電子メールの送信方向判別システム及び判別プログラム
【課題】ヘッダ情報に依存することなく電子メールの送信方向を正確に判別可能なシステムの実現。
【解決手段】外部ネットワークから内部ネットワークを防護するファイアーウォールサーバ12と社内メールサーバ22との間に設置されたメール中継サーバ20に組み込まれたシステムであって、電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶部42と、受信した電子メールの接続元IPアドレスを取得する感染メール情報通知部38及びアドレス詐称検知部36と、この接続元IPアドレスと基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定部40を備えた電子メールの送信方向判別システム30。
【解決手段】外部ネットワークから内部ネットワークを防護するファイアーウォールサーバ12と社内メールサーバ22との間に設置されたメール中継サーバ20に組み込まれたシステムであって、電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶部42と、受信した電子メールの接続元IPアドレスを取得する感染メール情報通知部38及びアドレス詐称検知部36と、この接続元IPアドレスと基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定部40を備えた電子メールの送信方向判別システム30。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は電子メールの送信方向判別システム及び判別プログラムに係り、特に、企業内ネットワークと外部ネットワークとの間を行き交う電子メールの送信方向を、詐称の可能性のあるヘッダ情報に依存することなく正確に判別する技術に関する。
【背景技術】
【0002】
外部からウィルスに感染した電子メール(以下「ウィルス感染メール」という)が社内ネットワークに侵入したり、逆に社内ネットワークから外部にウィルス感染メールが送信されることを防止するため、多くの企業はファイアーウォールの内側にウィルスチェックプログラムをセットアップしたメール中継サーバ(メールゲートウェイサーバ)を設置し、ウィルス感染メールの送受信を遮断する方策を講じている。
また、ウィルスチェックプログラムは単にウィルス感染メールを破棄したりウィルスの駆除を行うだけでなく、企業内のシステム管理者に対してその都度警告の電子メールを送信する機能を備えている(非特許文献1、2参照)。
【0003】
ところで、システム管理者としては社内ネットワークにウィルスに感染したコンピュータが存在するか否かについてのみ関心があり、そのためには社内から外部に向けて送信された電子メールの感染実態のみを把握すれば十分である。
また、現実問題として外部から送られてくるウィルス感染メールの数は膨大であるため、それらについて一々警告メールが送信されてもシステム管理者としては対応しきれないという事情もある。
このため、ウィルスチェックプログラムの多くは、社内から外部に向かうウィルス感染メールに関してシステム管理者に警告メールを送信し、逆方向のウィルス感染メールについては警告メールを送信しないように設定可能となっている。
【非特許文献1】メールゲートウェイシステム[平成17年2月7日検索] インターネットURL:http://www.cc.mie-u.ac.jp/cc/mailgw.html
【非特許文献2】電子メール・ゲートウェイ向けウイルス対策ソフトを発売[平成17年2月7日検索] インターネットURL:http://ascii24.com/news/i/soft/article/2002/10/22/639427-000.html?geta
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、既存のウィルスチェックプログラムはウィルス感染メールのヘッダ情報を参照し、Fromアドレスに当該企業のドメインが含まれる場合には社内から外部に向けたOutboundの電子メールであると判断し、Fromアドレスに他のドメインが含まれる場合には外部から社内に向けたInboundの電子メールであると判断している。
【0005】
このため、コンピュータウィルスの動作により、あるいは送信者の悪意によってヘッダのFromアドレスが書き換えられている場合には、実際には社内から外部に向けられたウィルス感染メールであり、システム管理者に対して直ちに報告されるべきものが見逃されたり、反対に、実際には外部から社内に向けられたウィルス感染メールであり、システム管理者に報告すべきでないものについて警告メールが送信される可能性がある。
この結果、社内のウィルスに感染したコンピュータの発見が遅れるのはもちろんであるが、外部から送信されたウィルス感染メールに関する警告メールがシステム管理者の元に大量に送り付けられることとなり、正常な業務の遂行を妨げる事態も生じる。
【0006】
また、Fromアドレスの詐称に伴う上記の問題は当該電子メールがウィルスに感染している場合の話であり、このようなウィルス感染メール自体はメール中継サーバにおいて破棄等されるのであるが、ウィルスに感染していないアドレス詐称メールについては何らの規制も働かず、そのままメール中継サーバを通過してしまうこととなる。
しかしながら、そもそもアドレスを詐称しているような電子メールは、送信方向の如何を問わず企業にとって有益である筈がない。
例えば、社内から外部に向けてアドレスを詐称した電子メールが発信されるパターンとしては、社内のコンピュータに感染したウィルスの動作により、アドレス帳に登録された取引先の電子メールアドレスをFromアドレスに記載した電子メールが生成され、同じくアドレス帳に登録された第三の企業に向けて送信される場合が想定される。この際、当該企業の機密ファイルが添付される危険性もある。
