WO2020036201A1

WO2020036201A1 - 情報処理装置、情報処理方法、及び情報処理プログラム

Info

Publication number: WO2020036201A1
Application number: PCT/JP2019/031960
Authority: WO
Inventors: 登志夫道具; 松本　卓也; 光成佐藤
Original assignee: デジタルアーツ株式会社
Priority date: 2018-08-14
Filing date: 2019-08-14
Publication date: 2020-02-20
Also published as: US11785026B2; EP3839752A1; US20210320930A1; JP2020027510A; SG11202101380UA; EP3839752A4; CN112534417A; JP6669954B2

Abstract

情報処理装置１０は、複数のメールサーバ１２のそれぞれで受信された電子メールから抽出される、電子メールの送信情報を受け付けるデータ受信部１３と、送信情報に基づいて電子メールの送信元が適切か否かを判定する送信情報判定部１４と、適切と判定された送信元を複数のメールサーバのそれぞれに配信するホワイトリスト配信部１６と、を備える。

Description

情報処理装置、情報処理方法、及び情報処理プログラム

　本発明の実施形態は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。

　近年、送信元のメールアドレスなどを偽装した電子メールを特定の相手に送り、添付したファイルやリンク先にアクセスさせることでユーザの端末をウィルスに感染させる等の標的型メール攻撃が増加している。

　従来では、電子メールの送信元を偽装する、いわゆる「なりすまし」の電子メールに対応するための技術として、ＳＰＦ（Sender Policy Framework）認証やＤＫＩＭ（DomainKeys Identified Mail）、ＤＭＡＲＣ（Domain-based Message Authentication, Reporting & Conformance）といった送信元ドメインの認証技術が広く利用されている。

　ＳＰＦ認証では、認証用のサーバに送信元のメールアドレスのドメインと送信元ＩＰアドレスとの組み合わせを適切な電子メールの送信元として予め登録しておき、メールサーバが電子メールを受信した際、当該電子メールの送信元に対応するドメインと送信元ＩＰアドレスを認証用のサーバに問い合わせて、適切な電子メールの送信元であるか否かの認証を実行する。

特開２０１２－７８９２２号公報

　上述の送信元ドメインの認証技術のような、送信元のドメインとＩＰアドレスの組み合わせの登録が予め必要なメール認証システムでは、登録している法人や団体は限定的なものとなるため、認証可能な範囲には限界がある。加えて、送信元のドメイン及び送信元ＩＰアドレスのいずれかがメールシステムの入れ替えなどにより変更された場合、認証を整合させるためには送信元のドメイン及び送信元ＩＰアドレスとの組み合わせを改めて登録する必要がある。このため、送信元のドメイン及び送信元ＩＰアドレスの変更に追随できない場合があった。

　加えて、従来の送信元ドメインの認証技術では、悪意の第三者自身が、送信元のドメインとＩＰアドレスの組み合わせを認証用のサーバに登録した場合、悪意の第三者からの電子メールを受信した場合であっても認証結果が整合してしまうという問題もあった。

　本発明はこのような事情を考慮してなされたもので、電子メールの適切な送信元を迅速かつ広範囲に収集でき、電子メールのなりすまし等の不正行為を防止することができる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。

　本発明の実施形態に係る情報処理装置は、複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信情報を受け付けるデータ受信部と、前記送信情報に基づいて前記電子メールの送信元が適切か否かを判定する送信情報判定部と、前記適切と判定された前記送信元を複数の前記メールサーバのそれぞれに配信するホワイトリスト配信部と、を備えることを特徴とする。

　本発明の実施形態により、電子メールの適切な送信元を迅速かつ広範囲に収集でき、電子メールのなりすまし等の不正行為を防止することができる情報処理装置、情報処理方法、及び情報処理プログラムが提供される。

第１実施形態に係る情報処理装置が適用される電子メールシステムの構成の一例を示す構成図。電子メールから抽出された送信情報の一例を示す説明図。電子メールから抽出された送信情報について、送信情報判定部において適切な送信元か否かを判定した結果の一例を示す説明図。ホワイトとなる送信元のリストの一例を示す説明図。第１実施形態に係る情報処理方法の一例を示すフローチャート。第２実施形態に係る情報処理装置が適用される電子メールシステムの構成の一例を示す構成図。第２実施形態に係る情報処理方法の一例を示すフローチャート。

