[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP7227935B2 - Information processing device, information processing method, and information processing program - Google Patents

Information processing device, information processing method, and information processing program Download PDF

Info

Publication number
JP7227935B2
JP7227935B2 JP2020061652A JP2020061652A JP7227935B2 JP 7227935 B2 JP7227935 B2 JP 7227935B2 JP 2020061652 A JP2020061652 A JP 2020061652A JP 2020061652 A JP2020061652 A JP 2020061652A JP 7227935 B2 JP7227935 B2 JP 7227935B2
Authority
JP
Japan
Prior art keywords
url
connection destination
information
mail
expansion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020061652A
Other languages
Japanese (ja)
Other versions
JP2021162964A (en
Inventor
光成 佐藤
智也 田澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Digital Arts Inc
Original Assignee
Digital Arts Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Digital Arts Inc filed Critical Digital Arts Inc
Priority to JP2020061652A priority Critical patent/JP7227935B2/en
Publication of JP2021162964A publication Critical patent/JP2021162964A/en
Priority to JP2023019446A priority patent/JP2023062039A/en
Application granted granted Critical
Publication of JP7227935B2 publication Critical patent/JP7227935B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明の実施形態は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。 TECHNICAL FIELD Embodiments of the present invention relate to an information processing apparatus, an information processing method, and an information processing program.

電子メールの送信元を偽り、あたかも適切なメールかのように偽装して送信する、いわゆる「なりすまし」メールが問題となっている。悪意の第三者が、特定の法人や団体に対して送信元をより巧妙に偽装した電子メールを送信して、メール内に記載されたリンク先情報などを介してユーザの端末をマルウェアなどに感染させて、個人情報などのデータを窃取する標的型のメール攻撃が近年増加しており、標的型のメール攻撃への対策が必要となっている。 The so-called "spoofing" e-mail, in which the source of the e-mail is disguised and sent as if it were an appropriate e-mail, has become a problem. A malicious third party sends an e-mail with a more sophisticated disguise of the sender to a specific corporation or organization, and infects the user's terminal with malware etc. via the link destination information etc. Targeted e-mail attacks that steal data such as personal information by infecting have increased in recent years, and countermeasures against targeted e-mail attacks are required.

特に、メールの送信元を偽装するとともに、メール内に記載された、ユーザがクリックしてアクセスするリンク先情報について実際の接続先となるURLを巧妙に隠して、悪意のサイトに誘導する攻撃が増加している。 In particular, there are attacks that disguise the sender of the e-mail and cleverly hide the actual URL of the link destination information that the user clicks to access in the e-mail, leading to a malicious site. It has increased.

従来では、ユーザがクリックしてアクセスするURLと、当該URLから転送(リダイレクト)される実際の接続先となるURLを比較して、接続先となるURLが適切なものであるか否かを判定する技術が開示されている。 Conventionally, the URL that the user clicks to access is compared with the actual connection destination URL that is transferred (redirected) from that URL, and it is determined whether or not the connection destination URL is appropriate. A technique for doing so is disclosed.

特開2019-53613公報Japanese Patent Laid-Open No. 2019-53613

一方で、企業や団体で広く普及している短縮URLサービスのように、ユーザがクリックしてアクセスするアクセス先のURLから別のURLにリダイレクトされるような場合、実際の接続先のURLは適切な接続先となる。つまり、リダイレクトされるようなアクセス先のURLであっても適切な接続先となる場合があり、リダイレクトの有無により適切か否かを判定する従来の方法では偽装メールを誤検知してしまうおそれがある。 On the other hand, in cases where the URL that the user clicks to access is redirected to another URL, such as shortened URL services that are widely used by companies and organizations, the actual destination URL is not appropriate. connection destination. In other words, even if the URL of the access destination is redirected, it may be an appropriate destination, and the conventional method of judging whether it is appropriate or not based on the presence or absence of redirection may result in erroneous detection of spoofed emails. be.

本発明はこのような事情を考慮してなされたもので、リンク先が巧妙に偽装されている場合であっても偽装メールを精度良く検出できる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。 The present invention has been made in consideration of such circumstances, and provides an information processing apparatus, an information processing method, and an information processing program capable of accurately detecting camouflaged mail even when the link destination is cleverly camouflaged. intended to provide

本発明の実施形態に係る情報処理装置は、クライアント端末に送信される電子メールを中継する情報処理装置であって、前記電子メールを受信して、前記電子メールに含まれるURL情報を抽出するURL情報抽出部と、ユーザがアクセスした際に、アクセス先のURLからリダイレクトさせるスクリプトを含む展開条件を予め保存する展開条件保存部と、抽出された前記URL情報と前記展開条件とに基づいて前記URL情報がリダイレクトするか否かを照合する照合部と、リダイレクトすると判定された前記URL情報について実際の接続先URLを取得して、当該接続先URLが適切か否かを判定する判定部と、を備えて、前記展開条件は配信サーバから一定期間ごとに配信されて、前記展開条件保存部は、前記展開条件のそれぞれに対応付けて接続先URLを展開して取得するか否かの設定をするとともに、前記接続先URLを展開して取得するか否かの設定がされていない前記展開条件については接続先URLを展開して取得するものに設定して、前記判定部は、抽出された前記URLについて前記展開条件に基づき展開する場合に、URL情報を展開して情報を取得し、前記展開条件との照合及び展開を実際の接続先URLが取得されるまで繰り返して、当該接続先URLが適切か否かを判定する。 An information processing apparatus according to an embodiment of the present invention is an information processing apparatus that relays an e-mail sent to a client terminal, and receives the e-mail and extracts URL information included in the e-mail. an information extraction unit; a deployment condition storage unit that pre-stores deployment conditions including a script for redirecting from a URL of an access destination when a user accesses; a verification unit that verifies whether or not information is to be redirected; and a determination unit that acquires an actual connection destination URL for the URL information determined to be redirected and determines whether or not the connection destination URL is appropriate. In addition, the expansion conditions are distributed from the distribution server at regular intervals, and the expansion condition storage unit sets whether or not to expand and acquire the connection destination URL in association with each of the expansion conditions. In addition, with regard to the expansion condition for which there is no setting as to whether or not to expand and acquire the connection destination URL, the expansion condition is set to expand and acquire the connection destination URL. When the URL is expanded based on the expansion conditions, the information is expanded by expanding the URL information, and the matching and expansion with the expansion conditions are repeated until the actual connection destination URL is acquired. Determine whether it is appropriate or not.

