Processing

Please wait...

Settings

Settings

1. WO2020003406 - SUSPICIOUS MAIL DETECTION DEVICE, SUSPICIOUS MAIL DETECTION METHOD, AND SUSPICIOUS MAIL DETECTION PROGRAM

Document

明 細 書

発明の名称 不審メール検知装置、不審メール検知方法および不審メール検知プログラム

技術分野

0001  

背景技術

0002   0003   0004  

先行技術文献

特許文献

0005  

非特許文献

0006  

発明の概要

発明が解決しようとする課題

0007   0008  

課題を解決するための手段

0009  

発明の効果

0010  

図面の簡単な説明

0011  

発明を実施するための形態

0012   0013   0014   0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056  

符号の説明

0057  

請求の範囲

1   2   3   4   5  

図面

1   2   3   4   5   6   7   8  

明 細 書

発明の名称 : 不審メール検知装置、不審メール検知方法および不審メール検知プログラム

技術分野

[0001]
 本発明は、不審な電子メールを検知するための技術に関するものである。

背景技術

[0002]
 標的型攻撃が深刻な脅威となっている。標的型攻撃は、特定の組織または特定の人を対象として、機密情報の窃取等を目的とする攻撃である。
 標的型攻撃の中でも、標的型メール攻撃は、依然として重大な脅威の一つである。標的型メール攻撃は、電子メールをベースにした攻撃である。
 トレンドマイクロの調査では、標的型メール攻撃によるマルウェア感染は企業に対する攻撃全体の76パーセントにも上る、との結果が出ている。そのため、標的型メール攻撃を防ぐことは、被害を増加させる巧妙なサイバー攻撃を防ぐ観点から重要である。
 このような背景の元、標的型攻撃メールを検知することによって標的型メール攻撃から組織を防ぐための技術が検討されている。
[0003]
 特許文献1には、受信メールのヘッダを学習済みの正規ヘッダと比較することによって、受信メールが不審な電子メールであるか判断する技術が開示されている。
 特許文献2には、電子メールに添付されるファイルが不審であるか判断するためにファイルのフォーマットを特定し、特定したフォーマットが許可されるものであるか判定する技術が開示されている。
 特許文献3には、新規メールのヘッダ情報と過去メールのヘッダ情報との類似度が低い場合に新規メールが不審な電子メールであると判断する技術が開示されている。
 特許文献4には、受信メールの本文とスパムメッセージの本文との類似度が閾値を超える場合に受信メールが不審な電子メールであると判断する技術が開示されている。
[0004]
 非特許文献1および非特許文献2については、実施の形態において言及する。

先行技術文献

特許文献

[0005]
特許文献1 : 特開2013-236308号公報
特許文献2 : 特表2008-546111号公報
特許文献3 : 特開2014-102708号公報
特許文献4 : 特表2007-503660号公報

非特許文献

[0006]
非特許文献1 : Mikolov, Tomas, et al. “Efficient estimation of word representations in vector space.”, arXiv preprint arXiv:1301.3781 (2013)
非特許文献2 : 岡野裕樹、木邑実,辻宏郷,青木眞夫,“IPAテクニカルウォッチ「標的型攻撃メールの見分け方」”,独立行政法人情報処理推進機構 技術本部 セキュリティセンター,2015年1月9日

発明の概要

発明が解決しようとする課題

[0007]
 特許文献1または特許文献3に開示された技術のように電子メールのヘッダに基づいて電子メールが不審であるか判定する方法では、メールヘッダが正規のヘッダであるように偽装された電子メールを検知することができない。
 特許文献2に開示された技術のように添付ファイルのフォーマットに基づいて添付ファイルが不審であるか判定する方法では、中身が不正であるがフォーマットが正しい電子メールを検知することができない。
 特許文献4に開示された技術のように電子メールの本文とスパムメッセージの本文との類似度に基づいて電子メールが不審であるか判定する方法では、電子メールの本文と比較するスパムメッセージの本文が適切なものでなければ電子メールが不審であるか適切に判定することができない。また、電子メールの本文をあらゆるスパムメッセージの本文と比較しようとすると、処理負荷および処理時間が増大してしまう。
[0008]
 本発明は、電子メールが不審であるか適切に判定できるようにすることを目的とする。

課題を解決するための手段

[0009]
 本発明の不審メール検知装置は、
 検査対象の電子メールである対象メールに基づいて前記対象メールの送信者プロファイルを生成する送信者プロファイル生成部と、
 1つ以上の不審メールについての1つ以上の本文データと、前記1つ以上の不審メールについての1つ以上の送信者プロファイルと、が互いに対応付けられた本文一覧ファイルから、前記対象メールの前記送信者プロファイルに対応する本文データを抽出する本文データ抽出部と、
 前記対象メールの本文を前記本文一覧ファイルから抽出された本文データと比較し、比較結果に基づいて前記対象メールが不審メールであるか判定する本文検査部とを備える。

発明の効果

[0010]
 本発明によれば、電子メールの本文を電子メールの本文と比較する不審メールの本文として適切なものと比較し、比較結果に基づいて電子メールが不審であるか判定することが可能となる。そのため、電子メールが不審であるか適切に判定することが可能となる。

図面の簡単な説明

[0011]
[図1] 実施の形態1における不審メール検知装置100の構成図。
[図2] 実施の形態1における不審メール検知方法の概要図。
[図3] 実施の形態1における不審メール検知方法のフローチャート。
[図4] 実施の形態1における本文一覧ファイル131Aを示す図。
[図5] 実施の形態1における本文一覧ファイル131Bを示す図。
[図6] 実施の形態1における運用フェーズ(S120)のフローチャート。
[図7] 実施の形態1における本文検査処理(S126)のフローチャート。
[図8] 実施の形態1における不審メール検知装置100のハードウェア構成図。

発明を実施するための形態

[0012]
 実施の形態および図面において、同じ要素または対応する要素には同じ符号を付している。説明した要素と同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
[0013]
 実施の形態1.
 不審な電子メールを検知する形態について、図1から図7に基づいて説明する。
[0014]
***構成の説明***
 図1に基づいて、不審メール検知装置100の構成を説明する。
 不審メール検知装置100は、プロセッサ101とメモリ102と補助記憶装置103と入出力インタフェース104といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
[0015]
 プロセッサ101は、演算処理を行うIC(Integrated Circuit)であり、他のハードウェアを制御する。例えば、プロセッサ101は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、またはGPU(Graphics Processing Unit)である。
 メモリ102は揮発性の記憶装置である。メモリ102は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ102はRAM(Random Access Memory)である。メモリ102に記憶されたデータは必要に応じて補助記憶装置103に保存される。
 補助記憶装置103は不揮発性の記憶装置である。例えば、補助記憶装置103は、ROM(Read Only Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリである。補助記憶装置103に記憶されたデータは必要に応じてメモリ102にロードされる。
 入出力インタフェース104は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース104はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。USBはUniversal Serial Busの略称である。
[0016]
 不審メール検知装置100は、本文データ登録部111とメール受付部121と表層解析部122と送信者プロファイル生成部123と本文データ抽出部124と本文検査部125とアラート発生部126といった要素を備える。これらの要素はソフトウェアで実現される。
[0017]
 補助記憶装置103には、本文データ登録部111とメール受付部121と表層解析部122と送信者プロファイル生成部123と本文データ抽出部124と本文検査部125とアラート発生部126としてコンピュータを機能させるための不審メール検知プログラムが記憶されている。不審メール検知プログラムは、メモリ102にロードされて、プロセッサ101によって実行される。
 さらに、補助記憶装置103にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。
 つまり、プロセッサ101は、OSを実行しながら、不審メール検知プログラムを実行する。
 不審メール検知プログラムを実行して得られるデータは、メモリ102、補助記憶装置103、プロセッサ101内のレジスタ、または、プロセッサ101内のキャッシュメモリといった記憶装置に記憶される。
[0018]
 補助記憶装置103は記憶部130として機能する。但し、他の記憶装置が、補助記憶装置103の代わりに、又は、補助記憶装置103と共に、記憶部130として機能してもよい。
[0019]
 不審メール検知装置100は、プロセッサ101を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ101の役割を分担する。
[0020]
 不審メール検知プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。
[0021]
***動作の説明***
 不審メール検知装置100の動作は不審メール検知方法に相当する。また、不審メール検知方法の手順は不審メール検知プログラムの手順に相当する。
[0022]
 図2に基づいて、不審メール検知方法の概要を説明する。
 メール受付部121は、検査対象の電子メールを受け取る。
 検査対象の電子メールを対象メールという。
[0023]
 表層解析部122は、対象メールに対する表層解析によって、対象メールが不審メールであるか判定する。
 不審メールは、不審な電子メールである。例えば、不審メールは、標的型攻撃メールであると推測される電子メールである。標的型電子メールは、標的型メール攻撃を行うための電子メールである。
[0024]
 表層解析部122によって対象メールが不審メールであると判定された場合、アラート発生部126はアラートを発生させる。
[0025]
 送信者プロファイル生成部123は、対象メールに基づいて、対象メールの送信者プロファイルを生成する。
 送信者プロファイルは、電子メールの送信者に関する情報を示すデータである。
[0026]
 本文データ抽出部124は、本文一覧ファイルから、対象メールの送信者プロファイルに対応する本文データを抽出する。
 本文一覧ファイルは、1つ以上の不審メールについての1つ以上の本文データと、前記1つ以上の不審メールについての1つ以上の送信者プロファイルと、が互いに対応付けられたファイルである。
 本文データは、不審メールの本文の文面を表すデータである。
[0027]
 本文検査部125は、対象メールの本文を本文一覧ファイルから抽出された本文データと比較する。そして、本文検査部125は、比較結果に基づいて、対象メールが不審メールであるか判定する。
 具体的には、本文検査部125は、表層解析によって対象メールが不審メールであると判定されない場合に、対象メールが不審メールであるか判定する。
[0028]
 本文検査部125によって対象メールが不審メールであると判定された場合、アラート発生部126はアラートを発生させる。
[0029]
 図3に基づいて、不審メール検知方法の手順を説明する。
 ステップS110は準備フェーズである。
 ステップS110において、利用者は、1つ以上の不審メールのそれぞれについて本文データと送信者プロファイルとの組を不審メール検知装置100に入力する。
 本文データ登録部111は、1つ以上の不審メールのそれぞれについて本文データと送信者プロファイルとの組を受け付ける。そして、本文データ登録部111は、1つ以上の不審メールのそれぞれについて本文データと送信者プロファイルとの組を本文一覧ファイル131に登録する。本文一覧ファイル131は記憶部130に記憶される。
 例えば、利用者は、情報処理に関する組織が公開する標的型攻撃メールの文面例を参考にすることによって、本文データと送信者プロファイルとの組を作成することが可能である。情報処理に関する組織の一例は、情報処理推進機構(IPA)である。非特許文献2は、標的型攻撃メールの例と見分け方を示している。
[0030]
 図4および図5に基づいて、本文一覧ファイル131を説明する。
 図4の本文一覧ファイル131Aおよび図5の本文一覧ファイル131Bは、本文一覧ファイル131の具体例である。
 本文一覧ファイル131Aおよび本文一覧ファイル131Bは、本文データと送信プロファイルとの組を2つ以上含んでいる。
[0031]
 図4の本文一覧ファイル131Aにおいて、本文データは、不審メールの本文の文面を示している。
 第1本文データにおいて、X は法人名を表し、X は大学名を表し、X は送信者名を表している。
 第2本文データにおいて、Y は会社名を表し、Y はソフトウェア名を表している。
[0032]
 図5の本文一覧ファイル131Bにおいて、本文データは、不審メールの本文についての文面のパターンを示している。
 具体的には、本文データは、不審メールの本文で使用される1つ以上の語と1つ以上の語の順序とを示している。
 [XXX]は、プレースホルダであり、「XXX」を識別する固有名詞を意味する。つまり、本文データにおいて、固有名詞はプレースホルダに置き換えられている。例えば、[組織名]は、組織名を識別する固有名詞を意味する。
 さらに、動詞の活用等の問題を無視するために、原型だけを本文データに含めるようにするとよい。
[0033]
 図4の本文一覧ファイル131Aおよび図5の本文一覧ファイル131Bにおいて、送信者プロファイルは、アドレスと所属と業界と属性といったプロファイル情報を含んでいる。
 送信者プロファイルにおけるアドレスは、送信者のメールアドレスを示す。
 送信者プロファイルにおける所属は、送信者が所属する団体を示す。
 送信者プロファイルにおける業界は、送信者が所属する団体が属する業界を示す。
 送信者プロファイルにおける属性は、送信者の属性またはメール本文の属性を示す。
 第1本文データにおいて、X は大学名を表している。
 第2本文データにおいて、Y は団体名を表している。
[0034]
 送信者の名前および送信者のドメインもプロファイル情報の一例である。
 プロファイル情報は辞書型であり、送信者名または所属などのラベルをキーとしてキーに対応付けてプロファイル情報が管理される。
[0035]
 図3に戻り、ステップS120から説明を続ける。
 ステップS120は運用フェーズである。
 ステップS120において、不審メール検知装置100は、対象メールが不審メールであるか判定する。
[0036]
 図6に基づいて、運用フェーズ(S120)の手順を説明する。
 ステップS121において、メール受付部121は、検査対象となる電子メールを受け取る。受け取られる電子メールを対象メールという。
 例えば、メール受付部121は、メールシステムから対象メールを受け取る。メールシステムの具体例は、メールサーバまたはメールクライアントである。
[0037]
 ステップS122において、表層解析部122は、対象メールに対する表層解析を行う。具体的には、表層解析部122は、対象メールのヘッダに対する表層解析を行う。
 そして、表層解析部122は、解析結果に基づいて、対象メールが不審メールであるか判定する。
 例えば、表層解析部122は、特許文献1から特許文献4のいずれかに開示されている方法で、対象メールが不審メールであるか判定する。
 対象メールが不審メールである場合、処理はステップS123に進む。
 対象メールが不審メールでない場合、処理はステップS124に進む。
[0038]
 ステップS123において、アラート発生部126は、アラートを発生させる。
 例えば、アラート発生部126は、アラートメッセージをディスプレイに表示する。アラートメッセージは、不審な電子メール(対象メール)が発生したことを知らせる。
 ステップS123の後、運用フェーズ(S120)は終了する。
[0039]
 ステップS124において、送信者プロファイル生成部123は、対象メールの送信者プロファイルを生成する。
[0040]
 例えば、送信者プロファイル生成部123は、対象メールの送信者プロファイルに含める情報を以下のように取得する。
 送信者プロファイル生成部123は、対象メールのヘッダから、送信者のメールアドレスを抽出する。
 送信者プロファイル生成部123は、対象メールの本文を解析することによって、対象メールの本文から、送信者が所属する団体の名称(所属名)を抽出する。
 送信者プロファイル生成部123は、送信者の所属名をインターネットで検索する。そして、送信者プロファイル生成部123は、検索結果から得られる情報に基づいて、送信者が所属する団体が属する業界の名称(業界名)を判定する。
 送信者プロファイル生成部123は、送信者の所属名に基づいて、送信者の属性を判定する。
 送信者プロファイル生成部123は、対象メールの本文を解析することによって、対象メールの本文の属性を判定する。
[0041]
 ステップS125において、本文データ抽出部124は、本文一覧ファイル131から、対象メールの送信者プロファイルに対応する1つ以上の本文データを抽出する。
[0042]
 具体的には、本文データ抽出部124は、対象メールの送信者プロファイルに対応する本文データを以下のように抽出する。
 まず、本文データ抽出部124は、対象メールの送信者プロファイルと合致する送信者プロファイルを本文一覧ファイル131から選択する。例えば、対象メールの送信者プロファイルと合致する送信者プロファイルは、対象メールの送信者プロファイルに含まれる全ての情報を含んだ送信者プロファイルである。また例えば、対象メールの送信者プロファイルと合致する送信者プロファイルは、対象メールの送信者プロファイルとの合致度が閾値を超える送信者プロファイルである。対象メールの送信者プロファイルとの合致度は、対象メールの送信者プロファイルと共通する情報の数が多いほど高い。
 そして、本文データ抽出部124は、選択した送信者プロファイルに対応付けられた本文データを本文一覧ファイル131から抽出する。抽出される本文データが、対象メールの送信者プロファイルに対応する本文データである。
[0043]
 ステップS126において、本文検査部125は、本文一覧ファイル131から抽出された1つ以上の本文データに基づいて、対象メールの本文を検査する。
 ステップS126の後、運用フェーズ(S120)は終了する。
[0044]
 図7に基づいて、本文検査処理(S126)の手順を説明する。
 ステップS1261において、本文検査部125は、本文一覧ファイル131から抽出された1つ以上の本文データの中から、未選択の本文データを1つ選択する。
[0045]
 ステップS1262における本文データは、ステップS1261で選択された本文データである。
[0046]
 ステップS1262において、本文検査部125は、対象メールの本文を本文データと比較することによって、対象メールの本文と本文データとの類似度を算出する。対象メールの本文の文面が本文データによって表される文面に似ているほど、対象メールの本文と本文データとの類似度は高い。
[0047]
 例えば、本文検査部125は、対象メールの本文と本文データとの類似度を以下のように算出する。
 まず、本文検査部125は、対象メールの本文における文面の特徴ベクトル(対象特徴ベクトル)と、本文データによって表される文面の特徴ベクトル(比較特徴ベクトル)と、を既存技術によって算出する。既存技術の具体例はWord2Vecである。非特許文献1はWord2Vecに関する文献である。Word2Vecを応用することによって、電子メールの本文から分散表現を抽出し、抽出した分散表現を特徴ベクトルで表すことができる。
 そして、本文検査部125は、対象特徴ベクトルと比較特徴ベクトルとのコサイン類似度を算出する。算出されるコサイン類似度が対象メールの本文と本文データとの類似度である。
[0048]
 ステップS1263において、本文検査部125は、ステップS1262で算出した類似度を閾値と比較する。
 類似度が閾値以上である場合、処理はステップS1265に進む。
 類似度が閾値未満である場合、処理はステップS1264に進む。
[0049]
 ステップS1264において、本文検査部125は、ステップS1261で選択されていない本文データが有るか判定する。ステップS1264において、ステップS1261で選択されていない本文データを未選択データという。
 未選択データが有る場合、処理はステップS1261に進む。
 未選択データが無い場合、本文検査処理(S126)は終了する。
[0050]
 ステップS1265において、アラート発生部126は、アラートを発生させる。
 例えば、アラート発生部126は、アラートメッセージをディスプレイに表示する。アラートメッセージは、不審な電子メール(対象メール)が発生したことを知らせる。
 ステップS1265の後、本文検査処理(S126)は終了する。
[0051]
***実施の形態1の効果***
 ヘッダ等の表層情報が自然であっても悪意あるやり取りが実施された際に不審な電子メールを検知することができる。その結果、攻撃者による巧妙な攻撃を防ぐことが可能となる。
[0052]
***実施の形態の補足***
 図8に基づいて、不審メール検知装置100のハードウェア構成を説明する。
 不審メール検知装置100は処理回路109を備える。
 処理回路109は、本文データ登録部111とメール受付部121と表層解析部122と送信者プロファイル生成部123と本文データ抽出部124と本文検査部125とアラート発生部126とを実現するハードウェアである。
 処理回路109は、専用のハードウェアであってもよいし、メモリ102に格納されるプログラムを実行するプロセッサ101であってもよい。
[0053]
 処理回路109が専用のハードウェアである場合、処理回路109は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
 ASICはApplication Specific Integrated Circuitの略称であり、FPGAはField Programmable Gate Arrayの略称である。
 不審メール検知装置100は、処理回路109を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路109の役割を分担する。
[0054]
 処理回路109において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
[0055]
 このように、処理回路109はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
[0056]
 実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。

符号の説明

[0057]
 100 不審メール検知装置、101 プロセッサ、102 メモリ、103 補助記憶装置、104 入出力インタフェース、109 処理回路、111 本文データ登録部、121 メール受付部、122 表層解析部、123 送信者プロファイル生成部、124 本文データ抽出部、125 本文検査部、126 アラート発生部、130 記憶部、131 本文一覧ファイル。

請求の範囲

[請求項1]
 検査対象の電子メールである対象メールに基づいて前記対象メールの送信者プロファイルを生成する送信者プロファイル生成部と、
 1つ以上の不審メールについての1つ以上の本文データと、前記1つ以上の不審メールについての1つ以上の送信者プロファイルと、が互いに対応付けられた本文一覧ファイルから、前記対象メールの前記送信者プロファイルに対応する本文データを抽出する本文データ抽出部と、
 前記対象メールの本文を前記本文一覧ファイルから抽出された本文データと比較し、比較結果に基づいて前記対象メールが不審メールであるか判定する本文検査部と
を備える不審メール検知装置。
[請求項2]
 前記不審メール検知装置は、さらに、
 前記対象メールに対する表層解析によって前記対象メールが不審メールであるか判定する表層解析部
を備える請求項1に記載の不審メール検知装置。
[請求項3]
 前記本文検査部は、前記表層解析によって前記対象メールが不審メールであると判定されない場合に、前記対象メールが不審メールであるか判定する
請求項2に記載の不審メール検知装置。
[請求項4]
 送信者プロファイル生成部が、検査対象の電子メールである対象メールに基づいて前記対象メールの送信者プロファイルを生成し、
 本文データ抽出部が、1つ以上の不審メールについての1つ以上の本文データと、前記1つ以上の不審メールについての1つ以上の送信者プロファイルと、が互いに対応付けられた本文一覧ファイルから、前記対象メールの前記送信者プロファイルに対応する本文データを抽出し、
 本文検査部が、前記対象メールの本文を前記本文一覧ファイルから抽出された本文データと比較し、比較結果に基づいて前記対象メールが不審メールであるか判定する
不審メール検知方法。
[請求項5]
 検査対象の電子メールである対象メールに基づいて前記対象メールの送信者プロファイルを生成する送信者プロファイル生成処理と、
 1つ以上の不審メールについての1つ以上の本文データと、前記1つ以上の不審メールについての1つ以上の送信者プロファイルと、が互いに対応付けられた本文一覧ファイルから、前記対象メールの前記送信者プロファイルに対応する本文データを抽出する本文データ抽出処理と、
 前記対象メールの本文を前記本文一覧ファイルから抽出された本文データと比較し、比較結果に基づいて前記対象メールが不審メールであるか判定する本文検査処理
としてコンピュータを機能させるための不審メール検知プログラム。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]

[ 図 7]

[ 図 8]