　以下、本発明の実施形態を添付図面に基づいて説明する。
　図１は、第１実施形態に係る情報処理装置１０が適用される電子メールシステムの構成の一例を示す構成図である。

　メールサーバ１２は、外部メールサーバを介して、外部端末（図示省略）から電子メールを受信して、受信した電子メールを内部端末１１に送信するサーバである。メールサーバ１２は、例えばインターネットからの接続が制限される内部ネットワークとインターネットと任意に接続可能な外部ネットワークとの境界（DMZ:DeMilitarized Zone）に設けられる。

　内部端末１１は、メールサーバ１２から電子メールを受信するクライアント端末である。

　なお、ここでは、メールサーバ１２（１２ａ，１２ｂ）を２つで構成して、メールサーバ１２ａ及び１２ｂのそれぞれについて電子メールを受信する端末を内部端末１１ａ、１１ｂのそれぞれ１つで構成しているが、さらに複数のメールサーバ１２及び内部端末１１で構成してもよく、メールサーバ１２及び内部端末１１の数量、配置は図１に限定されるものは無い。

　メールサーバ１２は、電子メール解析部１８と、送信情報保存部１９と、ホワイトリストデータベース２０と、送受信処理部２２と、を備えている。

　電子メール解析部１８は、外部メールサーバを介して、外部端末から受信した電子メールから送信情報を抽出して、送信情報に基づいて電子メールの解析を実行する。送信情報とは、電子メールから抽出されるメール送信に関する各種の情報であり、送信元メールアドレス（エンベロープＦｒｏｍ）、メールヘッダ内に記載の送信元ＩＰアドレス、送信時間、メール件名、メール本文内に記載のリンク先、添付されたファイル名、添付ファイル名及びそのファイル拡張子などである。送信元ＩＰアドレスは、メールヘッダ内に記載されているＩＰアドレス（Received From）のうち、インターネットからの接続が制限される内部のネットワークで管理されるメールサーバ１２の前段にある外部のメールサーバの送信元ＩＰアドレスにより特定してもよいし、メールサーバ１２の前段のサーバから送信された接続コマンドのＩＰアドレスを利用して特定してもよい。

　電子メール解析部１８は、抽出した送信情報に基づいて、悪意の第三者により電子メールの送信元が偽装された有害なメールか否かの解析を実行する。具体的には、例えば電子メール解析部１８は、送信元メールアドレス（エンベロープＦｒｏｍ）とメールヘッダ内の送信元アドレスとが一致するか否かを判定して、一致しない場合には送信元の偽装と判定する。また、予め偽装と想定されるメール文章を保存しておき、このメール文章と電子メールの本文とを照合することで送信元の偽装と判定してもよい。

　送信情報保存部１９は、電子メール解析部１８で抽出された送信情報を、電子メールを受信する内部端末１１のそれぞれを識別する情報（例えば、内部端末１１のＩＰアドレス、電子メールアドレスなど）と関連付けて保存する。送信情報は、送信情報保存部１９に保存されるごとに情報処理装置１０に送信される。あるいは、送信情報は、定期的（例えば２時間ごと）に情報処理装置１０に送信されてもよい。

　図２は、電子メールから抽出された送信情報の一例を示す説明図である。
　図２に示すように、送信情報保存部１９は、送信元メールアドレス、送信元ＩＰアドレス、送信時間、メール件名、メール本文内に記載のリンク先、添付されたファイルのファイル名などが送信情報として保存される。また、電子メール解析部１８において実行された、電子メールが偽装か否かの判定結果を送信情報として付加してもよい。

　ホワイトリストデータベース２０は、電子メールの送信元として適切となる（偽装メールのおそれが無い）、送信元メールアドレスのドメインと送信元ＩＰアドレスの組み合わせをリストとして予め保存するデータベースである。ホワイトリストデータベース２０は、情報処理装置１０から配信された、送信元メールアドレスのドメインと送信元ＩＰアドレスの組み合わせを保存する配信データ保存部２１を有している。なお、情報処理装置１０から配信されて、配信データ保存部２１で保存されるホワイトな送信元（送信元として適切な）に対応するドメインと送信元ＩＰアドレスの詳細については後述する。

