[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP6759610B2 - 安全性判定装置、安全性判定プログラムおよび安全性判定方法 - Google Patents

安全性判定装置、安全性判定プログラムおよび安全性判定方法 Download PDF

Info

Publication number
JP6759610B2
JP6759610B2 JP2016020299A JP2016020299A JP6759610B2 JP 6759610 B2 JP6759610 B2 JP 6759610B2 JP 2016020299 A JP2016020299 A JP 2016020299A JP 2016020299 A JP2016020299 A JP 2016020299A JP 6759610 B2 JP6759610 B2 JP 6759610B2
Authority
JP
Japan
Prior art keywords
access
information
action
target
user operation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016020299A
Other languages
English (en)
Other versions
JP2017138860A (ja
Inventor
片山 佳則
佳則 片山
剛陽 寺田
剛陽 寺田
悟 鳥居
悟 鳥居
津田 宏
宏 津田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2016020299A priority Critical patent/JP6759610B2/ja
Priority to US15/410,052 priority patent/US20170228538A1/en
Priority to GB1701031.5A priority patent/GB2550238B/en
Publication of JP2017138860A publication Critical patent/JP2017138860A/ja
Application granted granted Critical
Publication of JP6759610B2 publication Critical patent/JP6759610B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/032Protect output to user by software means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Digital Computer Display Output (AREA)

