メールサーバ、プロキシサーバ、サーバシステム、誘導アドレス判定方法、アクセス先確認方法及びプログラム
【課題】誘導URLを判別し易くする。
【解決手段】メールサーバ11は、受信メールに含まれているURLが誘導URLか否かを判定する。ドメイン名の場合、メールサーバ11は、URL判定条件を用いて、この判定を行う。メールサーバ11は、ユーザ端末16がこの受信メールを取得したときに、誘導URLデータベース12aに、誘導URLに関するデータをエントリする。プロキシサーバ13は、ユーザ端末16からWebサーバ15へのアクセス要求があったとき、誘導URLデータベース12aを検索し、誘導URLが存在する場合、ユーザ端末16に誘導URLのドメイン名、IPアドレス、ドメインの所有者情報を送信する。
【解決手段】メールサーバ11は、受信メールに含まれているURLが誘導URLか否かを判定する。ドメイン名の場合、メールサーバ11は、URL判定条件を用いて、この判定を行う。メールサーバ11は、ユーザ端末16がこの受信メールを取得したときに、誘導URLデータベース12aに、誘導URLに関するデータをエントリする。プロキシサーバ13は、ユーザ端末16からWebサーバ15へのアクセス要求があったとき、誘導URLデータベース12aを検索し、誘導URLが存在する場合、ユーザ端末16に誘導URLのドメイン名、IPアドレス、ドメインの所有者情報を送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、メールサーバ、プロキシサーバ、サーバシステム、誘導アドレス判定方法、アクセス先確認方法及びプログラムに関するものである。
【背景技術】
【0002】
近年、電子メールを利用する上で、スパムメール(Spam mail;迷惑メール)と呼ばれるメールがメールサーバに送信されるケースがある(例えば、特許文献1参照)。
そして、このようなスパムメールを用い、「スパイウェア」(Spyware)や「トロイの木馬」等、不正なプログラムをユーザのコンピュータにダウンロードさせるための受動的攻撃が増加してきている。
【0003】
例えば、図19に示すように、メール送信サーバ51は、攻撃者として、スパムメール52をユーザ端末53に通知する。スパムメール52は、情報資源の正規のサイト(存在場所)を偽装して正規のサイトとは異なる不正サイトのWebサーバ54のURL(Uniform Resource Locator)を含むものである。
【0004】
URLは、情報資源の存在場所を指し示すものである。メール送信サーバ51は、このスパムメール52をユーザ端末53に通知することにより、ユーザ端末53に、このURLが示すWebサーバ54にアクセスさせる。そして、Webサーバ54は、ユーザ端末53に不正プログラムをダウンロードする。これが受動的攻撃と呼ばれるものである。
【0005】
一方、フィッシング詐欺と呼ばれるものも増加してきている。即ち、メール送信サーバ51が、正規の銀行やクレジットカード会社からのメールを偽装したスパムメール52をユーザ端末53に送信する。
【0006】
Webサーバ54は正規のサイトを偽装してアクセス先のURLを似せた別のWebサイトのサーバであり、このスパムメール52には、Webサーバ54のURLが記述されている。メール送信サーバ51は、このスパムメール52をユーザ端末53に送信することにより、Webサーバ54にアクセスさせる。
【0007】
そして、Webサーバ54は、口座番号、暗証番号、クレジットカード番号等を、ユーザ端末53に入力させて、これらの情報を盗み出す。このような行為がフィッシング詐欺と呼ばれるものである。
【0008】
受動的攻撃やフィッシング詐欺等では、ある正当なサイトになりすましてユーザ端末53がWebサーバ54にアクセスするようにさせるため、攻撃者としてのメール送信サーバ51は、正当なサイトのURLに良く似たURLをスパムメール52で通知する場合が多い。
【0009】
例えば、図20(a)に示すような文字列で記述されているURLを正規URLとした場合、攻撃者としてのメール送信サーバ51は、スパムメール52により、図20(b)に示すような誘導URLをユーザ端末53に通知する。
【0010】
この例では、「L」の小文字である「l」を数字の「1」や、「i」の大文字「I」に変更したURL等が使用されている。図20(a)、(b)に示す文字列を、それぞれ、拡大してみると、その違いを判別できるものの、拡大せずに誘導URLと正当なURLとを判別することは、ユーザにとっては容易なことではない。
【0011】
また、図21(a)に示すような文字列で記述されているURLを正規URLとした場合、攻撃者としてのメール送信サーバ51は、図21(b)に示すような誘導URLをユーザ端末53に通知する場合がある。
【0012】
図21(b)に示す誘導URLでは、ドメイン名が国際化ドメイン名であり、2バイトのキリル文字が含まれている。この場合も、図21(a)、(b)に示す文字列を、それぞれ、拡大してみるとその違いを判別できるものの、拡大せずに誘導URLと正当なURLとを判別することは、ユーザにとっては容易なことではない。
【0013】
これらの受動的攻撃やフィッシング詐欺の対策としては、主に、URLブロッキング、アンチスパムフィルタの2つの技術が考えられている。URLブロッキングは、Webプロキシサーバ等に実装される技術であり、受動的攻撃やフィッシング詐欺に使用されるWebサイトのURLのリストを予め記憶し、そのURLにユーザコンピュータがWebアクセスを行った場合、アクセスを遮断するという技術である。
【0014】
また、アンチスパムフィルタは、これらの不正なWebサイトにユーザを誘導するためのスパムメールをメールサーバ等が検知し、メールサーバ等がメール自体をフィルタリングする技術である。
【特許文献1】特開2000−163341号公報(第4−6頁、図1、2)
【発明の開示】
【発明が解決しようとする課題】
【0015】
しかし、URLブロッキングでは、予めブロックすべきURLのリストを登録しておく必要があり、まだ登録されていない新たに構築された不正WebサイトのURLには対応できない。
【0016】
また、大文字と小文字とが混在しているURLは、誘導URLとしても利用される可能性が高いため、このようなURLにWebアクセスされた場合、ブロックすることも考えられるものの、HTTPメッセージ中に記述されるアクセス先URLは、Webブラウザがすべて小文字に正規化してしまう。このため、URLブロッキングを実装したWebプロキシサーバは、URLに大文字と小文字とが混在している場合、正当なURLと誘導URLとを判別することが出来ないことになる。
【0017】
本発明は、このような従来の問題点に鑑みてなされたもので、誘導URLを判別し易くすることが可能なメールサーバ、プロキシサーバ、サーバシステム、誘導URL判定方法、アクセス先確認方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0018】
この目的を達成するため、本発明の第1の観点に係るメールサーバは、
メールを受信するメールサーバにおいて、
前記メールを受信するメール受信部と、
前記メール受信部が受信した受信メールを記憶する受信メール記憶部と、
前記メール受信部が受信した受信メールに、ホストコンピュータに格納された情報資源の存在場所を指し示すアドレスが記述されている場合に、前記アドレスの文字解析を行い、前記アドレスが前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する誘導アドレス判定部と、
前記誘導アドレスの可能性ありと前記誘導アドレス判定部が判定し、前記受信メールがユーザ端末によって取得された場合に、前記誘導アドレスに関するデータを誘導アドレスデータベースに登録する誘導アドレス登録部と、を備えたことを特徴とする。
【0019】
前記誘導アドレス判定部は、
前記アドレスの文字解析を行い、前記アドレスに前記ホストコンピュータを識別するホスト識別情報が含まれている場合に、前記ホスト識別情報が数字で記述されているか否かを判定し、
前記ホスト識別情報が数字で記述されていないと判定した場合は、前記アドレスは、前記ホストコンピュータの存在場所を階層化して表すドメイン名によって記述されていると判定し、
さらに、前記ドメイン名の文字解析を行い、前記ドメイン名のドットで区切られた文字列としての各ラベルがすべて1バイト文字で構成されていることを第1のアドレス判定条件、前記各ラベルがすべて小文字若しくは大文字で構成されていることを第2のアドレス判定条件として、前記第1及び第2のアドレス判定条件のチェックを前記ラベル毎に行い、いずれかのラベルが前記第1又は前記第2のアドレス判定条件を満足しない場合に、前記受信メールに含まれるアドレスは前記誘導アドレスである可能性ありと判定し、
前記ホスト識別情報が数字で記述されていると判定した場合は、前記アドレスは、前記ホストコンピュータのIP(Internet Protocol)アドレスによって記述されていると判定し、前記受信メールに含まれているアドレスは前記誘導アドレスである可能性ありと判定するようにしてもよい。
【0020】
前記誘導アドレス判定部は、前記アドレスの文字解析を行い、前記メール受信部が受信した受信メールがマークアップ言語の仕様で記述されたものであるか否かを判定し、マークアップ言語の仕様で記述されたものと判定した場合、前記受信メールに記述されているアドレスと実際のリンク先アドレスとを比較し、両アドレスが不一致の場合は、前記実際のリンク先アドレスは誘導アドレスと判定し、一致した場合は、前記第1及び第2のアドレス判定条件のチェックをラベル毎に行うようにしてもよい。
【0021】
前記誘導アドレス判定部は、前記受信メールに含まれているアドレスが誘導アドレスである可能性ありと判定した場合、前記アドレスの正規化として、前記誘導アドレスが前記第1乃び第2のアドレス判定条件を満足するように、前記誘導アドレスを変更し、
前記誘導アドレス登録部は、前記誘導アドレスに関するデータとして、前記受信メールの送信先であるユーザ端末の識別情報と正規化済み誘導アドレスとユーザ端末が前記受信メールを取り込んだ日時、時刻情報とを前記誘導アドレスデータベースに登録するようにしてもよい。
【0022】
本発明の第2の観点に係るプロキシサーバは、
ユーザ端末に代行して、ホストコンピュータが格納する情報資源にアクセスするプロキシサーバにおいて、
前記ユーザ端末から、前記情報資源の存在場所を指し示すアドレスを含むメッセージを受信するメッセージ受信部と、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導するアドレスを誘導アドレスとして、前記メッセージ受信部が前記ユーザ端末から前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスに関する誘導アドレスに関するデータが登録される誘導アドレスデータベースの内容を検索する誘導アドレスデータ検索部と、
前記誘導アドレスデータ検索部が前記誘導アドレスデータベースの内容を検索した結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合、一致する前記誘導アドレスに関するデータを、前記誘導アドレスデータベースから取得するデータ取得部と、
前記データ取得部が取得した前記誘導アドレスに関するデータを、前記ユーザ端末に送信するデータ送信部と、を備えたことを特徴とする。
【0023】
前記データ送信部が前記誘導アドレスに関するデータを前記ユーザ端末に送信した結果、前記ユーザ端末から前記情報資源へのアクセスを中止する旨のアクセス中止命令を受信したときは、前記情報資源へのアクセスを中止するようにしてもよい。
【0024】
前記データ取得部は、前記アドレスがIP(Internet Protocol)アドレスによって記述されている場合は、DNS(Domain Name System)サーバにDNS逆引きを依頼して、前記ホストコンピュータを識別するホスト識別情報を前記ホストコンピュータの存在場所を階層化して表したドメイン名を取得し、前記アドレスが前記ドメイン名によって記述されている場合は、前記DNSサーバに前記IPアドレスへの変換を依頼して前記IPアドレスを取得し、
前記データ送信部は、取得したドメイン名と前記IPアドレスとを前記ユーザ端末に送信するようにしてもよい。
【0025】
前記データ取得部は、取得した前記ドメイン名を、前記ドメイン所有者の情報を含むドメイン情報の検索を行うWHOISサーバに送信してドメイン情報検索を依頼し、前記WHOISサーバから、検索結果として、前記ドメイン所有者の情報を取得し、
前記データ送信部は、前記ドメイン所有者の情報を前記ユーザ端末に送信するようにしてもよい。
【0026】
本発明の第3の観点に係るサーバシステムは、
メールを受信するメールサーバと、ユーザ端末に代行して、ウェブサーバが格納する情報資源にアクセスするプロキシサーバと、を備えたサーバシステムにおいて、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスに関するデータを記憶する誘導アドレスデータベースを備え、
前記メールサーバは、
前記メールを受信するメール受信部と、
前記メール受信部が受信した受信メールを記憶する受信メール記憶部と、
前記メール受信部が受信した受信メールに、ホストコンピュータに格納された情報資源の存在場所を指し示すアドレスが記述されている場合に、前記アドレスの文字解析を行い、前記アドレスが前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する誘導アドレス判定部と、
前記誘導アドレスの可能性ありと前記誘導アドレス判定部が判定し、前記受信メールがユーザ端末によって取得された場合に、前記誘導アドレスに関するデータを誘導アドレスデータベースに登録する誘導アドレス登録部と、を備え、
前記プロキシサーバは、
前記ユーザ端末から、前記アドレスを含むメッセージを受信するメッセージ受信部と、
前記メッセージ受信部が前記ユーザ端末から前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスに関する誘導アドレスに関するデータが登録される誘導アドレスデータベースの内容を検索する誘導アドレスデータ検索部と、
前記誘導アドレスデータ検索部が前記誘導アドレスデータベースの内容を検索した結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合、一致する前記誘導アドレスに関するデータを、前記誘導アドレスデータベースから取得するデータ取得部と、
前記データ取得部が取得した前記誘導アドレスに関するデータを、前記ユーザ端末に送信するデータ送信部と、を備えたことを特徴とする。
【0027】
本発明の第4の観点に係る誘導アドレス判定方法は、
受信した受信メールに含まれるアドレスが、情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する誘導アドレス判定方法であって、
前記アドレスに、前記情報資源を格納するホストコンピュータを識別するホスト識別情報が含まれ、前記ホストコンピュータの存在場所を階層化して前記ホスト識別情報を表したものをドメイン名として、
前記ドメイン名の文字解析を行う解析ステップと、
前記ドメイン名のドットで区切られた文字列をラベルとして、各ラベルがすべて1バイト文字で構成されていることを第1のアドレス判定条件として、すべてのラベルが前記第1のアドレス判定条件を満足するか否かを前記ラベル毎に判定する第1の判定ステップと、
各ラベルがすべて小文字若しくは大文字で構成されていることを第2のアドレス判定条件として、すべてのラベルが前記第2のアドレス判定条件を満足するか否かを前記ラベル毎に判定する第2の判定ステップと、
前記ドメイン名のいずれかのラベルが前記第1又は前記第2のアドレス判定条件を満足しないと判定した場合に、前記受信メールに含まれているアドレスを前記誘導アドレスと判定するステップと、を備えたことを特徴とする。
【0028】
本発明の第5の観点に係るアクセス先確認方法は、
情報資源へのアクセス先が、前記情報資源の正規の存在場所か否かを確認するアクセス先確認方法であって、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導するアドレスを誘導アドレスとして、前記誘導アドレスに関するデータを記憶する誘導アドレス記憶ステップと、
前記情報資源へのアクセスを要求するアクセス要求元から、前記情報資源へのアクセス先を示すアドレスを含むメッセージを受信するメッセージ受信ステップと、
前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスを検索する誘導アドレス検索ステップと、
前記検索の結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合に、前記誘導アドレスに関するデータを取得するデータ取得ステップと、
