JP6897257B2 - 電子メール処理装置および電子メール処理プログラム - Google Patents
電子メール処理装置および電子メール処理プログラム Download PDFInfo
- Publication number
- JP6897257B2 JP6897257B2 JP2017078760A JP2017078760A JP6897257B2 JP 6897257 B2 JP6897257 B2 JP 6897257B2 JP 2017078760 A JP2017078760 A JP 2017078760A JP 2017078760 A JP2017078760 A JP 2017078760A JP 6897257 B2 JP6897257 B2 JP 6897257B2
- Authority
- JP
- Japan
- Prior art keywords
- sender
- domain
- field
- organization name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/10—Text processing
- G06F40/166—Editing, e.g. inserting or deleting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/279—Recognition of textual entities
- G06F40/289—Phrasal analysis, e.g. finite state techniques or chunking
- G06F40/295—Named entity recognition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/48—Message addressing, e.g. address format or anonymous messages, aliases
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Human Resources & Organizations (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Computational Linguistics (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Artificial Intelligence (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Economics (AREA)
- General Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Marketing (AREA)
- Data Mining & Analysis (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、電子メール内で詐称している部分と詐称していない部分があった場合、または、本文内のリンク部分が含まれていない場合であっても、送信者を詐称した電子メールを検出することができる電子メール処理装置および電子メール処理プログラムを提供することを目的としている。
請求項1の発明は、電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールが詐称であると判断し、前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名である、電子メール処理装置である。
請求項5の発明は、電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールが詐称であると判断し、前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、電子メール処理装置である。
請求項6の発明は、電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールについての詐称対応処理を行い、前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、電子メール処理装置である。
請求項7の発明は、電子メールの本文または件名から第1送信者情報を検出する第1検出手段と、前記電子メールのヘッダから第2送信者情報を検出する第2検出手段と、前記第1送信者情報と前記第2送信者情報が不一致の場合、前記電子メールが詐称であると判断する詐称判断手段と、を具備し、前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、電子メール処理装置である。
請求項8の発明は、電子メールの本文または件名から第1送信者情報を検出する第1検出手段と、前記電子メールのヘッダから第2送信者情報を検出する第2検出手段と、前記第1送信者情報と前記第2送信者情報が不一致の場合、前記電子メールについての詐称対応処理を行う詐称対応処理手段と、を具備し、前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、電子メール処理装置である。
請求項23の発明は、コンピュータに、電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールが詐称であると判断し、前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報であることを実現させるための電子メール処理プログラムである。
請求項24の発明は、コンピュータに、電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールについての詐称対応処理を行い、前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報であることを実現させるための電子メール処理プログラムである。
請求項25の発明は、コンピュータを、電子メールの本文または件名から第1送信者情報を検出する第1検出手段と、前記電子メールのヘッダから第2送信者情報を検出する第2検出手段と、前記第1送信者情報と前記第2送信者情報が不一致の場合、前記電子メールが詐称であると判断する詐称判断手段として機能させ、前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、電子メール処理プログラムである。
請求項26の発明は、コンピュータを、電子メールの本文または件名から第1送信者情報を検出する第1検出手段と、前記電子メールのヘッダから第2送信者情報を検出する第2検出手段と、前記第1送信者情報と前記第2送信者情報が不一致の場合、前記電子メールについての詐称対応処理を行う詐称対応処理手段として機能させ、前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、電子メール処理プログラムである。
請求項5の電子メール処理装置によれば、電子メール内で詐称している部分と詐称していない部分があった場合、または、本文内のリンク部分が含まれていない場合であっても、送信者を詐称した電子メールを検出することができる。また、第2送信者情報として、電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報を用いることができる。
請求項6の電子メール処理装置によれば、電子メール内で詐称している部分と詐称していない部分があった場合、または、本文内のリンク部分が含まれていない場合であっても、送信者を詐称した電子メールについて詐称対応処理を行うことができる。また、第2送信者情報として、電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報を用いることができる。
請求項7の電子メール処理装置によれば、電子メール内で詐称している部分と詐称していない部分があった場合、または、本文内のリンク部分が含まれていない場合であっても、送信者を詐称した電子メールを検出することができる。また、第2送信者情報として、電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報を用いることができる。
請求項8の電子メール処理装置によれば、電子メール内で詐称している部分と詐称していない部分があった場合、または、本文内のリンク部分が含まれていない場合であっても、送信者を詐称した電子メールについて詐称対応処理を行うことができる。また、第2送信者情報として、電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報を用いることができる。
請求項23の電子メール処理プログラムによれば、電子メール内で詐称している部分と詐称していない部分があった場合、または、本文内のリンク部分が含まれていない場合であっても、送信者を詐称した電子メールを検出することができる。また、第2送信者情報として、電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報を用いることができる。
請求項24の電子メール処理プログラムによれば、電子メール内で詐称している部分と詐称していない部分があった場合、または、本文内のリンク部分が含まれていない場合であっても、送信者を詐称した電子メールについて詐称対応処理を行うことができる。また、第2送信者情報として、電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報を用いることができる。
請求項25の電子メール処理プログラムによれば、電子メール内で詐称している部分と詐称していない部分があった場合、または、本文内のリンク部分が含まれていない場合であっても、送信者を詐称した電子メールを検出することができる。また、第2送信者情報として、電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報を用いることができる。
請求項26の電子メール処理プログラムによれば、電子メール内で詐称している部分と詐称していない部分があった場合、または、本文内のリンク部分が含まれていない場合であっても、送信者を詐称した電子メールについて詐称対応処理を行うことができる。また、第2送信者情報として、電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報を用いることができる。
図1は、本実施の形態の構成例についての概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、それらのモジュールとして機能させるためのコンピュータ・プログラム(コンピュータにそれぞれの手順を実行させるためのプログラム、コンピュータをそれぞれの手段として機能させるためのプログラム、コンピュータにそれぞれの機能を実現させるためのプログラム)、システムおよび方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、または記憶装置に記憶させるように制御するという意味である。また、モジュールは機能に一対一に対応していてもよいが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散または並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)の場合にも用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態にしたがって、またはそれまでの状況・状態にしたがって定まることの意を含めて用いる。「予め定められた値」が複数ある場合は、それぞれ異なった値であってもよいし、2以上の値(もちろんのことながら、全ての値も含む)が同じであってもよい。また、「Aである場合、Bをする」という記載は、「Aであるか否かを判断し、Aであると判断した場合はBをする」の意味で用いる。ただし、Aであるか否かの判断が不要である場合を除く。また、「A、B、C」等のように事物を列挙した場合は、断りがない限り例示列挙であり、その1つのみを選んでいる場合(例えば、Aのみ)を含む。