　送受信処理部２２は、受信した電子メールについて、内部端末１１へのメールの送信制御などを実行する。具体的には、電子メールの送信元メールアドレスのドメイン及び送信元ＩＰアドレスがホワイトリストデータベース２０に記載の送信元リストと合致する場合には、適切な送信元と判断して内部端末１１に電子メールを送信する。一方、ホワイトリストデータベース２０に記載の送信元リストと合致しない場合には、電子メール解析部１８における偽装メールか否かの解析結果に基づいて電子メールの送信を制御する。例えば、電子メールが偽装と判定された場合には内部端末１１に電子メールを送信せずに、メールサーバ１２の内部にメールを隔離する。これにより、電子メールを受信する内部端末１１がウィルスに感染するなどのリスクが回避されて、端末の安全性が担保される。

　無料メールドメインやプロバイダ管轄のドメインなど法人や団体だけではなく個人も利用できるドメインについては、標的型のメールとして利用されるおそれが高いため、ホワイトリストデータベース２０で保存されるホワイトな送信元としては除外することが望ましい。なお、プライベートドメインをホワイトリストデータベース２０とは別に保存してもよい。

　第１実施形態に係る情報処理装置１０は、複数のメールサーバ１２で受信された電子メールから抽出された送信情報を受け付けて、送信情報に基づいて送信元が適切か否かを判定して、適切と判定された送信元をメールサーバ１２のそれぞれに配信する装置である。

　情報処理装置１０は、複数のメールサーバ１２から送信される送信情報を取得する。情報処理装置１０は、複数のメールサーバ１２から送信情報を直接取得してもよいし、送信情報を収集する別個のサーバを経由して送信情報を取得してもよい。

　なお、情報処理装置１０は一台の装置から構成されてもよいが、複数の装置から構成されてもよい。情報処理装置１０が複数の装置から構成される場合には、情報処理装置１０を構成する装置は異なる部屋又は異なる場所に設置されてもよく、情報処理装置１０の一部と情報処理装置１０の残部が遠隔地に配置されてもよい。

　情報処理装置１０は、データ受信部１３と、送信情報判定部１４と、照合データ保存部１５と、ホワイトリスト配信部１６と、を備えている。

　なお、情報処理装置１０を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ＡＳＩＣ等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。

　データ受信部１３は、複数のメールサーバ１２のそれぞれで受信された電子メールから抽出される、電子メールの送信情報をメールサーバ１２から受け付ける。

　照合データ保存部１５は、電子メールの送信情報のそれぞれについて、内部端末１１に有害となる悪性情報を予め保存するデータベースである。例えば、悪意のあるファイルのダウンロードやＷｅｂサイトへの接続に内部端末１１を誘導する有害なＩＰアドレスやリンク先ＵＲＬ、偽装メールのおそれがある送信元メールアドレスのドメイン、ＩＰアドレス、件名、添付ファイル名、添付ファイル名及びそのファイル拡張子等を保存する。

　送信情報判定部１４は、電子メールの送信情報に基づいて電子メールの送信元が適切か否かを判定する。送信情報判定部１４は、受け付けた送信情報と、照合データ保存部１５に保存されている悪性情報とを照合して、受け付けた送信情報が悪性情報に合致しない場合には、当該送信情報における送信元メールアドレスのドメイン及び送信元ＩＰアドレスを適切な送信元と判定する。一方、受け付けた送信情報が悪性情報に合致する場合には、適切な送信元と判定しない。

　また、送信情報判定部１４は、複数のメールサーバ１２から受け付けた送信情報において、送信情報に含まれる送信元メールアドレスのドメイン及び送信元ＩＰアドレスが一致する場合には、当該送信元メールアドレスのドメイン及び送信元ＩＰアドレスを適切と判定してもよい。例えば、送信情報を受け付けたメールサーバ１２に対して基準値（例えば、３つ以上のメールサーバ１２）を設けておき、基準値を超えるメールサーバ１２から受信した送信情報において、送信元メールアドレスのドメイン及び送信元ＩＰアドレスが一致する場合には、当該送信元メールアドレスのドメイン及び送信元ＩＰアドレスを適切と判定する。また、送信情報判定部１４は、複数のメールサーバ１２から受け付けた送信情報において、電子メールの偽装判定の結果が良（偽装されていないとの判定結果が出た送信情報）となり、かつ送信元メールアドレスのドメイン及び送信元ＩＰアドレスが一致する場合に、当該送信元メールアドレスのドメイン及び送信元ＩＰアドレスを適切と判定してもよい。

　また、送信情報判定部１４は、複数のメールサーバ１２から受け付けた送信情報において、送信情報に含まれる添付ファイル名及びその拡張子が送信情報の間で一致する場合には、不審な電子メールから抽出された送信情報の疑いがあるとして、送信情報に含まれる送信元メールアドレスのドメイン及び送信元ＩＰアドレスを不適切な送信元と判定してもよい。

　また、照合データ保存部１５は、送信情報判定部１４において適切な送信元と判定されなかった送信情報の各種情報を悪性情報として保存してもよい。

　図３は、電子メールの送信情報に基づいて電子メールの送信元が適切か否かを判定した結果の一例を示す説明図である。送信情報判定部１４は、受け付けた送信情報のそれぞれについて、照合データ保存部１５に保存されている悪性情報と照合することで送信元が適切か否かを判定する。

　図３に示すように、送信元ＩＰアドレスが「178.50.1.x」に対応する電子メールの送信情報にリンク先として「http://・・/a.html」が存在して、このリンク先が悪性情報と合致する場合、この送信情報に対応する送信元は不適切と判定する。一方、送信元ＩＰアドレスが「178.60.１.ｙ」に対応する電子メールの送信情報について、送信情報のそれぞれが悪性情報と合致しない場合、送信情報に対応する送信元メールアドレスのドメイン及び送信元ＩＰアドレスを適切な送信元、すなわちホワイトな送信元と判定する。

　ホワイトリスト保存部１７は、適切と判定された送信元を保存する。ホワイトリスト保存部１７は、適切と判定された送信元を蓄積していく。また、ホワイトリスト保存部１７に保存された送信元は、照合データ保存部１５の悪性情報と随時照合されて、送信元が適切か否かの判定結果が更新されてもよい。

　ホワイトリスト配信部１６は、送信情報判定部１４において適切と判定された送信元を複数のメールサーバ１２のそれぞれに配信する。そして、メールサーバ１２のそれぞれは、配信された送信元（メールアドレスのドメイン及び送信元ＩＰアドレス）を配信データ保存部２１に保存する。ホワイトリスト配信部１６は、適切と判断された送信元が収集されるごとに複数のメールサーバ１２のそれぞれに配信してもよいし、ホワイトリスト保存部１７に保存された送信元の全てのデータを一定時間ごとに配信してもよい。また、情報処理装置１０がメールサーバ１２からの配信要求を受け付けて、ホワイトリスト保存部１７に保存された送信元の全てのデータを配信してもよい。

　また、ホワイトリスト配信部１６は、ホワイトリスト保存部１７に保存された送信元とともに照合データ保存部１５に保存されている悪性情報をメールサーバ１２のそれぞれに配信してもよい。メールサーバ１２の電子メール解析部１８は、配信された悪性情報を用いて偽装解析を実施してもよい。

　図４は、ホワイトリストデータベース２０（２０ａ、２０ｂ）で保存されるホワイトリストの一例を示す説明図である。ホワイトリストデータベース２０には、送信元として適切とされた、送信元メールアドレスのドメインと送信元ＩＰアドレスの組み合わせが保存される。ホワイトリスト配信部１６から配信されるごとに、適切な送信元として新たに保存される。

　続いて、第１実施形態に係る情報処理装置１０の動作について説明する。
　図５は、第１実施形態に係る情報処理方法の一例を示すフローチャートである（適宜、図１参照）。

　データ受信部１３は、複数のメールサーバ１２のそれぞれで受信された電子メールから抽出される、電子メールの送信情報をメールサーバ１２から受け付ける（Ｓ１０）。

　送信情報判定部１４は、受け付けた電子メールの送信情報と、照合データ保存部１５に保存されている悪性情報とを照合して、電子メールの送信元が適切か否かを判定する（Ｓ１１）。

　そして、受け付けた電子メールの送信情報が悪性情報に合致しない場合には、当該送信情報における送信元メールアドレスのドメイン及び送信元ＩＰアドレスを適切な送信元と判定する（Ｓ１２：ＹＥＳ）。一方、受け付けた電子メールの送信情報が悪性情報に合致する場合には、適切な送信元と判定しない（Ｓ１２：ＮＯ）。