本発明の実施形態により、リンク先が偽装されている場合であっても偽装メールを精度良く検出できる情報処理装置、情報処理方法、及び情報処理プログラムが提供される。 Embodiments of the present invention provide an information processing device, an information processing method, and an information processing program capable of accurately detecting camouflaged mail even when the link destination is camouflaged.

本実施形態に係る情報処理装置が適用される電子メールシステムの構成の一例を示す構成図。1 is a configuration diagram showing an example configuration of an e-mail system to which an information processing apparatus according to the present embodiment is applied; FIG. (A)リダイレクトを実行する展開条件(スクリプト)のリスト、(B)リダイレクトを実行する展開条件(短縮URL)のリストを示す説明図。(A) A list of expansion conditions (scripts) for executing redirection, and (B) a list of expansion conditions (shortened URLs) for executing redirection. 展開条件を含む電子メールの一例を説明する説明図。FIG. 4 is an explanatory diagram for explaining an example of an e-mail containing expansion conditions; 本実施形態による情報処理方法の処理手順の一例を示すフローチャート。4 is a flow chart showing an example of a processing procedure of an information processing method according to the present embodiment;

以下、本発明の実施形態を添付図面に基づいて説明する。
図1は、第1実施形態に係る情報処理装置10が適用される電子メールシステムの構成の一例を示す構成図である。 An embodiment of the present invention will be described below with reference to the accompanying drawings.
FIG. 1 is a configuration diagram showing an example of the configuration of an e-mail system to which an information processing apparatus 10 according to the first embodiment is applied.

情報処理装置10は、外部メールサーバを介して、外部端末(図示省略)から電子メールを受信して、受信した電子メールをクライアント端末20に送信するサーバである。情報処理装置10は、例えばインターネットからの接続が制限される内部ネットワーク11に設けられてもよく、内部ネットワーク11とインターネットと任意に接続可能な外部ネットワークとの境界(DMZ:DeMilitarized Zone)に設けられてもよい。 The information processing apparatus 10 is a server that receives an e-mail from an external terminal (not shown) via an external mail server and transmits the received e-mail to the client terminal 20 . The information processing apparatus 10 may be provided in an internal network 11 to which connection from the Internet is restricted, for example, or may be provided in a boundary (DMZ: DeMilitarized Zone) between the internal network 11 and an external network that can be arbitrarily connected to the Internet. may

クライアント端末20は、情報処理装置10から電子メールを受信する端末である。なお、ここでは、クライアント端末20を3つで構成する例を示しているが、クライアント端末20の数量、配置は図1に限定されるものでは無い。また、クライアント端末20は、情報処理装置10と同様に、内部ネットワーク11に配置されている必要はなく、例えば内部ネットワーク11の外部から情報処理装置10に接続されてもよい。 The client terminal 20 is a terminal that receives e-mails from the information processing device 10 . Although an example in which three client terminals 20 are provided is shown here, the number and arrangement of the client terminals 20 are not limited to those shown in FIG. Further, like the information processing device 10, the client terminal 20 does not need to be located in the internal network 11, and may be connected to the information processing device 10 from outside the internal network 11, for example.

通信部12は、外部端末から送信された電子メールを情報処理装置10に転送する中継装置である。通信部12は、内部ネットワーク11と外部ネットワークとを接続する境界に設けられてもよいし、外部ネットワークに設けられてもよい。通信部12としては、MTA(Message Transfer Agent)が例示される。 The communication unit 12 is a relay device that transfers an e-mail sent from an external terminal to the information processing device 10 . The communication unit 12 may be provided at the boundary connecting the internal network 11 and the external network, or may be provided in the external network. An MTA (Message Transfer Agent) is exemplified as the communication unit 12 .

外部名前解決装置13は、電子メールの送信元が適切か否かを識別するための判別情報を保有するサーバであり、例えばDNS(Domain Name System)サーバである。判別情報としては、送信元のドメインとIPアドレスの組み合わせが例示される。情報処理装置10は、電子メールを受信したときに、通信部12を介して外部名前解決装置13に問い合わせて、受信した電子メールの送信元が外部名前解決装置13の判別情報と一致するか否かを照合して、当該電子メールの送信元が適切か否かを判定してもよい。 The external name resolution device 13 is a server that holds identification information for identifying whether or not the sender of an e-mail is appropriate, such as a DNS (Domain Name System) server. Examples of the determination information include a combination of a source domain and an IP address. When receiving an e-mail, the information processing device 10 inquires of the external name resolution device 13 via the communication unit 12 whether or not the sender of the received e-mail matches the identification information of the external name resolution device 13. It may be determined whether or not the sender of the e-mail is appropriate by collating whether or not.

