JP2016184187A - メール処理サーバ、メール処理方法、およびメール処理プログラム - Google Patents
メール処理サーバ、メール処理方法、およびメール処理プログラム Download PDFInfo
- Publication number
- JP2016184187A JP2016184187A JP2015062661A JP2015062661A JP2016184187A JP 2016184187 A JP2016184187 A JP 2016184187A JP 2015062661 A JP2015062661 A JP 2015062661A JP 2015062661 A JP2015062661 A JP 2015062661A JP 2016184187 A JP2016184187 A JP 2016184187A
- Authority
- JP
- Japan
- Prior art keywords
- execution
- user
- behavior
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims description 3
- 230000005540 biological transmission Effects 0.000 claims abstract description 56
- 238000004364 calculation method Methods 0.000 claims abstract description 31
- 238000001514 detection method Methods 0.000 claims abstract description 30
- 230000009471 action Effects 0.000 claims description 163
- 230000004044 response Effects 0.000 claims description 9
- 230000006399 behavior Effects 0.000 description 223
- 238000012217 deletion Methods 0.000 description 98
- 230000037430 deletion Effects 0.000 description 98
- 238000000034 method Methods 0.000 description 89
- 230000008569 process Effects 0.000 description 64
- 238000010586 diagram Methods 0.000 description 19
- 238000004891 communication Methods 0.000 description 9
- 238000004458 analytical method Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 6
- 238000007619 statistical method Methods 0.000 description 4
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 230000010485 coping Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000009474 immediate action Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/226—Delivery according to priorities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
〔第1の実施の形態〕
図1は、第1の実施の形態に係るシステムの構成例を示す図である。メール処理サーバ10は、ネットワーク1から送られた電子メールを、メールセンサ2を介して受信し、管理する。受信した電子メールは、送信先のユーザごとに設けられたメールボックス13−1〜13−3に格納される。ユーザは、端末装置3a〜3cを用いて、メールボックス13−1〜13−3内の電子メールをダウンロードし、開封することができる。
次に第2の実施の形態について説明する。第2の実施の形態は、不正メールを検知した場合、その不正メールに応じて、不正メールの削除処理を行う利用者の優先度を決定し、優先度の高い利用者のメールボックスから順に、不正メールの削除処理を実施するものである。なお、以下の説明では、電子メールを単に「メール」と呼ぶこととする。
図4は、不正メールの削除処理の概略を示す図である。メール処理サーバ100は、メールを処理するために、行動記録部110,メール実行記録データベース(DB)120、行動パターン管理部130、行動パターンDB140、メール削除部150、および内部メールサーバ160を有する。
図5は、メール実行記録DBの一例を示す図である。メール実行記録DB120には、例えば行動管理テーブル121が格納されている。行動管理テーブル121には、端末装置50,50a,・・・から収集した行動情報がエントリとして登録されたデータテーブルである。行動管理テーブル121には、ID、行動者、メール受信日時、メール実行日時、特定キーワード、送信元、送信先、実行タイプ、および行動パターンDBへの反映の欄が設けられている。
図11は、行動パターン解析処理の概略手順の一例を示すフローチャートである。
[ステップS113]行動パターン管理部130は、統計分析処理の結果に応じて行動パターンDB140内の情報を更新する。