　ホワイトリスト配信部１６は、送信情報判定部１４において適切と判定された送信元を複数のメールサーバ１２のそれぞれに配信する（Ｓ１３）。なお、ホワイトリスト配信部１６は、ホワイトリスト保存部１７に保存された送信元の全てのデータを一定時間ごとに配信してもよい。

　このように、第１実施形態に係る情報処理装置１０は、電子メールの適切な送信元を迅速かつ広範囲に収集できる。短期間で電子メールの適切な送信元を広範囲に収集できることで、電子メールのなりすまし等の不正行為を防止することができる。

　メールシステムの入れ替えやドメイン情報変更などにより送信元のメールアドレスのドメインとＩＰアドレスとの組み合わせが変化する場合、ＳＰＦ認証などでは、ドメインと送信元ＩＰアドレスの組み合わせを改めて各メールサーバの管理者が登録する必要がある。

　一方、本実施形態では、複数のメールサーバ１２で実際に受信された電子メールの送信情報に基づいてホワイトとなる送信元を収集、配信することで、送信元のメールアドレスのドメインとＩＰアドレスとの組み合わせが変化する場合であっても、例えばＳＰＦ認証のようにドメインと送信元ＩＰアドレスの組み合わせを各メールサーバの管理者が予めＤＮＳサーバに登録する必要は無く、最新の適切な送信元を迅速に使用することができる。すなわち、実際に受信された電子メールの送信情報に基づいてホワイトとなる送信元を更新することで、ドメインや送信元ＩＰアドレスの変更に追随でき、ホワイトとなる送信元リストを常に最新の状態に保持することができる。また、ＳＰＦ認証とは異なり、悪意の第三者がメールアドレスのドメインと送信元ＩＰアドレスの組み合わせを送信元として登録することはできないため、メールサーバ１２において悪意の第三者から受信した電子メールが適切な送信元と判断されることを防止できる。

（第２実施形態）
　図６は、第２実施形態に係る情報処理装置１０の構成の一例を示す図である。なお、図６において第１実施形態（図１）と共通の構成又は機能を有する部分は、同一符号で示し、重複する説明を省略する。

　第２実施形態に係る情報処理装置１０では、内部端末１１のユーザまたはメールサーバ１２の管理者により登録された送信元メールアドレスのドメイン及び送信元ＩＰアドレスについて情報処理装置１０で受信して、この登録された送信元メールアドレスのドメイン及び送信元ＩＰアドレスを適切な送信元としてメールサーバ１２のそれぞれに配信する。

　具体的な構成について説明する。
　メールサーバ１２のホワイトリストデータベース２０は、内部端末１１のユーザまたはメールサーバ１２の管理者により登録される、電子メールの送信元として適切となる送信元メールアドレスのドメインと送信元ＩＰアドレスの組み合わせを保存する登録データ保存部２３をさらに有している。

　なお、内部端末１１のユーザ（またはメールサーバ１２の管理者）は、送信元を登録するための登録画面を端末上に表示して、送信元メールアドレスのドメインと送信元ＩＰアドレスの組み合わせからなる送信元を登録する。登録された送信元は、登録データ保存部２３に保存される。

　また、ユーザの端末上に表示された登録画面は、すでにホワイトリストデータベース２０の登録データ保存部２３に登録されている送信元の登録データを表示可能に構成されてもよい。このとき、登録データ保存部２３に保存された送信元の登録データを、情報処理装置１０から配信されて配信データ保存部２１に保存された送信元の配信データと比較照合して、配信データと一致する登録データについては、配信データとして保存されていることをユーザが認識できるように表示されてもよい（例えば、配信データと一致する登録データは識別用のマークを付して表示される）。

　データ受信部１３は、ユーザにより登録される、送信元メールアドレスのドメインと送信元ＩＰアドレスの組み合わせからなる送信元をメールサーバ１２から受け付ける。なお、メールサーバ１２は、送信元を情報処理装置１０に送信する際、メールサーバ１２のそれぞれを識別するための識別情報を送信元に付与して送信してもよい。これにより、情報処理装置１０では、受け付けた送信元がいずれのメールサーバ１２から送信されたものか識別することができる。

　また、データ受信部１３は、１つの送信元メールアドレスのドメインと複数の送信元ＩＰアドレスとが対応付けてユーザにより登録された組み合わせを受け付けてもよい。例えば、図４のＮｏ．３に示すように、ＣＩＤＲ（Classless Inter-Domain Routing）形式を用いて、１つのドメインに特定のアドレス範囲を指定する送信元ＩＰアドレスを対応付けて受け付ける。