本実施形態に係る情報処理装置10は、送受信部14と、URL情報抽出部15と、展開条件保存部16と、照合部17と、判定部18と、を備えている。 The information processing apparatus 10 according to the present embodiment includes a transmission/reception unit 14, a URL information extraction unit 15, a deployment condition storage unit 16, a collation unit 17, and a determination unit 18.

なお、情報処理装置10を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ASIC等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。 It should be noted that the function of each unit constituting the information processing apparatus 10 may be realized by executing a predetermined program code using a processor. It may be implemented by hardware processing, or may be implemented by combining software processing and hardware processing.

送受信部14は、通信部12から転送されて受信した電子メールの受信制御、及び、クライアント端末20から発信される電子メールの送信制御を実行する。 The transmission/reception unit 14 executes reception control of electronic mail transferred from the communication unit 12 and received, and transmission control of electronic mail sent from the client terminal 20 .

URL情報抽出部15は、受信した電子メール内から、URL情報を抽出する。ここで、URL情報とは、ユーザのアクセス先のURLを含む連続する文字列を意味しており、リダイレクトを実行するスクリプトを挟んでアクセス先のURLと他のURLが記載されている場合にはアクセス先のURLから連続する文字列全体となる。URL情報は、電子メール内を検索して抽出される。また、メール本文のみならず、電子メールに添付された添付ファイル、添付ファイルのマクロ等から取得されるリンク先に関する一切の情報についてURL情報を抽出する。 The URL information extractor 15 extracts URL information from the received e-mail. Here, the URL information means a continuous character string including the URL of the user's access destination. It becomes the entire character string that is continuous from the URL of the access destination. The URL information is extracted by searching within the e-mail. Further, URL information is extracted not only for the text of the mail but also for all information related to link destinations obtained from attachments attached to e-mails, macros of attachments, and the like.

展開条件保存部16は、ユーザがアクセスした際に、アクセス先のURLからリダイレクトさせる展開条件を予め保存する。展開条件とは、ユーザのアクセス先のURLから別のURLに転送(リダイレクト)させる条件を意味している。展開条件として、リダイレクトする文字列のパターン(正規表現)を保存してもよく、リダイレクトするドメインやスクリプト、あるいはURLが設定されてもよい。例えば、URL情報に短縮URLのドメインが含まれる場合が例示される。この場合、展開条件保存部16は、短縮URLのドメインのリストを予め保存している。また、展開条件として、URL情報内に、アクセス先のURLから他のURLにリダイレクトさせるスクリプトが含まれてもよい。この場合、展開条件保存部16は、リダイレクトさせるスクリプトを予め保存する。 The expansion condition storage unit 16 pre-stores expansion conditions for redirecting from the URL of the access destination when the user accesses. The deployment condition means a condition for transferring (redirecting) from the URL accessed by the user to another URL. As a deployment condition, a redirecting character string pattern (regular expression) may be saved, or a redirecting domain, script, or URL may be set. For example, a case where the URL information includes a shortened URL domain is exemplified. In this case, the deployment condition storage unit 16 stores in advance a list of domains of shortened URLs. Further, as a deployment condition, the URL information may include a script for redirecting from the accessed URL to another URL. In this case, the deployment condition storage unit 16 stores in advance a script to be redirected.

展開条件保存部16に保存される展開条件は、情報処理装置10の外部に配置された展開条件を配信するための展開条件配信サーバ19から一定期間ごとに配信されてもよい。展開条件配信サーバ19では、新たな展開条件が更新される。 The development conditions stored in the development condition storage unit 16 may be distributed at regular intervals from a development condition distribution server 19 arranged outside the information processing apparatus 10 for distributing the development conditions. A new development condition is updated in the development condition distribution server 19 .

なお、短縮URLとは、長い文字列のURLを短くしたものであり、リダイレクトを利用して本来の長いURLに転送するためのURLである。 A shortened URL is a shortened URL of a long character string, and is a URL for transferring to the original long URL using redirection.

また、展開条件保存部16は、展開条件のそれぞれに対応付けて、実際の接続先URLを展開して取得するか否かの設定を保存してもよい。具体的には、展開条件のそれぞれについて、後述する判定部18において、リダイレクトによる実際の接続先を取得するか否かの設定であり、「展開する」と設定した場合には実際の接続先を取得する一方で、「展開しない」と設定した場合には実際の接続先を取得しない。 Further, the expansion condition storage unit 16 may store a setting as to whether or not to expand and acquire the actual connection destination URL in association with each expansion condition. Specifically, for each expansion condition, the determination unit 18, which will be described later, sets whether or not to acquire the actual connection destination by redirection. On the other hand, if "not expanded" is set, the actual connection destination will not be obtained.

例えば、展開してURLが適切か否かを判定する必要がある短縮URLサービスについては「展開する」に設定し、企業や団体が設定する短縮URLのドメインについては悪意のおそれがないとして「展開しない」に設定してもよい。加えて、いずれの設定にも該当しない展開条件については、適切か否かを判定する必要があるものとして「展開する」に設定してもよい。 For example, for a shortened URL service that needs to be expanded to determine whether the URL is appropriate or not, set it to "expand", and for the shortened URL domain set by a company or organization, set it to "expand" because there is no risk of malicious intent. You can set it to "No". In addition, a deployment condition that does not correspond to any of the settings may be set to "develop" as a condition that needs to be determined as to whether it is appropriate or not.

