JP6040827B2 - Warning information control program, warning information control device - Google Patents

Warning information control program, warning information control device Download PDF

Info

Publication number
JP6040827B2
JP6040827B2 JP2013065044A JP2013065044A JP6040827B2 JP 6040827 B2 JP6040827 B2 JP 6040827B2 JP 2013065044 A JP2013065044 A JP 2013065044A JP 2013065044 A JP2013065044 A JP 2013065044A JP 6040827 B2 JP6040827 B2 JP 6040827B2
Authority
JP
Japan
Prior art keywords
mail
received
warning information
information control
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013065044A
Other languages
Japanese (ja)
Other versions
JP2014191494A (en
Inventor
剛陽 寺田
剛陽 寺田
正信 森永
正信 森永
悟 鳥居
悟 鳥居
津田 宏
宏 津田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2013065044A priority Critical patent/JP6040827B2/en
Publication of JP2014191494A publication Critical patent/JP2014191494A/en
Application granted granted Critical
Publication of JP6040827B2 publication Critical patent/JP6040827B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、警告情報制御プログラム、警告情報制御装置に関する。   The present invention relates to a warning information control program and a warning information control device.

近年、情報の価値の高まりに伴い、機密情報窃取及びシステム破壊を目的として、組織のITネットワークシステムを狙うサイバー攻撃が増加の一途をたどっている。サイバー攻撃においては、標的とする組織への侵入経路としてメールが使用されており、これらのメールは不特定多数を対象とする従来のスパムメールとは区別して、標的型メールと呼ばれる。   In recent years, with the increase in the value of information, cyber attacks targeting an organization's IT network system have been increasing for the purpose of stealing confidential information and destroying systems. In cyber attacks, emails are used as intrusion routes to target organizations, and these emails are called targeted emails, as distinguished from conventional spam emails targeting unspecified majority.

標的型メールは、標的となる組織の従業員の関係者等を装って、マルウェアが仕込まれた添付ファイルの開封やマルウェアへのURLへのアクセス等を行わせることにより、ネットワークシステムをマルウェアに感染させる。標的型メールは一見しただけでは正常なメールと区別が難しいため、標的型メールを防ぐために、メールチェッカー等によって安全性が疑わしいメールが抽出される。ユーザである従業員は、抽出されたメールに対して念入りに確認を行い、正常なメールであるか否かを判断する。   Targeted e-mails infect network systems by pretending to be employees of the target organization's employees, etc., opening attachments containing malware and accessing URLs to malware. Let Since it is difficult to distinguish target mail from normal mail at first glance, mail with questionable safety is extracted by a mail checker or the like to prevent target mail. The employee who is the user carefully checks the extracted mail and determines whether the mail is normal.

メールチェッカーを使用して不審なメールを抽出する技術として、信頼度の低い差出人から送信されたメールを受信したとき、ユーザに注意を促す技術が公開される(例えば、特許文献1、2)   As a technique for extracting a suspicious mail using a mail checker, a technique for alerting a user when receiving a mail sent from a sender with low reliability is disclosed (for example, Patent Documents 1 and 2).

特開2005-346716号公報JP 2005-346716 A 特開2012-59111号公報JP 2012-59111 A

しかしながら、組織の従業員の業務内容によっては、該従業員が受信するメールには、初めて受信する差出人からのメールも多く含まれる。前述したメールチェッカーは、初めて受信する差出人からのメールは安全性が疑わしいと判断してアラートを発生させる。これにより、初めて受信する差出人からのメールが多量の場合、注意が促されたメールのほとんどが正常なメールとなり得る。このような状態が継続すると、従業員は、メールチェッカーによって注意が促されたメールであっても正常なメールであると予測するようになり、メール内容の確認がおろそかになってしまう。   However, depending on the work contents of the employees of the organization, the mail received by the employee includes many mails from the sender who are received for the first time. The mail checker described above determines that the first mail received from the sender is suspicious and generates an alert. As a result, when a large amount of mails are received from the sender for the first time, most of the mails that have received attention can be normal mails. If such a state continues, the employee predicts that the mail is a normal mail even if the mail is cautioned by the mail checker, and the confirmation of the mail content is neglected.

また、攻撃型メールは、組織の従業員を騙って送信されることがある。このため、2回目以降に受信する差出人からのメールや、信頼の篤い差出人からのメールについても、メール内容の確認が必要となる。特に、信頼が篤く、警戒心が低下し易い差出人からのメール場合、事例に基づいたアドバイスが提供されていても、効果を発揮しないことがある。   In addition, an attack type email may be sent to an organization employee. For this reason, it is necessary to confirm the mail contents of mails sent from the second and subsequent senders and mails sent from highly reliable senders. In particular, in the case of an email from a sender who is highly reliable and whose alertness is likely to be lowered, even if advice based on cases is provided, the effect may not be exhibited.

そこで、1つの側面では、本発明では、より効果的に、不審メールに対する注意喚起を行う警告情報制御プログラム、警告情報制御装置を提供することにある。   Therefore, in one aspect, the present invention is to provide a warning information control program and a warning information control device that alerts a suspicious mail more effectively.

第1の側面は、メール受信時に、不審メールに対する警告情報を出力する警告情報制御処理をコンピュータに実行させるコンピュータ読み取り可能な警告情報制御プログラムであって、前記警告情報制御処理は、受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶工程と、前記記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した前記時間が短い前記送信元を検出する検出工程と、検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力工程と、を有する。   The first aspect is a computer-readable warning information control program that causes a computer to execute warning information control processing for outputting warning information for suspicious mail when receiving a mail, wherein the warning information control processing is performed on received mail. The received mail information storing step of measuring the time required for the confirmation process of the received mail, storing the measured time in association with the source of the received mail, and a distribution based on the stored plurality of received mails A detection step of detecting the transmission source having a shorter time stored than the reference value of 1, and a warning information output step of outputting the warning information upon reception of a mail from the detected transmission source.

第1の側面によれば、より効果的に、不審メールに対する注意喚起が行われる。   According to the 1st side, alerting with respect to a suspicious mail is performed more effectively.

本実施の形態例における警告情報制御装置のブロック図の一例を示す図である。It is a figure which shows an example of the block diagram of the warning information control apparatus in this Example. 本実施の形態例における警告情報の出力例について例示する図である。It is a figure which illustrates about the example of an output of warning information in this example of an embodiment. 本実施の形態例における警告情報制御装置の処理の概要を説明するフローチャート図である。It is a flowchart figure explaining the outline | summary of the process of the warning information control apparatus in this Embodiment. 警告情報制御装置のメール受信時の処理を説明するフローチャート図である。It is a flowchart figure explaining the process at the time of mail reception of a warning information control apparatus. 受信メールデータ収集処理について詳細に説明するフローチャート図である。It is a flowchart figure explaining a received mail data collection process in detail. 受信メール情報データテーブルの一例について説明する図である。It is a figure explaining an example of a received mail information data table. 用心深さ判定処理について説明するフローチャート図である。It is a flowchart figure explaining a precaution depth determination process. 標準化データに基づく統計データテーブルの一例を示す図である。It is a figure which shows an example of the statistical data table based on standardized data. 添付開封判断時間に基づく標準正規分布の一例を示す図である。It is a figure which shows an example of the standard normal distribution based on attachment opening determination time. Z検定、またはt検定に基づく統計データテーブルの一例を示す図である。It is a figure which shows an example of the statistical data table based on Z test or t test. Z検定、または、t検定における分布図の一例を示す図である。It is a figure which shows an example of the distribution map in Z test or t test. F検定に基づく統計データテーブルの一例を示す図である。It is a figure which shows an example of the statistical data table based on F test. F検定における分布図の一例を示す図である。It is a figure which shows an example of the distribution map in F test. 第2の実施の形態例における警告情報制御装置のブロック図を示す例図である。It is an example figure which shows the block diagram of the warning information control apparatus in 2nd Example. 一般的な受信確認画面DG2の一例を示す図である。It is a figure which shows an example of the general reception confirmation screen DG2. 第2の実施の形態例における警告情報の出力例について例示する図である。It is a figure illustrated about the example of an output of warning information in the 2nd example of an embodiment. 警告情報制御装置のメール受信時の処理を説明するフローチャート図である。It is a flowchart figure explaining the process at the time of mail reception of a warning information control apparatus. 受信メールデータ収集処理について詳細に説明するフローチャート図である。It is a flowchart figure explaining a received mail data collection process in detail. 第2の実施の形態例における受信メール情報データテーブルの一例について説明する図である。It is a figure explaining an example of the received mail information data table in the 2nd example of an embodiment. 用心深さ判定処理について説明するフローチャート図である。It is a flowchart figure explaining a precaution depth determination process. 本実施の形態例における警告情報制御装置の構成の一例を示す図である。It is a figure which shows an example of a structure of the warning information control apparatus in this Example.

以下、図面にしたがって本発明の実施の形態について説明する。ただし、本発明の技術的範囲はこれらの実施の形態に限定されず、特許請求の範囲に記載された事項とその均等物まで及ぶものである。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. However, the technical scope of the present invention is not limited to these embodiments, but extends to the matters described in the claims and equivalents thereof.

[第1の実施の形態例]
[警告情報制御装置の構成図]
図21は、本実施の形態例における警告情報制御装置10の構成の一例を示す図である。同図の警告情報制御装置10は、例えば、一般的なコンピュータである。警告情報制御装置10は、例えば、プロセッサ21、表示部22、入力部23、通信部24、メモリ25を有する。各部は、バス26を介して相互に接続される。 [First Embodiment]
[Configuration diagram of warning information control device]
FIG. 21 is a diagram illustrating an example of the configuration of the warning information control apparatus 10 in the present embodiment. The warning information control apparatus 10 in the figure is, for example, a general computer. The warning information control device 10 includes, for example, a processor 21, a display unit 22, an input unit 23, a communication unit 24, and a memory 25. Each unit is connected to each other via a bus 26.

図21において、表示部22は、例えば、コンピュータの液晶モニタ等を示し、入力部23は、キーボードやマウス等を示す。通信部24は、メールサーバ200との通信処理を制御する。また、同図の例において、RAM(Random Access Memory)等のメモリ25には、本実施の形態例における警告情報制御プログラムPR、及び、メーラープログラムMLが記憶される。プロセッサ21は、警告情報制御プログラムPRと協働して、本実施の形態例における警告情報制御処理を実現する。また、プロセッサ21は、メーラープログラムMLと協働して、メーラーの処理を実現する。なお、本実施の形態例における警告情報制御処理は、例えば、メールサーバ200とメーラープログラムMLとの間を仲介して動作する。   In FIG. 21, the display unit 22 indicates, for example, a liquid crystal monitor of a computer, and the input unit 23 indicates a keyboard, a mouse, and the like. The communication unit 24 controls communication processing with the mail server 200. Further, in the example of the figure, a memory 25 such as a RAM (Random Access Memory) stores the warning information control program PR and the mailer program ML in the present embodiment. The processor 21 implements the warning information control process in the present embodiment in cooperation with the warning information control program PR. Further, the processor 21 realizes mailer processing in cooperation with the mailer program ML. Note that the warning information control process in the present embodiment operates, for example, between the mail server 200 and the mailer program ML.

[警告情報制御装置のブロック図]
図1は、本実施の形態例における警告情報制御装置10のブロック図の一例を示す図である。警告情報制御装置10とメールサーバ200、警告情報制御装置10とメールソフト100とは、相互に通信可能である。なお、本実施の形態例において、警告情報制御装置10は、メールソフト100と同一の筐体に配置されるが、警告情報制御装置10は、メールサーバ200と同一の筐体に配置されてもよい。 [Block diagram of warning information control device]
FIG. 1 is a diagram illustrating an example of a block diagram of a warning information control apparatus 10 according to the present embodiment. The warning information control device 10 and the mail server 200, and the warning information control device 10 and the mail software 100 can communicate with each other. In this embodiment, the warning information control apparatus 10 is arranged in the same casing as the mail software 100, but the warning information control apparatus 10 may be arranged in the same casing as the mail server 200. Good.

警告情報制御装置10は、例えば、受信メールヘッダ情報管理手段11、メール開封確認手段13、添付ファイル開封確認手段14、時間計測手段16、用心深さ判定手段15、警告手段12、受信メール情報記憶装置17を有する。受信メールヘッダ情報管理手段11は、受信メールのヘッダ情報を記憶する。例えば、受信メールヘッダ情報管理手段11は、メールヘッダにおけるMessage-ID情報、From情報を、受信メール情報記憶装置17が有する受信メール情報データテーブルに格納する。Message−ID情報は、メールを特定するためのユニークな識別IDである。また、From情報は、受信メールの送信元のアドレス、即ち、差出人を示す。   The warning information control device 10 includes, for example, received mail header information management means 11, mail opening confirmation means 13, attached file opening confirmation means 14, time measurement means 16, precaution depth determination means 15, warning means 12, and received mail information storage. It has a device 17. The received mail header information management unit 11 stores received mail header information. For example, the received mail header information management unit 11 stores Message-ID information and From information in the mail header in the received mail information data table of the received mail information storage device 17. Message-ID information is a unique identification ID for identifying a mail. The From information indicates the address of the sender of the received mail, that is, the sender.

また、メール開封確認手段13は、受信メールをメールソフト100に回送する前に、メールヘッダに、Disposition-Notification-To情報を付加する。Disposition-Notification-To情報は、開封確認の返送先の開封確認用アドレスを示す。また、メール開封確認手段13は、受信メールが開封されたときに送信される開封確認メールの送信日時を記録する。   Further, the mail opening confirmation means 13 adds Disposition-Notification-To information to the mail header before forwarding the received mail to the mail software 100. The Disposition-Notification-To information indicates an opening confirmation address as a return destination of the opening confirmation. Further, the mail opening confirmation means 13 records the transmission date and time of the opening confirmation mail transmitted when the received mail is opened.

また、添付ファイル開封確認手段14は、添付開封判断時間を計測するために、受信メールをメールソフト100に回送する前に、添付ファイルの切り離し処理を行う。具体的に、添付ファイル開封確認手段14は、受信メールから添付ファイルを切り離し、警告情報制御装置10におけるwebサーバに保存すると共に、添付ファイルにアクセスするためのwebサーバにおけるURLをメール本文に付与する。そして、添付ファイル開封確認手段14は、分離した添付ファイルのURLを、Message-ID情報及びFrom情報に紐付けて、受信メール情報データテーブルに記憶する。そして、ユーザがメール本文におけるURLにアクセスすると、添付ファイル開封確認手段14は、アクセス時刻を、添付ファイル開封時刻として、受信メール情報データテーブルに記録する。   Also, the attached file opening confirmation means 14 performs attachment file separation processing before forwarding the received mail to the mail software 100 in order to measure the attachment opening determination time. Specifically, the attached file opening confirmation unit 14 separates the attached file from the received mail, saves it in the web server in the warning information control apparatus 10, and assigns the URL in the web server for accessing the attached file to the mail body. . Then, the attached file opening confirmation unit 14 associates the URL of the separated attached file with the Message-ID information and the From information and stores them in the received mail information data table. When the user accesses the URL in the mail text, the attached file opening confirmation unit 14 records the access time in the received mail information data table as the attached file opening time.

また、時間計測手段16は、メールソフト100において、ユーザが受信メールを開封してから当該受信メールの添付ファイルを開封するまでの時間を、添付開封判断時間として算出する。また、用心深さ判定手段15は、差出人ごとに仕分けされた受信メールについて、添付開封判断時間の統計量を計算する。そして、用心深さ判定手段15は、判定対象の差出人の統計量と、他の差出人の統計量とを比較し、判定対象の差出人の用心深さが低下しているか否かを判定する。   Further, the time measuring means 16 calculates the time from when the user opens the received mail until the user opens the attached file of the received mail as the attached opening determination time in the mail software 100. Further, the precautionary depth determination means 15 calculates the statistical amount of the attachment opening determination time for the received mail sorted for each sender. Then, the vigilance depth determination means 15 compares the statistics of the sender to be determined with the statistics of other senders, and determines whether the cautious depth of the sender to be determined has decreased.