取得した前記誘導アドレスに関するデータを、前記アクセス要求元に送信するデータ送信ステップと、を備えたことを特徴とする。
【0029】
本発明の第6の観点に係るプログラムは、
コンピュータに、
メールを受信する手順、
前記受信した受信メールを記憶する手順、
前記受信した受信メールに、ホストコンピュータに格納された情報資源の存在場所を指し示すアドレスが記述されている場合に、前記アドレスの文字解析を行い、前記アドレスが前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する手順、
前記誘導アドレスの可能性ありと判定し、前記受信メールが、前記受信メールの送信先によって取得された場合に、前記誘導アドレスに関するデータを誘導アドレスデータベースに登録する手順、
を実行させるためのものである。
【0030】
本発明の第7の観点に係るプログラムは、
コンピュータに、
情報資源へのアクセスを要求するアクセス要求元から、前記情報資源の存在場所を指し示すアドレスを含むメッセージを受信する手順、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導するアドレスを誘導アドレスとして、前記メッセージ受信部が前記ユーザ端末から前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスに関する誘導アドレスに関するデータが登録される誘導アドレスデータベースの内容を検索する手順、
前記誘導アドレスデータベースの内容を検索した結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合、一致する前記誘導アドレスに関するデータを、前記誘導アドレスデータベースから取得する手順、
取得した前記誘導アドレスに関するデータを、前記アクセス要求元に送信する手順、
を実行させるためのものである。
【発明の効果】
【0031】
本発明によれば、誘導URLを判別し易くすることができる。
【発明を実施するための最良の形態】
【0032】
以下、本発明の実施形態に係るサーバシステムを図面を参照して説明する。
本実施形態に係るサーバシステムの構成を図1に示す。
本実施形態に係るサーバシステムは、メールサーバ11と、データベース記憶装置12と、プロキシサーバ13と、からなる。メールサーバ11とプロキシサーバ13とは、インターネット2に接続される。
【0033】
メールサーバ11は、メール送信サーバ14が送信したメールを受信するサーバであり、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、HDD(Hard Disk Drive)等(いずれも図示せず)を備えている。
【0034】
メール送信サーバ14は、インターネット2を介してURLを含むメールをメールサーバ11に送信するサーバである。
【0035】
メールサーバ11は、受信したメールに、インターネット2上の情報資源の存在場所を指し示すアドレスとしてのURLが含まれているか否かを判別し、このURLが誘導URLと判別した場合、誘導URLを正規化する機能を有している。
【0036】
具体的に、メールサーバ11は、まず、受信メールがURLを含むものであるか否かを判別する。URLは、図2(a)、(b)に示すように、プロトコル識別子と資源名とからなる。
【0037】
図2(a)に示す“http”はHTTPプロトコルを示すプロトコル識別子であり、図2(b)に示す“https”はSSL(Secure Socket Layer)を使用したHTTPプロトコルを示すプロトコル識別子である。
【0038】
尚、URLで使用可能な文字は、RFC(Request For Comments)1738等で定義されている。RFC1738によれば、使用可能な文字は、アルファベット、数字等の1バイト文字である。URLに国際化ドメイン名が用いられている場合、国際化ドメイン名は、表記上、2バイト文字で構成されるものの、データ上では、1バイト文字である。URLの文字列は、このような文字の集合で表される。
【0039】
資源名は、情報資源が存在する存在場所を示すものであり、情報資源を格納するホスト(コンピュータ)を識別するホスト識別情報を示す文字列とホストが格納する情報資源を示す文字列とからなる。ホストを特定するデータは、ホスト名及びドメイン(Domain;領地、領土、領域)名からなる場合とIPアドレス(Internet Protocol Address)からなる場合とがある。
【0040】
図2(a)に示す例は、ホスト識別情報がホスト名及びドメイン名とからなる場合を示し、“/www.example.com/”がホスト名であり、“example.com”がドメイン名である。“example”、“com”は、それぞれ、セカンドドメイン、トップドメインと呼ばれるものであり、ドメイン名は、トップドメイン(ルート)を頂点として階層化されている。尚、ドットで区切られた文字列は、ラベルと呼ばれるものである。また、トップドメインの“/”以降の記述は、HTMLファイル名、CGIプログラム名等の情報資源を示すものである。
【0041】
図2(b)に示す例は、ホスト識別情報がIPアドレスからなる場合を示す。IPアドレスは、インターネット2等に接続されたホスト1台1台に割り当てられたホストの識別番号であり、数字で記述される。IPv(Internet Protocol version)4では、32ビットの数字がピリオドにより8ビットずつ4つに区切られ、この8ビットで表される数値は、0〜255の10進整数の値に変換される。IPアドレスは、この10進整数の値を4つ並べて表現される。
【0042】
メールサーバ11は、メールに、図2(a)に示すような“http://www.example.com/”が記述されている場合及び図2(b)に示すような“https://10.8.2.73/”が記述されている場合、このURLの文字解析を行い、この記述がURLであると判別し、受信メールからこのURLを取得する。
【0043】
そして、メールサーバ11は、取得したURLの“http://”又は“https://”に続く文字列をドメイン名又はIPアドレスと判定する。尚、メールサーバ11は、“/”以降のHTMLファイル名やCGIプログラム名等の記述を無視する。
【0044】
メールサーバ11は、ホスト識別情報が数字で記述されている場合、この数字をIPアドレスであると判定する。この場合、誘導URLの判別が難しいため、メールサーバ11は、受信メールに含まれているURLは誘導URLである可能性ありと判定する。メールサーバ11は、このように判定すると、このURLを、内蔵するHDDに記憶する。
【0045】
また、ホスト識別情報が数字以外の文字で記述されている場合、メールサーバ11は、ホスト識別情報がドメイン名を用いて記述されているものと判定する。この場合、メールサーバ11は、ドメイン名の文字列を解析する。
【0046】
このため、メールサーバ11は、さらに文字解析を行い、ドメイン名の各ラベルが以下のURL判定条件を満足するか否かのチェックをラベル毎に行う。
(1)すべて1バイト文字で表現されていること
(2)すべて大文字若しくは小文字で表現されていること
【0047】
URL判定条件(1)は、ラベルに国際化ドメイン名のような2バイト文字が含まれていないか否かを判別するための条件である。メールサーバ11は、いずれかのラベルが、このURL判定条件(1)を満足しない場合、受信メールに含まれているURLが誘導URLである可能性ありと判定する。
【0048】
URL判定条件(2)は、小文字と大文字とが混在した紛らわしいラベルを判別するための条件である。メールサーバ11は、いずれかのラベルが、このURL判定条件(2)を満足しない場合、受信メールに含まれているURLが誘導URLである可能性ありと判定する。
【0049】
また、メールサーバ11は、すべてのラベルがこのURL判定条件(1)かつ(2)を満足する場合、受信メールに含まれているURLが誘導URLである可能性は低いと判定する。
【0050】
尚、メールには、テキスト形式のメールだけでなく、HTML(HyperText Markup Language)形式のHTMLメールもある。HTMLは、予め設定された規則に従って文書の構造や表現属性(太字や斜体など)などの追加情報が文書中に記述される仕様の言語である。
【0051】
HTMLメールの場合、メールサーバ11は、受信メールから、メール本文に記述されているURLと実際のリンク先URLとの両方を取得する。実際のリンク先URLは、例えば、ブラウザのアドレスバーに表示されているものである。
【0052】
メールサーバ11は、メール本文に記述されているURLと実際のリンク先URLとが不一致の場合、実際のリンク先URLは誘導URLと判定する。
【0053】
一方、メールサーバ11は、メール本文に記述されているURLと実際のリンク先URLとが同一である(一致する)場合であって、ホスト識別情報がドメイン名を用いて記述されているものと判定した場合、上記URL判定条件(1)、(2)のチェックをラベル毎に行う。
【0054】
メールサーバ11は、誘導URLの可能性ありと判定した場合、URLの正規化を行う。URLの正規化とは、すべてのラベルがURL判定条件(1),(2)をいずれも満足するように、URLを変更することをいう。
【0055】
メールサーバ11は、URL判定条件(2)を満足しない場合、URLの正規化として、URLのすべての文字を小文字又は大文字に変換する。ドメイン名では、大文字、小文字の区別はない。従って、オリジナルのURLを正規化しても、オリジナルのドメイン名と正規化後のドメイン名とでは、実体は変わらない。
【0056】
次に、メールサーバ11は、URL判定条件(1)を満足しない場合、URLの正規化として、URLのPunycode変換を行う。Punycode変換は、国際化ドメインのような2バイト文字をASCII文字に変換する符号化手法の1つであり、標準化されたものである。
【0057】
国際化ドメイン名をPunycodeによって変換した場合、変換されたことが判別できるように文字列の前に「xn--」という識別子(ACE Prefix)が付与される。この識別子によってドメイン名が国際化ドメイン名であることの判別が容易となる。
【0058】
メールサーバ11は、受信したメール中に複数のURLが記述されている場合、このような処理をすべてのURLについて行う。
【0059】
メールサーバ11は、URLの正規化を行った場合には、この正規化済み誘導URLを内蔵するHDDに記憶する。
【0060】
そして、メールサーバ11は、ユーザ端末16によって受信メールが取得されたとき、誘導URLを誘導URLデータベース12aにエントリする。
【0061】
誘導URLデータベース12aは、エントリデータがエントリされるためのものであり、データベース記憶装置12は、この誘導URLデータベース12aを記憶する。
【0062】
エントリデータは、誘導URLに関するデータであり、メールサーバ11は、エントリデータとして、この誘導URLデータベース12aに、図3に示すような形式でユーザ名と、正規化済み誘導URL又はホスト識別情報がIPアドレスで記述されているURLと、メール取得日時・時刻と、をエントリする。
【0063】
ユーザ名は、受信メールを取得した受信メールの送信先であるユーザ端末16を示す情報である。誘導URLは、メールサーバ11によって正規化された場合、正規化済み誘導URLである。メール取得日時・時刻は、ユーザ端末16によって受信メールが取得された日時・時刻を示すデータである。
【0064】
尚、メールサーバ11は、ユーザ端末16がこのメールを取得したときから、予め設定した有効期間が経過すると、このエントリデータを消去する。このような処理を行うため、メールサーバ11は、時間をカウントするタイマを備え、また、内蔵のHDDに、有効期間を示す値を記憶する設定ファイルを記憶する。
【0065】
この有効期間は、メールを受信してからユーザ端末16によって受信メールが取得されるまでの時間と誘導URLデータベース12aの容量とエントリデータの検索時間とに基づいて設定される。但し、誘導URLデータベース12aの容量が大きく、しかもエントリデータの検索時間が短ければ、たとえ、ユーザ端末16によって受信メールが取得される時間が短い場合でも有効期間は無期限であってもよい。
【0066】
メールサーバ11は、誘導URL等を誘導URLデータベース12aにエントリしたとき、タイマのカウント値をリセットして、カウント値をインクリメントする。メールサーバ11は、このカウント値が、設定ファイルに記憶された有効期間を示す値を超えたとき、有効期間を経過したと判定して、誘導URLデータベース12aのエントリデータを消去する。
【0067】
次に、図1に示すプロキシサーバ13は、ユーザ端末16が指定するWebサーバ15へのアクセスを代行するサーバである。
【0068】
尚、ユーザ端末16は、ブラウザ(ソフトウェア)を有し、プロキシ設定されている。ブラウザは、ユーザ端末16がプロキシサーバ13にアクセスするときに、アドレスバーに入力されたURLを正規化し、正規化したURLをHTTPメッセージ中に格納する。ユーザ端末16は、このHTTPメッセージをプロキシサーバ13に送信する。
【0069】
プロキシサーバ13は、ユーザ端末16からこのHTTPメッセージを受け取って、まず、アクセス元のユーザ端末16の認証を行う。尚、認証は、パスワード認証であってもよいし、指紋認証等のバイオメトリクス認証であってもよい。
【0070】
このプロキシサーバ13は、ユーザ端末16の認証が成功した場合に、誘導URLデータベース12aのエントリ(登録)データを検索して、このエントリデータをユーザ端末16に送信する機能を有している。
【0071】
即ち、プロキシサーバ13は、ユーザ端末16からのメッセージ中に記述されているアクセス先URLとアクセス元ユーザ名とに基づいて、誘導URLデータベース12aの内容を検索する。
【0072】
HTTPメッセージに含まれるURLと一致する誘導URLが、誘導URLデータベース12aにエントリされている場合、プロキシサーバ13は、DNSサーバ17に依頼して、DNSサーバ17から、誘導URLのドメイン名とIPアドレスとを取得する。
【0073】
DNS(Domain Name System)は、IPアドレスに対して人間にとって分かりやすい名前を付与するシステムであり、DNSサーバ17は、IPアドレスとドメイン名との間の変換を行うものである。DNSサーバ17は、プロキシサーバ13から依頼を受けて、IPアドレスからドメイン名への逆引き、又はドメイン名からIPアドレスへの変換を行う。
【0074】
誘導URLがIPアドレスによって記述されたものである場合、プロキシサーバ13は、このIPアドレスをDNSサーバ17に送信してドメイン名の逆引きを依頼する。そして、プロキシサーバ13は、DNSサーバ17から、IPアドレスに対応するドメイン名を取得する。
【0075】
また、誘導URLがドメイン名によって記述されたものである場合、プロキシサーバ13は、このドメイン名をDNSサーバ17に送信してIPアドレスへの変換を依頼する。そして、プロキシサーバ13は、DNSサーバ17から、ドメイン名に対応するIPアドレスを取得する。
【0076】
プロキシサーバ13は、誘導URLのドメイン名とIPアドレスとを取得すると、WHOISサーバ18に、誘導URLのドメイン名を送信してWHOIS検索を依頼する。
【0077】
WHOISとは、ドメインの所有者情報、ネームサーバ情報等、全世界で登録されているドメイン情報を保存しているデータベースである。このデータベースは、HDD等の記憶装置に記憶されている。
【0078】
WHOISサーバ18は、このデータベースに対して、このWHOIS検索を行うものである。WHOISサーバ18は、プロキシサーバ13から、依頼を受けてドメイン名を受信し、受信したドメイン名に基づいてWHOIS検索を行う。そして、WHOISサーバ18は、検索結果として、ドメインの所有者情報を含むドメイン情報をプロキシサーバ13に送信する。
【0079】
プロキシサーバ13は、このようにしてドメイン情報とDNS情報とを取得すると、アクセス先情報として、以下の情報をユーザ端末16に送信する。
(1)IPアドレスで記述したアクセス先(誘導)URL
アクセス先URLがドメイン名で記述されている場合、DNSサーバ17に依頼して取得したIPアドレスである。
(2)正規化済みのアクセス先(誘導)URL(小文字)
これは、すべて小文字に変換したURLである。Punycode変換を行った場合、このURLは、変換したドメイン名のURLである。アクセス先URLがIPアドレスで記述されている場合、このURLは、DNSの逆引きにより得られたドメイン名で記述されたURLである。
(3)すべて大文字に変換した正規化済みのアクセス先(誘導)URL
尚、数字は変換されない。
(4)WHOIS検索で得られたドメインの所有者情報
【0080】
また、プロキシサーバ13は、ユーザ端末16への問い合わせに対する応答を取得するための情報、即ち、アクセスするか、しないかの回答を取得するための情報も送信する。このようにして、プロキシサーバ13は、情報資源へのアクセス先が、情報資源の正規の存在場所か否かを確認する。
【0081】
プロキシサーバ13は、ユーザ端末16から、アクセスを実行する旨のアクセス実行命令を受信した場合、通常のプロキシサーバ13として、ユーザ端末16の代わりに、アクセス先のWebサーバ15にアクセスする。
【0082】
一方、ユーザ端末16から、アクセスを中止する旨のアクセス中止命令を取得した場合、アクセス先のWebサーバ15へのアクセスを中止する。
【0083】
次に本実施形態に係るサーバシステムの動作を説明する。
メールサーバ11は、図4及び図5に示すフローチャートに従って、受信メール処理を実行する。
【0084】
メールサーバ11は、メール送信サーバ14からメールを受信すると、この受信メールを内蔵のHDDに記憶する(ステップS11)。
【0085】
メールサーバ11は、受信メールがURLを含むものであるか否かを判定する(ステップS12)。
【0086】
受信メールがURLを含まないものであると判定した場合(ステップS12においてNo)、メールサーバ11は、この受信メール処理を終了させる。
【0087】
一方、受信メールがURLを含むものであると判定した場合(ステップS12においてYes)、メールサーバ11は、この受信メールから、URLを取得する(ステップS13)。
【0088】
メールサーバ11は、受信メールがHTMLメールであるか否かを判定する(ステップS14)。取得した受信メールがHTMLメールであると判定した場合(ステップS14においてYes)、メールサーバ11は、メール本文に記述されているURLと実際のリンク先URLとを比較する。そして、メールサーバ11は、メール本文に記述されているURLと実際のリンク先URLとが同一か否かを判定する(ステップS15)。
【0089】
メール本文に記述されているURLと実際のリンク先URLとが異なっているものと判定した場合(ステップS15においてNo)、メールサーバ11は、実際のリンク先URLを誘導URLと判定して誘導URLの正規化処理を行う(ステップS20)。
【0090】
取得した受信メールがHTMLメールではないと判定した場合(ステップS14においてNo)又は、メール本文に記述されているURLと実際のリンク先URLとが同一であると判定した場合(ステップS15においてYes)、メールサーバ11は、取得したURLのホスト識別情報が数字で記述されたものか否かを判定する(ステップS16)。
【0091】
データが数字で記述されている場合(ステップS16においてYes)、メールサーバ11は、このデータはIPアドレスであると判定し、URLが誘導URLの可能性ありと判定する。メールサーバ11は、このように判定すると、このURLを、内蔵のHDDに記憶する(ステップS21)。
【0092】
データが数字で記述されたものではないと判定した場合(ステップS16においてNo)、メールサーバ11は、取得したURLがドメイン名で記述されていると判定する。この場合、メールサーバ11は、URL判定条件のチェックをラベル毎に行う(ステップS17)。
【0093】
メールサーバ11は、すべてのラベルがURL判定条件(1)を満足するか否かを判定する(ステップS18)。すべてのラベルがURL判定条件(1)を満足していると判定した場合(ステップS18においてYes)、メールサーバ11は、すべてのラベルがURL判定条件(2)を満足するか否かを判定する(ステップS19)。
【0094】
すべてのラベルがURL判定条件(2)を満足すると判定した場合(ステップS19においてYes)、メールサーバ11は、このURLを正規のURLと判定する。
【0095】
一方、いずれかのラベルがURL判定条件(1)又は(2)を満足していないと判定した場合(ステップS18においてNo、又はステップS19においてNo)、メールサーバ11は、取得したURLが誘導URLであると判定する。
【0096】
メールサーバ11は、このように判定すると、誘導URLの正規化処理を実行する(ステップS20)。メールサーバ11は、図6に示すフローチャートに従って、この誘導URLの正規化処理を実行する。
【0097】
即ち、メールサーバ11は、取得した元のURLのすべての文字を小文字に変換する(ステップS31)。
【0098】
メールサーバ11は、URLに2バイト文字が存在するか否かを判定する(ステップS32)。URLに2バイト文字が存在すると判定した場合(ステップS32においてYes)、メールサーバ11は、ドメイン名をPunycodeに変換する(ステップS33)。そして、メールサーバ11は、この誘導URLの正規化処理を終了させて、誘導URLを、内蔵のHDDに記憶する(ステップS21)。
【0099】
メールサーバ11は、このように判定すると、誘導URLの正規化処理を実行し(ステップS20)。正規化した誘導URLを、内蔵のHDDに記憶する(ステップS21)。
【0100】
メールサーバ11は、受信メール中に、まだ、他にURLが存在するか否かを判定する(ステップS22)。
【0101】
他にURLが存在すると判定した場合(ステップS22においてYes)、メールサーバ11は、次のURLを指定し(ステップS23)、このURLを取得する(ステップS13)。そして、メールサーバ11は、取得したURLについて、ステップS13〜S21の処理を実行する。
【0102】
そして、他にURLが存在しないと判定した場合(ステップS22においてNo)、メールサーバ11は、この受信メール処理を終了させる。
【0103】
メールサーバ11が、このような受信メール処理を実行した後に、ユーザ端末16がメールサーバ11から、メールを取り込んだ場合、メールサーバ11は、図7に示すフローチャートに従って、誘導URLのエントリ処理を実行する。
【0104】
即ち、メールサーバ11は、正規化した誘導URLを誘導URLデータベース12aにエントリする(ステップS41)。
メールサーバ11は、タイマのカウント値をリセットする(ステップS42)。
【0105】
メールサーバ11は、タイマのカウント値が、設定ファイルに記憶されている有効期間を示す値を超えたか否かを判定する(ステップS43)。
【0106】
カウント値が有効期間を示す値以下と判定した場合(ステップS43においてNo)、メールサーバ11は、カウント値をインクリメントし(ステップS44)、再度、ステップS43,S44を実行する。
【0107】
カウント値が有効期間を示す値を越えたと判定した場合(ステップS43においてYes)、メールサーバ11は、エントリしたデータを誘導URLデータベース12aから消去する(ステップS45)。そして、メールサーバ11は、この誘導URLのエントリ処理を終了させる。
【0108】
次に、プロキシサーバ13は、ユーザ端末16からHTTPメッセージを受け取ると、図8に示すフローチャートに従って、Webサーバアクセス処理を実行する。
【0109】
プロキシサーバ13は、アクセス元のユーザ端末16の認証を行う(ステップS51)。
プロキシサーバ13は、認証が成功したか否かを判定する(ステップS52)。
認証が成功しなかったと判定した場合(ステップS52においてNo)、プロキシサーバ13は、このWebサーバアクセス処理を終了させる。
【0110】
認証が成功したと判定した場合(ステップS52においてYes)、プロキシサーバ13は、URLとアクセス元ユーザ名とに基づいて、誘導URLデータベース12aの内容を検索する(ステップS53)。
【0111】
プロキシサーバ13は、該当するエントリデータが、誘導URLデータベース12aに存在するか否かを判定する(ステップS54)。
【0112】
該当するエントリデータが存在しないと判定した場合(ステップS54においてNo)、プロキシサーバ13は、アクセス先にアクセスする(ステップS62)。
【0113】
一方、該当するエントリデータが存在すると判定した場合(ステップS54においてYes)、プロキシサーバ13は、HTTPメッセージ中に記述されているアクセス先URLは誘導URLと判定する。
【0114】
このように判定すると、プロキシサーバ13は、該当するエントリデータを取得する(ステップS55)。
プロキシサーバ13は、取得したエントリデータの誘導URLがIPアドレスで記述されたものか否かを判定する(ステップS56)。
【0115】
取得した該当エントリデータの誘導URLがIPアドレスで記述されたものと判定した場合(ステップS56においてYes)、プロキシサーバ13は、このIPアドレスをDNSサーバ17に送信してドメイン名の逆引きを依頼し、逆引き結果としてのドメイン名を取得する(ステップS57)。
【0116】
取得した該当エントリデータの誘導URLがIPアドレスではなく、ドメイン名で記述されたものと判定した場合(ステップS56においてNo)、プロキシサーバ13は、ドメイン名をDNSサーバ17に送信してIPアドレスへの変換を依頼し、変換結果としてのIPアドレスを取得する(ステップS58)。
【0117】
プロキシサーバ13は、このようにドメイン名とIPアドレスとを取得すると、WHOISサーバ18にドメイン名を送信してWHOIS検索を依頼して、ドメインの所有者情報を含むドメイン情報を取得する(ステップS59)。
【0118】
プロキシサーバ13は、ユーザ端末16に、誘導URLに関するデータを、アクセス先情報として送信する(ステップS60)。
プロキシサーバ13は、ユーザ端末16から、アクセス実行命令を受信したか否かを判定する(ステップS61)。
【0119】
アクセス実行命令を受信したと判定した場合(ステップS62においてYes)、プロキシサーバ13は、アクセス先にアクセスする(ステップS62)。
【0120】
一方、アクセス実行命令ではなく、アクセス中止命令を受信したと判定した場合(ステップS61においてNo)、プロキシサーバ13は、アクセス先へのアクセスを中止して、このWebサーバアクセス処理を終了させる。
【0121】
次に、このサーバシステムの具体的な動作を説明する。
図9に示すように、メールサーバ11がメール送信サーバ14から受信メール21を受信した場合、メールサーバ11は、最初のURL“http://www.exampIe.com/”を取得する(ステップS13の処理)。
【0122】
このURLのホスト識別情報は、数字で記述されたものではないため、メールサーバ11は、URLがドメイン名で記述されていると判定する(ステップS16においてNO)。
【0123】
メールサーバ11は、このデータに対し、図11(a)〜(c)に示すように、ラベル毎にURL判定条件(1)と(2)とのチェックを行う(ステップS17の処理)。
【0124】
図11(a)に示すように、ラベル“www”は、すべて1バイトの小文字で構成されているため、URL判定条件(1)及び(2)を満足する。
図11(b)に示すように、ラベル“exampIe”は、小文字と大文字とが混在しているため、URL判定条件(2)を満足しない。
図11(c)に示すように、ラベル“com”は、すべて1バイトの小文字で構成されているため、URL判定条件(1)及び(2)を満足する。
【0125】
メールサーバ11は、ラベル“exampIe”がURL判定条件(2)を満足しないため、このURL“http://www.exampIe.com/”は、誘導URLの可能性ありと判定する。
【0126】
この場合、メールサーバ11は、図11(d)に示すように、このURL“http://www.exampIe.com/”の正規化を行い、正規化済み誘導URL“http://www.exampie.com/”を生成する(ステップS20、ステップS31の処理)。そして、メールサーバ11は、この正規化済み誘導URLを、内蔵するHDDに記憶する(ステップS21の処理)。
【0127】
次に、メールサーバ11は、図10(b)に示すような、2つ目のURL“https://10.8.2.73/”を取得する(ステップS22,S23,S13の処理)。URLのホストのデータ“10.8.2.73”は、数字で記述されており、このURLはIPアドレスで記述されていると判定する。
【0128】
メールサーバ11は、このように判定すると、URL“https://10.8.2.73/”を、内蔵するHDDに記憶する。
【0129】
尚、URLが図12に示すようなURLの場合、ドメイン名が国際化ドメイン名であり、2バイト文字を含むため、メールサーバ11は、このドメイン名に対してPunycode変換を行い、URLを正規化して、正規化済み誘導URLを生成する(ステップS20、ステップS32,S33の処理)。
【0130】
メールサーバ11は、ユーザ端末16が、この受信メール21を取得した場合、図13に示すように、誘導URLデータベース12aに、ユーザ名と、正規化済み誘導URL又はIPアドレスと、メール取得日時・時刻のデータと、をエントリする(ステップS41の処理)。
【0131】
プロキシサーバ13は、ユーザ端末16からHTTPメッセージを受け取ると、アクセス元のユーザ端末16の認証を行う(図8のステップS51の処理)。認証に成功すると、プロキシサーバ13は、図14に示すようにHTTPメッセージからアクセス先のURL“http://www.exampie.com/”を取得する。
【0132】
尚、このURLは、ユーザ端末16のブラウザによって正規化されている。このプロキシサーバ13は、取得したURL“http://www.exampie.com/”とアクセス元ユーザ名とに基づいて、誘導URLデータベース12aの内容を検索する(ステップS53の処理)。
【0133】
誘導URLデータベース12aには、図13に示すように、ユーザAのURL“http://www.exampie.com/”がエントリされている。プロキシサーバ13は、該当するエントリデータが誘導URLデータベース12aに存在しているため、このエントリデータを誘導URLデータベース12aから取得する(ステップS54,S55の処理)。
【0134】
尚、メールサーバ11は、ユーザ端末16がこのメールを取り込んだときから、予め設定した有効期間が経過すると、このエントリデータを消去する(ステップS42〜S45の処理)。
【0135】
プロキシサーバ13は、図15に示すように、DNSサーバ17に、このドメイン名“exampie.com”を送信してIPアドレスへの変換を依頼する。このドメイン名“exampie.com”に対応するIPアドレスを“10.8.7.24”とすると、プロキシサーバ13は、DNSサーバ17から、このドメイン名“exampie.com”に対応するIPアドレス“10.8.7.24”を取得する(ステップS58の処理)。
【0136】
尚、図9に示す2番目のURL“https://10.8.2.73/”の場合、プロキシサーバ13は、図16に示すように、DNSサーバ17に、このIPアドレス“10.8.2.73”を送信してドメイン名の逆引きを依頼し、DNSサーバ17から、このIPアドレス“10.8.2.73”に対応するドメイン名を取得する(ステップS57の処理)。
【0137】
誘導URL“http://www.exampie.com/”の場合、プロキシサーバ13は、図17に示すように、WHOISサーバ18にドメイン名“exampie.com”を送信してWHOIS検索を依頼して、ドメインの所有者情報を含むドメイン情報を取得する(ステップS59の処理)。
【0138】
プロキシサーバ13は、ドメイン情報とDNS情報とを取得すると、アクセス先情報として、IPアドレスで記述したアクセス先URL1“http://10.8.2.73/”と、小文字で記述したアクセス先URL2“http://www.exampie.com/”と、大文字で記述したアクセス先URL3“http://WWW.EXAMPIE.COM/”と、ドメイン所有者情報と、をユーザ端末16に送信する(ステップS60の処理)。
【0139】
ユーザ端末16のディスプレイには、これらの情報が図18に示すように表示される。「アクセスする」がクリックされた場合、ユーザ端末16は、アクセスを実行する旨のアクセス実行命令を送信し、プロキシサーバ13は、このアクセス実行命令を受信して、Webサーバ15にアクセスする(ステップS61,S62の処理)。
【0140】
「アクセスしない」がクリックされた場合、ユーザ端末16は、アクセスを中止する旨のアクセス中止命令を送信し、プロキシサーバ13は、このアクセス中止命令を受信して、Webサーバ15へのアクセスを中止する。
【0141】
以上説明したように、本実施形態によれば、メールサーバ11は、URL判定条件を用いて、受信メールに含まれているURLが誘導URLか否かをを判定し、ユーザ端末16がこの受信メールを取り込んだときに、誘導URLデータベース12aにエントリするようにした。
【0142】
またプロキシサーバ13は、ユーザ端末16からWebサーバ15へのアクセス要求があったとき、誘導URLデータベース12aを検索し、誘導URLが存在する場合、ユーザ端末16にURLのドメイン名、IPアドレス、ドメインの所有者情報を送信するようにした。
【0143】