照合部17は、抽出されたURL情報と展開条件とに基づいてURL情報がリダイレクトするか否かを照合する。具体的には、抽出されたURL情報が、展開条件保存部16に保存されている展開条件を含むか否かを判定する。展開条件を含む場合には、当該URL情報はリダイレクトするものとなる。 A collation unit 17 collates whether or not the URL information redirects based on the extracted URL information and expansion conditions. Specifically, it is determined whether or not the extracted URL information includes the expansion conditions stored in the expansion condition storage unit 16 . If the deployment condition is included, the URL information will redirect.

例えば、照合部17は、抽出されたURL情報に含まれるアクセス先のURLのドメインと保存されたドメインとを照合することにより、アクセス先のURLからリダイレクトするか否かを判定する。あるいは、照合部17は、抽出されたURL情報にリダイレクトのスクリプトが含まれるか否かにより、アクセス先のURLからリダイレクトするか否かを判定する。 For example, the matching unit 17 determines whether or not to redirect from the URL of the access destination by matching the domain of the URL of the access destination included in the extracted URL information with the saved domain. Alternatively, the collation unit 17 determines whether or not to redirect from the access destination URL, depending on whether or not the extracted URL information includes a redirect script.

判定部18は、リダイレクトすると判定されたURL情報について実際の接続先URLを取得して、当該接続先URLが適切か否かを判定する。ここで、適切でない(有害な)URLとは、ユーザがアクセスさせることで、悪意のあるファイルのダウンロードやWebサイトへの接続にクライアント端末20を誘導するURLを意味する。URLが適切か否の判定は、具体的には、マルウェアなどの悪意のサイトのおそれがあるURLのドメインやIPアドレスなどの悪性情報を予め記録しておき、この悪性情報と接続先URLとを照合することにより適切か否かを判定する。また、URLの拡張子について、マルウェアなどをダウンロードするおそれのあるものについて禁止拡張子として設定して、接続先URLの拡張子と比較することで適切か否かを判定してもよい。また、適切な(アクセスしても無害な)URLをホワイトリストとして予め保存しておき、接続先URLがこのホワイトリストに該当しない場合には、適切でないと判断してもよい。 The determination unit 18 acquires the actual connection destination URL for the URL information determined to be redirected, and determines whether or not the connection destination URL is appropriate. Here, an inappropriate (harmful) URL means a URL that leads the client terminal 20 to download a malicious file or connect to a website when accessed by the user. To determine whether the URL is appropriate or not, specifically, malicious information such as the domain and IP address of the URL, which may be a malicious site such as malware, is recorded in advance, and the malicious information and the connection destination URL are recorded. Appropriateness is determined by collation. Further, with respect to the extension of the URL, it is possible to set a prohibited extension that may download malware or the like, and determine whether or not it is appropriate by comparing the extension with the extension of the destination URL. Appropriate (harmless to access) URLs may be stored in advance as a whitelist, and if a connection destination URL does not fall under this whitelist, it may be determined that it is not appropriate.

また、判定部18は、URL情報から展開して取得された情報において、展開条件保存部の展開条件との照合により展開条件がさらに含まれる場合には、実際の接続先URLを取得するために、さらに展開して接続先URLを取得してもよい。 Further, if the information acquired by expanding from the URL information further includes expansion conditions as a result of matching with the expansion conditions in the expansion condition storage unit, the determination unit 18 determines whether to obtain the actual connection destination URL. , may be further expanded to acquire the connection destination URL.

なお、展開条件保存部16において、展開条件のそれぞれに対応付けて、実際の接続先URLを展開して取得するか否かの設定している場合には、判定部18は、URL情報内に展開して取得すると設定された展開条件が含まれる場合、実際の接続先URLを取得して、当該接続先URLが適切か否かを判定してもよい。接続先URLが適切でないと判定された場合、当該電子メールは偽装メールの疑いがあると判断される。 In addition, in the expansion condition storage unit 16, when it is set whether or not to expand and acquire the actual connection destination URL in association with each expansion condition, the determination unit 18 stores If expansion conditions set to be acquired by expansion are included, the actual connection destination URL may be acquired and whether or not the connection destination URL is appropriate may be determined. If it is determined that the connection destination URL is not appropriate, the e-mail is determined to be suspected of being a disguised e-mail.

判定部18において、電子メールに含まれるURL情報は適切であるとされたメールについては、送受信部14を介してクライアント端末20(電子メールで設定された送信先に対応する端末)に転送される。一方で、送受信部14は、電子メールに含まれるURL情報が不適切と判定された場合にはクライアント端末20に電子メールを送信せずに、情報処理装置10の内部にメールを隔離する。これにより、電子メールを受信するクライアント端末20がウィルスに感染するなどのリスクが回避されて、端末の安全性が担保される。 The e-mail whose URL information contained in the e-mail is determined to be appropriate by the determination unit 18 is transferred to the client terminal 20 (the terminal corresponding to the destination set in the e-mail) via the transmission/reception unit 14. . On the other hand, when the URL information included in the e-mail is determined to be inappropriate, the transmission/reception unit 14 does not send the e-mail to the client terminal 20 and isolates the e-mail inside the information processing apparatus 10 . This avoids the risk that the client terminal 20 that receives the e-mail is infected with a virus, and ensures the safety of the terminal.

