ウェブサイト判定端末、ウェブサイト判定装置、ウェブサイト判定方法及びウェブサイト判定プログラム
【課題】メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できるウェブサイト判定端末、ウェブサイト判定装置、ウェブサイト判定方法及びウェブサイト判定プログラムを提供すること。
【解決手段】ウェブサイト判定端末1は、DNSサーバに対してドメイン名の正引き及び逆引きを行いドメイン名を特定し、ドメイン取得部13により取得されたドメイン名及び特定されたドメイン名の整合性を判定するドメイン判定部14と、WHOISサーバを参照し、ドメイン取得部13により取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定部15と、ドメイン判定部14で整合しないと判定され、かつ、組織判定部15で所定の組織種別ではないと判定された場合、ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部16と、を備える。
【解決手段】ウェブサイト判定端末1は、DNSサーバに対してドメイン名の正引き及び逆引きを行いドメイン名を特定し、ドメイン取得部13により取得されたドメイン名及び特定されたドメイン名の整合性を判定するドメイン判定部14と、WHOISサーバを参照し、ドメイン取得部13により取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定部15と、ドメイン判定部14で整合しないと判定され、かつ、組織判定部15で所定の組織種別ではないと判定された場合、ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部16と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、会員登録を受け付けるウェブサイトが悪意のあるウェブサイトであるかを判定するウェブサイト判定端末、ウェブサイト判定装置、ウェブサイト判定方法及びウェブサイト判定プログラムに関する。
【背景技術】
【0002】
近年、ネットワークの発展により、気軽に電子メール(以下、メールという)を送受信することが可能になったことに伴い、スパムメール(spammail)の数が増大している。ここで、「スパムメール」とは、メールの受信者の意図を無視して、事前の要請や同意なしに無差別かつ大量発信されるメールをいう。なお、このスパムメールの同義語として、「迷惑メール」、「ジャンクメール」、「UCE(UnsolicitedCommercialEmail)」、「UBE(UnsolicitedBulkEmail)」等がある。
【0003】
スパムメールを受信するようになる一因は、ユーザが、スパムメールを発信する事業者により開設され、会員登録を受け付けるウェブサイトに誘導され、このウェブサイトで会員登録を行ってしまうことにより、会員登録情報として、ユーザ自身が使用するメールアドレスを開示してしまうことが挙げられる。しかしながら、会員登録を受け付けるウェブサイトは、フィッシングサイトのように明らかに違法なサイトとはいえず、メールアドレス等のユーザの個人情報が漏洩する可能性があるといった問題点があるに過ぎない。よって、このような問題点に鑑みて、会員登録を受け付けるウェブサイトを悪意があるサイトと認定し、検知を行うことは困難である。
【0004】
ところで、悪意があるウェブサイトを検知する仕組みとして、ウェブブラウザに設けられたツールバーによりウェブサイトの安全性を検知する方法が開示されている(非特許文献1参照)。この方法では、ウェブサイトを提供するサーバが安全であるか否かを認証情報として管理する認証サーバを設けておき、ウェブブラウザがウェブサイトを表示する場合に、ウェブブラウザのツールバーがこのウェブサイトの情報を認証サーバから受信する。そして、ツールバーは、認証情報に基づいて、ウェブサイトが安全であるか否かをツールバー上に表示する。
【0005】
しかしながら、この方法では、認証情報が作成されていないウェブサイトが安全であるか否かを判定することができない。
【0006】
また、悪意があるウェブサイトを検知する別の仕組みとして、ウェブサイトを表示する際に、このウェブサイトに対応するWHOIS情報、ドメイン情報、リンク情報、サイト運営年数等に基づいて、ウェブサイトが安全であるか否かを判定し、判定結果を報知する方法が開示されている(非特許文献2参照)。
【0007】
しかしながら、この方法は、明らかに悪意のあるフィッシングサイトや、マルウェア等が仕込まれているサイトを表示する際には有効であるものの、会員登録を受け付けるウェブサイトを表示する際には有効ではない。
【0008】
また、悪意があるウェブサイトを検知する別の仕組みとして、WHOIS情報及びDNS(Domain Name System)を利用して、フィッシングサイトの判定を行う方法が開示されている(非特許文献3参照)。この方法は、ウェブブラウザに表示するウェブサイトのドメイン名について、DNSにより正引きを行うことでIPアドレスを取得し、さらに、このIPアドレスからDNSにより逆引きを行うことでドメイン名を特定する。続いて、この方法は、ウェブブラウザに表示するウェブサイトのドメイン名及び特定したドメイン名の整合性により、悪意のあるサイトか否かを判定する。また、この方法は、TLD(Top Level Domain)が「jp」の場合、WHOISサーバに接続してWHOIS情報を取得し、この情報に基づいて、悪意のあるサイトか否かを判定する。
【0009】
しかしながら、この方法も、明らかに悪意のあるフィッシングサイトや、マルウェア等が仕込まれているサイトを表示する際には有効であるものの、会員登録を受け付けるウェブサイトを表示する際には有効ではない。また、この方法は、WHOIS情報の具体的な使用方法について示されていない。
【先行技術文献】
【非特許文献】
【0010】
【非特許文献1】フィッシング詐欺対策ソリューション(PhishWall)[平成22年4月5日]、インターネット<http://www.securebrain.co.jp/products/phishwall/client.html>
【非特許文献2】詐欺対策ツール(SagiWall)[平成22年4月5日]、インターネット<http://www.securebrain.co.jp/products/sagiwall/index.html>
【非特許文献3】中村元彦、寺田真敏、千葉雄司、土居範久、“proxyを使用したHTTPリクエスト解析によるAntiPhishingシステムの提案”、情報処理学会研究報告.マルチメディア通信と分散処理研究会報告、IPSJ SIG Notes 2006(26)pp.13−18 20060316
【発明の概要】
【発明が解決しようとする課題】
【0011】
つまり、非特許文献1〜3に示された方法では、明らかに悪意のあるフィッシングサイトや、マルウェア等が仕込まれているサイトを表示する際には有効であるものの、会員登録等によりメールアドレスの登録を受け付けるウェブサイトを表示する際には有効ではない。そこで、本発明は、メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できるウェブサイト判定端末、ウェブサイト判定装置、ウェブサイト判定方法及びウェブサイト判定プログラムを提供することを目的とする。
【課題を解決するための手段】
【0012】
本発明者らは、以下のような解決手段を提供する。
【0013】
(1)ウェブサイトを表示する表示部と、前記表示部に表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出部と、前記検出部により前記入力フォームを含むことを検出した場合、前記表示部に表示されたウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部と、前記ウェブサイト判定部による判定結果を報知する報知部と、を備えるウェブサイト判定端末。
【0014】
このような構成によれば、ウェブサイト判定端末は、表示部に表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出し、入力フォームを含むことを検出した場合、表示部に表示されたウェブサイトが悪意のあるウェブサイトと判定する。よって、ウェブサイト判定端末は、メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できる。
【0015】
また、ウェブサイト判定端末は、表示部に表示されたウェブサイトが悪意のあるウェブサイトであるかについての判定結果を報知する。よって、ウェブサイト判定端末は、ウェブサイト判定端末のユーザに、表示部に表示されているウェブサイトが悪意のあるウェブサイトであるかについて留意させることができる。
【0016】
(2)前記検出部により前記入力フォームを含むことを検出した場合、前記表示部に表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得部と、DNSサーバに対して前記ドメイン取得部により取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得部により取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定部と、WHOISサーバを参照し、前記ドメイン取得部により取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定部と、をさらに備え、前記ウェブサイト判定部は、前記検出部により前記入力フォームを含むことを検出した場合、前記ドメイン判定部で整合しないと判定され、かつ、前記組織判定部で前記所定の組織種別ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定する(1)に記載のウェブサイト判定端末。
【0017】
この構成によれば、ウェブサイト判定端末は、ドメイン取得部により取得されたドメイン名が、逆引きを行うことで得られるドメイン名と整合しない、かつ、対応する所有者の属する組織が所定の組織種別ではない、と判定された場合、表示部に表示されたウェブサイトが悪意のあるウェブサイトであると判定する。よって、ウェブサイト判定端末は、会員登録等によりメールアドレスの登録を受け付けるウェブサイトが悪意のあるウェブサイトか否かを判定して、悪意のあるウェブサイトである可能性を、ウェブサイト判定端末のユーザに示唆することができる。
【0018】
(3)ユーザからウェブサイトの判定指示を受け付ける受付部をさらに備え、前記検出部は、前記受付部により前記判定指示を受け付けたことに応じて、前記表示部に表示されたウェブサイトがメールアドレスの登録に係る入力フォームを含むことを検出する(1)又は(2)に記載のウェブサイト判定端末。
【0019】
このような構成によれば、ウェブサイト判定端末は、ユーザから、表示部に表示されているウェブサイトが悪意であるか否かの判定指示を受け付ける。よって、ウェブサイト判定端末のユーザは、自らの意思で、所定のウェブサイトについて、悪意があるウェブサイトであるかの判定を指示することができる。
【0020】