Description

本発明は、安全性判定装置、安全性判定プログラムおよび安全性判定方法に関する。
メールの本文に埋め込まれたURL(Uniform Resource Locator)リンクを選択させて不正なサイトに誘導したり、不正な添付ファイルを開かせたりすることで、コンピュータウイルスに感染させる等の被害を与えるサイバー攻撃が増えている。
従来は、ブラックリスト(怪しい対象を予め登録)やホワイトリスト(安全な対象を予め登録)を用いてアクセスの安全性を判定するものや、レピュテーション機能を持たせるものがある。レピュテーション機能は、アクセス対象の評価を提供するものであり(例えば、特許文献1等を参照)、ネット上の購買行動や検索行動に関して似た行動をとった他の利用者の行動を先回りして案内するサービスにも用いられている。これらは、これまでに実際にアクセスした人の情報を活用している。
また、メールのセキュリティ対策についての技術が開示されている(特許文献2〜4等を参照)。
特表2011−527046号公報 特開2006−270504号公報 WO2014/087597 特開2013−137745号公報
上述したように、従来はこれまでに実際にアクセスした人の情報を活用してアクセス対象の安全性を判定することを基本とするものであるため、まだ誰も実際にアクセスしていない新規のURLリンクや添付ファイルについては、安全性を判定できないという問題があった。すなわち、新規のURLやアクセスしたことがないURLなどの場合にはその登録情報はなく、登録情報に基づいて判定を行うことはできない。そのため、利用者が関係する他の情報、例えばドメイン情報や関係する他の検索情報などを詳細にチェックして判断するか、あるいは、単純にアクセスしないなどの結果に落ち着かせることになり、適切にネットワークセキュリティを維持することが困難であった。
そこで、開示の形態は、一側面では、ネットワークセキュリティを向上することを目的とする。
開示の形態は、ユーザ操作および該ユーザ操作のアクセス対象の情報を取得する手段と、前記ユーザ操作を分析して、アクセス対象ごとの該アクセス対象に対するキャンセル行動特性を取得する手段と、前記アクセス対象ごとのキャンセル行動特性を利用者に提供する手段と、を備え、添付ファイルのアイコンにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、添付ファイルのアイコンがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象である添付ファイルについて未然のアクセスが行われたとする
ネットワークセキュリティを向上することができる。
一実施形態にかかるシステムの構成例を示す図である。 情報収集にかかる機能構成例を示す図である。 情報提供にかかる機能構成例を示す図である。 各種情報の例を示す図である。 端末装置およびサーバ装置のハードウェア構成例を示す図である。 キャンセル行動検出の例を示す図(その1)である。 キャンセル行動検出の例を示す図(その2)である。 キャンセル行動分析の処理例を示すフローチャートである。 注意喚起の処理例を示すフローチャートである。 注意喚起の例を示す図である。 情報提供の例を示す図である。
以下、本発明の好適な実施形態につき説明する。
<構成>
図1は一実施形態にかかるシステムの構成例を示す図である。図1において、複数の端末装置(PCクライアント)1A、1B、・・はインターネット等のネットワーク2に接続され、ネットワーク2にはネットワークセキュリティに関する情報を管理するサーバ装置3が接続されている。なお、端末装置1Aは利用者Aが使用し、端末装置1Bは利用者Bが使用することを想定している。
図2は情報収集にかかる機能構成例を示す図である。図2において、端末装置1(1A、1B、・・)は、メーラ11x、メールチェックアプリ11y、Webブラウザ11z等の各種のアプリケーションプログラムにおいて情報を取得する情報取得アドイン12x、12y、12z等を備えている。メーラ11xは、メールの送受信を行うアプリケーションプログラムである。メールチェックアプリ11yは、メーラ11xの送受信するメールのチェックを行うアプリケーションプログラムである。Webブラウザ11zは、Webサイトにアクセスを行うアプリケーションプログラムである。メーラ11xにおいてメールの本文に埋め込まれたURLリンクが選択(クリック)された場合、Webブラウザ11zを介して、URLで指定されるWebサイトにアクセスが行われる。図示を省略してあるが、文書作成アプリ、表計算アプリ、プレゼンテーションアプリ等の、添付ファイルを開く場合に使用されるアプリケーションプログラムについても、同様に情報取得アドインが設けられる。
また、端末装置1は、端末装置1のOS(Operating System)等からシステム情報とユーザ操作情報を取得するシステム情報・ユーザ操作情報取得部13を備えている。
情報取得アドイン12x、12y、12z等とシステム情報・ユーザ操作情報取得部13により取得された情報は時系列に各種ログ14に保持される。
なお、ユーザ操作情報は、操作対象としているコンテンツにアクセス対象となるものが含まれている場合には詳細に操作ログ(特にマウスの操作ログ)を取得するモードに変更し、通常は一定間隔でのマウスのクリック操作などを取得するのみとすることで、ログの大規模化や負荷の増大を極力減らすようにしている。
メーラ11xから取得される情報は次のようなものを含む。
<インバウンドログ(受信メールのポリシチェック時に1レコード出力)>
・アプリケーションバージョン番号
・ポリシバージョン番号
・メッセージID
・受信対象のうち何通目か
・Fromドメインのドメインリスト内有無
・Fromドメイン
・Senderドメイン
・Reply-Toドメイン
・Return-Pathドメイン
・Toドメイン
・Ccドメイン
・Received内のドメイン
・Received内のTimezone
・Receivedヘッダ内のIPにローカルIP以外が含まれるか
・Receivedヘッダ内のIPアドレス
・Date
・X-Mailer
・User-Agent
・X-Spam-FJ
・Content-Type
・デフォルトルールチェック結果
・デフォルトルール非該当因子
・デフォルトルール該当因子
・フィルタ該当因子
・MAC有無
・MAC検証結果
・初回受信(差出人学習リスト有無)
・学習チェック結果
・学習チェック該当因子
・受信確認画面表示有無
・受信確認画面表示開始時間
・警告メッセージを全てチェックした回数
・(全てのボタンが押下できるようになった時の回数)
・警告メッセージを全てチェックした時間
・受信確認画面表示終了時間
・受信確認画面選択ボタン
・送信者アドレス
・初回受信(受信ホワイトリスト有無)
・送信者役職コード
・メールサイズ
・メール本文文字数
・メール受信日時
・ポリシチェック開始時間
・ポリシチェック終了時間
<メールコンテンツログ(受信メールのポリシチェック時に1レコード出力)>
・受信メールヘッダ内のメッセージID
・メールをメールサーバから受信した日時
・アイテムのタイプ(添付ファイルかURLリンクか)
・アイテムタイプがURLリンクの場合の、URLドメイン名
・アイテムの名前
・アイテムのサイズ(URLリンクの場合は -1)
・コンテンツを含むメールの差出人ドメイン名
・アイテムに対する操作内容(受信メールポリシチェック時: CHECK、安全性確認前にオープンを行おうとした場合:BAD_OPEN、安全性確認後にオープンを行った場合: OPEN、安全性確認後にプレビューを行った場合:PREVIEW、Outlookよりメールを閲覧した場合:READ)