これに対し、外部から社内に向けてアドレス詐称メールが送信されるパターンとしては、当該企業のある社員を陥れる目的で、当該社員のアドレスを騙った誹謗中傷メールが外部から他の社員に送信される場合が想定される。
このように、アドレス詐称メールは企業にとって百害あって一利なしであるにもかかわらず、これまでは送信方向の判別をヘッダ情報に基づいて行っていたため、アドレス詐称の有無を検知すること自体が不可能であった。
【0007】
この発明は、従来の上記問題点を解決するために案出されたものであり、詐称の危険性が高い電子メールのヘッダ情報に依存することなく、電子メールの送信方向を正確に判別可能な技術の実現を目的としている。
【課題を解決するための手段】
【0008】
上記の目的を達成するため、請求項1に記載した電子メールの送信方向判別システムは、外部ネットワークから内部ネットワークを防護するファイアーウォールと、内部ネットワークに接続されたメールサーバとの間に設置される電子メールの送信方向判別システムであって、電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶手段と、受信した電子メールの接続元IPアドレスを取得する手段と、この接続元IPアドレスと上記基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定手段とを備えたことを特徴としている。
【0009】
請求項2に記載した電子メールの送信方向判別システムは、請求項1のシステムであって、さらに受信した電子メールのヘッダに記載されたFrom アドレスを取得する手段と、当該電子メールの送信方向とFromアドレスとを比較し、両者が矛盾する場合には当該電子メールをアドレス詐称メールと認定する手段とを備えたことを特徴としている。
【0010】
請求項3に記載した電子メールの送信方向判別システムは、請求項1または2のシステムであって、さらに上記ファイアーウォールのIPアドレスが基準IPアドレス記憶手段に格納されており、上記送信方向判定手段が、電子メールの接続元IPアドレスがファイアーウォールのIPアドレスと一致する場合に当該電子メールの送信方向を外部から内部に向かうInboundと判定し、一致しない場合には内部から外部に向かうOutboundと判定することを特徴としている。
【0011】
請求項4に記載した電子メールの送信方向判別システムは、請求項1または2のシステムであって、さらに上記内部ネットワークに接続されたメールサーバのIPアドレスが基準IPアドレス記憶手段に格納されており、上記送信方向判定手段が、電子メールの接続元IPアドレスが当該メールサーバのIPアドレスと一致する場合に当該電子メールの送信方向を内部から外部に向かうOutboundと判定し、一致しない場合には外部から内部に向かうInboundと判定することを特徴としている。
【0012】
請求項5に記載した電子メールの送信方向判別プログラムは、外部ネットワークから内部ネットワークを防護するファイアーウォールと、内部ネットワークに接続されたメールサーバとの間に設置される電子メールの送信方向判別システムを実現するためのコンピュータプログラムであって、コンピュータを、電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶手段、受信した電子メールの接続元IPアドレスを取得する手段、この接続元IPアドレスと上記基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定手段として機能させることを特徴としている。
【0013】
請求項6に記載した電子メールの送信方向判別プログラムは、請求項5のプログラムであって、さらにコンピュータを、受信した電子メールのヘッダに記載されたFrom アドレスを取得する手段、当該電子メールの送信方向とFromアドレスとを比較し、両者が矛盾する場合には当該電子メールをアドレス詐称メールと認定する手段として機能させることを特徴としている。
【発明の効果】
【0014】
請求項1、3、4に記載した電子メールの送信方向判別システム及び請求項5に記載した判別プログラムによれば、詐称させる危険性の高いヘッダ情報(Fromアドレス)を参照することなく、改変不能なメールの接続情報から接続元IPアドレスを取得し、これと基準IPアドレスとを比較することで送信方向を判定する仕組みであるため、Fromアドレスが詐称されていても電子メールの送信方向を正確に判定することができる。
この結果、例えば送信方向がOutboundであるウィルス感染メールに関する情報のみを、管理者に対し確実に伝達することが可能となる。
【0015】
請求項2に記載した電子メールの送信方向判別システム及び請求項6に記載した判別プログラムによれば、接続元IPアドレスと基準IPアドレスとの比較から得られた真の送信方向と、当該電子メールのヘッダに記載されたFromアドレスとを比較することにより、アドレス詐称メールを確実に検知することが可能となる。
この結果、企業にとって有害なアドレス詐称メールの送受信を事前に排除等することが可能となる。
【発明を実施するための最良の形態】
【0016】
図1は、この発明の適用例を示す模式図であり、インターネット10等のネットワークを介して企業のファイアーウォールサーバ12に接続された外部のメールサーバ14及びクライアントPC16と、ファイアーウォールサーバ12によって外部のネットワークから防護された社内ネットワーク18が描かれている。
社内ネットワーク18は、ファイアーウォールサーバ12に接続されたメール中継サーバ20と、このメール中継サーバ20に接続された複数の社内メールサーバ22と、各メールサーバ22に接続された多数の社内クライアントPC24とから構成される。
また、クライアントPCの中の少なくとも一台は、システム管理者によって利用され、管理者端末26として機能する。
【0017】
この発明に係る電子メールの送信方向判別システム30は、上記のメール中継サーバ20の一機能として組み込まれている。
図2は、メール中継サーバ20の機能構成を示すブロック図であり、中継処理部32と、ウィルス検知部34と、感染メール情報記憶部36と、感染メール情報通知部38と、送信方向判定部40と、基準IPアドレス記憶部42と、管理者情報記憶部44と、アドレス詐称検知部36とを備えている。
上記中継処理部32、ウィルス検知部34、感染メール情報通知部38、送信方向判定部40及びアドレス詐称検知部36は、メール中継サーバ20のCPUが、OS及び専用のアプリケーションプログラムに従って必要な処理を実行することによって実現される。
また、上記感染メール情報記憶部36、基準IPアドレス記憶部42及び管理者情報記憶部44は、メール中継サーバ20のハードディスク内に設けられている。
【0018】
企業の内外からメール中継サーバ20に到達した各電子メールに対しては、中継処理部32によって中継または破棄等の処理が実行される。
基準IPアドレス記憶部42には、電子メールの送信方向を判定する際の基準となるコンピュータのIPアドレスから予め登録されている。ここでは、社内メールサーバ22のIPアドレスが登録されているものとする。
管理者情報記憶部44には、予めシステム管理者の氏名、役職、電子メールアドレスが登録されている。
【0019】
つぎに、図3及び図4のフローチャートに従い、このシステム30における処理手順を説明する。
まず、メール中継サーバ20の中継処理部32が新たな電子メールを受信すると(S10)、ウィルス検知部34が起動し、ウィルス定義ファイルに登録されたコンピュータウィルスが当該電子メールに含まれているか否かをチェックする。
ここでウィルスに感染していることが判明した場合(S12)、中継処理部32は当該電子メールを破棄する(S14)。
同時に、ウィルス検知部34によって当該ウィルス感染メールに関するログ情報が感染メール情報記憶部36に格納される(S16)。感染メール情報記憶部36に格納される情報の項目として、少なくともウィルス感染メールのヘッダ情報及び接続元IPアドレスが含まれている。
【0020】
上記のようにして感染メール情報記憶部36に新たな情報が格納されると、感染メール情報通知部38が起動し、当該ウィルス感染メール情報を読み込み(S18)、その接続元IPアドレスを送信方向判定部40に出力する。
これを受けた送信方向判定部40は、基準IPアドレス記憶部42に登録された社内メールサーバ22の各IPアドレスとウィルス感染メールの接続元IPアドレスとを比較し、両者が一致するか否かを判定する(S20)。
ここで、ウィルス感染メールの接続元IPアドレスが社内メールサーバ22の何れかのIPアドレスと一致した場合、送信方向判定部40は当該ウィルス感染メールの送信方向をOutbound、すなわち社内から外部に向けて送信されたものと認定し、その結果を感染メール情報通知部38に返す。
【0021】
これを受けた感染メール情報通知部38は、システム管理者に対して報告すべき事案と判断し、管理者情報記憶部44よりシステム管理者の氏名、所属、役職、電子メールアドレスを読み込み、これらのデータを所定のテンプレートに充填した警告メールを生成する。この警告メールには、少なくとも発信源となったクライアントPCのIPアドレス、発信日時情報、ヘッダ情報が含まれている。
つぎに感染メール情報通知部38は、この警告メールを社内メールサーバ22経由でシステム管理者のクライアントPC26に送信する。
この警告メールを受信したシステム管理者は、直ちに発信源となったクライアントPC24を特定し、コンピュータウィルスのチェック及び駆除を実行する。
【0022】
上記のS20において、ウィルス感染メールの接続元IPアドレスが社内メールサーバ22の何れのIPアドレスとも一致しない場合、送信方向判定部40は当該ウィルス感染メールの送信方向をInbound、すなわち外部から社内に向けて送信されたものと認定し、その結果を感染メール情報通知部38に返す。
この場合、感染メール情報通知部38はシステム管理者に対して報告する必要がない事案と判断し、システム管理者に宛てた警告メールの送信を行わない。
【0023】
上記のように、送信方向判定部40はウィルス感染メールのFromアドレスを参照することなく、接続元IPアドレスから送信方向を判定しているため、Fromアドレスが詐称されていてもウィルス感染メールの送信方向を正確に判定することができる。
【0024】
上記のS12において、ウィルス検知部34によって電子メールがウィルスに感染していないものと判定された場合、アドレス詐称検知部36が起動し、中継処理部32より当該電子メールの接続元IPアドレスを取得し(図3のS30)、送信方向判定部40に出力する。
これを受けた送信方向判定部40は、基準IPアドレス記憶部42に登録された社内メールサーバ22の各IPアドレスとウィルス非感染メールの接続元IPアドレスとを比較し、両者が一致するか否かを判定する。
ここで、ウィルス非感染メールの接続元IPアドレスが社内メールサーバ22の何れかのIPアドレスと一致した場合(S32)、送信方向判定部40は当該ウィルス非感染メールの送信方向をOutbound、すなわち社内から外部に向けて送信されたものと認定し、その結果をアドレス詐称検知部36に返す。
【0025】
これを受けたアドレス詐称検知部36は、中継処理部32より当該ウィルス非感染メールのヘッダに記述されたFromアドレスを取得し(S34)、これが社内ドメイン名と一致するか否かを判定する(S36)。
ここで、Fromアドレスが社内ドメイン名と一致する場合、当該ウィルス非感染メールは送信方向とヘッダ情報の記載が整合するため適正な電子メールであると認定され、中継処理部32を通じて外部のメールサーバ14に中継される(S38)。
これに対し、Fromアドレスが社内ドメイン名と一致しない場合、当該ウィルス非感染メールは送信方向とヘッダ情報の記載が矛盾するためアドレス詐称メールであると認定され、中継処理部32によって破棄される(S40)。
【0026】