図12は、行動パターン解析処理の詳細手順の一例を示すフローチャートである。
[ステップS121]行動パターン管理部130は、前回の処理から一定時間が経過したか否かを判断する。一定時間が経過した場合、処理がステップS123に進められる。一定時間が経過していなければ、処理がステップS122に進められる。
[ステップS125]行動パターン管理部130は、行動パターンDBの更新処理を行う。この処理の詳細は後述する(図13参照)。
[ステップS128]行動パターン管理部130は、時刻視点の実行割合を計算する。この処理の詳細は後述する(図15参照)。
図13は、行動パターンDB更新処理の手順の一例を示すフローチャートである。
[ステップS131]行動パターン管理部130は、メール受信から危険行動の実行までの経過時間を計算する。例えば行動パターン管理部130は、メール実行日時からメール受信日時を減算する。
図14は、時間視点の実行割合計算の手順の一例を示すフローチャートである。
[ステップS151]行動パターン管理部130は、全体管理テーブル141a(図7参照)に基づいて、メールの合計件数を計算する。図7に示した例であれば、100件+200件+120件=420件となる。
図15は、時刻視点の実行割合計算の手順の一例を示すフローチャートである。
[ステップS161]行動パターン管理部130は、1日視点の実行割合管理テーブル141f(図8参照)に基づいて、すべての時間帯に関して、該当時間帯内に危険行動が実行されたメールの割合を計算する。例えば行動パターン管理部130は、まず、1日視点の実行割合管理テーブル141fの時間帯ごとの実行件数の合計件数を計算する。そして行動パターン管理部130は、時間帯ごとに、その時間帯内の実行件数を合計件数で除算し、その時間帯の実行割合とする。
図17は、ユーザごとの危険度の判定例を示す図である。図17の例では、18時01分に、件名に「至急」を含み、PDFファイルが添付された不正メール71を受信したものとする。不正メール71は、メールセンサ33によって検知され、メールセンサ33からメール削除部150に、不正メール検知データ72が送られる。
次に、メール削除部150における不正メールの削除処理について、詳細に説明する。
[ステップS211]メール削除部150は、不正メール検知データを取得する。
[ステップS212]メール削除部150は、不正メール受信者全員の行動パターン管理情報を取得する。例えばメール削除部150は、不正メール検知データの送信先フィールドに設定されているメールアドレスを、送信先と判断する。そしてメール削除部150は、送信先のメールアドレスに対応するユーザの行動パターン管理情報を、行動パターンDB140から取得する。
[ステップS214]メール削除部150は、危険レベル順での不正メール削除処理を実行する。この処理の詳細は後述する。
[ステップS221]メール削除部150は、不正メールの送信先のユーザを選択する。例えばメール削除部150は、不正メール検知データ内の送信先のフィールドに設定されているアドレスを1つ選択する。
[ステップS226]メール削除部150は、選択したユーザの危険レベルを計算する。例えばメール削除部150は、選択したユーザの行動パターン管理情報内のすべてのテーブルにおける、不正メールに該当する実行割合をすべて乗算し、乗算結果をユーザの危険レベルとする。例えば、以下のような不正メール検知データが通知された場合を考える。
メール受信日: 2014/11/1(月)
メール受信時刻: 09:03
特定キーワード: 至急
送信元: 社内
送信先: To個人
実行タイプ: doc
選択したユーザの行動パターン管理情報の内容は、図7、図8に示す通りであるものとする。このとき、全体管理テーブル141aから、5分以内の実行割合「0.24」が抽出される。件名キーワード別管理テーブル141bから、キーワード「至急」の5分以内の実行割合「0.63」が抽出される。実行タイプ別管理テーブル141cから、「doc」の5分以内の実行割合「0.42」が抽出される。送信元アドレス別管理テーブル141dから、「社内」の5分以内の実行割合「0.30」が抽出される。送信先アドレス別管理テーブル141eから、「To個人」の5分以内の実行割合「0.62」が抽出される。1日視点の実行割合管理テーブル141fから、実行時間「09:00〜10:00」の実行割合「0.13」が抽出される。1週間視点の実行割合管理テーブル141gから、実行曜日「月」の実行割合「0.17」が抽出される。1ヶ月視点の実行割合管理テーブル141hから、実行日「1日」の実行割合「0.05」が抽出される。抽出したすべての実行割合の乗算結果「0.24×0.63×0.42×0.30×0.62×0.13×0.17×0.05=0.000013」が、選択したユーザの危険レベルとなる。
[ステップS230]メール削除部150は、すべての送信先の危険レベルを計算したか否かを判断する。すべての送信先の危険レベルの計算が完了していれば、危険レベル計算処理が終了する。危険レベルを計算していない送信先があれば、処理がステップS221に進められる。
図20は、危険レベル順不正メール削除処理の手順の一例を示す図である。
[ステップS241]メール削除部150は、不正メールの送信先のユーザのリストを作成する。不正メールの送信先にメーリングリストが含まれている場合、展開後の個人アドレスがリストに登録される。
[ステップS243]メール削除部150は、危険レベルの高い順にユーザを選択する。例えばメール削除部150は、リスト内のユーザを危険レベルで降順にソートする。そしてメール削除部150は、ソート後の順番の上位から順に、ユーザを選択する。
