-08-25), pages 42 - 43, XP009526168, Retrieved from the Internet <URL:https://www.pc-webzine.com/entry/2017/07/post-42.html> *

Also Published As

Publication number Publication date
US11785026B2 (en) 2023-10-10
EP3839752A1 (en) 2021-06-23
US20210320930A1 (en) 2021-10-14
JP2020027510A (ja) 2020-02-20
SG11202101380UA (en) 2021-03-30
EP3839752A4 (en) 2022-04-20
CN112534417A (zh) 2021-03-19
JP6669954B2 (ja) 2020-03-18

Similar Documents

Publication Publication Date Title
US11552981B2 (en) Message authenticity and risk assessment
Kucherawy et al. Domain-based message authentication, reporting, and conformance (DMARC)
US11582263B2 (en) Centralized validation of email senders via EHLO name and IP address targeting
US9635042B2 (en) Risk ranking referential links in electronic messages
US7320021B2 (en) Authenticating electronic communications
EP1877904B1 (en) Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources
US9015090B2 (en) Evaluating a questionable network communication
EP2709046A1 (en) Real-time classification of email message traffic
US20070156900A1 (en) Evaluating a questionable network communication
US20060212931A1 (en) Trust evaluation systems and methods
US20220353242A1 (en) Entity-separated email domain authentication for known and open sign-up domains
WO2020036201A1 (ja) 情報処理装置、情報処理方法、及び情報処理プログラム
JP4693174B2 (ja) 中間ノード
Kucherawy et al. RFC 7489: Domain-based message authentication, reporting, and conformance (DMARC)
JP2020086547A (ja) 情報処理装置、情報処理方法、及び情報処理プログラム
Sakamuri Design and evaluation of a new authentication mechanism for validating the sender of an email
Chandramouli et al. SECOND DRAFT NIST Special Publication 800-177

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19850702

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2019850702

Country of ref document: EP

Effective date: 20210315