一方、ウィルス非感染メールの接続元IPアドレスが社内メールサーバ22の何れのIPアドレスとも一致しない場合(S32)、送信方向判定部40は当該ウィルス感染メールの送信方向をInbound、すなわち外部から社内に向けて送信されたものと認定し、その結果をアドレス詐称検知部36に返す。
【0027】
これを受けたアドレス詐称検知部36は、中継処理部32より当該ウィルス非感染メールのヘッダに記述されたFromアドレスを取得し(S42)、これが社内ドメイン名と一致するか否かを判定する(S44)。
ここで、Fromアドレスが社内ドメイン名と一致しない場合、当該ウィルス非感染メールは送信方向とヘッダ情報の記載が整合するため適正な電子メールであると認定され、中継処理部32を通じて社内メールサーバ22に中継される(S38)。
これに対し、Fromアドレスが社内ドメイン名と一致した場合、当該ウィルス非感染メールは送信方向とヘッダ情報の記載が矛盾するためアドレス詐称メールであると認定され、中継処理部32によって破棄される(S40)。
【0028】
なお、アドレス詐称検知部36によってアドレス詐称メールと認定された場合に、上記のように中継処理部32によって直ちにこれを破棄する代わりに、一旦保留扱いとして管理者に通知し、その判断に基づいて破棄または中継するように柔軟に運用することもできる。
【0029】
上記においては基準IPアドレスとして社内メールサーバ22のIPアドレスを用いた例を示したが、電子メールの接続元IPアドレスとの対比で当該電子メールの送信方向(Inbound/Outbound)を決定できるものであれば、他のコンピュータのIPアドレスを基準IPアドレス記憶部42に登録しておくこともできる。
例えば、ファイアーウォールサーバ12のIPアドレスを基準IPアドレスとして基準IPアドレス記憶部42に登録しておいた場合、送信方向判定部40はその接続元IPアドレスが基準IPアドレスと一致する電子メールをInboundと判定し、一致しない電子メールをOutboundと判定する。
【0030】
上記にあっては、メール中継サーバ20にウィルス感染メール対応機能(ウィルス感染メールの検知、破棄、システム管理者への通知)と、アドレス詐称メール対応機能(アドレス詐称メールの検知、破棄)の両者を設けた例を説明したが、何れか一方のみを備えたシステム構成とすることもできる。
また、この発明に係る電子メールの送信方向判別システムを、上記のようにメール中継サーバ20の一機能としてこれに組み込む代わりに、独立した装置として構成することも当然に可能である。
【図面の簡単な説明】
【0031】
【図1】この発明に係る電子メールの送信方向判別システムの適用場面を示す模式図である。
【図2】電子メールの送信方向判別システムを含むメール中継サーバの機能構成を示すブロック図である。
【図3】電子メールの送信方向判別システムを含むメール中継サーバにおける処理手順を示すフローチャートである。
【図4】電子メールの送信方向判別システムを含むメール中継サーバにおける処理手順を示すフローチャートである。
【符号の説明】
【0032】
10 インターネット
12 ファイアーウォールサーバ
14 メールサーバ
18 社内ネットワーク
20 メール中継サーバ
22 社内メールサーバ
26 管理者端末
30 電子メールの送信方向判別システム
32 中継処理部
34 ウィルス検知部
36 アドレス詐称検知部
36 感染メール情報記憶部
38 感染メール情報通知部
40 送信方向判定部
42 アドレス記憶部
44 管理者情報記憶部
【技術分野】
【0001】
この発明は電子メールの送信方向判別システム及び判別プログラムに係り、特に、企業内ネットワークと外部ネットワークとの間を行き交う電子メールの送信方向を、詐称の可能性のあるヘッダ情報に依存することなく正確に判別する技術に関する。
【背景技術】
【0002】
外部からウィルスに感染した電子メール(以下「ウィルス感染メール」という)が社内ネットワークに侵入したり、逆に社内ネットワークから外部にウィルス感染メールが送信されることを防止するため、多くの企業はファイアーウォールの内側にウィルスチェックプログラムをセットアップしたメール中継サーバ(メールゲートウェイサーバ)を設置し、ウィルス感染メールの送受信を遮断する方策を講じている。
また、ウィルスチェックプログラムは単にウィルス感染メールを破棄したりウィルスの駆除を行うだけでなく、企業内のシステム管理者に対してその都度警告の電子メールを送信する機能を備えている(非特許文献1、2参照)。
【0003】
ところで、システム管理者としては社内ネットワークにウィルスに感染したコンピュータが存在するか否かについてのみ関心があり、そのためには社内から外部に向けて送信された電子メールの感染実態のみを把握すれば十分である。
また、現実問題として外部から送られてくるウィルス感染メールの数は膨大であるため、それらについて一々警告メールが送信されてもシステム管理者としては対応しきれないという事情もある。
このため、ウィルスチェックプログラムの多くは、社内から外部に向かうウィルス感染メールに関してシステム管理者に警告メールを送信し、逆方向のウィルス感染メールについては警告メールを送信しないように設定可能となっている。
【非特許文献1】メールゲートウェイシステム[平成17年2月7日検索] インターネットURL:http://www.cc.mie-u.ac.jp/cc/mailgw.html
【非特許文献2】電子メール・ゲートウェイ向けウイルス対策ソフトを発売[平成17年2月7日検索] インターネットURL:http://ascii24.com/news/i/soft/article/2002/10/22/639427-000.html?geta
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、既存のウィルスチェックプログラムはウィルス感染メールのヘッダ情報を参照し、Fromアドレスに当該企業のドメインが含まれる場合には社内から外部に向けたOutboundの電子メールであると判断し、Fromアドレスに他のドメインが含まれる場合には外部から社内に向けたInboundの電子メールであると判断している。
