電子メッセージにおける疑わしい、欺瞞の、および危険なリンクを検出する方法および装置
メッセージの受信者を欺くことを意図したリンクの特徴を解析する装置および方法が記載されている。解析は、受信クライアント、中間のサーバ、または他の地点において採用され、合法の内容を阻止することなく、ユーザを不正行為から保護するのを助けることができる。例えば、この解析を使用して、このようなリンクにしたがうことを試みているユーザに警告することができる。この解析を使用して、ディスプレイ上で指摘するようにリンクにマークを付すこともできる。この解析は、スパムスコアリングアルゴリズムへの入力として使用されることもできる。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の記述
本出願は、2004年6月10日に出願され、“Method And Apparatus For Detection of Suspicious, Deceptive, Dangerous Links in Electronic Messages”という発明の名称をもつ、前に出願された米国仮特許出願第60/579,023号に対して優先権を主張している。
【0002】
本発明は、概ね、電子メッセージング、より具体的には、電子メッセージングに関連して使用される不正行為防止機構に関する。
【背景技術】
【0003】
電子メッセージングが人気を得てきているので、ある特定のタイプのメッセージに基づく攻撃が益々一般的になってきている。1つのこのような攻撃は、攻撃者が、メッセージの受信者を、ウェブサイトのようなURLを訪問する、すなわち、メッセージの受信者がメッセージによって信じることになることとは現実には異なることをするように騙すメッセージを送ることによって、メッセージの受信者を欺くことを試みるときに起きる。
【0004】
例えば、攻撃者は、CitiBank、Amazon、EBay、等のような、既成の企業から来ているように見える電子メールを送り得る。電子メールは、通常、受信者がウェブサイトを訪問して、口座情報、すなわち最近の疑わしい課金を確認し、取引を確認または取り消し、情報を更新するべきである、またはそうしなければならないと受信者を信じさせることを意図した言いまわしもつ。さらに加えて、電子メールにおけるリンクは、既成の企業のウェブサイトと関係付けられているか、またはそこへ行くように見える。攻撃者はこのメッセージを送って、受信者が既成のエンティティの合法のウェブサイトへ連れて行かれることになると信じて、受信者がリンクをアクティブにするように欺く。事実、リンクは受信者を、既成の企業の合法のウェブサイトに混乱させるように似て見えるように作成られた、攻撃者の制御のもとにある非合法のウェブサイトへ連れて行くことになる。非合法のウェブサイトは、一般に、既成の企業によって操作されている実際のウェブサイトと区別するのが非常に困難である。その結果、受信者は、口座番号、パスワード、クレジットカード番号、または攻撃者にとって有益な他の情報のような、慎重に扱われるべき(sensitive)情報、または個人情報、あるいはこの両者を明かすように騙され得る。この実行は、“フィッシング(phishing)”として知られており、これは、予想され得るよりも、より成功することが多い。
【0005】
このような攻撃と戦うために今日採用されている解決案は、とりわけ、既知のストリング、既知のホスト、または他のパターンを探すスパムフィルタ;ローカルドメイン名サーバ(Domain Name Server, DNS)のサーバを変更し、リンクされたウェブサイトを訪問する試みを、通信事業者またはインターネットサービスプロバイダによって維持されているサイトへ転送すること;および単に、ユーザを教育し、用心させることを含む。
【発明の開示】
【発明が解決しようとする課題】
【0006】
これらの進歩にもかかわらず、潜在的に危険な、誤認させる、または、そうでなければ疑わしいリンクを識別する技術が、当技術において依然として必要とされている。
【課題を解決するための手段】
【0007】
本明細書に開示されている実施形態は、潜在的に危険な、誤認させる、または、そうでなければ疑わしいリンクを識別するために、メッセージを解析する技術を与えることによって、上述の必要に対処している。1つの態様では、本発明は、サーバまたはクライアントの何れかにおいて行われ得る方法であって、電子メッセージを受信するステップと、メッセージが少なくとも1つのリンクを含んでいるかどうかを判断するステップと、そうであるときは、リンクを検査して、リンクが、リンクが非合法であることを示唆する特徴を含んでいるかどうかを判断するステップとを含む方法を構想している。方法は、リンクがその特徴を含んでいるときは、リンクが非合法であり得るという警告を含むように、メッセージを修正するステップか、メッセージが、非合法であり得るリンクを含んでいるという警告を提示するステップか、受信者がリンクにしたがうことを試みるときに警告を提示するステップか、これをスパム スコアリング アルゴリズム(spam-scoring algorism)への入力として使用するステップか、またはこれらの何れかまたは全ての組合せをさらに含む。さらに加えて、方法は、コンピュータ読み出し可能媒体上でコード化されるコンピュータ実行可能命令として具体化され得る。
【0008】
別の態様では、本発明は、電子メッセージを解析する装置であって、永続的な記憶のためのコンピュータ実行可能命令が記憶されるコンピュータ読み出し可能媒体と、実行のためのコンピュータ実行可能命令があるコンピュータメモリと、コンピュータ読み出し可能媒体およびコンピュータメモリにシステムバスで結合されたプロセッサとを含む装置を構想している。プロセッサは、コンピュータ実行可能命令を実行して、電子メッセージを受信し、メッセージが少なくとも1つのリンクを含んでいるかどうかを判断し、そうであるときは、1つまたは複数のリンクの要素を検査して、リンクが、リンクが非合法なリンクであることを示唆する特徴を含んでいるかどうかを判断するように動作する。リンクが特徴を含んでいるときは、プロセッサは、メッセージが、非合法であり得るリンクを含んでいるという警告を提示するようにも構成されている。それは、スパム スコアリング アルゴリズムにおける入力としてこれを使用するようにも構成され得る。
【発明を実施するための最良の形態】
【0009】
“例示的”という用語は、本明細書において“例、事例、または実例としての役割を果たす”ことを意味するために使用されている。本明細書に“例示的”と記載されている実施形態は、他の実施形態よりも好ましいまたは好都合であると、必ずしも解釈されると限らず、むしろ、単に、実施形態の一例であると解釈される。
【0010】
本明細書に開示されている実施形態は、潜在的に危険な、誤認させる、または、そうでなければ疑わしいリンクを識別するために、サーバ、クライアント、または他のエンティティにおいてメッセージを解析する技術を与える。この文書の目的のために、次の用語は、本明細書においてそれらに帰する意味をもつ。
【0011】
“電子メッセージ(electronic message)”は、遠隔または送信側デバイスから、ローカルまたは受信側デバイスへの任意の形式における任意の電子通信を意味する。電子メッセージは、電子メールメッセージ、移動電子メールメッセージ、マルチメディア メッセージング サービス(Multimedia Messaging Service, “MMS”)メッセージ、ショート メッセージング サービス(Short Messaging Service, “SMS”)メッセージ、インスタント メッセージング(Instant Messaging, “IM”)メッセージ、等を含むが、これらに制限されない。
【0012】
“リンク(link)”は、広域ネットワーク上における内容(content)へのハイパーリンクを意味する。ハイパーリンクは、ハイパーリンクを認識しているアプリケーション(hyperlink-aware application)を、ハイパーリンクにおいて指定されているネットワークの位置へ導く少なくともコードまたは第1の構成要素を含む。さらに加えて、ハイパーリンクは、位置の代わりに表示される、ある英数字の内容を定義する第2の構成要素を含み得る。
【0013】
“非合法のリンク(illegitimate link)”は、広域ネットワーク上に実際の位置をもっている遠隔のデバイスの内容へのリンクを意味し、実際の位置は、リンクの少なくとも1つの特徴によって示唆されている別の位置と異なり、またはこれは、リンクの実際の位置を不明瞭にする役割を果たす。
【0014】
図1は、電子メッセージ180を受信するサーバ110と、遠隔のデバイス150とを含むメッセージング環境を示している機能ブロック図である。遠隔のデバイス150は、例えば、デスクトップコンピュータ、ラップトップコンピュータ、セル電話、PDAであり得る。サーバ110は、ワイヤレスまたはワイヤードであり得る通信リンク175によって、遠隔のデバイス150と通信する。無線であり得るか、メッセージングサーバ110は、メッセージングシステム115を含む。遠隔のデバイス150は、メッセージングクライアント160を含む。
【0015】