また、展開条件に合致するURL情報を展開するためのサーバを別途配置して、判定部18はURL情報をこのサーバに送信して、当該サーバ上においてリダイレクトされる実際の接続先URLを取得してもよい。判定部18は、接続先URLをサーバから受け付けて、当該接続先URLが適切か否かを判定してもよい。 Further, a server for developing URL information that matches the expansion condition is separately arranged, and the determination unit 18 transmits the URL information to this server and acquires the actual connection destination URL to be redirected on the server. may The determination unit 18 may receive a connection destination URL from the server and determine whether or not the connection destination URL is appropriate.

図2(A)は、リダイレクトを実行する展開条件(スクリプト)のリストである。例えば、「scriptA」では、ユーザのアクセス先となるURLを先頭に配置して、スクリプトを挟んで実際の接続先URLを記載することでリダイレクトを実行させるものである。照合部17は、抽出したURL情報に展開条件が含まれるか否かを照合する。また、展開条件のそれぞれについて、判定部18においてリダイレクトによる実際の接続先を取得するか否かの設定がされており、「scriptA」は展開有無が“〇”に設定されて実際の接続先を取得する一方で、「scriptB」は展開有無が“×”に設定されて実際の接続先を取得しない設定となる。実際の接続先を取得しない展開不要の条件については、適切なURLと判断される。 FIG. 2A is a list of deployment conditions (scripts) for executing redirection. For example, in "scriptA", the URL to be accessed by the user is placed at the top, and the actual connection destination URL is written with the script interposed to execute redirection. The collation unit 17 collates whether or not the extracted URL information includes expansion conditions. Further, for each of the deployment conditions, the determination unit 18 sets whether or not to acquire the actual connection destination by redirection. On the other hand, "scriptB" is set to "x" for whether to expand or not, so that the actual connection destination is not acquired. The URL is determined to be an appropriate URL for the condition that expansion is not required and the actual connection destination is not acquired.

また、図2(B)は、リダイレクトを実行する展開条件(短縮URL)のリストを示す説明図である。照合部17は、抽出したURL情報に短縮URLが含まれるか否かを照合する。また、展開条件のそれぞれについて、判定部18においてリダイレクトによる実際の接続先を取得するか否かの設定されており、「tanshukuA」は展開有無が“〇”に設定されて実際の接続先を取得する一方で、「tanshukuB」は“×”に設定されて実際の接続先を取得しない設定となる。実際の接続先を取得しない展開不要の条件については、適切なURLと判断される。展開の有無を設定することで、適切か否かの判定が必要なURLのみ接続先を取得することなり、効率的にURLの判定ができる。 FIG. 2B is an explanatory diagram showing a list of expansion conditions (shortened URLs) for executing redirection. The collation unit 17 collates whether or not the extracted URL information includes a shortened URL. For each expansion condition, whether or not to acquire the actual connection destination by redirection is set in the determination unit 18. For "tanshukuA", the expansion status is set to "O" and the actual connection destination is acquired. On the other hand, "tanshukuB" is set to "x" and the actual connection destination is not acquired. The URL is determined to be an appropriate URL for the condition that expansion is not required and the actual connection destination is not acquired. By setting the presence/absence of deployment, only URLs that need to be determined as to whether they are appropriate or not can be acquired as connection destinations, making it possible to efficiently determine URLs.

図3は、展開条件を含む電子メールの一例を説明する説明図である。
電子メールの本文内にURL情報が記載されており、URL情報にあらかじめ設定された展開条件として「scriptA」が含まれている。この場合、判定部18は、リダイレクト先と判定されたURL情報について実際の接続先URL(http://malicious.com)を取得して、当該接続先URLが適切か否かを判定する。このように、アクセス先のURLからリダイレクトさせる展開条件を予め保存して、抽出されたURL情報と展開条件とに基づいてURL情報がリダイレクトするか否かを照合する。そして、リダイレクトすると判定されたURL情報について実際の接続先URLを取得し、当該接続先URLが適切か否かを判定することで、偽装メールを精度良く検出できる。 FIG. 3 is an explanatory diagram illustrating an example of an e-mail containing development conditions.
URL information is described in the text of the e-mail, and "scriptA" is included as a preconfigured expansion condition in the URL information. In this case, the determination unit 18 acquires the actual connection destination URL (http://malicious.com) for the URL information determined as the redirect destination, and determines whether or not the connection destination URL is appropriate. In this way, the expansion conditions for redirecting from the URL of the access destination are stored in advance, and whether or not the URL information redirects is checked based on the extracted URL information and the expansion conditions. Then, by acquiring the actual connection destination URL for the URL information determined to be redirected, and determining whether or not the connection destination URL is appropriate, it is possible to accurately detect camouflaged mail.

図4は、本実施形態による情報処理方法の処理手順の一例を示すフローチャートである。 FIG. 4 is a flow chart showing an example of the processing procedure of the information processing method according to this embodiment.

URL情報抽出部15は、受信した電子メール内から、URL情報を抽出する(S10)。 The URL information extractor 15 extracts URL information from the received e-mail (S10).

照合部17は、抽出されたURL情報と展開条件とに基づいてURL情報がリダイレクトするか否かを照合する(S11)。具体的には、照合部17は、抽出されたURL情報が、展開条件保存部16に保存されている展開条件を含むか否かを照合して、展開条件を含む場合には、当該URL情報はリダイレクトするものとする(S11:YES)。 The collation unit 17 collates whether or not the URL information redirects based on the extracted URL information and expansion conditions (S11). Specifically, the collating unit 17 collates whether or not the extracted URL information includes the expansion conditions stored in the expansion condition storage unit 16, and if the extracted URL information contains the expansion conditions, the URL information shall be redirected (S11: YES).