(4)端末から、ウェブサイトのURLを受け付けるURL受付部と、前記URL受付部により受け付けた前記URLに基づいて、前記ウェブサイトを取得するページ取得部と、前記ページ取得部により取得した前記ウェブサイトがメールアドレスの登録に係る入力フォームを含むことを検出する検出部と、前記検出部により前記入力フォームを含むことを検出した場合、前記ページ取得部により取得したウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得部と、DNSサーバに対して前記ドメイン取得部により取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得部により取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定部と、WHOISサーバに接続して前記ドメイン取得部により取得されたドメイン名が所属する組織が所定の組織であるか否かを判定する組織判定部と、前記ドメイン判定部で整合しないと判定され、かつ、前記組織判定部で前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部と、前記ウェブサイト判定部による判定結果を前記端末に送信する判定結果送信部とを備えるウェブサイト判定装置。
【0021】
このような構成によれば、ウェブサイト判定装置は、端末からウェブサイトのURLを受け付けたことに応じて、ウェブサイトが悪意のあるウェブサイトか否かを判定し、判定結果を端末に送信する。よって、ウェブサイト判定装置は、端末におけるウェブサイト判定処理に係る負荷を軽減させることができる。
【0022】
(5)端末が、悪意のあるウェブサイトを判定するウェブサイト判定方法であって、前記端末が、ウェブサイトを表示する表示ステップと、前記表示ステップにおいて表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出ステップと、前記検出ステップにより前記入力フォームを含むことを検出した場合、前記表示ステップにおいて表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得ステップと、DNSサーバに対して前記ドメイン取得ステップにより取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得ステップにより取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定ステップと、WHOISサーバを参照し、前記ドメイン取得ステップにより取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定ステップと、前記ドメイン判定ステップで整合しないと判定され、かつ、前記組織判定ステップで前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定ステップと、を実行するウェブサイト判定方法。
【0023】
このような構成によれば、当該ウェブサイト判定方法を端末が実行することにより、(1)と同様の効果が期待できる。
【0024】
(6)端末に、悪意のあるウェブサイトを判定させるウェブサイト判定プログラムであって、前記端末に、ウェブサイトを表示する表示ステップと、前記表示ステップにおいて表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出ステップと、前記検出ステップにより前記入力フォームを含むことを検出した場合、前記表示ステップにおいて表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得ステップと、DNSサーバに対して前記ドメイン取得ステップにより取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得ステップにより取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定ステップと、WHOISサーバを参照し、前記ドメイン取得ステップにより取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定ステップと、前記ドメイン判定ステップで整合しないと判定され、かつ、前記組織判定ステップで前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定ステップと、を実行させるウェブサイト判定プログラム。
【0025】
このような構成によれば、当該鍵交換プログラムを端末に実行させることにより、(1)と同様の効果が期待できる。
【発明の効果】
【0026】
本発明によれば、メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できる。
【図面の簡単な説明】
【0027】
【図1】第1実施形態に係るウェブサイト判定システムの全体構成を示す図である。
【図2】第1実施形態に係るウェブサイト判定端末における処理の流れを示すフローチャートである。
【図3】第2実施形態に係るウェブサイト判定システムの機能構成を示す図である。
【図4】第2実施形態に係るウェブサイト判定端末及びウェブサイト判定サーバにおける処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0028】
<第1実施形態>
以下、本発明の第1実施形態について図1及び図2を参照しながら説明する。
【0029】
図1は、本実施形態に係るウェブサイト判定システム100の全体構成を示す図である。
ウェブサイト判定システム100は、ウェブサイト判定端末1と、DNS(Domain Name System)サーバ2と、WHOISサーバ3と、ウェブサーバ4と、を備える。
【0030】
ウェブサイト判定端末1は、ネットワークNを介して、DNSサーバ2と、WHOISサーバ3と、ウェブサーバ4に接続可能である。このウェブサイト判定端末1は、会員登録を受け付けるウェブサイトが悪意のあるウェブサイトである可能性を示唆する。詳細については後述する。
【0031】
DNSサーバ2は、ネットワークNに接続可能なコンピュータのドメイン名と、このドメイン名に対応するIPアドレスとを関連付けて管理するサーバである。本実施形態では、DNSサーバ2において、ドメイン名に対応するIPアドレスを特定することを「正引き」といい、IPアドレスに対応するドメイン名を特定することを「逆引き」という。
【0032】
WHOISサーバ3は、ネットワークN上での、ドメイン名を所有する所有者の情報を管理するサーバである。WHOISサーバ3は、ドメイン名を所有する所有者の情報として、所有者名、所有者の住所、所有者の連絡先等を管理する。
【0033】
ウェブサーバ4は、ウェブサイト判定端末1等の端末が備えるウェブブラウザに対して、HTML(HyperText Markup Language)ドキュメント、画像、動画といったコンテンツにより構成されるウェブサイトを提供するサーバである。ウェブサーバ4は、ネットワークNに複数接続されている。
【0034】
ネットワークNは、ウェブサイト判定端末1と、DNSサーバ2と、WHOISサーバ3と、ウェブサーバ4との間で通信を行うための、例えば、インターネット等の通信回線である。ネットワークNは、有線であってもよいし、その一部又は全部が無線であってもよい。
【0035】
続いて、ウェブサイト判定端末1の機能について説明する。
ウェブサイト判定端末1は、制御部10と、記憶部20と、通信部21と、入力部22と、表示部23と、を備える。
【0036】
制御部10は、ウェブサイト判定端末1の全体を制御する部分であり、CPU(Central Processing Unit)等により構成される。制御部10は、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、このウェブサイト判定端末1を構成するハードウェアと協働し、本実施形態における各種機能を実現する。なお、制御部10が備える各部の機能は後述する。
【0037】
記憶部20は、ハードウェアをウェブサイト判定端末1として機能させるための各種プログラム、本実施形態の各種機能を制御部10に実行させるプログラム等を記憶する。
【0038】
通信部21は、ネットワークNを介して外部装置と通信を行うネットワーク・アダプタである。通信部21は、ウェブサイト判定端末1とウェブサーバ4との通信を確立し、ウェブサイトのデータの受信を行う。
【0039】
入力部22は、ユーザからの指示入力を受け付けるインタフェース装置である。入力部22は、例えば、キーボード、マウス及びタッチパネル等により構成される。
【0040】
表示部23は、ユーザにデータの入力を受け付ける画面を表示したり、ウェブサイトを表示するためのウェブブラウザを表示したり、ウェブサイト判定端末1による処理結果の画面を表示したりするものである。表示部23は、ブラウン管表示装置(CRT)や液晶表示装置(LCD)等により構成される。
【0041】
続いて、制御部10が備える各部の機能について説明する。
制御部10は、指示受付部11と、検出部12と、ドメイン取得部13と、ドメイン判定部14と、組織判定部15と、ウェブサイト判定部16と、報知制御部17と、を備える。
【0042】
指示受付部11は、入力部22を介して、ユーザからウェブサイトの判定指示を受け付ける。具体的には、表示部23にウェブブラウザが表示され、このウェブブラウザにウェブサイトが表示されている場合、指示受付部11は、入力部22において所定の操作が行われたことにより、ウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトか否かの判定指示を受け付ける。
【0043】
検出部12は、表示部23のウェブブラウザに表示されたウェブサイトが、メールアドレスの入力に係る入力フォームを含むことを検出する。具体的には、検出部12は、ウェブブラウザに表示されているウェブサイトを構成するHTMLドキュメントを解析し、メールアドレスの入力欄があるか、を検出する。
【0044】
メールアドレスの入力欄があるかについて、検出部12は、例えば、以下のように検出する。すなわち、ウェブサイト判定端末1は、HTMLドキュメントのソースコードに、フォームタグのインプットタグのパラメータに「mail」が含まれるか、フォームタグのインプットタグのタイプパラメータが「text」であるか、HTMLドキュメントに、「メールアドレスを入力してください」や「読者登録」といった登録に係る文字列が含まれるか、といったような複数の条件を記憶部20に予め記憶しておく。そして、検出部12は、HTMLドキュメントのソースコードを解析し、これら複数の条件の少なくとも1つに該当した場合に、メールアドレスの入力に係る入力フォームを含むことを検出する。
【0045】
なお、検出部12は、HTMLドキュメントのソースコードを解析し、メールソフトを起動するスクリプトについてもメールアドレスの入力に係る入力フォームがあるとみなす。すなわち、検出部12は、HTMLドキュメントにメールソフトを起動するスクリプトが含まれている場合、メールアドレスの入力に係る入力フォームを含むことを検出する。
【0046】