本発明にしたがうと、解析は、遠隔のデバイス150、またはサーバ110、あるいはこの両者において行われ、入来する電子メッセージ180の何れかが、潜在的に危険な、誤認させる、または、そうでなければ、疑わしいリンクを含んでいるかどうかを識別する。簡潔に言うと、リンクの解析は、それが非合法のリンクであり得ることを示唆する特徴について、リンクのある特定の部分を評価することを含む。解析についての付加的な詳細は、別途記載される。
【0016】
図2は、図1のメッセージング環境において使用されているサーバ110の1つの実施形態の、サーバ110をより詳しく示している機能ブロック図である。この実施において、メッセージングシステム115は、入来メッセージ180を受信するインバウンドサーバ222と、送出メッセージ290を送信するアウトバウンドサーバ221とを含む。インバウンドサーバ222は、入来メッセージ180をメッセージ記憶装置212内へ置き、メッセージ記憶装置212において、入来メッセージ180は、メッセージングシステム115の他の構成要素によってアクセスされることができる。
【0017】
例えば、POP/SMPT、IMAP/SMTP、MMS、および/またはIMサーバのような、電子メッセージサーバ220は、遠隔のデバイス上のクライアントと対話し、入来メッセージ180をクライアントにとって入手可能にし、クライアントからのアウトバウンドメッセージ290を受信し、これはアウトバウンドサーバ221によって送信される。メッセージサーバ220は、メッセージングシステム115の他の構成要素と通信するか、または統合され得る。メッセージサーバ220は、フィルタにかけられたメッセージ245をクライアントへ送信し、さらに加えて、クライアントからのアウトバウンドメッセージ290を受信し、アウトバウンド配信において、それらをアウトバウンドサーバ221へ送信する。
【0018】
メッセージングシステム115は、サーバ側メッセージフィルタ225を含み、ウィルス検査およびスパムフィルタリングのような、従来のメッセージ解析を行い得る。このより従来的な解析は、メッセージ内容またはプロトコル内のどこかまたは指定フィールドにおける固定ストリングへの整合を探すこと、メッセージ内容またはプロトコル内の指定フィールドにおける特定の状況(例えば、メッセージの件名の中に長い余白があるもの、数字で終わっているアドレスからの件名、“Re”で始まっている(“Re”の後にコロンまたはスペースがないといった)悪い形(malform)の件名、“In-Reply-To”のヘッダを含まないメッセージにおける“Re”ではじまっている件名)を探すこと、プロトコルにおける異常(anomaly)を探すこと、等を含み得る。メッセージフィルタ225は、メッセージにスパムとしてタグを付けるかどうかを判断するのに使用されるスパムスコアを計算し得る。
【0019】
さらに加えて、メッセージングシステム115は、入来メッセージ180に対してリンク解析を行うように構成されたサーバ側リンク解析モジュール270を含んでいる。メッセージフィルタ225によって行われる従来の解析とは対照的に、リンク解析モジュール270は、具体的には、入来メッセージ180内のリンクを解析し、それらが非合法のリンクであり得ることを示唆する特徴を識別するように構成されている。
【0020】
さらに加えて、リンク解析基準271またはリンク解析モジュール270、あるいはこの両者は、非合法のリンクがメッセージにおいて見付かった場合に起きることを管理する規則または論理で構成され得る。例えば、非合法のリンクがメッセージにおいて見付かったときは、リンク解析モジュール270は、メッセージを削除し、メッセージに不審(suspect)としてタグを付け、メッセージを特定のフォルダへ転送し、(例えば、フィルタ基準226の一部として、またはそれと組み合わせて)スパムの計算に非合法リンク情報を含め、リンクが非合法であり得るという警告を含むように、メッセージを変更する、等を行い得る。
【0021】
別の実施形態では、リンク解析モジュール270の機能は、サーバ側メッセージフィルタ225内に組込まれ、リンク解析基準271の機能は、フィルタ基準226内に組込まれ得る。
【0022】
リンクが非合法のリンクであり得るかどうかを判断するためにとくに行われ得る非常に多くの種々の評価がある。これらの評価の各々は、リンク解析基準271内の規則または論理、あるいはこの両者において具体化され得る。次に、評価中に疑いがもち上がったリンクの特徴のタイプの幾つかの例を示す。これらの例は、網羅的なリストを与えることではなく、むしろ、検査され得るリンクの特徴のタイプについての手引き(guidance)を与えることを意図している。
【0023】
URLにおいてホスト名の代わりに、IPアドレスを使用するリンクは、それらが悪意のあるやり方で使用されることが多いので、疑わしいが、ときには、(IPアドレスが、個々のユーザの機械が固有のホスト名をもっていない、会社または大学キャンパスのようなローカルネットワーク内であるときのような)合法の目的をもつこともある。そのようなリンクの一例は、“http://129.46.50.5/somepathinfo”といった形のURLを含む。IPアドレスのアドレススペースが、メッセージの意図された受信者と異なる割り振りブロック内にあるときは、それは、送信者と受信者とが同じローカルネットワークのメンバでないことを示唆するので、リンクは、より一層優れたセキュリティで扱われ得る。
【0024】
表示テキスト(display text)が、実際のリンクと非常に似ているが、異なるホスト名またはリンクを含んでいるときは、リンクは疑わしい。例えば、リンクが、ハイパーテキスト マークアップ言語(HyperText Markup Language, HTML)の“アンカー”のタグとして実施されているときは、タグは次の形、すなわち、
<a href=”http://www.stealyourinfo.com”>http://www.paypal.com</a>
をとり得る。
【0025】
ここでは、“http://www.stealyourinfo.com”がハイパーリンクの実際の目標であるが、テキスト“http://www.paypal.com”が、それが実際の目標であるかのように表示される。この技術は、一般に、カジュアルな(casual)ウェブユーザを欺くのに使用される。アンカーのタグは、ここに示されているが、この欺瞞の技術が使用され得る幾つかの他の状況があり得る。表示テキストがリンクアドレスと似ているが、異なる場合の他の例は、似て見える文字が使用される場合、例えば、とくにある特定のフォントおよびケースにおいて、数字の0、文字の“O”、および文字の“Q”が似て見える場合、数字の“1”、文字の“L”、および文字の“I”が似て見える場合、等を含み、さらに加えて、国際的なドメイン名についての多くの状況も当てはまり得る。
【0026】
リンクは、それがコード化された文字、余白、トップレベルにないトップレベルのドメイン、または他の見慣れない要素を含んでいるときは、疑わしいかもしれない。次のリンクの目標は、この状況の1つの具体的な例を示している。
【0027】
href=”http://www.service.paypal.com.to”
アドレスが似て見えることを巧妙に意図されている場合、実際には、アドレスは“com.to”のドメイン内の“paypal”の機械を指しているとき、それは、ドメイン“paypal.com”内の“service”の機械を指している。ドメイン“com.to”の所有者は、ほぼ間違いなく、ドメイン“paypal.com”の所有者と同じエンティティではないであろう。したがって、ユーザは、恐らくは、誰がそのサイト上の内容を実際に制御しているかに関して混乱させられることになる。これは、別の一般的な戦術(tactic)である。
【0028】
リンクのURLが、メッセージの“From:”のヘッダに示されているドメインのサブドメインでないサイトを指しているときは、リンクは、疑わしいかもしれない。言い換えると、メッセージの送信者のドメインが、例えば、“qualcomm.com”であるとき、“qualcomm.com”のドメインの外部を指しているメッセージ内のリンクは、疑わしいかもしれない。この技術は、前の戦術よりも、有効なリンクである可能性がより高いが、依然として、全解析における1つの要素であり得る。
【0029】
図3は、図1のメッセージング環境において使用されている遠隔のデバイス150の1つの実施形態の、メッセージングクライアント160をより詳しく示している機能ブロック図である。既に記載したように、遠隔のデバイス150は、電子メッセージを送受信するように構成された任意のコンピューティングデバイス、例えば、ハンドヘルド型または移動型のコンピューティングデバイス、ラップトップコンピュータ、遠隔のデスクトップコンピュータ、等であり得る。メッセージングクライアント160は、メッセージサーバ220(図2)と対話して、メッセージ245を受信するように構成されている。
【0030】
メッセージングクライアント160は、入来メッセージ245における従来のメッセージ解析を担当するクライアント側メッセージフィルタ325を含んでいる。例えば、メッセージフィルタ325は、メッセージフィルタ基準326に記憶されている、規則に基づく論理を適用して、メッセージがスパムであるか、または、そうでなければ、望ましくない尤度(likelihood)を計算するように構成され得る。フィルタ基準326は、入来メッセージ245を、恐らくは、タスク、スレッド、または送信者に基づいて、特定の記憶フォルダまたは位置へ導く規則も含み得る。クライアント側メッセージフィルタ325は、サーバ側メッセージフィルタ225(図2)と実質的に同じやり方で構成され得る。