判定部18は、リダイレクトすると判定されたURL情報について実際の接続先URLを取得して、当該接続先URLが適切か否かを判定する(S12、S13)。判定部18は、適切と判定した場合、電子メールをクライアント端末20に転送する(S13:YES15)。 The determination unit 18 acquires the actual connection destination URL for the URL information determined to be redirected, and determines whether or not the connection destination URL is appropriate (S12, S13). When determining that the e-mail is appropriate, the determining unit 18 transfers the e-mail to the client terminal 20 (S13: YES15).

一方で、判定部18は、適切でないと判定した場合、電子メールに含まれるURL情報が有害である偽装メールであるとして隔離する(S13:NO、S14)。なお、判定部18は、偽装メールであるとして隔離された場合、隔離した旨をクライアント端末20(電子メールで設定された送信先に対応する端末)に通知してもよい。また、情報処理装置10が、送信元のドメイン、IPアドレスなどの送信元情報など複数の判定基準を用いて偽装メールか否かの判定をしている場合は、判定部18において当該接続先URLが適切でないと判定された場合に、この判定結果や送信元情報などの複数の基準に基づいて偽装メールか否かを判断してもよい。 On the other hand, if the determining unit 18 determines that the e-mail is not appropriate, the URL information included in the e-mail is considered to be harmful and the disguised e-mail is quarantined (S13: NO, S14). Note that, when the e-mail is quarantined as a fake mail, the determination unit 18 may notify the client terminal 20 (the terminal corresponding to the destination set in the e-mail) of the quarantine. Further, when the information processing apparatus 10 judges whether or not it is a camouflaged mail using a plurality of judgment criteria such as sender information such as the sender's domain and IP address, the judgment unit 18 determines whether the connection destination URL is determined to be inappropriate, it may be determined whether or not it is a fake mail based on a plurality of criteria such as this determination result and sender information.

このように、従前のリダイレクトするか否かにより電子メールの偽装判定をする場合では、メール偽装判定において誤検知が増えるおそれがあるが、リダイレクトさせる展開条件に基づいて電子メールに含まれるURL情報が適切か否かを判定することで、リンク先が偽装されている場合であっても偽装メールを精度良く検出でき、偽装メールの判定における誤検知を低減できる。 In this way, when judging disguise of an e-mail based on whether or not to redirect it as in the past, there is a risk that false positives may increase in judging e-mail disguise. By judging whether or not it is appropriate, it is possible to accurately detect fake mail even if the link destination is fake, and reduce false positives in judging fake mail.

以上述べた各実施形態の情報処理装置によれば、ユーザがアクセスした際に、アクセス先のURLからリダイレクトさせる展開条件を予め保存して、抽出されたURL情報と展開条件とに基づいてURL情報がリダイレクトするか否かを照合し、リダイレクトすると判定されたURL情報について実際の接続先URLを取得し、当該接続先URLが適切か否かを判定することにより、リンク先が偽装されている場合であっても偽装メールを精度良く検出できる。 According to the information processing apparatus of each of the embodiments described above, when the user accesses, the expansion conditions for redirecting from the URL of the access destination are stored in advance, and the URL information is displayed based on the extracted URL information and the expansion conditions. If the link destination is disguised by checking whether or not to redirect, acquiring the actual connection destination URL for the URL information determined to be redirected, and determining whether or not the connection destination URL is appropriate However, it is possible to accurately detect fake mail.

なお、情報処理装置10で実行されるプログラムは、ROM等から構成されるハードディスクに予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでCD-ROM、CD-R、メモリカード、DVD、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、情報処理装置10で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。 It should be noted that the program executed by the information processing apparatus 10 is provided by being preliminarily incorporated in a hard disk constituted by a ROM or the like. Alternatively, the program may be stored in a computer-readable storage medium such as a CD-ROM, CD-R, memory card, DVD, flexible disk, etc. as a file in an installable format or an executable format. may Also, the program executed by the information processing apparatus 10 may be stored in a computer connected to a network such as the Internet, downloaded via the network, and provided.

本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。 While several embodiments of the invention have been described, these embodiments have been presented by way of example and are not intended to limit the scope of the invention. These novel embodiments can be implemented in various other forms, and various omissions, replacements, and modifications can be made without departing from the scope of the invention. These embodiments and modifications thereof are included in the scope and gist of the invention, and are included in the scope of the invention described in the claims and equivalents thereof.

10…情報処理装置、11…内部ネットワーク、12…通信部、13…外部名前解決装置、14…送受信部、15…URL情報抽出部、16…展開条件保存部、17…照合部、18…判定部、19…展開条件配信サーバ、20…クライアント端末。 DESCRIPTION OF SYMBOLS 10... Information processing apparatus, 11... Internal network, 12... Communication part, 13... External name resolution apparatus, 14... Transmission/reception part, 15... URL information extraction part, 16... Expansion condition storage part, 17... Verification part, 18... Judgment Part 19... deployment condition delivery server, 20... client terminal.