ドメイン取得部13は、検出部12により、入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトに対応するウェブサーバ4のドメイン名を取得する。具体的には、ドメイン取得部13は、ウェブブラウザに表示されているウェブサイトのURL(Uniform Resource Locator)からドメイン名を取得する。
【0047】
また、ドメイン取得部13は、ウェブブラウザに表示されているウェブサイトを構成するHTMLドキュメントを以下のように解析してドメイン名を取得する。すなわち、ドメイン取得部13は、HTMLドキュメントを解析して、フォームタグのアクションパラメータに記載されているドメイン名を取得したり、アンカータグに「mailto:info@example.com」といったようにメールアドレスが含まれている場合に、このメールアドレスのドメイン名(メール送信先ホスト名)を取得したりする。なお、HTMLドキュメントの解析は、上述の例に限らず、他の方法によりドメイン名を取得してもよい。
【0048】
ドメイン判定部14は、DNSサーバ2に対して、ドメイン取得部13により取得されたドメイン名の正引き及び逆引きを行うことで得られるドメイン名と、ドメイン取得部13により取得されたドメイン名との整合性を判定する。
【0049】
具体的には、ドメイン判定部14は、DNSサーバ2に対して、ドメイン取得部13により取得されたドメイン名の正引きを行い、このドメイン名に対応するIPアドレスを特定する。続いて、ドメイン判定部14は、DNSサーバ2に対して、特定されたIPアドレスの逆引きを行い、このIPアドレスに対応するドメイン名を特定する。続いて、ドメイン判定部14は、ドメイン取得部13により取得されたドメイン名と、逆引きにより特定されたドメイン名の整合性を判定する。続いて、ドメイン判定部14は、判定結果を記憶部20に一時的に記憶させる。
ここで、ドメイン判定部14は、2つのドメイン名が完全一致又は部分一致した場合に整合性があると判定する。部分一致の度合いは、適宜設定可能である。
なお、ドメイン判定部14は、正引き、逆引きによる整合性の判定を、ドメイン取得部13により取得されたドメイン名の全てに対して行い、いずれか1つのドメイン名が部分一致した場合に、整合性があると判定する。
【0050】
組織判定部15は、WHOISサーバ3を参照し、ドメイン取得部13により取得されたドメイン名に対応する組織が所定の組織であるか否かを判定する。具体的には、組織判定部15は、WHOISサーバ3に接続して、ドメイン取得部13により取得されたドメイン名に対応する所有者の情報を取得する。続いて、組織判定部15は、取得した所有者の情報から、ドメイン名に対応する所有者が属する組織が所定の組織種別(「Ltd」、「Corporation」、「Inc」)であるか否かを判定する。すなわち、組織判定部15は、所有者の情報から、所有者が会社であるか、所有者が「Ltd」、「Corporation」、「Inc」といった比較的規模が大きい組織であるかを判定する。続いて、組織判定部15は、判定結果を記憶部20に一時的に記憶させる。
【0051】
なお、WHOISサーバ3から取得される所有者の情報は、登録者情報(Registrant Organization,Registant Name)、組織名情報(Organization)といった情報であり、所有者が所属する組織を特定可能な情報である。また、取得される所有者の情報は、上述に列挙したものに限らず、所有者が所属する組織を特定可能な情報であればよい。
【0052】
ウェブサイト判定部16は、ドメイン判定部14で整合しないと判定され、かつ、組織判定部15で所定の組織ではないと判定された場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。
具体的には、ウェブサイト判定部16は、記憶部20に一時的に記憶されているドメイン判定部14の判定結果及び組織判定部15の判定結果を参照し、ドメイン取得部13により取得されたドメイン名が、逆引きを行うことで得られるドメイン名と整合しない、かつ、対応する所有者の属する組織が所定の組織種別ではない、と判定された場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。また、ウェブサイト判定部16は、ドメイン判定部14で整合すると判定した場合、又は組織判定部15で所定の組織であると判定した場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のないウェブサイトであると判定する。また、ウェブサイト判定部16は、この判定が終了すると、記憶部20に一時的に記憶されている判定結果を消去させる。
【0053】
報知制御部17は、ウェブサイト判定部16による判定結果を報知する。具体的には、報知制御部17は、ウェブサイト判定部16の判定結果を表示部23に表示させることにより、判定結果を報知する。なお、報知制御部17は、表示部23に表示させることにより判定結果を報知するに限らず、例えば、音や光により報知してもよい。
【0054】
図2は、本実施形態に係るウェブサイト判定端末1における処理の流れを示すフローチャートである。本処理は、記憶部20に記憶されているプログラムが、制御部10により実行されることにより行われる。
【0055】
ステップS1(受付ステップ)では、制御部10(指示受付部11)は、ユーザからウェブサイトの判定指示を受け付ける。
【0056】
ステップS2(検出ステップ)では、制御部10(検出部12)は、表示部23のウェブブラウザに表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する。
【0057】
ステップS3(ドメイン取得ステップ)では、制御部10(ドメイン取得部13)は、ステップS2において入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトに対応するウェブサーバ4のドメイン名を取得する。
【0058】
ステップS4(ドメイン判定ステップ)では、制御部10(ドメイン判定部14)は、ドメイン取得部13により取得されたドメイン名についてDNSサーバ2で正引き及び逆引きを行うことで得られるドメイン名と、ドメイン取得部13により取得されたドメイン名との整合性を判定する。また、ドメイン判定部14は、判定結果を記憶部20に一時的に記憶させる。
【0059】
ステップS5(組織判定ステップ)では、制御部10(組織判定部15)は、WHOISサーバ3を参照し、ドメイン取得部13により取得されたドメイン名に対応する組織が所定の組織であるか否かを判定する。また、組織判定部15は、判定結果を記憶部20に一時的に記憶させる。
【0060】
ステップS6(ウェブサイト判定ステップ)では、制御部10(ウェブサイト判定部16)は、ステップS4で整合しないと判定され、かつ、ステップS5で所定の組織ではないと判定された場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。また、ウェブサイト判定部16は、記憶部20に一時的に記憶されている判定結果を消去させる。
【0061】
ステップS7(判定結果表示ステップ)では、制御部10(報知制御部17)は、ステップS6で判定した結果を表示部23に表示させる。
【0062】
以上のように、本実施形態によれば、ウェブサイト判定端末1は、表示部23のウェブブラウザに表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出し、入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトと判定する。よって、ウェブサイト判定端末1は、メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できる。
【0063】
また、ウェブサイト判定端末1は、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであるかについての判定結果を報知する。よって、ウェブサイト判定端末1は、ウェブサイト判定端末1のユーザに、表示部23のウェブブラウザに表示されているウェブサイトが悪意のあるウェブサイトであるかについて留意させることができる。
【0064】
また、ウェブサイト判定端末1は、ドメイン取得部13により取得されたドメイン名が、逆引きを行うことで得られるドメイン名と整合しない、かつ、対応する所有者の属する組織が所定の組織種別ではない、と判定された場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。よって、ウェブサイト判定端末1は、会員登録等によりメールアドレスの登録を受け付けるウェブサイトが悪意のあるウェブサイトか否かを判定して、悪意のあるウェブサイトである可能性を、ウェブサイト判定端末1のユーザに示唆することができる。
【0065】
また、ウェブサイト判定端末1は、ユーザから、表示部23に表示されているウェブサイトが悪意であるか否かの判定指示を受け付ける。よって、ユーザは、自らの意思で、所定のウェブサイトについて、悪意があるウェブサイトであるかの判定を指示することができる。
【0066】
<第2実施形態>
以下、本発明の第2実施形態について図を参照しながら説明する。なお、第1実施形態と同様の構成には同一の符号を付し、適宜説明を省略又は簡略化する。
図3は、本実施形態に係るウェブサイト判定システム100Aの全体構成を示す図である。
本実施形態では、ウェブサイト判定サーバ5が、ウェブサイト判定端末1Aからドメイン名を受信し、このドメイン名に基づいて、悪意のあるウェブサイトか否かを判定する処理を行う点が第1実施形態と異なる。
【0067】
ウェブサイト判定システム100Aは、ウェブサイト判定端末1Aと、DNSサーバ2と、WHOISサーバ3と、ウェブサーバ4と、ウェブサイト判定サーバ5と、を備える。
【0068】
ウェブサイト判定端末1Aは、制御部10Aを備えており、制御部10Aは、指示受付部11Aと、検出部12Aと、ドメイン取得部13Aと、報知制御部17Aと、を備える。
【0069】
指示受付部11A及び検出部12Aは、第1実施形態の指示受付部11及び検出部12と、それぞれ同一の機能であるので、説明を省略する。
【0070】
ドメイン取得部13Aは、検出部12Aにより、入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトに対応するウェブサーバ4のドメイン名を取得し、通信部21を介して、このドメイン名をウェブサイト判定サーバ5に送信する。なお、ドメイン取得部13Aにおけるドメイン名を取得する処理は、第1実施形態のドメイン取得部13と同一の機能であるので、説明を省略する。
【0071】
報知制御部17Aは、通信部21を介して、ウェブサイト判定サーバ5から、判定対象のウェブサイトが悪意のあるウェブサイトであるか否かの判定結果を受信し、この判定結果を表示部23に表示させる。
【0072】
ウェブサイト判定サーバ5は、サーバ側制御部50と、サーバ側記憶部60と、サーバ側通信部61と、を備える。
サーバ側制御部50は、ドメイン判定部51と、組織判定部52と、ウェブサイト判定部53と、判定結果送信部としての送信制御部54と、を備える。
【0073】