【0031】
メッセージングクライアント160は、リンク基準336を含むクライアント側リンク解析モジュール335も含む。遠隔のデバイス150において、リンク解析モジュール335は、サーバ側リンク解析モジュール270(図2)について既に記載したのと実質的に同じやり方で、入来メッセージ245を解析するように構成されている。言い換えると、サーバ側リンク解析モジュール270に関連して既に記載された試験または評価の各々が、クライアント側リンク解析モジュール335によって実施され得る。したがって、ここでは、これらの試験および評価の各々を繰り返さない。
【0032】
さらに加えて、サーバに関連して既に記載されたように、クライアント側リンク解析モジュール335によって行われる解析は、スパムスコア、関係するアルゴリズム、またはフィルタ基準326への入力として使用されることができ、フィルタ基準326への入力は、さらに、クライアント側メッセージフィルタ325によって評価される。さらに加えて、またはその代わりに、リンク解析モジュール335による解析の結果は、メッセージ全体か、あるいは危険または疑わしいと思われるリンクの何れかについて、ユーザに直接に通知または警告するのに使用され得る。この通知は、ポップアップダイアログまたは他の警告か、あるいはメッセージと共に含まれている特定のタグの形をとり、メッセージにおける非合法のリンクの可能性(possibility)を示し得る。
【0033】
リンク解析モジュール335は、非合法のリンクであると疑われているリンクを変更、妨害、または翻訳するようにも構成され、その結果、ユーザによってそのリンクをクリックするか、またはそれにしたがう試みは、例えば、警告か、または試みられたナビゲーションを単に阻止するか、あるいはこの両者を行うことになる。ある閾値よりも低いが、それでもなお、潜在的に危険であると識別されたリンクについて、ユーザは、オプションで、より低い程度で、知らされるか、または警告され得る。例えば、リンクが特定の色またはフォントで表され、ユーザがリンク上でカーソルまたはマウスを選択するか、または置くときに、警告が表示されたり、等である。
【0034】
別の実施形態では、リンク解析モジュール335の機能が、クライアント側メッセージフィルタ325に組み込まれ、リンク解析基準336の機能が、フィルタ基準326に組み込まれ得る。
【0035】
図4は、クライアント側リンク解析エンジンの例示的なプロセスの流れ400を示している。ブロック410において、メッセージはリンクについて検査され、ブロック415において、メッセージがリンクを含むかどうかが判断される。リンクが見付からないときは、ブロック420において、そのメッセージはスキップされる。しかしながら、リンクが見付かると、ブロック430において、それらのリンクが検査される。ブロック440において、潜在的に危険なリンクが識別され、潜在的な危険としてスコアを付けられる。ブロック450において、メッセージ全体か、または任意のリンクについての結果のスコアが、閾値よりも高いかどうかが判断される。スコアが閾値よりも低いときは、ブロック460において、ユーザは、オプションで、潜在的な危険について警告されるか、または知らされることができる。スコアが閾値よりも高いときは、ブロック470において、ユーザは警告されるか、または他の処置がとられる。例えば、メッセージが削除または拒絶され得る。
【0036】
図5は、サーバ側リンク解析エンジンについての例示的なプロセスの流れ500を示している。ブロック510において、メッセージはリンクについて検査され、ブロック515において、メッセージがリンクを含むかどうかが判断される。リンクが見付からないときは、ブロック520において、メッセージはスキップされる。しかしながら、リンクが見付かると、ブロック530において、それらのリンクが検査される。ブロック540において、潜在的に危険なリンクが識別され、潜在的な危険としてスコアが付けられる。ブロック550において、メッセージは、リンク解析スコアに依存して、種々のやり方で部分的に処理される。例えば、メッセージは、メッセージ全体か、または任意のリンクの結果のスコアにしたがって処理されることができる。
【0037】
欺くことを意図したリンクの特徴の解析は、他の技術よりも相当により効果的であり、受信クライアント、中間のサーバ、または他の地点において採用することができる。この解析は、このようなリンクにしたがうことを試みているユーザに警告するために、ディスプレイ上で指摘するようにリンクにマークを付すために、スパムスコアリングアルゴリズムへの入力として、または合法の内容を阻止することなくユーザを不正行為から保護するのを助ける他のやり方で、使用することができる。
【0038】
当業者には、情報および信号が、種々の異なる技術および技法の何れかを使用して表わされ得ることが分かるであろう。例えば、上述全体で参照され得るデータ、命令、コマンド、情報、信号、ビット、シンボル、およびチップは、電圧、電流、電磁波、磁界または磁性粒子、光学場または光学粒子、あるいはその任意の組合せによって表わされ得る。
【0039】
当業者は、本明細書に開示されている実施形態に関連して記載されている種々の例示的な論理ブロック、モジュール、回路、およびアルゴリズムのステップが、電子ハードウェア、コンピュータソフトウェア、または両者の組合せとして実施され得ることも分かるであろう。ハードウェアとソフトウェアとのこの互換性を明白に示すために、種々の例示的な構成要素、ブロック、モジュール、回路、およびステップは、それらの機能性に関して、上述で概ね記載された。このような機能性がハードウェアとして実施されるか、またはソフトウェアとして実施されるかは、システム全体に課された個々の用途および設計の制約に依存する。熟練した技能をもつ者は、各個々の用途のために種々のやり方で、記載された機能性を実施し得るが、そのような実施の決定は、本発明の範囲からの逸脱を招くものとして解釈されるべきではない。
【0040】
本明細書に開示された実施形態に関連して記載された種々の例示的な論理ブロック、モジュール、および回路は、汎用プロセッサ、ディジタル信号プロセッサ(digital signal processor, DSP)、特定用途向け集積回路(application specific integrated circuit, ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array, FPGA)または他のプログラマブル論理デバイス、ディスクリートなゲートまたはトランジスタ論理、ディスクリートなハードウェア構成要素、あるいは本明細書に記載されている機能を実行するように設計された組合せで実施または実行され得る。汎用プロセッサは、マイクロプロセッサであってもよいが、その代わりに、プロセッサは、従来のプロセッサ、制御装置、マイクロ制御装置、または状態機械であってもよい。プロセッサは、コンピューティングデバイスの組合せ、例えば、1つのDSPと1つのマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、1つ以上のマイクロプロセッサと1つのDSPのコアとの組合せ、または他のこのような構成としても実施され得る。
【0041】
本明細書に開示されている実施形態に関連して記載された方法またはアルゴリズムのステップは、ハードウェアにおいて、プロセッサによって実行されるソフトウェアモジュールにおいて、または2つの組合せにおいて直接的に具体化され得る。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、取り外し可能ディスク、CD−ROM、または当技術において知られている記憶媒体の何か他の形態の中に存在し得る。例示的な記憶媒体はプロセッサに接続され、プロセッサが記憶媒体から情報を読み出し、かつそこへ情報を書き込みことができるようにする。その代りに、記憶媒体は、プロセッサと一体構成であってもよい。プロセッサおよび記憶媒体は、ASIC内に存在し得る。ASICは、ユーザ端末内に存在し得る。その代りに、プロセッサおよび記憶媒体は、ユーザ端末内のディスクリートな構成要素として存在し得る。
【0042】
開示された実施形態のこれまでの記述は、当業者が本発明を作成または使用できるようにするために与えられている。これらの実施形態に対する種々の変更は当業者には容易に明らかになり、本明細書に定められている一般的な原理は、本発明の意図および範囲から逸脱することなく、他の実施形態に適用され得る。したがって、本発明は、本明細書に示されている実施形態に制限されることを意図されず、本明細書に開示されている原理および新規な特徴に一致する最も幅広い範囲にしたがうことを意図されている。
【図面の簡単な説明】
【0043】
【図1】サーバと、電子メッセージを受信する遠隔のデバイスとを含むメッセージング環境を示す機能ブロック図。
【図2】図1のメッセージング環境において使用されるサーバの1つの実施形態の、サーバをより詳しく示している機能ブロック図。
【図3】図1のメッセージング環境において使用されている遠隔のデバイスの1つの、メッセージングクライアントをより詳しく示している実施形態の機能ブロック図。
【図4】クライアント側リンク解析エンジンのための例示的なプロセスの流れを示す図。
【図5】サーバ側リンク解析エンジンのための例示的なプロセスの流れを示す図。