[ステップS245]メール削除部150は、すべてのユーザの不正メールを削除したか否かを判断する。すべてのユーザの不正メールの削除が完了した場合、危険レベル順不正メール削除処理が終了する。不正メールを削除していないユーザがいる場合、処理がステップS243に進められる。
図21は、不正メール削除処理の手順の一例を示す図である。
[ステップS251]メール削除部150は、選択されたユーザが使用する端末装置に、不正メールがあるか否かを問い合わせる。例えばメール削除部150には、予め各ユーザが使用する端末装置の識別情報(IP(Internet Protocol)アドレスなど)が登録されているものとする。そしてメール削除部150は、不正メール検知データ72に含まれる、不正メールのメッセージIDを端末装置に送信し、同じメッセージIDを有するメールの有無を問い合わせる。端末装置は、自己の有するメールボックスから、受け取ったメッセージIDを有するメールを検索する。該当するメールがある場合、端末装置は、不正メールがある旨の応答を、メール削除部150に送信する。
次に第3の実施の形態について説明する。第3の実施の形態は、ユーザごとの危険レベルの計算方法を工夫し、より正確な危険レベルを算出できるようにするものである。
以上、実施の形態を例示したが、実施の形態で示した各部の構成は同様の機能を有する他のものに置換することができる。また、他の任意の構成物や工程が付加されてもよい。さらに、前述した実施の形態のうちの任意の2以上の構成(特徴)を組み合わせたものであってもよい。
2 メールセンサ
3a〜3c 端末装置
4 対象電子メール検知通知
10 メール処理サーバ
11 記憶部
11a 対応操作情報
11b 行動パターン情報
12 演算部
12a 優先度情報
13−1〜13−3 メールボックス
13a−1〜13a−3 電子メール
13b−1〜13b−3 不正メール
14 対処実行部
Claims (10)
- 複数のユーザそれぞれの、受信した電子メールに対応した操作履歴に関する対応操作情報を記憶する記憶部と、
対処すべき対象電子メールの検知に応じ、前記対象電子メールの送信先に含まれる複数の送信先ユーザそれぞれに、前記対応操作情報に基づき優先度を設定した、優先度情報を生成する演算部と、
を備えたメール処理サーバ。 - 前記優先度情報に基づき、前記対象電子メールに対する対処を行う対処実行部を、さらに備えたメール処理サーバ。
- 前記対処実行部は、優先度が高い送信先ユーザから順に、該送信先ユーザ宛ての電子メールを記憶するメールボックスから、前記対象電子メールを削除する請求項2記載のメール処理サーバ。
- 前記対処実行部は、優先度が高い送信先ユーザから順に、該送信先ユーザ宛てに、前記対象電子メールの検出を示すメッセージを送信する請求項2または3に記載のメール処理サーバ。
- 前記対処実行部は、優先度が高い送信先ユーザから順に、該送信先ユーザ宛ての前記対象電子メールが、対象ユーザが使用する端末装置にダウンロードされているか否かを調査し、ダウンロードされている場合、前記対処として、前記端末装置に対して、ダウンロードした前記対象電子メールの削除を指示する請求項2乃至4のいずれか1つに記載のメール処理サーバ。
- 前記演算部は、前記電子メールの受信から所定の行動を実行するまでの時間が短い送信先ユーザほど、前記優先度を高くする、
請求項1乃至5のいずれか1つに記載のメール処理サーバ。 - 前記行動情報には、前記電子メールの特徴を示す情報が含まれており、
前記演算部は、前記対象電子メールと共通する特徴を有する電子メールの受信から前記所定の行動を実行するまでの時間が短い送信先ユーザほど、前記優先度を高くする、
請求項6記載のメール処理サーバ。 - 前記演算部は、前記行動情報に基づいて、前記複数のユーザそれぞれについて、前記電子メールの複数の特徴ごとに、前記電子メールを受信してから所定時間以内に前記所定の行動を実行する割合を示す実行割合を算出し、前記対象電子メールが有する特徴について算出した実行割合に基づいて、前記複数の送信先ユーザそれぞれの優先度を決定する、
請求項7記載のメール処理サーバ。 - コンピュータが、
対処すべき対象電子メールの検知に応じ、前記対象電子メールの送信先に含まれる複数の送信先ユーザそれぞれに、複数のユーザそれぞれの、受信した電子メールに対応した操作履歴に関する対応操作情報に基づき優先度を設定した、優先度情報を生成する、
メール処理方法。 - コンピュータに、
対処すべき対象電子メールの検知に応じ、前記対象電子メールの送信先に含まれる複数の送信先ユーザそれぞれに、複数のユーザそれぞれの、受信した電子メールに対応した操作履歴に関する対応操作情報に基づき優先度を設定した、優先度情報を生成する、
処理を実行させるメール処理プログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015062661A JP6515621B2 (ja) | 2015-03-25 | 2015-03-25 | メール処理サーバ、メール処理方法、およびメール処理プログラム |
US15/066,031 US10050922B2 (en) | 2015-03-25 | 2016-03-10 | Server and method for processing email messages |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015062661A JP6515621B2 (ja) | 2015-03-25 | 2015-03-25 | メール処理サーバ、メール処理方法、およびメール処理プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016184187A true JP2016184187A (ja) | 2016-10-20 |