ドメイン判定部51は、サーバ側通信部61を介して、ウェブサイト判定端末1Aからドメイン名を受信し、DNSサーバ2に対して、受信したドメイン名の正引き及び逆引きを行うことで得られるドメイン名と、ドメイン取得部13により取得されたドメイン名との整合性を判定する。なお、ドメイン判定部51における整合性を判定する処理は、第1実施形態のドメイン判定部14と同一の機能であるので、説明を省略する。
【0074】
組織判定部52は、WHOISサーバ3を参照し、ドメイン判定部51により受信されたドメイン名に対応する組織が所定の組織であるか否かを判定する。
ウェブサイト判定部53は、ドメイン判定部51で整合しないと判定され、かつ、組織判定部52で所定の組織ではないと判定された場合、受信したドメイン名に対応するウェブサイト、すなわち、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。
なお、組織判定部52及びウェブサイト判定部53の判定に係る処理は、第1実施形態の組織判定部15及びウェブサイト判定部16それぞれ同一の機能であるので、説明を省略する。
【0075】
送信制御部54は、ウェブサイト判定部53による判定結果を、ウェブサイト判定端末1Aに送信する。
【0076】
図4は、本実施形態に係るウェブサイト判定端末1A及びウェブサイト判定サーバ5における処理の流れを示すフローチャートである。
【0077】
ステップS11(受付ステップ)では、制御部10A(指示受付部11A)は、ユーザからウェブサイトの判定指示を受け付ける。
【0078】
ステップS12(検出ステップ)では、制御部10A(検出部12A)は、表示部23のウェブブラウザに表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する。
【0079】
ステップS13(ドメイン取得ステップ)では、制御部10A(ドメイン取得部13A)は、ステップS12において入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトに対応するウェブサーバ4のドメイン名を取得する。
【0080】
ステップS14(ドメイン送信ステップ)では、制御部10A(ドメイン取得部13A)は、ステップS13において取得されたドメイン名を、通信部21を介して、ウェブサイト判定サーバ5に送信する。
【0081】
ステップS15(ドメイン受信ステップ)では、サーバ側制御部50(ドメイン判定部51)は、サーバ側通信部61を介して、ウェブサイト判定端末1Aからドメイン名を受信する。
【0082】
ステップS16(ドメイン判定ステップ)では、サーバ側制御部50(ドメイン判定部51)は、ステップS15にて受信したドメイン名についてDNSサーバ2で正引き及び逆引きを行うことで得られるドメイン名と、受信したドメイン名との整合性を判定する。また、ドメイン判定部51は、判定結果を記憶部20に一時的に記憶させる。
【0083】
ステップS17(組織判定ステップ)では、サーバ側制御部50(組織判定部52)は、WHOISサーバ3を参照し、ステップS15にて受信したドメイン名に対応する組織が所定の組織であるか否かを判定する。また、組織判定部52は、判定結果を記憶部20に一時的に記憶させる。
【0084】
ステップS18(ウェブサイト判定ステップ)では、サーバ側制御部50(ウェブサイト判定部53)は、ステップS16で整合しないと判定され、かつ、ステップS17で所定の組織ではないと判定された場合、ステップS15にて受信したドメイン名に対応するウェブサイトが悪意のあるウェブサイトであると判定する。また、ウェブサイト判定部53は、記憶部20に一時的に記憶されている判定結果を消去させる。
【0085】
ステップS19(判定結果送信ステップ)では、サーバ側制御部50(送信制御部54)は、ステップS18で判定した結果をウェブサイト判定端末1Aに送信する。
【0086】
ステップS20(判定結果受信ステップ)では、制御部10A(報知制御部17A)は、通信部21を介して、ステップS19で送信した判定結果を受信する。
【0087】
ステップS21(判定結果報知ステップ)では、制御部10A(報知制御部17A)は、ステップS20で受信した判定結果を表示部23に表示することにより、判定結果をユーザに報知する。
【0088】
以上のように、本実施形態によれば、ウェブサイト判定サーバ5は、ウェブサイト判定端末1Aからドメイン名を受信したことに応じて、このドメイン名に対応するウェブサイトが悪意のあるウェブサイトか否かを判定し、判定結果をウェブサイト判定端末1Aに送信する。よって、ウェブサイト判定サーバ5は、ウェブサイト判定端末1Aにおけるウェブサイト判定処理に係る負荷を軽減させることができる。
【0089】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
【0090】
例えば、第2実施形態では、ウェブサイト判定サーバ5が、ウェブサイト判定端末1Aからドメイン名を受信し、このドメイン名に基づいて、悪意のあるウェブサイトか否かを判定する処理を行うこととしたが、これに限らない。例えば、ウェブサイト判定サーバ5が、ウェブサイト判定端末1AからウェブサイトのURLを受信し、このURLに対応するページがメールアドレスの入力に係る入力フォームを含むことを検出し、悪意のあるウェブサイトか否かを判定するまでの処理を行うこととしてもよい。
【符号の説明】
【0091】
1、1A ウェブサイト判定端末
2 DNSサーバ
3 WHOISサーバ
4 ウェブサーバ
5 ウェブサイト判定サーバ(ウェブサイト判定装置)
10、10A 制御部
11、11A 指示受付部
12、12A 検出部
13、13A ドメイン取得部
14、51 ドメイン判定部
15、52 組織判定部
16、53 ウェブサイト判定部
17、17A 報知制御部(報知部)
20 記憶部
21 通信部
22 入力部
23 表示部
54 送信制御部(判定結果送信部)
60 サーバ側記憶部
61 サーバ側通信部
N ネットワーク
【技術分野】
【0001】
本発明は、会員登録を受け付けるウェブサイトが悪意のあるウェブサイトであるかを判定するウェブサイト判定端末、ウェブサイト判定装置、ウェブサイト判定方法及びウェブサイト判定プログラムに関する。
【背景技術】
【0002】
近年、ネットワークの発展により、気軽に電子メール(以下、メールという)を送受信することが可能になったことに伴い、スパムメール(spammail)の数が増大している。ここで、「スパムメール」とは、メールの受信者の意図を無視して、事前の要請や同意なしに無差別かつ大量発信されるメールをいう。なお、このスパムメールの同義語として、「迷惑メール」、「ジャンクメール」、「UCE(UnsolicitedCommercialEmail)」、「UBE(UnsolicitedBulkEmail)」等がある。
【0003】
スパムメールを受信するようになる一因は、ユーザが、スパムメールを発信する事業者により開設され、会員登録を受け付けるウェブサイトに誘導され、このウェブサイトで会員登録を行ってしまうことにより、会員登録情報として、ユーザ自身が使用するメールアドレスを開示してしまうことが挙げられる。しかしながら、会員登録を受け付けるウェブサイトは、フィッシングサイトのように明らかに違法なサイトとはいえず、メールアドレス等のユーザの個人情報が漏洩する可能性があるといった問題点があるに過ぎない。よって、このような問題点に鑑みて、会員登録を受け付けるウェブサイトを悪意があるサイトと認定し、検知を行うことは困難である。
【0004】
ところで、悪意があるウェブサイトを検知する仕組みとして、ウェブブラウザに設けられたツールバーによりウェブサイトの安全性を検知する方法が開示されている(非特許文献1参照)。この方法では、ウェブサイトを提供するサーバが安全であるか否かを認証情報として管理する認証サーバを設けておき、ウェブブラウザがウェブサイトを表示する場合に、ウェブブラウザのツールバーがこのウェブサイトの情報を認証サーバから受信する。そして、ツールバーは、認証情報に基づいて、ウェブサイトが安全であるか否かをツールバー上に表示する。
【0005】
しかしながら、この方法では、認証情報が作成されていないウェブサイトが安全であるか否かを判定することができない。
【0006】
また、悪意があるウェブサイトを検知する別の仕組みとして、ウェブサイトを表示する際に、このウェブサイトに対応するWHOIS情報、ドメイン情報、リンク情報、サイト運営年数等に基づいて、ウェブサイトが安全であるか否かを判定し、判定結果を報知する方法が開示されている(非特許文献2参照)。
【0007】
しかしながら、この方法は、明らかに悪意のあるフィッシングサイトや、マルウェア等が仕込まれているサイトを表示する際には有効であるものの、会員登録を受け付けるウェブサイトを表示する際には有効ではない。
【0008】
また、悪意があるウェブサイトを検知する別の仕組みとして、WHOIS情報及びDNS(Domain Name System)を利用して、フィッシングサイトの判定を行う方法が開示されている(非特許文献3参照)。この方法は、ウェブブラウザに表示するウェブサイトのドメイン名について、DNSにより正引きを行うことでIPアドレスを取得し、さらに、このIPアドレスからDNSにより逆引きを行うことでドメイン名を特定する。続いて、この方法は、ウェブブラウザに表示するウェブサイトのドメイン名及び特定したドメイン名の整合性により、悪意のあるサイトか否かを判定する。また、この方法は、TLD(Top Level Domain)が「jp」の場合、WHOISサーバに接続してWHOIS情報を取得し、この情報に基づいて、悪意のあるサイトか否かを判定する。
【0009】
しかしながら、この方法も、明らかに悪意のあるフィッシングサイトや、マルウェア等が仕込まれているサイトを表示する際には有効であるものの、会員登録を受け付けるウェブサイトを表示する際には有効ではない。また、この方法は、WHOIS情報の具体的な使用方法について示されていない。
【先行技術文献】
【非特許文献】
【0010】
【非特許文献1】フィッシング詐欺対策ソリューション(PhishWall)[平成22年4月5日]、インターネット<http://www.securebrain.co.jp/products/phishwall/client.html>
【非特許文献2】詐欺対策ツール(SagiWall)[平成22年4月5日]、インターネット<http://www.securebrain.co.jp/products/sagiwall/index.html>
【非特許文献3】中村元彦、寺田真敏、千葉雄司、土居範久、“proxyを使用したHTTPリクエスト解析によるAntiPhishingシステムの提案”、情報処理学会研究報告.マルチメディア通信と分散処理研究会報告、IPSJ SIG Notes 2006(26)pp.13−18 20060316
【発明の概要】
【発明が解決しようとする課題】
【0011】
つまり、非特許文献1〜3に示された方法では、明らかに悪意のあるフィッシングサイトや、マルウェア等が仕込まれているサイトを表示する際には有効であるものの、会員登録等によりメールアドレスの登録を受け付けるウェブサイトを表示する際には有効ではない。そこで、本発明は、メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できるウェブサイト判定端末、ウェブサイト判定装置、ウェブサイト判定方法及びウェブサイト判定プログラムを提供することを目的とする。