警告手段12は、メールソフト100において、用心深さが低下している差出人からメールを受信したときに、警告情報を出力する。また、受信メール情報記憶装置17は、メールサーバ200からの受信メールの情報を格納する受信メール情報データテーブル、及び、差出人ごとの受信メールの統計量を格納する統計データテーブルを記憶する。受信メール情報記憶装置17は、例えば、ROM/RAM等のメモリである。   The warning means 12 outputs warning information when the mail software 100 receives a mail from a sender whose alertness is low. The received mail information storage device 17 also stores a received mail information data table that stores information on received mail from the mail server 200 and a statistical data table that stores received mail statistics for each sender. The received mail information storage device 17 is a memory such as a ROM / RAM, for example.

本実施の形態例における警告情報制御装置10は、例えば、警告情報制御装置10の各手段が実装された警告情報制御プログラムによって実現される。警告情報制御プログラムは、ROM等のメモリに記憶され、プロセッサと協働することによって、警告情報制御処理が実現される。   The warning information control apparatus 10 in the present embodiment is realized by, for example, a warning information control program in which each unit of the warning information control apparatus 10 is mounted. The warning information control program is stored in a memory such as a ROM, and a warning information control process is realized by cooperating with the processor.

[警告情報の出力]
図2は、本実施の形態例における警告情報の出力例について例示する図である。例えば、警告情報制御装置10の警告手段12は、メールソフト100において、用心深さが低下している差出人からのメールを受信するときに、同図のようなダイアログDG1をポップアップ表示する。ダイアログDG1には、例えば、差出人からの受信メールに対して、用心深さ、即ち、慎重さが低下している旨の警告情報が表示される。ダイアログDG1は、例えば、ユーザがOKボタンを押下すると終了する。なお、警告情報は、音声等によって出力されてもよい。 [Output warning information]
FIG. 2 is a diagram illustrating an example of warning information output in the present embodiment. For example, the warning means 12 of the warning information control apparatus 10 pops up a dialog DG1 as shown in the figure when the mail software 100 receives a mail from a sender whose alertness is low. In the dialog DG1, for example, warning information indicating that the alertness, that is, the cautiousness of the received mail from the sender is reduced is displayed. The dialog DG1 ends when the user presses the OK button, for example. The warning information may be output by voice or the like.

ユーザは、図2のような警告情報を認識することにより、受信しようとしているメールの差出人について、用心深さが低下していることを検知可能になる。これにより、ユーザは、たとえ、信頼できる差出人からの受信メールであったとしても、添付ファイルにアクセスしても安全か否かを十分に時間をかけて確認するようになる。これにより、信頼できる差出人を騙る標的型メールを受信した場合、十分な確認が行われることなく添付ファイルが開封されてしまい、問題が生じることが回避される。   By recognizing the warning information as shown in FIG. 2, the user can detect that the alertness is lowered with respect to the sender of the mail to be received. As a result, even if the received mail is from a reliable sender, the user can check whether it is safe to access the attached file over time. As a result, when a target mail addressing a reliable sender is received, the attached file is opened without sufficient confirmation, thereby avoiding a problem.

続いて、本実施の形態例における警告情報制御装置10の処理について、フローチャート図に基づいて説明する。   Next, processing of the warning information control apparatus 10 in the present embodiment will be described based on a flowchart.

[フローチャート図]
図3は、本実施の形態例における警告情報制御装置10の処理の概要を説明するフローチャート図である。本実施の形態例における警告情報制御装置10は、警告情報提示処理工程(S100)の一部として、受信メールデータ収集処理工程(S12)を行う。そして、警告情報制御装置10は、用心深さが低下した送信元の判定処理として、収集した受信メール情報に基づいて用心深さが低下している送信元を検出する(S200)。用心深さが低下した送信元の判定処理(S200)は、例えば、定期的に行われる。用心深さが低下そた送信元の判定処理は、例えば、営業日の毎朝10時に行われる。 [Flowchart diagram]
FIG. 3 is a flowchart for explaining an outline of the processing of the warning information control apparatus 10 in the present embodiment. The warning information control apparatus 10 in the present embodiment performs the received mail data collection processing step (S12) as part of the warning information presentation processing step (S100). Then, the warning information control apparatus 10 detects a transmission source whose cautious depth is reduced based on the collected received mail information, as a determination process of the transmission source whose cautious depth is reduced (S200). For example, the transmission source determination process (S200) in which the precautionary depth is lowered is periodically performed. For example, the transmission source determination process in which the alertness is lowered is performed every morning at 10:00 on business days.

[メール受信時のフローチャート]
図4は、メールサーバ200からのメールを受信したときの、警告情報制御装置10の処理について説明するフローチャート図である。この処理は、メールサーバ200からメール受信時、当該メールがメールソフト100に回送される前に行われる。また、同図のフローチャート図に示される処理は、図3のフローチャート図における工程S100に含まれる。 [Flow chart when receiving mail]
FIG. 4 is a flowchart for explaining processing of the warning information control apparatus 10 when a mail from the mail server 200 is received. This process is performed before mail is sent to the mail software 100 when mail is received from the mail server 200. Further, the processing shown in the flowchart of FIG. 3 is included in step S100 in the flowchart of FIG.

警告情報制御装置10は、メールサーバ200からメールを受信すると、受信メールが添付ファイルを有するメールか否かを判定する(S11)。受信メールが添付ファイルを有する場合(S11のYES)、警告情報制御装置10は、続いて、受信メールデータ収集処理を行う(S12)。警告情報制御装置10は、具体的に、受信メールの情報を収集し、受信メール情報データテーブルに記憶する。処理の詳細については後述する。これにより、添付ファイルを有する受信メールそれぞれについて、受信メールの情報が受信メール情報データテーブルに記憶される。   When receiving the mail from the mail server 200, the warning information control apparatus 10 determines whether the received mail is a mail having an attached file (S11). If the received mail has an attached file (YES in S11), the warning information control apparatus 10 subsequently performs received mail data collection processing (S12). Specifically, the warning information control apparatus 10 collects information on received mail and stores it in the received mail information data table. Details of the processing will be described later. Thereby, for each received mail having an attached file, the received mail information is stored in the received mail information data table.

続いて、警告情報制御装置10は、受信メール情報データテーブルに基づいて生成された統計データテーブルを参照する(S13)。統計データテーブルは、図3のフローチャート図における用心深さ判定処理(図3のS200)によって生成される。統計データテーブルの生成処理の詳細については、後述する。そして、警告情報制御装置10は、受信メールの差出人が、統計量のデータテーブルにおいて用心深さが低下していると判定された差出人に当たるか否かを判定する(S14)。用心深さの低下している差出人に当たる場合(S14のYES)、警告情報制御装置10は、図2で例示するような、当該差出人からの受信メールに対する用心深さが低下している旨の警告情報を表示する(S15)。   Subsequently, the warning information control apparatus 10 refers to the statistical data table generated based on the received mail information data table (S13). The statistical data table is generated by a precaution depth determination process (S200 in FIG. 3) in the flowchart of FIG. Details of the statistical data table generation processing will be described later. Then, the warning information control apparatus 10 determines whether or not the sender of the received mail corresponds to the sender determined that the alertness is reduced in the statistics data table (S14). In the case of a sender having a reduced alertness (YES in S14), the warning information control device 10 warns that the alertness to the received mail from the sender is reduced, as illustrated in FIG. Information is displayed (S15).

[受信メールデータ収集処理のフローチャート]
図5は、受信メールデータ収集処理について詳細に説明するフローチャート図である。同図のフローチャートの処理は、図4のフローチャート図における工程S12に該当する。警告情報制御装置10の受信メールヘッダ情報管理手段11は、受信メールのメールヘッダ情報を記録する(S21)。具体的に、受信メールヘッダ情報管理手段11は、メールのメールヘッダのうち、Message−ID情報及びFrom情報を、受信メール情報データテーブルに記憶する。ただし、受信メールヘッダ情報管理手段11は、From情報のみを記憶してもよく、各受信メールの情報が識別可能に記憶されれば、必ずしもMessage−ID情報が記憶される必要はない。 [Received mail data collection process flowchart]
FIG. 5 is a flowchart for explaining the received mail data collection process in detail. The process of the flowchart of FIG. 4 corresponds to step S12 in the flowchart of FIG. The received mail header information management means 11 of the warning information control device 10 records the mail header information of the received mail (S21). Specifically, the received mail header information management unit 11 stores Message-ID information and From information in the mail header of the mail in the received mail information data table. However, the received mail header information management unit 11 may store only the From information, and if the information of each received mail is stored so as to be identifiable, the Message-ID information is not necessarily stored.

続いて、警告情報制御装置10のメール開封確認手段13は、メールヘッダに、開封確認メールの受信用のヘッダ情報を付与する(S22)。具体的に、メール開封確認手段13は、受信メールのヘッダ情報に、警告情報制御装置10における開封確認用アドレスを指すDisposition-Notification-To情報を付与する。これにより、メールソフト100上でユーザがメールを開封したとき、警告情報制御装置10における開封確認用アドレスに、開封確認メールが送信される。   Subsequently, the mail opening confirmation unit 13 of the warning information control apparatus 10 adds header information for receiving an opening confirmation mail to the mail header (S22). Specifically, the mail opening confirmation unit 13 adds Disposition-Notification-To information indicating the opening confirmation address in the warning information control apparatus 10 to the header information of the received mail. Thereby, when the user opens the mail on the mail software 100, the opening confirmation mail is transmitted to the opening confirmation address in the warning information control apparatus 10.

次に、警告情報制御装置10の添付ファイル開封確認手段14は、メールから添付ファイルを分離し、分離した添付ファイルを、警告情報制御装置10における添付ファイル保存用のwebサーバに記憶する(S23)。このとき、添付ファイル開封確認手段14は、webサーバから添付ファイルのダウンロードを指示するURLをメール本文に付与すると共に(S24)、URLを受信メール情報データテーブルに記憶する(S25)。これにより、ユーザは、URLにアクセスすることによって、受信メールの添付ファイルをダウンロード可能になる。ウィルスによっては、ウィルスを有する添付ファイルのダウンロードによって感染が生じる。このため、この例において、例えば、添付ファイルのオープン時刻ではなく、添付ファイルへのアクセス時刻、即ち、ダウンロード時刻が、添付ファイル開封時刻とみなされる。   Next, the attached file opening confirmation means 14 of the warning information control device 10 separates the attached file from the mail, and stores the separated attached file in the web server for saving the attached file in the warning information control device 10 (S23). . At this time, the attached file opening confirmation means 14 adds a URL instructing download of the attached file from the web server to the mail body (S24), and stores the URL in the received mail information data table (S25). Thereby, the user can download the attached file of the received mail by accessing the URL. Depending on the virus, infection is caused by the download of an attached file containing the virus. For this reason, in this example, for example, the access time to the attached file, that is, the download time, not the open time of the attached file, is regarded as the attached file opening time.

続いて、警告情報制御装置10は、メールサーバ200から受信したメールを、ユーザのメールソフト100に回送する(S26)。そして、ユーザが、メールソフト100上でメールの受信を行い、メールを開封すると(S27のYES)、メールヘッダに付与されたDisposition-Notification-To情報に基づいて、警告情報制御装置10のメール開封確認手段13に開封確認メールが発送される。開封確認メールを受信すると、メール開封確認手段13は、開封確認メールの発送時刻を、メール開封時刻として受信メール情報データテーブルに記憶する(S28)。   Subsequently, the warning information control apparatus 10 forwards the mail received from the mail server 200 to the user's mail software 100 (S26). When the user receives the mail on the mail software 100 and opens the mail (YES in S27), the mail of the warning information control device 10 is opened based on the Disposition-Notification-To information given to the mail header. An opening confirmation mail is sent to the confirmation means 13. When the opening confirmation mail is received, the mail opening confirmation means 13 stores the shipping time of the opening confirmation mail in the received mail information data table as the mail opening time (S28).

また、メールの本文に付与された添付ファイルのダウンロードを指示するURLが、ユーザによってアクセスされると(S29のYES)、警告情報制御装置10の添付ファイル開封確認手段14は、アクセスが発生した時刻を、添付ファイル開封時刻として受信メール情報データテーブルに記憶する(S30)。また、このとき、警告情報制御装置10の時間計測手段16は、メール開封時刻と添付ファイル開封時刻とに基づいて添付開封判断時間を算出し、受信メール情報データテーブルに記憶する。具体的に、時間計測手段16は、添付ファイル開封時刻からメール開封時刻を減算して、添付開封判断時間を算出する。   When the URL for instructing the download of the attached file attached to the body of the mail is accessed by the user (YES in S29), the attached file opening confirmation unit 14 of the warning information control device 10 determines the time when the access occurred. Is stored in the received mail information data table as the attached file opening time (S30). At this time, the time measuring means 16 of the warning information control device 10 calculates the attachment opening determination time based on the mail opening time and the attachment file opening time, and stores it in the received mail information data table. Specifically, the time measurement means 16 subtracts the mail opening time from the attached file opening time to calculate the attached opening determination time.

続いて、警告情報制御装置10は、添付開封判断時間の外れ値判定を行う(S31)。添付開封判断時間が、予め設定された外れ値を超える場合、警告情報制御装置10は、対応する受信メールの情報を統計量の算出対象外とする。具体的に、警告情報制御装置10は、例えば、受信メール情報データテーブルにおいて、添付開封判断時間が外れ値を超える受信メールの外れ値判定フラグを、外れ値を超えていることを示す値×に設定する。この例において、外れ値は、例えば300秒に設定される。続いて、外れ値について説明する。   Subsequently, the warning information control apparatus 10 performs outlier determination of the attached opening determination time (S31). When the attached opening determination time exceeds a preset outlier, the warning information control device 10 excludes the information of the corresponding received mail from the statistical amount calculation target. Specifically, for example, the warning information control apparatus 10 sets the outlier determination flag of the received mail whose attachment opening determination time exceeds the outlier in the received mail information data table to a value x indicating that the outlier is exceeded. Set. In this example, the outlier is set to 300 seconds, for example. Next, outliers will be described.

[外れ値]
外れ値とは、統計量の算出の対象とする添付開封判断時間の範囲を示す閾値である。前述したとおり、添付開封判断時間は、メールを開封し添付ファイルにアクセスするまでの時間を示す。本実施の形態例では、メールの開封と添付ファイルへのアクセスが一連の流れで行われる場合における添付開封判断時間を統計の対象とする。そこで、メールの開封と添付ファイルへのアクセスが一連の流れで行われない場合における添付開封判断時間が、外れ値に基づいて除外される。 [Outlier]
An outlier is a threshold value that indicates the range of attachment opening determination time that is a target for calculating a statistic. As described above, the attachment opening determination time indicates the time until the mail is opened and the attached file is accessed. In this embodiment, the attachment opening determination time in the case where the opening of the mail and the access to the attached file are performed in a series of flows is the object of statistics. Therefore, the attachment opening determination time when the opening of the mail and the access to the attached file are not performed in a series of flows is excluded based on the outlier.

具体的に、受信メールによっては、受信者にとってメールが緊急性を有しないメールである場合、メールの内容についてのみ確認が行われ、添付ファイルの開封処理は後から別のタイミングで行われることがある。このような場合における添付開封判断時間は、添付ファイルの開封判断に要した時間を示さない。即ち、メールの開封と添付ファイルへのアクセスが別の場面で行われる受信メールの添付開封判断時間は、用心深さを判定するためのデータとしての意味をなさない。   Specifically, depending on the received e-mail, if the e-mail is not urgent for the recipient, only the content of the e-mail is checked, and the attached file opening process may be performed later at another timing. is there. The attachment opening determination time in such a case does not indicate the time required for opening determination of the attached file. That is, the attachment mail open / close determination time in which the opening of the mail and the access to the attached file are performed in different situations does not make sense as data for determining the precaution.

そこで、添付開封判断時間が大幅に長いメールの添付開封判断時間は、添付ファイルの開封判断に要した時間を示さないとみなされ、統計の対象外とされる。即ち、閾値である外れ値を超える添付開封判断時間は、用心深さの判定のための統計の対象外とされる。これにより、ユーザがメールの開封後、メール内容の確認作業以外の作業を行うような場合における添付開封判断時間は、用心深さの判定のための統計データの対象外とされる。   Therefore, the attachment opening determination time of an email with a significantly long attachment opening determination time is regarded as not indicating the time required for opening determination of the attached file, and is excluded from statistics. In other words, the attachment opening determination time exceeding the threshold outlier is excluded from the statistics for determining the precautionary depth. As a result, the attachment opening determination time when the user performs an operation other than the operation of checking the mail contents after opening the mail is excluded from the statistical data for determining the precautionary depth.

このように、本実施の形態例において、添付開封判断時間が外れ値以内である受信メールの情報に基づいて、用心深さの判定処理が行われる。これにより、受信メールの確認処理に要する時間としての意味を為す添付開封判断時間の統計に基づいて用心深さの判定が行われることにより、判定の精度が高まり、用心深さが低下している差出人が的確に検出される。   As described above, in this embodiment, the precaution determination process is performed based on the received mail information whose attachment opening determination time is within an outlier. As a result, the determination of the depth of caution is performed based on the statistics of the attached opening determination time that makes sense as the time required for the confirmation process of the received mail, so that the accuracy of the determination is increased and the caution depth is decreased. The sender is accurately detected.

続いて、受信メール情報データテーブルについて説明する。   Next, the received mail information data table will be described.

[受信メール情報データテーブル]
図6は、受信メール情報データテーブルTB1−1の一例について説明する図である。同図の受信メール情報データテーブルTB1−1は、例えば、Message−ID情報、差出人メールアドレスを示すFrom情報、添付ファイルの有無、添付ファイル格納URL、メール開封時刻、添付ファイル開封時刻、添付開封判断時間、添付開封フラグ、外れ値判定フラグを有する。外れ値判定フラグは、添付開封判断時間が外れ値を超えるか否かを示すフラグである。外れ値判定フラグが○の場合、添付開封判断時間が外れ値を超えないことを示す。 [Received mail information data table]
FIG. 6 is a diagram for explaining an example of the received mail information data table TB1-1. The received mail information data table TB1-1 shown in the figure includes, for example, Message-ID information, From information indicating a sender mail address, presence / absence of an attached file, attached file storage URL, mail opening time, attached file opening time, attached opening determination It has a time, an attached opening flag, and an outlier determination flag. The outlier determination flag is a flag indicating whether or not the attached opening determination time exceeds an outlier. When the outlier determination flag is ◯, it indicates that the attached opening determination time does not exceed the outlier.

図6の受信メール情報データテーブルTB1−1において、Message−ID情報は簡易的に表されているが、実際には、Message−ID情報は、送信日付、時刻、送信元メールサーバのドメイン等の情報に基づいて生成される。同図の例において、例えば、Message−ID情報「1」の受信メールについて、メール開封時刻は2012/01/23 14:56:01であって、添付ファイル開封時刻は、2012/01/23 14:58:23である。このため、Message−ID情報「1」の受信メールの添付開封判断時間は、142(=14:58:23−14:56:01)秒である。この場合、添付開封判断時間は外れ値300秒以内であることから、外れ値判定フラグは○に設定される。また、添付ファイルが開封されていることにより、添付開封フラグは○に設定される。   In the received mail information data table TB1-1 in FIG. 6, the Message-ID information is simply expressed. However, actually, the Message-ID information includes the transmission date, time, the domain of the transmission source mail server, and the like. Generated based on information. In the example shown in the figure, for example, for a received mail with Message-ID information “1”, the mail opening time is 2012/01/23 14:56:01, and the attached file opening time is 2012/01/23 14. : 58: 23. For this reason, the attachment opening determination time of the received mail of Message-ID information “1” is 142 (= 14: 58: 23-14: 56: 01) seconds. In this case, since the attached opening determination time is within 300 seconds, the outlier determination flag is set to “◯”. Further, since the attached file is opened, the attached opening flag is set to “◯”.

図6の例における受信メール情報データテーブルTB1−1は、添付ファイルを有する受信メールの情報を保持する。ただし、受信メール情報データテーブルTB1−1は、添付ファイルを有しない受信メールの情報についても保持してよい。全ての受信メールの情報を有する場合、受信メール情報データテーブルTB1−1は、例えば、添付ファイルの有無を示すフラグを有し、添付ファイルの有無を識別可能にする。   The received mail information data table TB1-1 in the example of FIG. 6 holds information on received mail having an attached file. However, the received mail information data table TB1-1 may also hold information on received mail that does not have an attached file. In a case where all received mail information is included, the received mail information data table TB1-1 includes, for example, a flag indicating the presence / absence of an attached file so that the presence / absence of the attached file can be identified.

続いて、図3のフローチャート図における用心深さ判定処理について説明する。警告情報制御装置10の用心深さ判定手段15は、図6に示したような受信メール情報データテーブルTB1−1に基づいて、統計データテーブルを生成する。   Next, a precaution depth determination process in the flowchart of FIG. 3 will be described. The vigilance depth determination means 15 of the warning information control device 10 generates a statistical data table based on the received mail information data table TB1-1 as shown in FIG.

[用心深さ判定処理のフローチャート図]
図7は、用心深さ判定処理について説明するフローチャート図である。用心深さ判定手段15は、所定の日時に達すると、受信メール情報データテーブルを参照して、所定の日数分の情報を取得する(S41)。所定の日数分の情報とは、例えば、直近の1カ月に受信したメールの情報である。例えば、直近の1カ月に受信したメールの情報に基づくことにより、最近の期間において、用心深さが低下している差出人が検出可能になる。または、用心深さ判定処理は、例えば、直近の100通の受信メールの情報に基づいてもよい。 [Flowchart of precaution depth determination processing]
FIG. 7 is a flowchart for explaining the precaution depth determination process. When the predetermined date and time is reached, the precautionary depth determination means 15 refers to the received mail information data table and acquires information for a predetermined number of days (S41). The information for a predetermined number of days is, for example, information on mail received in the most recent month. For example, based on the information of the mail received in the most recent month, it is possible to detect a sender whose alertness has decreased in the recent period. Alternatively, the precautionary depth determination process may be based on, for example, information on the latest 100 received mails.

続いて、用心深さ判定手段15は、取得した添付開封判断時間を、差出人ごとに分類する(S42)。そして、用心深さ判定手段15は、差出人ごとに分類した添付開封判断時間の情報に基づいて、統計量を算出し、統計データテーブルに記憶する(S43)。そして、統計に基づいて、ある差出人の添付開封判断時間が、他の差出人からの受信メール、または、全ての差出人からの受信メールに対して、顕著に短いと判定される場合に、用心深さが低下している差出人として判定される。または、統計に基づいて、ある差出人の添付開封判断時間のばらつき度合いが、他の差出人からの受信メール、または、全ての差出人からの受信メールに対して、顕著に小さいと判定される場合に、用心深さが低下している差出人として判定される。   Subsequently, the vigilance depth determination unit 15 classifies the acquired attachment opening determination time for each sender (S42). Then, the vigilance depth determination means 15 calculates a statistic based on the information on the attachment opening determination time classified for each sender, and stores it in the statistical data table (S43). Then, based on the statistics, if it is determined that the attachment opening time of a certain sender is significantly shorter than the received mail from other senders or the received mail from all senders, Is judged as a sender who has declined. Or, based on statistics, when it is determined that the variation of the attachment opening determination time of a certain sender is significantly smaller than the received mail from other senders or the received mail from all senders, Judged as a sender whose cautious depth has decreased.

続いて、添付開封判断時間の統計量の算出処理について具体的に説明する。本実施の形態例では、添付開封判断時間の標準化データに基づく統計、Z検定及びt検定に基づく統計、F検定に基づく統計について、順次説明する。まず、標準化データに基づく統計について説明する。   Subsequently, the calculation process of the statistical amount of the attachment opening determination time will be specifically described. In this embodiment, statistics based on standardized data of attached opening determination time, statistics based on Z test and t test, and statistics based on F test will be described in order. First, statistics based on standardized data will be described.

[標準化データによる統計]
図8は、標準化データに基づく統計データテーブルTB2−1の一例を示す図である。同図の統計データテーブルTB2−1は、メールの差出人ごと、及び、全ての差出人について、添付開封判断時間の平均値(秒)、及び、標本標準偏差の値を有する。また、同図の統計データテーブルTB2−1は、全ての差出人からの受信メールに基づく標本標準偏差値0.6、標準化データ値z、判定値を有する。判定値は、差出人が用心深さが低下している差出人であるか否かを示す。判定値が異常を示す場合、差出人の用心深さが低下していることを示す。 [Statistics based on standardized data]
FIG. 8 is a diagram illustrating an example of the statistical data table TB2-1 based on the standardized data. The statistical data table TB2-1 in FIG. 6 includes the average value (seconds) of attachment opening determination time and the value of the sample standard deviation for each mail sender and for all senders. Further, the statistical data table TB2-1 in the figure has a sample standard deviation value 0.6 based on received mails from all senders, a standardized data value z, and a judgment value. The determination value indicates whether or not the sender is a sender whose cautious depth is reduced. If the judgment value indicates an abnormality, it indicates that the sender's precautionary depth is reduced.

なお、統計量の元となるデータは、添付ファイルが開封済みであって、添付開封判断時間が外れ値を超えない受信メールの情報である。即ち、受信メール情報データテーブルTB1−1において、添付開封判断時間を有し、外れ値判定フラグが○を示す情報に基づいて、統計量が算出される。   Note that the data that is the basis of the statistic is information on a received mail in which the attached file has been opened and the attached opening determination time does not exceed the outlier. That is, in the received mail information data table TB1-1, the statistic is calculated based on the information that has the attachment opening determination time and the outlier determination flag indicates ◯.

続いて、統計量の算出処理の流れについて説明する。用心深さ判定手段15は、まず、全ての差出人からの受信メールにおける添付開封判断時間の平均値m(秒)、及び、判定対象の差出人からの受信メールにおける添付開封判断時間の平均値x(秒)を算出する。また、用心深さ判定手段15は、全ての差出人からの受信メールの添付開封判断時間に基づく標準偏差値sを算出する。この例において、標準偏差値sは、値0.6である。   Next, the flow of the statistic calculation process will be described. The precautionary determination unit 15 first determines an average value m (seconds) of attachment opening determination time in received mails from all senders, and an average value x (of attachment opening determination times in received mails from the determination target senders). Seconds). Moreover, the precaution depth determination means 15 calculates a standard deviation value s based on attachment opening determination times of received mails from all senders. In this example, the standard deviation value s is the value 0.6.

次に、用心深さ判定手段15は、全ての差出人、それぞれの差出人について添付開封判断時間の平均値m、x(秒)、及び、標準偏差値0.6に基づいて、標準化データ値zを算出する。具体的に、標準化データ値zは、数式「z=(x−m)/s」に基づいて算出される。数式によって、全ての差出人からの受信メールにおける添付開封判断時間に基づく標準正規分布における、判定対象の差出人からの受信メールにおける添付開封判断時間の平均値の分布位置が算出される。   Next, the precaution depth determination means 15 calculates the standardized data value z based on the average value m, x (seconds) of the attached opening determination time for each sender, and the standard deviation value 0.6 for each sender. calculate. Specifically, the standardized data value z is calculated based on the formula “z = (x−m) / s”. The distribution position of the average value of the attachment opening determination time in the received mail from the sender to be determined in the standard normal distribution based on the attachment opening determination time in the received mail from all senders is calculated by the mathematical formula.

[標準正規分布図]
図9は、全ての差出人が受信メールにおける添付開封判断時間に基づく標準正規分布の一例を示す図である。同図において、中央の値X0は0を、値X1は−標本標準偏差値(この例では−0.6)を、値X2は+標本標準偏差値(この例では+0.6)を示す。このため、矢印EX1で示される範囲内の分布は、全ての差出人からの受信メールにおける約68%に当たる。また、値X0は全ての差出人からの受信メールにおける添付開封判断時間の平均値m(この例では3秒)に対応する。 [Standard Normal Distribution Map]
FIG. 9 is a diagram illustrating an example of a standard normal distribution based on the attachment opening determination time in the received mail by all senders. In the figure, the central value X0 indicates 0, the value X1 indicates a -sample standard deviation value (-0.6 in this example), and the value X2 indicates a + sample standard deviation value (+0.6 in this example). For this reason, the distribution within the range indicated by the arrow EX1 corresponds to about 68% in the received mail from all senders. The value X0 corresponds to the average value m (3 seconds in this example) of the attachment opening determination time in the received mails from all senders.

図9の表P1に示されるとおり、数式「z=(x−m)/s」に基づいて算出される判定対象の差出人の標準化データ値zが値0の場合、判定対象の差出人からの受信メールの添付開封時間の平均値が、全ての差出人からの受信メールにおける添付開封判断時間と同一であることを示す。また、標準化データ値zが値−1以上、且つ、値1以下である場合、判定対象の差出人からの受信メールの添付開封時間の平均値が、±標本標準偏差値s範囲内に含まれることを示す。   As shown in the table P1 of FIG. 9, when the standardized data value z of the sender to be calculated calculated based on the formula “z = (x−m) / s” is 0, the reception from the sender to be determined It shows that the average value of the mail attachment opening time is the same as the attachment opening judgment time in the received mails from all senders. In addition, when the standardized data value z is not less than the value -1 and not more than the value 1, the average value of the attachment opening time of the received mail from the sender to be determined should be included in the ± sample standard deviation value s range. Indicates.

一方、標準化データ値zが、値−1を下回る場合、全ての差出人からの受信メールにおける添付開封判断時間に基づく分布において、判定対象の差出人からの受信メールの添付開封時間の平均値が、顕著に短い場合を示す。図9の分布図において、標準化データ値zが値−1を下回る場合、矢印EX2で示される分布範囲に対応することを示す。即ち、判定対象の差出人からの受信メールの添付開封時間の平均値が、全ての差出人からの受信メールにおける添付開封判断時間に基づく分布における下位16%の分布範囲に対応することを意味する。これにより、判定対象の差出人からの受信メールについて、ユーザの用心深さが低下しているものとみなされる。そこで、図8の統計データテーブルにおいて、異常と設定される。   On the other hand, when the standardized data value z is less than the value -1, the average value of the attachment opening times of the received mails from the senders to be determined is remarkable in the distribution based on the attachment opening judgment times in the received mails from all the senders. Shows the short case. In the distribution diagram of FIG. 9, when the standardized data value z is less than the value −1, it indicates that it corresponds to the distribution range indicated by the arrow EX2. That is, it means that the average value of the attachment opening times of the received mails from the senders to be determined corresponds to the distribution range of the lower 16% in the distribution based on the attachment opening judgment times in the received mails from all the senders. As a result, regarding the received mail from the sender to be determined, it is considered that the user's alertness has decreased. Therefore, it is set as abnormal in the statistical data table of FIG.

具体的に、例えば、差出人Cからの受信メールの平均値は2.28(秒)である。このため、数式「(2.28−3)/0.6」に基づいて、標準化データ値−1.2が算出される。標準化データ値1.2は、−1を下回ることから、異常と判定される。これにより、新たに、差出人Cからのメールを受信した場合、用心深さが低下している旨の警告情報がユーザに出力される。   Specifically, for example, the average value of the received mail from the sender C is 2.28 (seconds). Therefore, the standardized data value −1.2 is calculated based on the mathematical expression “(2.28-3) /0.6”. Since the standardized data value 1.2 is less than −1, it is determined to be abnormal. As a result, when a new mail from the sender C is received, warning information indicating that the precautionary depth is lowered is output to the user.

なお、この例では、分布における−標本標準偏差値に対応する値を基準値としたが、この例に限定されるものではない。基準値は、分布の平均より小さい値であれば、例えば、分布における−2×標本標準偏差値に対応する値であってもよい。基準値を変更することにより、異常検知の検知度合いを調整することが可能となる。   In this example, the value corresponding to the −sample standard deviation value in the distribution is used as the reference value. However, the present invention is not limited to this example. The reference value may be, for example, a value corresponding to −2 × sample standard deviation value in the distribution as long as it is smaller than the average of the distribution. By changing the reference value, it is possible to adjust the degree of detection of abnormality detection.

このように、全ての差出人からの受信メールに基づく分布に基づいた基準値(この例では、値−1)より、受信メールの添付開封判断時間の平均値が短い差出人が、用心深さが低下している差出人として検出される。これにより、受信メールの開封から添付ファイルの開封までの確認時間が顕著に低下している受信メールの差出人が、受信メールの添付開封判断時間の分布に基づいて、高精度に検出される。   Thus, the sender whose average of the attachment opening / closing judgment time of the received mail is shorter than the reference value (value −1 in this example) based on the distribution based on the received mails from all the senders has a low level of caution. Detected as a sender. As a result, the sender of the received mail in which the confirmation time from the opening of the received mail to the opening of the attached file is significantly reduced is detected with high accuracy based on the distribution of the attachment opening determination time of the received mail.

また、この例では、全ての差出人からの受信メールに基づく分布に基づいた基準値より、添付開封判断時間の平均値が短い差出人が、用心深さが低下している差出人として検出される。ただし、例えば、全ての期間における判定対象の差出人からの受信メールに基づく分布に基づいた基準値より、直近の基準期間内における当該差出人からの受信メールにおける添付開封判断時間の平均値が短い差出人について、用心深さが低下している差出人として検出されてもよい。これにより、直近の1カ月内に受信したメールに対する用心深さが、1カ月以前に受信した同一の差出人からの受信メールに対して、顕著に低下している差出人が検出可能になる。   Further, in this example, a sender whose average of the attachment opening determination time is shorter than a reference value based on a distribution based on received mails from all senders is detected as a sender having a reduced precaution. However, for example, for a sender whose average value of attachment opening judgment time in the received mail from the sender within the latest reference period is shorter than the reference value based on the distribution based on the received mail from the sender to be judged in all periods , It may be detected as a sender whose precautionary depth is reduced. As a result, it is possible to detect a sender whose alertness for a mail received within the most recent month is significantly lower than a received mail from the same sender received one month or earlier.

続いて、Z検定、またはt検定に基づく統計について説明する。   Next, statistics based on the Z test or the t test will be described.

[Z検定、またはt検定による統計]
図10は、Z検定、またはt検定に基づく統計データテーブルTB2−2の一例を示す図である。同図の統計データテーブルTB2−2は、受信メールの差出人ごとに、受信メールの数n、添付開封判断時間の平均値x(秒)を有する。また、統計データテーブルTB2−2は、判定対象の差出人を除く差出人からの受信メールの添付開封時間の平均値m(秒)、及び、標本標準偏差値sを有する。そして、統計データテーブルTB2−2は、判定対象の差出人からの受信メールの添付開封時間に基づくZ値またはt値、判定対象の差出人を除く差出人からの受信メールに基づく分布における有意水準5%の下側のZ値またはt値、及び、判定値を有する。なお、統計量の元となるデータは、図8、図9で示した標準化データに基づく統計と同様にして、添付ファイルが開封済みであって、添付開封判断時間が外れ値を超えない受信メールの情報である。 [Statistics by Z test or t test]
FIG. 10 is a diagram illustrating an example of the statistical data table TB2-2 based on the Z test or the t test. The statistical data table TB2-2 shown in the figure has the number n of received mails and the average value x (seconds) of attachment opening determination time for each sender of received mails. Further, the statistical data table TB2-2 includes an average value m (seconds) of attachment opening times of received mails from senders excluding a sender to be determined, and a sample standard deviation value s. The statistical data table TB2-2 has a significance level of 5% in the distribution based on the Z value or t value based on the attachment opening time of the received mail from the sender to be determined, and the received mail from the sender excluding the sender to be determined. It has a lower Z value or t value and a judgment value. Note that the data that is the basis of the statistic is the received mail in which the attached file has already been opened and the attachment opening judgment time does not exceed the outlier as in the statistics based on the standardized data shown in FIGS. Information.

この例において、判定対象の差出人からの受信メールの数が30以上の場合はZ検定が、30未満の場合はt検定が用いられる。Z検定は、正規分布を用いる統計学的検定法であって、標本の平均と母集団の平均とが統計学的にみて有意に異なるかどうかを検定する方法である。また、t検定は、2つの標本の平均値に有意差があるかどうかを調べる検定法の一種であって、t分布と呼ばれる確率分布が利用される。この例において、警告情報制御装置10は、Z検定またはt検定を用いて、判定対象の差出人からの受信メールにおける添付開封判断時間の平均値と、それ以外の差出人からの受信メールにおける添付開封判断時間の平均値との間に相違があるかを検定する。   In this example, the Z test is used when the number of received mails from the sender to be determined is 30 or more, and the t test is used when it is less than 30. The Z test is a statistical test method using a normal distribution, and tests whether or not the average of a sample and the average of a population are statistically significantly different. The t test is a kind of test method for checking whether there is a significant difference between the average values of two samples, and a probability distribution called a t distribution is used. In this example, the warning information control apparatus 10 uses the Z test or t test to determine the average value of attachment opening determination time in the received mail from the sender to be determined and the attachment opening determination in the received mail from other senders. Test whether there is a difference from the average time.

続いて、統計量の算出処理の流れについて説明する。用心深さ判定手段15は、まず、判定対象の差出人からの受信メールの数nと、添付開封判断時間の平均値x(秒)を算出する。また、用心深さ判定手段15は、判定対象の差出人を除く全ての差出人からの受信メールにおける添付開封判断時間の平均値m(秒)と、標本標準偏差値sを算出する。そして、用心深さ判定手段15は、算出した値に基づいて、判定対象の差出人に係るZ値またはt値を算出する。具体的に、Z値またはt値は、数式「Z、t=(x−m)/(s/√n)」に基づいて算出される。そして、用心深さ判定手段15は、Z検定の場合は標準正規分布、t検定の場合はt分布に基づく、例えば、1%または5%の有意水準の下側に対応する確率変数を算出し、判定対象の差出人に係るZ値またはt値が下回る場合に用心深さが低下しているものと判定する。   Next, the flow of the statistic calculation process will be described. The precaution depth determination means 15 first calculates the number n of received mails from the sender to be determined and the average value x (seconds) of attachment opening determination time. Further, the precaution depth determination means 15 calculates an average value m (seconds) of attachment opening determination time and a sample standard deviation value s in received mails from all senders except the sender to be determined. Then, the vigilance depth determination unit 15 calculates the Z value or the t value related to the determination target sender based on the calculated value. Specifically, the Z value or the t value is calculated based on the formula “Z, t = (x−m) / (s / √n)”. The vigilance depth determination means 15 calculates a random variable corresponding to the lower side of the significance level of 1% or 5%, for example, based on the standard normal distribution in the case of the Z test and on the t distribution in the case of the t test. When the Z value or t value related to the sender to be determined is lower, it is determined that the precautionary depth is reduced.

[Z検定、または、t検定における分布図]
図11は、Z検定、または、t検定における分布図の一例を示す図である。同図の分布図は、Z検定の場合は標準正規分布に対応し、t検定の場合は、判定対象の差出人からの受信メールの数がnの場合、自由度n−1のt分布に対応する。同図において、値Y1は分布図における有意水準5%の下側の値、値Y2は分布図における有意水準5%の上側の値を示す。本実施の形態例では、例えば、有意水準の5%の下側の値が、用心深さの判定のための基準値に対応する。つまり、同図において、矢印EX3で示される範囲内の分布は、判定対象の差出人を除く全ての差出人からの受信メールに基づく分布における下位の2.5%に当たる。 [Distribution map in Z test or t test]
FIG. 11 is a diagram illustrating an example of a distribution diagram in the Z test or the t test. The distribution chart in the figure corresponds to the standard normal distribution in the case of the Z test, and corresponds to the t distribution with n-1 degrees of freedom when the number of received mails from the sender to be determined is n in the case of the t test. To do. In the figure, the value Y1 indicates a value below the significance level 5% in the distribution map, and the value Y2 indicates a value above the significance level 5% in the distribution map. In the present embodiment, for example, a value below 5% of the significance level corresponds to a reference value for determining the precautionary depth. That is, in the figure, the distribution within the range indicated by the arrow EX3 corresponds to the lower 2.5% in the distribution based on the received mail from all senders except the sender to be determined.

この例において、数式「Z、t=(x−m)/(s/√n)」に基づいて算出される、判定対象の差出人のZ値またはt値が値Y1を下回る場合、用心深さが低下していると判定される。図11の分布図において、Z値またはt値が値Y1を下回る場合、判定対象の差出人からの受信メールの添付開封時間の平均値が、判定対象の差出人を除く差出人からの受信メールに基づく分布における下位2.5%に対応する値より短いことを示す。これは、判定対象の差出人からの受信メールの添付開封判断時間の平均値が、判定対象の差出人を除く差出人からの受信メールにおける添付開封判断時間の平均値と、添付開封判断時間の短い方向に異なっていることを意味する。つまり、添付開封判断時間について、判定対象の差出人からの受信メールは、判定対象の差出人を除く差出人からの受信メールに対して顕著に短いことを示すため、図10の統計データテーブルにおいて異常として設定される。   In this example, when the Z value or t value of the sender to be determined, which is calculated based on the formula “Z, t = (x−m) / (s / √n)” is less than the value Y1, the precaution depth Is determined to have decreased. In the distribution diagram of FIG. 11, when the Z value or the t value is less than the value Y1, the average value of the attached unsealing time of the received mail from the determination target sender is a distribution based on the received mail from the sender excluding the determination target sender. It is shorter than the value corresponding to the lower 2.5%. This is because the average value of the attachment opening judgment time of the received mail from the sender to be judged is shorter than the average value of the attachment opening judgment time in the received mail from the sender excluding the sender of judgment. Means different. That is, regarding the attachment opening determination time, in order to show that the received mail from the sender to be determined is significantly shorter than the received mail from the sender excluding the sender to be determined, it is set as abnormal in the statistical data table of FIG. Is done.

具体的に、判定対象の差出人を差出人Cとする場合を例示する。差出人Cからの受信メールの数nは50であるため、Z検定が適用される。この例において、差出人Cからの受信メールにおける添付開封判断時間の平均値xは3.0(秒)である。また、差出人Cを除く全ての差出人からの受信メールにおける添付開封判断時間の平均値mは3.2(秒)、及び、標本標準偏差値sは0.71である。このため、数式「(3.0−3.2)/(0.71/√50)に基づいて、Z値−2.0が算出される。Z値−2.0は、標準正規分布における有意水準5%の下側の基準値−1.96を下回ることから、異常と判定される。これにより、新たに、差出人Cからのメールを受信した場合、用心深さが低下している旨の警告情報がユーザに出力される。   Specifically, the case where the sender to be determined is the sender C is illustrated. Since the number n of received mails from the sender C is 50, the Z test is applied. In this example, the average value x of the attachment opening determination time in the received mail from the sender C is 3.0 (seconds). Further, the average value m of the attachment opening determination time in the received mails from all senders except the sender C is 3.2 (seconds), and the sample standard deviation value s is 0.71. Therefore, the Z value −2.0 is calculated based on the mathematical expression “(3.0−3.2) / (0.71 / √50). It is determined to be abnormal because it falls below the lower reference value of 1.96 at the significance level of 5.96, so that if a new mail is received from the sender C, the alertness is lowered. Warning information is output to the user.

また、判定対象の差出人を差出人Aとする場合を例示する。差出人Aからの受信メールの数nは20であるため、t検定が適用される。この例において、差出人Aからの受信メールにおける添付開封判断時間の平均値xは4.0(秒)である。また、差出人Aを除く全ての差出人からの受信メールにおける添付開封判断時間の平均値mは3.0(秒)、及び、標本標準偏差値sは2.23である。このため、数式「(4.0−3.0)/(2.23/√20)」に基づいて、t値2.0が算出される。t値2.0は、自由度19(=n−1)のt分布における有意水準5%の下側の基準値−2.09を上回ることから、正常と判定される。これにより、新たに、差出人Aからのメールを受信した場合、警告情報は出力されない。   Moreover, the case where the sender of determination object is set to sender A is illustrated. Since the number n of received mails from the sender A is 20, the t test is applied. In this example, the average value x of the attachment opening determination time in the received mail from the sender A is 4.0 (seconds). Further, the average value m of the attachment opening determination time in the received mails from all senders except the sender A is 3.0 (seconds), and the sample standard deviation value s is 2.23. For this reason, a t value of 2.0 is calculated based on the formula “(4.0−3.0) / (2.23 / √20)”. The t value 2.0 exceeds the reference value −2.09 on the lower side of the significance level 5% in the t distribution with 19 degrees of freedom (= n−1), and thus is determined to be normal. Thereby, when a new mail from the sender A is received, the warning information is not output.

このように、判定対象の差出人を除く差出人からの受信メールに基づく分布に基づいた基準値(この例では、値Y1)より、受信メールの添付開封判断時間の平均値が短い差出人が、用心深さが低下している差出人として検出される。Z検定、または、t検定に基づくことにより、受信メールの開封から添付ファイルの開封までの確認時間が顕著に低下している受信メールの差出人が、受信メールの添付開封判断時間の分布に基づいて、さらに、高精度に検出される。   As described above, a sender having a shorter average value of the attachment opening determination time of the received mail than the reference value (in this example, the value Y1) based on the distribution based on the received mail from the sender excluding the sender to be judged is Detected as a sender who is falling. Based on the distribution of the attachment opening judgment time of the received mail, the sender of the received mail, whose confirmation time from the opening of the received mail to the opening of the attached file has significantly decreased due to the Z test or t test Furthermore, it is detected with high accuracy.

なお、この例では、分布における有意水準5%の下側に対応する値を基準値としたが、この例に限定されるものではない。基準値は、分布における有意水準1%の下側に対応する値であってもよい。有意水準の値を変更することにより、異常検知の検知度合いを調整することが可能となる。例えば、有意水準を大きくすることにより、異常がより頻繁に検知されるように調整される。   In this example, the value corresponding to the lower side of the significance level of 5% in the distribution is used as the reference value. However, the present invention is not limited to this example. The reference value may be a value corresponding to the lower side of the significance level of 1% in the distribution. By changing the value of the significance level, it is possible to adjust the degree of detection of abnormality detection. For example, by increasing the significance level, adjustment is made so that abnormalities are detected more frequently.

また、前述したとおり、この例においても、判定対象の差出人からの、基準期間以前の期間における受信メールに基づく分布に基づいた基準値より、直近の基準期間内における当該差出人からの受信メールにおける添付開封判断時間の平均値が短い差出人について、用心深さが低下している差出人として検出されてもよい。これにより、直近の1カ月内に受信したメールに対する用心深さが、1カ月以前に受信した同一の差出人からの受信メールに対して、顕著に低下している差出人がより高精度に検出可能になる。   In addition, as described above, in this example as well, the attachment in the received mail from the sender within the latest reference period from the reference value based on the distribution based on the received mail in the period before the reference period from the sender to be determined A sender whose average opening determination time is short may be detected as a sender whose cautious depth is reduced. This makes it possible to more accurately detect senders whose alertness is significantly lower than emails received from the same sender received one month or earlier in the last month. Become.

[F検定による統計]
続いて、F検定に基づく統計について説明する。F検定では、添付開封判断時間の分散度合いに基づいて用心深さの判定を行う。ある差出人からの受信メールについて、添付開封判断時間の分散度合いが小さい場合、いずれの受信メールについても、添付開封判断時間が一定であることを示す。これは、受信メールの内容が吟味されずに、添付ファイルが機械的に開封されていることを示す。一方、添付開封判断時間の分散度合いが大きい場合、添付開封判断時間が受信メールそれぞれについて異なることを示し、受信メールの内容が吟味された上で添付ファイルが開封されていることを示す。そこで、判定対象の差出人からの受信メールにおける添付開封判断時間の分散度合いが顕著に小さい場合、当該差出人からの受信メールについて、用心深さが低下しているものと判定される。 [Statistics by F test]
Next, statistics based on the F test will be described. In the F test, the depth of precaution is determined based on the degree of dispersion of the attached opening determination time. When the distribution degree of the attachment opening determination time is small for a received mail from a certain sender, it indicates that the attachment opening determination time is constant for any received mail. This indicates that the attached file has been mechanically opened without examining the contents of the received mail. On the other hand, when the degree of dispersion of the attachment opening determination time is large, it indicates that the attachment opening determination time is different for each received mail, and indicates that the attached file is opened after the contents of the received mail are examined. Therefore, when the degree of dispersion of the attachment opening determination time in the received mail from the sender to be determined is remarkably small, it is determined that the alertness of the received mail from the sender has decreased.

図12は、F検定に基づく統計データテーブルTB2−3の一例を示す図である。同図の統計データテーブルTB2−3は、メールの差出人ごとに、受信メールの数n、添付開封判断時間の不偏分散v1を有する。また、統計データテーブルTB2−3は、判定対象の差出人を除く差出人からの受信メールの数n2、添付開封時間の不偏分散v2を有する。そして、統計データテーブルTB2−3は、不偏分散v1、v2に基づくF値、及び、判定対象の差出人からの受信メールの数n1と、判定対象の差出人を除く差出人からの受信メールの数n2とに基づく分布における有意水準5%の下側のF値を有する。なお、統計量の元となるデータは、図8、図9で示した標準化データに基づく統計と同様にして、添付ファイルが開封済みであって、添付開封判断時間が外れ値を超えない受信メールの情報である。   FIG. 12 is a diagram illustrating an example of the statistical data table TB2-3 based on the F test. The statistical data table TB2-3 shown in FIG. 2 has the number n of received mails and the unbiased variance v1 of attachment opening determination time for each mail sender. Further, the statistical data table TB2-3 includes the number n2 of received mails from senders excluding the sender to be determined, and the unbiased variance v2 of the attached opening time. The statistical data table TB2-3 includes the F value based on unbiased variances v1 and v2, the number n1 of received mails from the senders to be determined, and the number n2 of received mails from senders excluding the senders to be determined. With a lower F value of 5% significance level in the distribution based on. Note that the data that is the basis of the statistic is the received mail in which the attached file has already been opened and the attachment opening judgment time does not exceed the outlier as in the statistics based on the standardized data shown in FIGS. Information.

この例では、用心深さ判定手段15は、F検定を用いて、判定対象の差出人からの受信メールにおける添付開封判断時間の分散v1が、判定対象の差出人以外の差出人からの受信メールにおける添付開封判断時間の分散v2と、異なるか否かを検定する。判定対象の差出人からの受信メールにおける添付開封判断時間の分散v1が、分散度合いの小さい方に異なる場合、判定対象の差出人からの受信メールについて用心深さが低下していると判定される。   In this example, the vigilance depth determination means 15 uses the F test to determine that the distribution v1 of the attachment opening determination time in the received mail from the determination target sender is the attachment opening in the received mail from a sender other than the determination target sender. It is tested whether or not the variance of the judgment time is different from v2. When the distribution v1 of the attachment opening determination time in the received mail from the sender to be determined is different in the smaller degree of dispersion, it is determined that the alertness of the received mail from the sender to be determined has decreased.

続いて、統計量の算出処理の流れについて説明する。用心深さ判定手段15は、まず、判定対象の差出人からの受信メールの数n1と、添付開封判断時間の不偏分散v1を算出する。また、用心深さ判定手段15は、判定対象の差出人を除く全ての差出人からの受信メールの数n2と、添付開封判断時間の不偏分散v2を算出する。そして、用心深さ判定手段15は、判定対象の差出人に係るF値を、数式「F=v1/v2」に基づいて算出する。そして、用心深さ判定手段15は、自由度n1−1、n2−1のF分布に基づく、例えば、1%または5%の有意水準の下側に対応する確率変数を算出し、判定対象の差出人に係るF値が下回る場合に用心深さが低下しているものと判定する。   Next, the flow of the statistic calculation process will be described. The precaution depth determination means 15 first calculates the number n1 of received mails from the sender to be determined and the unbiased variance v1 of the attachment opening determination time. Further, the vigilance depth determination means 15 calculates the number n2 of received mails from all senders except the sender to be determined and the unbiased variance v2 of the attachment opening determination time. The vigilance depth determination unit 15 calculates the F value related to the sender to be determined based on the formula “F = v1 / v2”. Then, the vigilance depth determination means 15 calculates a random variable corresponding to the lower side of the significance level of 1% or 5%, for example, based on the F distribution with the degrees of freedom n1-1 and n2-1, When the F value related to the sender is lower, it is determined that the precautionary depth is reduced.

[F検定における分布図]
図13は、F分布の一例を示す図である。F分布は、自由度n1−1、n2−1に基づく分布である。同図において、値Z1は分布図における有意水準5%の下側の値を示す。本実施の形態例では、例えば、有意水準の5%の下側の値が、用心深さの判定のための基準値に対応する。つまり、同図において、矢印EX4で示される範囲内の分布は、判定対象の差出人からの受信メール、及び、判定対象の差出人を除く全ての差出人からの受信メールの数に基づく分布における下位の2.5%に当たる。 [Distribution map in F test]
FIG. 13 is a diagram illustrating an example of the F distribution. The F distribution is a distribution based on the degrees of freedom n1-1 and n2-1. In the figure, the value Z1 indicates a value below the significance level of 5% in the distribution diagram. In the present embodiment, for example, a value below 5% of the significance level corresponds to a reference value for determining the precautionary depth. That is, in the figure, the distribution within the range indicated by the arrow EX4 is the lower 2 in the distribution based on the number of received mails from the senders to be judged and the number of received mails from all senders except the senders to be judged. .5%.

この例において、数式「F=v1/v2」に基づいて算出される、判定対象の差出人のF値が、値Z1を下回る場合、用心深さが低下していると判定される。図13の分布図において、F値が値Z1を下回る場合、判定対象の差出人からの受信メールの添付開封時間の分散度合いが、判定対象の差出人を除く差出人からの受信メールに基づく分布における下位2.5%に対応する値より小さいことを示す。これは、判定対象の差出人からの受信メールの添付開封判断時間の分散度合いが、判定対象の差出人を除く差出人からの受信メールにおける添付開封判断時間の分散度合いと、分散度合いの小さい方向に異なっていることを意味する。つまり、添付開封判断時間の分散度合いについて、判定対象の差出人からの受信メールは、判定対象の差出人を除く差出人からの受信メールに対して顕著に小さいことを示すため、図12の統計データテーブルにおいて異常として設定される。   In this example, when the F value of the sender to be determined, which is calculated based on the formula “F = v1 / v2”, is less than the value Z1, it is determined that the vigilance depth has decreased. In the distribution diagram of FIG. 13, when the F value is lower than the value Z1, the distribution degree of the attached unsealing time of the received mail from the sender to be determined is lower 2 in the distribution based on the received mail from the sender excluding the sender to be determined. Less than the value corresponding to 5%. This is because the degree of dispersion of the attachment opening judgment time of the received mail from the sender to be judged differs from the degree of dispersion of the attachment opening judgment time in the incoming mail from the sender excluding the sender of judgment. Means that That is, in the statistical data table of FIG. 12, in order to show that the received mail from the sender of the determination target is significantly smaller than the received mail from the sender excluding the sender of the determination, Set as abnormal.

具体的に、判定対象の差出人を差出人Cとする場合を例示する。この例において、差出人Cからの受信メールの数n1は50であって、不偏分散v1は45.0である。また、差出人Cを除く全ての差出人からの受信メールの数n2は150であって、不偏分散v2は75.0である。このため、数式「45.0/75.0」に基づいて、F値0.6が算出される。F値0.6は、自由度49(=n1−1)、自由度149(=n2−1)のF分布における有意水準5%の下側の基準値0.617を下回ることから、異常と判定される。これにより、新たに、差出人Cからのメールを受信した場合、用心深さが低下している旨の警告情報がユーザに出力される。   Specifically, the case where the sender to be determined is the sender C is illustrated. In this example, the number n1 of received mails from the sender C is 50, and the unbiased variance v1 is 45.0. Further, the number n2 of received mails from all senders except the sender C is 150, and the unbiased variance v2 is 75.0. Therefore, an F value of 0.6 is calculated based on the mathematical formula “45.0 / 75.0”. The F value 0.6 is lower than the reference value 0.617 on the lower side of the significance level of 5% in the F distribution with 49 degrees of freedom (= n1-1) and 149 degrees of freedom (= n2-1). Determined. As a result, when a new mail from the sender C is received, warning information indicating that the precautionary depth is lowered is output to the user.

このように、判定対象の差出人からの受信メール、及び、判定対象の差出人を除く差出人からの受信メールの数に基づく分布に基づいた基準値(この例では、値Z1)より、受信メールの添付開封判断時間の分散度合いが小さい差出人が、用心深さが低下している差出人として検出される。F検定に基づくことにより、受信メールの開封から添付ファイルの開封までの確認時間のばらつきが顕著に小さい受信メールの差出人が、受信メールの添付開封判断時間の分布に基づいて、高精度に検出される。   As described above, the received mail is attached from the reference value (in this example, the value Z1) based on the distribution of the received mail from the sender to be determined and the number of received mails from the sender excluding the sender to be determined. A sender having a small degree of variance in the opening determination time is detected as a sender having a reduced precaution. Based on the F test, the sender of the received mail with a remarkably small variation in the confirmation time from the opening of the received mail to the opening of the attached file is detected with high accuracy based on the distribution of the time for judging the attachment opening of the received mail. The

なお、この例では、分布における有意水準5%の下側に対応する値を基準値としたが、この例に限定されるものではない。基準値は、分布における有意水準1%の下側に対応する値であってもよい。有意水準の値を変更することにより、異常検知の検知度合いを調整することが可能となる。例えば、有意水準を大きくすることにより、異常がより頻繁に検知されるように調整される。   In this example, the value corresponding to the lower side of the significance level of 5% in the distribution is used as the reference value. However, the present invention is not limited to this example. The reference value may be a value corresponding to the lower side of the significance level of 1% in the distribution. By changing the value of the significance level, it is possible to adjust the degree of detection of abnormality detection. For example, by increasing the significance level, adjustment is made so that abnormalities are detected more frequently.

また、前述したとおり、この例においても、判定対象の差出人からの、基準期間以前の期間における受信メールに基づく分布に基づいた基準値より、直近の基準期間内における当該差出人からの受信メールにおける添付開封判断時間の分散度合いが小さい差出人について、用心深さが低下している差出人として検出されてもよい。これにより、直近の1カ月内に受信したメールに対する用心深さが、1カ月以前に受信した同一の差出人からの受信メールに対して、顕著に低下している差出人がより高精度に検出可能になる。   In addition, as described above, in this example as well, the attachment in the received mail from the sender within the latest reference period from the reference value based on the distribution based on the received mail in the period before the reference period from the sender to be determined A sender having a small degree of variance in the opening determination time may be detected as a sender having a reduced precautionary depth. This makes it possible to more accurately detect senders whose alertness is significantly lower than emails received from the same sender received one month or earlier in the last month. Become.

なお、用心深さの判定のための統計手法は、本実施の形態例において説明した手法に限定されるものではない。用心深さの判定は、添付開封判断時間に基づく別の統計手法に基づいてもよい。または、用心深さの判定は、複数の統計手法の組み合わせに基づいてもよい。例えば、Z検定及びt検定に基づく統計と、F検定に基づく統計とが組み合わされることによって、用心深さが低下している差出人が検出される。これにより、警告情報制御装置10は、添付開封判断時間が短く、且つ、添付開封判断時間の分散度合いが小さい差出人を用心深さが低下している差出人が検出可能になる。これにより、添付開封判断時間に基づいて、より効果的に、用心深さの低下している差出人が検出可能になる。   Note that the statistical method for determining the precautionary depth is not limited to the method described in the present embodiment. The determination of the precautionary depth may be based on another statistical method based on the attached opening determination time. Alternatively, the precautionary depth determination may be based on a combination of a plurality of statistical methods. For example, a sender having a reduced precaution is detected by combining statistics based on the Z test and t test and statistics based on the F test. As a result, the warning information control apparatus 10 can detect a sender whose cautious depth is low for a sender whose attachment opening judgment time is short and whose distribution degree of the attachment opening judgment time is small. Thereby, based on the attached opening determination time, it becomes possible to more effectively detect the sender whose cautious depth is reduced.

[第2の実施の形態例]
第1の実施の形態例では、添付開封判断時間に基づいて、用心深さが低下している差出人を検出する形態を例示した。第2の実施の形態例では、不審メールに対して表示される受信確認画面の表示時間に基づいて、用心深さが低下している差出人を検出する。 [Second Embodiment]
In the first embodiment, a mode in which a sender whose precautionary depth is reduced is illustrated based on the attached opening determination time. In the second embodiment, a sender whose alertness is lowered is detected based on the display time of the reception confirmation screen displayed for the suspicious mail.

[警告情報制御装置のブロック図]
図14は、第2の実施の形態例における警告情報制御装置50のブロック図の一例を示す図である。第2の実施の形態例における警告情報制御装置50は、例えば、メールサーバ200と、ユーザが使用するメールソフト(メーラー)100との間に配置される。警告情報制御装置50とメールサーバ200、警告情報制御装置50とメールソフト100とは、相互に通信可能である。なお、本実施の形態例における警告情報制御装置50は、メールソフト100と同一の筐体に配置されるが、警告情報制御装置50は、メールサーバ200と同一の筐体に配置されてもよい。 [Block diagram of warning information control device]
FIG. 14 is a diagram showing an example of a block diagram of the warning information control device 50 in the second embodiment. The warning information control device 50 in the second embodiment is disposed, for example, between the mail server 200 and mail software (mailer) 100 used by the user. The warning information control device 50 and the mail server 200, and the warning information control device 50 and the mail software 100 can communicate with each other. Although the warning information control device 50 in the present embodiment is arranged in the same casing as the mail software 100, the warning information control apparatus 50 may be arranged in the same casing as the mail server 200. .

警告情報制御装置50は、例えば、受信メールヘッダ情報管理手段51、受信確認画面表示手段58、警告手段52、時間計測手段56、用心深さ判定手段55、受信メール情報記憶装置57を有する。受信メールヘッダ情報管理手段51は、受信メールのヘッダ情報を記憶する。受信メールヘッダ情報管理手段51は、第1の実施の形態例と同様に、メールヘッダにおけるMessage-ID情報、From情報を、受信メール情報データテーブルに格納する。また、受信確認画面表示手段58は、次に例示するポリシーに基づいて、標的型メールの可能性があるメールについて受信確認画面をポップアップ表示し、ユーザに注意を促す。ポリシーは、例えば、初めて受け取るアドレスまたは組織外のアドレスからの受信メール、添付ファイルやURLが付与された受信メール、送信経路が通常と異なる受信メール等である。   The warning information control device 50 includes, for example, a received mail header information management means 51, a reception confirmation screen display means 58, a warning means 52, a time measurement means 56, a precaution depth determination means 55, and a received mail information storage device 57. The received mail header information management means 51 stores header information of received mail. The received mail header information management means 51 stores Message-ID information and From information in the mail header in the received mail information data table, as in the first embodiment. In addition, the reception confirmation screen display means 58 pops up a reception confirmation screen for a mail that may be a target-type mail based on a policy exemplified below, and alerts the user. The policy is, for example, a received mail from an address received for the first time or an address outside the organization, a received mail to which an attached file or URL is attached, a received mail having a transmission route different from normal, and the like.

また、時間計測手段56は、受信確認画面がポップアップ表示され、ユーザが受信確認画面を閉じるまでの時間を、受信確認画面表示時間として算出する。用心深さ判定手段55は、差出人ごとに仕分けされた受信メールについて、受信確認画面表示時間の統計量を計算する。そして、用心深さ判定手段55は、判定対象の差出人の統計量と、他の差出人の統計量とを比較し、判定対象の差出人の用心深さが低下しているか否かを判定する。   The time measuring means 56 calculates the time until the reception confirmation screen is popped up and the user closes the reception confirmation screen as the reception confirmation screen display time. The caution depth determination means 55 calculates the statistics of the reception confirmation screen display time for the received mail sorted for each sender. Then, the vigilance depth determination means 55 compares the statistics of the sender to be determined with the statistics of other senders, and determines whether the cautious depth of the sender to be determined has decreased.

警告手段52は、メールソフト100において、ユーザが、用心深さが低下している差出人からメールを受信したときに、警告情報を出力する。なお、警告手段52は、受信確認画面表示手段58を呼び出すことによって、警告情報を表示してもよい。また、受信メール情報記憶装置57は、メールサーバ200からの受信メールの情報をそれぞれ格納するデータテーブル、及び、差出人ごとの受信メールの統計量を格納するデータテーブルを記憶する。受信メール情報記憶装置57は、例えば、ROM/RAM等のメモリである。   In the mail software 100, the warning means 52 outputs warning information when the user receives a mail from a sender whose alertness is low. The warning unit 52 may display the warning information by calling the reception confirmation screen display unit 58. The received mail information storage device 57 stores a data table for storing information on received mail from the mail server 200 and a data table for storing statistics of received mail for each sender. The received mail information storage device 57 is a memory such as a ROM / RAM, for example.

[受信確認画面]
図15は、一般的な受信確認画面DG2の一例を示す図である。ユーザが不審メールを受信すると、同図のような受信確認画面DG2がポップアップ表示される。受信確認画面DG2には、例えば、対象の受信メールが標的型メールである可能性を有する旨のメッセージが表示される。そして、ユーザは、受信確認画面DG2を確認し、受信確認画面DG2に表示されるボタンを押下する。しかしながら、受信確認画面DG2は、注視されることなく機械的に終了されてしまうことがある。このため、受信確認画面DG2が表示されても、ユーザの注意が喚起されず、受信確認画面DG2を表示する効果が発揮されない。 [Reception confirmation screen]
FIG. 15 is a diagram illustrating an example of a general reception confirmation screen DG2. When the user receives a suspicious email, a reception confirmation screen DG2 as shown in FIG. On the reception confirmation screen DG2, for example, a message indicating that the target received mail may be a target mail is displayed. Then, the user confirms the reception confirmation screen DG2, and presses a button displayed on the reception confirmation screen DG2. However, the reception confirmation screen DG2 may be mechanically terminated without being watched. For this reason, even if the reception confirmation screen DG2 is displayed, the user's attention is not alerted, and the effect of displaying the reception confirmation screen DG2 is not exhibited.

そこで、第2の実施の形態例では、受信確認画面DG2の表示時間に基づいて、用心深さを判定する。具体的に、警告情報制御装置50は、受信メールの差出人のうち、受信確認画面DG2表示時間が顕著に短い、または、受信確認画面表示時間の分散度合いが顕著に小さい差出人を、用心深さが低下している差出人として検出する。そして、用心深さが低下している差出人からのメールを受信した際に、警告情報を出力する。   Therefore, in the second embodiment, the precautionary depth is determined based on the display time of the reception confirmation screen DG2. Specifically, the warning information control device 50 selects a sender whose received confirmation screen DG2 is remarkably short from the sender of the received mail or whose degree of dispersion of the reception confirmation screen display time is remarkably small. Detect as a falling sender. When a mail from a sender whose alertness is lowered is received, warning information is output.

[警告情報の出力]
図16は、第2の実施の形態例における警告情報の出力例について例示する図である。警告情報制御装置50の警告手段52は、用心深さが低下している差出人からのメールを受信すると、例えば、同図のような警告情報MSを受信確認画面DG3に表示する。警告情報MSには、例えば、差出人からの受信メールに対して、用心深さ、即ち、慎重さが低下している旨のメッセージが表示される。なお、警告情報MSは、受信確認画面DG3とは別のダイアログ等によって出力されてもよいし、音声等によって出力されてもよい。 [Output warning information]
FIG. 16 is a diagram illustrating an example of warning information output in the second embodiment. When the warning means 52 of the warning information control device 50 receives a mail from a sender whose alertness is lowered, for example, warning information MS as shown in the figure is displayed on the reception confirmation screen DG3. In the warning information MS, for example, a message indicating that the alertness, that is, the cautiousness of the received mail from the sender is reduced is displayed. The warning information MS may be output by a dialog or the like different from the reception confirmation screen DG3, or may be output by voice or the like.

これにより、ユーザは、受信しようとしているメールの差出人からのメールについて、用心深さが低下していることを検知可能になる。これにより、ユーザは、たとえ、差出人が信頼できる差出人からの受信メールであったとしても、十分に時間をかけて確認するようになる。これにより、信頼できる差出人を騙る標的型メールを受信した場合、十分な確認が行われなかったことに起因して問題が生じることが回避される。   As a result, the user can detect that the alertness of the mail from the sender of the mail to be received has decreased. Thereby, even if the user is a received mail from a sender who can be trusted, the user can take sufficient time to check. As a result, when a targeted mail addressing a reliable sender is received, it is avoided that a problem occurs due to insufficient confirmation.

続いて、本実施の形態例における警告情報制御装置50の処理について、フローチャート図に基づいて説明する。第2の実施の形態例における警告情報制御装置50の処理の概要については、第1の実施の形態例と同様である。第2の実施の形態例における警告情報制御装置50においても、警告情報提示処理工程(図3のS100)の一部として、受信メールデータ収集処理工程(図3のS12)が行われる。そして、警告情報制御装置50は、用心深さが低下した送信元の判定処理として、収集した受信メール情報に基づいて用心深さが低下している送信元を検出する(図3のS200)。   Next, processing of the warning information control device 50 in the present embodiment will be described based on a flowchart. The outline of the processing of the warning information control device 50 in the second embodiment is the same as that in the first embodiment. Also in the warning information control apparatus 50 in the second embodiment, the received mail data collection processing step (S12 in FIG. 3) is performed as part of the warning information presentation processing step (S100 in FIG. 3). Then, the warning information control device 50 detects a transmission source having a reduced alertness depth based on the collected received mail information, as a determination process of the sender having a reduced alertness depth (S200 in FIG. 3).

[メール受信時のフローチャート]
図17は、メールサーバ200からのメールを受信したときの、警告情報制御装置50の処理について説明するフローチャート図である。この処理は、メールサーバ200からメール受信時、当該メールがメールソフト100に回送される前に行われる。また、同図のフローチャート図に示される処理は、図3のフローチャート図における工程S100に含まれる。 [Flow chart when receiving mail]
FIG. 17 is a flowchart for explaining processing of the warning information control device 50 when a mail from the mail server 200 is received. This process is performed before mail is sent to the mail software 100 when mail is received from the mail server 200. Further, the processing shown in the flowchart of FIG. 3 is included in step S100 in the flowchart of FIG.

警告情報制御装置50は、メールサーバ200からメールを受信すると、当該受信メールが受信確認画面の表示対象を示す所定のポリシーに合致するか否かを判定する(S51)。所定のポリシーに合致する場合(S51のYES)、警告情報制御装置50は、受信メールデータ収集処理を行う(S52)。警告情報制御装置50は、具体的に、受信メールの情報を収集し、受信メール情報データテーブルに記憶する。処理の詳細については後述する。これにより、添付ファイルを有する受信メールそれぞれについて、受信メールの情報が受信メール情報データテーブルに記憶される。   When receiving the mail from the mail server 200, the warning information control device 50 determines whether or not the received mail matches a predetermined policy indicating the display target of the reception confirmation screen (S51). If it matches the predetermined policy (YES in S51), the warning information control device 50 performs received mail data collection processing (S52). Specifically, the warning information control device 50 collects information on received mail and stores it in the received mail information data table. Details of the processing will be described later. Thereby, for each received mail having an attached file, the received mail information is stored in the received mail information data table.

続いて、警告情報制御装置50は、受信メール情報データテーブルに基づいて生成される統計データテーブルを参照する(S53)。統計データテーブルは、用心深さ判定処理によって生成される。統計データテーブルの生成処理については、第1の実施の形態例と同様である。ただし、第2の実施の形態例では、用心深さを判定するための時間として、添付開封判断時間の替わりに、受信確認画面表示時間が用いられる。   Subsequently, the warning information control device 50 refers to a statistical data table generated based on the received mail information data table (S53). The statistical data table is generated by a precaution depth determination process. The statistical data table generation processing is the same as that in the first embodiment. However, in the second embodiment, the reception confirmation screen display time is used instead of the attached opening determination time as the time for determining the precautionary depth.

そして、警告情報制御装置50は、受信メールの差出人が、統計量のデータテーブルにおいて用心深さの低下していると判定された差出人に当たるか否かを判定する(S54)。受信メールが用心深さが低下している差出人に当たる場合(S54のYES)、警告情報制御装置50は、図16で例示したような、当該差出人からの受信メールに対する用心深さが低下している旨の警告情報を、受信確認画面に追加する(S55)。そして、警告情報制御装置50は、受信確認画面を表示する(S56)。   Then, the warning information control device 50 determines whether or not the sender of the received mail corresponds to the sender determined to have a reduced alertness in the statistics data table (S54). When the received mail hits the sender whose alertness is low (YES in S54), the warning information control device 50 has a low alertness for the incoming mail from the sender as illustrated in FIG. Warning information to that effect is added to the reception confirmation screen (S55). Then, the warning information control device 50 displays a reception confirmation screen (S56).

[受信メールデータ収集処理のフローチャート]
図18は、受信メールデータ収集処理について詳細に説明するフローチャート図である。同図のフローチャートの処理は、図17のフローチャート図における工程S52に該当する。警告情報制御装置50の受信メールヘッダ情報管理手段51は、受信メールのメールヘッダ情報を記録する(S61)。具体的に、受信メールヘッダ情報管理手段51は、メールのメールヘッダのうち、Message−ID情報、及びFrom情報を、受信メール情報データテーブルに記憶する。ただし、受信メールヘッダ情報管理手段51は、From情報のみを記憶してもよい。 [Received mail data collection process flowchart]
FIG. 18 is a flowchart for explaining the received mail data collection process in detail. The process of the flowchart of FIG. 16 corresponds to step S52 in the flowchart of FIG. The received mail header information management means 51 of the warning information control device 50 records the mail header information of the received mail (S61). Specifically, the received mail header information management unit 51 stores Message-ID information and From information in the mail header of the mail in the received mail information data table. However, the received mail header information management means 51 may store only From information.

続いて、警告情報制御装置50は、メールサーバ200から受信したメールを、ユーザのメールソフト100に回送する(S62)。そして、受信確認画面の表示対象の受信メールである場合、警告情報制御装置50の受信確認画面表示手段58が受信確認画面を表示すると、警告情報制御装置50の時間計測手段56は、受信確認画面が表示された時間を受信確認画面表示時間として計測する(S63)。受信確認画面表示時間は、受信メール情報データテーブルに記憶される。次に、警告情報制御装置50は、受信確認画面表示時間の外れ値判定を行う(S64)。受信確認画面表示時間が外れ値を超える場合、警告情報制御装置50は、対応する受信メールの情報を統計量の算出対象外とする。具体的に、警告情報制御装置10は、例えば、受信メール情報データテーブルにおいて、受信確認画面表示時間が外れ値を超える受信メールの外れ値判定フラグを、外れ値を超えていることを示す値×に設定する。この例において、外れ値は、例えば60秒に設定される。   Subsequently, the warning information control device 50 forwards the mail received from the mail server 200 to the user's mail software 100 (S62). When the reception confirmation screen is a received mail to be displayed, when the reception confirmation screen display means 58 of the warning information control device 50 displays the reception confirmation screen, the time measurement means 56 of the warning information control device 50 displays the reception confirmation screen. Is measured as the reception confirmation screen display time (S63). The reception confirmation screen display time is stored in the received mail information data table. Next, the warning information control device 50 performs outlier determination of the reception confirmation screen display time (S64). When the reception confirmation screen display time exceeds the outlier, the warning information control device 50 excludes the corresponding received mail information from the calculation target of the statistic. Specifically, for example, in the received mail information data table, the warning information control apparatus 10 sets the outlier determination flag of the received mail whose reception confirmation screen display time exceeds the outlier to a value indicating that the outlier is exceeded × Set to. In this example, the outlier is set to 60 seconds, for example.

[外れ値]
本実施の形態例では、メールソフト100におけるメールの受信と、受信確認画面の確認処理とが、一連の流れで行われる場合における受信確認画面表示時間を統計の対象とする。そこで、受信確認画面表示時間が大幅に長い受信メールにおける受信確認画面表示時間は、受信確認画面の確認に要した時間を示さないとみなされ、統計の対象外とされる。即ち、閾値である外れ値を超える受信確認画面表示時間は、用心深さの判定のための統計の対象外とされる。これにより、受信メールの確認処理に要する時間としての意味を為す受信確認画面表示時間の統計に基づくことにより、本実施の形態例における用心深さの判定の精度が高まり、的確に、用心深さの低下した差出人が検出される。 [Outlier]
In the present embodiment, the reception confirmation screen display time in the case where the mail reception in the mail software 100 and the confirmation process of the reception confirmation screen are performed in a series of flows is the target of statistics. Therefore, the reception confirmation screen display time for a received mail with a significantly long reception confirmation screen display time is regarded as not indicating the time required for confirmation of the reception confirmation screen, and is excluded from statistics. That is, the reception confirmation screen display time exceeding the outlier which is the threshold value is excluded from the statistics for determining the precautionary depth. As a result, based on the statistics of the reception confirmation screen display time that makes sense as the time required for the confirmation process of the received mail, the accuracy of the caution depth determination in this embodiment is increased, and the caution depth is accurately determined. A reduced sender is detected.

続いて、第2の実施の形態例における受信メール情報データテーブルについて説明する。   Next, the received mail information data table in the second embodiment will be described.

[受信メール情報データテーブル]
図19は、第2の実施の形態例における受信メール情報データテーブルTB1−2の一例について説明する図である。同図の受信メール情報データテーブルTB1−2は、例えば、Message−ID情報、差出人メールアドレスを示すFrom情報、受信確認画面表示フラグ、受信確認画面表示時間、外れ値判定フラグを有する。受信確認画面表示フラグは、受信確認画面の表示対象であるか否かを示すフラグである。また、外れ値判定フラグは、受信確認画面表示時間が外れ値を超えるか否かを示すフラグである。外れ値判定フラグが○の場合、受信確認画面表示時間が外れ値を超えないことを示す。 [Received mail information data table]
FIG. 19 is a diagram illustrating an example of the received mail information data table TB1-2 in the second embodiment. The received mail information data table TB1-2 in the figure includes, for example, Message-ID information, From information indicating a sender mail address, a reception confirmation screen display flag, a reception confirmation screen display time, and an outlier determination flag. The reception confirmation screen display flag is a flag indicating whether or not the reception confirmation screen is to be displayed. The outlier determination flag is a flag indicating whether or not the reception confirmation screen display time exceeds an outlier. When the outlier determination flag is ◯, it indicates that the reception confirmation screen display time does not exceed the outlier.

続いて、第2の実施の形態例における用心深さ判定処理について説明する。警告情報制御装置50の用心深さ判定手段55は、図19のような、受信メール情報データテーブルTB1−2に基づいて、統計データテーブルを生成する。   Subsequently, a precautionary depth determination process in the second embodiment will be described. The alertness depth determination means 55 of the warning information control device 50 generates a statistical data table based on the received mail information data table TB1-2 as shown in FIG.

[用心深さ判定処理のフローチャート図]
図20は、用心深さ判定処理について説明するフローチャート図である。用心深さ判定手段55は、所定の日時に達すると、受信メール情報データテーブルを参照して、所定の日数分の情報を取得する(S71)。所定の日数分の情報とは、例えば、直近の1カ月に受信したメールの情報である。例えば、直近の1カ月に受信したメールの情報に基づくことにより、最近の期間において、用心深さが低下する傾向を有する差出人が検出可能になる。 [Flowchart of precaution depth determination processing]
FIG. 20 is a flowchart illustrating the precautionary depth determination process. When the predetermined date and time is reached, the precautionary depth determination means 55 refers to the received mail information data table and acquires information for a predetermined number of days (S71). The information for a predetermined number of days is, for example, information on mail received in the most recent month. For example, based on the information of the mail received in the most recent month, it is possible to detect a sender who has a tendency to decrease the alertness in the recent period.

続いて、用心深さ判定手段55は、取得した受信確認画面表示時間を、差出人ごとに分類する(S72)。そして、用心深さ判定手段55は、差出人ごとに分類した受信確認画面表示時間の情報に基づいて、統計量を算出し、統計データテーブルに記憶する(S73)。受信確認画面表示時間の統計量の算出処理については、第1の実施の形態例と同様である。第2の実施の形態例においても、例えば、受信確認画面表示時間の標準化データに基づく統計、Z検定及びt検定に基づく統計、F検定に基づく統計について、用心深さが判定される。   Subsequently, the vigilance depth determination means 55 classifies the acquired reception confirmation screen display time for each sender (S72). Then, the vigilance depth determination means 55 calculates a statistic based on the information of the reception confirmation screen display time classified for each sender, and stores it in the statistical data table (S73). The processing for calculating the statistics of the reception confirmation screen display time is the same as in the first embodiment. Also in the second embodiment, for example, a precaution is determined for statistics based on standardized data of the reception confirmation screen display time, statistics based on Z test and t test, and statistics based on F test.

これにより、警告情報制御装置50は、受信確認画面表示時間が、他の差出人からの受信メール、または、全ての差出人からの受信メールに対して、顕著に短いと判定される受信メールの差出人を、用心深さが低下している差出人として検出することができる。または、警告情報制御装置50は、受信確認画面表示時間の分散度合いが、他の差出人からの受信メール、または、全ての差出人からの受信メールに対して、顕著に小さいと判定される受信メールの差出人を、用心深さが低下している差出人として検出することができる。   As a result, the warning information control device 50 displays the sender of the received mail whose reception confirmation screen display time is determined to be significantly shorter than the received mail from other senders or the received mail from all senders. , It can be detected as a sender whose precautionary depth is reduced. Alternatively, the warning information control device 50 determines whether the reception confirmation screen display time distribution degree is significantly smaller than the received mail from other senders or the received mail from all senders. The sender can be detected as a sender whose precautionary depth is reduced.