Claims (4)

クライアント端末に送信される電子メールを中継する情報処理装置であって、
前記電子メールを受信して、前記電子メールに含まれるURL情報を抽出するURL情報抽出部と、
ユーザがアクセスした際に、アクセス先のURLからリダイレクトさせるスクリプトを含む展開条件を予め保存する展開条件保存部と、
抽出された前記URL情報と前記展開条件とに基づいて前記URL情報がリダイレクトするか否かを照合する照合部と、
リダイレクトすると判定された前記URL情報について実際の接続先URLを取得して、当該接続先URLが適切か否かを判定する判定部と、を備えて、
前記展開条件は配信サーバから一定期間ごとに配信されて、
前記展開条件保存部は、前記展開条件のそれぞれに対応付けて接続先URLを展開して取得するか否かの設定をするとともに、前記接続先URLを展開して取得するか否かの設定がされていない前記展開条件については接続先URLを展開して取得するものに設定して、
前記判定部は、抽出された前記URLについて前記展開条件に基づき展開する場合に、URL情報を展開して情報を取得し、前記展開条件との照合及び展開を実際の接続先URLが取得されるまで繰り返して、当該接続先URLが適切か否かを判定する、
ことを特徴とする記載の情報処理装置。 An information processing device that relays an e-mail sent to a client terminal,
a URL information extraction unit that receives the e-mail and extracts URL information included in the e-mail;
a deployment condition storage unit for pre-storing deployment conditions including a script for redirecting from an access destination URL when a user accesses;
a collation unit that collates whether or not the URL information redirects based on the extracted URL information and the expansion condition;
a determination unit that acquires an actual connection destination URL for the URL information determined to be redirected and determines whether or not the connection destination URL is appropriate;
The deployment conditions are distributed from a distribution server at regular intervals,
The expansion condition storage unit sets whether or not to expand and acquire the connection destination URL in association with each of the expansion conditions, and sets whether or not to expand and acquire the connection destination URL. For the expansion condition that is not set , set it to be obtained by expanding the connection destination URL,
When the extracted URL is expanded based on the expansion condition, the determination unit acquires information by expanding URL information, and compares and expands with the expansion condition to obtain an actual connection destination URL. to determine whether the connection destination URL is appropriate,
The information processing apparatus according to the above-mentioned. 前記展開条件保存部は、アクセス先のURLからリダイレクトさせる短縮URLのドメインのリストを予め保存しており、
前記照合部は、抽出された前記URL情報に含まれるアクセス先のURLのドメインと保存されたドメインとを照合することによりリダイレクトするか否かを判定する、
ことを特徴とする請求項1に記載の情報処理装置。 The deployment condition storage unit stores in advance a list of domains of shortened URLs to be redirected from the URL of the access destination,
The matching unit determines whether or not to redirect by matching the domain of the URL of the access destination included in the extracted URL information with the saved domain.
The information processing apparatus according to claim 1, characterized by: クライアント端末に送信される電子メールを中継する情報処理方法であって、
前記電子メールを受信して、前記電子メールに含まれるURL情報を抽出するステップと、
ユーザがアクセスした際に、アクセス先のURLからリダイレクトさせるスクリプトを含む展開条件を予め保存するステップと、
抽出された前記URL情報と前記展開条件とに基づいて前記URL情報がリダイレクトするか否かを判定するステップと、
リダイレクトすると判定された前記URL情報について実際の接続先URLを取得して、当該接続先URLが適切か否かを判定するステップと、を含み、
前記展開条件は配信サーバから一定期間ごとに配信されて、
前記展開条件のそれぞれに対応付けて接続先URLを展開して取得するか否かの設定をするとともに、前記接続先URLを展開して取得するか否かの設定がされていない前記展開条件については接続先URLを展開して取得するものに設定して、
抽出された前記URLについて前記展開条件に基づき展開する場合に、URL情報を展開して情報を取得し、前記展開条件との照合及び展開を実際の接続先URLが取得されるまで繰り返して、当該接続先URLが適切か否かを判定する、
ことを特徴とする情報処理方法。 An information processing method for relaying an e-mail sent to a client terminal,
receiving the e-mail and extracting URL information contained in the e-mail;
a step of pre-saving deployment conditions including a script for redirecting from an access destination URL when a user accesses;
determining whether the URL information redirects based on the extracted URL information and the expansion condition;
obtaining an actual connection destination URL for the URL information determined to be redirected, and determining whether or not the connection destination URL is appropriate;
The deployment conditions are distributed from a distribution server at regular intervals,
Regarding the expansion condition for which setting is made as to whether or not to expand and acquire the connection destination URL in association with each of the expansion conditions, and whether or not to expand and acquire the connection destination URL is not set is set to the one to be acquired by expanding the connection destination URL,
When the extracted URL is expanded based on the expansion condition, the information is acquired by expanding the URL information, and the collation and expansion with the expansion condition are repeated until the actual connection destination URL is acquired. determining whether the connection destination URL is appropriate;
An information processing method characterized by: コンピュータを、
電子メールを受信して、前記電子メールに含まれるURL情報を抽出する機能、
ユーザがアクセスした際に、アクセス先のURLからリダイレクトさせるスクリプトを含む展開条件を予め保存する機能、
抽出された前記URL情報と前記展開条件とに基づいて前記URL情報がリダイレクトするか否かを判定する機能、
リダイレクトすると判定された前記URL情報について実際の接続先URLを取得して、当該接続先URLが適切か否かを判定する機能、として実行させて、
前記展開条件は配信サーバから一定期間ごとに配信されて、
前記展開条件のそれぞれに対応付けて接続先URLを展開して取得するか否かの設定をするとともに、前記接続先URLを展開して取得するか否かの設定がされていない前記展開条件については接続先URLを展開して取得するものに設定して、
抽出された前記URLについて前記展開条件に基づき展開する場合に、URL情報を展開して情報を取得し、前記展開条件との照合及び展開を実際の接続先URLが取得されるまで繰り返して、当該接続先URLが適切か否かを判定する、
ことを特徴とする記載の情報処理プログラム。 the computer,
A function of receiving an e-mail and extracting URL information contained in the e-mail;
A function that saves deployment conditions in advance, including a script that redirects from the URL of the access destination when the user accesses.
a function of determining whether or not the URL information redirects based on the extracted URL information and the expansion condition;
obtaining an actual connection destination URL for the URL information determined to be redirected, and determining whether or not the connection destination URL is appropriate;
The deployment conditions are distributed from a distribution server at regular intervals,
Regarding the expansion condition for which setting is made as to whether or not to expand and acquire the connection destination URL in association with each of the expansion conditions, and whether or not to expand and acquire the connection destination URL is not set is set to the one to be acquired by expanding the connection destination URL,
When the extracted URL is expanded based on the expansion condition, the information is acquired by expanding the URL information, and the collation and expansion with the expansion condition are repeated until the actual connection destination URL is acquired. determining whether the connection destination URL is appropriate;
The information processing program according to the description.
JP2020061652A 2020-03-30 2020-03-30 Information processing device, information processing method, and information processing program Active JP7227935B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020061652A JP7227935B2 (en) 2020-03-30 2020-03-30 Information processing device, information processing method, and information processing program
JP2023019446A JP2023062039A (en) 2020-03-30 2023-02-10 Information processing device, information processing method, and information processing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020061652A JP7227935B2 (en) 2020-03-30 2020-03-30 Information processing device, information processing method, and information processing program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2023019446A Division JP2023062039A (en) 2020-03-30 2023-02-10 Information processing device, information processing method, and information processing program