<メールヘッダログ(受信メールのポリシチェック時に1レコード出力、本ログはバイナリファイル)>
・1レコードのレコード長
・受信メールのメッセージID
・メールヘッダ領域のテキスト
<受信ホワイトリスト(受信メールの差出人を安全とみなし学習した場合に1レコード出力(または既存レコードの更新))>
・差出人メールアドレス (受信したメールのFROMアドレス)
・自動学習ホワイトリストで算出した重み
・受信回数
<受信メール操作ログ(メーラでメールに返信・転送操作を行う都度1レコード出力)>
・イベント種別(差出人に返信/全員に返信/転送)
・操作したメールが訓練メールであるか否か
・返信/転送元メールのMessageID
・返信/転送元メールがMLであるかどうか
・返信/転送元メールのスレッド位置
・作成したメールのEntryID(特定メールの検索に使用)
・操作日時
<アウトバウンドログ(送信メールの送信、キャンセル確定時に1レコード出力)>
・アプリケーションバージョン番号
・ポリシバージョン番号
・組織内宛先件数
・組織外宛先件数
・添付ファイル数
・違反したポリシ
・ポリシチェック後のアクション
・画面表示時間
・メール識別ID(メールID、IPアドレスなど)
・X-Mailer (存在しない場合は User-Agent)の内容
・EntryID
・Outlook プロセスID
・Outlook ウィンドウハンドル
・件名なしチェック結果
・添付忘れチェック結果
・メールサイズ
・メール本文文字数
・添付ファイル確認操作
・初回送信宛先数
・ポリシチェック開始時間
・ポリシチェック終了時間
<送信ホワイトリスト(宛先を安全とみなし学習した場合に1レコード出力(または既存レコードの更新))>
・送信先メールアドレス
・自動学習ホワイトリストで算出した重み
・送信回数
<宛先ログ(受信メール、送信メールのポリシチェック時(送信キャンセル時は出力なし))>
・FROMアドレス (受信メール時は送信者のアドレス、送信メール時は自身のアドレス)
・受信/送信種別
・受信時:対応するメールのメッセージID、送信時:送信メールのエントリID
・BCC指定アドレス(複数指定時はカンマ区切り)
・CC指定アドレ ス(複数指定時はカンマ区切り)
・TOC指定アドレス(複数指定時はカンマ区切り)
<訓練メールログ(訓練メールに対する操作をする都度、1レコード出力)>
・メール操作内容(ポリシチェック/返信/全員に返信/転送)
・操作したアイテムのタイプ(添付ファイル、URLリンク)
・操作したアイテムの名前
・操作対象アイテム名のURL文字列中の、GUID部分を出力する
・訓練メールのメッセージID (メッセージ作成時にIDを生成)
<会議・予定ログ(Outlook起動時、昨日までの未取得の情報について出力)>
・会議/予定種別
・会議依頼か自身が開催者か、受信した会議依頼か
・会議依頼の開催者(送信者)のメールアドレス
・会議依頼の必須出席者のメールアドレスをカンマ区切りで出力
・会議依頼の任意出席者のメールアドレスをカンマ区切りで出力
・会議依頼のリソースのメールアドレスをカンマ区切りで出力
・会議依頼の会議室のメールアドレスをカンマ区切りで出力
・会議場所が組織内か組織外かを出力(会議室のメールアドレスにより判定)
・会議依頼の開始時刻
・会議依頼の終了時刻
・終日の予定か否か
・会議依頼のアラームを出力
・会議依頼の重要度を出力
・会議依頼が非公開かを出力
Webブラウザ11zから取得される情報は次のようなものを含む。
<Webページ参照ログ(Webページ参照におけるページロード完了時に、1レコード生成)>
・閲覧/閲覧中止フラグ(閲覧中止はFCAアドインが表示する表示確認画面でアクセス中止選択時)
・閲覧/中止理由(利用者による閲覧許可/中止、ホワイトリストに含まれるドメイン、学習されているドメイン、Outlook以外からの操作、メールコンテンツに含まれないURLである、訓練メール中のURLである)
・IEのプロセスID
・WebサイトURLドメイン名
・閲覧したサイトのページタイトル文字列
・WebサイトURL
その他のアプリから取得される情報は次のようなものを含む。
<Office操作ログ(各Office系アプリ(Word/Excel/PowerPointk)の操作において、主要イベント検出時)>
・操作アプリケーション名(Word/Excel/PowerPoint)
・開いたファイル名
・開いたファイルのファイルパス名
・操作種別(イベント名。Open/NewCreate/Save/Closeなど)
OS等から取得されるユーザ操作情報は次のようなものを含む。
<キー操作物理ログ(キーイベント発生の都度1レコード出力)>
・キー操作を行った際の、アクティブアプリのシーケンス番号
・プロセスID
・アクティブウィンドウのウィンドウハンドル
・イベント種別(KeyDown: KD、 KeyUp: KU)
・仮想キーコード (16進数)
<キー操作論理ログ(キーダウンからキーアップまでを1くくりとし、1レコード出力)>
・キー操作を行った際の、アクティブアプリのシーケンス番号
・プロセスID
・アクティブウィンドウのウィンドウハンドル
・特殊入力(ショートカット操作、例えば Ctrl+C など)
・仮想キーコード(16進数)
・キーリピート時の回数
・Ctrlキー を押下中か否か
・Shiftキー を押下中か否か
・Altキー を押下中か否か
・Windowsキー押下中か否か
・キーの入力し始めから、入力キー確定までの経過時間
・全キーが離された状態から、最初のキー入力開始までの時間 (=未入力時間)
<マウス操作ログ(マウスイベント発生の都度1レコード出力)>
・マウス操作を行った際の、アクティブアプリのシーケンス番号
・プロセスID
・アクティブウィンドウのウィンドウハンドル
・イベント種別(左・右・中央・その他の各ボタンのダウン/アップ、ホイール操作、マウス移動)
・マウスクリック時のコントロール名
・マウスクリック時のコントロールに設定されているテキスト
・イベント発生時のマウスカーソルX座標(スクリーン座標系)
・イベント発生時のマウスカーソルY座標(スクリーン座標系)
・クリックしたコントロールの左上X座標(スクリーン座標系)
・クリックしたコントロールの左上Y座標(スクリーン座標系)
・クリックしたコントロールの幅
・クリックしたコントロールの高さ
・前回イベント発生座標と、今回座標の距離
・前回イベントから今回イベントまでの時間
<ファイル操作ログ(指定したファイルイベント、拡張子に対し、1レコード出力)>
・ファイル操作を検出したアプリケーション(Explorer/Outlook/HDD監視)
・操作・検出されたファイルのファイル名
・操作・検出されたファイルのファイルのパス名
・ファイル操作内容(Explorerでのファイル選択/Outlookメール添付/HDD監視によるファイル作成、リネーム)
OS等から取得されるシステム情報は次のようなものを含む。
<システム情報ログ(起動後の規定時間経過後に、1ファイルを生成)>
◇ システム基本情報
・ホスト名
・OS名
・OSバージョン
・OSインストール日時
・OS起動日時
・N番目のCPUの種類
・N番目のCPUの最大クロック数
・N番目のCPUの2次キャッシュサイズ
・CPUの数
・OSの32bit/64bit区分
・OS前回シャットダウン日時
・システム起動に要した時間
・合計物理メモリサイズ
・利用可能な物理メモリサイズ
・合計仮想メモリサイズ
・利用可能な仮想メモリサイズ
・UACの有効状態
◇ ユーザ情報
・ユーザのメールアドレスに対するハッシュ値
・ユーザの役職コード
・ユーザの所属部署名
◇ マウス設定情報
・マウスの移動速度設定値 (規定値10、1[最も遅い]〜20[最も速い])
・マウスの垂直スクロールのホイールの1目盛りでスクロールする行数
・ホイール機能が搭載されたマウスを使用しているか否か
・マウスの左右ボタンを入れ替えているかどうか
◇ ディスプレイ情報
・接続モニタ数
・N番目のモニタの解像度(幅)
・N番目のモニタの解像度(高さ)
◇ ドライブ情報
・接続ドライブ数
・Nドライブのドライブタイプ(光ディスク/固定ディスク/ネットワークドライブ/リムーバブル)
・Nドライブの全体サイズ
・Nドライブの空きサイズ
◇ タスクバー情報
・タスクバー登録個数
・タスクバー登録位置(上下左右)
・タスクバーを自動的に隠す設定有無
・タスクバーのアイコンサイズ
◇ 特殊フォルダ情報(デスクトップ、スタートメニュー、ダウンロードフォルダ等)
・XXXXXフォルダのフォルダ最大階層数
・XXXXXフォルダの第1階層アイテム数(ファイル[ショートカット、実体]をフォルダ合計)
・XXXXXフォルダの第1階層ショートカット数(ショートカットファイルの数)
・XXXXXフォルダの第1階層ファイル数(ファイル実体の数)
・XXXXXフォルダの第1階層フォルダ数(フォルダ実体の数)
・XXXXXフォルダの全階層アイテム数(ファイル[ショートカット、実体]をフォルダ合計)
・XXXXXフォルダの全階層ショートカット数(ショートカットファイルの数)
・XXXXXフォルダの全階層ファイル数(ファイル実体の数)
・XXXXXフォルダの全階層フォルダ数(フォルダ実体の数)
◇ ゴミ箱情報
・ゴミ箱内のアイテム数(ファイル数+フォルダ数)
・ゴミ箱内のアイテムサイズ合計(ファイル数+フォルダ数)
◇ Windows Update情報
・重要な更新プログラムの確認設定
・新しい更新プログラムのインストールスケジュール(毎日/特定曜日のみ)
・新しい更新プログラムの存在を検出した日時
・新しい更新プログラムのダウンロードが完了し、インストールの準備が出来た日時
・新しい更新プログラムを自動でダウンロードし、そのダウンロードが完了した日時
・新しい更新プログラムのインストールが完了した日時
・新しい更新プログラムの適用を保留した時間(秒数)
◇ AntiVirus設定(Symantec Endpoint Protection)
・LiveUpdateの自動更新有無
・更新頻度
◇ プロセス情報
・N番目のプロセスID
・N番目のプロセス名
・N番目のプロセスのフルパス(※ 取得可能な場合のみ出力する)
・N番目のプロセスのモジュールバージョン(※ 取得可能な場合のみ出力する)
・プロセス数
◇ アプリケーション情報
・N番目のインストールされているアプリケーション名
・N番目のインストールされているアプリケーションの発行元(※ 取得可能な場合のみ出力する)
・N番目のインストールされているアプリケーションのバージョン(※ 取得可能な場合のみ出力する)
・インストールされているアプリケーション数
<プロセス状態ログ(プロセス実行終了時に1レコードを生成)>
・プロセスID
・プロセスの実行モジュール名
・プロセスの実行パス (実行モジュールのフルパスからモジュール名を除いたもの)
・プロセスが起動された日時
・プロセスが終了した日時。
・プロセスが実行していた秒数。
<アプリ状態ログ(アクティブなアプリケーションの変更、またはウィンドウ位置、ウィンドウサイズ変化時に1レコー出力)>
・アクティブなアプリに付与するシーケンス番号(マウス、キーボードのログとの紐付け用)
・プロセスID
・アクティブウィンドウのウィンドウハンドル(同一プロセスでの別ウィンドウ識別用)
・プロセスの実行モジュール名
・プロセスの実行パス (実行モジュールのフルパスからモジュール名を除いたもの)
・アプリのウィンドウ位置X座標
・アプリのウィンドウ位置Y座標
・アプリのウィンドウサイズ幅
・アプリのウィンドウサイズ高さ
・(アクティブアプリがIEの場合のみ) 現在オープンしているタブの数
・アプリのウィンドウタイトル文字列
・アプリがアクティブであった時間
<ネットワーク状態ログ(一定時間毎に出力)>
・NICに対するMACアドレス
・前回ログ出力からの送信バイト数
・前回ログ出力からの受信バイト数
<パフォーマンスログ(一定時間毎に出力)>
・ログ出力時点のCPU使用率
・ログ出力時点の各コアの使用率
・メモリ使用最大容量(物理+仮想)
・メモリ使用量(物理+仮想)
・物理メモリの空き容量
・物理メモリの使用量
・物理メモリの使用率
・仮想メモリ容量
・仮想メモリ使用量
・仮想メモリ使用率
・1秒あたりに行われたページングの回数
・ディスクのキューに入った書き込み要求の数の平均値
また、図2において、端末装置1には、各種ログ14の保持内容および情報取得アドイン12x、12y、12z等およびシステム情報・ユーザ操作情報取得部13の出力内容からキャンセル行動を検出するキャンセル行動検出部15を備えている。検出されたキャンセル行動はキャンセル行動ログ16に保持される。キャンセル行動は、URLや添付ファイル等のアクセス対象について未然のアクセスの行動であり、アクセス回避行動と言い換えることもできる。例えば、URLリンクや添付ファイルアイコンにマウスオーバしてもクリック(選択)しなかった場合や、クリックしてしまった直後のアクセスが開始される前に取り消しを行った場合や、アクセスが開始された後にアクセスを中断した場合や、アクセスが開始された後にウィンドウを消去した場合等の行動である。また、URLリンクがある本文や添付ファイルのあるメールなどをアクティブにしている時間が所定値を超えた上でクリックが行われなかった場合には、マウスオーバがされなくてもキャンセル行動としてとらえることも可能である。これらはアクセスの実績としては残らないが、キャンセル行動として記録される。
うっかりアクセスしてしまったり、アクセスすべきでないことをページが開く前や、ファイルの解凍が行われる前に気づいたり、次の処理を即座に中断したりする行為が行われる場合があるが、これらの行為は、アクセスする行為よりも重要で、蓄積、分析することで、より有用な情報になる。そこで、これらのキャンセル情報を細かく採取して、他の関係者のアクセスやうっかりミスなどを無くすように活用するものとしている。うっかりミスや、巧妙な標的攻撃にも対処するには、このような周りのキャンセル情報を活用して判定できる機能が重要になる。
これまでの技術では、実際に行われて有用だったことを記録し、案内したり、情報共有したりすることがほとんどである。有用な情報や内容を求めることが一般的であり、その情報だけでもあふれていて、利用者にとってどのように有用な情報かを絞り込むために、行われなかったことの情報が重要になる。
また、キャンセル行動検出部15は、キャンセル行動に至るユーザ操作や通常のアクセス数に対する比率等を算出するために、狭義のキャンセル行動だけではなく、通常のアクセス状況や、直前の行動などの情報も検出して収集する。これにより、これまでのレピュテーションでは得られなかった、未アクセスのノウハウも含めた行動情報を詳細に収集することができる。
一方、図2において、サーバ装置3には、所定のタイミングで複数(多数)の端末装置1のキャンセル行動ログ16から情報を取得する情報取得部31と、取得した情報に基づいてキャンセル行動を分析するキャンセル行動分析部32とを備えている。分析の詳細については後述する。分析された結果はキャンセル行動特性としてキャンセル行動特性DB33に保持される。