【課題を解決するための手段】
【0012】
本発明者らは、以下のような解決手段を提供する。
【0013】
(1)ウェブサイトを表示する表示部と、前記表示部に表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出部と、前記検出部により前記入力フォームを含むことを検出した場合、前記表示部に表示されたウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部と、前記ウェブサイト判定部による判定結果を報知する報知部と、を備えるウェブサイト判定端末。
【0014】
このような構成によれば、ウェブサイト判定端末は、表示部に表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出し、入力フォームを含むことを検出した場合、表示部に表示されたウェブサイトが悪意のあるウェブサイトと判定する。よって、ウェブサイト判定端末は、メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できる。
【0015】
また、ウェブサイト判定端末は、表示部に表示されたウェブサイトが悪意のあるウェブサイトであるかについての判定結果を報知する。よって、ウェブサイト判定端末は、ウェブサイト判定端末のユーザに、表示部に表示されているウェブサイトが悪意のあるウェブサイトであるかについて留意させることができる。
【0016】
(2)前記検出部により前記入力フォームを含むことを検出した場合、前記表示部に表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得部と、DNSサーバに対して前記ドメイン取得部により取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得部により取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定部と、WHOISサーバを参照し、前記ドメイン取得部により取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定部と、をさらに備え、前記ウェブサイト判定部は、前記検出部により前記入力フォームを含むことを検出した場合、前記ドメイン判定部で整合しないと判定され、かつ、前記組織判定部で前記所定の組織種別ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定する(1)に記載のウェブサイト判定端末。
【0017】
この構成によれば、ウェブサイト判定端末は、ドメイン取得部により取得されたドメイン名が、逆引きを行うことで得られるドメイン名と整合しない、かつ、対応する所有者の属する組織が所定の組織種別ではない、と判定された場合、表示部に表示されたウェブサイトが悪意のあるウェブサイトであると判定する。よって、ウェブサイト判定端末は、会員登録等によりメールアドレスの登録を受け付けるウェブサイトが悪意のあるウェブサイトか否かを判定して、悪意のあるウェブサイトである可能性を、ウェブサイト判定端末のユーザに示唆することができる。
【0018】
(3)ユーザからウェブサイトの判定指示を受け付ける受付部をさらに備え、前記検出部は、前記受付部により前記判定指示を受け付けたことに応じて、前記表示部に表示されたウェブサイトがメールアドレスの登録に係る入力フォームを含むことを検出する(1)又は(2)に記載のウェブサイト判定端末。
【0019】
このような構成によれば、ウェブサイト判定端末は、ユーザから、表示部に表示されているウェブサイトが悪意であるか否かの判定指示を受け付ける。よって、ウェブサイト判定端末のユーザは、自らの意思で、所定のウェブサイトについて、悪意があるウェブサイトであるかの判定を指示することができる。
【0020】
(4)端末から、ウェブサイトのURLを受け付けるURL受付部と、前記URL受付部により受け付けた前記URLに基づいて、前記ウェブサイトを取得するページ取得部と、前記ページ取得部により取得した前記ウェブサイトがメールアドレスの登録に係る入力フォームを含むことを検出する検出部と、前記検出部により前記入力フォームを含むことを検出した場合、前記ページ取得部により取得したウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得部と、DNSサーバに対して前記ドメイン取得部により取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得部により取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定部と、WHOISサーバに接続して前記ドメイン取得部により取得されたドメイン名が所属する組織が所定の組織であるか否かを判定する組織判定部と、前記ドメイン判定部で整合しないと判定され、かつ、前記組織判定部で前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部と、前記ウェブサイト判定部による判定結果を前記端末に送信する判定結果送信部とを備えるウェブサイト判定装置。
【0021】
このような構成によれば、ウェブサイト判定装置は、端末からウェブサイトのURLを受け付けたことに応じて、ウェブサイトが悪意のあるウェブサイトか否かを判定し、判定結果を端末に送信する。よって、ウェブサイト判定装置は、端末におけるウェブサイト判定処理に係る負荷を軽減させることができる。
【0022】
(5)端末が、悪意のあるウェブサイトを判定するウェブサイト判定方法であって、前記端末が、ウェブサイトを表示する表示ステップと、前記表示ステップにおいて表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出ステップと、前記検出ステップにより前記入力フォームを含むことを検出した場合、前記表示ステップにおいて表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得ステップと、DNSサーバに対して前記ドメイン取得ステップにより取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得ステップにより取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定ステップと、WHOISサーバを参照し、前記ドメイン取得ステップにより取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定ステップと、前記ドメイン判定ステップで整合しないと判定され、かつ、前記組織判定ステップで前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定ステップと、を実行するウェブサイト判定方法。
【0023】
このような構成によれば、当該ウェブサイト判定方法を端末が実行することにより、(1)と同様の効果が期待できる。
【0024】
(6)端末に、悪意のあるウェブサイトを判定させるウェブサイト判定プログラムであって、前記端末に、ウェブサイトを表示する表示ステップと、前記表示ステップにおいて表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出ステップと、前記検出ステップにより前記入力フォームを含むことを検出した場合、前記表示ステップにおいて表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得ステップと、DNSサーバに対して前記ドメイン取得ステップにより取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得ステップにより取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定ステップと、WHOISサーバを参照し、前記ドメイン取得ステップにより取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定ステップと、前記ドメイン判定ステップで整合しないと判定され、かつ、前記組織判定ステップで前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定ステップと、を実行させるウェブサイト判定プログラム。
【0025】
このような構成によれば、当該鍵交換プログラムを端末に実行させることにより、(1)と同様の効果が期待できる。
【発明の効果】
【0026】
本発明によれば、メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できる。
【図面の簡単な説明】
【0027】
【図1】第1実施形態に係るウェブサイト判定システムの全体構成を示す図である。
【図2】第1実施形態に係るウェブサイト判定端末における処理の流れを示すフローチャートである。
【図3】第2実施形態に係るウェブサイト判定システムの機能構成を示す図である。
【図4】第2実施形態に係るウェブサイト判定端末及びウェブサイト判定サーバにおける処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0028】
<第1実施形態>
以下、本発明の第1実施形態について図1及び図2を参照しながら説明する。
【0029】
図1は、本実施形態に係るウェブサイト判定システム100の全体構成を示す図である。
ウェブサイト判定システム100は、ウェブサイト判定端末1と、DNS(Domain Name System)サーバ2と、WHOISサーバ3と、ウェブサーバ4と、を備える。
【0030】
ウェブサイト判定端末1は、ネットワークNを介して、DNSサーバ2と、WHOISサーバ3と、ウェブサーバ4に接続可能である。このウェブサイト判定端末1は、会員登録を受け付けるウェブサイトが悪意のあるウェブサイトである可能性を示唆する。詳細については後述する。
【0031】
DNSサーバ2は、ネットワークNに接続可能なコンピュータのドメイン名と、このドメイン名に対応するIPアドレスとを関連付けて管理するサーバである。本実施形態では、DNSサーバ2において、ドメイン名に対応するIPアドレスを特定することを「正引き」といい、IPアドレスに対応するドメイン名を特定することを「逆引き」という。
【0032】
WHOISサーバ3は、ネットワークN上での、ドメイン名を所有する所有者の情報を管理するサーバである。WHOISサーバ3は、ドメイン名を所有する所有者の情報として、所有者名、所有者の住所、所有者の連絡先等を管理する。
【0033】
ウェブサーバ4は、ウェブサイト判定端末1等の端末が備えるウェブブラウザに対して、HTML(HyperText Markup Language)ドキュメント、画像、動画といったコンテンツにより構成されるウェブサイトを提供するサーバである。ウェブサーバ4は、ネットワークNに複数接続されている。
【0034】
ネットワークNは、ウェブサイト判定端末1と、DNSサーバ2と、WHOISサーバ3と、ウェブサーバ4との間で通信を行うための、例えば、インターネット等の通信回線である。ネットワークNは、有線であってもよいし、その一部又は全部が無線であってもよい。
【0035】