また、システムまたは装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。もちろんのことながら、「システム」には、人為的な取り決めである社会的な「仕組み」(社会システム)にすぎないものは含まない。
また、各モジュールによる処理毎にまたはモジュール内で複数の処理を行う場合はその処理毎に、対象となる情報を記憶装置から読み込み、その処理を行った後に、処理結果を記憶装置に書き出すものである。したがって、処理前の記憶装置からの読み込み、処理後の記憶装置への書き出しについては、説明を省略する場合がある。なお、ここでの記憶装置としては、ハードディスク、RAM(Random Access Memory)、外部記憶媒体、通信回線を介した記憶装置、CPU(Central Processing Unit)内のレジスタ等を含んでいてもよい。
「送信者を詐称している電子メール」とは、送信者(発信元、差出人等ともいわれる)の情報を偽った電子メールのことをいい、なりすましメール、偽装メール等ともいわれる。例えば、送信者、件名(題名、タイトル、サブジェクト(Subject)等ともいわれる)、本文等を本来のものとは違うように偽った電子メールが該当する。
電子メールは、送信者が内容を記載できる項目(例えば、件名、本文、Fromヘッダフィールド等)を含んでいる。送信者を詐称している電子メールの目的は、例えば、その電子メールの送信者が著名な会社に所属していることを電子メールの受信者に信じさせることである。そのため、送信者を詐称している電子メールは、その著名な会社の会社名やドメインを送信者が内容を記載できる項目(例えば、件名、本文、Fromヘッダフィールド等)に記載している。また、電子メールは、ヘッダの一部として送信者が内容を記載できない項目(Receivedヘッダフィールド等)を含んでいる。たとえば、Receivedヘッダフィールドは、電子メールサーバが付加する情報であり、送信者が内容を記載できない情報である。したがって、電子メールの送信者を詐称する場合に、電子メール内で送信者のドメインまたは組織名を全て一致させることは困難である。特に、電子メールのヘッダ部分と本文(または件名)との間、本文(または件名)同士の間には齟齬が生じやすい。本実施の形態は、その点を考慮して、電子メールの詐称を検出するものである。
例えば、特許文献1に記載の技術では、電子メールのヘッダのReceivedヘッダフィールドとFromヘッダフィールドの情報を元に、電子メールの送信元の詐称を検出している。非特許文献1で示した例のように、ヘッダフィールドを詐称していない場合は、トレース情報と送信元電子メールアドレスは一致するので、詐称でないと判断される。つまり、電子メールのReceivedヘッダフィールドとFromヘッダフィールドの情報が一致している場合、特許文献1に記載の技術では、詐称メールを検出できない。
(1)特許文献2に記載の技術では、リンク部分だけを利用する。
本実施の形態では、リンク部分に限らず本文全体の文字列を解析して、組織名(送信者を表す組織名)から送信者ドメインを推定し、そのドメインとヘッダ部分の送信者ドメインが対応しているか否かを判断する。または、ヘッダ部分内の送信者ドメインから組織名を推定し、そのドメインとヘッダ部分の組織名が対応しているか否かを判断する。したがって、リンク部分のURLがない電子メールでも、詐称を判断できる。
(2)特許文献2に記載の技術では、電子メールの本文から2つの情報(リンク部分の表示内容とリンク先URL)を抽出し、その組み合わせで詐称を判断する。
本実施の形態は、電子メールの本文から検出した送信者のドメイン(または組織名)とヘッダ部分(Receivedフィールド等)から検出した送信者のドメイン(または組織名)で詐称を判断する。
(3)特許文献2に記載の技術では、予め認証サーバで、正規の(詐称でない)リンク部分の表示内容とリンク先URLとの組み合わせの登録が必要である。つまり、詐称しているデータを登録してはいけない。正規のデータだけを登録し、詐称のデータを登録しないようにすることは困難である。
特に、ドメインを管理しているレジストリ(登録管理組織)が提供しているwhoisサービスを利用すれば、自分で対応表を作成する必要がない。1組織1ドメイン名の原則(ただし、汎用JPドメイン名(.jp)は複数のドメイン名登録が認められており、1組織にて2つ以上の属性型・地域型JPドメイン名の登録が可能)があり、既に登録されているドメイン名は登録されないことから、前述の組織名:A社とB社が用いるドメイン:B−domainの組み合わせ、または、組織名:B社とA社が用いるドメイン:A−domainの組み合わせが登録されることはない。
メール受信モジュール110は、通信モジュール105、詐称検出モジュール115の検出(A)モジュール120、検出(B)モジュール125と接続されている。メール受信モジュール110は、通信モジュール105を介して、他の装置からの電子メールを受信する。なお、メール受信モジュール110が受信する電子メールは、情報処理装置100を使用しているユーザ宛の電子メールの他に、電子メールを中継するメールサーバが受信する電子メールであってもよい。つまり、前者における情報処理装置100は、そのユーザが利用する端末であり、後者における情報処理装置100は、メールサーバである。
また、検出(A)モジュール120は、電子メールの本文または件名から送信者の組織名を検出し、送信者の組織名から、組織名とドメインの対応表を参照して、第1送信者ドメインを検出するようにしてもよい。対応表は、対応表記憶モジュール130に記憶されているものを用いてもよい。
また、検出(A)モジュール120は、電子メールの本文または件名から第1送信者組織名を検出するようにしてもよい。
また、検出(A)モジュール120は、電子メールの本文または件名内の第1箇所から第1送信者情報を検出し、その本文または件名内の第1箇所とは異なる第2の箇所から第2B送信者情報を検出してもよい。もちろんのことながら、この「第2の箇所」は、本文または件名内にあって、第1の箇所とは異なる箇所である。例えば、ここでの第2B送信者情報は、送信者ドメインまたは送信者の組織名である。もちろんのことながら、第1送信者情報が送信者ドメインである場合は、第2B送信者情報も送信者ドメインであり、第1送信者情報が送信者の組織名である場合は、第2B送信者情報も送信者の組織名である。
また、検出(B)モジュール125は、電子メールのヘッダから第2送信者ドメインを検出するようにしてもよい。
また、検出(B)モジュール125は、電子メールのヘッダから送信者のドメインを検出し、その送信者のドメインから、組織名とドメインの対応表を参照して、第2送信者組織名を検出するようにしてもよい。対応表は、対応表記憶モジュール130に記憶されているものを用いてもよい。
ここでの「検出」には、決定、仮決定、推測、抽出等の意味を含めてもよい。
また、ここでの「詐称」とは、送信者(組織を含む)を偽ることであり、例えば、送信者は組織Bに属しているにもかかわらず、組織Bとは関係のない組織Aに属しているとして(または組織Aに属していると誤解させるように)電子メールが作成されている場合が該当する。
また、詐称判断モジュール135は、第1送信者組織名と第2送信者組織名が不一致の場合、電子メールが詐称であると判断するようにしてもよい。なお、第1送信者組織名は検出(A)モジュール120が検出したものを用い、第2送信者組織名は検出(B)モジュール125が検出したものを用いればよい。
また、詐称判断モジュール135は、電子メールの本文または件名内の第1箇所から検出した第1送信者情報とその本文または件名内の第1箇所とは異なる第2の箇所から検出した第2B送信者情報とが不一致の場合、その電子メールが詐称であると判断するようにしてもよい。なお、第1送信者情報と第2B送信者情報は検出(A)モジュール120が検出したものを用いればよい。
本来であるならば、電子メールの本文または件名内に第1送信情報が検出できなかった場合、第1送信者情報と第2送信者情報は不一致となるので、詐称と判断される。しかし、例えば、電子メールの本文または件名内に「C株式会社、D株式会社」の記載があり、「C株式会社」については第2送信者情報と一致するが、「D株式会社」については、対応表にDに対応する組織名(「D」、「D株式会社」等)またはドメインが登録されていないために、第1送信者情報を検出できなかったことが起こり得る。この場合、送信者は、正式な「C株式会社」である可能性が高いが、「D株式会社」を詐称している可能性もあるため、「詐称である可能性があること」を提示する。
なお、「第1送信者情報を検出できなかった箇所」として、例えば、前述の電子メールの本文または件名内の「D株式会社」の記載が該当し、「その他の箇所」として、例えば、前述の「C株式会社」の記載が該当する。具体的には、図13の例を用いて後述する。
また、詐称対応処理モジュール140は、第1送信者組織名と第2送信者組織名が不一致の場合、電子メールについての詐称対応処理を行うようにしてもよい。なお、第1送信者組織名は検出(A)モジュール120が検出したものを用い、第2送信者組織名は検出(B)モジュール125が検出したものを用いればよいし、不一致か否かについては、詐称判断モジュール135による判断結果を用いればよい。
また、詐称対応処理モジュール140は、電子メールの本文または件名内の第1箇所から検出した第1送信者情報とその本文または件名内の第1箇所とは異なる第2の箇所から検出した第2B送信者情報とが不一致の場合、その電子メールについての詐称対応処理を行うようにしてもよい。なお、第1送信者情報と第2B送信者情報は検出(A)モジュール120が検出したものを用いればよいし、不一致か否かについては、詐称判断モジュール135による判断結果を用いればよい。
ユーザ端末210A、ユーザ端末210B、ユーザ端末210C、電子メールサーバ220A、電子メールサーバ220B、電子メールサーバ220C、WHOISサーバ280は、通信回線290を介してそれぞれ接続されている。ユーザ端末210Bは、情報処理装置100を有している。電子メールサーバ220Cは、情報処理装置100を有している。
ユーザ端末210として、例えば、ユーザが用いる電子メールを受信する装置であって、例えば、パーソナルコンピュータ(ノートパソコンを含む)の他、携帯情報通信機器(携帯電話、スマートフォン、モバイル機器、ウェアラブルコンピュータ等を含む)等が該当する。
電子メールサーバ220として、ユーザが契約しているインターネットサービスプロバイダのメールサーバ、会社等が所有しているメールサーバ、Webメールサーバ等が該当する。
例えば、ユーザ端末210Aのユーザのメールボックスが電子メールサーバ220Aにあり、ユーザ端末210Bのユーザのメールボックスが電子メールサーバ220Bにあり、ユーザ端末210Cのユーザのメールボックスが電子メールサーバ220Cにあるとする。この場合、ユーザ端末210Aのユーザから電子メールサーバ220Bのユーザに電子メールが送信された場合、ユーザ端末210B内の情報処理装置100によって詐称された電子メールであるか否かが判断される。また、ユーザ端末210Aのユーザから電子メールサーバ220Cのユーザに電子メールが送信された場合、電子メールサーバ220C内の情報処理装置100によって詐称された電子メールであるか否かが判断され、その結果がユーザ端末210Cのユーザに送信される。
電子メールのデータは大きく分けて「ヘッダ」と「本文または件名(ボディともいわれる)」で構成されている。ヘッダには、送信者(From)、あて先(To)等の付随情報が含まれている。ボディにはいわゆるメール本文となるテキスト、件名となるテキストがある。なお、一般的には、ヘッダに件名を含めているが、本実施の形態の説明では、ヘッダには件名を含めない。
例えば、電子メール300は、Receivedフィールド305A、Receivedフィールド305B、Fromフィールド310、Toフィールド315、CCフィールド320、Subjectフィールド325、Dateフィールド330、Reply−Toフィールド335、Return−Pathフィールド340、本文フィールド345、添付ファイルフィールド350を有している。
Receivedフィールド305は、電子メールが配送されたルートを示している。最初に配送されたメールサーバが一番下に記載され、順番に、上に記載されたメールサーバに配送されたことを示す。図3に示す例では、Receivedフィールド305Bに記載された送信者のユーザ端末(パソコン等)のアドレス「pc1.xx.co.jp」から送信され、電子メールサーバ「mail.xx.co.jp」に転送され、そして、Receivedフィールド305Aに記載されているように、電子メールサーバ「mail.xx.co.jp」から電子メールサーバ「mail.aa.co.jp」に送信され、受信者のユーザ端末(パソコン等)に電子メール300が配送されたことを示している。送信者のドメインは、最初に配送されたメールサーバのドメイン「xx.co.jp」と同じ場合が多い。つまり、Receivedフィールド305B(Receivedフィールド305の最下段)の「from」部分または「by」部分に記載された「xx.co.jp」が送信者のドメインである。ここで「from」部分と「by」部分のドメイン部分とが一致することを条件として、送信者のドメインを決定するようにしてもよい。また、Receivedフィールド305Bにおける「from」部分と「by」部分のドメイン部分とが一致しない場合は、「from」部分のドメインを送信者のドメインと決定してもよい。また、Receivedフィールド305Bにおける「from」部分と「by」部分のドメイン部分が一致しない場合は、詐称であると判断してもよい。なお、Receivedフィールド305A(Receivedフィールド305の最上段)の「by」部分に記載された「aa.co.jp」が受信者(宛先)のドメインである。Receivedフィールド305は、このような構成になっているため、Receivedフィールド305Bのby部分と次のReceivedフィールド305Aのfrom部分は一致するはずである。したがって、Receivedフィールド305Bのby部分と次のReceivedフィールド305Aのfrom部分が一致しない場合は、詐称であると判断してもよい。
なお、図3に示す例では、Receivedフィールド305は2つであるが、3つ以上であってもよい。
Fromフィールド310は、送信元のメールアドレスが記載されている。図3に示す例では、「y@xx.co.jp」である。詐称するために虚偽の場合がある。
Toフィールド315は、宛先のメールアドレスが記載されている。図3に示す例では、「b@aa.co.jp」である。
CCフィールド320は、カーボンコピーのメールアドレスが記載されている。図3に示す例では、「c@aa.co.jp」である。
Subjectフィールド325は、件名が記載されている。任意の文字列にすることができる。図3に示す例では、「test」である。
Dateフィールド330は、メールが送信された日時が記載されている。図3に示す例では、「Tue, 17 Jan 2017 15:06:38+0900」である。
Reply−Toフィールド335は、メールの返信先が記載されている。図3に示す例では、「y@xx.co.jp」である。詐称するために虚偽の場合がある。
Return−Pathフィールド340は、メール配信エラーの際の差し戻し先のメールアドレスが記載されている。図3に示す例では、「y@xx.co.jp」である。詐称するために虚偽の場合がある。
本文フィールド345は、本文が記載されている。図3に示す例では、以下のように記載されている。
−−−−− −−−−− −−−−−
AA株式会社 B様
本文です
XX株式会社 Y(y@xx.co.jp)
−−−−− −−−−− −−−−−
添付ファイルフィールド350は、添付ファイルが記載されている。具体的には、マルチパートメールと呼ばれ、ヘッダ内のContent−Typeフィールドが「multipart/mixed」となっている。そして、添付ファイルがテキスト化(エンコード)されて、メール本文に埋め込まれる。なお、本文として、添付ファイルを含んでもよい。
例えば、図2の説明で示した送信例との対応をとると、送信者410はユーザ端末210A、電子メールサーバA(送信者側)420は電子メールサーバ220A、電子メールサーバB(受信者側)430はユーザ端末210Bまたはユーザ端末210C、宛先440は電子メールサーバ220Bまたは電子メールサーバ220Cにそれぞれ対応する。
電子メール300の配送経路として、送信者410である「y@xx.co.jp」(ユーザ端末としては、Fromフィールド310Bのfrom部分の「pc1.xx.co.jp」)が送信し、最初に転送する電子メールサーバA(送信者側)420は「mail.xx.co.jp」(Receivedフィールド305Bのby部分)であり、次に転送する電子メールサーバB(受信者側)430は「mail.aa.co.jp」(Receivedフィールド305Aのby部分)であり、最終的に宛先440である「b@aa.co.jp」(Toフィールド315)が受信する。
画面500には、ヘッダ等表示領域510、添付ファイル名表示領域540、本文表示領域550を表示する。
ヘッダ等表示領域510は、Fromフィールド表示欄515、Toフィールド表示欄520、CCフィールド表示欄525、Subjectフィールド表示欄530、Dateフィールド表示欄535を有している。
Fromフィールド表示欄515には、Fromフィールド310の内容を表示する。
Toフィールド表示欄520には、Toフィールド315の内容を表示する。
CCフィールド表示欄525には、CCフィールド320の内容を表示する。
Subjectフィールド表示欄530には、Subjectフィールド325の内容を表示する。
Dateフィールド表示欄535には、Dateフィールド330の内容を表示する。
添付ファイル名表示領域540には、添付ファイルフィールド350のファイル名を表示する。
本文表示領域550には、本文フィールド345の内容を表示する。
なお、通常の表示では、Fromフィールドの内容、Toフィールドの内容、CCフィールドの内容、Subjectフィールドの内容、Dateフィールドの内容、添付ファイル名、本文フィールドの内容が表示され、Receivedフィールドの内容、Reply−Toフィールドの内容、Return−Pathフィールドの内容は、表示されない電子メールツールが多い。したがって、電子メールを受信したユーザ(特に、一般的なユーザ)は、Receivedフィールド等を参考にして、詐称であるか否かを判断することも困難である。
対応表600は、組織名欄610、ドメイン欄620、電話番号欄630を有している。組織名欄610は、組織名を記憶している。ドメイン欄620は、その組織名の組織が所有しているドメインを記憶している。電話番号欄630は、その組織名の組織の電話番号を記憶している。この対応表600によって、組織名からドメインへの変換、ドメインから組織名への変換、電話番号からドメインへの変換等が可能になる。
詐称されやすい著名会社の組織名とドメインを、対応表600に登録しておくことが好ましい。
対応表600は、ユーザによって作成されてもよいし、詐称判断モジュール135がWHOISサーバ280から抽出して作成してもよい。図7の例に示すフローチャートによる処理前に作成されていればよい。この対応表600を本情報処理装置100の対応表記憶モジュール130内に記憶してもよいし、外部サーバに記憶しておき本情報処理装置100からその外部サーバの対応表600を利用してもよい。また、詐称判断モジュール135は、電子メールが詐称であるか否かの判断の都度、対応表記憶モジュール130を用いずに、WHOISサーバ280から検索してもよい。
http://whois.jprs.jp/
http://registrar.verisign-grs.com/webwhois-ui/index.jsp
特に、ドメインを管理しているレジストリ(登録管理組織)が提供しているwhoisサービスを利用すれば、自分で対応表を作成する必要がない。
なお、この対応表600に正規のデータだけを登録するようにしてもよい。そして、組織名とドメインの対応を調べる場合に、この対応表600に登録されていなければ詐称と判断する。この場合、より正確に詐称を判断できるようになる。
ステップS702では、電子メールを受信し記憶する。
ステップS704では、電子メールのReceivedフィールドから、送信者ドメイン、または、送信者の組織名を検出する。
ステップS704で、電子メールのReceivedフィールドの一番下に記載されたメールサーバのアドレス(by部分)から、送信者のドメインを検出する例を示す。例えば、一番下に記載されたメールサーバのアドレスが「mail.sub1.xxx.co.jp」の場合、送信者ドメインは「xxx.co.jp」であると検出する。一番下に記載されたメールサーバは、電子メールを送信した場合に最初に中継するメールサーバであるので、送信者に近いメールサーバであり、その送信者が属しているドメインであると推測されるからである。なお、前述したように、Receivedフィールドの一番下に記載されたメールサーバのアドレス(from部分)から、送信者のドメインを検出してもよいし、by部分とfrom部分のドメインが一致することを条件として、送信者のドメインを決定してもよい。そして、図6の例に示す対応表600を用いて、送信者ドメインから送信者の組織名「XXX」を検出する。具体的には、ドメイン欄620から「xxx.co.jp」を検索し、それに対応する組織名欄610から組織名「XXX」を検出すればよい。
ステップS708では、電子メールのReply−Toフィールドから、送信者アドレス、送信者ドメイン、または、送信者の組織名を検出する。
ステップS710では、電子メールのReturn−Pathフィールドから、送信者アドレス、送信者ドメイン、または、送信者の組織名を検出する。
ステップS706からステップS710での処理について、例を用いて説明する。Fromフィールド、Reply−Toフィールド、Return−Pathフィールドには、それぞれ電子メールアドレスが記載されている。この電子メールアドレスを送信者アドレスとして検出し、例えば、その電子メールアドレスが「nnn@sub1.xxx.co.jp」の場合、送信者ドメインは「xxx.co.jp」であると検出する。そして、図6の例に示す対応表600を用いて、送信者ドメインから送信者の組織名「XXX」を検出する。
電子メールのReceivedフィールド、Fromフィールド、Reply−Toフィールド、Return−Pathフィールドから得られる情報だけでは、詐称している電子メールを見逃してしまう場合がある。そこで、ステップS712以降の処理では、電子メールの本文やSubjectフィールドから得られる情報も用いて、電子メールが詐称していることを検出する。
ステップS712の詳細な処理については、図8または図9の例に示すフローチャートを用いて後述する。図8の例に示すフローチャート、図9の例に示すフローチャートのいずれか一方の処理を行うようにしてもよいし、両方の処理を行うようにしてもよい。
電子メールのSubjectフィールドにも、本文と同様に、任意の文字列を記載することができる。
特に、電子メールを読む人の注意を引くため、送信者の組織名(会社名)またはドメインをSubjectフィールドに記載することがある。
そこで、本文に対する処理と同様な処理を実施することにより、電子メールのSubjectフィールドから、送信者ドメインまたは送信者の組織名を検出する。
ステップS714の詳細な処理については、図8または図9の例に示すフローチャートにおいて、抽出対象である「本文」を「Subjectフィールド」と読み替えればよい。Subjectフィールドを対象とした、図8の例に示すフローチャート、図9の例に示すフローチャートのいずれか一方の処理を行うようにしてもよいし、両方の処理を行うようにしてもよい。
ステップS718では、ステップS716における全ての条件で一致したか否かを判断し、全ての条件で一致した場合はステップS720へ進み、それ以外の場合はステップS724へ進む。なお、この例では、「ステップS716における全ての条件で一致したか否かを判断」としているが、予め定められた条件(少なくとも「全ての条件」よりも少ない条件)を満たしていること、予め定められた数の条件を満たしていること、予め定められた割合の条件(検証した条件の数に対して、一致した条件の数の割合)を満たしていること等としてもよい。例えば、ヘッダ内から検出した送信者ドメインまたは送信者の組織名同士では全て一致していること(具体的には、ステップS1002、S1004)を要し、本文または件名から検出した複数の送信者ドメインまたは送信者の組織名を対象とした場合(具体的には、ステップS1006〜S1014)は、予め定められた条件を満たしていること(具体的には、ステップS1006〜S1014のいずれか1つ以上)、予め定められた数の条件を満たしていること、予め定められた割合の条件を満たしていること等としてもよい。
例えば、「ヘッダ内から検出した送信者ドメインまたは送信者の組織名」が一致していることの条件(具体的には、ステップS1002、または、ステップS1004)、および、「ヘッダ内から検出した送信者ドメインまたは送信者の組織名」と「本文または件名から検出した複数の送信者ドメインまたは送信者の組織名」とが一致していることの条件(具体的には、ステップS1012、または、ステップS1014)を少なくとも含むようにしてもよい。
ステップS722では、通常の電子メール処理を行う。例えば、以下の処理を行う。ユーザの指示により、電子メールを開いて、画面に表示する。
ステップS726では、詐称された電子メールに対する処理(詐称対応処理)を実施する。例えば、以下の処理を行う。(1)「この電子メールは詐称されています。電子メールの件名または本文から検出されたドメインと、電子メールのヘッダから検出されたドメインが異なります」という警告を表示する。この警告の内容として、詐称であると判断した理由を含めてもよい。具体的には、一致しなかった条件を提示するようにしてもよい。(2)ユーザが電子メールを開けないようにする。例えば、その電子メールを削除すること、他のフォルダに移動すること、詐称メールであることを示すフラグを付して開封処理ができないようにすること等がある。(3)電子メールシステムの管理者に通知する。通知として、例えば、電子メール、チャット、ソーシャルメディアを用いた通知、プッシュ通知、自動音声応答による電話発信等を用いて行えばよい。また、詐称と判断された電子メールを管理者に転送してもよい。
一般的に、宛先の組織名(例えば、会社名等を含む)と人名を本文の前半領域に書き、送信者の組織名(例えば、会社名等を含む)と人名を本文の後半領域に書くことが多い。特に、宛先の組織名と人名を本文の最初の領域に書き、送信者の組織名と人名を本文の最後の領域(電子メールの末尾に記載するいわゆる署名)に書くことが多い。
下記の処理のうちで、全てを実施してもよいし、選択した処理だけを実施してもよい。
例えば、検出した電子メールアドレスが「nnn@sss1.sss2.xxx.co.jp」とする。「nnn」が送信者の名前に相当し、「sss1」と「sss2」が送信者の組織内の下部組織を表している場合が多い。「xxx.co.jp」を送信者の組織に対応するドメインとする。そして、対応表600を用いて、そのドメインに対応する組織名「XXX」を送信者の組織名として検出する。
一般的に、本文には、宛先の組織名(会社名)・人名、および、送信者の組織名(会社名)・人名を記載し、第三者の組織名(会社名)・人名を記載しないことが多い。したがって、本文中に記載されている組織名の内、宛先の組織名と異なる組織名を、送信者の組織名とみなすことができる。
下記の処理のうちで、全てを実施してもよいし、選択した処理だけを実施してもよい。
電子メールを読んだユーザが外部のwebサーバ等を利用しやすくするために、本文にサーバのアドレスが含まれている場合がある。その場合、一般的に、そのサーバは送信者の組織内のサーバであることが多いからである。
電子メールを読んだユーザが電話連絡をしやすくするために、本文に電話番号が含まれている場合がある。その場合、一般的に、その電話番号は送信者の電話番号であることが多いからである。
下記の処理のうちで、全てを実施してもよいし、選択した処理だけ(ステップS718の判断で用いる条件のステップにおける処理)を実施してもよい。
ステップS1004では、Fromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドの各々から検出した送信者ドメインが一致しているか否かを判断する。ステップS1002の判断処理に対象として、Receivedフィールドを加えている。ここで、前述したように、最下段にあるReceivedフィールドにおける「from」部分と「by」部分のドメイン部分が一致しない場合は、送信者ドメインが一致していないと判断してもよい。
ステップS1008では、Subjectフィールドから検出した送信者ドメインが複数存在する場合、それらが互いに一致しているか否かを判断する。または、Subjectフィールドから検出した送信者の組織名が複数存在する場合、それらが互いに一致しているか否かを判断する。
ステップS1010では、本文とSubjectフィールドの各々から検出した送信者ドメインが一致しているか否かを判断する。または、本文とSubjectフィールドの各々から検出した送信者の組織名が一致しているか否かを判断する。
ステップS1014では、Subjectフィールドから検出した送信者ドメインと、Fromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドの各々から検出した送信者ドメインが一致しているか否かを判断する。または、Subjectフィールドから検出した送信者の組織名と、Fromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドの各々から検出した送信者の組織名が一致しているか否かを判断する。
ステップS1018では、判断結果を戻す。判断結果として、ステップS1002〜ステップS1014のそれぞれの判断結果を戻す。
なお、ステップS1012、ステップS1014の判断結果は複数あり得るが、対象となっている送信者ドメインまたは送信者の組織名毎に判断結果を戻す。
ステップS1118では、本文または件名(Subjectフィールド)から検出した送信者ドメインまたは送信者の組織名は複数か否かを判断し、複数の場合はステップS1130へ進み、それ以外の場合はステップS1120へ進む。具体的には、「本文から検出した送信者ドメイン」、「本文から検出した送信者の組織名」、「件名から検出した送信者ドメイン」、「件名から検出した送信者の組織名」のいずれか複数である場合はステップS1130へ進み、それ以外の場合はステップS1120へ進む。
ステップS1122では、詐称されていない電子メールであると判断する。ステップS720と同等の処理である。
ステップS1124では、通常の電子メール処理を行う。ステップS722と同等の処理である。例えば、以下の処理を行う。ユーザの指示により、電子メールを開いて、画面に表示する。
ステップS1128では、詐称された電子メールに対する処理を実施する。ステップS726と同等の処理である。例えば、以下の処理を行う。「この電子メールは詐称されています。電子メールの件名または本文から検出されたドメインと、電子メールのヘッダから検出されたドメインが異なります」という警告を表示する。ユーザが電子メールを開けないようにする。電子メールシステムの管理者に通知する。
ステップS1134では、詐称されている可能性がある旨を提示し、通常の電子メール処理(ステップS1124)を行う。
ステップS1138では、詐称された電子メールに対する処理を実施する。ステップS726と同等の処理である。例えば、以下の処理を行う。「この電子メールは詐称されています。電子メールの件名または本文から検出されたドメインと、電子メールのヘッダから検出されたドメインが異なります」という警告を表示する。ユーザが電子メールを開けないようにする。電子メールシステムの管理者に通知する。
また、図11、12の例に示すフローチャートと図13の例に示すフローチャートを組み合わせてもよい。例えば、ステップS1120でYesと判断した後に、ステップS1320以下の処理を加えてもよい。
ステップS1320では、ステップS712、ステップS714で、本文またはSubjectフィールドから送信者ドメインまたは送信者の組織名を抽出したが、それが対応表600にないため、最終的には、組織名を検出できなかったものがあるか否かを判断し、検出できなかったものがある場合はステップS1322へ進み、それ以外の場合はステップS1326へ進む。ステップS1322へ進む場合として、例えば、ヘッダからは組織名「AA」を検出して、本文内には「AA株式会社」、「BB株式会社」の記載があり、対応表600内に「AA」はあるが、「BB」がない場合が該当する。つまり、「AA株式会社」からの正式な電子メールを受信した可能性は高いが、「BB株式会社」であるとして詐称した可能性も否定できないので、ステップS1322へ進むことになる。
ステップS1324では、詐称されている可能性がある旨を提示し、通常の電子メール処理を行う。ステップS1134と同等の処理である。
ステップS1328では、通常の電子メール処理を行う。ステップS722と同等の処理である。例えば、以下の処理を行う。ユーザの指示により、電子メールを開いて、画面に表示する。
ステップS1332では、詐称された電子メールに対する処理を実施する。ステップS726と同等の処理である。例えば、以下の処理を行う。「この電子メールは詐称されています。電子メールの件名または本文から検出されたドメインと、電子メールのヘッダから検出されたドメインが異なります」という警告を表示する。ユーザが電子メールを開けないようにする。電子メールシステムの管理者に通知する。
電子メール1400は、Receivedフィールド1405A、Receivedフィールド1405B、Fromフィールド1410、Toフィールド1415、CCフィールド1420、Subjectフィールド1425、Reply−Toフィールド1435、Return−Pathフィールド1440、本文フィールド1445を有している。本文フィールド1445は、対象箇所1450、対象箇所1455、対象箇所1460、対象箇所1465を有している。本文フィールド1445内には、以下のように記載されている。
−−−−− −−−−− −−−−−
AA株式会社 B様
得する情報です。
ここを開くか、または、クリックしてください。
http://www.xx.co.jp
ここに電話してください。
電話番号 0120−000−000
SS株式会社 T
t@ss.co.jp
−−−−− −−−−− −−−−−
電子メールの宛先は、「AA株式会社」のB(電子メールアドレスは「b@aa.co.jp」、ドメインは「aa.co.jp」)である。
この電子メールは、著名な「SS株式会社」からの電子メールであり、信用できる電子メールであることを、この電子メールを読む人に信じさせようとするために、Subjectフィールド、または、本文に、著名な会社名(「SS株式会社」)やドメイン(「ss.co.jp」)を記載している。
電子メールを受信し記憶する。
ステップS704:
Receivedフィールド1405Bから、送信者ドメイン名(「xx.co.jp」)を検出する。図6の例に示す対応表600を参照して、送信者の組織名(「XX」)を検出する。
ステップS706〜ステップS710:
Fromフィールド1410から、送信者アドレス(「y@xx.co.jp」)と送信者ドメイン(「xx.co.jp」)を検出する。図6の例に示す対応表600を参照して、送信者の組織名(「XX」)を検出する。
Reply−Toフィールド1435から、同様にして、送信者アドレス(「y@xx.co.jp」)と送信者ドメイン(「xx.co.jp」)と送信者の組織名(「XX」)を検出する。
Return−Pathフィールド1440から、同様にして、送信者アドレス(「y@xx.co.jp」)と送信者ドメイン(「xx.co.jp」)と送信者の組織名(「XX」)を検出する。
図8の例に示すフローチャートを適用して以下の処理を行う。
(1−1)本文フィールド1445の最後の領域に、電子メールアドレス「t@ss.co.jp」が記載されている。これを送信者の電子メールアドレスとして検出する。そして、送信者ドメインを「ss.co.jp」と検出し、送信者の組織を「SS」として検出する
(1−2)本文フィールド1445の最後の領域に、会社名を表す「SS株式会社 」という記載があるので、送信者の組織名を「SS」として検出する。そして、対応表600を用いて、ドメインを「ss.co.jp」として検出する。
(1−3)本文フィールド1445の最後の領域に、図6の例に示す対応表600の組織名(組織名欄610)の文字列のうち、「SS」が含まれている。「SS」を送信者の組織名として検出する。そして、対応表600を用いて、送信者の組織名と対応するドメイン「ss.co.jp」を送信者のドメインとして検出する。
(2−1)電子メール1400のToフィールド1415の宛先アドレスは「b@aa.co.jp」である。この宛先アドレスから宛先ドメイン「aa.co.jp」を検出する。そして、図6の例に示す対応表600を用いて、宛先ドメインから宛先の組織名「AA」を検出する。
(2−2)本文フィールド1445に電子メールアドレス「t@ss.co.jp」が記載されており、かつ、その電子メールアドレス「t@ss.co.jp」は、Toフィールド1415内の宛先アドレス「b@aa.co.jp」と異なる。そこで、その電子メールアドレス「t@ss.co.jp」を送信者の電子メールアドレスとして検出し、その電子メールアドレスから送信者のドメインを「ss.co.jp」として検出する。そして、図6の例に示す対応表600を用いて、「SS」を送信者の組織名として検出する。
(2−3)本文フィールド1445に組織名や会社名を表す標準的な形式として「AA株式会社」と「SS株式会社」が含まれている。このうち、「AA株式会社」は宛先の組織名「AA」と同じであり、「SS株式会社」は宛先の組織名「AA」と異なるので、「SS」を送信者の組織名として検出する。そして、図6の例に示す対応表600を用いて、送信者ドメインを「ss.co.jp」として検出する。
(2−5)本文フィールド1445中の「www.xx.co.jp」はインターネット上のアドレス形式であり、本文フィールド1445の下部(後半)に記載がある。これから、送信者のドメインを「xx.co.jp」として検出する。そして、図6の例に示す対応表600を用いて、送信者の組織名を「XX」として検出する。
(2−6)本文フィールド1445中の「0120−000−000」は電話番号形式であり、本文フィールド1445の下部(後半)に記載がある。これから、送信者の電話番号を「0120−000−000」と検出する。そして、図6の例に示す対応表600を用いて、送信者の組織名を「XX」として検出する。
以上より、ステップS712では、本文フィールド1445から、送信者ドメインは「xx.co.jp」または「ss.co.jp」、送信者の組織名は「XX」または「SS」として検出する。
電子メール1400のSubjectフィールド1425の「SS株式会社」の記載から、送信者ドメインは「ss.co.jp」、送信者の組織名は「SS」として検出する。
(8−1)Fromフィールド1410、Reply−Toフィールド1435、Return−Pathフィールド1440の各々から検出した送信者アドレスは、「y@xx.co.jp」であり、一致している。
(8−2)Fromフィールド1410、Reply−Toフィールド1435、Return−Pathフィールド1440、Receivedフィールド1405Bの各々から検出した送信者ドメインは、「xx.co.jp」であり、一致している。さらに、Receivedフィールド1405Bにおける「from」部分と「by」部分のドメイン部分も一致している。
(8−3)本文フィールド1445から検出した送信者ドメインは、「xx.co.jp」と「ss.co.jp」であり、不一致である。本文フィールド1445から検出した送信者の組織名は、「XX」と「SS」であり、不一致である。
(8−5)本文フィールド1445から検出した送信者ドメインは「xx.co.jp」と「ss.co.jp」であり、Subjectフィールド1425から検出した送信者ドメインは「ss.co.jp」であり、不一致である。本文フィールド1445から決定した送信者の組織名は「XX」または「SS」であり、Subjectフィールド1425から検出した送信者の組織名は「SS」であり、不一致である。
(8−6)本文フィールド1445から検出した送信者ドメインは「xx.co.jp」と「ss.co.jp」であり、Fromフィールド1410、Reply−Toフィールド1435、Return−Pathフィールド1440、Receivedフィールド1405Bの各々から検出した送信者ドメインは「xx.co.jp」であり、不一致である。本文フィールド1445から検出した送信者の組織名は「XX」と「SS」であり、Fromフィールド1410、Reply−Toフィールド1435、Return−Pathフィールド1440、Receivedフィールド1405Bの各々から検出した送信者の組織名は「XX」であり、不一致である。
前述の(8−1)から(8−7)の中で不一致のものがあるので、ステップS716として不一致である。したがって、ステップS724に進む。
ステップS724:
この電子メール1400は詐称された電子メールであると判断する。
ステップS726:
詐称された電子メールに対する処理を実施する。
ステップS799:
終了。
本実施の形態では、電子メール1400の本文フィールド1445やSubjectフィールド1425から得られる情報も用いているため、この電子メールが詐称していることを判断できる。
電子メール1500は、Receivedフィールド1505A、Receivedフィールド1505B、Fromフィールド1510、Toフィールド1515、CCフィールド1520、Subjectフィールド1525、Reply−Toフィールド1535、Return−Pathフィールド1540、本文フィールド1545を有している。本文フィールド1545は、対象箇所1555、対象箇所1560、対象箇所1565を有している。本文フィールド1545内には、以下のように記載されている。
−−−−− −−−−− −−−−−
AA株式会社 B様
得する情報です。
ここに電話してください。
電話番号 0120−000−000
SS株式会社 T
t@ss.co.jp
−−−−− −−−−− −−−−−
電子メール1500に対して、本文フィールド1545にURLの記載がないので、特許文献2に記載の技術を用いた場合、詐称を判断できない。
本実施の形態では、URL以外の記載も利用するので、詐称を判断できる。
電子メール1600は、Receivedフィールド1605A、Receivedフィールド1605B、Fromフィールド1610、Toフィールド1616、CCフィールド1620、Subjectフィールド1625、Reply−Toフィールド1635、Return−Pathフィールド1640、本文フィールド1645を有している。本文フィールド1645内には、以下のように記載されている。
−−−−− −−−−− −−−−−
AA株式会社 B様
SS株式会社 T
t@ss.co.jp
宛先へのメッセージ。
−−−−− −−−−− −−−−−
本文フィールド1645は、最初に宛先「AA株式会社のB」が左領域に記載されている。その下の中央領域または右領域に、送信者の組織名「SS」と送信者名「T」と送信者アドレス「t@ss.co.jp」が記載されている。
本文フィールド1645での組織名、ドメインの検出処理として、次のいずれかを採用するようにしてもよい。
(1)本文フィールド1645内での記載順序に応じて、組織名、ドメインを検出する。
具体的には、電子メール1600の本文フィールド1445の最初に検出された組織名「AA」を宛先と検出する。
そして、その次に検出された組織名「SS」を送信者の組織名と検出し、ドメイン「ss.co.jp」を送信者のドメインと検出する。
(2)本文フィールド1645内での記載位置(表示位置の概念を含む)に応じて、組織名、ドメインを検出する。
具体的には、電子メール1600の本文フィールド1445の左上部の領域で検出された組織名「AA」を宛先と検出する。
そして、電子メール1600の本文フィールド1445の上部であって中央領域または右領域で検出された組織名「SS」を送信者の組織名と検出し、「ss.co.jp」を送信者のドメインと検出する。
(3)本文フィールド1645内での記載順序および記載位置に応じて、組織名、ドメインを検出する。
具体的には、電子メール1600の本文フィールド1445の左上部の領域で最初に検出された組織名「AA」を宛先と検出する。
そして、宛先の組織名の次にあって、電子メール1600の本文フィールド1445の中央領域または右領域で検出された組織名「SS」を送信者の組織名と検出し、「ss.co.jp」を送信者のドメインと検出する。
なお、図17に示すハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図17に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、一部のモジュールを専用のハードウェア(例えば特定用途向け集積回路(Application Specific Integrated Circuit:ASIC)等)で構成してもよく、一部のモジュールは外部のシステム内にあり通信回線で接続している形態でもよく、さらに図17に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、サーバ、携帯情報通信機器、情報家電、ロボット、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通等のために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray(登録商標) Disc)、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去および書換可能な読出し専用メモリ(EEPROM(登録商標))、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)、SD(Secure Digital)メモリーカード等が含まれる。