図3は情報提供にかかる機能構成例を示す図である。図3において、サーバ装置3は、ポリシレベルに応じた複数のタイプのアラートポリシ群34から端末装置1のポリシレベルに合ったアラートポリシを取得して提供するポリシ提供部35を備えている。端末装置1のポリシレベルは、端末装置1を使用する利用者の環境や状況に応じて自動的に、または利用者の選択により決定される。提供されたアラートポリシはアラートポリシ17として端末装置1に保持される。
また、サーバ装置3は、キャンセル行動特性DB33の内容を端末装置1に提供するキャンセル行動特性提供部36を備えている。提供されたキャンセル行動特性はキャンセル行動特性18として端末装置1に保持される。なお、キャンセル行動特性提供部36は、変更があったキャンセル行動特性DB33の内容をリアルタイムまたは早期に端末装置1に提供することで、新規のアクセス対象についての情報を有効に提供することができる。
一方、端末装置1は、情報取得アドイン12x、12y、12z等とシステム情報・ユーザ操作情報取得部13から取得した情報に基づいてユーザ操作を監視し、アラートポリシ17およびキャンセル行動特性18を用いて注意喚起のアラートを発する条件が満たされた場合に注意喚起を行う注意喚起部19を備えている。
図4は各種情報の例を示す図である。図4において、各種ログ14は、タイムスタンプと事象内容とを含んでいる。キャンセル行動ログ16は、タイムスタンプとキャンセル行動内容とを含んでいる。キャンセル行動内容には、例えば、URL情報、ドメイン、キャンセル行動内容(クリック直後キャンセル、マウスオーバ:1sec(マウスオーバが1秒間継続)等)等が含まれる。キャンセル行動特性DB33は、アクセス対象と行動特性とを含んでいる。行動特性には、アクセス対象(URLリンク、添付ファイル等)ごと、利用者(利用者本人、組織内関係者等)ごとのキャンセル回数、キャンセル率(キャンセル回数とアクセス回数の合計に対するキャンセル回数の比率)、アクセス回数、アクセス率(キャンセル回数とアクセス回数の合計に対するアクセス回数の比率)等が含まれる。アラートポリシ群34は、ポリシレベルと条件とアラート内容とを含んでいる。
図5は端末装置1(1A、1B、・・)およびサーバ装置3のハードウェア構成例を示す図である。図5において、端末装置1等は、システムバス101に接続されたCPU(Central Processing Unit)102、ROM(Read Only Memory)103、RAM(Random Access Memory)104、NVRAM(Non-Volatile Random Access Memory)105を備えている。また、端末装置1等は、I/F(Interface)106と、I/F106に接続された、I/O(Input/Output Device)107、HDD(Hard Disk Drive)/SSD(Solid State Drive)108、NIC(Network Interface Card)109と、I/O107に接続されたモニタ110、キーボード111、マウス112等を備えている。I/O107にはCD/DVD(Compact Disk/Digital Versatile Disk)ドライブ等を接続することもできる。
図2および図3で説明した端末装置1等の機能は、CPU102において所定のプログラムが実行されることで実現される。プログラムは、記録媒体を経由して取得されるものでもよいし、ネットワークを経由して取得されるものでもよいし、ROM組込でもよい。
<動作>
図6は端末装置1のキャンセル行動検出部15によるキャンセル行動検出の例を示す図であり、受信したメールの本文に埋め込まれているURLリンクにマウスオーバした後にキャンセル行動を行った場合である。
図6において、メーラ11xによりメールが受信され(ステップS111)、利用者により受信メールの選択が行われ(ステップS112)、メールテキストが開封され(ステップS113)、URLリンクの上にマウスオーバが行われる(ステップS114)。その後、マウスクリックせずに別の操作(移動や別のポイントでのクリック等)に移行した場合(ステップS115)は、キャンセル行動として検出され、キャンセル行動ログ16に記録される。
また、マウスオーバに続いてURLリンク上でマウスクリックが行われ(ステップS116)、Webブラウザ11zが起動(ステップS117)した後、閉じるボタンやプロセス終了(ウインドウのクローズ等)が行われた場合(ステップS118)もキャンセル行動として検出され、キャンセル行動ログ16に記録される。
図7はキャンセル行動検出の他の例を示す図であり、受信したメールの添付ファイルアイコンにマウスオーバした後にキャンセル行動を行った場合である。
図7において、メーラ11xによりメールが受信され(ステップS121)、利用者により受信メールの選択が行われ(ステップS122)、メールの添付ファイルアイコンの上にマウスオーバが行われる(ステップS123)。その後、マウスクリックせずに別の操作(移動や別のポイントでのクリック等)に移行した場合(ステップS124)は、キャンセル行動として検出され、キャンセル行動ログ16に記録される。
また、マウスオーバに続いて添付ファイルアイコン上でマウスクリックが行われ(ステップS125)、対応するアプリ(文書作成アプリ、表計算アプリ、プレゼンテーションアプリ等)が起動(ステップS126)した後、閉じるボタンやプロセス終了(ウインドウのクローズ等)が行われた場合(ステップS127)もキャンセル行動として検出され、キャンセル行動ログ16に記録される。
図8はサーバ装置3によるキャンセル行動分析の処理例を示すフローチャートである。図8において、サーバ装置3の情報取得部31は、各端末装置1からキャンセル行動ログ16を取得する(ステップS21)。
次いで、キャンセル行動分析部32は、アクセス対象(URLリンク、添付ファイル等)ごと、利用者(利用者本人、組織内関係者等)ごとに、情報を整理(分類)する(ステップS22)。
次いで、キャンセル行動分析部32は、アクセス対象ごと、利用者ごとに、キャンセル回数、キャンセル率(キャンセル回数とアクセス回数の合計に対するキャンセル回数の比率)、アクセス回数、アクセス率(キャンセル回数とアクセス回数の合計に対するアクセス回数の比率)等のキャンセル行動特性を導出する(ステップS23)。導出したキャンセル行動特性はキャンセル行動特性DB33に保持され、キャンセル行動特性提供部36によって端末装置1にキャンセル行動特性18として提供される。
図9は端末装置1の注意喚起部19による注意喚起の処理例を示すフローチャートである。図9において、注意喚起部19は、情報取得アドイン12x、12y、12z等とシステム情報・ユーザ操作情報取得部13から取得した情報に基づいて新規メールの受信または既に受信したメールの参照を検出すると(ステップS31)、本文内に含まれるURLリンクや添付ファイル等のアクセス対象とキャンセル行動特性18とを突合せる(ステップS32)。
注意喚起部19は、突き合わせの結果、一致するものがある場合、アラートポリシ17に従いURLリンクや添付ファイル等のアクセス対象に関する注意喚起を実施する(ステップS33)。