続いて、ウェブサイト判定端末1の機能について説明する。
ウェブサイト判定端末1は、制御部10と、記憶部20と、通信部21と、入力部22と、表示部23と、を備える。
【0036】
制御部10は、ウェブサイト判定端末1の全体を制御する部分であり、CPU(Central Processing Unit)等により構成される。制御部10は、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、このウェブサイト判定端末1を構成するハードウェアと協働し、本実施形態における各種機能を実現する。なお、制御部10が備える各部の機能は後述する。
【0037】
記憶部20は、ハードウェアをウェブサイト判定端末1として機能させるための各種プログラム、本実施形態の各種機能を制御部10に実行させるプログラム等を記憶する。
【0038】
通信部21は、ネットワークNを介して外部装置と通信を行うネットワーク・アダプタである。通信部21は、ウェブサイト判定端末1とウェブサーバ4との通信を確立し、ウェブサイトのデータの受信を行う。
【0039】
入力部22は、ユーザからの指示入力を受け付けるインタフェース装置である。入力部22は、例えば、キーボード、マウス及びタッチパネル等により構成される。
【0040】
表示部23は、ユーザにデータの入力を受け付ける画面を表示したり、ウェブサイトを表示するためのウェブブラウザを表示したり、ウェブサイト判定端末1による処理結果の画面を表示したりするものである。表示部23は、ブラウン管表示装置(CRT)や液晶表示装置(LCD)等により構成される。
【0041】
続いて、制御部10が備える各部の機能について説明する。
制御部10は、指示受付部11と、検出部12と、ドメイン取得部13と、ドメイン判定部14と、組織判定部15と、ウェブサイト判定部16と、報知制御部17と、を備える。
【0042】
指示受付部11は、入力部22を介して、ユーザからウェブサイトの判定指示を受け付ける。具体的には、表示部23にウェブブラウザが表示され、このウェブブラウザにウェブサイトが表示されている場合、指示受付部11は、入力部22において所定の操作が行われたことにより、ウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトか否かの判定指示を受け付ける。
【0043】
検出部12は、表示部23のウェブブラウザに表示されたウェブサイトが、メールアドレスの入力に係る入力フォームを含むことを検出する。具体的には、検出部12は、ウェブブラウザに表示されているウェブサイトを構成するHTMLドキュメントを解析し、メールアドレスの入力欄があるか、を検出する。
【0044】
メールアドレスの入力欄があるかについて、検出部12は、例えば、以下のように検出する。すなわち、ウェブサイト判定端末1は、HTMLドキュメントのソースコードに、フォームタグのインプットタグのパラメータに「mail」が含まれるか、フォームタグのインプットタグのタイプパラメータが「text」であるか、HTMLドキュメントに、「メールアドレスを入力してください」や「読者登録」といった登録に係る文字列が含まれるか、といったような複数の条件を記憶部20に予め記憶しておく。そして、検出部12は、HTMLドキュメントのソースコードを解析し、これら複数の条件の少なくとも1つに該当した場合に、メールアドレスの入力に係る入力フォームを含むことを検出する。
【0045】
なお、検出部12は、HTMLドキュメントのソースコードを解析し、メールソフトを起動するスクリプトについてもメールアドレスの入力に係る入力フォームがあるとみなす。すなわち、検出部12は、HTMLドキュメントにメールソフトを起動するスクリプトが含まれている場合、メールアドレスの入力に係る入力フォームを含むことを検出する。
【0046】
ドメイン取得部13は、検出部12により、入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトに対応するウェブサーバ4のドメイン名を取得する。具体的には、ドメイン取得部13は、ウェブブラウザに表示されているウェブサイトのURL(Uniform Resource Locator)からドメイン名を取得する。
【0047】
また、ドメイン取得部13は、ウェブブラウザに表示されているウェブサイトを構成するHTMLドキュメントを以下のように解析してドメイン名を取得する。すなわち、ドメイン取得部13は、HTMLドキュメントを解析して、フォームタグのアクションパラメータに記載されているドメイン名を取得したり、アンカータグに「mailto:info@example.com」といったようにメールアドレスが含まれている場合に、このメールアドレスのドメイン名(メール送信先ホスト名)を取得したりする。なお、HTMLドキュメントの解析は、上述の例に限らず、他の方法によりドメイン名を取得してもよい。
【0048】
ドメイン判定部14は、DNSサーバ2に対して、ドメイン取得部13により取得されたドメイン名の正引き及び逆引きを行うことで得られるドメイン名と、ドメイン取得部13により取得されたドメイン名との整合性を判定する。
【0049】
具体的には、ドメイン判定部14は、DNSサーバ2に対して、ドメイン取得部13により取得されたドメイン名の正引きを行い、このドメイン名に対応するIPアドレスを特定する。続いて、ドメイン判定部14は、DNSサーバ2に対して、特定されたIPアドレスの逆引きを行い、このIPアドレスに対応するドメイン名を特定する。続いて、ドメイン判定部14は、ドメイン取得部13により取得されたドメイン名と、逆引きにより特定されたドメイン名の整合性を判定する。続いて、ドメイン判定部14は、判定結果を記憶部20に一時的に記憶させる。
ここで、ドメイン判定部14は、2つのドメイン名が完全一致又は部分一致した場合に整合性があると判定する。部分一致の度合いは、適宜設定可能である。
なお、ドメイン判定部14は、正引き、逆引きによる整合性の判定を、ドメイン取得部13により取得されたドメイン名の全てに対して行い、いずれか1つのドメイン名が部分一致した場合に、整合性があると判定する。
【0050】
組織判定部15は、WHOISサーバ3を参照し、ドメイン取得部13により取得されたドメイン名に対応する組織が所定の組織であるか否かを判定する。具体的には、組織判定部15は、WHOISサーバ3に接続して、ドメイン取得部13により取得されたドメイン名に対応する所有者の情報を取得する。続いて、組織判定部15は、取得した所有者の情報から、ドメイン名に対応する所有者が属する組織が所定の組織種別(「Ltd」、「Corporation」、「Inc」)であるか否かを判定する。すなわち、組織判定部15は、所有者の情報から、所有者が会社であるか、所有者が「Ltd」、「Corporation」、「Inc」といった比較的規模が大きい組織であるかを判定する。続いて、組織判定部15は、判定結果を記憶部20に一時的に記憶させる。
【0051】
なお、WHOISサーバ3から取得される所有者の情報は、登録者情報(Registrant Organization,Registant Name)、組織名情報(Organization)といった情報であり、所有者が所属する組織を特定可能な情報である。また、取得される所有者の情報は、上述に列挙したものに限らず、所有者が所属する組織を特定可能な情報であればよい。
【0052】
ウェブサイト判定部16は、ドメイン判定部14で整合しないと判定され、かつ、組織判定部15で所定の組織ではないと判定された場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。
具体的には、ウェブサイト判定部16は、記憶部20に一時的に記憶されているドメイン判定部14の判定結果及び組織判定部15の判定結果を参照し、ドメイン取得部13により取得されたドメイン名が、逆引きを行うことで得られるドメイン名と整合しない、かつ、対応する所有者の属する組織が所定の組織種別ではない、と判定された場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。また、ウェブサイト判定部16は、ドメイン判定部14で整合すると判定した場合、又は組織判定部15で所定の組織であると判定した場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のないウェブサイトであると判定する。また、ウェブサイト判定部16は、この判定が終了すると、記憶部20に一時的に記憶されている判定結果を消去させる。
【0053】
報知制御部17は、ウェブサイト判定部16による判定結果を報知する。具体的には、報知制御部17は、ウェブサイト判定部16の判定結果を表示部23に表示させることにより、判定結果を報知する。なお、報知制御部17は、表示部23に表示させることにより判定結果を報知するに限らず、例えば、音や光により報知してもよい。
【0054】
図2は、本実施形態に係るウェブサイト判定端末1における処理の流れを示すフローチャートである。本処理は、記憶部20に記憶されているプログラムが、制御部10により実行されることにより行われる。
【0055】
ステップS1(受付ステップ)では、制御部10(指示受付部11)は、ユーザからウェブサイトの判定指示を受け付ける。
【0056】
ステップS2(検出ステップ)では、制御部10(検出部12)は、表示部23のウェブブラウザに表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する。
【0057】
ステップS3(ドメイン取得ステップ)では、制御部10(ドメイン取得部13)は、ステップS2において入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトに対応するウェブサーバ4のドメイン名を取得する。
【0058】
ステップS4(ドメイン判定ステップ)では、制御部10(ドメイン判定部14)は、ドメイン取得部13により取得されたドメイン名についてDNSサーバ2で正引き及び逆引きを行うことで得られるドメイン名と、ドメイン取得部13により取得されたドメイン名との整合性を判定する。また、ドメイン判定部14は、判定結果を記憶部20に一時的に記憶させる。
【0059】
ステップS5(組織判定ステップ)では、制御部10(組織判定部15)は、WHOISサーバ3を参照し、ドメイン取得部13により取得されたドメイン名に対応する組織が所定の組織であるか否かを判定する。また、組織判定部15は、判定結果を記憶部20に一時的に記憶させる。
【0060】
ステップS6(ウェブサイト判定ステップ)では、制御部10(ウェブサイト判定部16)は、ステップS4で整合しないと判定され、かつ、ステップS5で所定の組織ではないと判定された場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。また、ウェブサイト判定部16は、記憶部20に一時的に記憶されている判定結果を消去させる。
【0061】
ステップS7(判定結果表示ステップ)では、制御部10(報知制御部17)は、ステップS6で判定した結果を表示部23に表示させる。
【0062】