そして、前記のプログラムの全体またはその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、または無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分若しくは全部であってもよく、または別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して記録されていてもよい。また、圧縮や暗号化等、復元可能であればどのような態様で記録されていてもよい。
105…通信モジュール
110…メール受信モジュール
115…詐称検出モジュール
120…検出(A)モジュール
125…検出(B)モジュール
130…対応表記憶モジュール
135…詐称判断モジュール
140…詐称対応処理モジュール
210…ユーザ端末
220…電子メールサーバ
280…WHOISサーバ
290…通信回線
Claims (32)
- 電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールが詐称であると判断し、
前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名である、
電子メール処理装置。 - 電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールについての詐称対応処理を行い、
前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名である、
電子メール処理装置。 - 電子メールの本文または件名から第1送信者情報を検出する第1検出手段と、
前記電子メールのヘッダから第2送信者情報を検出する第2検出手段と、
前記第1送信者情報と前記第2送信者情報が不一致の場合、前記電子メールが詐称であると判断する詐称判断手段と、
を具備し、
前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名である、
電子メール処理装置。 - 電子メールの本文または件名から第1送信者情報を検出する第1検出手段と、
前記電子メールのヘッダから第2送信者情報を検出する第2検出手段と、
前記第1送信者情報と前記第2送信者情報が不一致の場合、前記電子メールについての詐称対応処理を行う詐称対応処理手段と、
を具備し、
前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名である、
電子メール処理装置。 - 電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールが詐称であると判断し、
前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、
電子メール処理装置。 - 電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールについての詐称対応処理を行い、
前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、
電子メール処理装置。 - 電子メールの本文または件名から第1送信者情報を検出する第1検出手段と、
前記電子メールのヘッダから第2送信者情報を検出する第2検出手段と、
前記第1送信者情報と前記第2送信者情報が不一致の場合、前記電子メールが詐称であると判断する詐称判断手段と、
を具備し、
前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、
電子メール処理装置。 - 電子メールの本文または件名から第1送信者情報を検出する第1検出手段と、
前記電子メールのヘッダから第2送信者情報を検出する第2検出手段と、
前記第1送信者情報と前記第2送信者情報が不一致の場合、前記電子メールについての詐称対応処理を行う詐称対応処理手段と、
を具備し、
前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、
電子メール処理装置。 - 電子メールの本文または件名から送信者の組織名を検出し、前記送信者の組織名から、組織名とドメインの対応表を参照して、第1送信者ドメインを検出する第1検出手段と、
前記電子メールのヘッダから第2送信者ドメインを検出する第2検出手段と、
前記第1送信者ドメインと前記第2送信者ドメインが不一致の場合、前記電子メールが詐称であると判断する詐称判断手段と、
を具備する電子メール処理装置。 - 電子メールの本文または件名から送信者の組織名を検出し、前記送信者の組織名から、組織名とドメインの対応表を参照して、第1送信者ドメインを検出する第1検出手段と、
前記電子メールのヘッダから第2送信者ドメインを検出する第2検出手段と、
前記第1送信者ドメインと前記第2送信者ドメインが不一致の場合、前記電子メールについての詐称対応処理を行う詐称対応処理手段と、
を具備する電子メール処理装置。 - 電子メールの本文または件名から第1送信者組織名を検出する第1検出手段と、
前記電子メールのヘッダから送信者のドメインを検出し、前記送信者のドメインから、組織名とドメインの対応表を参照して、第2送信者組織名を検出する第2検出手段と、
前記第1送信者組織名と前記第2送信者組織名が不一致の場合、前記電子メールが詐称であると判断する詐称判断手段と、
を具備する電子メール処理装置。 - 電子メールの本文または件名から第1送信者組織名を検出する第1検出手段と、
前記電子メールのヘッダから送信者のドメインを検出し、前記送信者のドメインから、組織名とドメインの対応表を参照して、第2送信者組織名を検出する第2検出手段と、
前記第1送信者組織名と前記第2送信者組織名が不一致の場合、前記電子メールについての詐称対応処理を行う詐称対応処理手段と、
を具備する電子メール処理装置。 - 電子メールの本文または件名内の第1箇所から検出した第1送信者情報と該本文または件名内の該第1箇所とは異なる第2の箇所から検出した第2送信者情報とが不一致の場合、該電子メールが詐称であると判断し、
前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名である、
電子メール処理装置。 - 電子メールの本文または件名内の第1箇所から検出した第1送信者情報と該本文または件名内の該第1箇所とは異なる第2の箇所から検出した第2送信者情報とが不一致の場合、該電子メールについての詐称対応処理を行い、
前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名である、
電子メール処理装置。 - 前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、
請求項1から4のいずれか一項に記載の電子メール処理装置。 - 前記詐称対応処理として、詐称である旨の警告を提示すること、前記電子メールを開くことができないようにすること、管理者に通知すること、のいずれか1つ、または、これらの組み合わせを行う、
請求項2、4、6、8、10、12、14に記載の電子メール処理装置。 - 前記警告の提示として、詐称であると判断した理由を提示する、
請求項16に記載の電子メール処理装置。 - 前記第1送信者情報を検出できなかった箇所がある場合であって、該箇所以外の箇所から検出された第1送信者情報と第2送信者情報が一致した場合は、前記警告の提示として、詐称である可能性があることを提示する、
請求項16または17に記載の電子メール処理装置。 - コンピュータに、
電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールが詐称であると判断し、
前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名であること
を実現させるための電子メール処理プログラム。 - コンピュータに、
電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールについての詐称対応処理を行い、
前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名であること
を実現させるための電子メール処理プログラム。 - コンピュータを、
電子メールの本文または件名から第1送信者情報を検出する第1検出手段と、
前記電子メールのヘッダから第2送信者情報を検出する第2検出手段と、
前記第1送信者情報と前記第2送信者情報が不一致の場合、前記電子メールが詐称であると判断する詐称判断手段
として機能させ、
前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名である、
電子メール処理プログラム。 - コンピュータを、
電子メールの本文または件名から第1送信者情報を検出する第1検出手段と、
前記電子メールのヘッダから第2送信者情報を検出する第2検出手段と、
前記第1送信者情報と前記第2送信者情報が不一致の場合、前記電子メールについての詐称対応処理を行う詐称対応処理手段
として機能させ、
前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名である、
電子メール処理プログラム。 - コンピュータに、
電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールが詐称であると判断し、
前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報であること
を実現させるための電子メール処理プログラム。 - コンピュータに、
電子メールの本文または件名から検出した第1送信者情報と、前記電子メールのヘッダから検出した第2送信者情報が不一致の場合、該電子メールについての詐称対応処理を行い、
前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報であること
を実現させるための電子メール処理プログラム。 - コンピュータを、
電子メールの本文または件名から第1送信者情報を検出する第1検出手段と、
前記電子メールのヘッダから第2送信者情報を検出する第2検出手段と、
前記第1送信者情報と前記第2送信者情報が不一致の場合、前記電子メールが詐称であると判断する詐称判断手段
として機能させ、
前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、
電子メール処理プログラム。 - コンピュータを、
電子メールの本文または件名から第1送信者情報を検出する第1検出手段と、
前記電子メールのヘッダから第2送信者情報を検出する第2検出手段と、
前記第1送信者情報と前記第2送信者情報が不一致の場合、前記電子メールについての詐称対応処理を行う詐称対応処理手段
として機能させ、
前記第2送信者情報は、前記電子メールのFromフィールド、Reply−Toフィールド、Return−Pathフィールド、Receivedフィールドのいずれか1つ以上から検出された情報である、
電子メール処理プログラム。 - コンピュータを、
電子メールの本文または件名から送信者の組織名を検出し、前記送信者の組織名から、組織名とドメインの対応表を参照して、第1送信者ドメインを検出する第1検出手段と、
前記電子メールのヘッダから第2送信者ドメインを検出する第2検出手段と、