図10は注意喚起の例を示す図である。表示I1は、「直前(連携)操作とあぶないURLアクセスとの関係」を示し、実績値または一般的な統計値に基づいて、操作と危険性との関係を示している。図示の例では「初回メール受信」が下線等の強調により直前の操作であることが示されている。また、表示I2は、メール等の本文に含まれている複数のURLについて、「危険」「注意」の程度を示している。表示I3は、個人アクセスと組織内アクセスについてアクセスとアクセスの取止め(キャンセル行動)の比率をグラフと文字列で示している。表示I4は、アクセス取止め等のボタンを示している。
図9に戻り、注意喚起部19は、突き合わせの結果、一致するものがない場合、URLリンクや添付ファイル等のアクセス対象に関する注意喚起はせず、通常のメール処理へ移行する(ステップS34)。その後、いずれの場合も、その後のメール処理へ移行する(ステップS35)。
なお、利用者の操作の監視に基づいて注意喚起をする例について説明したが、利用者からの要求(セキュリティについての確認要求)に基づいて情報共有・提供という観点から表示を行ってもよい。図11は情報提供の例を示す図である。表示I5は、「利用アプリからの情報漏えいプロセス」を示し、実績値または一般的な統計値に基づいて、利用アプリ等と危険性との関係を示している。図示の例では「受信メール→リンク→Webアクセス」が直前の操作であることが下線等の強調により示されている。表示I6は、メール等の本文に含まれている複数のURLについて、「危険」「注意」の程度を示している。表示I7は、個人アクセスと組織内アクセスについてアクセスとアクセスの取止め(キャンセル行動)の比率をグラフと文字列で示している。表示I8は、ネットワークセキュリティについての連絡事項を示している。
<応用>
上述した技術は、Webアクセスに限らず、例えば、カーナビにおける複数の利用者の動向情報に基づく案内に対して選択しなかった行動や、商品購入において複数の利用者の購入しなかったり直前で止めた等の行動にも適用することができる。これらの情報の提供は、提供側の立場ではなく、利用者側に立った判断のための有用情報として提供することができる。この場合も、利用者側での判断を周りの状況をみて行えるようになり、選択のミスを少なくすることができる。
<総括>
以上説明したように、本実施形態によれば、URLや添付ファイル等へアクセスしようとした場合に判断に有用な情報が提供されるため、利用者はアクセス時に判断が容易になり、うっかりミスをなくすことができ、ネットワークセキュリティを向上することができる。
以上、好適な実施の形態により説明した。ここでは特定の具体例を示して説明したが、特許請求の範囲に定義された広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により限定されるものと解釈してはならない。
以上の説明に関し、更に以下の項を開示する。
(付記1)
ユーザ操作および該ユーザ操作のアクセス対象の情報を取得する手段と、
前記ユーザ操作を分析して、前記アクセス対象ごとに未然のアクセス行動を示す情報を取得する手段と、
前記未然のアクセス行動の対象となった前記アクセス対象の安全性に関する情報を利用者に提供する手段と、
を備えたことを特徴とする安全性判定装置。
(付記2)
URLリンクにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、URLリンクがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象であるURLリンクについて未然のアクセスが行われたとする、
ことを特徴とする付記1に記載の安全性判定装置。
(付記3)
添付ファイルのアイコンにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、添付ファイルのアイコンがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象である添付ファイルについて未然のアクセスが行われたとする、
ことを特徴とする付記1または2に記載の安全性判定装置。
(付記4)
アラートポリシで規定された条件およびアラートの内容に従って前記アクセス対象の安全性に関する情報を利用者に提供する、
ことを特徴とする付記1乃至3のいずれか一項に記載の安全性判定装置。
(付記5)
ユーザ操作および該ユーザ操作のアクセス対象の情報を取得し、
前記ユーザ操作を分析して、前記アクセス対象ごとに未然のアクセス行動を示す情報を取得し、
前記未然のアクセス行動の対象となった前記アクセス対象の安全性に関する情報を利用者に提供する、
処理をコンピュータに実行させることを特徴とする安全性判定プログラム。
(付記6)
URLリンクにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、URLリンクがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象であるURLリンクについて未然のアクセスが行われたとする、
ことを特徴とする付記5に記載の安全性判定プログラム。
(付記7)
添付ファイルのアイコンにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、添付ファイルのアイコンがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象である添付ファイルについて未然のアクセスが行われたとする、
ことを特徴とする付記5または6に記載の安全性判定プログラム。
(付記8)
アラートポリシで規定された条件およびアラートの内容に従って前記アクセス対象の安全性に関する情報を利用者に提供する、
ことを特徴とする付記5乃至7のいずれか一項に記載の安全性判定プログラム。
(付記9)
ユーザ操作および該ユーザ操作のアクセス対象の情報を取得し、
前記ユーザ操作を分析して、前記アクセス対象ごとに未然のアクセス行動を示す情報を取得し、
前記未然のアクセス行動の対象となった前記アクセス対象の安全性に関する情報を利用者に提供する、
処理をコンピュータが実行することを特徴とする安全性判定方法。
(付記10)
URLリンクにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、URLリンクがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象であるURLリンクについて未然のアクセスが行われたとする、
ことを特徴とする付記9に記載の安全性判定方法。
(付記11)
添付ファイルのアイコンにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、添付ファイルのアイコンがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象である添付ファイルについて未然のアクセスが行われたとする、
ことを特徴とする付記9または10に記載の安全性判定方法。
(付記12)
アラートポリシで規定された条件およびアラートの内容に従って前記アクセス対象の安全性に関する情報を利用者に提供する、
ことを特徴とする付記9乃至11のいずれか一項に記載の安全性判定方法。
1、1A、1B 端末装置
11x メーラ
11y メールチェックアプリ
11z Webブラウザ
12x〜12z 情報取得アドイン
13 システム情報・ユーザ操作情報取得部
14 各種ログ
15 キャンセル行動検出部
16 キャンセル行動ログ
17 アラートポリシ
18 キャンセル行動特性
19 注意喚起部
2 ネットワーク
3 サーバ装置
31 情報取得部
32 キャンセル行動分析部
33 キャンセル行動特性DB
34 アラートポリシ群
35 ポリシ提供部
36 キャンセル行動特性提供部
A、B 利用者