　送信情報判定部１４は、受け付けた送信元メールアドレスのドメインと送信元ＩＰアドレスの組み合わせに基づいてこの送信元が適切か否かを判定する。具体的には、送信情報判定部１４は、受け付けた送信元メールアドレスのドメインと送信元ＩＰアドレスと、照合データ保存部１５に保存されている悪性情報とを照合することで、適切な送信元か否かを判定する。

　ホワイトリスト保存部１７は、適切と判定された送信元を保存する。なお、送信情報判定部１４において、メールサーバ１２においてユーザ（または管理者）により登録され、データ受信部１３で受け付けた送信元メールアドレスのドメインと送信元ＩＰアドレスについて適切か否かの判定を必ず実行する必要は無く、データ受信部１３で受け付けた送信元メールアドレスのドメインと送信元ＩＰアドレスをホワイトリスト保存部１７に保存してもよい。

　ホワイトリスト配信部１６は、ホワイトリスト保存部１７に保存された送信元を、送信元の登録に係るメールサーバ１２を含むメールサーバ１２のそれぞれに配信する。なお、ホワイトリスト配信部１６は、ホワイトリスト保存部１７に送信元が保存されるごとに複数のメールサーバ１２のそれぞれに配信してもよいし、ホワイトリスト保存部１７に保存された送信元の全てのデータを一定時間ごとに配信してもよい。また、情報処理装置１０がメールサーバ１２からの配信要求を受け付けて、ホワイトリスト保存部１７に保存された送信元の全てのデータを配信してもよい。

　第２実施形態における配信の方法について図６を用いて具体的に説明する。メールサーバ１２ａにおいて、送信元メールアドレスのドメインと送信元ＩＰアドレスの組み合わせからなる送信元が登録データ保存部２３ａに登録された場合、この送信元は情報処理装置１０に送信される。情報処理装置１０の送信情報判定部１４は、送信されたドメインと送信元ＩＰアドレスが適切か否かを判定する。ホワイトリスト配信部１６は、適切な送信元と判定された場合、この送信元はメールサーバ１２ａ、１２ｂに送信する。メールサーバ１２ａ、１２ｂのそれぞれは、送信された送信元を配信データ保存部２１ａ、２１ｂに保存する。

　続いて、第２実施形態に係る情報処理装置１０の動作について説明する。
　図７は、第２実施形態に係る情報処理方法の一例を示すフローチャートである（適宜、図６参照）。

　データ受信部１３は、ユーザにより登録される、送信元メールアドレスのドメインと送信元ＩＰアドレスの組み合わせからなる送信元を受け付ける（Ｓ２０）。

　送信情報判定部１４は、受け付けた送信元メールアドレスのドメインと送信元ＩＰアドレスの組み合わせに基づいてこの送信元が適切か否かを判定する（Ｓ２１）。

　ホワイトリスト配信部１６は、適切と判定された送信元（メールのドメイン及び送信元ＩＰアドレス）を、ユーザによる送信元の登録に係るメールサーバ１２を含むメールサーバ１２ａ、１２ｂのそれぞれに配信する（Ｓ２２：ＹＥＳ、Ｓ２３）。なお、ホワイトリスト配信部１６は、ホワイトリスト保存部１７に保存された送信元の全てのデータを一定時間ごとに配信してもよい。一方、適切と判定されなかった場合には、メールサーバ１２に配信しない（Ｓ２２：ＮＯ）。

　第２実施形態に係る情報処理装置１０は、ユーザにより登録された送信元について、メールサーバ１２に配信することで、ホワイトとなる送信元を複数のメールサーバ間で即時に共有することができ、ホワイトとなる送信元リストを広範囲に収集できる。

　なお、第２実施形態に係る情報処理装置１０において、第１実施形態で示した情報処理装置１０の構成、すなわち複数のメールサーバ１２で実際に受信された電子メールの送信情報に基づいてホワイトとなる送信元を収集、配信する構成を組み合わせてもよい。

　以上述べた実施形態の情報処理装置によれば、メールサーバのそれぞれから抽出された送信情報に基づいて電子メールの適切な送信元を判定し、送信元を各メールサーバに配信することにより、適切な電子メールの送信元を迅速かつ広範囲に収集でき、ＳＰＦ認証などに比較してタイムリーにより正確に送信元を把握することにより、電子メールのなりすまし等の不正行為を防止することができる。