【0005】
このため、コンピュータウィルスの動作により、あるいは送信者の悪意によってヘッダのFromアドレスが書き換えられている場合には、実際には社内から外部に向けられたウィルス感染メールであり、システム管理者に対して直ちに報告されるべきものが見逃されたり、反対に、実際には外部から社内に向けられたウィルス感染メールであり、システム管理者に報告すべきでないものについて警告メールが送信される可能性がある。
この結果、社内のウィルスに感染したコンピュータの発見が遅れるのはもちろんであるが、外部から送信されたウィルス感染メールに関する警告メールがシステム管理者の元に大量に送り付けられることとなり、正常な業務の遂行を妨げる事態も生じる。
【0006】
また、Fromアドレスの詐称に伴う上記の問題は当該電子メールがウィルスに感染している場合の話であり、このようなウィルス感染メール自体はメール中継サーバにおいて破棄等されるのであるが、ウィルスに感染していないアドレス詐称メールについては何らの規制も働かず、そのままメール中継サーバを通過してしまうこととなる。
しかしながら、そもそもアドレスを詐称しているような電子メールは、送信方向の如何を問わず企業にとって有益である筈がない。
例えば、社内から外部に向けてアドレスを詐称した電子メールが発信されるパターンとしては、社内のコンピュータに感染したウィルスの動作により、アドレス帳に登録された取引先の電子メールアドレスをFromアドレスに記載した電子メールが生成され、同じくアドレス帳に登録された第三の企業に向けて送信される場合が想定される。この際、当該企業の機密ファイルが添付される危険性もある。
これに対し、外部から社内に向けてアドレス詐称メールが送信されるパターンとしては、当該企業のある社員を陥れる目的で、当該社員のアドレスを騙った誹謗中傷メールが外部から他の社員に送信される場合が想定される。
このように、アドレス詐称メールは企業にとって百害あって一利なしであるにもかかわらず、これまでは送信方向の判別をヘッダ情報に基づいて行っていたため、アドレス詐称の有無を検知すること自体が不可能であった。
【0007】
この発明は、従来の上記問題点を解決するために案出されたものであり、詐称の危険性が高い電子メールのヘッダ情報に依存することなく、電子メールの送信方向を正確に判別可能な技術の実現を目的としている。
【課題を解決するための手段】
【0008】
上記の目的を達成するため、請求項1に記載した電子メールの送信方向判別システムは、外部ネットワークから内部ネットワークを防護するファイアーウォールと、内部ネットワークに接続されたメールサーバとの間に設置される電子メールの送信方向判別システムであって、電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶手段と、受信した電子メールの接続元IPアドレスを取得する手段と、この接続元IPアドレスと上記基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定手段とを備えたことを特徴としている。
【0009】
請求項2に記載した電子メールの送信方向判別システムは、請求項1のシステムであって、さらに受信した電子メールのヘッダに記載されたFrom アドレスを取得する手段と、当該電子メールの送信方向とFromアドレスとを比較し、両者が矛盾する場合には当該電子メールをアドレス詐称メールと認定する手段とを備えたことを特徴としている。
【0010】
請求項3に記載した電子メールの送信方向判別システムは、請求項1または2のシステムであって、さらに上記ファイアーウォールのIPアドレスが基準IPアドレス記憶手段に格納されており、上記送信方向判定手段が、電子メールの接続元IPアドレスがファイアーウォールのIPアドレスと一致する場合に当該電子メールの送信方向を外部から内部に向かうInboundと判定し、一致しない場合には内部から外部に向かうOutboundと判定することを特徴としている。
【0011】
請求項4に記載した電子メールの送信方向判別システムは、請求項1または2のシステムであって、さらに上記内部ネットワークに接続されたメールサーバのIPアドレスが基準IPアドレス記憶手段に格納されており、上記送信方向判定手段が、電子メールの接続元IPアドレスが当該メールサーバのIPアドレスと一致する場合に当該電子メールの送信方向を内部から外部に向かうOutboundと判定し、一致しない場合には外部から内部に向かうInboundと判定することを特徴としている。
【0012】
請求項5に記載した電子メールの送信方向判別プログラムは、外部ネットワークから内部ネットワークを防護するファイアーウォールと、内部ネットワークに接続されたメールサーバとの間に設置される電子メールの送信方向判別システムを実現するためのコンピュータプログラムであって、コンピュータを、電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶手段、受信した電子メールの接続元IPアドレスを取得する手段、この接続元IPアドレスと上記基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定手段として機能させることを特徴としている。
【0013】
請求項6に記載した電子メールの送信方向判別プログラムは、請求項5のプログラムであって、さらにコンピュータを、受信した電子メールのヘッダに記載されたFrom アドレスを取得する手段、当該電子メールの送信方向とFromアドレスとを比較し、両者が矛盾する場合には当該電子メールをアドレス詐称メールと認定する手段として機能させることを特徴としている。
【発明の効果】
【0014】
請求項1、3、4に記載した電子メールの送信方向判別システム及び請求項5に記載した判別プログラムによれば、詐称させる危険性の高いヘッダ情報(Fromアドレス)を参照することなく、改変不能なメールの接続情報から接続元IPアドレスを取得し、これと基準IPアドレスとを比較することで送信方向を判定する仕組みであるため、Fromアドレスが詐称されていても電子メールの送信方向を正確に判定することができる。
この結果、例えば送信方向がOutboundであるウィルス感染メールに関する情報のみを、管理者に対し確実に伝達することが可能となる。
【0015】
請求項2に記載した電子メールの送信方向判別システム及び請求項6に記載した判別プログラムによれば、接続元IPアドレスと基準IPアドレスとの比較から得られた真の送信方向と、当該電子メールのヘッダに記載されたFromアドレスとを比較することにより、アドレス詐称メールを確実に検知することが可能となる。
この結果、企業にとって有害なアドレス詐称メールの送受信を事前に排除等することが可能となる。
【発明を実施するための最良の形態】
【0016】
図1は、この発明の適用例を示す模式図であり、インターネット10等のネットワークを介して企業のファイアーウォールサーバ12に接続された外部のメールサーバ14及びクライアントPC16と、ファイアーウォールサーバ12によって外部のネットワークから防護された社内ネットワーク18が描かれている。
社内ネットワーク18は、ファイアーウォールサーバ12に接続されたメール中継サーバ20と、このメール中継サーバ20に接続された複数の社内メールサーバ22と、各メールサーバ22に接続された多数の社内クライアントPC24とから構成される。
また、クライアントPCの中の少なくとも一台は、システム管理者によって利用され、管理者端末26として機能する。
【0017】
この発明に係る電子メールの送信方向判別システム30は、上記のメール中継サーバ20の一機能として組み込まれている。
図2は、メール中継サーバ20の機能構成を示すブロック図であり、中継処理部32と、ウィルス検知部34と、感染メール情報記憶部36と、感染メール情報通知部38と、送信方向判定部40と、基準IPアドレス記憶部42と、管理者情報記憶部44と、アドレス詐称検知部36とを備えている。
上記中継処理部32、ウィルス検知部34、感染メール情報通知部38、送信方向判定部40及びアドレス詐称検知部36は、メール中継サーバ20のCPUが、OS及び専用のアプリケーションプログラムに従って必要な処理を実行することによって実現される。
また、上記感染メール情報記憶部36、基準IPアドレス記憶部42及び管理者情報記憶部44は、メール中継サーバ20のハードディスク内に設けられている。
【0018】
企業の内外からメール中継サーバ20に到達した各電子メールに対しては、中継処理部32によって中継または破棄等の処理が実行される。
基準IPアドレス記憶部42には、電子メールの送信方向を判定する際の基準となるコンピュータのIPアドレスから予め登録されている。ここでは、社内メールサーバ22のIPアドレスが登録されているものとする。
管理者情報記憶部44には、予めシステム管理者の氏名、役職、電子メールアドレスが登録されている。
【0019】
つぎに、図3及び図4のフローチャートに従い、このシステム30における処理手順を説明する。
まず、メール中継サーバ20の中継処理部32が新たな電子メールを受信すると(S10)、ウィルス検知部34が起動し、ウィルス定義ファイルに登録されたコンピュータウィルスが当該電子メールに含まれているか否かをチェックする。
ここでウィルスに感染していることが判明した場合(S12)、中継処理部32は当該電子メールを破棄する(S14)。
同時に、ウィルス検知部34によって当該ウィルス感染メールに関するログ情報が感染メール情報記憶部36に格納される(S16)。感染メール情報記憶部36に格納される情報の項目として、少なくともウィルス感染メールのヘッダ情報及び接続元IPアドレスが含まれている。
【0020】
上記のようにして感染メール情報記憶部36に新たな情報が格納されると、感染メール情報通知部38が起動し、当該ウィルス感染メール情報を読み込み(S18)、その接続元IPアドレスを送信方向判定部40に出力する。
これを受けた送信方向判定部40は、基準IPアドレス記憶部42に登録された社内メールサーバ22の各IPアドレスとウィルス感染メールの接続元IPアドレスとを比較し、両者が一致するか否かを判定する(S20)。
ここで、ウィルス感染メールの接続元IPアドレスが社内メールサーバ22の何れかのIPアドレスと一致した場合、送信方向判定部40は当該ウィルス感染メールの送信方向をOutbound、すなわち社内から外部に向けて送信されたものと認定し、その結果を感染メール情報通知部38に返す。
【0021】
これを受けた感染メール情報通知部38は、システム管理者に対して報告すべき事案と判断し、管理者情報記憶部44よりシステム管理者の氏名、所属、役職、電子メールアドレスを読み込み、これらのデータを所定のテンプレートに充填した警告メールを生成する。この警告メールには、少なくとも発信源となったクライアントPCのIPアドレス、発信日時情報、ヘッダ情報が含まれている。
つぎに感染メール情報通知部38は、この警告メールを社内メールサーバ22経由でシステム管理者のクライアントPC26に送信する。
この警告メールを受信したシステム管理者は、直ちに発信源となったクライアントPC24を特定し、コンピュータウィルスのチェック及び駆除を実行する。
【0022】
上記のS20において、ウィルス感染メールの接続元IPアドレスが社内メールサーバ22の何れのIPアドレスとも一致しない場合、送信方向判定部40は当該ウィルス感染メールの送信方向をInbound、すなわち外部から社内に向けて送信されたものと認定し、その結果を感染メール情報通知部38に返す。
この場合、感染メール情報通知部38はシステム管理者に対して報告する必要がない事案と判断し、システム管理者に宛てた警告メールの送信を行わない。
【0023】
上記のように、送信方向判定部40はウィルス感染メールのFromアドレスを参照することなく、接続元IPアドレスから送信方向を判定しているため、Fromアドレスが詐称されていてもウィルス感染メールの送信方向を正確に判定することができる。
【0024】
上記のS12において、ウィルス検知部34によって電子メールがウィルスに感染していないものと判定された場合、アドレス詐称検知部36が起動し、中継処理部32より当該電子メールの接続元IPアドレスを取得し(図3のS30)、送信方向判定部40に出力する。
これを受けた送信方向判定部40は、基準IPアドレス記憶部42に登録された社内メールサーバ22の各IPアドレスとウィルス非感染メールの接続元IPアドレスとを比較し、両者が一致するか否かを判定する。
ここで、ウィルス非感染メールの接続元IPアドレスが社内メールサーバ22の何れかのIPアドレスと一致した場合(S32)、送信方向判定部40は当該ウィルス非感染メールの送信方向をOutbound、すなわち社内から外部に向けて送信されたものと認定し、その結果をアドレス詐称検知部36に返す。
【0025】
これを受けたアドレス詐称検知部36は、中継処理部32より当該ウィルス非感染メールのヘッダに記述されたFromアドレスを取得し(S34)、これが社内ドメイン名と一致するか否かを判定する(S36)。
ここで、Fromアドレスが社内ドメイン名と一致する場合、当該ウィルス非感染メールは送信方向とヘッダ情報の記載が整合するため適正な電子メールであると認定され、中継処理部32を通じて外部のメールサーバ14に中継される(S38)。
これに対し、Fromアドレスが社内ドメイン名と一致しない場合、当該ウィルス非感染メールは送信方向とヘッダ情報の記載が矛盾するためアドレス詐称メールであると認定され、中継処理部32によって破棄される(S40)。
【0026】
一方、ウィルス非感染メールの接続元IPアドレスが社内メールサーバ22の何れのIPアドレスとも一致しない場合(S32)、送信方向判定部40は当該ウィルス感染メールの送信方向をInbound、すなわち外部から社内に向けて送信されたものと認定し、その結果をアドレス詐称検知部36に返す。
【0027】
これを受けたアドレス詐称検知部36は、中継処理部32より当該ウィルス非感染メールのヘッダに記述されたFromアドレスを取得し(S42)、これが社内ドメイン名と一致するか否かを判定する(S44)。
ここで、Fromアドレスが社内ドメイン名と一致しない場合、当該ウィルス非感染メールは送信方向とヘッダ情報の記載が整合するため適正な電子メールであると認定され、中継処理部32を通じて社内メールサーバ22に中継される(S38)。
これに対し、Fromアドレスが社内ドメイン名と一致した場合、当該ウィルス非感染メールは送信方向とヘッダ情報の記載が矛盾するためアドレス詐称メールであると認定され、中継処理部32によって破棄される(S40)。
【0028】
なお、アドレス詐称検知部36によってアドレス詐称メールと認定された場合に、上記のように中継処理部32によって直ちにこれを破棄する代わりに、一旦保留扱いとして管理者に通知し、その判断に基づいて破棄または中継するように柔軟に運用することもできる。
【0029】
上記においては基準IPアドレスとして社内メールサーバ22のIPアドレスを用いた例を示したが、電子メールの接続元IPアドレスとの対比で当該電子メールの送信方向(Inbound/Outbound)を決定できるものであれば、他のコンピュータのIPアドレスを基準IPアドレス記憶部42に登録しておくこともできる。
例えば、ファイアーウォールサーバ12のIPアドレスを基準IPアドレスとして基準IPアドレス記憶部42に登録しておいた場合、送信方向判定部40はその接続元IPアドレスが基準IPアドレスと一致する電子メールをInboundと判定し、一致しない電子メールをOutboundと判定する。
【0030】
上記にあっては、メール中継サーバ20にウィルス感染メール対応機能(ウィルス感染メールの検知、破棄、システム管理者への通知)と、アドレス詐称メール対応機能(アドレス詐称メールの検知、破棄)の両者を設けた例を説明したが、何れか一方のみを備えたシステム構成とすることもできる。
また、この発明に係る電子メールの送信方向判別システムを、上記のようにメール中継サーバ20の一機能としてこれに組み込む代わりに、独立した装置として構成することも当然に可能である。
【図面の簡単な説明】
【0031】
【図1】この発明に係る電子メールの送信方向判別システムの適用場面を示す模式図である。
【図2】電子メールの送信方向判別システムを含むメール中継サーバの機能構成を示すブロック図である。
【図3】電子メールの送信方向判別システムを含むメール中継サーバにおける処理手順を示すフローチャートである。
【図4】電子メールの送信方向判別システムを含むメール中継サーバにおける処理手順を示すフローチャートである。
【符号の説明】
【0032】
10 インターネット
12 ファイアーウォールサーバ
14 メールサーバ
18 社内ネットワーク
20 メール中継サーバ
22 社内メールサーバ
26 管理者端末
30 電子メールの送信方向判別システム
32 中継処理部
34 ウィルス検知部
36 アドレス詐称検知部
36 感染メール情報記憶部
38 感染メール情報通知部
40 送信方向判定部
42 アドレス記憶部
44 管理者情報記憶部
【特許請求の範囲】
【請求項1】
外部ネットワークから内部ネットワークを防護するファイアーウォールと、内部ネットワークに接続されたメールサーバとの間に設置される電子メールの送信方向判別システムであって、
電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶手段と、
受信した電子メールの接続元IPアドレスを取得する手段と、
この接続元IPアドレスと上記基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定手段と、
を備えたことを特徴とする電子メールの送信方向判別システム。
【請求項2】
受信した電子メールのヘッダに記載されたFrom アドレスを取得する手段と、
当該電子メールの送信方向とFromアドレスとを比較し、両者が矛盾する場合には当該電子メールをアドレス詐称メールと認定する手段と、
を備えたことを特徴とする請求項1に記載の電子メールの送信方向判別システム。
【請求項3】
上記ファイアーウォールのIPアドレスが基準IPアドレス記憶手段に格納されており、
上記送信方向判定手段は、電子メールの接続元IPアドレスがファイアーウォールのIPアドレスと一致する場合に当該電子メールの送信方向を外部から内部に向かうInboundと判定し、一致しない場合には内部から外部に向かうOutboundと判定することを特徴とする請求項1または2に記載の電子メールの送信方向判別システム。
【請求項4】
上記内部ネットワークに接続されたメールサーバのIPアドレスが基準IPアドレス記憶手段に格納されており、
上記送信方向判定手段は、電子メールの接続元IPアドレスが当該メールサーバのIPアドレスと一致する場合に当該電子メールの送信方向を内部から外部に向かうOutboundと判定し、一致しない場合には外部から内部に向かうInboundと判定することを特徴とする請求項1または2に記載の電子メールの送信方向判別システム。
【請求項5】
外部ネットワークから内部ネットワークを防護するファイアーウォールと、内部ネットワークに接続されたメールサーバとの間に設置される電子メールの送信方向判別システムを実現するためのコンピュータプログラムであって、
コンピュータを、
電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶手段、
受信した電子メールの接続元IPアドレスを取得する手段、
この接続元IPアドレスと上記基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定手段、
として機能させることを特徴とする電子メールの送信方向判別プログラム。
【請求項6】
コンピュータを、
受信した電子メールのヘッダに記載されたFrom アドレスを取得する手段、
当該電子メールの送信方向とFromアドレスとを比較し、両者が矛盾する場合には当該電子メールをアドレス詐称メールと認定する手段、
として機能させることを特徴とする請求項5に記載の電子メールの送信方向判別プログラム。
【請求項1】
外部ネットワークから内部ネットワークを防護するファイアーウォールと、内部ネットワークに接続されたメールサーバとの間に設置される電子メールの送信方向判別システムであって、
電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶手段と、
受信した電子メールの接続元IPアドレスを取得する手段と、
この接続元IPアドレスと上記基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定手段と、
を備えたことを特徴とする電子メールの送信方向判別システム。
【請求項2】
受信した電子メールのヘッダに記載されたFrom アドレスを取得する手段と、
当該電子メールの送信方向とFromアドレスとを比較し、両者が矛盾する場合には当該電子メールをアドレス詐称メールと認定する手段と、
を備えたことを特徴とする請求項1に記載の電子メールの送信方向判別システム。
【請求項3】
上記ファイアーウォールのIPアドレスが基準IPアドレス記憶手段に格納されており、
上記送信方向判定手段は、電子メールの接続元IPアドレスがファイアーウォールのIPアドレスと一致する場合に当該電子メールの送信方向を外部から内部に向かうInboundと判定し、一致しない場合には内部から外部に向かうOutboundと判定することを特徴とする請求項1または2に記載の電子メールの送信方向判別システム。
【請求項4】
上記内部ネットワークに接続されたメールサーバのIPアドレスが基準IPアドレス記憶手段に格納されており、
上記送信方向判定手段は、電子メールの接続元IPアドレスが当該メールサーバのIPアドレスと一致する場合に当該電子メールの送信方向を内部から外部に向かうOutboundと判定し、一致しない場合には外部から内部に向かうInboundと判定することを特徴とする請求項1または2に記載の電子メールの送信方向判別システム。
【請求項5】
外部ネットワークから内部ネットワークを防護するファイアーウォールと、内部ネットワークに接続されたメールサーバとの間に設置される電子メールの送信方向判別システムを実現するためのコンピュータプログラムであって、
コンピュータを、
電子メールの送信方向を判定するための基準となるコンピュータのIPアドレスを予め格納しておく基準IPアドレス記憶手段、
受信した電子メールの接続元IPアドレスを取得する手段、
この接続元IPアドレスと上記基準IPアドレスとを比較し、両者の一致または不一致の結果に基づいて当該電子メールの送信方向を判定する送信方向判定手段、
として機能させることを特徴とする電子メールの送信方向判別プログラム。
【請求項6】
コンピュータを、
受信した電子メールのヘッダに記載されたFrom アドレスを取得する手段、
当該電子メールの送信方向とFromアドレスとを比較し、両者が矛盾する場合には当該電子メールをアドレス詐称メールと認定する手段、
として機能させることを特徴とする請求項5に記載の電子メールの送信方向判別プログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2006−253757(P2006−253757A)
【公開日】平成18年9月21日(2006.9.21)
【国際特許分類】
【出願番号】特願2005−63441(P2005−63441)
【出願日】平成17年3月8日(2005.3.8)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成18年9月21日(2006.9.21)
【国際特許分類】
【出願日】平成17年3月8日(2005.3.8)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]