Claims (6)

  1. ユーザ操作および該ユーザ操作のアクセス対象の情報を取得する手段と、
    前記ユーザ操作を分析して、アクセス対象ごとの該アクセス対象に対するキャンセル行動特性を取得する手段と、
    前記アクセス対象ごとのキャンセル行動特性を利用者に提供する手段と、を備え、
    添付ファイルのアイコンにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、添付ファイルのアイコンがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象である添付ファイルについて未然のアクセスが行われたとする、ことを特徴とする安全性判定装置。
  2. URLリンクにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、URLリンクがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象であるURLリンクについて未然のアクセスが行われたとする、
    ことを特徴とする請求項1に記載の安全性判定装置。
  3. アラートポリシで規定された条件およびアラートの内容に従って前記アクセス対象ごとのキャンセル行動特性を利用者に提供する、
    ことを特徴とする請求項1又は2記載の安全性判定装置。
  4. 前記アクセス対象ごとのキャンセル行動特性は、前記ユーザ操作を分析して取得され、新たなアクセス対象との突き合わせに用いられる、請求項1乃至の何れか一項に記載の安全性判定装置。
  5. ユーザ操作および該ユーザ操作のアクセス対象の情報を取得し、
    前記ユーザ操作を分析して、アクセス対象ごとの該アクセス対象に対するキャンセル行動特性を取得し、
    前記アクセス対象ごとのキャンセル行動特性を利用者に提供し、
    添付ファイルのアイコンにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、添付ファイルのアイコンがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象である添付ファイルについて未然のアクセスが行われたとする、
    処理をコンピュータに実行させることを特徴とする安全性判定プログラム。
  6. ユーザ操作および該ユーザ操作のアクセス対象の情報を取得し、
    前記ユーザ操作を分析して、アクセス対象ごとの該アクセス対象に対するキャンセル行動特性を取得し、
    前記アクセス対象ごとのキャンセル行動特性を利用者に提供し、
    添付ファイルのアイコンにマウスオーバが行われた後にアクセスを回避する行動が行われた場合、または、添付ファイルのアイコンがマウスクリックされた後にアクセスを中断または中止する行動が行われた場合に、アクセス対象である添付ファイルについて未然のアクセスが行われたとする、
    処理をコンピュータが実行することを特徴とする安全性判定方法。
JP2016020299A 2016-02-04 2016-02-04 安全性判定装置、安全性判定プログラムおよび安全性判定方法 Active JP6759610B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2016020299A JP6759610B2 (ja) 2016-02-04 2016-02-04 安全性判定装置、安全性判定プログラムおよび安全性判定方法
US15/410,052 US20170228538A1 (en) 2016-02-04 2017-01-19 Safety determining apparatus and method
GB1701031.5A GB2550238B (en) 2016-02-04 2017-01-20 Safety determining apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016020299A JP6759610B2 (ja) 2016-02-04 2016-02-04 安全性判定装置、安全性判定プログラムおよび安全性判定方法