【符号の説明】
【0044】
175・・・通信リンク、400,500・・・プロセスの流れ。
【技術分野】
【0001】
関連出願の記述
本出願は、2004年6月10日に出願され、“Method And Apparatus For Detection of Suspicious, Deceptive, Dangerous Links in Electronic Messages”という発明の名称をもつ、前に出願された米国仮特許出願第60/579,023号に対して優先権を主張している。
【0002】
本発明は、概ね、電子メッセージング、より具体的には、電子メッセージングに関連して使用される不正行為防止機構に関する。
【背景技術】
【0003】
電子メッセージングが人気を得てきているので、ある特定のタイプのメッセージに基づく攻撃が益々一般的になってきている。1つのこのような攻撃は、攻撃者が、メッセージの受信者を、ウェブサイトのようなURLを訪問する、すなわち、メッセージの受信者がメッセージによって信じることになることとは現実には異なることをするように騙すメッセージを送ることによって、メッセージの受信者を欺くことを試みるときに起きる。
【0004】
例えば、攻撃者は、CitiBank、Amazon、EBay、等のような、既成の企業から来ているように見える電子メールを送り得る。電子メールは、通常、受信者がウェブサイトを訪問して、口座情報、すなわち最近の疑わしい課金を確認し、取引を確認または取り消し、情報を更新するべきである、またはそうしなければならないと受信者を信じさせることを意図した言いまわしもつ。さらに加えて、電子メールにおけるリンクは、既成の企業のウェブサイトと関係付けられているか、またはそこへ行くように見える。攻撃者はこのメッセージを送って、受信者が既成のエンティティの合法のウェブサイトへ連れて行かれることになると信じて、受信者がリンクをアクティブにするように欺く。事実、リンクは受信者を、既成の企業の合法のウェブサイトに混乱させるように似て見えるように作成られた、攻撃者の制御のもとにある非合法のウェブサイトへ連れて行くことになる。非合法のウェブサイトは、一般に、既成の企業によって操作されている実際のウェブサイトと区別するのが非常に困難である。その結果、受信者は、口座番号、パスワード、クレジットカード番号、または攻撃者にとって有益な他の情報のような、慎重に扱われるべき(sensitive)情報、または個人情報、あるいはこの両者を明かすように騙され得る。この実行は、“フィッシング(phishing)”として知られており、これは、予想され得るよりも、より成功することが多い。
【0005】
このような攻撃と戦うために今日採用されている解決案は、とりわけ、既知のストリング、既知のホスト、または他のパターンを探すスパムフィルタ;ローカルドメイン名サーバ(Domain Name Server, DNS)のサーバを変更し、リンクされたウェブサイトを訪問する試みを、通信事業者またはインターネットサービスプロバイダによって維持されているサイトへ転送すること;および単に、ユーザを教育し、用心させることを含む。
【発明の開示】
【発明が解決しようとする課題】
【0006】
これらの進歩にもかかわらず、潜在的に危険な、誤認させる、または、そうでなければ疑わしいリンクを識別する技術が、当技術において依然として必要とされている。
【課題を解決するための手段】
【0007】
本明細書に開示されている実施形態は、潜在的に危険な、誤認させる、または、そうでなければ疑わしいリンクを識別するために、メッセージを解析する技術を与えることによって、上述の必要に対処している。1つの態様では、本発明は、サーバまたはクライアントの何れかにおいて行われ得る方法であって、電子メッセージを受信するステップと、メッセージが少なくとも1つのリンクを含んでいるかどうかを判断するステップと、そうであるときは、リンクを検査して、リンクが、リンクが非合法であることを示唆する特徴を含んでいるかどうかを判断するステップとを含む方法を構想している。方法は、リンクがその特徴を含んでいるときは、リンクが非合法であり得るという警告を含むように、メッセージを修正するステップか、メッセージが、非合法であり得るリンクを含んでいるという警告を提示するステップか、受信者がリンクにしたがうことを試みるときに警告を提示するステップか、これをスパム スコアリング アルゴリズム(spam-scoring algorism)への入力として使用するステップか、またはこれらの何れかまたは全ての組合せをさらに含む。さらに加えて、方法は、コンピュータ読み出し可能媒体上でコード化されるコンピュータ実行可能命令として具体化され得る。
【0008】
別の態様では、本発明は、電子メッセージを解析する装置であって、永続的な記憶のためのコンピュータ実行可能命令が記憶されるコンピュータ読み出し可能媒体と、実行のためのコンピュータ実行可能命令があるコンピュータメモリと、コンピュータ読み出し可能媒体およびコンピュータメモリにシステムバスで結合されたプロセッサとを含む装置を構想している。プロセッサは、コンピュータ実行可能命令を実行して、電子メッセージを受信し、メッセージが少なくとも1つのリンクを含んでいるかどうかを判断し、そうであるときは、1つまたは複数のリンクの要素を検査して、リンクが、リンクが非合法なリンクであることを示唆する特徴を含んでいるかどうかを判断するように動作する。リンクが特徴を含んでいるときは、プロセッサは、メッセージが、非合法であり得るリンクを含んでいるという警告を提示するようにも構成されている。それは、スパム スコアリング アルゴリズムにおける入力としてこれを使用するようにも構成され得る。
【発明を実施するための最良の形態】
【0009】
“例示的”という用語は、本明細書において“例、事例、または実例としての役割を果たす”ことを意味するために使用されている。本明細書に“例示的”と記載されている実施形態は、他の実施形態よりも好ましいまたは好都合であると、必ずしも解釈されると限らず、むしろ、単に、実施形態の一例であると解釈される。
【0010】
本明細書に開示されている実施形態は、潜在的に危険な、誤認させる、または、そうでなければ疑わしいリンクを識別するために、サーバ、クライアント、または他のエンティティにおいてメッセージを解析する技術を与える。この文書の目的のために、次の用語は、本明細書においてそれらに帰する意味をもつ。
【0011】
“電子メッセージ(electronic message)”は、遠隔または送信側デバイスから、ローカルまたは受信側デバイスへの任意の形式における任意の電子通信を意味する。電子メッセージは、電子メールメッセージ、移動電子メールメッセージ、マルチメディア メッセージング サービス(Multimedia Messaging Service, “MMS”)メッセージ、ショート メッセージング サービス(Short Messaging Service, “SMS”)メッセージ、インスタント メッセージング(Instant Messaging, “IM”)メッセージ、等を含むが、これらに制限されない。
【0012】
“リンク(link)”は、広域ネットワーク上における内容(content)へのハイパーリンクを意味する。ハイパーリンクは、ハイパーリンクを認識しているアプリケーション(hyperlink-aware application)を、ハイパーリンクにおいて指定されているネットワークの位置へ導く少なくともコードまたは第1の構成要素を含む。さらに加えて、ハイパーリンクは、位置の代わりに表示される、ある英数字の内容を定義する第2の構成要素を含み得る。
【0013】
“非合法のリンク(illegitimate link)”は、広域ネットワーク上に実際の位置をもっている遠隔のデバイスの内容へのリンクを意味し、実際の位置は、リンクの少なくとも1つの特徴によって示唆されている別の位置と異なり、またはこれは、リンクの実際の位置を不明瞭にする役割を果たす。
【0014】
図1は、電子メッセージ180を受信するサーバ110と、遠隔のデバイス150とを含むメッセージング環境を示している機能ブロック図である。遠隔のデバイス150は、例えば、デスクトップコンピュータ、ラップトップコンピュータ、セル電話、PDAであり得る。サーバ110は、ワイヤレスまたはワイヤードであり得る通信リンク175によって、遠隔のデバイス150と通信する。無線であり得るか、メッセージングサーバ110は、メッセージングシステム115を含む。遠隔のデバイス150は、メッセージングクライアント160を含む。
【0015】
本発明にしたがうと、解析は、遠隔のデバイス150、またはサーバ110、あるいはこの両者において行われ、入来する電子メッセージ180の何れかが、潜在的に危険な、誤認させる、または、そうでなければ、疑わしいリンクを含んでいるかどうかを識別する。簡潔に言うと、リンクの解析は、それが非合法のリンクであり得ることを示唆する特徴について、リンクのある特定の部分を評価することを含む。解析についての付加的な詳細は、別途記載される。
【0016】
図2は、図1のメッセージング環境において使用されているサーバ110の1つの実施形態の、サーバ110をより詳しく示している機能ブロック図である。この実施において、メッセージングシステム115は、入来メッセージ180を受信するインバウンドサーバ222と、送出メッセージ290を送信するアウトバウンドサーバ221とを含む。インバウンドサーバ222は、入来メッセージ180をメッセージ記憶装置212内へ置き、メッセージ記憶装置212において、入来メッセージ180は、メッセージングシステム115の他の構成要素によってアクセスされることができる。