前記第1送信者ドメインと前記第2送信者ドメインが不一致の場合、前記電子メールが詐称であると判断する詐称判断手段
として機能させるための電子メール処理プログラム。 - コンピュータを、
電子メールの本文または件名から送信者の組織名を検出し、前記送信者の組織名から、組織名とドメインの対応表を参照して、第1送信者ドメインを検出する第1検出手段と、
前記電子メールのヘッダから第2送信者ドメインを検出する第2検出手段と、
前記第1送信者ドメインと前記第2送信者ドメインが不一致の場合、前記電子メールについての詐称対応処理を行う詐称対応処理手段
として機能させるための電子メール処理プログラム。 - コンピュータを、
電子メールの本文または件名から第1送信者組織名を検出する第1検出手段と、
前記電子メールのヘッダから送信者のドメインを検出し、前記送信者のドメインから、組織名とドメインの対応表を参照して、第2送信者組織名を検出する第2検出手段と、
前記第1送信者組織名と前記第2送信者組織名が不一致の場合、前記電子メールが詐称であると判断する詐称判断手段
として機能させるための電子メール処理プログラム。 - コンピュータを、
電子メールの本文または件名から第1送信者組織名を検出する第1検出手段と、
前記電子メールのヘッダから送信者のドメインを検出し、前記送信者のドメインから、組織名とドメインの対応表を参照して、第2送信者組織名を検出する第2検出手段と、
前記第1送信者組織名と前記第2送信者組織名が不一致の場合、前記電子メールについての詐称対応処理を行う詐称対応処理手段
として機能させるための電子メール処理プログラム。 - コンピュータに、
電子メールの本文または件名内の第1箇所から検出した第1送信者情報と該本文または件名内の該第1箇所とは異なる第2の箇所から検出した第2送信者情報とが不一致の場合、該電子メールが詐称であると判断し、
前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名であること
を実現させるための電子メール処理プログラム。 - コンピュータに、
電子メールの本文または件名内の第1箇所から検出した第1送信者情報と該本文または件名内の該第1箇所とは異なる第2の箇所から検出した第2送信者情報とが不一致の場合、該電子メールについての詐称対応処理を行い、
前記第1送信者情報と前記第2送信者情報は、送信者ドメインまたは送信者の組織名であること
を実現させるための電子メール処理プログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017078760A JP6897257B2 (ja) | 2017-04-12 | 2017-04-12 | 電子メール処理装置および電子メール処理プログラム |
CN201711287026.9A CN108696422B (zh) | 2017-04-12 | 2017-12-07 | 电子邮件处理装置和电子邮件处理方法 |
US15/903,551 US11132646B2 (en) | 2017-04-12 | 2018-02-23 | Non-transitory computer-readable medium and email processing device for misrepresentation handling |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017078760A JP6897257B2 (ja) | 2017-04-12 | 2017-04-12 | 電子メール処理装置および電子メール処理プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018180871A JP2018180871A (ja) | 2018-11-15 |
JP6897257B2 true JP6897257B2 (ja) | 2021-06-30 |
Family
ID=63790766
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017078760A Active JP6897257B2 (ja) | 2017-04-12 | 2017-04-12 | 電子メール処理装置および電子メール処理プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11132646B2 (ja) |
JP (1) | JP6897257B2 (ja) |
CN (1) | CN108696422B (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7068587B2 (ja) * | 2019-05-23 | 2022-05-17 | キヤノンマーケティングジャパン株式会社 | 情報処理装置、情報処理方法、プログラム |
CN111177490A (zh) * | 2019-12-30 | 2020-05-19 | 西安锐驰电器有限公司 | 一种通信信息处理方法 |
Family Cites Families (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003216549A (ja) * | 2002-01-25 | 2003-07-31 | Hitachi Kokusai Electric Inc | 携帯電話装置 |
JP2004005173A (ja) * | 2002-05-31 | 2004-01-08 | Konica Minolta Holdings Inc | ネットワーク画像形成装置 |
US20040177120A1 (en) * | 2003-03-07 | 2004-09-09 | Kirsch Steven T. | Method for filtering e-mail messages |
US20050091319A1 (en) * | 2003-10-09 | 2005-04-28 | Kirsch Steven T. | Database for receiving, storing and compiling information about email messages |
US20050071432A1 (en) * | 2003-09-29 | 2005-03-31 | Royston Clifton W. | Probabilistic email intrusion identification methods and systems |
US7636716B1 (en) * | 2003-12-03 | 2009-12-22 | Trend Micro Incorporated | Method and architecture for blocking email spams |
US7472164B2 (en) * | 2004-01-09 | 2008-12-30 | International Business Machines Corporation | System and method for identifying spoofed email by modifying the sender address |
US8607334B2 (en) * | 2004-07-08 | 2013-12-10 | Research In Motion Limited | System and method for secure message processing |
US7413085B2 (en) * | 2004-09-07 | 2008-08-19 | Iconix, Inc. | Techniques for displaying emails listed in an email inbox |
US20080086532A1 (en) * | 2004-10-04 | 2008-04-10 | Brian Cunningham | Method for the Verification of Electronic Message Delivery and for the Collection of Data Related to Electronic Messages Sent with False Origination Addresses |
US8291065B2 (en) * | 2004-12-02 | 2012-10-16 | Microsoft Corporation | Phishing detection, prevention, and notification |
US20060123478A1 (en) * | 2004-12-02 | 2006-06-08 | Microsoft Corporation | Phishing detection, prevention, and notification |
US7634810B2 (en) * | 2004-12-02 | 2009-12-15 | Microsoft Corporation | Phishing detection, prevention, and notification |
CN100423484C (zh) * | 2005-03-03 | 2008-10-01 | 武汉大学 | 具有收发双向不可否认机制的安全电子邮件***实现方法 |
JP3821829B1 (ja) * | 2005-03-24 | 2006-09-13 | 三菱電機株式会社 | データ管理装置及びデータ管理方法及びデータ管理プログラム及びデータ管理システム |
JP4652153B2 (ja) | 2005-07-04 | 2011-03-16 | 日本電気株式会社 | メールフィルタリングシステム、メールフィルタ、およびプログラム |
JP2007060157A (ja) * | 2005-08-23 | 2007-03-08 | Fujitsu Ltd | メール送受信プログラムおよびメール送受信装置 |
JP4617243B2 (ja) * | 2005-11-08 | 2011-01-19 | 日本電信電話株式会社 | 情報発信元検証方法および装置 |
GB2436668B (en) * | 2006-03-28 | 2011-03-16 | Identum Ltd | Electronic data communication system |
CN1905447B (zh) * | 2006-07-31 | 2010-04-21 | 上海交通大学 | 一种认证加密方法和电子邮件*** |
US20080177843A1 (en) * | 2007-01-22 | 2008-07-24 | Microsoft Corporation | Inferring email action based on user input |
US20090077182A1 (en) * | 2007-09-17 | 2009-03-19 | Iconix, Inc | System and method for identifying email campaigns |
US9325528B2 (en) * | 2008-03-20 | 2016-04-26 | Iconix, Inc. | System and method for securely performing multiple stage email processing with embedded codes |
US8805936B2 (en) * | 2008-04-16 | 2014-08-12 | International Business Machines Corporation | Email server cooperative management for automatic routing of emails based on preferences |
JP5396779B2 (ja) * | 2008-09-03 | 2014-01-22 | ヤマハ株式会社 | 中継装置およびプログラム |
JP4746083B2 (ja) * | 2008-12-08 | 2011-08-10 | 株式会社野村総合研究所 | 宛先正否判定システム |
US8595830B1 (en) * | 2010-07-27 | 2013-11-26 | Symantec Corporation | Method and system for detecting malware containing E-mails based on inconsistencies in public sector “From” addresses and a sending IP address |
US9762525B2 (en) * | 2010-12-16 | 2017-09-12 | International Business Machines Corporation | Electronic mail messaging system and method |
CN102223316A (zh) * | 2011-06-15 | 2011-10-19 | 成都市华为赛门铁克科技有限公司 | 电子邮件处理方法及装置 |
CN103139043B (zh) * | 2011-11-25 | 2016-06-29 | 司法部司法鉴定科学技术研究所 | 一种电子邮件真实性判断方法 |
JP5978748B2 (ja) * | 2012-05-10 | 2016-08-24 | 富士通株式会社 | 添付情報付き電子メールによる不正メールの検知方法,その検知プログラム及びその検知装置 |
US9501746B2 (en) * | 2012-11-05 | 2016-11-22 | Astra Identity, Inc. | Systems and methods for electronic message analysis |
US8566938B1 (en) * | 2012-11-05 | 2013-10-22 | Astra Identity, Inc. | System and method for electronic message analysis for phishing detection |
US9154514B1 (en) * | 2012-11-05 | 2015-10-06 | Astra Identity, Inc. | Systems and methods for electronic message analysis |
US9398038B2 (en) * | 2013-02-08 | 2016-07-19 | PhishMe, Inc. | Collaborative phishing attack detection |
US20150067833A1 (en) * | 2013-08-30 | 2015-03-05 | Narasimha Shashidhar | Automatic phishing email detection based on natural language processing techniques |
US10404745B2 (en) * | 2013-08-30 | 2019-09-03 | Rakesh Verma | Automatic phishing email detection based on natural language processing techniques |
CN103929440B (zh) * | 2014-05-09 | 2017-10-17 | 国家电网公司 | 基于web服务器缓存匹配的网页防篡改装置及其方法 |
CN105072137B (zh) * | 2015-09-15 | 2016-08-17 | 北京灵创众和科技有限公司 | 鱼叉式钓鱼邮件的检测方法及装置 |
US10601865B1 (en) * | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
US10116678B2 (en) * | 2016-02-25 | 2018-10-30 | Verrafid LLC | System for detecting fraudulent electronic communications impersonation, insider threats and attacks |
US10805270B2 (en) * | 2016-09-26 | 2020-10-13 | Agari Data, Inc. | Mitigating communication risk by verifying a sender of a message |
CN106453423B (zh) * | 2016-12-08 | 2019-10-01 | 黑龙江大学 | 一种基于用户个性化设置的垃圾邮件的过滤***及方法 |
US9762612B1 (en) * | 2017-05-17 | 2017-09-12 | Farsight Security, Inc. | System and method for near real time detection of domain name impersonation |
-
2017
- 2017-04-12 JP JP2017078760A patent/JP6897257B2/ja active Active
- 2017-12-07 CN CN201711287026.9A patent/CN108696422B/zh active Active
-
2018
- 2018-02-23 US US15/903,551 patent/US11132646B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018180871A (ja) | 2018-11-15 |
US20180300685A1 (en) | 2018-10-18 |
US11132646B2 (en) | 2021-09-28 |
CN108696422A (zh) | 2018-10-23 |
CN108696422B (zh) | 2022-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11722497B2 (en) | Message security assessment using sender identity profiles | |
US10715543B2 (en) | Detecting computer security risk based on previously observed communications | |
US10581780B1 (en) | Tertiary classification of communications | |
US11102010B2 (en) | System and apparatus for providing authenticable electronic communication | |
US20070168432A1 (en) | Use of service identifiers to authenticate the originator of an electronic message | |
US20050114452A1 (en) | Method and apparatus to block spam based on spam reports from a community of users | |
EP1675057A1 (en) | Secure safe sender list | |
US20090198785A1 (en) | Mail sending and receiving apparatus, method, computer-readable medium, and system | |
CN101663684A (zh) | 安全交易通信 | |
US11297024B1 (en) | Chat-based systems and methods for data loss prevention | |
US20090282112A1 (en) | Spam identification system | |
JP2007065787A (ja) | メール送受信プログラムおよびメール送受信装置 | |
US20090228562A1 (en) | Mail sending and receiving apparatus, method, computer-readable medium and system | |
JP6897257B2 (ja) | 電子メール処理装置および電子メール処理プログラム | |
US11539531B2 (en) | System and apparatus for providing authenticable electronic communication | |
US10764220B1 (en) | Message abuse sender feedback loop | |
JP2022008933A (ja) | 情報処理装置、情報処理プログラム及び情報処理方法 | |
CN116055440A (zh) | 终端判断并过滤邮件安全内容的方法、装置、设备及介质 | |
JP4891953B2 (ja) | 情報送信制御装置、方法及びプログラム | |
US11297179B2 (en) | Systems for verifying identities of parties participating in distributed network communication | |
US7599993B1 (en) | Secure safe sender list | |
JP2017162138A (ja) | 情報処理装置及び情報処理プログラム | |
US20140330917A1 (en) | Computer readable non-transitory medium, electronic mail information send method and electronic mail information send device | |
CN106656734B (zh) | 信息处理装置、信息处理***和信息处理方法 | |
US9628297B2 (en) | Communication authentication using multiple communication media |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200228 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201214 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201222 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210216 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210511 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210524 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6897257 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |