偽造サイト検知方法およびコンピュータプログラム
【課題】 Webサイトが真正か偽造かを容易に検知するヒューリスティックな方法およびコンピュータプログラムを提供する。
【解決手段】 ユーザが閲覧要求をしたWebサイトが、真正のサイトであるか、真正のサイトを偽造したサイトであるかを検知するために、前記の閲覧要求をしたWebサイトに関する情報を取得し、この情報について、所定のチェック項目に該当するか否かを調べ、その結果を点数化し、この点数を、真正のサイトについての前記チェック項目の該当の有無を予め点数化した数値と比較し、前記閲覧要求をしたWebサイトが真正か偽造かを判定する。チェック項目としては、URL文字列関連の情報、Webコンテンツ関連の情報、サイトを管理するWebサーバ関連の情報に関するものがある。
【解決手段】 ユーザが閲覧要求をしたWebサイトが、真正のサイトであるか、真正のサイトを偽造したサイトであるかを検知するために、前記の閲覧要求をしたWebサイトに関する情報を取得し、この情報について、所定のチェック項目に該当するか否かを調べ、その結果を点数化し、この点数を、真正のサイトについての前記チェック項目の該当の有無を予め点数化した数値と比較し、前記閲覧要求をしたWebサイトが真正か偽造かを判定する。チェック項目としては、URL文字列関連の情報、Webコンテンツ関連の情報、サイトを管理するWebサーバ関連の情報に関するものがある。
【発明の詳細な説明】
【技術分野】
【0001】
Webサイトが真正か偽造かを容易に検知するヒューリスティックな方法およびコンピュータプログラムに関する。
【背景技術】
【0002】
インターネットの普及に伴い、ネットバンキングやオンラインショッピングが広く一般に浸透してきている。これらのメリットは、自宅に居ながらにして、24時間いつでも自分の都合のよいときに取引ができる点にある。多忙なビジネスマンや働く女性にとって高い利便性をもたらす。また、金融機関や小売業などにとっても、このようなITを活用した取引形態への傾斜を強めることは人件費削減等の経営面へのメリットが大である。
【発明の開示】
【発明が解決しようとする課題】
【0003】
ネットバンキングやオンラインショッピング等において、ユーザは、銀行やクレジット会社のWebサイトにアクセスをし、画面上の文字などのガイドに従って、クレジットカード番号や自己の個人情報を入力することが通常である。
しかし、このようなサイトに着目し、主として金銭的利益を目的として偽造サイトを作る新手の詐欺が社会問題となりつつある。
【0004】
このフィッシングと呼ばれる詐欺の手口はおおむね次のようなものである。
例えば取引銀行を装ったメールを送りつけ、偽造サイトへのアクセスを誘導する。本物の取引銀行であると信じたユーザは、誘導に従い偽造サイトへアクセスをしてしまう。フィッシング詐欺の巧妙なところは、その偽造サイトが本物そっくりのロゴなどを使用したり、WebブラウザのアドレスバーやステータスバーのURLを偽ったりしているため、当該取引銀行の真正のサイトであると信じ込ませてしまうところにある。すっかり信用したユーザは、クレジットカード番号等を入力し、詐欺犯に送信してしまう。後日、通帳の残高などが減っているのを見て、初めて詐欺の被害に遭ったことに気づくといったことは決して珍しいことではない。
【0005】
フィッシングは、偽造サイトを信用して被害に遭った一般ユーザはもちろん、自己のサイトを騙られた金融機関等にとっては自己の信用を失墜させかねず、早急な対策が必要である。そのため、例えば、ユーザと金融機関等がそれぞれ電子証明書を利用して相互に認証をする等の対応手段が、運用に供されるようになってきた。しかし、各ユーザに電子証明書を発行等するための経費は無視しえないものがある。また、ユーザによっては、証明書の利用の仕方が呑み込めず、インターネット上の取引の利用を断念するケースも考えられる。
ユーザにとって、容易に偽造サイトが見分けられるような手段があることが望まれる。
【0006】
また、フィッシングは違法に金銭的利益を得ようとする明確な意思を持つ者によって行われるので、手口は巧妙化する一方であり、証明書を確認したり、真正サイトのURLをブラウザのアドレスバーから入力したりするような注意深いユーザであっても、被害と無縁とは言いきれない。
偽造サイトが見つかったとしても、短期間で閉鎖し、別の場所に開設するといったことが繰り返されることも多い。
そのため、どのような偽造サイトが出現しても対応できるような、事前の対策が採られていることも望まれる。
【0007】
【特許文献1】特開2003−337797号公報
【特許文献2】特開2002−373080号公報
【0008】
たとえば特開2003−337797「Webサイト安全度認証システム、方法及びプログラム」においては、プロバイダ(ISP)のプログラムがサイト安全度調査を行い、データベースに安全度を格納し、ユーザーのブラウザに対してこの安全度の情報を知らせるシステムが提案されている。
また特開2002−373080「クライアント・サーバ・システム」においては、移動電話機にサーバからコンテンツをダウンロードするシステムにおいて、適正なゲームダウンロードファイル等を適正なサーバから受信したかどうかのセキュリティ・認証チェックを行うシステムが提案されている。
しかしながら、これらの技術は、、フィッシングの未知な手口にも対応しうるヒューリスティック(発見的)な偽造サイトを検知することはできない。
【0009】
このようなことから、本発明は、ユーザにとって分かりやすく、しかも、フィッシングの未知な手口にも対応しうるヒューリスティック(発見的)な偽造サイト検知方法の提案を目的とする。
【課題を解決するための手段】
【0010】
これらの目的を達成するために、本発明は、ユーザが閲覧要求をしたWebサイトが、真正のサイトであるか、真正のサイトを偽造したサイトであるかを検知する方法であって、
前記の閲覧要求をしたWebサイトに関する情報を取得し、この情報について、所定のチェック項目に該当するか否かを調べ、その結果を点数化する項目チェック段階と、
この点数を、真正のサイトについての前記チェック項目の該当の有無を予め点数化した数値である真正サイト基準値と比較し、前記閲覧要求をしたWebサイトが真正か偽造かを判定する真偽判定段階と、
を有することを特徴とする。
【0011】
本発明の前記Webサイトに関する情報は、URL文字列関連の情報、Webコンテンツ関連の情報、前記Webサイトを管理するWebサーバ関連の情報に分類することができる。
また、真正サイト基準値には、特定のWebサイトを対象として点数化したものでも、複数の真正のWebサイトについての平均的な数値でもよい。
さらに、点数化する場合、チェック項目に該当するならば、そのチェック項目に設定されているスコアを集計してもよい。
【0012】
さらに、前記の偽造サイト検知の機能を、コンピュータに実施させるためのコンピュータプログラムも本発明である。
【発明の効果】
【0013】
ヒューリスティックな手法なので、予め偽造サイトのURLリストなどを準備する必要がなく、短時日のうちに次々とサイトの閉鎖と開設を繰り返したり、新手の手口によるフィッシングサイトが出現したりしても対応可能である。
チェック項目や判定に用いる数値などを、運用にあわせて弾力的に設定することで、検知の精度を高めることができる。
【発明を実施するための最良の形態】
【0014】
図1に、本発明の実施形態のシステム構成例を示す。一般ユーザのパソコン1(以下「ユーザパソコン1」)はインターネットNを介して、各種の本物のサイトを提供するWebサーバ2(以下「真正サイトサーバ2」)と接続している。一方、クレジット番号等の個人情報を詐取する目的等で本物サイトを偽造したサイトを用意したWebサーバ3(以下「偽造サイトサーバ3」)もインターネットNに接続している。
なお、図1には、ユーザパソコン1、真正サイトサーバ2および偽造サイトサーバ3は、いずれも1台しか描かれていないが、それぞれ任意台数がインターネットNに接続している。
【0015】
ユーザパソコン1には、Webページを閲覧するためのソフトウェア4(以下「Webブラウザ4」)が実装されている。このWebブラウザ4と連動して本発明の偽造サイト検知方法を実施するクライアント側検知処理部5が実装されている。
クライアント側検知処理部5は、主として偽造サイトを検知するための一連の手順を記述したコンピュータプログラムの各命令コードを図示しないCPUが実行することで実現される。ただし、その機能の一部をハードウェアで実現してもかまわない。
このコンピュータプログラムは、CD−ROMなどで入手してもよく、ユーザパソコンの工場出荷時にインストール済みであってもよい。あるいは、インターネットNに接続した偽造サイト検知用管理サーバ6から、ダウンロードしてもよい。
【0016】
本発明の方法は、ユーザパソコン1にインストールした単体のソフトウェアで実現してもよいが、ユーザパソコン1にインストールされたクライアント側ソフト(クライアント側検知処理部5を実現するソフト)が、インターネットNを介して接続する管理サーバ6と連携して実現してもよい。
なお、管理サーバ6は、この偽造サイト検知用プログラムの更新を管理したり、真正サイトに関する最新の情報を取得し、スコアを集計したりする。
ただし、図1の構成は、本発明の実施の一例にすぎず、ヒューリスティックな方法によって偽造サイトを検知し、Webブラウザ4に通知できる態様であれば、ソフトウェアの構成はどのようなものであっても差し支えない。
【0017】
本発明の検知方法は、予めチェック項目を定めておき、各項目に該当するか否かを点数で表し、この点数を真正サイト基準値と偽造サイトとで比較し、この点数の差が所定の閾値を超えているか否か、あるいは、閾値を超えている項目の個数等によって真偽を判定するものである。
具体的なチェック項目としては、図2に列挙するようなものが考えられる。これらは、偽造サイトに多くみられる項目である。
ただし、図2に挙げたチェック項目に限るものではなく、フィッシングの手口の進化等を考慮して、更新されうる。例えば、本実施形態によって検知された偽造サイトの特徴を精査して、その結果によって新たなチェック項目を追加することもある。
チェック項目は、Webサーバ関連の情報、URL文字列関連の情報、Webページの内容(コンテンツ)関連の情報等に関するカテゴリに分類される。
【0018】
なお、ここで、図2の表に列挙した各項目について、説明する。
サイトを管理するWebサーバに関連する項目NO.1〜3は、Webサーバに関して得られる情報の中で、サイトの真偽判定の手掛かりとなりうる項目である。
項目NO.1の「Webサーバが国外に設置されている」をチェック対象としたのは、フィッシング詐欺のサイトは、国外のWebサーバを利用することが多いためである。アクセスしたページの言語などから割り出した国名と,アクセス先URLのドメイン名から得られる国名を比較する。例えば、Webサーバが日本国外に設置されている場合は、URLに日本国を表記するJP以外の国名表記がされていることから判断しうる。
項目NO.2の「DNS悪用の可能性がある」とは、DNSサーバに虚偽の登録をし、利用者が正規のURLを入力しても偽サイトに接続してしまう手口が多いためである。例えば、ローカルのDNSサーバのように作用するhostsファイルに虚偽の登録をしている場合は、DNSサーバにIPアドレスを問い合わせても、DNSサーバが返す正規のIPアドレスと偽造サイトのIPアドレスとは一致しないことが普通である。このように、DNSサーバに問い合わせることによって、この項目に該当するか否かを判断しうる。
項目NO.3の「サーバが複数」とは、例えば、ロゴマークなどは本物を使うことがあるので、サイトのトップ画面のURLとロゴマークのイメージファイルのURLとは異なる、つまり、サイトを管理するWebサーバが複数あることが多いので、チェックを必要とするのである。
【0019】
URL文字列に関連する項目NO.4〜9は、偽造サイトのURLとして、しばしば見受けられるものを、チェック対象とするものである。例えば、NO.8は、URL中にスクリプトを記載することは、Webブラウザなどの脆弱性を悪用する意図で行われることが多いので、チェック項目に含めたのである。
URL文字列中に、注意が必要な文字(数字や記号も含む)や文字列が含まれるかどうかを調べることで、これらの項目に該当するか否かを判断できる。
【0020】
Webコンテンツに関連する項目NO.10〜13は、偽造サイトのHTML文書において、しばしば見受けられるスクリプトをチェック対象とするものである。例えば、NO.13は、真正サイトを改ざんし、ポップアップウィンドウを表示させるようにし、このウィンドウから個人情報を入力させたりする手口が見られるようになってきたからである。
HTML文書中に、注意が必要な文字(数字や記号も含む)や文字列が含まれるかどうかを調べることで、これらの項目に該当するか否かを判断しうる。
【0021】
なお、チェック項目として図2に示したNO.1〜13は一例にすぎず、新手のフィッシングの手口が確認された場合などに、別の項目を設定することができる。
また、各項目に該当する場合のスコアを、あらかじめ設定するが、このスコアとして、偽造の可能性を強く示唆するような項目には大きい点数を与えてもよい。
要は、フィッシングの手口の観察等を通して、チェック項目を追加したり、削除したり、チェック項目に該当するときのスコアの増減をしていけばよい。
つまり、偽造サイトのURLの一覧との照合のような固定的なパターンマッチングでは対応できない新規かつライフサイクルの短い偽造サイトであっても、本発明のようなヒューリスティックな方法であれば対応しうるのである。
【0022】
次に、本実施形態の検知処理の流れを、クライアント側検知処理部5の動作を主体として説明する。
予め真正サイトについて、前記したチェック項目のそれぞれについて該当の有無をチェックし、基準となる点数(以下「基準値」)を求めておく。なお、真正サイトに関する基準値は、管理サーバ6が一手に取得し、これを、ユーザパソコン1に通知するようにしてもかまわない。
【0023】
基準値については、オンラインショッピングなどの種々のサイトについて、個別に点数化し、それを個々のサイトに固有の基準値としてもよい。あるいは、これらの複数の真正サイトについての点数を平均化し、それを各サイトに共通の基準値としてもよい。
なお、同一の真正サイトであっても、更新されることが一般的なので、適宜この基準値を更新することが望ましい。
【0024】
図示しない入力部等を介して、Webサイトの閲覧要求があると、Webブラウザ4は、インターネットNを介して、WebサーバにWebページを記述したHTML文書の送信を要求する。ユーザは、真正サイトサーバ2に閲覧要求をしたつもりであっても、偽造サイトへ誘導するメールに記載されたURLをクリックした場合などでは、偽造サイトサーバ3へ閲覧要求をしてしまう。偽造サイトサーバ3から送信されたHTML文書を、Webブラウザ4がそのまま画面表示すると、ユーザはフィッシング詐欺の被害に遭いかねない。
これを防止するために、本実施形態では、Webサーバから送信されたHTML文書をWebブラウザ4が表示する前に、クライアント側検知処理部5でサイトの真偽を判定する。
【0025】
クライアント側検知処理部5は、図2に例示したようなチェック項目のそれぞれについて該当するか否かを調べる。該当するならば、予め設定されているスコアが付与される。
このスコアと、予め記憶してあった真正サイトの基準値とを比較し、両者の差が評価の対象となる。この差が、予め定めた閾値を超えた場合は、疑わしいサイトであると判定し、その旨をWebブラウザ4に通知する。
比較されるスコアおよび基準値として、全チェック項目についての合計値を採用し、この差が閾値を超えているか否かで判定すればよい。が、チェック項目の属するカテゴリ毎の小計、あるいはチェック項目毎の値について、それぞれの差をもとめ、それらの差の値を閾値と比較し、閾値を超えているものの個数によって判定しても差し支えない。
判定の具体的な方法は、運用状況に応じて弾力的にすればよい。また、判定に利用する閾値も、運用の過程で弾力的に更新すればよい。
【0026】
偽造が疑われるサイトと評価された場合は、Webブラウザ4に通知したり、図示しない画面に警告メッセージを表示したりするだけではなく、例えば、そのIPアドレスなどを管理サーバ6に通知してもよい。通知を受けた管理サーバ6は、当該偽造サイトを精査し、それに基づいて、既存のチェック項目の改廃、スコアや閾値の変更に反映させることができる。
【0027】
なお、前記のように開示された実施の形態はすべての点で例示であって、制限的なものではない。したがって、種々の変形が可能である。しかし、その変形が特許請求の範囲に記載された技術思想に基づくものである限り、その変形は本発明の技術的範囲に含まれる。
【産業上の利用可能性】
【0028】
ヒューリスティックな手法なので、予め偽造サイトのURLリストなどを準備する必要がなく、短時日のうちに次々とサイトの閉鎖と開設を繰り返したり、新手の手口によるフィッシングサイトが出現したりしても対応可能である。
チェック項目や判定に用いる数値などを、運用にあわせて弾力的に設定することで、検知の精度を高めることができる。
【図面の簡単な説明】
【0029】
【図1】本実施形態のシステム構成例を示す図である。
【図2】本実施形態のチェック項目例を示す表である。
【符号の説明】
【0030】
1 一般ユーザのパソコン
2 真正サイトのWebサーバ
3 偽造サイトのWebサーバ
4 Webブラウザ
5 クライアント側検知処理部
6 管理サーバ
N インターネット
【技術分野】
【0001】
Webサイトが真正か偽造かを容易に検知するヒューリスティックな方法およびコンピュータプログラムに関する。
【背景技術】
【0002】
インターネットの普及に伴い、ネットバンキングやオンラインショッピングが広く一般に浸透してきている。これらのメリットは、自宅に居ながらにして、24時間いつでも自分の都合のよいときに取引ができる点にある。多忙なビジネスマンや働く女性にとって高い利便性をもたらす。また、金融機関や小売業などにとっても、このようなITを活用した取引形態への傾斜を強めることは人件費削減等の経営面へのメリットが大である。
【発明の開示】
【発明が解決しようとする課題】
【0003】
ネットバンキングやオンラインショッピング等において、ユーザは、銀行やクレジット会社のWebサイトにアクセスをし、画面上の文字などのガイドに従って、クレジットカード番号や自己の個人情報を入力することが通常である。
しかし、このようなサイトに着目し、主として金銭的利益を目的として偽造サイトを作る新手の詐欺が社会問題となりつつある。
【0004】
このフィッシングと呼ばれる詐欺の手口はおおむね次のようなものである。
例えば取引銀行を装ったメールを送りつけ、偽造サイトへのアクセスを誘導する。本物の取引銀行であると信じたユーザは、誘導に従い偽造サイトへアクセスをしてしまう。フィッシング詐欺の巧妙なところは、その偽造サイトが本物そっくりのロゴなどを使用したり、WebブラウザのアドレスバーやステータスバーのURLを偽ったりしているため、当該取引銀行の真正のサイトであると信じ込ませてしまうところにある。すっかり信用したユーザは、クレジットカード番号等を入力し、詐欺犯に送信してしまう。後日、通帳の残高などが減っているのを見て、初めて詐欺の被害に遭ったことに気づくといったことは決して珍しいことではない。
【0005】
フィッシングは、偽造サイトを信用して被害に遭った一般ユーザはもちろん、自己のサイトを騙られた金融機関等にとっては自己の信用を失墜させかねず、早急な対策が必要である。そのため、例えば、ユーザと金融機関等がそれぞれ電子証明書を利用して相互に認証をする等の対応手段が、運用に供されるようになってきた。しかし、各ユーザに電子証明書を発行等するための経費は無視しえないものがある。また、ユーザによっては、証明書の利用の仕方が呑み込めず、インターネット上の取引の利用を断念するケースも考えられる。
ユーザにとって、容易に偽造サイトが見分けられるような手段があることが望まれる。
【0006】
また、フィッシングは違法に金銭的利益を得ようとする明確な意思を持つ者によって行われるので、手口は巧妙化する一方であり、証明書を確認したり、真正サイトのURLをブラウザのアドレスバーから入力したりするような注意深いユーザであっても、被害と無縁とは言いきれない。
偽造サイトが見つかったとしても、短期間で閉鎖し、別の場所に開設するといったことが繰り返されることも多い。
そのため、どのような偽造サイトが出現しても対応できるような、事前の対策が採られていることも望まれる。
【0007】
【特許文献1】特開2003−337797号公報
【特許文献2】特開2002−373080号公報
【0008】
たとえば特開2003−337797「Webサイト安全度認証システム、方法及びプログラム」においては、プロバイダ(ISP)のプログラムがサイト安全度調査を行い、データベースに安全度を格納し、ユーザーのブラウザに対してこの安全度の情報を知らせるシステムが提案されている。
また特開2002−373080「クライアント・サーバ・システム」においては、移動電話機にサーバからコンテンツをダウンロードするシステムにおいて、適正なゲームダウンロードファイル等を適正なサーバから受信したかどうかのセキュリティ・認証チェックを行うシステムが提案されている。
しかしながら、これらの技術は、、フィッシングの未知な手口にも対応しうるヒューリスティック(発見的)な偽造サイトを検知することはできない。
【0009】
このようなことから、本発明は、ユーザにとって分かりやすく、しかも、フィッシングの未知な手口にも対応しうるヒューリスティック(発見的)な偽造サイト検知方法の提案を目的とする。
【課題を解決するための手段】
【0010】
これらの目的を達成するために、本発明は、ユーザが閲覧要求をしたWebサイトが、真正のサイトであるか、真正のサイトを偽造したサイトであるかを検知する方法であって、
前記の閲覧要求をしたWebサイトに関する情報を取得し、この情報について、所定のチェック項目に該当するか否かを調べ、その結果を点数化する項目チェック段階と、
この点数を、真正のサイトについての前記チェック項目の該当の有無を予め点数化した数値である真正サイト基準値と比較し、前記閲覧要求をしたWebサイトが真正か偽造かを判定する真偽判定段階と、
を有することを特徴とする。
【0011】
本発明の前記Webサイトに関する情報は、URL文字列関連の情報、Webコンテンツ関連の情報、前記Webサイトを管理するWebサーバ関連の情報に分類することができる。
また、真正サイト基準値には、特定のWebサイトを対象として点数化したものでも、複数の真正のWebサイトについての平均的な数値でもよい。
さらに、点数化する場合、チェック項目に該当するならば、そのチェック項目に設定されているスコアを集計してもよい。
【0012】
さらに、前記の偽造サイト検知の機能を、コンピュータに実施させるためのコンピュータプログラムも本発明である。
【発明の効果】
【0013】
ヒューリスティックな手法なので、予め偽造サイトのURLリストなどを準備する必要がなく、短時日のうちに次々とサイトの閉鎖と開設を繰り返したり、新手の手口によるフィッシングサイトが出現したりしても対応可能である。
チェック項目や判定に用いる数値などを、運用にあわせて弾力的に設定することで、検知の精度を高めることができる。
【発明を実施するための最良の形態】
【0014】
図1に、本発明の実施形態のシステム構成例を示す。一般ユーザのパソコン1(以下「ユーザパソコン1」)はインターネットNを介して、各種の本物のサイトを提供するWebサーバ2(以下「真正サイトサーバ2」)と接続している。一方、クレジット番号等の個人情報を詐取する目的等で本物サイトを偽造したサイトを用意したWebサーバ3(以下「偽造サイトサーバ3」)もインターネットNに接続している。
なお、図1には、ユーザパソコン1、真正サイトサーバ2および偽造サイトサーバ3は、いずれも1台しか描かれていないが、それぞれ任意台数がインターネットNに接続している。
【0015】
ユーザパソコン1には、Webページを閲覧するためのソフトウェア4(以下「Webブラウザ4」)が実装されている。このWebブラウザ4と連動して本発明の偽造サイト検知方法を実施するクライアント側検知処理部5が実装されている。
クライアント側検知処理部5は、主として偽造サイトを検知するための一連の手順を記述したコンピュータプログラムの各命令コードを図示しないCPUが実行することで実現される。ただし、その機能の一部をハードウェアで実現してもかまわない。
このコンピュータプログラムは、CD−ROMなどで入手してもよく、ユーザパソコンの工場出荷時にインストール済みであってもよい。あるいは、インターネットNに接続した偽造サイト検知用管理サーバ6から、ダウンロードしてもよい。
【0016】
本発明の方法は、ユーザパソコン1にインストールした単体のソフトウェアで実現してもよいが、ユーザパソコン1にインストールされたクライアント側ソフト(クライアント側検知処理部5を実現するソフト)が、インターネットNを介して接続する管理サーバ6と連携して実現してもよい。
なお、管理サーバ6は、この偽造サイト検知用プログラムの更新を管理したり、真正サイトに関する最新の情報を取得し、スコアを集計したりする。
ただし、図1の構成は、本発明の実施の一例にすぎず、ヒューリスティックな方法によって偽造サイトを検知し、Webブラウザ4に通知できる態様であれば、ソフトウェアの構成はどのようなものであっても差し支えない。
【0017】
本発明の検知方法は、予めチェック項目を定めておき、各項目に該当するか否かを点数で表し、この点数を真正サイト基準値と偽造サイトとで比較し、この点数の差が所定の閾値を超えているか否か、あるいは、閾値を超えている項目の個数等によって真偽を判定するものである。
具体的なチェック項目としては、図2に列挙するようなものが考えられる。これらは、偽造サイトに多くみられる項目である。
ただし、図2に挙げたチェック項目に限るものではなく、フィッシングの手口の進化等を考慮して、更新されうる。例えば、本実施形態によって検知された偽造サイトの特徴を精査して、その結果によって新たなチェック項目を追加することもある。
チェック項目は、Webサーバ関連の情報、URL文字列関連の情報、Webページの内容(コンテンツ)関連の情報等に関するカテゴリに分類される。
【0018】
なお、ここで、図2の表に列挙した各項目について、説明する。
サイトを管理するWebサーバに関連する項目NO.1〜3は、Webサーバに関して得られる情報の中で、サイトの真偽判定の手掛かりとなりうる項目である。
項目NO.1の「Webサーバが国外に設置されている」をチェック対象としたのは、フィッシング詐欺のサイトは、国外のWebサーバを利用することが多いためである。アクセスしたページの言語などから割り出した国名と,アクセス先URLのドメイン名から得られる国名を比較する。例えば、Webサーバが日本国外に設置されている場合は、URLに日本国を表記するJP以外の国名表記がされていることから判断しうる。
項目NO.2の「DNS悪用の可能性がある」とは、DNSサーバに虚偽の登録をし、利用者が正規のURLを入力しても偽サイトに接続してしまう手口が多いためである。例えば、ローカルのDNSサーバのように作用するhostsファイルに虚偽の登録をしている場合は、DNSサーバにIPアドレスを問い合わせても、DNSサーバが返す正規のIPアドレスと偽造サイトのIPアドレスとは一致しないことが普通である。このように、DNSサーバに問い合わせることによって、この項目に該当するか否かを判断しうる。
項目NO.3の「サーバが複数」とは、例えば、ロゴマークなどは本物を使うことがあるので、サイトのトップ画面のURLとロゴマークのイメージファイルのURLとは異なる、つまり、サイトを管理するWebサーバが複数あることが多いので、チェックを必要とするのである。
【0019】
URL文字列に関連する項目NO.4〜9は、偽造サイトのURLとして、しばしば見受けられるものを、チェック対象とするものである。例えば、NO.8は、URL中にスクリプトを記載することは、Webブラウザなどの脆弱性を悪用する意図で行われることが多いので、チェック項目に含めたのである。
URL文字列中に、注意が必要な文字(数字や記号も含む)や文字列が含まれるかどうかを調べることで、これらの項目に該当するか否かを判断できる。
【0020】
Webコンテンツに関連する項目NO.10〜13は、偽造サイトのHTML文書において、しばしば見受けられるスクリプトをチェック対象とするものである。例えば、NO.13は、真正サイトを改ざんし、ポップアップウィンドウを表示させるようにし、このウィンドウから個人情報を入力させたりする手口が見られるようになってきたからである。
HTML文書中に、注意が必要な文字(数字や記号も含む)や文字列が含まれるかどうかを調べることで、これらの項目に該当するか否かを判断しうる。
【0021】
なお、チェック項目として図2に示したNO.1〜13は一例にすぎず、新手のフィッシングの手口が確認された場合などに、別の項目を設定することができる。
また、各項目に該当する場合のスコアを、あらかじめ設定するが、このスコアとして、偽造の可能性を強く示唆するような項目には大きい点数を与えてもよい。
要は、フィッシングの手口の観察等を通して、チェック項目を追加したり、削除したり、チェック項目に該当するときのスコアの増減をしていけばよい。
つまり、偽造サイトのURLの一覧との照合のような固定的なパターンマッチングでは対応できない新規かつライフサイクルの短い偽造サイトであっても、本発明のようなヒューリスティックな方法であれば対応しうるのである。
【0022】
次に、本実施形態の検知処理の流れを、クライアント側検知処理部5の動作を主体として説明する。
予め真正サイトについて、前記したチェック項目のそれぞれについて該当の有無をチェックし、基準となる点数(以下「基準値」)を求めておく。なお、真正サイトに関する基準値は、管理サーバ6が一手に取得し、これを、ユーザパソコン1に通知するようにしてもかまわない。
【0023】
基準値については、オンラインショッピングなどの種々のサイトについて、個別に点数化し、それを個々のサイトに固有の基準値としてもよい。あるいは、これらの複数の真正サイトについての点数を平均化し、それを各サイトに共通の基準値としてもよい。
なお、同一の真正サイトであっても、更新されることが一般的なので、適宜この基準値を更新することが望ましい。
【0024】
図示しない入力部等を介して、Webサイトの閲覧要求があると、Webブラウザ4は、インターネットNを介して、WebサーバにWebページを記述したHTML文書の送信を要求する。ユーザは、真正サイトサーバ2に閲覧要求をしたつもりであっても、偽造サイトへ誘導するメールに記載されたURLをクリックした場合などでは、偽造サイトサーバ3へ閲覧要求をしてしまう。偽造サイトサーバ3から送信されたHTML文書を、Webブラウザ4がそのまま画面表示すると、ユーザはフィッシング詐欺の被害に遭いかねない。
これを防止するために、本実施形態では、Webサーバから送信されたHTML文書をWebブラウザ4が表示する前に、クライアント側検知処理部5でサイトの真偽を判定する。
【0025】
クライアント側検知処理部5は、図2に例示したようなチェック項目のそれぞれについて該当するか否かを調べる。該当するならば、予め設定されているスコアが付与される。
このスコアと、予め記憶してあった真正サイトの基準値とを比較し、両者の差が評価の対象となる。この差が、予め定めた閾値を超えた場合は、疑わしいサイトであると判定し、その旨をWebブラウザ4に通知する。
比較されるスコアおよび基準値として、全チェック項目についての合計値を採用し、この差が閾値を超えているか否かで判定すればよい。が、チェック項目の属するカテゴリ毎の小計、あるいはチェック項目毎の値について、それぞれの差をもとめ、それらの差の値を閾値と比較し、閾値を超えているものの個数によって判定しても差し支えない。
判定の具体的な方法は、運用状況に応じて弾力的にすればよい。また、判定に利用する閾値も、運用の過程で弾力的に更新すればよい。
【0026】
偽造が疑われるサイトと評価された場合は、Webブラウザ4に通知したり、図示しない画面に警告メッセージを表示したりするだけではなく、例えば、そのIPアドレスなどを管理サーバ6に通知してもよい。通知を受けた管理サーバ6は、当該偽造サイトを精査し、それに基づいて、既存のチェック項目の改廃、スコアや閾値の変更に反映させることができる。
【0027】
なお、前記のように開示された実施の形態はすべての点で例示であって、制限的なものではない。したがって、種々の変形が可能である。しかし、その変形が特許請求の範囲に記載された技術思想に基づくものである限り、その変形は本発明の技術的範囲に含まれる。
【産業上の利用可能性】
【0028】
ヒューリスティックな手法なので、予め偽造サイトのURLリストなどを準備する必要がなく、短時日のうちに次々とサイトの閉鎖と開設を繰り返したり、新手の手口によるフィッシングサイトが出現したりしても対応可能である。
チェック項目や判定に用いる数値などを、運用にあわせて弾力的に設定することで、検知の精度を高めることができる。
【図面の簡単な説明】
【0029】
【図1】本実施形態のシステム構成例を示す図である。
【図2】本実施形態のチェック項目例を示す表である。
【符号の説明】
【0030】
1 一般ユーザのパソコン
2 真正サイトのWebサーバ
3 偽造サイトのWebサーバ
4 Webブラウザ
5 クライアント側検知処理部
6 管理サーバ
N インターネット
【特許請求の範囲】
【請求項1】
ユーザが閲覧要求をしたWebサイトが、真正のサイトであるか、真正のサイトを偽造したサイトであるかを検知する方法であって、
前記の閲覧要求をしたWebサイトに関する情報を取得し、この情報について、所定のチェック項目に該当するか否かを調べ、その結果を点数化する項目チェック段階と、
この点数を、真正のサイトについての前記チェック項目の該当の有無を予め点数化した数値である真正サイト基準値と比較し、前記閲覧要求をしたWebサイトが真正か偽造かを判定する真偽判定段階と、
を有することを特徴とする偽造サイト検知方法。
【請求項2】
前記Webサイトに関する情報には、
URL文字列関連の情報、Webコンテンツ関連の情報、前記Webサイトを管理するWebサーバ関連の情報が含まれることを特徴とする、請求項1に記載の偽造サイト検知方法。
【請求項3】
真正サイト基準値には、
特定のWebサイトを対象として点数化したもの、複数の真正のWebサイトについての平均的な数値の双方を含むことを特徴とする、請求項1に記載の偽造サイト検知方法。
【請求項4】
チェック項目に該当する場合、そのチェック項目に設定されているスコアを集計して点数化することを特徴とする、請求項1に記載の偽造サイト検知方法。
【請求項5】
ユーザが閲覧要求をしたWebサイトが、真正のサイトであるか、真正のサイトを偽造したサイトであるかを検知するために、
前記の閲覧要求をしたWebサイトに関する情報を取得し、この情報について、所定のチェック項目に該当するか否かを調べ、その結果を点数化する項目チェック手順と、
この点数を、真正サイト基準値と比較し、前記閲覧要求をしたWebサイトが真正か偽造かを判定する真偽判定手順と、
をコンピュータに実施させるためのコンピュータプログラム。
【請求項1】
ユーザが閲覧要求をしたWebサイトが、真正のサイトであるか、真正のサイトを偽造したサイトであるかを検知する方法であって、
前記の閲覧要求をしたWebサイトに関する情報を取得し、この情報について、所定のチェック項目に該当するか否かを調べ、その結果を点数化する項目チェック段階と、
この点数を、真正のサイトについての前記チェック項目の該当の有無を予め点数化した数値である真正サイト基準値と比較し、前記閲覧要求をしたWebサイトが真正か偽造かを判定する真偽判定段階と、
を有することを特徴とする偽造サイト検知方法。
【請求項2】
前記Webサイトに関する情報には、
URL文字列関連の情報、Webコンテンツ関連の情報、前記Webサイトを管理するWebサーバ関連の情報が含まれることを特徴とする、請求項1に記載の偽造サイト検知方法。
【請求項3】
真正サイト基準値には、
特定のWebサイトを対象として点数化したもの、複数の真正のWebサイトについての平均的な数値の双方を含むことを特徴とする、請求項1に記載の偽造サイト検知方法。
【請求項4】
チェック項目に該当する場合、そのチェック項目に設定されているスコアを集計して点数化することを特徴とする、請求項1に記載の偽造サイト検知方法。
【請求項5】
ユーザが閲覧要求をしたWebサイトが、真正のサイトであるか、真正のサイトを偽造したサイトであるかを検知するために、
前記の閲覧要求をしたWebサイトに関する情報を取得し、この情報について、所定のチェック項目に該当するか否かを調べ、その結果を点数化する項目チェック手順と、
この点数を、真正サイト基準値と比較し、前記閲覧要求をしたWebサイトが真正か偽造かを判定する真偽判定手順と、
をコンピュータに実施させるためのコンピュータプログラム。
【図1】
【図2】
【図2】
【公開番号】特開2007−233904(P2007−233904A)
【公開日】平成19年9月13日(2007.9.13)
【国際特許分類】
【出願番号】特願2006−57366(P2006−57366)
【出願日】平成18年3月3日(2006.3.3)
【出願人】(504377367)株式会社セキュアブレイン (6)
【Fターム(参考)】
【公開日】平成19年9月13日(2007.9.13)
【国際特許分類】
【出願日】平成18年3月3日(2006.3.3)
【出願人】(504377367)株式会社セキュアブレイン (6)
【Fターム(参考)】
[ Back to top ]