【0017】
例えば、POP/SMPT、IMAP/SMTP、MMS、および/またはIMサーバのような、電子メッセージサーバ220は、遠隔のデバイス上のクライアントと対話し、入来メッセージ180をクライアントにとって入手可能にし、クライアントからのアウトバウンドメッセージ290を受信し、これはアウトバウンドサーバ221によって送信される。メッセージサーバ220は、メッセージングシステム115の他の構成要素と通信するか、または統合され得る。メッセージサーバ220は、フィルタにかけられたメッセージ245をクライアントへ送信し、さらに加えて、クライアントからのアウトバウンドメッセージ290を受信し、アウトバウンド配信において、それらをアウトバウンドサーバ221へ送信する。
【0018】
メッセージングシステム115は、サーバ側メッセージフィルタ225を含み、ウィルス検査およびスパムフィルタリングのような、従来のメッセージ解析を行い得る。このより従来的な解析は、メッセージ内容またはプロトコル内のどこかまたは指定フィールドにおける固定ストリングへの整合を探すこと、メッセージ内容またはプロトコル内の指定フィールドにおける特定の状況(例えば、メッセージの件名の中に長い余白があるもの、数字で終わっているアドレスからの件名、“Re”で始まっている(“Re”の後にコロンまたはスペースがないといった)悪い形(malform)の件名、“In-Reply-To”のヘッダを含まないメッセージにおける“Re”ではじまっている件名)を探すこと、プロトコルにおける異常(anomaly)を探すこと、等を含み得る。メッセージフィルタ225は、メッセージにスパムとしてタグを付けるかどうかを判断するのに使用されるスパムスコアを計算し得る。
【0019】
さらに加えて、メッセージングシステム115は、入来メッセージ180に対してリンク解析を行うように構成されたサーバ側リンク解析モジュール270を含んでいる。メッセージフィルタ225によって行われる従来の解析とは対照的に、リンク解析モジュール270は、具体的には、入来メッセージ180内のリンクを解析し、それらが非合法のリンクであり得ることを示唆する特徴を識別するように構成されている。
【0020】
さらに加えて、リンク解析基準271またはリンク解析モジュール270、あるいはこの両者は、非合法のリンクがメッセージにおいて見付かった場合に起きることを管理する規則または論理で構成され得る。例えば、非合法のリンクがメッセージにおいて見付かったときは、リンク解析モジュール270は、メッセージを削除し、メッセージに不審(suspect)としてタグを付け、メッセージを特定のフォルダへ転送し、(例えば、フィルタ基準226の一部として、またはそれと組み合わせて)スパムの計算に非合法リンク情報を含め、リンクが非合法であり得るという警告を含むように、メッセージを変更する、等を行い得る。
【0021】
別の実施形態では、リンク解析モジュール270の機能は、サーバ側メッセージフィルタ225内に組込まれ、リンク解析基準271の機能は、フィルタ基準226内に組込まれ得る。
【0022】
リンクが非合法のリンクであり得るかどうかを判断するためにとくに行われ得る非常に多くの種々の評価がある。これらの評価の各々は、リンク解析基準271内の規則または論理、あるいはこの両者において具体化され得る。次に、評価中に疑いがもち上がったリンクの特徴のタイプの幾つかの例を示す。これらの例は、網羅的なリストを与えることではなく、むしろ、検査され得るリンクの特徴のタイプについての手引き(guidance)を与えることを意図している。
【0023】
URLにおいてホスト名の代わりに、IPアドレスを使用するリンクは、それらが悪意のあるやり方で使用されることが多いので、疑わしいが、ときには、(IPアドレスが、個々のユーザの機械が固有のホスト名をもっていない、会社または大学キャンパスのようなローカルネットワーク内であるときのような)合法の目的をもつこともある。そのようなリンクの一例は、“http://129.46.50.5/somepathinfo”といった形のURLを含む。IPアドレスのアドレススペースが、メッセージの意図された受信者と異なる割り振りブロック内にあるときは、それは、送信者と受信者とが同じローカルネットワークのメンバでないことを示唆するので、リンクは、より一層優れたセキュリティで扱われ得る。
【0024】
表示テキスト(display text)が、実際のリンクと非常に似ているが、異なるホスト名またはリンクを含んでいるときは、リンクは疑わしい。例えば、リンクが、ハイパーテキスト マークアップ言語(HyperText Markup Language, HTML)の“アンカー”のタグとして実施されているときは、タグは次の形、すなわち、
<a href=”http://www.stealyourinfo.com”>http://www.paypal.com</a>
をとり得る。
【0025】
ここでは、“http://www.stealyourinfo.com”がハイパーリンクの実際の目標であるが、テキスト“http://www.paypal.com”が、それが実際の目標であるかのように表示される。この技術は、一般に、カジュアルな(casual)ウェブユーザを欺くのに使用される。アンカーのタグは、ここに示されているが、この欺瞞の技術が使用され得る幾つかの他の状況があり得る。表示テキストがリンクアドレスと似ているが、異なる場合の他の例は、似て見える文字が使用される場合、例えば、とくにある特定のフォントおよびケースにおいて、数字の0、文字の“O”、および文字の“Q”が似て見える場合、数字の“1”、文字の“L”、および文字の“I”が似て見える場合、等を含み、さらに加えて、国際的なドメイン名についての多くの状況も当てはまり得る。
【0026】
リンクは、それがコード化された文字、余白、トップレベルにないトップレベルのドメイン、または他の見慣れない要素を含んでいるときは、疑わしいかもしれない。次のリンクの目標は、この状況の1つの具体的な例を示している。
【0027】
href=”http://www.service.paypal.com.to”
アドレスが似て見えることを巧妙に意図されている場合、実際には、アドレスは“com.to”のドメイン内の“paypal”の機械を指しているとき、それは、ドメイン“paypal.com”内の“service”の機械を指している。ドメイン“com.to”の所有者は、ほぼ間違いなく、ドメイン“paypal.com”の所有者と同じエンティティではないであろう。したがって、ユーザは、恐らくは、誰がそのサイト上の内容を実際に制御しているかに関して混乱させられることになる。これは、別の一般的な戦術(tactic)である。
【0028】
リンクのURLが、メッセージの“From:”のヘッダに示されているドメインのサブドメインでないサイトを指しているときは、リンクは、疑わしいかもしれない。言い換えると、メッセージの送信者のドメインが、例えば、“qualcomm.com”であるとき、“qualcomm.com”のドメインの外部を指しているメッセージ内のリンクは、疑わしいかもしれない。この技術は、前の戦術よりも、有効なリンクである可能性がより高いが、依然として、全解析における1つの要素であり得る。
【0029】
図3は、図1のメッセージング環境において使用されている遠隔のデバイス150の1つの実施形態の、メッセージングクライアント160をより詳しく示している機能ブロック図である。既に記載したように、遠隔のデバイス150は、電子メッセージを送受信するように構成された任意のコンピューティングデバイス、例えば、ハンドヘルド型または移動型のコンピューティングデバイス、ラップトップコンピュータ、遠隔のデスクトップコンピュータ、等であり得る。メッセージングクライアント160は、メッセージサーバ220(図2)と対話して、メッセージ245を受信するように構成されている。
【0030】
メッセージングクライアント160は、入来メッセージ245における従来のメッセージ解析を担当するクライアント側メッセージフィルタ325を含んでいる。例えば、メッセージフィルタ325は、メッセージフィルタ基準326に記憶されている、規則に基づく論理を適用して、メッセージがスパムであるか、または、そうでなければ、望ましくない尤度(likelihood)を計算するように構成され得る。フィルタ基準326は、入来メッセージ245を、恐らくは、タスク、スレッド、または送信者に基づいて、特定の記憶フォルダまたは位置へ導く規則も含み得る。クライアント側メッセージフィルタ325は、サーバ側メッセージフィルタ225(図2)と実質的に同じやり方で構成され得る。
【0031】
メッセージングクライアント160は、リンク基準336を含むクライアント側リンク解析モジュール335も含む。遠隔のデバイス150において、リンク解析モジュール335は、サーバ側リンク解析モジュール270(図2)について既に記載したのと実質的に同じやり方で、入来メッセージ245を解析するように構成されている。言い換えると、サーバ側リンク解析モジュール270に関連して既に記載された試験または評価の各々が、クライアント側リンク解析モジュール335によって実施され得る。したがって、ここでは、これらの試験および評価の各々を繰り返さない。