従って、ユーザは、受信メールに記述されたURLが誘導URLであることを判別し易くすることができ、未知のものも含めてユーザに対する受動攻撃やフィッシング詐欺の被害を防止することができる。また、メールサーバ11は、メール送信サーバ14からのメールを受信した時点で、受信メールのURLをチェックするようにしたので、新たに構築された不正サイトのURLであっても誘導URLの判定を行うことができる。
【0144】
また、受信メールがHTTPメッセージであって、Webブラウザがすべて小文字に正規化したとしても、メール本文中に表示されているURLと実際のリンク先のURLとが同一か否かを判別するので、このような場合であっても、誘導URLを判別することができる。
【0145】
また、プロキシサーバ13は、DNSサーバ17、WHOISサーバ18に、ドメイン名の逆引き、ドメイン名からIPアドレスへの変換、WHOIS検索を依頼して、誘導URLのドメイン名、IPアドレス、ドメインの所有者情報を送信するようにした。このため、ユーザは、受信メールに記述された誘導URLを容易に判別することができる。
【0146】
尚、本発明を実施するにあたっては、種々の形態が考えられ、上記実施の形態に限られるものではない。
例えば、上記実施形態では、マークアップ言語を、HTMLとして説明した。しかし、マークアップ言語はHTMLに限られるものではなく、SGML(Standard Generalized Markup Language)、XML(eXtensible Markup Language)であってもよい。
【0147】
また、上記実施形態では、インターネット2上の情報資源の存在場所を指し示すアドレスとして、URLを用いて説明した。しかし、アドレスはURLに限られるものではなく、例えば、URI(Uniform Resource Identifier)であってもよい。URIは、URLの概念を拡張したものであり、URLがリソース(情報資源)の物理的な存在場所を示すのに対し、URIは、リソースの仮想的な名前を定義する。
【0148】
また、プロキシサーバ13は、誘導URLの疑わしいラベルを点滅させたり、色つき文字にしたり、音声による警告を発したりさせることができる。
【0149】
上記実施形態では、メールサーバ11は、“/”以降のHTMLファイル名やCGIプログラム名等の記述を無視するものとした。しかし、ファイル等も含めて誘導URLであると考えられる場合、メールサーバ11は、これらのデータも含めて文字解析を行うようにしてもよい。
【0150】
上記実施形態では、プログラムが、それぞれメモリ等に予め記憶されているものとして説明した。しかし、メールサーバ11、プロキシサーバ13を、装置の全部又は一部として動作させ、あるいは、上述の処理を実行させるためのプログラムを、フレキシブルディスク、CD−ROM(Compact Disk Read-Only Memory)、DVD(Digital Versatile Disk)、MO(Magneto Optical disk)などのコンピュータ読み取り可能な記録媒体に格納して配布し、これを別のコンピュータにインストールし、上述の手段として動作させ、あるいは、上述の工程を実行させてもよい。
【0151】
さらに、インターネット上のサーバ装置が有するディスク装置等にプログラムを格納しておき、例えば、搬送波に重畳させて、コンピュータにダウンロード等するものとしてもよい。
【図面の簡単な説明】
【0152】
【図1】本発明の実施形態に係るサーバシステムの構成を示す図である。
【図2】URLを示す図である。
【図3】誘導URLデータベースを示す図である。
【図4】図1に示すメールサーバが実行する受信メール処理(1)を示すフローチャートである。
【図5】図1に示すメールサーバが実行する受信メール処理(2)を示すフローチャートである。
【図6】図1に示すメールサーバが実行する誘導URLの正規化処理を示すフローチャートである。
【図7】図1に示すメールサーバが実行する誘導URLのエントリ処理を示すフローチャートである。
【図8】図1に示すプロキシサーバが実行するWebサーバアクセス処理を示すフローチャートである。
【図9】サーバシステムの具体的動作を示す図である。
【図10】図1に示すメールサーバのドメイン名の判定処理を示す図である。
【図11】URL判定条件をURLの各ラベルに適用した場合の具体的処理を示す図である。
【図12】URL判定条件を、2バイト文字を含む国際化ドメイン名によって記述されたURLの各ラベルに適用した場合の具体的処理を示す図である。
【図13】データがエントリされた誘導URLデータベースを示す図である。
【図14】図1に示すプロキシサーバが受信したHTMLメッセージからURLを取得する処理を示す図である。
【図15】ドメイン名からIPアドレスへの変換を示す図である。
【図16】ドメイン名の逆引きを示す図である。
【図17】WHOIS検索の依頼とドメイン情報の取得処理を示す図である。
【図18】ユーザ端末の表示例を示す図である。
【図19】従来の受動攻撃、フィッシング詐欺を示す図である。
【図20】誘導URLの具体例として、すべて小文字で記述された正規URLと、小文字と大文字とが混在する誘導URLと、を示す図である。
【図21】誘導URLの具体例として、国際化ドメイン名で記述された誘導URLを示す図である。
【符号の説明】
【0153】
11 メールサーバ
12 データベース記憶装置
12a 誘導URLデータベース
13 プロキシサーバ
14 メール送信サーバ
15 Webサーバ
16 ユーザ端末
17 DNSサーバ
18 WHOISサーバ
【技術分野】
【0001】
本発明は、メールサーバ、プロキシサーバ、サーバシステム、誘導アドレス判定方法、アクセス先確認方法及びプログラムに関するものである。
【背景技術】
【0002】
近年、電子メールを利用する上で、スパムメール(Spam mail;迷惑メール)と呼ばれるメールがメールサーバに送信されるケースがある(例えば、特許文献1参照)。
そして、このようなスパムメールを用い、「スパイウェア」(Spyware)や「トロイの木馬」等、不正なプログラムをユーザのコンピュータにダウンロードさせるための受動的攻撃が増加してきている。
【0003】
例えば、図19に示すように、メール送信サーバ51は、攻撃者として、スパムメール52をユーザ端末53に通知する。スパムメール52は、情報資源の正規のサイト(存在場所)を偽装して正規のサイトとは異なる不正サイトのWebサーバ54のURL(Uniform Resource Locator)を含むものである。
【0004】
URLは、情報資源の存在場所を指し示すものである。メール送信サーバ51は、このスパムメール52をユーザ端末53に通知することにより、ユーザ端末53に、このURLが示すWebサーバ54にアクセスさせる。そして、Webサーバ54は、ユーザ端末53に不正プログラムをダウンロードする。これが受動的攻撃と呼ばれるものである。
【0005】
一方、フィッシング詐欺と呼ばれるものも増加してきている。即ち、メール送信サーバ51が、正規の銀行やクレジットカード会社からのメールを偽装したスパムメール52をユーザ端末53に送信する。
【0006】
Webサーバ54は正規のサイトを偽装してアクセス先のURLを似せた別のWebサイトのサーバであり、このスパムメール52には、Webサーバ54のURLが記述されている。メール送信サーバ51は、このスパムメール52をユーザ端末53に送信することにより、Webサーバ54にアクセスさせる。
【0007】
そして、Webサーバ54は、口座番号、暗証番号、クレジットカード番号等を、ユーザ端末53に入力させて、これらの情報を盗み出す。このような行為がフィッシング詐欺と呼ばれるものである。
【0008】
受動的攻撃やフィッシング詐欺等では、ある正当なサイトになりすましてユーザ端末53がWebサーバ54にアクセスするようにさせるため、攻撃者としてのメール送信サーバ51は、正当なサイトのURLに良く似たURLをスパムメール52で通知する場合が多い。
【0009】
例えば、図20(a)に示すような文字列で記述されているURLを正規URLとした場合、攻撃者としてのメール送信サーバ51は、スパムメール52により、図20(b)に示すような誘導URLをユーザ端末53に通知する。
【0010】
この例では、「L」の小文字である「l」を数字の「1」や、「i」の大文字「I」に変更したURL等が使用されている。図20(a)、(b)に示す文字列を、それぞれ、拡大してみると、その違いを判別できるものの、拡大せずに誘導URLと正当なURLとを判別することは、ユーザにとっては容易なことではない。
【0011】
また、図21(a)に示すような文字列で記述されているURLを正規URLとした場合、攻撃者としてのメール送信サーバ51は、図21(b)に示すような誘導URLをユーザ端末53に通知する場合がある。
【0012】
図21(b)に示す誘導URLでは、ドメイン名が国際化ドメイン名であり、2バイトのキリル文字が含まれている。この場合も、図21(a)、(b)に示す文字列を、それぞれ、拡大してみるとその違いを判別できるものの、拡大せずに誘導URLと正当なURLとを判別することは、ユーザにとっては容易なことではない。
【0013】
これらの受動的攻撃やフィッシング詐欺の対策としては、主に、URLブロッキング、アンチスパムフィルタの2つの技術が考えられている。URLブロッキングは、Webプロキシサーバ等に実装される技術であり、受動的攻撃やフィッシング詐欺に使用されるWebサイトのURLのリストを予め記憶し、そのURLにユーザコンピュータがWebアクセスを行った場合、アクセスを遮断するという技術である。
【0014】
また、アンチスパムフィルタは、これらの不正なWebサイトにユーザを誘導するためのスパムメールをメールサーバ等が検知し、メールサーバ等がメール自体をフィルタリングする技術である。
【特許文献1】特開2000−163341号公報(第4−6頁、図1、2)
【発明の開示】
【発明が解決しようとする課題】
【0015】
しかし、URLブロッキングでは、予めブロックすべきURLのリストを登録しておく必要があり、まだ登録されていない新たに構築された不正WebサイトのURLには対応できない。
【0016】
また、大文字と小文字とが混在しているURLは、誘導URLとしても利用される可能性が高いため、このようなURLにWebアクセスされた場合、ブロックすることも考えられるものの、HTTPメッセージ中に記述されるアクセス先URLは、Webブラウザがすべて小文字に正規化してしまう。このため、URLブロッキングを実装したWebプロキシサーバは、URLに大文字と小文字とが混在している場合、正当なURLと誘導URLとを判別することが出来ないことになる。
【0017】
本発明は、このような従来の問題点に鑑みてなされたもので、誘導URLを判別し易くすることが可能なメールサーバ、プロキシサーバ、サーバシステム、誘導URL判定方法、アクセス先確認方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0018】
この目的を達成するため、本発明の第1の観点に係るメールサーバは、
メールを受信するメールサーバにおいて、
前記メールを受信するメール受信部と、
前記メール受信部が受信した受信メールを記憶する受信メール記憶部と、
前記メール受信部が受信した受信メールに、ホストコンピュータに格納された情報資源の存在場所を指し示すアドレスが記述されている場合に、前記アドレスの文字解析を行い、前記アドレスが前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する誘導アドレス判定部と、
前記誘導アドレスの可能性ありと前記誘導アドレス判定部が判定し、前記受信メールがユーザ端末によって取得された場合に、前記誘導アドレスに関するデータを誘導アドレスデータベースに登録する誘導アドレス登録部と、を備えたことを特徴とする。
【0019】
前記誘導アドレス判定部は、
前記アドレスの文字解析を行い、前記アドレスに前記ホストコンピュータを識別するホスト識別情報が含まれている場合に、前記ホスト識別情報が数字で記述されているか否かを判定し、
前記ホスト識別情報が数字で記述されていないと判定した場合は、前記アドレスは、前記ホストコンピュータの存在場所を階層化して表すドメイン名によって記述されていると判定し、
さらに、前記ドメイン名の文字解析を行い、前記ドメイン名のドットで区切られた文字列としての各ラベルがすべて1バイト文字で構成されていることを第1のアドレス判定条件、前記各ラベルがすべて小文字若しくは大文字で構成されていることを第2のアドレス判定条件として、前記第1及び第2のアドレス判定条件のチェックを前記ラベル毎に行い、いずれかのラベルが前記第1又は前記第2のアドレス判定条件を満足しない場合に、前記受信メールに含まれるアドレスは前記誘導アドレスである可能性ありと判定し、
前記ホスト識別情報が数字で記述されていると判定した場合は、前記アドレスは、前記ホストコンピュータのIP(Internet Protocol)アドレスによって記述されていると判定し、前記受信メールに含まれているアドレスは前記誘導アドレスである可能性ありと判定するようにしてもよい。
【0020】
前記誘導アドレス判定部は、前記アドレスの文字解析を行い、前記メール受信部が受信した受信メールがマークアップ言語の仕様で記述されたものであるか否かを判定し、マークアップ言語の仕様で記述されたものと判定した場合、前記受信メールに記述されているアドレスと実際のリンク先アドレスとを比較し、両アドレスが不一致の場合は、前記実際のリンク先アドレスは誘導アドレスと判定し、一致した場合は、前記第1及び第2のアドレス判定条件のチェックをラベル毎に行うようにしてもよい。
【0021】
前記誘導アドレス判定部は、前記受信メールに含まれているアドレスが誘導アドレスである可能性ありと判定した場合、前記アドレスの正規化として、前記誘導アドレスが前記第1乃び第2のアドレス判定条件を満足するように、前記誘導アドレスを変更し、
前記誘導アドレス登録部は、前記誘導アドレスに関するデータとして、前記受信メールの送信先であるユーザ端末の識別情報と正規化済み誘導アドレスとユーザ端末が前記受信メールを取り込んだ日時、時刻情報とを前記誘導アドレスデータベースに登録するようにしてもよい。
【0022】
本発明の第2の観点に係るプロキシサーバは、
ユーザ端末に代行して、ホストコンピュータが格納する情報資源にアクセスするプロキシサーバにおいて、
前記ユーザ端末から、前記情報資源の存在場所を指し示すアドレスを含むメッセージを受信するメッセージ受信部と、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導するアドレスを誘導アドレスとして、前記メッセージ受信部が前記ユーザ端末から前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスに関する誘導アドレスに関するデータが登録される誘導アドレスデータベースの内容を検索する誘導アドレスデータ検索部と、
前記誘導アドレスデータ検索部が前記誘導アドレスデータベースの内容を検索した結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合、一致する前記誘導アドレスに関するデータを、前記誘導アドレスデータベースから取得するデータ取得部と、
前記データ取得部が取得した前記誘導アドレスに関するデータを、前記ユーザ端末に送信するデータ送信部と、を備えたことを特徴とする。
【0023】
前記データ送信部が前記誘導アドレスに関するデータを前記ユーザ端末に送信した結果、前記ユーザ端末から前記情報資源へのアクセスを中止する旨のアクセス中止命令を受信したときは、前記情報資源へのアクセスを中止するようにしてもよい。
【0024】
前記データ取得部は、前記アドレスがIP(Internet Protocol)アドレスによって記述されている場合は、DNS(Domain Name System)サーバにDNS逆引きを依頼して、前記ホストコンピュータを識別するホスト識別情報を前記ホストコンピュータの存在場所を階層化して表したドメイン名を取得し、前記アドレスが前記ドメイン名によって記述されている場合は、前記DNSサーバに前記IPアドレスへの変換を依頼して前記IPアドレスを取得し、
前記データ送信部は、取得したドメイン名と前記IPアドレスとを前記ユーザ端末に送信するようにしてもよい。
【0025】
前記データ取得部は、取得した前記ドメイン名を、前記ドメイン所有者の情報を含むドメイン情報の検索を行うWHOISサーバに送信してドメイン情報検索を依頼し、前記WHOISサーバから、検索結果として、前記ドメイン所有者の情報を取得し、
前記データ送信部は、前記ドメイン所有者の情報を前記ユーザ端末に送信するようにしてもよい。
【0026】
本発明の第3の観点に係るサーバシステムは、
メールを受信するメールサーバと、ユーザ端末に代行して、ウェブサーバが格納する情報資源にアクセスするプロキシサーバと、を備えたサーバシステムにおいて、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスに関するデータを記憶する誘導アドレスデータベースを備え、
前記メールサーバは、
前記メールを受信するメール受信部と、
前記メール受信部が受信した受信メールを記憶する受信メール記憶部と、
前記メール受信部が受信した受信メールに、ホストコンピュータに格納された情報資源の存在場所を指し示すアドレスが記述されている場合に、前記アドレスの文字解析を行い、前記アドレスが前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する誘導アドレス判定部と、
前記誘導アドレスの可能性ありと前記誘導アドレス判定部が判定し、前記受信メールがユーザ端末によって取得された場合に、前記誘導アドレスに関するデータを誘導アドレスデータベースに登録する誘導アドレス登録部と、を備え、
前記プロキシサーバは、
前記ユーザ端末から、前記アドレスを含むメッセージを受信するメッセージ受信部と、
前記メッセージ受信部が前記ユーザ端末から前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスに関する誘導アドレスに関するデータが登録される誘導アドレスデータベースの内容を検索する誘導アドレスデータ検索部と、
前記誘導アドレスデータ検索部が前記誘導アドレスデータベースの内容を検索した結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合、一致する前記誘導アドレスに関するデータを、前記誘導アドレスデータベースから取得するデータ取得部と、
前記データ取得部が取得した前記誘導アドレスに関するデータを、前記ユーザ端末に送信するデータ送信部と、を備えたことを特徴とする。
【0027】
本発明の第4の観点に係る誘導アドレス判定方法は、
受信した受信メールに含まれるアドレスが、情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する誘導アドレス判定方法であって、
前記アドレスに、前記情報資源を格納するホストコンピュータを識別するホスト識別情報が含まれ、前記ホストコンピュータの存在場所を階層化して前記ホスト識別情報を表したものをドメイン名として、
前記ドメイン名の文字解析を行う解析ステップと、
前記ドメイン名のドットで区切られた文字列をラベルとして、各ラベルがすべて1バイト文字で構成されていることを第1のアドレス判定条件として、すべてのラベルが前記第1のアドレス判定条件を満足するか否かを前記ラベル毎に判定する第1の判定ステップと、
各ラベルがすべて小文字若しくは大文字で構成されていることを第2のアドレス判定条件として、すべてのラベルが前記第2のアドレス判定条件を満足するか否かを前記ラベル毎に判定する第2の判定ステップと、
前記ドメイン名のいずれかのラベルが前記第1又は前記第2のアドレス判定条件を満足しないと判定した場合に、前記受信メールに含まれているアドレスを前記誘導アドレスと判定するステップと、を備えたことを特徴とする。
【0028】
本発明の第5の観点に係るアクセス先確認方法は、
情報資源へのアクセス先が、前記情報資源の正規の存在場所か否かを確認するアクセス先確認方法であって、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導するアドレスを誘導アドレスとして、前記誘導アドレスに関するデータを記憶する誘導アドレス記憶ステップと、
前記情報資源へのアクセスを要求するアクセス要求元から、前記情報資源へのアクセス先を示すアドレスを含むメッセージを受信するメッセージ受信ステップと、
前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスを検索する誘導アドレス検索ステップと、
前記検索の結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合に、前記誘導アドレスに関するデータを取得するデータ取得ステップと、
取得した前記誘導アドレスに関するデータを、前記アクセス要求元に送信するデータ送信ステップと、を備えたことを特徴とする。
【0029】
本発明の第6の観点に係るプログラムは、
コンピュータに、
メールを受信する手順、
前記受信した受信メールを記憶する手順、
前記受信した受信メールに、ホストコンピュータに格納された情報資源の存在場所を指し示すアドレスが記述されている場合に、前記アドレスの文字解析を行い、前記アドレスが前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する手順、
前記誘導アドレスの可能性ありと判定し、前記受信メールが、前記受信メールの送信先によって取得された場合に、前記誘導アドレスに関するデータを誘導アドレスデータベースに登録する手順、
を実行させるためのものである。
【0030】
本発明の第7の観点に係るプログラムは、
コンピュータに、
情報資源へのアクセスを要求するアクセス要求元から、前記情報資源の存在場所を指し示すアドレスを含むメッセージを受信する手順、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導するアドレスを誘導アドレスとして、前記メッセージ受信部が前記ユーザ端末から前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスに関する誘導アドレスに関するデータが登録される誘導アドレスデータベースの内容を検索する手順、
前記誘導アドレスデータベースの内容を検索した結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合、一致する前記誘導アドレスに関するデータを、前記誘導アドレスデータベースから取得する手順、
取得した前記誘導アドレスに関するデータを、前記アクセス要求元に送信する手順、
を実行させるためのものである。
【発明の効果】
【0031】
本発明によれば、誘導URLを判別し易くすることができる。
【発明を実施するための最良の形態】
【0032】
以下、本発明の実施形態に係るサーバシステムを図面を参照して説明する。
本実施形態に係るサーバシステムの構成を図1に示す。
本実施形態に係るサーバシステムは、メールサーバ11と、データベース記憶装置12と、プロキシサーバ13と、からなる。メールサーバ11とプロキシサーバ13とは、インターネット2に接続される。
【0033】
メールサーバ11は、メール送信サーバ14が送信したメールを受信するサーバであり、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、HDD(Hard Disk Drive)等(いずれも図示せず)を備えている。
【0034】
メール送信サーバ14は、インターネット2を介してURLを含むメールをメールサーバ11に送信するサーバである。
【0035】
メールサーバ11は、受信したメールに、インターネット2上の情報資源の存在場所を指し示すアドレスとしてのURLが含まれているか否かを判別し、このURLが誘導URLと判別した場合、誘導URLを正規化する機能を有している。
【0036】
具体的に、メールサーバ11は、まず、受信メールがURLを含むものであるか否かを判別する。URLは、図2(a)、(b)に示すように、プロトコル識別子と資源名とからなる。
【0037】
図2(a)に示す“http”はHTTPプロトコルを示すプロトコル識別子であり、図2(b)に示す“https”はSSL(Secure Socket Layer)を使用したHTTPプロトコルを示すプロトコル識別子である。
【0038】
尚、URLで使用可能な文字は、RFC(Request For Comments)1738等で定義されている。RFC1738によれば、使用可能な文字は、アルファベット、数字等の1バイト文字である。URLに国際化ドメイン名が用いられている場合、国際化ドメイン名は、表記上、2バイト文字で構成されるものの、データ上では、1バイト文字である。URLの文字列は、このような文字の集合で表される。
【0039】
資源名は、情報資源が存在する存在場所を示すものであり、情報資源を格納するホスト(コンピュータ)を識別するホスト識別情報を示す文字列とホストが格納する情報資源を示す文字列とからなる。ホストを特定するデータは、ホスト名及びドメイン(Domain;領地、領土、領域)名からなる場合とIPアドレス(Internet Protocol Address)からなる場合とがある。
【0040】
図2(a)に示す例は、ホスト識別情報がホスト名及びドメイン名とからなる場合を示し、“/www.example.com/”がホスト名であり、“example.com”がドメイン名である。“example”、“com”は、それぞれ、セカンドドメイン、トップドメインと呼ばれるものであり、ドメイン名は、トップドメイン(ルート)を頂点として階層化されている。尚、ドットで区切られた文字列は、ラベルと呼ばれるものである。また、トップドメインの“/”以降の記述は、HTMLファイル名、CGIプログラム名等の情報資源を示すものである。
【0041】
図2(b)に示す例は、ホスト識別情報がIPアドレスからなる場合を示す。IPアドレスは、インターネット2等に接続されたホスト1台1台に割り当てられたホストの識別番号であり、数字で記述される。IPv(Internet Protocol version)4では、32ビットの数字がピリオドにより8ビットずつ4つに区切られ、この8ビットで表される数値は、0〜255の10進整数の値に変換される。IPアドレスは、この10進整数の値を4つ並べて表現される。
【0042】
メールサーバ11は、メールに、図2(a)に示すような“http://www.example.com/”が記述されている場合及び図2(b)に示すような“https://10.8.2.73/”が記述されている場合、このURLの文字解析を行い、この記述がURLであると判別し、受信メールからこのURLを取得する。
【0043】
そして、メールサーバ11は、取得したURLの“http://”又は“https://”に続く文字列をドメイン名又はIPアドレスと判定する。尚、メールサーバ11は、“/”以降のHTMLファイル名やCGIプログラム名等の記述を無視する。
【0044】
メールサーバ11は、ホスト識別情報が数字で記述されている場合、この数字をIPアドレスであると判定する。この場合、誘導URLの判別が難しいため、メールサーバ11は、受信メールに含まれているURLは誘導URLである可能性ありと判定する。メールサーバ11は、このように判定すると、このURLを、内蔵するHDDに記憶する。
【0045】
また、ホスト識別情報が数字以外の文字で記述されている場合、メールサーバ11は、ホスト識別情報がドメイン名を用いて記述されているものと判定する。この場合、メールサーバ11は、ドメイン名の文字列を解析する。
【0046】
このため、メールサーバ11は、さらに文字解析を行い、ドメイン名の各ラベルが以下のURL判定条件を満足するか否かのチェックをラベル毎に行う。
(1)すべて1バイト文字で表現されていること
(2)すべて大文字若しくは小文字で表現されていること
【0047】
URL判定条件(1)は、ラベルに国際化ドメイン名のような2バイト文字が含まれていないか否かを判別するための条件である。メールサーバ11は、いずれかのラベルが、このURL判定条件(1)を満足しない場合、受信メールに含まれているURLが誘導URLである可能性ありと判定する。
【0048】
URL判定条件(2)は、小文字と大文字とが混在した紛らわしいラベルを判別するための条件である。メールサーバ11は、いずれかのラベルが、このURL判定条件(2)を満足しない場合、受信メールに含まれているURLが誘導URLである可能性ありと判定する。
【0049】
また、メールサーバ11は、すべてのラベルがこのURL判定条件(1)かつ(2)を満足する場合、受信メールに含まれているURLが誘導URLである可能性は低いと判定する。
【0050】
尚、メールには、テキスト形式のメールだけでなく、HTML(HyperText Markup Language)形式のHTMLメールもある。HTMLは、予め設定された規則に従って文書の構造や表現属性(太字や斜体など)などの追加情報が文書中に記述される仕様の言語である。
【0051】
HTMLメールの場合、メールサーバ11は、受信メールから、メール本文に記述されているURLと実際のリンク先URLとの両方を取得する。実際のリンク先URLは、例えば、ブラウザのアドレスバーに表示されているものである。
【0052】
メールサーバ11は、メール本文に記述されているURLと実際のリンク先URLとが不一致の場合、実際のリンク先URLは誘導URLと判定する。
【0053】
一方、メールサーバ11は、メール本文に記述されているURLと実際のリンク先URLとが同一である(一致する)場合であって、ホスト識別情報がドメイン名を用いて記述されているものと判定した場合、上記URL判定条件(1)、(2)のチェックをラベル毎に行う。
【0054】
メールサーバ11は、誘導URLの可能性ありと判定した場合、URLの正規化を行う。URLの正規化とは、すべてのラベルがURL判定条件(1),(2)をいずれも満足するように、URLを変更することをいう。
【0055】
メールサーバ11は、URL判定条件(2)を満足しない場合、URLの正規化として、URLのすべての文字を小文字又は大文字に変換する。ドメイン名では、大文字、小文字の区別はない。従って、オリジナルのURLを正規化しても、オリジナルのドメイン名と正規化後のドメイン名とでは、実体は変わらない。
【0056】
次に、メールサーバ11は、URL判定条件(1)を満足しない場合、URLの正規化として、URLのPunycode変換を行う。Punycode変換は、国際化ドメインのような2バイト文字をASCII文字に変換する符号化手法の1つであり、標準化されたものである。
【0057】
国際化ドメイン名をPunycodeによって変換した場合、変換されたことが判別できるように文字列の前に「xn--」という識別子(ACE Prefix)が付与される。この識別子によってドメイン名が国際化ドメイン名であることの判別が容易となる。
【0058】
メールサーバ11は、受信したメール中に複数のURLが記述されている場合、このような処理をすべてのURLについて行う。
【0059】
メールサーバ11は、URLの正規化を行った場合には、この正規化済み誘導URLを内蔵するHDDに記憶する。
【0060】
そして、メールサーバ11は、ユーザ端末16によって受信メールが取得されたとき、誘導URLを誘導URLデータベース12aにエントリする。
【0061】
誘導URLデータベース12aは、エントリデータがエントリされるためのものであり、データベース記憶装置12は、この誘導URLデータベース12aを記憶する。
【0062】
エントリデータは、誘導URLに関するデータであり、メールサーバ11は、エントリデータとして、この誘導URLデータベース12aに、図3に示すような形式でユーザ名と、正規化済み誘導URL又はホスト識別情報がIPアドレスで記述されているURLと、メール取得日時・時刻と、をエントリする。
【0063】
ユーザ名は、受信メールを取得した受信メールの送信先であるユーザ端末16を示す情報である。誘導URLは、メールサーバ11によって正規化された場合、正規化済み誘導URLである。メール取得日時・時刻は、ユーザ端末16によって受信メールが取得された日時・時刻を示すデータである。
【0064】
尚、メールサーバ11は、ユーザ端末16がこのメールを取得したときから、予め設定した有効期間が経過すると、このエントリデータを消去する。このような処理を行うため、メールサーバ11は、時間をカウントするタイマを備え、また、内蔵のHDDに、有効期間を示す値を記憶する設定ファイルを記憶する。
【0065】
この有効期間は、メールを受信してからユーザ端末16によって受信メールが取得されるまでの時間と誘導URLデータベース12aの容量とエントリデータの検索時間とに基づいて設定される。但し、誘導URLデータベース12aの容量が大きく、しかもエントリデータの検索時間が短ければ、たとえ、ユーザ端末16によって受信メールが取得される時間が短い場合でも有効期間は無期限であってもよい。
【0066】
メールサーバ11は、誘導URL等を誘導URLデータベース12aにエントリしたとき、タイマのカウント値をリセットして、カウント値をインクリメントする。メールサーバ11は、このカウント値が、設定ファイルに記憶された有効期間を示す値を超えたとき、有効期間を経過したと判定して、誘導URLデータベース12aのエントリデータを消去する。
【0067】
次に、図1に示すプロキシサーバ13は、ユーザ端末16が指定するWebサーバ15へのアクセスを代行するサーバである。
【0068】
尚、ユーザ端末16は、ブラウザ(ソフトウェア)を有し、プロキシ設定されている。ブラウザは、ユーザ端末16がプロキシサーバ13にアクセスするときに、アドレスバーに入力されたURLを正規化し、正規化したURLをHTTPメッセージ中に格納する。ユーザ端末16は、このHTTPメッセージをプロキシサーバ13に送信する。
【0069】
プロキシサーバ13は、ユーザ端末16からこのHTTPメッセージを受け取って、まず、アクセス元のユーザ端末16の認証を行う。尚、認証は、パスワード認証であってもよいし、指紋認証等のバイオメトリクス認証であってもよい。
【0070】
このプロキシサーバ13は、ユーザ端末16の認証が成功した場合に、誘導URLデータベース12aのエントリ(登録)データを検索して、このエントリデータをユーザ端末16に送信する機能を有している。
【0071】
即ち、プロキシサーバ13は、ユーザ端末16からのメッセージ中に記述されているアクセス先URLとアクセス元ユーザ名とに基づいて、誘導URLデータベース12aの内容を検索する。
【0072】
HTTPメッセージに含まれるURLと一致する誘導URLが、誘導URLデータベース12aにエントリされている場合、プロキシサーバ13は、DNSサーバ17に依頼して、DNSサーバ17から、誘導URLのドメイン名とIPアドレスとを取得する。
【0073】
DNS(Domain Name System)は、IPアドレスに対して人間にとって分かりやすい名前を付与するシステムであり、DNSサーバ17は、IPアドレスとドメイン名との間の変換を行うものである。DNSサーバ17は、プロキシサーバ13から依頼を受けて、IPアドレスからドメイン名への逆引き、又はドメイン名からIPアドレスへの変換を行う。
【0074】
誘導URLがIPアドレスによって記述されたものである場合、プロキシサーバ13は、このIPアドレスをDNSサーバ17に送信してドメイン名の逆引きを依頼する。そして、プロキシサーバ13は、DNSサーバ17から、IPアドレスに対応するドメイン名を取得する。
【0075】
また、誘導URLがドメイン名によって記述されたものである場合、プロキシサーバ13は、このドメイン名をDNSサーバ17に送信してIPアドレスへの変換を依頼する。そして、プロキシサーバ13は、DNSサーバ17から、ドメイン名に対応するIPアドレスを取得する。
【0076】
プロキシサーバ13は、誘導URLのドメイン名とIPアドレスとを取得すると、WHOISサーバ18に、誘導URLのドメイン名を送信してWHOIS検索を依頼する。
【0077】
WHOISとは、ドメインの所有者情報、ネームサーバ情報等、全世界で登録されているドメイン情報を保存しているデータベースである。このデータベースは、HDD等の記憶装置に記憶されている。
【0078】
WHOISサーバ18は、このデータベースに対して、このWHOIS検索を行うものである。WHOISサーバ18は、プロキシサーバ13から、依頼を受けてドメイン名を受信し、受信したドメイン名に基づいてWHOIS検索を行う。そして、WHOISサーバ18は、検索結果として、ドメインの所有者情報を含むドメイン情報をプロキシサーバ13に送信する。
【0079】
プロキシサーバ13は、このようにしてドメイン情報とDNS情報とを取得すると、アクセス先情報として、以下の情報をユーザ端末16に送信する。
(1)IPアドレスで記述したアクセス先(誘導)URL
アクセス先URLがドメイン名で記述されている場合、DNSサーバ17に依頼して取得したIPアドレスである。
(2)正規化済みのアクセス先(誘導)URL(小文字)
これは、すべて小文字に変換したURLである。Punycode変換を行った場合、このURLは、変換したドメイン名のURLである。アクセス先URLがIPアドレスで記述されている場合、このURLは、DNSの逆引きにより得られたドメイン名で記述されたURLである。
(3)すべて大文字に変換した正規化済みのアクセス先(誘導)URL
尚、数字は変換されない。
(4)WHOIS検索で得られたドメインの所有者情報
【0080】
また、プロキシサーバ13は、ユーザ端末16への問い合わせに対する応答を取得するための情報、即ち、アクセスするか、しないかの回答を取得するための情報も送信する。このようにして、プロキシサーバ13は、情報資源へのアクセス先が、情報資源の正規の存在場所か否かを確認する。
【0081】
プロキシサーバ13は、ユーザ端末16から、アクセスを実行する旨のアクセス実行命令を受信した場合、通常のプロキシサーバ13として、ユーザ端末16の代わりに、アクセス先のWebサーバ15にアクセスする。
【0082】
一方、ユーザ端末16から、アクセスを中止する旨のアクセス中止命令を取得した場合、アクセス先のWebサーバ15へのアクセスを中止する。
【0083】
次に本実施形態に係るサーバシステムの動作を説明する。
メールサーバ11は、図4及び図5に示すフローチャートに従って、受信メール処理を実行する。
【0084】
メールサーバ11は、メール送信サーバ14からメールを受信すると、この受信メールを内蔵のHDDに記憶する(ステップS11)。
【0085】
メールサーバ11は、受信メールがURLを含むものであるか否かを判定する(ステップS12)。
【0086】
受信メールがURLを含まないものであると判定した場合(ステップS12においてNo)、メールサーバ11は、この受信メール処理を終了させる。
【0087】
一方、受信メールがURLを含むものであると判定した場合(ステップS12においてYes)、メールサーバ11は、この受信メールから、URLを取得する(ステップS13)。
【0088】
メールサーバ11は、受信メールがHTMLメールであるか否かを判定する(ステップS14)。取得した受信メールがHTMLメールであると判定した場合(ステップS14においてYes)、メールサーバ11は、メール本文に記述されているURLと実際のリンク先URLとを比較する。そして、メールサーバ11は、メール本文に記述されているURLと実際のリンク先URLとが同一か否かを判定する(ステップS15)。
【0089】
メール本文に記述されているURLと実際のリンク先URLとが異なっているものと判定した場合(ステップS15においてNo)、メールサーバ11は、実際のリンク先URLを誘導URLと判定して誘導URLの正規化処理を行う(ステップS20)。
【0090】
取得した受信メールがHTMLメールではないと判定した場合(ステップS14においてNo)又は、メール本文に記述されているURLと実際のリンク先URLとが同一であると判定した場合(ステップS15においてYes)、メールサーバ11は、取得したURLのホスト識別情報が数字で記述されたものか否かを判定する(ステップS16)。
【0091】
データが数字で記述されている場合(ステップS16においてYes)、メールサーバ11は、このデータはIPアドレスであると判定し、URLが誘導URLの可能性ありと判定する。メールサーバ11は、このように判定すると、このURLを、内蔵のHDDに記憶する(ステップS21)。
【0092】
データが数字で記述されたものではないと判定した場合(ステップS16においてNo)、メールサーバ11は、取得したURLがドメイン名で記述されていると判定する。この場合、メールサーバ11は、URL判定条件のチェックをラベル毎に行う(ステップS17)。
【0093】
メールサーバ11は、すべてのラベルがURL判定条件(1)を満足するか否かを判定する(ステップS18)。すべてのラベルがURL判定条件(1)を満足していると判定した場合(ステップS18においてYes)、メールサーバ11は、すべてのラベルがURL判定条件(2)を満足するか否かを判定する(ステップS19)。
【0094】
すべてのラベルがURL判定条件(2)を満足すると判定した場合(ステップS19においてYes)、メールサーバ11は、このURLを正規のURLと判定する。
【0095】
一方、いずれかのラベルがURL判定条件(1)又は(2)を満足していないと判定した場合(ステップS18においてNo、又はステップS19においてNo)、メールサーバ11は、取得したURLが誘導URLであると判定する。
【0096】
メールサーバ11は、このように判定すると、誘導URLの正規化処理を実行する(ステップS20)。メールサーバ11は、図6に示すフローチャートに従って、この誘導URLの正規化処理を実行する。
【0097】
即ち、メールサーバ11は、取得した元のURLのすべての文字を小文字に変換する(ステップS31)。
【0098】
メールサーバ11は、URLに2バイト文字が存在するか否かを判定する(ステップS32)。URLに2バイト文字が存在すると判定した場合(ステップS32においてYes)、メールサーバ11は、ドメイン名をPunycodeに変換する(ステップS33)。そして、メールサーバ11は、この誘導URLの正規化処理を終了させて、誘導URLを、内蔵のHDDに記憶する(ステップS21)。
【0099】
メールサーバ11は、このように判定すると、誘導URLの正規化処理を実行し(ステップS20)。正規化した誘導URLを、内蔵のHDDに記憶する(ステップS21)。
【0100】
メールサーバ11は、受信メール中に、まだ、他にURLが存在するか否かを判定する(ステップS22)。
【0101】
他にURLが存在すると判定した場合(ステップS22においてYes)、メールサーバ11は、次のURLを指定し(ステップS23)、このURLを取得する(ステップS13)。そして、メールサーバ11は、取得したURLについて、ステップS13〜S21の処理を実行する。
【0102】
そして、他にURLが存在しないと判定した場合(ステップS22においてNo)、メールサーバ11は、この受信メール処理を終了させる。
【0103】
メールサーバ11が、このような受信メール処理を実行した後に、ユーザ端末16がメールサーバ11から、メールを取り込んだ場合、メールサーバ11は、図7に示すフローチャートに従って、誘導URLのエントリ処理を実行する。
【0104】
即ち、メールサーバ11は、正規化した誘導URLを誘導URLデータベース12aにエントリする(ステップS41)。
メールサーバ11は、タイマのカウント値をリセットする(ステップS42)。
【0105】
メールサーバ11は、タイマのカウント値が、設定ファイルに記憶されている有効期間を示す値を超えたか否かを判定する(ステップS43)。
【0106】
カウント値が有効期間を示す値以下と判定した場合(ステップS43においてNo)、メールサーバ11は、カウント値をインクリメントし(ステップS44)、再度、ステップS43,S44を実行する。
【0107】
カウント値が有効期間を示す値を越えたと判定した場合(ステップS43においてYes)、メールサーバ11は、エントリしたデータを誘導URLデータベース12aから消去する(ステップS45)。そして、メールサーバ11は、この誘導URLのエントリ処理を終了させる。
【0108】
次に、プロキシサーバ13は、ユーザ端末16からHTTPメッセージを受け取ると、図8に示すフローチャートに従って、Webサーバアクセス処理を実行する。
【0109】
プロキシサーバ13は、アクセス元のユーザ端末16の認証を行う(ステップS51)。
プロキシサーバ13は、認証が成功したか否かを判定する(ステップS52)。
認証が成功しなかったと判定した場合(ステップS52においてNo)、プロキシサーバ13は、このWebサーバアクセス処理を終了させる。
【0110】
認証が成功したと判定した場合(ステップS52においてYes)、プロキシサーバ13は、URLとアクセス元ユーザ名とに基づいて、誘導URLデータベース12aの内容を検索する(ステップS53)。
【0111】
プロキシサーバ13は、該当するエントリデータが、誘導URLデータベース12aに存在するか否かを判定する(ステップS54)。
【0112】
該当するエントリデータが存在しないと判定した場合(ステップS54においてNo)、プロキシサーバ13は、アクセス先にアクセスする(ステップS62)。
【0113】
一方、該当するエントリデータが存在すると判定した場合(ステップS54においてYes)、プロキシサーバ13は、HTTPメッセージ中に記述されているアクセス先URLは誘導URLと判定する。
【0114】
このように判定すると、プロキシサーバ13は、該当するエントリデータを取得する(ステップS55)。
プロキシサーバ13は、取得したエントリデータの誘導URLがIPアドレスで記述されたものか否かを判定する(ステップS56)。
【0115】
取得した該当エントリデータの誘導URLがIPアドレスで記述されたものと判定した場合(ステップS56においてYes)、プロキシサーバ13は、このIPアドレスをDNSサーバ17に送信してドメイン名の逆引きを依頼し、逆引き結果としてのドメイン名を取得する(ステップS57)。
【0116】
取得した該当エントリデータの誘導URLがIPアドレスではなく、ドメイン名で記述されたものと判定した場合(ステップS56においてNo)、プロキシサーバ13は、ドメイン名をDNSサーバ17に送信してIPアドレスへの変換を依頼し、変換結果としてのIPアドレスを取得する(ステップS58)。
【0117】
プロキシサーバ13は、このようにドメイン名とIPアドレスとを取得すると、WHOISサーバ18にドメイン名を送信してWHOIS検索を依頼して、ドメインの所有者情報を含むドメイン情報を取得する(ステップS59)。
【0118】
プロキシサーバ13は、ユーザ端末16に、誘導URLに関するデータを、アクセス先情報として送信する(ステップS60)。
プロキシサーバ13は、ユーザ端末16から、アクセス実行命令を受信したか否かを判定する(ステップS61)。
【0119】
アクセス実行命令を受信したと判定した場合(ステップS62においてYes)、プロキシサーバ13は、アクセス先にアクセスする(ステップS62)。
【0120】
一方、アクセス実行命令ではなく、アクセス中止命令を受信したと判定した場合(ステップS61においてNo)、プロキシサーバ13は、アクセス先へのアクセスを中止して、このWebサーバアクセス処理を終了させる。
【0121】
次に、このサーバシステムの具体的な動作を説明する。
図9に示すように、メールサーバ11がメール送信サーバ14から受信メール21を受信した場合、メールサーバ11は、最初のURL“http://www.exampIe.com/”を取得する(ステップS13の処理)。
【0122】
このURLのホスト識別情報は、数字で記述されたものではないため、メールサーバ11は、URLがドメイン名で記述されていると判定する(ステップS16においてNO)。
【0123】
メールサーバ11は、このデータに対し、図11(a)〜(c)に示すように、ラベル毎にURL判定条件(1)と(2)とのチェックを行う(ステップS17の処理)。
【0124】
図11(a)に示すように、ラベル“www”は、すべて1バイトの小文字で構成されているため、URL判定条件(1)及び(2)を満足する。
図11(b)に示すように、ラベル“exampIe”は、小文字と大文字とが混在しているため、URL判定条件(2)を満足しない。
図11(c)に示すように、ラベル“com”は、すべて1バイトの小文字で構成されているため、URL判定条件(1)及び(2)を満足する。
【0125】
メールサーバ11は、ラベル“exampIe”がURL判定条件(2)を満足しないため、このURL“http://www.exampIe.com/”は、誘導URLの可能性ありと判定する。
【0126】
この場合、メールサーバ11は、図11(d)に示すように、このURL“http://www.exampIe.com/”の正規化を行い、正規化済み誘導URL“http://www.exampie.com/”を生成する(ステップS20、ステップS31の処理)。そして、メールサーバ11は、この正規化済み誘導URLを、内蔵するHDDに記憶する(ステップS21の処理)。
【0127】
次に、メールサーバ11は、図10(b)に示すような、2つ目のURL“https://10.8.2.73/”を取得する(ステップS22,S23,S13の処理)。URLのホストのデータ“10.8.2.73”は、数字で記述されており、このURLはIPアドレスで記述されていると判定する。
【0128】
メールサーバ11は、このように判定すると、URL“https://10.8.2.73/”を、内蔵するHDDに記憶する。
【0129】
尚、URLが図12に示すようなURLの場合、ドメイン名が国際化ドメイン名であり、2バイト文字を含むため、メールサーバ11は、このドメイン名に対してPunycode変換を行い、URLを正規化して、正規化済み誘導URLを生成する(ステップS20、ステップS32,S33の処理)。
【0130】
メールサーバ11は、ユーザ端末16が、この受信メール21を取得した場合、図13に示すように、誘導URLデータベース12aに、ユーザ名と、正規化済み誘導URL又はIPアドレスと、メール取得日時・時刻のデータと、をエントリする(ステップS41の処理)。
【0131】
プロキシサーバ13は、ユーザ端末16からHTTPメッセージを受け取ると、アクセス元のユーザ端末16の認証を行う(図8のステップS51の処理)。認証に成功すると、プロキシサーバ13は、図14に示すようにHTTPメッセージからアクセス先のURL“http://www.exampie.com/”を取得する。
【0132】
尚、このURLは、ユーザ端末16のブラウザによって正規化されている。このプロキシサーバ13は、取得したURL“http://www.exampie.com/”とアクセス元ユーザ名とに基づいて、誘導URLデータベース12aの内容を検索する(ステップS53の処理)。
【0133】
誘導URLデータベース12aには、図13に示すように、ユーザAのURL“http://www.exampie.com/”がエントリされている。プロキシサーバ13は、該当するエントリデータが誘導URLデータベース12aに存在しているため、このエントリデータを誘導URLデータベース12aから取得する(ステップS54,S55の処理)。
【0134】
尚、メールサーバ11は、ユーザ端末16がこのメールを取り込んだときから、予め設定した有効期間が経過すると、このエントリデータを消去する(ステップS42〜S45の処理)。
【0135】
プロキシサーバ13は、図15に示すように、DNSサーバ17に、このドメイン名“exampie.com”を送信してIPアドレスへの変換を依頼する。このドメイン名“exampie.com”に対応するIPアドレスを“10.8.7.24”とすると、プロキシサーバ13は、DNSサーバ17から、このドメイン名“exampie.com”に対応するIPアドレス“10.8.7.24”を取得する(ステップS58の処理)。
【0136】
尚、図9に示す2番目のURL“https://10.8.2.73/”の場合、プロキシサーバ13は、図16に示すように、DNSサーバ17に、このIPアドレス“10.8.2.73”を送信してドメイン名の逆引きを依頼し、DNSサーバ17から、このIPアドレス“10.8.2.73”に対応するドメイン名を取得する(ステップS57の処理)。
【0137】
誘導URL“http://www.exampie.com/”の場合、プロキシサーバ13は、図17に示すように、WHOISサーバ18にドメイン名“exampie.com”を送信してWHOIS検索を依頼して、ドメインの所有者情報を含むドメイン情報を取得する(ステップS59の処理)。
【0138】
プロキシサーバ13は、ドメイン情報とDNS情報とを取得すると、アクセス先情報として、IPアドレスで記述したアクセス先URL1“http://10.8.2.73/”と、小文字で記述したアクセス先URL2“http://www.exampie.com/”と、大文字で記述したアクセス先URL3“http://WWW.EXAMPIE.COM/”と、ドメイン所有者情報と、をユーザ端末16に送信する(ステップS60の処理)。
【0139】
ユーザ端末16のディスプレイには、これらの情報が図18に示すように表示される。「アクセスする」がクリックされた場合、ユーザ端末16は、アクセスを実行する旨のアクセス実行命令を送信し、プロキシサーバ13は、このアクセス実行命令を受信して、Webサーバ15にアクセスする(ステップS61,S62の処理)。
【0140】
「アクセスしない」がクリックされた場合、ユーザ端末16は、アクセスを中止する旨のアクセス中止命令を送信し、プロキシサーバ13は、このアクセス中止命令を受信して、Webサーバ15へのアクセスを中止する。
【0141】
以上説明したように、本実施形態によれば、メールサーバ11は、URL判定条件を用いて、受信メールに含まれているURLが誘導URLか否かをを判定し、ユーザ端末16がこの受信メールを取り込んだときに、誘導URLデータベース12aにエントリするようにした。
【0142】
またプロキシサーバ13は、ユーザ端末16からWebサーバ15へのアクセス要求があったとき、誘導URLデータベース12aを検索し、誘導URLが存在する場合、ユーザ端末16にURLのドメイン名、IPアドレス、ドメインの所有者情報を送信するようにした。
【0143】
従って、ユーザは、受信メールに記述されたURLが誘導URLであることを判別し易くすることができ、未知のものも含めてユーザに対する受動攻撃やフィッシング詐欺の被害を防止することができる。また、メールサーバ11は、メール送信サーバ14からのメールを受信した時点で、受信メールのURLをチェックするようにしたので、新たに構築された不正サイトのURLであっても誘導URLの判定を行うことができる。
【0144】
また、受信メールがHTTPメッセージであって、Webブラウザがすべて小文字に正規化したとしても、メール本文中に表示されているURLと実際のリンク先のURLとが同一か否かを判別するので、このような場合であっても、誘導URLを判別することができる。
【0145】
また、プロキシサーバ13は、DNSサーバ17、WHOISサーバ18に、ドメイン名の逆引き、ドメイン名からIPアドレスへの変換、WHOIS検索を依頼して、誘導URLのドメイン名、IPアドレス、ドメインの所有者情報を送信するようにした。このため、ユーザは、受信メールに記述された誘導URLを容易に判別することができる。
【0146】
尚、本発明を実施するにあたっては、種々の形態が考えられ、上記実施の形態に限られるものではない。
例えば、上記実施形態では、マークアップ言語を、HTMLとして説明した。しかし、マークアップ言語はHTMLに限られるものではなく、SGML(Standard Generalized Markup Language)、XML(eXtensible Markup Language)であってもよい。
【0147】
また、上記実施形態では、インターネット2上の情報資源の存在場所を指し示すアドレスとして、URLを用いて説明した。しかし、アドレスはURLに限られるものではなく、例えば、URI(Uniform Resource Identifier)であってもよい。URIは、URLの概念を拡張したものであり、URLがリソース(情報資源)の物理的な存在場所を示すのに対し、URIは、リソースの仮想的な名前を定義する。
【0148】
また、プロキシサーバ13は、誘導URLの疑わしいラベルを点滅させたり、色つき文字にしたり、音声による警告を発したりさせることができる。
【0149】
上記実施形態では、メールサーバ11は、“/”以降のHTMLファイル名やCGIプログラム名等の記述を無視するものとした。しかし、ファイル等も含めて誘導URLであると考えられる場合、メールサーバ11は、これらのデータも含めて文字解析を行うようにしてもよい。
【0150】
上記実施形態では、プログラムが、それぞれメモリ等に予め記憶されているものとして説明した。しかし、メールサーバ11、プロキシサーバ13を、装置の全部又は一部として動作させ、あるいは、上述の処理を実行させるためのプログラムを、フレキシブルディスク、CD−ROM(Compact Disk Read-Only Memory)、DVD(Digital Versatile Disk)、MO(Magneto Optical disk)などのコンピュータ読み取り可能な記録媒体に格納して配布し、これを別のコンピュータにインストールし、上述の手段として動作させ、あるいは、上述の工程を実行させてもよい。
【0151】
さらに、インターネット上のサーバ装置が有するディスク装置等にプログラムを格納しておき、例えば、搬送波に重畳させて、コンピュータにダウンロード等するものとしてもよい。
【図面の簡単な説明】
【0152】
【図1】本発明の実施形態に係るサーバシステムの構成を示す図である。
【図2】URLを示す図である。
【図3】誘導URLデータベースを示す図である。
【図4】図1に示すメールサーバが実行する受信メール処理(1)を示すフローチャートである。
【図5】図1に示すメールサーバが実行する受信メール処理(2)を示すフローチャートである。
【図6】図1に示すメールサーバが実行する誘導URLの正規化処理を示すフローチャートである。
【図7】図1に示すメールサーバが実行する誘導URLのエントリ処理を示すフローチャートである。
【図8】図1に示すプロキシサーバが実行するWebサーバアクセス処理を示すフローチャートである。
【図9】サーバシステムの具体的動作を示す図である。
【図10】図1に示すメールサーバのドメイン名の判定処理を示す図である。
【図11】URL判定条件をURLの各ラベルに適用した場合の具体的処理を示す図である。
【図12】URL判定条件を、2バイト文字を含む国際化ドメイン名によって記述されたURLの各ラベルに適用した場合の具体的処理を示す図である。
【図13】データがエントリされた誘導URLデータベースを示す図である。
【図14】図1に示すプロキシサーバが受信したHTMLメッセージからURLを取得する処理を示す図である。
【図15】ドメイン名からIPアドレスへの変換を示す図である。
【図16】ドメイン名の逆引きを示す図である。
【図17】WHOIS検索の依頼とドメイン情報の取得処理を示す図である。
【図18】ユーザ端末の表示例を示す図である。
【図19】従来の受動攻撃、フィッシング詐欺を示す図である。
【図20】誘導URLの具体例として、すべて小文字で記述された正規URLと、小文字と大文字とが混在する誘導URLと、を示す図である。
【図21】誘導URLの具体例として、国際化ドメイン名で記述された誘導URLを示す図である。
【符号の説明】
【0153】
11 メールサーバ
12 データベース記憶装置
12a 誘導URLデータベース
13 プロキシサーバ
14 メール送信サーバ
15 Webサーバ
16 ユーザ端末
17 DNSサーバ
18 WHOISサーバ
【特許請求の範囲】
【請求項1】
メールを受信するメールサーバにおいて、
前記メールを受信するメール受信部と、
前記メール受信部が受信した受信メールを記憶する受信メール記憶部と、
前記メール受信部が受信した受信メールに、ホストコンピュータに格納された情報資源の存在場所を指し示すアドレスが記述されている場合に、前記アドレスの文字解析を行い、前記アドレスが前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する誘導アドレス判定部と、
前記誘導アドレスの可能性ありと前記誘導アドレス判定部が判定し、前記受信メールがユーザ端末によって取得された場合に、前記誘導アドレスに関するデータを誘導アドレスデータベースに登録する誘導アドレス登録部と、を備えた、
ことを特徴とするメールサーバ。
【請求項2】
前記誘導アドレス判定部は、
前記アドレスの文字解析を行い、前記アドレスに前記ホストコンピュータを識別するホスト識別情報が含まれている場合に、前記ホスト識別情報が数字で記述されているか否かを判定し、
前記ホスト識別情報が数字で記述されていないと判定した場合は、前記アドレスは、前記ホストコンピュータの存在場所を階層化して表すドメイン名によって記述されていると判定し、
さらに、前記ドメイン名の文字解析を行い、前記ドメイン名のドットで区切られた文字列としての各ラベルがすべて1バイト文字で構成されていることを第1のアドレス判定条件、前記各ラベルがすべて小文字若しくは大文字で構成されていることを第2のアドレス判定条件として、前記第1及び第2のアドレス判定条件のチェックを前記ラベル毎に行い、いずれかのラベルが前記第1又は前記第2のアドレス判定条件を満足しない場合に、前記受信メールに含まれるアドレスは前記誘導アドレスである可能性ありと判定し、
前記ホスト識別情報が数字で記述されていると判定した場合は、前記アドレスは、前記ホストコンピュータのIP(Internet Protocol)アドレスによって記述されていると判定し、前記受信メールに含まれているアドレスは前記誘導アドレスである可能性ありと判定する、
ことを特徴とする請求項1に記載のメールサーバ。
【請求項3】
前記誘導アドレス判定部は、前記アドレスの文字解析を行い、前記メール受信部が受信した受信メールがマークアップ言語の仕様で記述されたものであるか否かを判定し、マークアップ言語の仕様で記述されたものと判定した場合、前記受信メールに記述されているアドレスと実際のリンク先アドレスとを比較し、両アドレスが不一致の場合は、前記実際のリンク先アドレスは誘導アドレスと判定し、一致した場合は、前記第1及び第2のアドレス判定条件のチェックをラベル毎に行う、
ことを特徴とする請求項1又は2に記載のメールサーバ。
【請求項4】
前記誘導アドレス判定部は、前記受信メールに含まれているアドレスが誘導アドレスである可能性ありと判定した場合、前記アドレスの正規化として、前記誘導アドレスが前記第1乃び第2のアドレス判定条件を満足するように、前記誘導アドレスを変更し、
前記誘導アドレス登録部は、前記誘導アドレスに関するデータとして、前記受信メールの送信先であるユーザ端末の識別情報と正規化済み誘導アドレスとユーザ端末が前記受信メールを取り込んだ日時、時刻情報とを前記誘導アドレスデータベースに登録する、
ことを特徴とする請求項2又は3に記載のメールサーバ。
【請求項5】
ユーザ端末に代行して、ホストコンピュータが格納する情報資源にアクセスするプロキシサーバにおいて、
前記ユーザ端末から、前記情報資源の存在場所を指し示すアドレスを含むメッセージを受信するメッセージ受信部と、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導するアドレスを誘導アドレスとして、前記メッセージ受信部が前記ユーザ端末から前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスに関する誘導アドレスに関するデータが登録される誘導アドレスデータベースの内容を検索する誘導アドレスデータ検索部と、
前記誘導アドレスデータ検索部が前記誘導アドレスデータベースの内容を検索した結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合、一致する前記誘導アドレスに関するデータを、前記誘導アドレスデータベースから取得するデータ取得部と、
前記データ取得部が取得した前記誘導アドレスに関するデータを、前記ユーザ端末に送信するデータ送信部と、を備えた、
ことを特徴とするプロキシサーバ。
【請求項6】
前記データ送信部が前記誘導アドレスに関するデータを前記ユーザ端末に送信した結果、前記ユーザ端末から前記情報資源へのアクセスを中止する旨のアクセス中止命令を受信したときは、前記情報資源へのアクセスを中止する、
ことを特徴とする請求項5に記載のプロキシサーバ。
【請求項7】
前記データ取得部は、前記アドレスがIP(Internet Protocol)アドレスによって記述されている場合は、DNS(Domain Name System)サーバにDNS逆引きを依頼して、前記ホストコンピュータを識別するホスト識別情報を前記ホストコンピュータの存在場所を階層化して表したドメイン名を取得し、前記アドレスが前記ドメイン名によって記述されている場合は、前記DNSサーバに前記IPアドレスへの変換を依頼して前記IPアドレスを取得し、
前記データ送信部は、取得したドメイン名と前記IPアドレスとを前記ユーザ端末に送信する、
ことを特徴とする請求項5又は6に記載のプロキシサーバ。
【請求項8】
前記データ取得部は、取得した前記ドメイン名を、前記ドメイン所有者の情報を含むドメイン情報の検索を行うWHOISサーバに送信してドメイン情報検索を依頼し、前記WHOISサーバから、検索結果として、前記ドメイン所有者の情報を取得し、
前記データ送信部は、前記ドメイン所有者の情報を前記ユーザ端末に送信する、
ことを特徴とする請求項5乃至7のいずれか1項に記載のプロキシサーバ。
【請求項9】
メールを受信するメールサーバと、ユーザ端末に代行して、ウェブサーバが格納する情報資源にアクセスするプロキシサーバと、を備えたサーバシステムにおいて、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスに関するデータを記憶する誘導アドレスデータベースを備え、
前記メールサーバは、
前記メールを受信するメール受信部と、
前記メール受信部が受信した受信メールを記憶する受信メール記憶部と、
前記メール受信部が受信した受信メールに、ホストコンピュータに格納された情報資源の存在場所を指し示すアドレスが記述されている場合に、前記アドレスの文字解析を行い、前記アドレスが前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する誘導アドレス判定部と、
前記誘導アドレスの可能性ありと前記誘導アドレス判定部が判定し、前記受信メールがユーザ端末によって取得された場合に、前記誘導アドレスに関するデータを誘導アドレスデータベースに登録する誘導アドレス登録部と、を備え、
前記プロキシサーバは、
前記ユーザ端末から、前記アドレスを含むメッセージを受信するメッセージ受信部と、
前記メッセージ受信部が前記ユーザ端末から前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスに関する誘導アドレスに関するデータが登録される誘導アドレスデータベースの内容を検索する誘導アドレスデータ検索部と、
前記誘導アドレスデータ検索部が前記誘導アドレスデータベースの内容を検索した結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合、一致する前記誘導アドレスに関するデータを、前記誘導アドレスデータベースから取得するデータ取得部と、
前記データ取得部が取得した前記誘導アドレスに関するデータを、前記ユーザ端末に送信するデータ送信部と、を備えた、
ことを特徴とするサーバシステム。
【請求項10】
受信した受信メールに含まれるアドレスが、情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する誘導アドレス判定方法であって、
前記アドレスに、前記情報資源を格納するホストコンピュータを識別するホスト識別情報が含まれ、前記ホストコンピュータの存在場所を階層化して前記ホスト識別情報を表したものをドメイン名として、
前記ドメイン名の文字解析を行う解析ステップと、
前記ドメイン名のドットで区切られた文字列をラベルとして、各ラベルがすべて1バイト文字で構成されていることを第1のアドレス判定条件として、すべてのラベルが前記第1のアドレス判定条件を満足するか否かを前記ラベル毎に判定する第1の判定ステップと、
各ラベルがすべて小文字若しくは大文字で構成されていることを第2のアドレス判定条件として、すべてのラベルが前記第2のアドレス判定条件を満足するか否かを前記ラベル毎に判定する第2の判定ステップと、
前記ドメイン名のいずれかのラベルが前記第1又は前記第2のアドレス判定条件を満足しないと判定した場合に、前記受信メールに含まれているアドレスを前記誘導アドレスと判定するステップと、を備えた、
ことを特徴とする誘導アドレス判定方法。
【請求項11】
情報資源へのアクセス先が、前記情報資源の正規の存在場所か否かを確認するアクセス先確認方法であって、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導するアドレスを誘導アドレスとして、前記誘導アドレスに関するデータを記憶する誘導アドレス記憶ステップと、
前記情報資源へのアクセスを要求するアクセス要求元から、前記情報資源へのアクセス先を示すアドレスを含むメッセージを受信するメッセージ受信ステップと、
前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスを検索する誘導アドレス検索ステップと、
前記検索の結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合に、前記誘導アドレスに関するデータを取得するデータ取得ステップと、
取得した前記誘導アドレスに関するデータを、前記アクセス要求元に送信するデータ送信ステップと、を備えた、
ことを特徴とするアクセス先確認方法。
【請求項12】
コンピュータに、
メールを受信する手順、
前記受信した受信メールを記憶する手順、
前記受信した受信メールに、ホストコンピュータに格納された情報資源の存在場所を指し示すアドレスが記述されている場合に、前記アドレスの文字解析を行い、前記アドレスが前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する手順、
前記誘導アドレスの可能性ありと判定し、前記受信メールが、前記受信メールの送信先によって取得された場合に、前記誘導アドレスに関するデータを誘導アドレスデータベースに登録する手順、
を実行させるためのプログラム。
【請求項13】
コンピュータに、
情報資源へのアクセスを要求するアクセス要求元から、前記情報資源の存在場所を指し示すアドレスを含むメッセージを受信する手順、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導するアドレスを誘導アドレスとして、前記メッセージ受信部が前記ユーザ端末から前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスに関する誘導アドレスに関するデータが登録される誘導アドレスデータベースの内容を検索する手順、
前記誘導アドレスデータベースの内容を検索した結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合、一致する前記誘導アドレスに関するデータを、前記誘導アドレスデータベースから取得する手順、
取得した前記誘導アドレスに関するデータを、前記アクセス要求元に送信する手順、
を実行させるためのプログラム。
【請求項1】
メールを受信するメールサーバにおいて、
前記メールを受信するメール受信部と、
前記メール受信部が受信した受信メールを記憶する受信メール記憶部と、
前記メール受信部が受信した受信メールに、ホストコンピュータに格納された情報資源の存在場所を指し示すアドレスが記述されている場合に、前記アドレスの文字解析を行い、前記アドレスが前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する誘導アドレス判定部と、
前記誘導アドレスの可能性ありと前記誘導アドレス判定部が判定し、前記受信メールがユーザ端末によって取得された場合に、前記誘導アドレスに関するデータを誘導アドレスデータベースに登録する誘導アドレス登録部と、を備えた、
ことを特徴とするメールサーバ。
【請求項2】
前記誘導アドレス判定部は、
前記アドレスの文字解析を行い、前記アドレスに前記ホストコンピュータを識別するホスト識別情報が含まれている場合に、前記ホスト識別情報が数字で記述されているか否かを判定し、
前記ホスト識別情報が数字で記述されていないと判定した場合は、前記アドレスは、前記ホストコンピュータの存在場所を階層化して表すドメイン名によって記述されていると判定し、
さらに、前記ドメイン名の文字解析を行い、前記ドメイン名のドットで区切られた文字列としての各ラベルがすべて1バイト文字で構成されていることを第1のアドレス判定条件、前記各ラベルがすべて小文字若しくは大文字で構成されていることを第2のアドレス判定条件として、前記第1及び第2のアドレス判定条件のチェックを前記ラベル毎に行い、いずれかのラベルが前記第1又は前記第2のアドレス判定条件を満足しない場合に、前記受信メールに含まれるアドレスは前記誘導アドレスである可能性ありと判定し、
前記ホスト識別情報が数字で記述されていると判定した場合は、前記アドレスは、前記ホストコンピュータのIP(Internet Protocol)アドレスによって記述されていると判定し、前記受信メールに含まれているアドレスは前記誘導アドレスである可能性ありと判定する、
ことを特徴とする請求項1に記載のメールサーバ。
【請求項3】
前記誘導アドレス判定部は、前記アドレスの文字解析を行い、前記メール受信部が受信した受信メールがマークアップ言語の仕様で記述されたものであるか否かを判定し、マークアップ言語の仕様で記述されたものと判定した場合、前記受信メールに記述されているアドレスと実際のリンク先アドレスとを比較し、両アドレスが不一致の場合は、前記実際のリンク先アドレスは誘導アドレスと判定し、一致した場合は、前記第1及び第2のアドレス判定条件のチェックをラベル毎に行う、
ことを特徴とする請求項1又は2に記載のメールサーバ。
【請求項4】
前記誘導アドレス判定部は、前記受信メールに含まれているアドレスが誘導アドレスである可能性ありと判定した場合、前記アドレスの正規化として、前記誘導アドレスが前記第1乃び第2のアドレス判定条件を満足するように、前記誘導アドレスを変更し、
前記誘導アドレス登録部は、前記誘導アドレスに関するデータとして、前記受信メールの送信先であるユーザ端末の識別情報と正規化済み誘導アドレスとユーザ端末が前記受信メールを取り込んだ日時、時刻情報とを前記誘導アドレスデータベースに登録する、
ことを特徴とする請求項2又は3に記載のメールサーバ。
【請求項5】
ユーザ端末に代行して、ホストコンピュータが格納する情報資源にアクセスするプロキシサーバにおいて、
前記ユーザ端末から、前記情報資源の存在場所を指し示すアドレスを含むメッセージを受信するメッセージ受信部と、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導するアドレスを誘導アドレスとして、前記メッセージ受信部が前記ユーザ端末から前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスに関する誘導アドレスに関するデータが登録される誘導アドレスデータベースの内容を検索する誘導アドレスデータ検索部と、
前記誘導アドレスデータ検索部が前記誘導アドレスデータベースの内容を検索した結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合、一致する前記誘導アドレスに関するデータを、前記誘導アドレスデータベースから取得するデータ取得部と、
前記データ取得部が取得した前記誘導アドレスに関するデータを、前記ユーザ端末に送信するデータ送信部と、を備えた、
ことを特徴とするプロキシサーバ。
【請求項6】
前記データ送信部が前記誘導アドレスに関するデータを前記ユーザ端末に送信した結果、前記ユーザ端末から前記情報資源へのアクセスを中止する旨のアクセス中止命令を受信したときは、前記情報資源へのアクセスを中止する、
ことを特徴とする請求項5に記載のプロキシサーバ。
【請求項7】
前記データ取得部は、前記アドレスがIP(Internet Protocol)アドレスによって記述されている場合は、DNS(Domain Name System)サーバにDNS逆引きを依頼して、前記ホストコンピュータを識別するホスト識別情報を前記ホストコンピュータの存在場所を階層化して表したドメイン名を取得し、前記アドレスが前記ドメイン名によって記述されている場合は、前記DNSサーバに前記IPアドレスへの変換を依頼して前記IPアドレスを取得し、
前記データ送信部は、取得したドメイン名と前記IPアドレスとを前記ユーザ端末に送信する、
ことを特徴とする請求項5又は6に記載のプロキシサーバ。
【請求項8】
前記データ取得部は、取得した前記ドメイン名を、前記ドメイン所有者の情報を含むドメイン情報の検索を行うWHOISサーバに送信してドメイン情報検索を依頼し、前記WHOISサーバから、検索結果として、前記ドメイン所有者の情報を取得し、
前記データ送信部は、前記ドメイン所有者の情報を前記ユーザ端末に送信する、
ことを特徴とする請求項5乃至7のいずれか1項に記載のプロキシサーバ。
【請求項9】
メールを受信するメールサーバと、ユーザ端末に代行して、ウェブサーバが格納する情報資源にアクセスするプロキシサーバと、を備えたサーバシステムにおいて、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスに関するデータを記憶する誘導アドレスデータベースを備え、
前記メールサーバは、
前記メールを受信するメール受信部と、
前記メール受信部が受信した受信メールを記憶する受信メール記憶部と、
前記メール受信部が受信した受信メールに、ホストコンピュータに格納された情報資源の存在場所を指し示すアドレスが記述されている場合に、前記アドレスの文字解析を行い、前記アドレスが前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する誘導アドレス判定部と、
前記誘導アドレスの可能性ありと前記誘導アドレス判定部が判定し、前記受信メールがユーザ端末によって取得された場合に、前記誘導アドレスに関するデータを誘導アドレスデータベースに登録する誘導アドレス登録部と、を備え、
前記プロキシサーバは、
前記ユーザ端末から、前記アドレスを含むメッセージを受信するメッセージ受信部と、
前記メッセージ受信部が前記ユーザ端末から前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスに関する誘導アドレスに関するデータが登録される誘導アドレスデータベースの内容を検索する誘導アドレスデータ検索部と、
前記誘導アドレスデータ検索部が前記誘導アドレスデータベースの内容を検索した結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合、一致する前記誘導アドレスに関するデータを、前記誘導アドレスデータベースから取得するデータ取得部と、
前記データ取得部が取得した前記誘導アドレスに関するデータを、前記ユーザ端末に送信するデータ送信部と、を備えた、
ことを特徴とするサーバシステム。
【請求項10】
受信した受信メールに含まれるアドレスが、情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する誘導アドレス判定方法であって、
前記アドレスに、前記情報資源を格納するホストコンピュータを識別するホスト識別情報が含まれ、前記ホストコンピュータの存在場所を階層化して前記ホスト識別情報を表したものをドメイン名として、
前記ドメイン名の文字解析を行う解析ステップと、
前記ドメイン名のドットで区切られた文字列をラベルとして、各ラベルがすべて1バイト文字で構成されていることを第1のアドレス判定条件として、すべてのラベルが前記第1のアドレス判定条件を満足するか否かを前記ラベル毎に判定する第1の判定ステップと、
各ラベルがすべて小文字若しくは大文字で構成されていることを第2のアドレス判定条件として、すべてのラベルが前記第2のアドレス判定条件を満足するか否かを前記ラベル毎に判定する第2の判定ステップと、
前記ドメイン名のいずれかのラベルが前記第1又は前記第2のアドレス判定条件を満足しないと判定した場合に、前記受信メールに含まれているアドレスを前記誘導アドレスと判定するステップと、を備えた、
ことを特徴とする誘導アドレス判定方法。
【請求項11】
情報資源へのアクセス先が、前記情報資源の正規の存在場所か否かを確認するアクセス先確認方法であって、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導するアドレスを誘導アドレスとして、前記誘導アドレスに関するデータを記憶する誘導アドレス記憶ステップと、
前記情報資源へのアクセスを要求するアクセス要求元から、前記情報資源へのアクセス先を示すアドレスを含むメッセージを受信するメッセージ受信ステップと、
前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスを検索する誘導アドレス検索ステップと、
前記検索の結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合に、前記誘導アドレスに関するデータを取得するデータ取得ステップと、
取得した前記誘導アドレスに関するデータを、前記アクセス要求元に送信するデータ送信ステップと、を備えた、
ことを特徴とするアクセス先確認方法。
【請求項12】
コンピュータに、
メールを受信する手順、
前記受信した受信メールを記憶する手順、
前記受信した受信メールに、ホストコンピュータに格納された情報資源の存在場所を指し示すアドレスが記述されている場合に、前記アドレスの文字解析を行い、前記アドレスが前記情報資源の正規の存在場所とは異なる偽装した場所に誘導する誘導アドレスの可能性があるか否かを判定する手順、
前記誘導アドレスの可能性ありと判定し、前記受信メールが、前記受信メールの送信先によって取得された場合に、前記誘導アドレスに関するデータを誘導アドレスデータベースに登録する手順、
を実行させるためのプログラム。
【請求項13】
コンピュータに、
情報資源へのアクセスを要求するアクセス要求元から、前記情報資源の存在場所を指し示すアドレスを含むメッセージを受信する手順、
前記情報資源の正規の存在場所とは異なる偽装した場所に誘導するアドレスを誘導アドレスとして、前記メッセージ受信部が前記ユーザ端末から前記メッセージを受信したときに、前記メッセージに含まれるアドレスに基づいて、前記誘導アドレスに関する誘導アドレスに関するデータが登録される誘導アドレスデータベースの内容を検索する手順、
前記誘導アドレスデータベースの内容を検索した結果、前記メッセージに含まれるアドレスと一致する前記誘導アドレスが存在する場合、一致する前記誘導アドレスに関するデータを、前記誘導アドレスデータベースから取得する手順、
取得した前記誘導アドレスに関するデータを、前記アクセス要求元に送信する手順、
を実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【公開番号】特開2007−25789(P2007−25789A)
【公開日】平成19年2月1日(2007.2.1)
【国際特許分類】
【出願番号】特願2005−203159(P2005−203159)
【出願日】平成17年7月12日(2005.7.12)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
【公開日】平成19年2月1日(2007.2.1)
【国際特許分類】
【出願日】平成17年7月12日(2005.7.12)
【出願人】(000102728)株式会社エヌ・ティ・ティ・データ (438)
【Fターム(参考)】
[ Back to top ]