Publications (2)

Publication Number Publication Date
JP2021162964A JP2021162964A (en) 2021-10-11
JP7227935B2 true JP7227935B2 (en) 2023-02-22

Family

ID=78004868

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2020061652A Active JP7227935B2 (en) 2020-03-30 2020-03-30 Information processing device, information processing method, and information processing program
JP2023019446A Pending JP2023062039A (en) 2020-03-30 2023-02-10 Information processing device, information processing method, and information processing program

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2023019446A Pending JP2023062039A (en) 2020-03-30 2023-02-10 Information processing device, information processing method, and information processing program

Country Status (1)

Country Link
JP (2) JP7227935B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006163446A (en) 2004-12-02 2006-06-22 Canon Software Inc Information processing apparatus, data retrieval method, program, and recording medium
JP2009289245A (en) 2008-05-27 2009-12-10 Yahoo Japan Corp Message determining device, method and program
JP2019053613A (en) 2017-09-15 2019-04-04 キヤノンマーケティングジャパン株式会社 Information processing device, information processing system, control method, and program
JP2020503635A (en) 2016-12-29 2020-01-30 クロニクル エルエルシー Gather indicators of compromise for security threat detection

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8448241B1 (en) * 2006-02-16 2013-05-21 Oracle America, Inc. Browser extension for checking website susceptibility to cross site scripting

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006163446A (en) 2004-12-02 2006-06-22 Canon Software Inc Information processing apparatus, data retrieval method, program, and recording medium
JP2009289245A (en) 2008-05-27 2009-12-10 Yahoo Japan Corp Message determining device, method and program
JP2020503635A (en) 2016-12-29 2020-01-30 クロニクル エルエルシー Gather indicators of compromise for security threat detection
JP2019053613A (en) 2017-09-15 2019-04-04 キヤノンマーケティングジャパン株式会社 Information processing device, information processing system, control method, and program

Also Published As

Publication number Publication date
JP2021162964A (en) 2021-10-11
JP2023062039A (en) 2023-05-02

Similar Documents

Publication Publication Date Title
US10581898B1 (en) Malicious message analysis system
US20240154996A1 (en) Secure Notification on Networked Devices
US10084791B2 (en) Evaluating a questionable network communication
US9674145B2 (en) Evaluating a questionable network communication
US9015090B2 (en) Evaluating a questionable network communication
US9912677B2 (en) Evaluating a questionable network communication
US8621604B2 (en) Evaluating a questionable network communication
US9654494B2 (en) Detecting and marking client devices
US9123027B2 (en) Social engineering protection appliance
JP4405248B2 (en) Communication relay device, communication relay method, and program
US11838320B2 (en) Proxy server and navigation code injection to prevent malicious messaging attacks
EP1850236A1 (en) Communication control apparatus
JP2008506210A (en) Method and apparatus for detecting suspicious, deceptive and dangerous links in electronic messages
US9779433B2 (en) Systems and methods for dynamic vendor and vendor outlet classification
US10021133B1 (en) System and method for anti-phishing system
EP3033865A1 (en) Evaluating a questionable network communication
KR20090025146A (en) Method and apparatus for preventing web page attacks
US9092624B2 (en) System, method, and computer program product for conditionally performing a scan on data based on an associated data structure
US11019082B2 (en) Protection from malicious and/or harmful content in cloud-based service scenarios
WO2007096659A1 (en) Phishing mitigation
JP7227935B2 (en) Information processing device, information processing method, and information processing program
CN112534417B (en) Information processing device, information processing method, and information processing program
JP6730692B2 (en) Information processing apparatus, information processing method, and information processing program
JP4564916B2 (en) Phishing fraud countermeasure method, terminal, server and program
JP6955527B2 (en) Information processing equipment, information processing methods, and information processing programs

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210203

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220128

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20220325

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220404

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220818

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220922

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230113

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230210

R150 Certificate of patent or registration of utility model

Ref document number: 7227935

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150