【0032】
さらに加えて、サーバに関連して既に記載されたように、クライアント側リンク解析モジュール335によって行われる解析は、スパムスコア、関係するアルゴリズム、またはフィルタ基準326への入力として使用されることができ、フィルタ基準326への入力は、さらに、クライアント側メッセージフィルタ325によって評価される。さらに加えて、またはその代わりに、リンク解析モジュール335による解析の結果は、メッセージ全体か、あるいは危険または疑わしいと思われるリンクの何れかについて、ユーザに直接に通知または警告するのに使用され得る。この通知は、ポップアップダイアログまたは他の警告か、あるいはメッセージと共に含まれている特定のタグの形をとり、メッセージにおける非合法のリンクの可能性(possibility)を示し得る。
【0033】
リンク解析モジュール335は、非合法のリンクであると疑われているリンクを変更、妨害、または翻訳するようにも構成され、その結果、ユーザによってそのリンクをクリックするか、またはそれにしたがう試みは、例えば、警告か、または試みられたナビゲーションを単に阻止するか、あるいはこの両者を行うことになる。ある閾値よりも低いが、それでもなお、潜在的に危険であると識別されたリンクについて、ユーザは、オプションで、より低い程度で、知らされるか、または警告され得る。例えば、リンクが特定の色またはフォントで表され、ユーザがリンク上でカーソルまたはマウスを選択するか、または置くときに、警告が表示されたり、等である。
【0034】
別の実施形態では、リンク解析モジュール335の機能が、クライアント側メッセージフィルタ325に組み込まれ、リンク解析基準336の機能が、フィルタ基準326に組み込まれ得る。
【0035】
図4は、クライアント側リンク解析エンジンの例示的なプロセスの流れ400を示している。ブロック410において、メッセージはリンクについて検査され、ブロック415において、メッセージがリンクを含むかどうかが判断される。リンクが見付からないときは、ブロック420において、そのメッセージはスキップされる。しかしながら、リンクが見付かると、ブロック430において、それらのリンクが検査される。ブロック440において、潜在的に危険なリンクが識別され、潜在的な危険としてスコアを付けられる。ブロック450において、メッセージ全体か、または任意のリンクについての結果のスコアが、閾値よりも高いかどうかが判断される。スコアが閾値よりも低いときは、ブロック460において、ユーザは、オプションで、潜在的な危険について警告されるか、または知らされることができる。スコアが閾値よりも高いときは、ブロック470において、ユーザは警告されるか、または他の処置がとられる。例えば、メッセージが削除または拒絶され得る。
【0036】
図5は、サーバ側リンク解析エンジンについての例示的なプロセスの流れ500を示している。ブロック510において、メッセージはリンクについて検査され、ブロック515において、メッセージがリンクを含むかどうかが判断される。リンクが見付からないときは、ブロック520において、メッセージはスキップされる。しかしながら、リンクが見付かると、ブロック530において、それらのリンクが検査される。ブロック540において、潜在的に危険なリンクが識別され、潜在的な危険としてスコアが付けられる。ブロック550において、メッセージは、リンク解析スコアに依存して、種々のやり方で部分的に処理される。例えば、メッセージは、メッセージ全体か、または任意のリンクの結果のスコアにしたがって処理されることができる。
【0037】
欺くことを意図したリンクの特徴の解析は、他の技術よりも相当により効果的であり、受信クライアント、中間のサーバ、または他の地点において採用することができる。この解析は、このようなリンクにしたがうことを試みているユーザに警告するために、ディスプレイ上で指摘するようにリンクにマークを付すために、スパムスコアリングアルゴリズムへの入力として、または合法の内容を阻止することなくユーザを不正行為から保護するのを助ける他のやり方で、使用することができる。
【0038】
当業者には、情報および信号が、種々の異なる技術および技法の何れかを使用して表わされ得ることが分かるであろう。例えば、上述全体で参照され得るデータ、命令、コマンド、情報、信号、ビット、シンボル、およびチップは、電圧、電流、電磁波、磁界または磁性粒子、光学場または光学粒子、あるいはその任意の組合せによって表わされ得る。
【0039】
当業者は、本明細書に開示されている実施形態に関連して記載されている種々の例示的な論理ブロック、モジュール、回路、およびアルゴリズムのステップが、電子ハードウェア、コンピュータソフトウェア、または両者の組合せとして実施され得ることも分かるであろう。ハードウェアとソフトウェアとのこの互換性を明白に示すために、種々の例示的な構成要素、ブロック、モジュール、回路、およびステップは、それらの機能性に関して、上述で概ね記載された。このような機能性がハードウェアとして実施されるか、またはソフトウェアとして実施されるかは、システム全体に課された個々の用途および設計の制約に依存する。熟練した技能をもつ者は、各個々の用途のために種々のやり方で、記載された機能性を実施し得るが、そのような実施の決定は、本発明の範囲からの逸脱を招くものとして解釈されるべきではない。
【0040】
本明細書に開示された実施形態に関連して記載された種々の例示的な論理ブロック、モジュール、および回路は、汎用プロセッサ、ディジタル信号プロセッサ(digital signal processor, DSP)、特定用途向け集積回路(application specific integrated circuit, ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array, FPGA)または他のプログラマブル論理デバイス、ディスクリートなゲートまたはトランジスタ論理、ディスクリートなハードウェア構成要素、あるいは本明細書に記載されている機能を実行するように設計された組合せで実施または実行され得る。汎用プロセッサは、マイクロプロセッサであってもよいが、その代わりに、プロセッサは、従来のプロセッサ、制御装置、マイクロ制御装置、または状態機械であってもよい。プロセッサは、コンピューティングデバイスの組合せ、例えば、1つのDSPと1つのマイクロプロセッサとの組合せ、複数のマイクロプロセッサ、1つ以上のマイクロプロセッサと1つのDSPのコアとの組合せ、または他のこのような構成としても実施され得る。
【0041】
本明細書に開示されている実施形態に関連して記載された方法またはアルゴリズムのステップは、ハードウェアにおいて、プロセッサによって実行されるソフトウェアモジュールにおいて、または2つの組合せにおいて直接的に具体化され得る。ソフトウェアモジュールは、RAMメモリ、フラッシュメモリ、ROMメモリ、EPROMメモリ、EEPROMメモリ、レジスタ、ハードディスク、取り外し可能ディスク、CD−ROM、または当技術において知られている記憶媒体の何か他の形態の中に存在し得る。例示的な記憶媒体はプロセッサに接続され、プロセッサが記憶媒体から情報を読み出し、かつそこへ情報を書き込みことができるようにする。その代りに、記憶媒体は、プロセッサと一体構成であってもよい。プロセッサおよび記憶媒体は、ASIC内に存在し得る。ASICは、ユーザ端末内に存在し得る。その代りに、プロセッサおよび記憶媒体は、ユーザ端末内のディスクリートな構成要素として存在し得る。
【0042】
開示された実施形態のこれまでの記述は、当業者が本発明を作成または使用できるようにするために与えられている。これらの実施形態に対する種々の変更は当業者には容易に明らかになり、本明細書に定められている一般的な原理は、本発明の意図および範囲から逸脱することなく、他の実施形態に適用され得る。したがって、本発明は、本明細書に示されている実施形態に制限されることを意図されず、本明細書に開示されている原理および新規な特徴に一致する最も幅広い範囲にしたがうことを意図されている。
【図面の簡単な説明】
【0043】
【図1】サーバと、電子メッセージを受信する遠隔のデバイスとを含むメッセージング環境を示す機能ブロック図。
【図2】図1のメッセージング環境において使用されるサーバの1つの実施形態の、サーバをより詳しく示している機能ブロック図。
【図3】図1のメッセージング環境において使用されている遠隔のデバイスの1つの、メッセージングクライアントをより詳しく示している実施形態の機能ブロック図。
【図4】クライアント側リンク解析エンジンのための例示的なプロセスの流れを示す図。
【図5】サーバ側リンク解析エンジンのための例示的なプロセスの流れを示す図。
【符号の説明】
【0044】
175・・・通信リンク、400,500・・・プロセスの流れ。
【特許請求の範囲】
【請求項1】
電子メッセージを解析するためにサーバにおいて行われる、コンピュータに実施される方法であって、
サーバにおいて、電子メッセージを受信することと、
メッセージが少なくとも1つのリンクを含んでいるかどうかを判断することと、
メッセージがリンクを含んでいるときは、リンクを検査して、リンクが、リンクが非合法のリンクであることを示唆する特徴を含んでいるかどうかを判断することと、
リンクが特徴を含んでいるときは、リンクが非合法であり得るという警告を含むように、メッセージを修正することとを含む、コンピュータに実施される方法。
【請求項2】
電子メッセージが、リンクを定義するマークアップ言語コードを含む請求項1記載のコンピュータに実施される方法。
【請求項3】
マークアップ言語コードが、リンクの目標を含み、目標が、広域ネットワーク上の位置であり、目標が、広域ネットワーク上のドメインを識別するユニバーサル リソース ロケータ(“Universal Resource Locator, URL”)を含む請求項2記載のコンピュータに実施される方法。
【請求項4】
リンクが非合法であることを示唆する特徴が、ドメインがインターネット プロトコル アドレスとして表わされていることを含む請求項3記載のコンピュータに実施される方法。
【請求項5】
マークアップ言語コードが、表示テキスト部分をさらに含み、リンクが非合法であることを示唆する特徴が、表示テキスト部分が、リンクの目標のドメインと異なる表示ドメインを識別するストリングをもっていることを含む請求項3記載のコンピュータに実施される方法。
【請求項6】
リンクが非合法であることを示唆する特徴が、トップレベルのドメイン部分を含むリンクの目標のドメインを含み、トップレベルのドメイン部分が、URLにおいてトップレベルのドメイン位置以外の位置に表わされている請求項3記載のコンピュータに実施される方法。
【請求項7】
電子メッセージが、送信者のドメインを識別するヘッダを含み、リンクが非合法であることを示唆する特徴が、目標のドメインが送信者のドメインの外部にあることを含む請求項3記載のコンピュータに実施される方法。
【請求項8】
方法が、スコアに基づく解析を行って、リンクが非合法である尤度を計算することをさらに含む請求項1記載のコンピュータに実施される方法。
【請求項9】
従来のメッセージ解析においてその尤度を含むことをさらに含む請求項8記載のコンピュータに実施される方法。
【請求項10】
尤度が所与の閾値を越えているときは、リンクが非合法であるかのようにメッセージを処理し、尤度が所与の閾値を越えていないときは、メッセージを、疑わしいリンクをもっていると識別する請求項8記載のコンピュータに実施される方法。
【請求項11】
電子メッセージを解析するためにクライアントにおいて行われる、コンピュータに実施される方法であって、
クライアントにおいて、電子メッセージを受信することと、
メッセージが少なくとも1つのリンクを含んでいるかどうかを判断することと、
メッセージがリンクを含んでいるときは、リンクを検査して、リンクが、リンクが非合法のリンクであることを示唆する特徴を含んでいるかどうかを判断することと、
リンクが特徴を含んでいるときは、メッセージが、非合法であり得るリンクを含んでいるという警告を提示することとを含む、コンピュータに実施される方法。
【請求項12】
電子メッセージが、リンクを定義するマークアップ言語コードを含んでいる請求項11記載のコンピュータに実施される方法。
【請求項13】
マークアップ言語コードが、リンクの目標を含み、目標が、広域ネットワーク上の位置であり、目標が、広域ネットワーク上のドメインを識別するユニバーサル リソース ロケータ(“URL”)を含む請求項12記載のコンピュータに実施される方法。
【請求項14】
リンクが非合法であることを示唆する特徴が、ドメインがインターネット プロトコル アドレスとして表わされていることを含む請求項13記載のコンピュータに実施される方法。
【請求項15】
マークアップ言語コードが、表示テキスト部分をさらに含み、リンクが非合法であることを示唆する特徴が、表示テキスト部分が、リンクの目標のドメインと異なる表示ドメインを識別するストリングをもっていることを含む請求項13記載のコンピュータに実施される方法。
【請求項16】
リンクが非合法であることを示唆する特徴が、トップレベルのドメイン部分を含むリンクの目標のドメインを含み、トップレベルのドメイン部分が、URLにおいてトップレベルのドメイン位置以外の位置に表わされている請求項13記載のコンピュータに実施される方法。
【請求項17】
電子メッセージが、送信者のドメインを識別するヘッダを含み、リンクが非合法であることを示唆する特徴が、目標のドメインが送信者のドメインの外部にあることを含む請求項13記載のコンピュータに実施される方法。
【請求項18】
方法が、スコアに基づく解析を行って、リンクが非合法である尤度を計算することをさらに含む請求項11記載のコンピュータに実施される方法。
【請求項19】
従来のメッセージ解析においてその尤度を含むことをさらに含む請求項18記載のコンピュータに実施される方法。
【請求項20】
尤度が所与の閾値を越えているときは、リンクが非合法であるかのようにメッセージを処理し、尤度が所与の閾値を越えていないときは、メッセージを、疑わしいリンクをもっていると識別する請求項18記載のコンピュータに実施される方法。
【請求項21】
電子メッセージを解析するためのコンピュータ実行可能命令でコード化されるコンピュータ読み出し可能媒体であって、命令が、
電子メッセージを受信することと、
メッセージが少なくとも1つのリンクを含んでいるかどうかを判断することと、
メッセージがリンクを含んでいるときは、リンクの要素を検査して、リンクが、リンクが非合法のリンクであることを示唆する特徴を含んでいるかどうかを判断することと、
リンクが特徴を含んでいるときは、メッセージが、非合法であり得るリンクを含んでいるという警告を提示することとを含むコンピュータ読み出し可能媒体。
【請求項22】
リンクが、広域ネットワーク上に位置をもつ遠隔のデバイスについての内容を指す目標を含み、その位置が特徴によって示唆されている別の位置と異なるときは、リンクは非合法である請求項21記載のコンピュータ読み出し可能媒体。
【請求項23】
電子メッセージが、リンクを定義するマークアップ言語コードを含んでいる請求項21記載のコンピュータ読み出し可能媒体。
【請求項24】
マークアップ言語コードが、リンクの目標を含み、目標が、広域ネットワーク上の位置であり、目標が、広域ネットワーク上のドメインを識別するユニバーサル リソース ロケータ(“URL”)を含む請求項23記載のコンピュータ読み出し可能媒体。
【請求項25】
リンクが非合法であることを示唆する特徴が、ドメインがインターネット プロトコル アドレスとして表わされていることを含む請求項24記載のコンピュータ読み出し可能媒体。
【請求項26】
マークアップ言語コードが、表示テキスト部分をさらに含み、リンクが非合法であることを示唆する特徴が、表示テキスト部分が、リンクの目標のドメインと異なる表示ドメインを識別するストリングをもっていることを含む請求項24記載のコンピュータ読み出し可能媒体。
【請求項27】
リンクが非合法であることを示唆する特徴が、トップレベルのドメイン部分を含むリンクの目標のドメインを含み、トップレベルのドメイン部分が、URLにおいてトップレベルのドメイン位置以外の位置に表わされている請求項24記載のコンピュータ読み出し可能媒体。
【請求項28】
電子メッセージが、送信者のドメインを識別するヘッダを含み、リンクが非合法であることを示唆する特徴が、目標のドメインが送信者のドメインの外部にあることを含む請求項24記載のコンピュータ読み出し可能媒体。
【請求項29】
電子メッセージを解析する装置であって、
永続的な記憶のためのコンピュータ実行可能命令が記憶されるコンピュータ読み出し可能媒体と、
実行のためのコンピュータ実行可能命令があるコンピュータメモリと、
コンピュータ読み出し可能媒体およびコンピュータメモリにシステムバスで結合されたプロセッサとを含み、プロセッサが、
電子メッセージを受信し、
メッセージが少なくとも1つのリンクを含んでいるかどうかを判断し、
メッセージがリンクを含んでいるときは、リンクの要素を検査して、リンクが、リンクが非合法のリンクであることを示唆する特徴を含んでいるかどうかを判断し、
リンクが特徴を含んでいるときは、メッセージが、非合法であり得るリンクを含んでいるという警告を提示するためのコンピュータ実行可能命令を実行するように動作する装置。
【請求項30】
電子メッセージを解析する装置であって、
電子メッセージを受信する手段と、
メッセージが少なくとも1つのリンクを含んでいるかどうかを判断する手段と、
メッセージがリンクを含んでいるときは、リンクの要素を検査して、リンクが、リンクが非合法のリンクであることを示唆する特徴を含んでいるかどうかを判断する手段と、
リンクが特徴を含んでいるときは、メッセージが、非合法であり得るリンクを含んでいるという警告を提示する手段とを含む装置。
【請求項1】
電子メッセージを解析するためにサーバにおいて行われる、コンピュータに実施される方法であって、
サーバにおいて、電子メッセージを受信することと、
メッセージが少なくとも1つのリンクを含んでいるかどうかを判断することと、
メッセージがリンクを含んでいるときは、リンクを検査して、リンクが、リンクが非合法のリンクであることを示唆する特徴を含んでいるかどうかを判断することと、
リンクが特徴を含んでいるときは、リンクが非合法であり得るという警告を含むように、メッセージを修正することとを含む、コンピュータに実施される方法。
【請求項2】
電子メッセージが、リンクを定義するマークアップ言語コードを含む請求項1記載のコンピュータに実施される方法。
【請求項3】
マークアップ言語コードが、リンクの目標を含み、目標が、広域ネットワーク上の位置であり、目標が、広域ネットワーク上のドメインを識別するユニバーサル リソース ロケータ(“Universal Resource Locator, URL”)を含む請求項2記載のコンピュータに実施される方法。
【請求項4】
リンクが非合法であることを示唆する特徴が、ドメインがインターネット プロトコル アドレスとして表わされていることを含む請求項3記載のコンピュータに実施される方法。
【請求項5】
マークアップ言語コードが、表示テキスト部分をさらに含み、リンクが非合法であることを示唆する特徴が、表示テキスト部分が、リンクの目標のドメインと異なる表示ドメインを識別するストリングをもっていることを含む請求項3記載のコンピュータに実施される方法。
【請求項6】
リンクが非合法であることを示唆する特徴が、トップレベルのドメイン部分を含むリンクの目標のドメインを含み、トップレベルのドメイン部分が、URLにおいてトップレベルのドメイン位置以外の位置に表わされている請求項3記載のコンピュータに実施される方法。
【請求項7】
電子メッセージが、送信者のドメインを識別するヘッダを含み、リンクが非合法であることを示唆する特徴が、目標のドメインが送信者のドメインの外部にあることを含む請求項3記載のコンピュータに実施される方法。
【請求項8】
方法が、スコアに基づく解析を行って、リンクが非合法である尤度を計算することをさらに含む請求項1記載のコンピュータに実施される方法。
【請求項9】
従来のメッセージ解析においてその尤度を含むことをさらに含む請求項8記載のコンピュータに実施される方法。
【請求項10】
尤度が所与の閾値を越えているときは、リンクが非合法であるかのようにメッセージを処理し、尤度が所与の閾値を越えていないときは、メッセージを、疑わしいリンクをもっていると識別する請求項8記載のコンピュータに実施される方法。
【請求項11】
電子メッセージを解析するためにクライアントにおいて行われる、コンピュータに実施される方法であって、
クライアントにおいて、電子メッセージを受信することと、
メッセージが少なくとも1つのリンクを含んでいるかどうかを判断することと、
メッセージがリンクを含んでいるときは、リンクを検査して、リンクが、リンクが非合法のリンクであることを示唆する特徴を含んでいるかどうかを判断することと、
リンクが特徴を含んでいるときは、メッセージが、非合法であり得るリンクを含んでいるという警告を提示することとを含む、コンピュータに実施される方法。
【請求項12】
電子メッセージが、リンクを定義するマークアップ言語コードを含んでいる請求項11記載のコンピュータに実施される方法。
【請求項13】
マークアップ言語コードが、リンクの目標を含み、目標が、広域ネットワーク上の位置であり、目標が、広域ネットワーク上のドメインを識別するユニバーサル リソース ロケータ(“URL”)を含む請求項12記載のコンピュータに実施される方法。
【請求項14】
リンクが非合法であることを示唆する特徴が、ドメインがインターネット プロトコル アドレスとして表わされていることを含む請求項13記載のコンピュータに実施される方法。
【請求項15】
マークアップ言語コードが、表示テキスト部分をさらに含み、リンクが非合法であることを示唆する特徴が、表示テキスト部分が、リンクの目標のドメインと異なる表示ドメインを識別するストリングをもっていることを含む請求項13記載のコンピュータに実施される方法。
【請求項16】
リンクが非合法であることを示唆する特徴が、トップレベルのドメイン部分を含むリンクの目標のドメインを含み、トップレベルのドメイン部分が、URLにおいてトップレベルのドメイン位置以外の位置に表わされている請求項13記載のコンピュータに実施される方法。
【請求項17】
電子メッセージが、送信者のドメインを識別するヘッダを含み、リンクが非合法であることを示唆する特徴が、目標のドメインが送信者のドメインの外部にあることを含む請求項13記載のコンピュータに実施される方法。
【請求項18】
方法が、スコアに基づく解析を行って、リンクが非合法である尤度を計算することをさらに含む請求項11記載のコンピュータに実施される方法。
【請求項19】
従来のメッセージ解析においてその尤度を含むことをさらに含む請求項18記載のコンピュータに実施される方法。
【請求項20】
尤度が所与の閾値を越えているときは、リンクが非合法であるかのようにメッセージを処理し、尤度が所与の閾値を越えていないときは、メッセージを、疑わしいリンクをもっていると識別する請求項18記載のコンピュータに実施される方法。
【請求項21】
電子メッセージを解析するためのコンピュータ実行可能命令でコード化されるコンピュータ読み出し可能媒体であって、命令が、
電子メッセージを受信することと、
メッセージが少なくとも1つのリンクを含んでいるかどうかを判断することと、
メッセージがリンクを含んでいるときは、リンクの要素を検査して、リンクが、リンクが非合法のリンクであることを示唆する特徴を含んでいるかどうかを判断することと、
リンクが特徴を含んでいるときは、メッセージが、非合法であり得るリンクを含んでいるという警告を提示することとを含むコンピュータ読み出し可能媒体。
【請求項22】
リンクが、広域ネットワーク上に位置をもつ遠隔のデバイスについての内容を指す目標を含み、その位置が特徴によって示唆されている別の位置と異なるときは、リンクは非合法である請求項21記載のコンピュータ読み出し可能媒体。
【請求項23】
電子メッセージが、リンクを定義するマークアップ言語コードを含んでいる請求項21記載のコンピュータ読み出し可能媒体。
【請求項24】
マークアップ言語コードが、リンクの目標を含み、目標が、広域ネットワーク上の位置であり、目標が、広域ネットワーク上のドメインを識別するユニバーサル リソース ロケータ(“URL”)を含む請求項23記載のコンピュータ読み出し可能媒体。
【請求項25】
リンクが非合法であることを示唆する特徴が、ドメインがインターネット プロトコル アドレスとして表わされていることを含む請求項24記載のコンピュータ読み出し可能媒体。
【請求項26】
マークアップ言語コードが、表示テキスト部分をさらに含み、リンクが非合法であることを示唆する特徴が、表示テキスト部分が、リンクの目標のドメインと異なる表示ドメインを識別するストリングをもっていることを含む請求項24記載のコンピュータ読み出し可能媒体。
【請求項27】
リンクが非合法であることを示唆する特徴が、トップレベルのドメイン部分を含むリンクの目標のドメインを含み、トップレベルのドメイン部分が、URLにおいてトップレベルのドメイン位置以外の位置に表わされている請求項24記載のコンピュータ読み出し可能媒体。
【請求項28】
電子メッセージが、送信者のドメインを識別するヘッダを含み、リンクが非合法であることを示唆する特徴が、目標のドメインが送信者のドメインの外部にあることを含む請求項24記載のコンピュータ読み出し可能媒体。
【請求項29】
電子メッセージを解析する装置であって、
永続的な記憶のためのコンピュータ実行可能命令が記憶されるコンピュータ読み出し可能媒体と、
実行のためのコンピュータ実行可能命令があるコンピュータメモリと、
コンピュータ読み出し可能媒体およびコンピュータメモリにシステムバスで結合されたプロセッサとを含み、プロセッサが、
電子メッセージを受信し、
メッセージが少なくとも1つのリンクを含んでいるかどうかを判断し、
メッセージがリンクを含んでいるときは、リンクの要素を検査して、リンクが、リンクが非合法のリンクであることを示唆する特徴を含んでいるかどうかを判断し、
リンクが特徴を含んでいるときは、メッセージが、非合法であり得るリンクを含んでいるという警告を提示するためのコンピュータ実行可能命令を実行するように動作する装置。
【請求項30】
電子メッセージを解析する装置であって、
電子メッセージを受信する手段と、
メッセージが少なくとも1つのリンクを含んでいるかどうかを判断する手段と、
メッセージがリンクを含んでいるときは、リンクの要素を検査して、リンクが、リンクが非合法のリンクであることを示唆する特徴を含んでいるかどうかを判断する手段と、
リンクが特徴を含んでいるときは、メッセージが、非合法であり得るリンクを含んでいるという警告を提示する手段とを含む装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2008−506210(P2008−506210A)
【公表日】平成20年2月28日(2008.2.28)
【国際特許分類】
【出願番号】特願2007−527762(P2007−527762)
【出願日】平成17年6月10日(2005.6.10)
【国際出願番号】PCT/US2005/020467
【国際公開番号】WO2005/124600
【国際公開日】平成17年12月29日(2005.12.29)
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
【公表日】平成20年2月28日(2008.2.28)
【国際特許分類】
【出願日】平成17年6月10日(2005.6.10)
【国際出願番号】PCT/US2005/020467
【国際公開番号】WO2005/124600
【国際公開日】平成17年12月29日(2005.12.29)
【出願人】(595020643)クゥアルコム・インコーポレイテッド (7,166)
【氏名又は名称原語表記】QUALCOMM INCORPORATED
【Fターム(参考)】
[ Back to top ]