以上のように、本実施の形態例における警告情報制御プログラムにおける警告情報制御処理は、受信メールについて、受信メールの確認処理に要する時間を計測し、計測した時間を受信メールの送信元と関連付けて記憶する受信メール情報記憶工程を有する。また、警告情報制御処理は、記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した時間が短い送信元を検出する検出工程と、検出した送信元からのメールの受信時に、警告情報を出力する警告情報出力工程と、を有する。   As described above, the warning information control process in the warning information control program according to the present embodiment measures the time required for the received mail confirmation process for the received mail and associates the measured time with the sender of the received mail. A received mail information storing step of storing; The warning information control process includes a detection step of detecting a transmission source having a shorter stored time than the first reference value based on a distribution based on a plurality of stored received emails, and reception of mail from the detected transmission source. A warning information output step for outputting warning information.

これにより、本実施の形態例における警告情報制御プログラムは、特定の差出人からの受信メールについて用心深さが低下している、即ち、受信メールの内容確認が疎かになっていることを検出し、ユーザに警告することができる。また、本実施の形態例における警告情報制御プログラムは、計測した時間の長さに基づいて、判定対象の差出人からの受信メールに対する用心深さを判定する。これにより、警告情報制御プログラムは、メールの開封や添付ファイルの開封を煽りメールの確認時間が短くになり易い差出人からのメールに対して、十分な確認を行うことをユーザに習慣付けることができる。また、警告情報制御プログラムは、計測した時間に基づくことにより、信頼できる差出人からの受信メールについても注意喚起を促すことができ、標的型メールに対する対処を可能にする。   Thereby, the warning information control program in the present embodiment detects that the alertness is lowered for the received mail from the specific sender, that is, the content confirmation of the received mail is neglected, The user can be warned. Further, the warning information control program in the present embodiment determines the precautions for the received mail from the sender to be determined based on the measured length of time. As a result, the warning information control program can habit the user to sufficiently check the mail from the sender who tends to shorten the mail confirmation time by opening the mail or opening the attached file. . Further, the warning information control program can call attention to a received mail from a reliable sender based on the measured time, and can deal with a target mail.

また、本実施の形態例における警告情報制御処理において、検出工程は、さらに、複数の受信メールに基づく分布に基づいた第2の基準値より、記憶した時間の分散度合いが小さい送信元を検出する。   Further, in the warning information control process according to the present embodiment, the detection step further detects a transmission source having a smaller degree of dispersion of the stored time than the second reference value based on a distribution based on a plurality of received mails. .

これにより、本実施の形態例における警告情報制御プログラムは、時間の短さに加え、時間の分散度合いに基づいて、用心深さを判定することができる。具体的に、警告情報制御プログラムは、メールの内容確認時間が短くなり易く、且つ、メールの内容確認が機械的になり易い差出人からの受信メールについて、警告情報を出力ことができる。これにより、警告情報制御プログラムは、受信メールに対して十分な確認を行うことを、ユーザに習慣付けることができる。   Thereby, the warning information control program according to the present embodiment can determine the precautionary depth based on the degree of time dispersion in addition to the short time. Specifically, the warning information control program can output warning information for a received mail from a sender whose e-mail content confirmation time is likely to be shortened and whose e-mail content confirmation is likely to be mechanical. As a result, the warning information control program can make it a habit for the user to sufficiently check the received mail.

または、本実施の形態例における警告情報制御処理は、受信メールについて、受信メールの確認処理に要する時間を計測し、計測した時間を受信メールの送信元と関連付けて記憶する受信メール情報記憶工程を有する。また、警告情報制御処理は、記憶した複数の受信メールに基づく分布に基づいた第2の基準値より、記憶した時間の分散度合いが小さい送信元を検出する検出工程と、検出した送信元からのメールの受信時に、警告情報を出力する警告情報出力工程と、を有する。   Alternatively, the warning information control process in the present embodiment includes a received mail information storage step of measuring the time required for the received mail confirmation process for the received mail and storing the measured time in association with the sender of the received mail. Have. In addition, the warning information control process includes a detection step of detecting a transmission source having a smaller degree of variance of the stored time than the second reference value based on the distribution based on the plurality of stored received mails, A warning information output step of outputting warning information when receiving mail.

これにより、本実施の形態例における警告情報制御プログラムは、時間の分散度合いに基づいて、用心深さを判定することにより、メールの確認が機械的になり易い差出人からのメールに対して、十分な確認を行うことをユーザに習慣付けることができる。また、警告情報制御プログラムは、時間に基づくことにより、信頼できる差出人からの受信メールについても注意喚起を促すことができる。   As a result, the warning information control program in the present embodiment is sufficient for the mail from the sender who is likely to mechanically confirm the mail by determining the precautionary depth based on the degree of time dispersion. It is possible to make it a habit to make a confirmation. Further, the warning information control program can call attention to a received mail from a reliable sender based on time.

また、本実施の形態例において、受信メールの確認処理に要する時間は、受信メールの開封から添付ファイルへのアクセスまでの時間(本実施の形態例では、添付開封判断時間)、または、不審メールの候補を対象として出力される不審メール受信確認画面の表示から表示終了までの時間(本実施の形態例では、受信確認画面標示時間)のいずれかである。   In this embodiment, the time required for the received mail confirmation process is the time from opening the received mail to accessing the attached file (attached opening judgment time in this embodiment), or the suspicious mail. Is the time from the display of the suspicious mail reception confirmation screen output for the candidate to the end of the display (in this embodiment, the reception confirmation screen labeling time).

これにより、警告情報制御プログラムは、受信メールの開封から添付ファイルへのアクセスまでの時間や、不審メール受信確認画面の表示から表示終了までの時間を、受信メールの確認処理に要する時間として注目することにより、ユーザの受信メールへの用心深さを測ることができる。そして、警告情報制御プログラムは、受信メールの確認処理に要する時間を示す時間に基づいて、特定の差出人からのメールに対する、ユーザの用心深さを判定することができる。   As a result, the warning information control program pays attention to the time from the receipt of the received mail to access to the attached file and the time from the display of the suspicious mail reception confirmation screen to the end of display as the time required for the confirmation process of the received mail As a result, it is possible to measure the user's alertness to the received mail. Then, the warning information control program can determine the user's alertness with respect to the mail from the specific sender based on the time indicating the time required for the confirmation process of the received mail.

また、本実施の形態例において、検出工程は、検出対象の送信元の受信メールの記憶した時間の平均が、第1の基準値より短い場合に、検出対象の送信元を検出する。これにより、警告情報制御プログラムは、時間の低下傾向にある差出人を高精度に検出することができる。   Further, in the present embodiment, the detection step detects the transmission source of the detection target when the average time stored in the received mail of the transmission source of the detection target is shorter than the first reference value. Thereby, the warning information control program can detect the sender who tends to decrease in time with high accuracy.

また、本実施の形態例において、第1の基準値は、複数の受信メールに基づく分布の平均より小さい値である。また、本実施の形態例において、第2の基準値は、複数の受信メールに基づく分布の平均より小さい値である。これにより、警告情報制御プログラムは、時間が比較対象の分布の平均よりも短い、または、時間の分散度合いが比較対象の分布の平均よりも小さい、差出人を検出することができる。   In the present embodiment, the first reference value is a value smaller than the average of distributions based on a plurality of received mails. In the present embodiment, the second reference value is a value smaller than the average of distributions based on a plurality of received mails. Thereby, the warning information control program can detect a sender whose time is shorter than the average of the comparison target distribution or whose time dispersion is smaller than the average of the comparison target distribution.

また、本実施の形態例において、複数の受信メールに基づく分布は、複数の受信メールの数、または、記憶した時間のいずれかまたは両方に基づく分布である。これにより、警告情報制御プログラムは、受信メールの情報に基づいて、用心深さの判定における比較対象となる分布を生成することができる。   Further, in the present embodiment, the distribution based on a plurality of received mails is a distribution based on either or both of the number of received mails and the stored time. Thereby, the warning information control program can generate a distribution to be compared in the determination of the precautionary depth based on the information of the received mail.

また、本実施の形態例において、複数の受信メールに基づく分布は、検出対象の送信元の受信メールを含む受信メールに基づく分布、または、検出対象の送信元を除く送信元の受信メールを含む受信メールに基づく分布のいずれかである。これにより、警告情報制御プログラムは、標準化データ、Z検定、t検定、F検定等に基づいて、判定対象の差出人からの受信メールにおける時間が、判定対象以外の差出人からの受信メールにおける時間と異なるか否かを判定することができる。   Further, in the present embodiment, the distribution based on a plurality of received mails includes a distribution based on received mails including the received mails of the transmission sources to be detected, or received mails of transmission sources excluding the detection target transmission sources. One of the distributions based on the received mail. As a result, the warning information control program is based on standardized data, Z test, t test, F test, etc., and the time in the received mail from the sender to be judged is different from the time in the received mail from the sender other than the judgment target. It can be determined whether or not.

また、本実施の形態例において、検出対象の送信元の受信メールは、当該検出対象の送信元の直近の基準期間内の受信メールである。これにより、警告情報制御プログラムは、直近の基準期間内の受信メールに基づいて、用心深さが低下している差出人を検出することができる。例えば、警告情報制御プログラムは、直近の1カ月内に受信したメールに基づいて、用心深さが低下している差出人を検出することができる。これにより、警告情報制御プログラムは、最近の期間において、用心深さが低下している差出人が検出可能になる。このため、警告情報制御プログラムは、最近の期間において用心深さが低下した差出人の情報に基づいて、より適切に、警告情報を出力することができる。   Further, in the present embodiment, the received mail of the transmission source that is the detection target is the received mail within the latest reference period of the transmission source of the detection target. Thereby, the warning information control program can detect the sender whose alertness is lowered based on the received mail in the latest reference period. For example, the warning information control program can detect a sender whose alertness has decreased based on mail received within the last month. As a result, the warning information control program can detect a sender whose precautionary depth has decreased in the recent period. For this reason, the warning information control program can output warning information more appropriately based on the information of the sender whose precautionary depth has decreased in the recent period.

また、本実施の形態例において、複数の受信メールに基づく分布は、検出対象の送信元の直近の基準期間内の受信メールを含む受信メールに基づく分布、または、当該検出対象の送信元の直近の基準期間内を除く基準期間以前の受信メールを含む受信メールに基づく分布のいずれかであって、検出対象の送信元の受信メールは、当該検出対象の送信元の直近の基準期間内の受信メールである。これにより、警告情報制御プログラムは、判定対象の差出人からの、直近の基準期間(例えば、1カ月)内の受信メールにおける時間が、同一の差出人からの基準期間以前の受信メールにおける時間と異なるか否かを判定することができる。   Further, in the present embodiment, the distribution based on a plurality of received emails is a distribution based on received emails including received emails within the latest reference period of the detection target transmission source, or the latest of the detection target transmission source. Any of the distributions based on the received mail including the received mail before the reference period excluding the reference period, and the received mail of the detection target sender is received within the latest reference period of the detection target sender It is an email. Thereby, the warning information control program determines whether the time in the received mail within the latest reference period (for example, one month) from the sender to be determined is different from the time in the received mail before the reference period from the same sender. It can be determined whether or not.

また、本実施の形態例において、複数の受信メールに基づく分布は、記憶した時間が基準閾値(外れ値)以内の受信メールに基づく分布である。これにより、警告情報制御プログラムは、メール開封と添付ファイルへのアクセスが一連の流れで行われる場合における時間に基づいて、用心深さの判定を行うことができる。または、警告情報制御プログラムは、メールソフト100におけるメールの受信と、受信確認画面の確認処理とが、一連の流れで行われる場合における時間に基づいて、用心深さの判定を行うことができる。これにより、統計の対象から、用心深さを判定するための時間としての意味を為さない時間に対応する情報が除外され、統計の精度が高まることにより、用心深さの低下した差出人が的確に検出可能になる。   Further, in the present embodiment, the distribution based on a plurality of received mails is a distribution based on received mails whose stored time is within a reference threshold (outlier). As a result, the warning information control program can determine the precautions based on the time when the mail opening and the access to the attached file are performed in a series of flows. Alternatively, the warning information control program can determine the vigilance based on the time when the mail reception in the mail software 100 and the confirmation process of the reception confirmation screen are performed in a series of flows. As a result, the information corresponding to the time that does not make sense as the time for determining the precautionary depth is excluded from the target of statistics, and the accuracy of the statistics is improved, so that the sender with a low precautionary depth is accurately identified. Can be detected.