　なお、情報処理装置１０で実行されるプログラムは、ＲＯＭ等の記憶回路に予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでＣＤ－ＲＯＭ、ＣＤ－Ｒ、メモリカード、ＤＶＤ、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、情報処理装置１０で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。

　本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。

　１０…情報処理装置、１１…内部端末、１２…メールサーバ、１３…データ受信部、１４…送信情報判定部、１５…照合データ保存部、１６…ホワイトリスト配信部、１７…ホワイトリスト保存部、１８…電子メール解析部、１９…送信情報保存部、２０…ホワイトリストデータベース、２１…配信データ保存部、２２…送受信処理部、２３…登録データ保存部。

Claims

　複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信情報を受け付けるデータ受信部と、
　前記送信情報に基づいて前記電子メールの送信元が適切か否かを判定する送信情報判定部と、
　前記適切と判定された前記送信元を複数の前記メールサーバのそれぞれに配信するホワイトリスト配信部と、
を備えることを特徴とする情報処理装置。
　前記送信元は、送信元メールアドレスのドメインと送信元ＩＰアドレスとの組み合わせから構成される、
ことを特徴とする請求項１に記載の情報処理装置。
　前記送信情報は、受信された前記電子メールにおける送信に係る各種の情報を含み、
　前記送信情報のそれぞれについて有害となる悪性情報を予め保存する照合データ保存部を備えて、
　前記送信情報判定部は、受け付けた前記送信情報と前記悪性情報とを照合して、前記電子メールの前記送信元が適切か否かを判定する、
ことを特徴とする請求項１に記載の情報処理装置。
　前記送信情報判定部は、複数の前記メールサーバから受け付けた複数の前記送信情報において、前記送信情報に含まれる前記送信元が一致する場合には、当該前記送信元を適切と判定する、
ことを特徴とする請求項１に記載の情報処理装置。
　前記送信情報判定部において前記適切と判定された前記送信元を保存するホワイトリスト保存部を備えて、
　保存された前記送信元は、前記悪性情報と照合されて、前記送信元が適切か否かの判定結果が更新される、
ことを特徴とする請求項３に記載の情報処理装置。
　前記データ受信部は、ユーザにより登録される、送信元メールアドレスのドメインと送信元ＩＰアドレスの組み合わせからなる前記送信元を受け付けて、
　前記ホワイトリスト配信部は、前記送信元を前記メールサーバのそれぞれに配信する、
ことを特徴とする請求項１に記載の情報処理装置。
　複数のメールサーバのそれぞれにおいてユーザにより登録される、送信元メールアドレスのドメインと送信元ＩＰアドレスの組み合わせからなる送信元を受け付けるデータ受信部と、
　前記送信元を前記メールサーバのそれぞれに配信するホワイトリスト配信部と、
を備えることを特徴とする情報処理装置。
　受け付けた前記送信元メールアドレスのドメインと送信元ＩＰアドレスとの組み合わせからなる前記送信元が適切か否かを判定する送信情報判定部を備えることを特徴とする請求項７に記載の情報処理装置。
　前記データ受信部は、ユーザにより登録される、１つのメールのドメインと複数の送信元ＩＰアドレスとの組み合わせからなる前記送信元を受け付ける、
ことを特徴とする請求項７に記載の情報処理装置。
　複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信情報を受け付けるステップと、
　前記送信情報に基づいて前記電子メールの送信元のドメイン及び送信元ＩＰアドレスが適切か否かを判定するステップと、
　前記適切と判定された前記送信元のドメイン及び送信元ＩＰアドレスを複数の前記メールサーバのそれぞれに配信するステップと、
を含むことを特徴とする情報処理方法。
　コンピュータを、
　複数のメールサーバのそれぞれで受信された電子メールから抽出される、前記電子メールの送信情報を受け付ける機能、
　前記送信情報に基づいて前記電子メールの送信元のドメイン及び送信元ＩＰアドレスが適切か否かを判定する機能、
　前記適切と判定された前記送信元のドメイン及び送信元ＩＰアドレスを複数の前記メールサーバのそれぞれに配信する機能、
として機能させることを特徴とする情報処理プログラム。