Publications (2)

Publication Number Publication Date
JP2017138860A JP2017138860A (ja) 2017-08-10
JP6759610B2 true JP6759610B2 (ja) 2020-09-23

Family

ID=58463203

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016020299A Active JP6759610B2 (ja) 2016-02-04 2016-02-04 安全性判定装置、安全性判定プログラムおよび安全性判定方法

Country Status (3)

Country Link
US (1) US20170228538A1 (ja)
JP (1) JP6759610B2 (ja)
GB (1) GB2550238B (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7138532B2 (ja) * 2018-10-04 2022-09-16 三菱電機株式会社 メール検査システム、メール検査方法およびメール検査プログラム
JP6614321B2 (ja) * 2018-12-28 2019-12-04 キヤノンマーケティングジャパン株式会社 情報処理システム、アクセス中継装置、その制御方法、及びプログラム
JP7283352B2 (ja) * 2019-11-01 2023-05-30 サクサ株式会社 メール監視装置およびメール監視方法

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7194516B2 (en) * 2003-10-23 2007-03-20 Microsoft Corporation Accessing different types of electronic messages through a common messaging interface
US20050289148A1 (en) * 2004-06-10 2005-12-29 Steven Dorner Method and apparatus for detecting suspicious, deceptive, and dangerous links in electronic messages
JP2006244033A (ja) * 2005-03-02 2006-09-14 Canon Inc アプリケーション起動方法、装置及び記憶媒体
US7930299B2 (en) * 2005-11-30 2011-04-19 Finjan, Inc. System and method for appending security information to search engine results
JP2008181445A (ja) * 2007-01-26 2008-08-07 Just Syst Corp 文書情報提供方法、文書情報提供プログラム、文書情報提供装置、およびweb端末装置
JP4877831B2 (ja) * 2007-06-27 2012-02-15 久美子 石井 確認システム、情報提供システム、ならびに、プログラム
US8595282B2 (en) * 2008-06-30 2013-11-26 Symantec Corporation Simplified communication of a reputation score for an entity
US9003552B2 (en) * 2010-12-30 2015-04-07 Ensighten, Inc. Online privacy management
US20120324568A1 (en) * 2011-06-14 2012-12-20 Lookout, Inc., A California Corporation Mobile web protection
TWI619038B (zh) * 2011-11-07 2018-03-21 Admedec Co Ltd Safety box
US9876742B2 (en) * 2012-06-29 2018-01-23 Microsoft Technology Licensing, Llc Techniques to select and prioritize application of junk email filtering rules
US20140082513A1 (en) * 2012-09-20 2014-03-20 Appsense Limited Systems and methods for providing context-sensitive interactive logging
KR101907529B1 (ko) * 2012-09-25 2018-12-07 삼성전자 주식회사 사용자 디바이스에서 어플리케이션 관리 방법 및 장치
JP6590481B2 (ja) * 2012-12-07 2019-10-16 キヤノン電子株式会社 ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム
US20140208385A1 (en) * 2013-01-24 2014-07-24 Tencent Technology (Shenzhen) Company Limited Method, apparatus and system for webpage access control
US20140379891A1 (en) * 2013-06-20 2014-12-25 Telefonaktiebolaget L M Ericsson (Publ) Methods and Apparatuses to Identify User Dissatisfaction from Early Cancelation
US20150046787A1 (en) * 2013-08-06 2015-02-12 International Business Machines Corporation Url tagging based on user behavior
JP5973413B2 (ja) * 2013-11-26 2016-08-23 ビッグローブ株式会社 端末装置、webメールサーバ、安全確認方法、及び安全確認プログラム
IL237986A0 (en) * 2015-03-26 2015-11-30 Yaron Peretz Method and system for broadcasting surfing activities
US9485265B1 (en) * 2015-08-28 2016-11-01 Palantir Technologies Inc. Malicious activity detection system capable of efficiently processing data accessed from databases and generating alerts for display in interactive user interfaces

Also Published As

Publication number Publication date
US20170228538A1 (en) 2017-08-10
GB2550238B (en) 2022-04-20
GB2550238A (en) 2017-11-15
GB201701031D0 (en) 2017-03-08
JP2017138860A (ja) 2017-08-10

Similar Documents

Publication Publication Date Title
US11314896B2 (en) Gracefully handling endpoint feedback when starting to monitor
US10616272B2 (en) Dynamically detecting abnormalities in otherwise legitimate emails containing uniform resource locators (URLs)
US9787714B2 (en) Phishing and threat detection and prevention
US7493654B2 (en) Virtualized protective communications system
TWI593266B (zh) 惡意訊息之偵測及處理
US20180191771A1 (en) Threat intelligence management in security and compliance environment
US20140052791A1 (en) Task Based Filtering of Unwanted Electronic Communications
JP5525048B2 (ja) 不正操作検知方法、及び、不正操作を検知する計算機
JP2008507757A (ja) エンドユーザのリスク管理
US8627404B2 (en) Detecting addition of a file to a computer system and initiating remote analysis of the file for malware
Baykara et al. A novel approach to ransomware: Designing a safe zone system
JP6759610B2 (ja) 安全性判定装置、安全性判定プログラムおよび安全性判定方法
WO2017019717A1 (en) Dynamic attachment delivery in emails for advanced malicious content filtering
IL254869A (en) Processing message reports and prioritizing threats
JP6493606B1 (ja) 情報処理装置、クライアント端末、制御方法、及びプログラム
EP3685296B1 (en) Configurable cyber-attack trackers
US20230004638A1 (en) Redirection of attachments based on risk and context
US11770388B1 (en) Network infrastructure detection
US11882131B1 (en) Systems and methods for prioritizing URL review for sandboxing based on accelerated velocities of URL features in network traffic
JP6515621B2 (ja) メール処理サーバ、メール処理方法、およびメール処理プログラム
US20230394083A1 (en) System event detection system and method
US11775670B2 (en) System and method for light data file duplication prevention
Howard et al. An approach for detecting malicious keyloggers
JP2018132823A (ja) ポリシー設定装置、ポリシー設定方法およびポリシー設定プログラム
JP7206488B2 (ja) 情報処理装置、クライアント端末、制御方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180912

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190806

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191001

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200331

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200625

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20200706

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200804

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200817

R150 Certificate of patent or registration of utility model

Ref document number: 6759610

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150