以上の実施の形態をまとめると、次の付記のとおりである。
(付記1)
メール受信時に、不審メールに対する警告情報を出力する警告情報制御処理をコンピュータに実行させるコンピュータ読み取り可能な警告情報制御プログラムであって、
前記警告情報制御処理は、
受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶工程と、
前記記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した前記時間が短い前記送信元を検出する検出工程と、
前記検出した送信元からのメールの受信時に、前記警告情報を出力する警告情報出力工程と、を含む処理をコンピュータに実行させることを特徴とする警告情報制御プログラム。
(付記2)
付記1または2において、
前記検出工程は、さらに、前記複数の受信メールに基づく分布に基づいた第2の基準値より、前記記憶した時間の分散度合いが小さい前記送信元を検出する警告情報制御プログラム。
(付記3)
メール受信時に、不審メールに対する警告情報を出力する警告情報制御処理をコンピュータに実行させるコンピュータ読み取り可能な警告情報制御プログラムであって、
前記警告情報制御処理は、
受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶工程と、
前記記憶した複数の受信メールに基づく分布に基づいた第2の基準値より、記憶した前記時間の分散度合いが小さい前記送信元を検出する検出工程と、
検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力工程と、を含む処理をコンピュータに実行させることを特徴とする警告情報制御プログラム。
(付記4)
付記1乃至3のいずれかにおいて、
前記受信メールの確認処理に要する時間は、前記受信メールの開封から添付ファイルへのアクセスまでの時間、または、前記不審メールの候補を対象として出力される不審メール受信確認画面の表示から表示終了までの時間のいずれかである警告情報制御プログラム。
(付記5)
付記1または2において、
前記検出工程は、検出対象の前記送信元の受信メールの前記記憶した時間の平均が、前記第1の基準値より短い場合に、前記検出対象の送信元を検出する警告情報制御プログラム。
(付記6)
付記1または2において、
前記第1の基準値は、前記複数の受信メールに基づく分布の平均より小さい値である警告情報制御プログラム。
(付記7)
付記2または3において、
前記第2の基準値は、前記複数の受信メールに基づく分布の平均より小さい値である警告情報制御プログラム。
(付記8)
付記1乃至7のいずれかにおいて、
前記複数の受信メールに基づく分布は、前記複数の受信メールの数、または、前記複数の受信メールの前記記憶した時間のいずれかまたは両方に基づく分布である警告情報制御プログラム。
(付記9)
付記1乃至8のいずれかにおいて、
前記複数の受信メールに基づく分布は、検出対象の前記送信元の受信メールを含む受信メールに基づく分布、または、前記検出対象の前記送信元を除く送信元の受信メールを含む受信メールに基づく分布のいずれかである警告情報制御プログラム。
(付記10)
付記項1乃至9のいずれかにおいて、
検出対象の前記送信元の受信メールは、当該検出対象の送信元の直近の基準期間内の受信メールである警告情報制御プログラム。
(付記11)
付記1乃至8のいずれかにおいて、
前記複数の受信メールに基づく分布は、検出対象の送信元の直近の基準期間内の受信メールを含む受信メールに基づく分布、または、当該検出対象の送信元の直近の基準期間内を除く前記基準期間以前の受信メールを含む受信メールに基づく分布のいずれかであって、
検出対象の前記送信元の受信メールは、当該検出対象の送信元の前記直近の基準期間内の受信メールである警告情報制御プログラム。
(付記12)
付記1乃至11のいずれかにおいて、
前記複数の受信メールに基づく分布は、前記記憶した時間が基準閾値以内の受信メールに基づく分布である警告情報制御プログラム。
(付記13)
メーラーがメールサーバからのメール受信時に、不審メールに対する警告情報を出力する警告情報制御装置であって、
前記メールサーバからの受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶手段と、
前記記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した前記時間が短い前記送信元を検出する検出手段と、
検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力手段と、を有する警告情報制御装置。
(付記14)
メーラーがメールサーバからのメール受信時に、不審メールに対する警告情報を出力する警告情報制御装置であって、
前記メールサーバからの受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶手段と、
前記記憶した複数の受信メールに基づく分布に基づいた第2の基準値より、記憶した前記時間の分散度合いが小さい前記送信元を検出する検出手段と、
検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力手段と、を有する警告情報制御装置。 The above embodiment is summarized as follows.
(Appendix 1)
A computer-readable warning information control program for causing a computer to execute warning information control processing for outputting warning information for suspicious mail when receiving mail,
The warning information control process includes:
A received mail information storage step for measuring the time required for the confirmation process of the received mail for the received mail, and storing the measured time in association with the transmission source of the received mail;
A detection step of detecting the transmission source having a shorter stored time than a first reference value based on a distribution based on the plurality of stored received mails;
A warning information control program that causes a computer to execute a process including a warning information output step of outputting the warning information when receiving a mail from the detected transmission source.
(Appendix 2)
In Appendix 1 or 2,
The detection step further includes a warning information control program for detecting the transmission source having a smaller degree of dispersion of the stored time than a second reference value based on a distribution based on the plurality of received mails.
(Appendix 3)
A computer-readable warning information control program for causing a computer to execute warning information control processing for outputting warning information for suspicious mail when receiving mail,
The warning information control process includes:
A received mail information storage step for measuring the time required for the confirmation process of the received mail for the received mail, and storing the measured time in association with the transmission source of the received mail;
A detection step of detecting the transmission source having a smaller degree of variance of the stored time than a second reference value based on the distribution based on the plurality of stored received mails;
A warning information control program that causes a computer to execute processing including a warning information output step of outputting the warning information when a detected mail is received from the transmission source.
(Appendix 4)
In any one of supplementary notes 1 to 3,
The time required for the confirmation process of the received mail is the time from the opening of the received mail to the access to the attached file, or from the display of the suspicious mail reception confirmation screen output for the suspicious mail candidates to the end of display. Warning information control program that is one of the times.
(Appendix 5)
In Appendix 1 or 2,
The detection step is a warning information control program for detecting the transmission source of the detection target when the average of the stored time of the received mail of the transmission source of the detection target is shorter than the first reference value.
(Appendix 6)
In Appendix 1 or 2,
The warning information control program, wherein the first reference value is a value smaller than an average of distributions based on the plurality of received mails.
(Appendix 7)
In Appendix 2 or 3,
The warning information control program, wherein the second reference value is a value smaller than an average of distributions based on the plurality of received mails.
(Appendix 8)
In any one of appendices 1 to 7,
The distribution based on the plurality of received mails is a warning information control program which is a distribution based on one or both of the number of the plurality of received mails or the stored time of the plurality of received mails.
(Appendix 9)
In any one of appendices 1 to 8,
The distribution based on the plurality of received mails is a distribution based on received mails including the received mails of the transmission source to be detected, or a distribution based on received mails including the received mails of the senders excluding the transmission source of the detection target. Warning information control program that is either.
(Appendix 10)
In any one of Supplementary Items 1 to 9,
The warning information control program in which the received mail of the transmission source to be detected is a received mail within the latest reference period of the transmission source of the detection target.
(Appendix 11)
In any one of appendices 1 to 8,
The distribution based on the plurality of received mails is a distribution based on received mails including received mails within the latest reference period of the transmission source to be detected, or the reference excluding within the latest reference periods of the detection target transmission sources. Any distribution based on incoming email, including incoming email before the period,
The warning information control program, wherein the received mail of the transmission source to be detected is a received mail within the latest reference period of the transmission source of the detection target.
(Appendix 12)
In any one of appendices 1 to 11,
The distribution based on the plurality of received mails is a warning information control program in which the stored time is a distribution based on received mails within a reference threshold.
(Appendix 13)
A warning information control device that outputs warning information for suspicious mail when a mailer receives mail from a mail server,
About the received mail from the mail server, the time required for the confirmation process of the received mail is measured, and the received mail information storage means for storing the measured time in association with the sender of the received mail;
Detecting means for detecting the transmission source having the stored time shorter than a first reference value based on the distribution based on the plurality of stored received mails;
And a warning information output unit that outputs the warning information when receiving the detected mail from the transmission source.
(Appendix 14)
A warning information control device that outputs warning information for suspicious mail when a mailer receives mail from a mail server,
About the received mail from the mail server, the time required for the confirmation process of the received mail is measured, and the received mail information storage means for storing the measured time in association with the sender of the received mail;
Detecting means for detecting the transmission source having a smaller degree of variance of the stored time than a second reference value based on the distribution based on the plurality of stored received mails;
And a warning information output unit that outputs the warning information when receiving the detected mail from the transmission source.

10:警告情報制御装置、11:受信メールヘッダ情報管理手段、12:警告手段、13:メール開封確認手段、14:添付ファイル開封確認手段、15:用心深さ判定手段、16:時間計測手段、17:受信メール情報記憶装置、100:メールソフト、200:メールサーバ 10: warning information control device, 11: received mail header information management means, 12: warning means, 13: mail opening confirmation means, 14: attached file opening confirmation means, 15: precaution determination means, 16: time measurement means, 17: received mail information storage device, 100: mail software, 200: mail server

Claims (14)

メール受信時に、不審メールに対する警告情報を出力する警告情報制御処理をコンピュータに実行させるコンピュータ読み取り可能な警告情報制御プログラムであって、
前記警告情報制御処理は、
受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶工程と、
前記記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した前記時間が短い前記送信元を検出する検出工程と、
検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力工程と、を含む処理をコンピュータに実行させることを特徴とする警告情報制御プログラム。 A computer-readable warning information control program for causing a computer to execute warning information control processing for outputting warning information for suspicious mail when receiving mail,
The warning information control process includes:
A received mail information storage step for measuring the time required for the confirmation process of the received mail for the received mail, and storing the measured time in association with the transmission source of the received mail;
A detection step of detecting the transmission source having a shorter stored time than a first reference value based on a distribution based on the plurality of stored received mails;
A warning information control program that causes a computer to execute processing including a warning information output step of outputting the warning information when a detected mail is received from the transmission source. 請求項1において、
前記検出工程は、さらに、前記複数の受信メールに基づく分布に基づいた第2の基準値より、前記記憶した時間の分散度合いが小さい前記送信元を検出する警告情報制御プログラム。 In claim 1,
The detection step further includes a warning information control program for detecting the transmission source having a smaller degree of dispersion of the stored time than a second reference value based on a distribution based on the plurality of received mails. メール受信時に、不審メールに対する警告情報を出力する警告情報制御処理をコンピュータに実行させるコンピュータ読み取り可能な警告情報制御プログラムであって、
前記警告情報制御処理は、
受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶工程と、
前記記憶した複数の受信メールに基づく分布に基づいた第2の基準値より、記憶した前記時間の分散度合いが小さい前記送信元を検出する検出工程と、
検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力工程と、を含む処理をコンピュータに実行させることを特徴とする警告情報制御プログラム。 A computer-readable warning information control program for causing a computer to execute warning information control processing for outputting warning information for suspicious mail when receiving mail,
The warning information control process includes:
A received mail information storage step for measuring the time required for the confirmation process of the received mail for the received mail, and storing the measured time in association with the transmission source of the received mail;
A detection step of detecting the transmission source having a smaller degree of variance of the stored time than a second reference value based on the distribution based on the plurality of stored received mails;
A warning information control program that causes a computer to execute processing including a warning information output step of outputting the warning information when a detected mail is received from the transmission source. 請求項1乃至3のいずれかにおいて、
前記受信メールの確認処理に要する時間は、前記受信メールの開封から添付ファイルへのアクセスまでの時間、または、前記不審メールの候補を対象として出力される不審メール受信確認画面の表示から表示終了までの時間のいずれかである警告情報制御プログラム。 In any one of Claims 1 thru | or 3,
The time required for the confirmation process of the received mail is the time from the opening of the received mail to the access to the attached file, or from the display of the suspicious mail reception confirmation screen output for the suspicious mail candidates to the end of display. Warning information control program that is one of the times. 請求項1または2において、
前記検出工程は、検出対象の前記送信元の受信メールの前記記憶した時間の平均が、前記第1の基準値より短い場合に、前記検出対象の送信元を検出する警告情報制御プログラム。 In claim 1 or 2,
The detection step is a warning information control program for detecting the transmission source of the detection target when the average of the stored time of the received mail of the transmission source of the detection target is shorter than the first reference value. 請求項1または2において、
前記第1の基準値は、前記複数の受信メールに基づく分布の平均より小さい値である警告情報制御プログラム。 In claim 1 or 2,
The warning information control program, wherein the first reference value is a value smaller than an average of distributions based on the plurality of received mails. 請求項2または3において、
前記第2の基準値は、前記複数の受信メールに基づく分布の平均より小さい値である警告情報制御プログラム。 In claim 2 or 3,
The warning information control program, wherein the second reference value is a value smaller than an average of distributions based on the plurality of received mails. 請求項1乃至7のいずれかにおいて、
前記複数の受信メールに基づく分布は、前記複数の受信メールの数、または、前記複数の受信メールの前記記憶した時間のいずれかまたは両方に基づく分布である警告情報制御プログラム。 In any one of Claims 1 thru | or 7,
The distribution based on the plurality of received mails is a warning information control program which is a distribution based on one or both of the number of the plurality of received mails or the stored time of the plurality of received mails. 請求項1乃至8のいずれかにおいて、
前記複数の受信メールに基づく分布は、検出対象の前記送信元の受信メールを含む受信メールに基づく分布、または、前記検出対象の送信元を除く前記送信元の受信メールを含む受信メールに基づく分布のいずれかである警告情報制御プログラム。 In any one of Claims 1 thru | or 8.
The distribution based on the plurality of received mails is a distribution based on received mails including the received mails of the transmission source to be detected, or a distribution based on received mails including the received mails of the transmission source excluding the transmission source of the detection target. Warning information control program that is either. 請求項1乃至9のいずれかにおいて、
検出対象の前記送信元の受信メールは、当該検出対象の送信元の直近の基準期間内の受信メールである警告情報制御プログラム。 In any one of Claims 1 thru | or 9,
The warning information control program in which the received mail of the transmission source to be detected is a received mail within the latest reference period of the transmission source of the detection target. 請求項1乃至8のいずれかにおいて、
前記複数の受信メールに基づく分布は、検出対象の送信元の直近の基準期間内の受信メールを含む受信メールに基づく分布、または、当該検出対象の送信元の直近の基準期間内を除く前記基準期間以前の受信メールを含む受信メールに基づく分布のいずれかであって、
検出対象の前記送信元の受信メールは、当該検出対象の送信元の前記直近の基準期間内の受信メールである警告情報制御プログラム。 In any one of Claims 1 thru | or 8.
The distribution based on the plurality of received mails is a distribution based on received mails including received mails within the latest reference period of the transmission source to be detected, or the reference excluding within the latest reference periods of the detection target transmission sources. Any distribution based on incoming email, including incoming email before the period,
The warning information control program, wherein the received mail of the transmission source to be detected is a received mail within the latest reference period of the transmission source of the detection target. 請求項1乃至11のいずれかにおいて、
前記複数の受信メールに基づく分布は、前記記憶した時間が基準閾値以内の受信メールに基づく分布である警告情報制御プログラム。 In any one of Claims 1 thru | or 11,
The distribution based on the plurality of received mails is a warning information control program in which the stored time is a distribution based on received mails within a reference threshold. メーラーがメールサーバからのメール受信時に、不審メールに対する警告情報を出力する警告情報制御装置であって、
前記メールサーバからの受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶手段と、
前記記憶した複数の受信メールに基づく分布に基づいた第1の基準値より、記憶した前記時間が短い前記送信元を検出する検出手段と、
検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力手段と、を有する警告情報制御装置。 A warning information control device that outputs warning information for suspicious mail when a mailer receives mail from a mail server,
About the received mail from the mail server, the time required for the confirmation process of the received mail is measured, and the received mail information storage means for storing the measured time in association with the sender of the received mail;
Detecting means for detecting the transmission source having the stored time shorter than a first reference value based on the distribution based on the plurality of stored received mails;
And a warning information output unit that outputs the warning information when receiving the detected mail from the transmission source. メーラーがメールサーバからのメール受信時に、不審メールに対する警告情報を出力する警告情報制御装置であって、
前記メールサーバからの受信メールについて、前記受信メールの確認処理に要する時間を計測し、計測した前記時間を前記受信メールの送信元と関連付けて記憶する受信メール情報記憶手段と、
前記記憶した複数の受信メールに基づく分布に基づいた第2の基準値より、記憶した前記時間の分散度合いが小さい前記送信元を検出する検出手段と、
検出した前記送信元からのメールの受信時に、前記警告情報を出力する警告情報出力手段と、を有する警告情報制御装置。 A warning information control device that outputs warning information for suspicious mail when a mailer receives mail from a mail server,
About the received mail from the mail server, the time required for the confirmation process of the received mail is measured, and the received mail information storage means for storing the measured time in association with the sender of the received mail;
Detecting means for detecting the transmission source having a smaller degree of variance of the stored time than a second reference value based on the distribution based on the plurality of stored received mails;
And a warning information output unit that outputs the warning information when receiving the detected mail from the transmission source.
JP2013065044A 2013-03-26 2013-03-26 Warning information control program, warning information control device Active JP6040827B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013065044A JP6040827B2 (en) 2013-03-26 2013-03-26 Warning information control program, warning information control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013065044A JP6040827B2 (en) 2013-03-26 2013-03-26 Warning information control program, warning information control device

Publications (2)

Publication Number Publication Date
JP2014191494A JP2014191494A (en) 2014-10-06
JP6040827B2 true JP6040827B2 (en) 2016-12-07

Family

ID=51837714

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013065044A Active JP6040827B2 (en) 2013-03-26 2013-03-26 Warning information control program, warning information control device

Country Status (1)

Country Link
JP (1) JP6040827B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6515621B2 (en) * 2015-03-25 2019-05-22 富士通株式会社 Mail processing server, mail processing method, and mail processing program
JP2017079042A (en) * 2015-10-22 2017-04-27 富士通株式会社 Attention alert action support program, attention alert action support device, and attention alert action support method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5592141B2 (en) * 2010-04-07 2014-09-17 中国電力株式会社 Mail priority judgment device

Also Published As

Publication number Publication date
JP2014191494A (en) 2014-10-06

Similar Documents

Publication Publication Date Title
US10819744B1 (en) Collaborative phishing attack detection
US10616272B2 (en) Dynamically detecting abnormalities in otherwise legitimate emails containing uniform resource locators (URLs)
US20190052655A1 (en) Method and system for detecting malicious and soliciting electronic messages
US20180013790A1 (en) Anti-phishing protection
US8549642B2 (en) Method and system for using spam e-mail honeypots to identify potential malware containing e-mails
US8719940B1 (en) Collaborative phishing attack detection
US8601065B2 (en) Method and apparatus for preventing outgoing spam e-mails by monitoring client interactions
US20090043853A1 (en) Employing pixel density to detect a spam image
US20140230060A1 (en) Collaborative phishing attack detection
US20090126012A1 (en) Risk Scoring System For The Prevention of Malware
US20100161734A1 (en) Determining spam based on primary and secondary email addresses of a user
US8413251B1 (en) Using disposable data misuse to determine reputation
US7818373B2 (en) Notifying co-recipients of others currently replying to communications
US10574696B2 (en) System and method for detecting phishing e-mails
JP2013229656A (en) Mail processing method and system
US11258811B2 (en) Email attack detection and forensics
US20160191553A1 (en) Alert transmission method, computer-readable recording medium, and alert transmission apparatus
JP6040827B2 (en) Warning information control program, warning information control device
US9740858B1 (en) System and method for identifying forged emails
US20050198181A1 (en) Method and apparatus to use a statistical model to classify electronic communications
TW201606558A (en) Detecting device, method, and program of divulgence of confidential information
US20130246536A1 (en) System, method, and computer program product for providing a rating of an electronic message
KR20170005279A (en) Intelligent and learning type mail firewall appratus
CN110324231A (en) The non-based reminding method for knowing well Email
US9306895B1 (en) Prediction of message deliverability events

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151106

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160926

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161011

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161024

R150 Certificate of patent or registration of utility model

Ref document number: 6040827

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150