以上のように、本実施形態によれば、ウェブサイト判定端末1は、表示部23のウェブブラウザに表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出し、入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトと判定する。よって、ウェブサイト判定端末1は、メールアドレスの登録を受け付けるウェブサイトのうち、悪意がある可能性が高いウェブサイトを検知できる。
【0063】
また、ウェブサイト判定端末1は、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであるかについての判定結果を報知する。よって、ウェブサイト判定端末1は、ウェブサイト判定端末1のユーザに、表示部23のウェブブラウザに表示されているウェブサイトが悪意のあるウェブサイトであるかについて留意させることができる。
【0064】
また、ウェブサイト判定端末1は、ドメイン取得部13により取得されたドメイン名が、逆引きを行うことで得られるドメイン名と整合しない、かつ、対応する所有者の属する組織が所定の組織種別ではない、と判定された場合、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。よって、ウェブサイト判定端末1は、会員登録等によりメールアドレスの登録を受け付けるウェブサイトが悪意のあるウェブサイトか否かを判定して、悪意のあるウェブサイトである可能性を、ウェブサイト判定端末1のユーザに示唆することができる。
【0065】
また、ウェブサイト判定端末1は、ユーザから、表示部23に表示されているウェブサイトが悪意であるか否かの判定指示を受け付ける。よって、ユーザは、自らの意思で、所定のウェブサイトについて、悪意があるウェブサイトであるかの判定を指示することができる。
【0066】
<第2実施形態>
以下、本発明の第2実施形態について図を参照しながら説明する。なお、第1実施形態と同様の構成には同一の符号を付し、適宜説明を省略又は簡略化する。
図3は、本実施形態に係るウェブサイト判定システム100Aの全体構成を示す図である。
本実施形態では、ウェブサイト判定サーバ5が、ウェブサイト判定端末1Aからドメイン名を受信し、このドメイン名に基づいて、悪意のあるウェブサイトか否かを判定する処理を行う点が第1実施形態と異なる。
【0067】
ウェブサイト判定システム100Aは、ウェブサイト判定端末1Aと、DNSサーバ2と、WHOISサーバ3と、ウェブサーバ4と、ウェブサイト判定サーバ5と、を備える。
【0068】
ウェブサイト判定端末1Aは、制御部10Aを備えており、制御部10Aは、指示受付部11Aと、検出部12Aと、ドメイン取得部13Aと、報知制御部17Aと、を備える。
【0069】
指示受付部11A及び検出部12Aは、第1実施形態の指示受付部11及び検出部12と、それぞれ同一の機能であるので、説明を省略する。
【0070】
ドメイン取得部13Aは、検出部12Aにより、入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトに対応するウェブサーバ4のドメイン名を取得し、通信部21を介して、このドメイン名をウェブサイト判定サーバ5に送信する。なお、ドメイン取得部13Aにおけるドメイン名を取得する処理は、第1実施形態のドメイン取得部13と同一の機能であるので、説明を省略する。
【0071】
報知制御部17Aは、通信部21を介して、ウェブサイト判定サーバ5から、判定対象のウェブサイトが悪意のあるウェブサイトであるか否かの判定結果を受信し、この判定結果を表示部23に表示させる。
【0072】
ウェブサイト判定サーバ5は、サーバ側制御部50と、サーバ側記憶部60と、サーバ側通信部61と、を備える。
サーバ側制御部50は、ドメイン判定部51と、組織判定部52と、ウェブサイト判定部53と、判定結果送信部としての送信制御部54と、を備える。
【0073】
ドメイン判定部51は、サーバ側通信部61を介して、ウェブサイト判定端末1Aからドメイン名を受信し、DNSサーバ2に対して、受信したドメイン名の正引き及び逆引きを行うことで得られるドメイン名と、ドメイン取得部13により取得されたドメイン名との整合性を判定する。なお、ドメイン判定部51における整合性を判定する処理は、第1実施形態のドメイン判定部14と同一の機能であるので、説明を省略する。
【0074】
組織判定部52は、WHOISサーバ3を参照し、ドメイン判定部51により受信されたドメイン名に対応する組織が所定の組織であるか否かを判定する。
ウェブサイト判定部53は、ドメイン判定部51で整合しないと判定され、かつ、組織判定部52で所定の組織ではないと判定された場合、受信したドメイン名に対応するウェブサイト、すなわち、表示部23のウェブブラウザに表示されたウェブサイトが悪意のあるウェブサイトであると判定する。
なお、組織判定部52及びウェブサイト判定部53の判定に係る処理は、第1実施形態の組織判定部15及びウェブサイト判定部16それぞれ同一の機能であるので、説明を省略する。
【0075】
送信制御部54は、ウェブサイト判定部53による判定結果を、ウェブサイト判定端末1Aに送信する。
【0076】
図4は、本実施形態に係るウェブサイト判定端末1A及びウェブサイト判定サーバ5における処理の流れを示すフローチャートである。
【0077】
ステップS11(受付ステップ)では、制御部10A(指示受付部11A)は、ユーザからウェブサイトの判定指示を受け付ける。
【0078】
ステップS12(検出ステップ)では、制御部10A(検出部12A)は、表示部23のウェブブラウザに表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する。
【0079】
ステップS13(ドメイン取得ステップ)では、制御部10A(ドメイン取得部13A)は、ステップS12において入力フォームを含むことを検出した場合、表示部23のウェブブラウザに表示されたウェブサイトに対応するウェブサーバ4のドメイン名を取得する。
【0080】
ステップS14(ドメイン送信ステップ)では、制御部10A(ドメイン取得部13A)は、ステップS13において取得されたドメイン名を、通信部21を介して、ウェブサイト判定サーバ5に送信する。
【0081】
ステップS15(ドメイン受信ステップ)では、サーバ側制御部50(ドメイン判定部51)は、サーバ側通信部61を介して、ウェブサイト判定端末1Aからドメイン名を受信する。
【0082】
ステップS16(ドメイン判定ステップ)では、サーバ側制御部50(ドメイン判定部51)は、ステップS15にて受信したドメイン名についてDNSサーバ2で正引き及び逆引きを行うことで得られるドメイン名と、受信したドメイン名との整合性を判定する。また、ドメイン判定部51は、判定結果を記憶部20に一時的に記憶させる。
【0083】
ステップS17(組織判定ステップ)では、サーバ側制御部50(組織判定部52)は、WHOISサーバ3を参照し、ステップS15にて受信したドメイン名に対応する組織が所定の組織であるか否かを判定する。また、組織判定部52は、判定結果を記憶部20に一時的に記憶させる。
【0084】
ステップS18(ウェブサイト判定ステップ)では、サーバ側制御部50(ウェブサイト判定部53)は、ステップS16で整合しないと判定され、かつ、ステップS17で所定の組織ではないと判定された場合、ステップS15にて受信したドメイン名に対応するウェブサイトが悪意のあるウェブサイトであると判定する。また、ウェブサイト判定部53は、記憶部20に一時的に記憶されている判定結果を消去させる。
【0085】
ステップS19(判定結果送信ステップ)では、サーバ側制御部50(送信制御部54)は、ステップS18で判定した結果をウェブサイト判定端末1Aに送信する。
【0086】
ステップS20(判定結果受信ステップ)では、制御部10A(報知制御部17A)は、通信部21を介して、ステップS19で送信した判定結果を受信する。
【0087】
ステップS21(判定結果報知ステップ)では、制御部10A(報知制御部17A)は、ステップS20で受信した判定結果を表示部23に表示することにより、判定結果をユーザに報知する。
【0088】
以上のように、本実施形態によれば、ウェブサイト判定サーバ5は、ウェブサイト判定端末1Aからドメイン名を受信したことに応じて、このドメイン名に対応するウェブサイトが悪意のあるウェブサイトか否かを判定し、判定結果をウェブサイト判定端末1Aに送信する。よって、ウェブサイト判定サーバ5は、ウェブサイト判定端末1Aにおけるウェブサイト判定処理に係る負荷を軽減させることができる。
【0089】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
【0090】
例えば、第2実施形態では、ウェブサイト判定サーバ5が、ウェブサイト判定端末1Aからドメイン名を受信し、このドメイン名に基づいて、悪意のあるウェブサイトか否かを判定する処理を行うこととしたが、これに限らない。例えば、ウェブサイト判定サーバ5が、ウェブサイト判定端末1AからウェブサイトのURLを受信し、このURLに対応するページがメールアドレスの入力に係る入力フォームを含むことを検出し、悪意のあるウェブサイトか否かを判定するまでの処理を行うこととしてもよい。
【符号の説明】
【0091】
1、1A ウェブサイト判定端末
2 DNSサーバ
3 WHOISサーバ
4 ウェブサーバ
5 ウェブサイト判定サーバ(ウェブサイト判定装置)
10、10A 制御部
11、11A 指示受付部
12、12A 検出部
13、13A ドメイン取得部
14、51 ドメイン判定部
15、52 組織判定部
16、53 ウェブサイト判定部
17、17A 報知制御部(報知部)
20 記憶部
21 通信部
22 入力部
23 表示部
54 送信制御部(判定結果送信部)
60 サーバ側記憶部
61 サーバ側通信部
N ネットワーク
【特許請求の範囲】
【請求項1】
ウェブサイトを表示する表示部と、
前記表示部に表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出部と、
前記検出部により前記入力フォームを含むことを検出した場合、前記表示部に表示されたウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部と、
前記ウェブサイト判定部による判定結果を報知する報知部と、を備えるウェブサイト判定端末。
【請求項2】
前記検出部により前記入力フォームを含むことを検出した場合、前記表示部に表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得部と、
DNSサーバに対して前記ドメイン取得部により取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得部により取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定部と、
WHOISサーバを参照し、前記ドメイン取得部により取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定部と、をさらに備え、
前記ウェブサイト判定部は、前記検出部により前記入力フォームを含むことを検出した場合、前記ドメイン判定部で整合しないと判定され、かつ、前記組織判定部で前記所定の組織種別ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定する請求項1に記載のウェブサイト判定端末。