JP6515621B2 JP6515621B2 (ja) | 2019-05-22 |
Family
ID=56975898
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015062661A Expired - Fee Related JP6515621B2 (ja) | 2015-03-25 | 2015-03-25 | メール処理サーバ、メール処理方法、およびメール処理プログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US10050922B2 (ja) |
JP (1) | JP6515621B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110572311B (zh) * | 2019-08-09 | 2022-01-11 | 青岛海信移动通信技术股份有限公司 | 一种邮件下载的方法及终端 |
CN112232774B (zh) * | 2020-10-20 | 2022-09-09 | 国网河南省电力公司漯河供电公司 | 一种用于办公自动化***的账号清退与内存分配预测方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003333101A (ja) * | 2002-05-10 | 2003-11-21 | Oki Electric Ind Co Ltd | 記憶装置管理システム |
JP2004096355A (ja) * | 2002-08-30 | 2004-03-25 | Sharp Corp | メール送信サーバ、メール送信端末、メール送受信システム、およびメール送信方法 |
JP5449635B1 (ja) * | 2013-09-30 | 2014-03-19 | 楽天株式会社 | 電子メール送信設定装置、電子メール送信設定方法、電子メール送信設定装置用プログラム、および、記憶媒体 |
JP2014191494A (ja) * | 2013-03-26 | 2014-10-06 | Fujitsu Ltd | 警告情報制御プログラム、警告情報制御装置 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4682855B2 (ja) | 2006-01-30 | 2011-05-11 | 日本電気株式会社 | 不正サイトへの誘導防止システム、方法、プログラム、及び、メール受信装置 |
JP2008283380A (ja) | 2007-05-09 | 2008-11-20 | Nippon Telegr & Teleph Corp <Ntt> | 地震状況監視装置および地震状況監視方法 |
JP4942567B2 (ja) | 2007-07-03 | 2012-05-30 | 株式会社エヌ・ティ・ティ・ドコモ | 危険度通知システム、サーバ装置及び危険度通知方法 |
US8924497B2 (en) * | 2007-11-16 | 2014-12-30 | Hewlett-Packard Development Company, L.P. | Managing delivery of electronic messages |
US9684775B2 (en) * | 2014-10-15 | 2017-06-20 | Qualcomm Incorporated | Methods and systems for using behavioral analysis towards efficient continuous authentication |
US10326722B2 (en) * | 2015-03-16 | 2019-06-18 | International Business Machines Corporation | Auto clean-up of unused email rules |
US20170005954A1 (en) * | 2015-06-30 | 2017-01-05 | Vonage Network Llc | System and method for communication management through analysis of recipient behavior and/or contact relationships |
-
2015
- 2015-03-25 JP JP2015062661A patent/JP6515621B2/ja not_active Expired - Fee Related
-
2016
- 2016-03-10 US US15/066,031 patent/US10050922B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003333101A (ja) * | 2002-05-10 | 2003-11-21 | Oki Electric Ind Co Ltd | 記憶装置管理システム |
JP2004096355A (ja) * | 2002-08-30 | 2004-03-25 | Sharp Corp | メール送信サーバ、メール送信端末、メール送受信システム、およびメール送信方法 |
JP2014191494A (ja) * | 2013-03-26 | 2014-10-06 | Fujitsu Ltd | 警告情報制御プログラム、警告情報制御装置 |
JP5449635B1 (ja) * | 2013-09-30 | 2014-03-19 | 楽天株式会社 | 電子メール送信設定装置、電子メール送信設定方法、電子メール送信設定装置用プログラム、および、記憶媒体 |