【請求項3】
ユーザからウェブサイトの判定指示を受け付ける受付部をさらに備え、
前記検出部は、前記受付部により前記判定指示を受け付けたことに応じて、前記表示部に表示されたウェブサイトがメールアドレスの登録に係る入力フォームを含むことを検出する請求項1又は2に記載のウェブサイト判定端末。
【請求項4】
端末から、ウェブサイトのURLを受け付けるURL受付部と、
前記URL受付部により受け付けた前記URLに基づいて、前記ウェブサイトを取得するページ取得部と、
前記ページ取得部により取得した前記ウェブサイトがメールアドレスの登録に係る入力フォームを含むことを検出する検出部と、
前記検出部により前記入力フォームを含むことを検出した場合、前記ページ取得部により取得したウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得部と、
DNSサーバに対して前記ドメイン取得部により取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得部により取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定部と、
WHOISサーバに接続して前記ドメイン取得部により取得されたドメイン名が所属する組織が所定の組織であるか否かを判定する組織判定部と、
前記ドメイン判定部で整合しないと判定され、かつ、前記組織判定部で前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部と、
前記ウェブサイト判定部による判定結果を前記端末に送信する判定結果送信部とを備えるウェブサイト判定装置。
【請求項5】
端末が、悪意のあるウェブサイトを判定するウェブサイト判定方法であって、
前記端末が、
ウェブサイトを表示する表示ステップと、
前記表示ステップにおいて表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出ステップと、
前記検出ステップにより前記入力フォームを含むことを検出した場合、前記表示ステップにおいて表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得ステップと、
DNSサーバに対して前記ドメイン取得ステップにより取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得ステップにより取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定ステップと、
WHOISサーバを参照し、前記ドメイン取得ステップにより取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定ステップと、
前記ドメイン判定ステップで整合しないと判定され、かつ、前記組織判定ステップで前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定ステップと、を実行するウェブサイト判定方法。
【請求項6】
端末に、悪意のあるウェブサイトを判定させるウェブサイト判定プログラムであって、
前記端末に、
ウェブサイトを表示する表示ステップと、
前記表示ステップにおいて表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出ステップと、
前記検出ステップにより前記入力フォームを含むことを検出した場合、前記表示ステップにおいて表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得ステップと、
DNSサーバに対して前記ドメイン取得ステップにより取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得ステップにより取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定ステップと、
WHOISサーバを参照し、前記ドメイン取得ステップにより取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定ステップと、
前記ドメイン判定ステップで整合しないと判定され、かつ、前記組織判定ステップで前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定ステップと、を実行させるウェブサイト判定プログラム。
【請求項1】
ウェブサイトを表示する表示部と、
前記表示部に表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出部と、
前記検出部により前記入力フォームを含むことを検出した場合、前記表示部に表示されたウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部と、
前記ウェブサイト判定部による判定結果を報知する報知部と、を備えるウェブサイト判定端末。
【請求項2】
前記検出部により前記入力フォームを含むことを検出した場合、前記表示部に表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得部と、
DNSサーバに対して前記ドメイン取得部により取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得部により取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定部と、
WHOISサーバを参照し、前記ドメイン取得部により取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定部と、をさらに備え、
前記ウェブサイト判定部は、前記検出部により前記入力フォームを含むことを検出した場合、前記ドメイン判定部で整合しないと判定され、かつ、前記組織判定部で前記所定の組織種別ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定する請求項1に記載のウェブサイト判定端末。
【請求項3】
ユーザからウェブサイトの判定指示を受け付ける受付部をさらに備え、
前記検出部は、前記受付部により前記判定指示を受け付けたことに応じて、前記表示部に表示されたウェブサイトがメールアドレスの登録に係る入力フォームを含むことを検出する請求項1又は2に記載のウェブサイト判定端末。
【請求項4】
端末から、ウェブサイトのURLを受け付けるURL受付部と、
前記URL受付部により受け付けた前記URLに基づいて、前記ウェブサイトを取得するページ取得部と、
前記ページ取得部により取得した前記ウェブサイトがメールアドレスの登録に係る入力フォームを含むことを検出する検出部と、
前記検出部により前記入力フォームを含むことを検出した場合、前記ページ取得部により取得したウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得部と、
DNSサーバに対して前記ドメイン取得部により取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得部により取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定部と、
WHOISサーバに接続して前記ドメイン取得部により取得されたドメイン名が所属する組織が所定の組織であるか否かを判定する組織判定部と、
前記ドメイン判定部で整合しないと判定され、かつ、前記組織判定部で前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定部と、
前記ウェブサイト判定部による判定結果を前記端末に送信する判定結果送信部とを備えるウェブサイト判定装置。
【請求項5】
端末が、悪意のあるウェブサイトを判定するウェブサイト判定方法であって、
前記端末が、
ウェブサイトを表示する表示ステップと、
前記表示ステップにおいて表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出ステップと、
前記検出ステップにより前記入力フォームを含むことを検出した場合、前記表示ステップにおいて表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得ステップと、
DNSサーバに対して前記ドメイン取得ステップにより取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得ステップにより取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定ステップと、
WHOISサーバを参照し、前記ドメイン取得ステップにより取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定ステップと、
前記ドメイン判定ステップで整合しないと判定され、かつ、前記組織判定ステップで前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定ステップと、を実行するウェブサイト判定方法。
【請求項6】
端末に、悪意のあるウェブサイトを判定させるウェブサイト判定プログラムであって、
前記端末に、
ウェブサイトを表示する表示ステップと、
前記表示ステップにおいて表示されたウェブサイトがメールアドレスの入力に係る入力フォームを含むことを検出する検出ステップと、
前記検出ステップにより前記入力フォームを含むことを検出した場合、前記表示ステップにおいて表示されたウェブサイトに対応するウェブサーバのドメイン名を取得するドメイン取得ステップと、
DNSサーバに対して前記ドメイン取得ステップにより取得されたドメイン名の正引きを行いIPアドレスを特定し、前記DNSサーバに対して特定された前記IPアドレスの逆引きを行いドメイン名を特定し、前記ドメイン取得ステップにより取得されたドメイン名及び前記特定されたドメイン名の整合性を判定するドメイン判定ステップと、
WHOISサーバを参照し、前記ドメイン取得ステップにより取得されたドメイン名に対応する組織が所定の組織種別であるか否かを判定する組織判定ステップと、
前記ドメイン判定ステップで整合しないと判定され、かつ、前記組織判定ステップで前記所定の組織ではないと判定された場合、前記ウェブサイトが悪意のあるウェブサイトと判定するウェブサイト判定ステップと、を実行させるウェブサイト判定プログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2011−237979(P2011−237979A)
【公開日】平成23年11月24日(2011.11.24)
【国際特許分類】
【出願番号】特願2010−108245(P2010−108245)
【出願日】平成22年5月10日(2010.5.10)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成23年11月24日(2011.11.24)
【国際特許分類】
【出願日】平成22年5月10日(2010.5.10)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]