Also Published As
Publication number | Publication date |
---|---|
US20160285811A1 (en) | 2016-09-29 |
US10050922B2 (en) | 2018-08-14 |
JP6515621B2 (ja) | 2019-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10181957B2 (en) | Systems and methods for detecting and/or handling targeted attacks in the email channel | |
US10616272B2 (en) | Dynamically detecting abnormalities in otherwise legitimate emails containing uniform resource locators (URLs) | |
Ho et al. | Detecting and characterizing lateral phishing at scale | |
US10243991B2 (en) | Methods and systems for generating dashboards for displaying threat insight information | |
US9787714B2 (en) | Phishing and threat detection and prevention | |
US8554847B2 (en) | Anti-spam profile clustering based on user behavior | |
EP2859495B1 (en) | Malicious message detection and processing | |
US20170244736A1 (en) | Method and system for mitigating malicious messages attacks | |
US20150381653A1 (en) | Malicious message detection and processing | |
US20090006532A1 (en) | Dynamic phishing protection in instant messaging | |
US20200125729A1 (en) | Online assets continuous monitoring and protection | |
US20210194899A1 (en) | Configurable cyber-attack trackers | |
JP6493606B1 (ja) | 情報処理装置、クライアント端末、制御方法、及びプログラム | |
JP6515621B2 (ja) | メール処理サーバ、メール処理方法、およびメール処理プログラム | |
US10445381B1 (en) | Systems and methods for categorizing electronic messages for compliance reviews | |
GB2550238A (en) | Safety determining apparatus and method | |
US11882131B1 (en) | Systems and methods for prioritizing URL review for sandboxing based on accelerated velocities of URL features in network traffic | |
EP3948609B1 (en) | Defanging malicious electronic files based on trusted user reporting | |
JP2018132823A (ja) | ポリシー設定装置、ポリシー設定方法およびポリシー設定プログラム | |
JP2024071136A (ja) | メール分析装置、メール分析システム、および、メール分析方法 | |
US20210014242A1 (en) | Protection against malicious attacks propagated via emails | |
Allen | Bug busters: easy ways to keep your computer virus-free.(Net//Working). |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180115 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181024 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181106 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181228 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190319 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190401 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6515621 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |