Eメールアンチフィッシングインスペクタ
eメールメッセージがフィッシング策略において使用されているかどうかを決定するためにeメールメッセージを検査するためのアプリケーションおよびシステムが開示される。eメール受信者がeメールを受信するとき、eメールは検査のためにEScamサーバに送信される。その検査の間に、EScamサーバは、eメールメッセージの送信者に関連するIPアドレスの発信国などの種々の基準を考慮し、eメールメッセージにスコアを割り当てる。eメールメッセージのスコアと、EScamサーバ内に設定された閾値レベルとに基づいて、eメールクライアントは、eメールメッセージがフィッシング策略の一部であるかまたは合法的なeメールメッセージであるかを決定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人から詐取するために使用されるeメールメッセージ(いわゆる「フィッシング」eメールなど)を検出するための技術に関する。本発明は、EScamサーバを実行するための、方法、システム、およびコンピュータプログラムを提供し、EScamサーバは、eメールメッセージを受け入れ、そのeメールメッセージがフィッシングeメールメッセージであるかどうかを決定する能力を有する。
【背景技術】
【0002】
フィッシングは詐欺であり、そこでは、加害者が、eメール受信者から個人的および財務的な情報を「フィッシュ」することを目的として、ワールドワイドウェブ(World Wide Web)の最大かつ最も信頼のできるウェブサイト(たとえば、eBay、PayPal、MSN、Yahoo、CitiBank、およびAmerica Online)の一部から来るように思われる合法的に見えるeメールを送信する。加害者が、疑いを持たないeメール受信者からそのような情報をひとたび入手すると、次に加害者はその情報を個人的利益のために使用する。
【0003】
現今では、アンチフィッシング解決策を提供する多数のベンダーがある。少数の場合を除くすべてにおいて、これらの解決策は、先回りしてフィッシングeメールを管理するのに役立たない。代わりに、これらの解決策は、周知のフィッシングeメール、ブラックリスト、盗まれたブランドなどに基づいて、早期警告を提供することに頼っている。
【0004】
現在、アンチフィッシング解決策は、3つの主なカテゴリに分類される。
1)リンクチェッキングシステム(Link Checking Systems)は、だまされたサイトにサイトがリンクされているかどうかを決定するためのブラウザベースのである、ブラックリストまたは挙動に関するテクノロジーを使用する。残念ながら、ブラックリスト解決策を使用するシステムは、だまされたサイトをホストしているIPアドレスの第三者アップデートに依存する、純粋に受身の解決策である。
2)早期警告システム(Early Warnig Systems)は、「ハニーポット」(他者のコンピュータシステムに侵入しようと試みる人々を引き寄せて「わなに掛ける」ために特別にセットアップされたインターネット上のコンピュータシステム)、オンラインブランド管理およびスキャニング、ウェブサーバログ分析、およびフィッシングeメールを識別するためのトラフィックキャプチャおよび分析テクノロジーを介した、フィッシングeメールの監視を使用する。これらのシステムは、フィッシング攻撃を迅速に識別し、加盟団体が早期警告を入手できる。しかし、これらのシステムのいずれも、本質的には先回りしたものではない。したがって、これらのシステムは、だまされたサイトの犠牲になることからユーザを保護することができない。
3)認証および証明システム(Authentication and Certificatin Systems)は、eメールに埋め込まれた信頼を受けた画像、デジタル署名、eメール発信者の妥当性検証などを使用する。これは、eメールが合法的であるかどうかを顧客が決定することを可能にする。
【0005】
現在のアンチフィッシング解決策は、リアルタイムでフィッシング攻撃に対処することができない。リンクチェキングシステムを使用する企業は、フィッシング攻撃に対する保護のために絶えずアップデートされるブラックリストに依存しなければならない。残念ながら、リンクチェッキングシステムは先回りした解決策ではなく、ブラックリストのアップデートに依存しなければならないので、フィッシング攻撃に関連したIPアドレスがブラックリストに追加される前に、いくつかの顧客が個人的および財務的な情報をフィッシュされる可能性がある。早期警告システムは、予想される犯罪者をわなに掛け、フィッシング攻撃が発生する前にそれらをシャットダウンすることを試みる。しかし、早期警告システムは、その技術が、スキャニングを利用しないフィッシング攻撃に対処することができないので、これらの目標を達成できないことがしばしばある。認証および証明システムは、種々の識別技術を使用することを必要とされる。たとえば、顧客とサービスプロバイダとの間で共有され、両者間の秘密である画像、デジタル署名、顧客のコンピュータ上に記憶される特定の顧客に特有のコードである。このような技術は、ソフトウェアが顧客のコンピュータ上に保持され、顧客によって定期的にアップデートされなければならないという点で、不便である。
【0006】
したがって、攻撃の時点で先回りして攻撃を停止する、不便でない、アンチフィッシング解決策に対するニーズと要望が存在する。
【発明の開示】
【課題を解決するための手段】
【0007】
本発明は、eメールがフィッシング攻撃に使用されているかどうかをリアルタイムで決定するための方法およびシステムを提供する。例示的な実施形態において、エンドユーザがeメールメッセージを受信するとき、eメールメッセージがフィッシングeメールであるかどうかを決定するために、eメールメッセージがサーバによって分析される。サーバは、フィッシングスコアを作成するためにアルゴリズムにおいて使用される情報を入手するために、eメールメッセージを分析する。フィッシングスコアがスコア閾値を超える場合には、eメールはフィッシングeメールメッセージであると決定される。
【発明を実施するための最良の形態】
【0008】
本発明の上述のおよび他の利点および特徴は、添付の図面を参照して、以下に与えられる本発明の例示的な実施形態の詳細な説明から、より明らかになる。
【0009】
以下の詳細な説明において、添付の図面が参照され、図面は、本明細書の一部を形成し、本発明が実行され得る特定の実施形態を図示する目的で示される。これらの実施形態は、当業者が本発明を実行することを可能にするために十分詳細に説明される。他の実施形態が利用され得ることと、本発明の精神および範囲から逸脱することなく、構造的、論理的、およびプログラミングの変更がなされ得ることとが理解されるべきである。
【0010】
「EScamスコア(EScam Score)」という用語は、ヘッダスコア(Header Score)およびユニフォームリソースロケータ(Uniform Resource Locator)(URL)スコア(Score)を含む値の組み合わせを指す。EScamスコアは、特定のeメールメッセージがどれくらい疑わしいかを表す。
【0011】
「ヘッダスコア」という用語は、分析されるeメールメッセージの中に見出されるインターネットプロトコル(IP)アドレスに関連する値の組み合わせを指す。
【0012】
「URLスコア」という用語は、分析されるeメールメッセージの中に見出されるURLに関連する値の組合せを指す。
【0013】
「信頼されない国(Non−Trusted Country)」という用語は、EScamサーバによって、信頼されるべきでない国として指定される国を指すが、ハイリスク国または海外資産管理局(Office of Foreign Assets Control)(OFAC)国(下記に定義される)ではない。
【0014】
「ハイリスク国(High Risk Country)」という用語は、EScamサーバによって、通常よりも高い犯罪活動を有する国として指定される国を指すが、OFAC国ではない。
【0015】
「信頼される国(Trusted Country)」という用語は、EScamサーバによって、信頼されるべき国として指定される国を指す。
【0016】
「OFAC国(OFAC Country)」という用語は、アメリカ合衆国または別の国によって制裁措置を課された国を指す。
【0017】
「EScamメッセージ(EScam message)」という用語は、EScamサーバによるeメールメッセージの分析の結果を記述する、EScamによって提供されるテキストフィールドを指す。
【0018】
「EScamデータ(EScam Data)」という用語は、eメールヘッダ内のすべてのIPアドレスと、eメールメッセージの本文中のすべてのURLとを詳述する、EScamサーバ報告の一部分を指す。
【0019】
本発明において使用され得るNetAcuityサーバ240は、米国特許出願第09/832,959号において説明されている。該出願は、本出願の譲渡人に同一人に譲渡され、その全体が本明細書中で参考として援用される。
【0020】
図1は、本発明に従ってeメールメッセージがフィッシングeメールであるかどうかを決定するためのステップを図示するフローチャートである。ステップ102において、EScamサーバ202がeメールメッセージをスキャンするリクエストを受信するとき、EScamサーバ202はeメールメッセージの処理を開始する。次にステップ104において、EScamサーバ202は、eメールメッセージの中に任意のeメールヘッダが存在するかどうかを決定する。eメールヘッダがeメールメッセージの中に存在しない場合には、EScamサーバ202はステップ116に進む。eメールメッセージの中にeメールヘッダが存在する場合には、ステップ106において、EScamサーバ202は、ヘッダからIPアドレスを入手するために、eメールメッセージからeメールヘッダを分析する。次にステップ108において、EScamサーバ202は、次のスコアリングのために、ヘッダに関連するIPアドレスがどのように分類されるべきかを決定する。たとえば、ヘッダに関連するIPアドレスの分類およびスコアリングは、以下であり得る。
【0021】
【表1】
ひとたびステップ108においてIPアドレスが分類されると、EScamサーバ202は、ステップ110においてeメールヘッダに関連するIPアドレスの地理的位置を決定するために、IPアドレスをNetAcuityサーバ240に転送する。NetAcuityサーバ240はまた、IPアドレスが匿名プロキシサーバに関連するかどうかを決定し得る。次にステップ112において、IPアドレスがオープンリレーサーバまたはダイナミックサーバであるかどうかを決定するために、IPアドレスはブロックリストに対してチェックされる。ステップ112における決定は、格納されたブロックリストとの比較(ステップ114)のために、たとえば第三者にIPアドレスを転送することによって発生する。さらに、ステップ112において、EScamサーバ202はヘッダスコアを計算する。
【0022】
ステップ114の次に、すべての入手された情報がEScamサーバ202に送信される。次にステップ116において、EScamサーバ202は、eメールメッセージの中に任意のURLが存在するかどうかを決定する。eメールメッセージの中にURLが存在しない場合には、EScamサーバ202はステップ126に進む。URLが存在する場合には、EScamサーバ202は、eメールメッセージの本文からホスト名を抽出するために、EScam API250を使用して、ステップ118においてURLを処理する。次にステップ120において、EScamサーバ202は、IPアドレスに関連するハイパーテキストマークアップ言語(Hypertext Markup Language)(HTML)タグ情報を調査することによって、次のスコアリングのために、URLに関連するIPアドレスをどのように分類すべきかを決定する。たとえば、URLに関連するIPアドレスについての分類およびスコアリングは、以下であり得る。
【0023】
【表2】
ひとたびIPアドレスが分類されると、ステップ120において、EScamサーバ202は、URLに関連するIPアドレスの地理的位置を決定するために(ステップ122)、IPアドレスをNetAcuityサーバ240に転送する。次にステップ124において、EScamサーバ202は、eメールメッセージに関連するそれぞれのIPアドレスについてスコアを計算し、それぞれのIPアドレスについて、組み合わせられたURLスコアおよび理由コードを生成する。理由コードは、特定のIPアドレスがなぜそのスコアを受け取ったのか、の理由に関する。たとえば、EScamサーバ202は、eメールメッセージのIPアドレスがOFAC国から発信され、eメールメッセージの本文がハードコードされた(hard coded)IPアドレスを有するリンクを含むために、eメールは疑わしいと決定されるということを示す理由コードを返し得る。
【0024】
ステップ126において、EScamサーバ202は、eメールメッセージヘッダに関連するeメールサーバからの国コードと、eメールクライアントからの国コードとを比較し、2つのコードが一致することを確かめる。EScamサーバ202は、NetAcuityサーバ240を使用して、eメールサーバおよびeメールクライアントに関する国コード情報を入手する。NetAcuityサーバ240は、eメールサーバおよびクライアントサーバの位置を決定し、eメールサーバおよびeメールクライアントについての特定の国に関連するコードを返す。eメールサーバの国コードとeメールクライアントの国コードとの間に不一致がある場合には、eメールメッセージにはフラグがつけられ、計算されたスコアがしかるべく調整される。たとえば、国コードの間に不一致がある場合には、計算されたスコアは1ポイントだけ増加させられ得る。
【0025】
さらに、EScamスコアが計算される。EScamスコアは、ヘッダスコアおよびURLスコアの組み合わせである。eメールメッセージ内のそれぞれのIPアドレスについてのスコアを加算し、IPアドレスがeメールヘッダからのものかまたはeメール本文におけるURLであるかに基づいてそれらを集計することによって、EScamスコアは決定される。計算は、eメールが詐欺的であるかどうかを決定する際に、より大きなレベルの粒度(granularity)を提供する。
【0026】
EScamは、eメールメッセージがフィッシングeメールであるかどうかを決定するために、所定の閾値レベルと比較され得る。たとえば、最終EScamスコアが閾値レベルを超える場合には、eメールメッセージはフィッシングeメールであると決定される。一実施形態において、EScamサーバ202による決定は、EScamスコアを計算するためにURLスコアのみを使用し得る。しかし、URLスコアが一定の閾値を超える場合には、ヘッダスコアもまた、EScamスコア計算の中に要因の一つとして含められ得る。
【0027】
最後に、ステップ128において、EScamサーバ202は、EScamスコア、EScamメッセージ、およびEScamデータを、eメール受信者に、eメールメッセージに関連するそれぞれのIPアドレスに関する詳細なフォレンシック(forensic)情報を含んで出力する。詳細なフォレンシック情報は、疑わしいeメールメッセージの発信者を突き止めるために使用され得、警察が行動を起こすことを可能にし得る。たとえば、eメールメッセージの分析中にEScamサーバ202によって収集されるフォレンシック情報は、以下であり得る。
【0028】
【化1】
【0029】
【化2】
システム構成に依存して、フィッシングeメールであると決定されたeメールメッセージはまた、たとえば削除され、隔離され(quarantined)、またはレビュー用に単にフラグがつけられ得る。
【0030】
EScamサーバ202は、URLの中のホスト名をIPアドレスに分解する(resolve)ために、ドメインネームサーバ(DNS)ルックアップを利用し得る。さらに、ステップ106においてeメールメッセージのヘッダを分析する際に、EScamサーバ202は、チェーンにおける最終eメールサーバ(eメールメッセージ発信サーバ)を表すIPアドレス、および利用可能な場合にはeメールメッセージの送信eメールクライアントのIPアドレスを、識別し得る。EScamサーバ202は、IPアドレス識別のために、NetAcuityサーバ240を使用する(ステップ110)。EScamサーバ202はまた、送信eメールクライアントを識別し得る。
【0031】
図2は、本発明とともに使用され得る例示的な処理システム200である。システム200は、NetAcuityサーバ240、通信インタフェース212、NetAcuity API214、EScamサーバ202、通信インタフェース210、EScam API250、およびたとえばeメールクライアント260などの少なくとも一つのeメールクライアントを含む。EScamサーバ202の内部には、情報を格納する複数のデータベース(220、222および224)が存在する。たとえば、データベース220は、eメールメッセージに関連する国コードと比較され得るOFAC国コードのリストを格納する。データベース222は、eメールメッセージに関連する国コードと比較され得る疑わしい国コードのリストを格納する。データベース224は、eメールメッセージに関連する国コードと比較され得る信頼される国コードのリストを格納する。
【0032】
EScam API250は、EScamサーバ202および第三者アプリケーションからの種々のファンクションコールを介して、EScamサーバ202と、Microsoft Outlook(登録商標)eメールクライアント262などの第三者アプリケーションとの間のインタフェースを提供する。EScam API250は、たとえばTCP/IPプロトコルを使用して、EScamサーバ202と第三者アプリケーションとの間の、認証メカニズムおよび通信コンジット(conduit)を提供する。EScam API250は、eメールメッセージの本文内に存在する任意のホスト名ならびに任意のIPアドレスを抽出するために、eメールメッセージ本文の分析を実行する。EScam API250はまた、送信側と受信側のeメールアドレスなどの個人的であると決定される情報を取り除くために、eメールヘッダの一部分析を実行する。
【0033】
EScam API250は、eメールクライアント(260、262および264)がEScamサーバ202にeメールメッセージの送信を試みるとき、以下のインタフェース機能を実行し得る。
・eメールメッセージをヘッダおよび本文に分析する。
・ヘッダを処理し、To:、From:およびSubject:情報をeメールメッセージから取り除く。
・EScamサーバ202への送信に備えて、メッセージの本文を処理し、URLを検索する。
・準備されたヘッダおよびURLをEScamサーバ202に送信する。
・EScamサーバ202による処理がひとたび完了すると、EScamサーバ202からリターンコードを検索する。
・EScamサーバ202によって実行される処理から生ずるテキスト形式メッセージを検索する。
・eメールメッセージの処理がひとたび完了すると、EScamサーバ202から最終EScamスコアを検索する。
・eメールメッセージの処理がひとたび完了すると、EScamサーバ202から最終EScamメッセージ(Escam Message)を検索する。
・eメールメッセージの処理が完了すると、EScamサーバ202からEScam詳細(Escam Detail)を検索する。
・ヘッダスコアを検索する。
・URLスコアを検索する。
【0034】
たとえばeメールクライアント260などの特定のeメールクライアントが、入ってくるeメールメッセージを、eメール受信者の受信箱(Inbox)(図示せず)の中に置かれる前に、EScamサーバ202に送信することを可能にする、追加のサポート構成要素がシステム200の中に含まれ得る。構成要素は、通信コンジットを使用してEScamサーバ202と通信するために、EScam API250を使用し得る。EScamサーバ202から返されたEScamスコアに基づいて、構成要素は、たとえば、eメールメッセージを受信者の受信箱の中に残し得るか、またはeメールメッセージを隔離フォルダに移動し得る。eメールメッセージが隔離フォルダの中に移動された場合には、eメールメッセージは、eメールメッセージの件名(subject)に付加されたEScamスコアおよびメッセージと、添付としてeメールメッセージに追加されたEScamデータとを有し得る。
【0035】
したがって、本発明は、IP情報(IP Intelligence)を、eメールメッセージにおける種々の属性と結合する。たとえば、ヘッダおよび本文におけるURLのIPアドレス属性は、eメールメッセージがフィッシング策略において使用されているかどうかを決定する際に使用され得るEScamスコアを計算するためのルールを適用するために、本発明によって使用される。それぞれの個々の要素は、HTMLなどの多数のタグに基づいて、または埋め込まれたURLがハードコードされたIPアドレスを有するかどうかに基づいて、スコアリングされる。本発明は、デスクトップ(図示せず)の中に、またはバックエンドメールサーバの上に、統合され得る。
【0036】
システム200のためのバックエンドメールサーバの実装において、EScam API250は、たとえばeメールクライアント260などのeメールクライアントの中に統合され得る。eメールクライアント260がeメールメッセージを受信すると、eメールクライアント260は、EScam API250および通信インタフェース210を介して、分析のためにeメールメッセージをEScamサーバ202に渡す。返されたコードに基づいて、EScamサーバ202は、eメールメッセージをeメール受信者の受信箱に転送するか、またはおそらく破棄するかを決定する。
【0037】
デスクトップ統合が利用される場合には、eメールクライアントおよびアンチウイルスベンダーは、Windows(登録商標)ベースのEScam API250を有するEScamサーバ202を使用し得る。デスクトップクライアントは、EScamサーバ202に、入ってくるeメールメッセージを分析するように、次にリクエストし得る。EScamサーバ202による分析が完了すると、エンドユーザは、EScamサーバ202からのリターンコードに基づいて、eメールメッセージがどのように扱われるべきかを決定し得る。たとえば、分析されたeメールメッセージを示すためにeメールメッセージの件名をアップデートすることは、フィッシング策略の一部であると決定される。スコアが一定の閾値を超える場合にもまた、eメールメッセージは隔離フォルダに移動させられ得る。
【0038】
本発明は例示的な実施形態とともに説明されたが一方で、しかし、本発明は上記に開示された実施形態に限定されないことが理解されるべきである。むしろ、本発明は、これまで説明されなかった任意の数の変更、代替、置換、または均等な配置を組み込むように修正され得るが、それらは本発明の精神および範囲にふさわしいものである。特に、記載されたEメールアンチフィッシングインスペクタの特定の実施形態は、限定的なものではなく、例示的なものとして受け止められるべきである。したがって、本発明は前述の記載または図面によって限定されるものではなく、添付の特許請求の範囲によってのみ限定されるものである。
【図面の簡単な説明】
【0039】
【図1】図1は、本発明に従ってeメールメッセージがフィッシングeメールであるかどうかを決定するための方法を図示するフローチャートである。
【図2】図2は、本発明の第1の例示的な実施形態を実装するためのコンピュータシステムのブロック図である。
【技術分野】
【0001】
本発明は、個人から詐取するために使用されるeメールメッセージ(いわゆる「フィッシング」eメールなど)を検出するための技術に関する。本発明は、EScamサーバを実行するための、方法、システム、およびコンピュータプログラムを提供し、EScamサーバは、eメールメッセージを受け入れ、そのeメールメッセージがフィッシングeメールメッセージであるかどうかを決定する能力を有する。
【背景技術】
【0002】
フィッシングは詐欺であり、そこでは、加害者が、eメール受信者から個人的および財務的な情報を「フィッシュ」することを目的として、ワールドワイドウェブ(World Wide Web)の最大かつ最も信頼のできるウェブサイト(たとえば、eBay、PayPal、MSN、Yahoo、CitiBank、およびAmerica Online)の一部から来るように思われる合法的に見えるeメールを送信する。加害者が、疑いを持たないeメール受信者からそのような情報をひとたび入手すると、次に加害者はその情報を個人的利益のために使用する。
【0003】
現今では、アンチフィッシング解決策を提供する多数のベンダーがある。少数の場合を除くすべてにおいて、これらの解決策は、先回りしてフィッシングeメールを管理するのに役立たない。代わりに、これらの解決策は、周知のフィッシングeメール、ブラックリスト、盗まれたブランドなどに基づいて、早期警告を提供することに頼っている。
【0004】
現在、アンチフィッシング解決策は、3つの主なカテゴリに分類される。
1)リンクチェッキングシステム(Link Checking Systems)は、だまされたサイトにサイトがリンクされているかどうかを決定するためのブラウザベースのである、ブラックリストまたは挙動に関するテクノロジーを使用する。残念ながら、ブラックリスト解決策を使用するシステムは、だまされたサイトをホストしているIPアドレスの第三者アップデートに依存する、純粋に受身の解決策である。
2)早期警告システム(Early Warnig Systems)は、「ハニーポット」(他者のコンピュータシステムに侵入しようと試みる人々を引き寄せて「わなに掛ける」ために特別にセットアップされたインターネット上のコンピュータシステム)、オンラインブランド管理およびスキャニング、ウェブサーバログ分析、およびフィッシングeメールを識別するためのトラフィックキャプチャおよび分析テクノロジーを介した、フィッシングeメールの監視を使用する。これらのシステムは、フィッシング攻撃を迅速に識別し、加盟団体が早期警告を入手できる。しかし、これらのシステムのいずれも、本質的には先回りしたものではない。したがって、これらのシステムは、だまされたサイトの犠牲になることからユーザを保護することができない。
3)認証および証明システム(Authentication and Certificatin Systems)は、eメールに埋め込まれた信頼を受けた画像、デジタル署名、eメール発信者の妥当性検証などを使用する。これは、eメールが合法的であるかどうかを顧客が決定することを可能にする。
【0005】
現在のアンチフィッシング解決策は、リアルタイムでフィッシング攻撃に対処することができない。リンクチェキングシステムを使用する企業は、フィッシング攻撃に対する保護のために絶えずアップデートされるブラックリストに依存しなければならない。残念ながら、リンクチェッキングシステムは先回りした解決策ではなく、ブラックリストのアップデートに依存しなければならないので、フィッシング攻撃に関連したIPアドレスがブラックリストに追加される前に、いくつかの顧客が個人的および財務的な情報をフィッシュされる可能性がある。早期警告システムは、予想される犯罪者をわなに掛け、フィッシング攻撃が発生する前にそれらをシャットダウンすることを試みる。しかし、早期警告システムは、その技術が、スキャニングを利用しないフィッシング攻撃に対処することができないので、これらの目標を達成できないことがしばしばある。認証および証明システムは、種々の識別技術を使用することを必要とされる。たとえば、顧客とサービスプロバイダとの間で共有され、両者間の秘密である画像、デジタル署名、顧客のコンピュータ上に記憶される特定の顧客に特有のコードである。このような技術は、ソフトウェアが顧客のコンピュータ上に保持され、顧客によって定期的にアップデートされなければならないという点で、不便である。
【0006】
したがって、攻撃の時点で先回りして攻撃を停止する、不便でない、アンチフィッシング解決策に対するニーズと要望が存在する。
【発明の開示】
【課題を解決するための手段】
【0007】
本発明は、eメールがフィッシング攻撃に使用されているかどうかをリアルタイムで決定するための方法およびシステムを提供する。例示的な実施形態において、エンドユーザがeメールメッセージを受信するとき、eメールメッセージがフィッシングeメールであるかどうかを決定するために、eメールメッセージがサーバによって分析される。サーバは、フィッシングスコアを作成するためにアルゴリズムにおいて使用される情報を入手するために、eメールメッセージを分析する。フィッシングスコアがスコア閾値を超える場合には、eメールはフィッシングeメールメッセージであると決定される。
【発明を実施するための最良の形態】
【0008】
本発明の上述のおよび他の利点および特徴は、添付の図面を参照して、以下に与えられる本発明の例示的な実施形態の詳細な説明から、より明らかになる。
【0009】
以下の詳細な説明において、添付の図面が参照され、図面は、本明細書の一部を形成し、本発明が実行され得る特定の実施形態を図示する目的で示される。これらの実施形態は、当業者が本発明を実行することを可能にするために十分詳細に説明される。他の実施形態が利用され得ることと、本発明の精神および範囲から逸脱することなく、構造的、論理的、およびプログラミングの変更がなされ得ることとが理解されるべきである。
【0010】
「EScamスコア(EScam Score)」という用語は、ヘッダスコア(Header Score)およびユニフォームリソースロケータ(Uniform Resource Locator)(URL)スコア(Score)を含む値の組み合わせを指す。EScamスコアは、特定のeメールメッセージがどれくらい疑わしいかを表す。
【0011】
「ヘッダスコア」という用語は、分析されるeメールメッセージの中に見出されるインターネットプロトコル(IP)アドレスに関連する値の組み合わせを指す。
【0012】
「URLスコア」という用語は、分析されるeメールメッセージの中に見出されるURLに関連する値の組合せを指す。
【0013】
「信頼されない国(Non−Trusted Country)」という用語は、EScamサーバによって、信頼されるべきでない国として指定される国を指すが、ハイリスク国または海外資産管理局(Office of Foreign Assets Control)(OFAC)国(下記に定義される)ではない。
【0014】
「ハイリスク国(High Risk Country)」という用語は、EScamサーバによって、通常よりも高い犯罪活動を有する国として指定される国を指すが、OFAC国ではない。
【0015】
「信頼される国(Trusted Country)」という用語は、EScamサーバによって、信頼されるべき国として指定される国を指す。
【0016】
「OFAC国(OFAC Country)」という用語は、アメリカ合衆国または別の国によって制裁措置を課された国を指す。
【0017】
「EScamメッセージ(EScam message)」という用語は、EScamサーバによるeメールメッセージの分析の結果を記述する、EScamによって提供されるテキストフィールドを指す。
【0018】
「EScamデータ(EScam Data)」という用語は、eメールヘッダ内のすべてのIPアドレスと、eメールメッセージの本文中のすべてのURLとを詳述する、EScamサーバ報告の一部分を指す。
【0019】
本発明において使用され得るNetAcuityサーバ240は、米国特許出願第09/832,959号において説明されている。該出願は、本出願の譲渡人に同一人に譲渡され、その全体が本明細書中で参考として援用される。
【0020】
図1は、本発明に従ってeメールメッセージがフィッシングeメールであるかどうかを決定するためのステップを図示するフローチャートである。ステップ102において、EScamサーバ202がeメールメッセージをスキャンするリクエストを受信するとき、EScamサーバ202はeメールメッセージの処理を開始する。次にステップ104において、EScamサーバ202は、eメールメッセージの中に任意のeメールヘッダが存在するかどうかを決定する。eメールヘッダがeメールメッセージの中に存在しない場合には、EScamサーバ202はステップ116に進む。eメールメッセージの中にeメールヘッダが存在する場合には、ステップ106において、EScamサーバ202は、ヘッダからIPアドレスを入手するために、eメールメッセージからeメールヘッダを分析する。次にステップ108において、EScamサーバ202は、次のスコアリングのために、ヘッダに関連するIPアドレスがどのように分類されるべきかを決定する。たとえば、ヘッダに関連するIPアドレスの分類およびスコアリングは、以下であり得る。
【0021】
【表1】
ひとたびステップ108においてIPアドレスが分類されると、EScamサーバ202は、ステップ110においてeメールヘッダに関連するIPアドレスの地理的位置を決定するために、IPアドレスをNetAcuityサーバ240に転送する。NetAcuityサーバ240はまた、IPアドレスが匿名プロキシサーバに関連するかどうかを決定し得る。次にステップ112において、IPアドレスがオープンリレーサーバまたはダイナミックサーバであるかどうかを決定するために、IPアドレスはブロックリストに対してチェックされる。ステップ112における決定は、格納されたブロックリストとの比較(ステップ114)のために、たとえば第三者にIPアドレスを転送することによって発生する。さらに、ステップ112において、EScamサーバ202はヘッダスコアを計算する。
【0022】
ステップ114の次に、すべての入手された情報がEScamサーバ202に送信される。次にステップ116において、EScamサーバ202は、eメールメッセージの中に任意のURLが存在するかどうかを決定する。eメールメッセージの中にURLが存在しない場合には、EScamサーバ202はステップ126に進む。URLが存在する場合には、EScamサーバ202は、eメールメッセージの本文からホスト名を抽出するために、EScam API250を使用して、ステップ118においてURLを処理する。次にステップ120において、EScamサーバ202は、IPアドレスに関連するハイパーテキストマークアップ言語(Hypertext Markup Language)(HTML)タグ情報を調査することによって、次のスコアリングのために、URLに関連するIPアドレスをどのように分類すべきかを決定する。たとえば、URLに関連するIPアドレスについての分類およびスコアリングは、以下であり得る。
【0023】
【表2】
ひとたびIPアドレスが分類されると、ステップ120において、EScamサーバ202は、URLに関連するIPアドレスの地理的位置を決定するために(ステップ122)、IPアドレスをNetAcuityサーバ240に転送する。次にステップ124において、EScamサーバ202は、eメールメッセージに関連するそれぞれのIPアドレスについてスコアを計算し、それぞれのIPアドレスについて、組み合わせられたURLスコアおよび理由コードを生成する。理由コードは、特定のIPアドレスがなぜそのスコアを受け取ったのか、の理由に関する。たとえば、EScamサーバ202は、eメールメッセージのIPアドレスがOFAC国から発信され、eメールメッセージの本文がハードコードされた(hard coded)IPアドレスを有するリンクを含むために、eメールは疑わしいと決定されるということを示す理由コードを返し得る。
【0024】
ステップ126において、EScamサーバ202は、eメールメッセージヘッダに関連するeメールサーバからの国コードと、eメールクライアントからの国コードとを比較し、2つのコードが一致することを確かめる。EScamサーバ202は、NetAcuityサーバ240を使用して、eメールサーバおよびeメールクライアントに関する国コード情報を入手する。NetAcuityサーバ240は、eメールサーバおよびクライアントサーバの位置を決定し、eメールサーバおよびeメールクライアントについての特定の国に関連するコードを返す。eメールサーバの国コードとeメールクライアントの国コードとの間に不一致がある場合には、eメールメッセージにはフラグがつけられ、計算されたスコアがしかるべく調整される。たとえば、国コードの間に不一致がある場合には、計算されたスコアは1ポイントだけ増加させられ得る。
【0025】
さらに、EScamスコアが計算される。EScamスコアは、ヘッダスコアおよびURLスコアの組み合わせである。eメールメッセージ内のそれぞれのIPアドレスについてのスコアを加算し、IPアドレスがeメールヘッダからのものかまたはeメール本文におけるURLであるかに基づいてそれらを集計することによって、EScamスコアは決定される。計算は、eメールが詐欺的であるかどうかを決定する際に、より大きなレベルの粒度(granularity)を提供する。
【0026】
EScamは、eメールメッセージがフィッシングeメールであるかどうかを決定するために、所定の閾値レベルと比較され得る。たとえば、最終EScamスコアが閾値レベルを超える場合には、eメールメッセージはフィッシングeメールであると決定される。一実施形態において、EScamサーバ202による決定は、EScamスコアを計算するためにURLスコアのみを使用し得る。しかし、URLスコアが一定の閾値を超える場合には、ヘッダスコアもまた、EScamスコア計算の中に要因の一つとして含められ得る。
【0027】
最後に、ステップ128において、EScamサーバ202は、EScamスコア、EScamメッセージ、およびEScamデータを、eメール受信者に、eメールメッセージに関連するそれぞれのIPアドレスに関する詳細なフォレンシック(forensic)情報を含んで出力する。詳細なフォレンシック情報は、疑わしいeメールメッセージの発信者を突き止めるために使用され得、警察が行動を起こすことを可能にし得る。たとえば、eメールメッセージの分析中にEScamサーバ202によって収集されるフォレンシック情報は、以下であり得る。
【0028】
【化1】
【0029】
【化2】
システム構成に依存して、フィッシングeメールであると決定されたeメールメッセージはまた、たとえば削除され、隔離され(quarantined)、またはレビュー用に単にフラグがつけられ得る。
【0030】
EScamサーバ202は、URLの中のホスト名をIPアドレスに分解する(resolve)ために、ドメインネームサーバ(DNS)ルックアップを利用し得る。さらに、ステップ106においてeメールメッセージのヘッダを分析する際に、EScamサーバ202は、チェーンにおける最終eメールサーバ(eメールメッセージ発信サーバ)を表すIPアドレス、および利用可能な場合にはeメールメッセージの送信eメールクライアントのIPアドレスを、識別し得る。EScamサーバ202は、IPアドレス識別のために、NetAcuityサーバ240を使用する(ステップ110)。EScamサーバ202はまた、送信eメールクライアントを識別し得る。
【0031】
図2は、本発明とともに使用され得る例示的な処理システム200である。システム200は、NetAcuityサーバ240、通信インタフェース212、NetAcuity API214、EScamサーバ202、通信インタフェース210、EScam API250、およびたとえばeメールクライアント260などの少なくとも一つのeメールクライアントを含む。EScamサーバ202の内部には、情報を格納する複数のデータベース(220、222および224)が存在する。たとえば、データベース220は、eメールメッセージに関連する国コードと比較され得るOFAC国コードのリストを格納する。データベース222は、eメールメッセージに関連する国コードと比較され得る疑わしい国コードのリストを格納する。データベース224は、eメールメッセージに関連する国コードと比較され得る信頼される国コードのリストを格納する。
【0032】
EScam API250は、EScamサーバ202および第三者アプリケーションからの種々のファンクションコールを介して、EScamサーバ202と、Microsoft Outlook(登録商標)eメールクライアント262などの第三者アプリケーションとの間のインタフェースを提供する。EScam API250は、たとえばTCP/IPプロトコルを使用して、EScamサーバ202と第三者アプリケーションとの間の、認証メカニズムおよび通信コンジット(conduit)を提供する。EScam API250は、eメールメッセージの本文内に存在する任意のホスト名ならびに任意のIPアドレスを抽出するために、eメールメッセージ本文の分析を実行する。EScam API250はまた、送信側と受信側のeメールアドレスなどの個人的であると決定される情報を取り除くために、eメールヘッダの一部分析を実行する。
【0033】
EScam API250は、eメールクライアント(260、262および264)がEScamサーバ202にeメールメッセージの送信を試みるとき、以下のインタフェース機能を実行し得る。
・eメールメッセージをヘッダおよび本文に分析する。
・ヘッダを処理し、To:、From:およびSubject:情報をeメールメッセージから取り除く。
・EScamサーバ202への送信に備えて、メッセージの本文を処理し、URLを検索する。
・準備されたヘッダおよびURLをEScamサーバ202に送信する。
・EScamサーバ202による処理がひとたび完了すると、EScamサーバ202からリターンコードを検索する。
・EScamサーバ202によって実行される処理から生ずるテキスト形式メッセージを検索する。
・eメールメッセージの処理がひとたび完了すると、EScamサーバ202から最終EScamスコアを検索する。
・eメールメッセージの処理がひとたび完了すると、EScamサーバ202から最終EScamメッセージ(Escam Message)を検索する。
・eメールメッセージの処理が完了すると、EScamサーバ202からEScam詳細(Escam Detail)を検索する。
・ヘッダスコアを検索する。
・URLスコアを検索する。
【0034】
たとえばeメールクライアント260などの特定のeメールクライアントが、入ってくるeメールメッセージを、eメール受信者の受信箱(Inbox)(図示せず)の中に置かれる前に、EScamサーバ202に送信することを可能にする、追加のサポート構成要素がシステム200の中に含まれ得る。構成要素は、通信コンジットを使用してEScamサーバ202と通信するために、EScam API250を使用し得る。EScamサーバ202から返されたEScamスコアに基づいて、構成要素は、たとえば、eメールメッセージを受信者の受信箱の中に残し得るか、またはeメールメッセージを隔離フォルダに移動し得る。eメールメッセージが隔離フォルダの中に移動された場合には、eメールメッセージは、eメールメッセージの件名(subject)に付加されたEScamスコアおよびメッセージと、添付としてeメールメッセージに追加されたEScamデータとを有し得る。
【0035】
したがって、本発明は、IP情報(IP Intelligence)を、eメールメッセージにおける種々の属性と結合する。たとえば、ヘッダおよび本文におけるURLのIPアドレス属性は、eメールメッセージがフィッシング策略において使用されているかどうかを決定する際に使用され得るEScamスコアを計算するためのルールを適用するために、本発明によって使用される。それぞれの個々の要素は、HTMLなどの多数のタグに基づいて、または埋め込まれたURLがハードコードされたIPアドレスを有するかどうかに基づいて、スコアリングされる。本発明は、デスクトップ(図示せず)の中に、またはバックエンドメールサーバの上に、統合され得る。
【0036】
システム200のためのバックエンドメールサーバの実装において、EScam API250は、たとえばeメールクライアント260などのeメールクライアントの中に統合され得る。eメールクライアント260がeメールメッセージを受信すると、eメールクライアント260は、EScam API250および通信インタフェース210を介して、分析のためにeメールメッセージをEScamサーバ202に渡す。返されたコードに基づいて、EScamサーバ202は、eメールメッセージをeメール受信者の受信箱に転送するか、またはおそらく破棄するかを決定する。
【0037】
デスクトップ統合が利用される場合には、eメールクライアントおよびアンチウイルスベンダーは、Windows(登録商標)ベースのEScam API250を有するEScamサーバ202を使用し得る。デスクトップクライアントは、EScamサーバ202に、入ってくるeメールメッセージを分析するように、次にリクエストし得る。EScamサーバ202による分析が完了すると、エンドユーザは、EScamサーバ202からのリターンコードに基づいて、eメールメッセージがどのように扱われるべきかを決定し得る。たとえば、分析されたeメールメッセージを示すためにeメールメッセージの件名をアップデートすることは、フィッシング策略の一部であると決定される。スコアが一定の閾値を超える場合にもまた、eメールメッセージは隔離フォルダに移動させられ得る。
【0038】
本発明は例示的な実施形態とともに説明されたが一方で、しかし、本発明は上記に開示された実施形態に限定されないことが理解されるべきである。むしろ、本発明は、これまで説明されなかった任意の数の変更、代替、置換、または均等な配置を組み込むように修正され得るが、それらは本発明の精神および範囲にふさわしいものである。特に、記載されたEメールアンチフィッシングインスペクタの特定の実施形態は、限定的なものではなく、例示的なものとして受け止められるべきである。したがって、本発明は前述の記載または図面によって限定されるものではなく、添付の特許請求の範囲によってのみ限定されるものである。
【図面の簡単な説明】
【0039】
【図1】図1は、本発明に従ってeメールメッセージがフィッシングeメールであるかどうかを決定するための方法を図示するフローチャートである。
【図2】図2は、本発明の第1の例示的な実施形態を実装するためのコンピュータシステムのブロック図である。
【特許請求の範囲】
【請求項1】
フィッシングeメールを決定する方法であって、
eメールメッセージを受信することと、
該eメールメッセージについての発信の地理的位置を決定することと、
該決定するステップからの結果に基づいて該eメールメッセージをスコアリングすることと、
該スコアと所定のフィッシング閾値スコアとを比較することと
を包含する、方法。
【請求項2】
前記スコアが前記所定のフィッシング閾値スコアを超える場合には、前記eメールメッセージがフィッシングeメールであると結論される、請求項1に記載の方法。
【請求項3】
前記結論が、リアルタイムで発生する、請求項2に記載の方法。
【請求項4】
前記eメールメッセージをヘッダおよび本文に分析することをさらに包含する、請求項1に記載の方法。
【請求項5】
前記eメールメッセージの送信者に関連するeメールアドレスを、該eメールメッセージから取り除くことをさらに包含する、請求項4に記載の方法。
【請求項6】
前記eメールメッセージの受信者に関連するeメールアドレスを、該eメールメッセージから取り除くことをさらに包含する、請求項4に記載の方法。
【請求項7】
前記eメールメッセージを処理することをさらに包含する、請求項1に記載の方法。
【請求項8】
前記eメールメッセージが、HTML eメールメッセージである、請求項1に記載の方法。
【請求項9】
前記eメールメッセージが、テキストeメールメッセージである、請求項1に記載の方法。
【請求項10】
前記eメールメッセージからURLを検索することをさらに包含する、請求項1に記載の方法。
【請求項11】
前記分析ステップが、EScamサーバの中で発生する、請求項1に記載の方法。
【請求項12】
前記EScamサーバが、eメールスコアリングアルゴリズムを使用する、請求項11に記載の方法。
【請求項13】
前記スコアが、ヘッダスコアおよびURLスコアからなる、請求項1に記載の方法。
【請求項14】
前記URLスコアが、該URLに関連するHTMLタグに基づいて調整される、請求項13に記載の方法。
【請求項15】
前記ヘッダスコアが、前記eメールメッセージの中に含まれるIPアドレスに関連する発信国に基づいて調整される、請求項13に記載の方法。
【請求項16】
前記eメールメッセージが、Microsoft Outlook(登録商標)から受信される、請求項1に記載の方法。
【請求項17】
前記検出方法が、アドインとしてMicrosoft Outlook(登録商標)の中に含まれる、請求項16に記載の方法。
【請求項18】
前記検出方法が、前記eメールメッセージがeメール受信者の受信箱に送信される前に発生する、請求項1に記載の方法。
【請求項19】
前記決定ステップに関連する情報を報告することをさらに包含する、請求項1に記載の方法。
【請求項20】
前記決定ステップが、ヘッダからIPアドレスを抽出する、請求項1に記載の方法。
【請求項21】
前記決定ステップが、前記eメールメッセージの中の属性を使用する、請求項1に記載の方法。
【請求項22】
コンピュータによって実行可能なアプリケーションを含むコンピュータベース媒体であって、該コンピュータは、
eメールメッセージを受信するステップと、
該eメールメッセージについての発信の地理的位置を決定するステップと、
該決定するステップからの結果に基づいて、該eメールメッセージをスコアリングするステップと、
該スコアを所定のフィッシング閾値スコアと比較するステップと
を実行する、
コンピュータベース媒体。
【請求項23】
前記スコアが前記所定のフィッシング閾値スコアを超える場合には、前記eメールメッセージはフィッシングメールであると結論される、請求項22に記載のコンピュータベース媒体。
【請求項24】
前記結論が、リアルタイムで発生する、請求項23に記載のコンピュータベース媒体。
【請求項25】
前記eメールメッセージをヘッダおよび本文に分析することをさらに備える、請求項22に記載のコンピュータベース媒体。
【請求項26】
前記eメールメッセージの送信者に関連するeメールアドレスを、該eメールメッセージから取り除くことをさらに備える、請求項25に記載のコンピュータベース媒体。
【請求項27】
前記eメールメッセージの受信者に関連するeメールアドレスを、該eメールメッセージから取り除くことをさらに備える、請求項25に記載のコンピュータベース媒体。
【請求項28】
前記eメールメッセージを処理することをさらに備える、請求項22に記載のコンピュータベース媒体。
【請求項29】
前記eメールメッセージが、HTML eメールメッセージである、請求項22に記載のコンピュータベース媒体。
【請求項30】
前記eメールメッセージが、テキストeメールメッセージである、請求項22に記載のコンピュータベース媒体。
【請求項31】
前記eメールメッセージからURLを検索することをさらに備える、請求項22に記載のコンピュータベース媒体。
【請求項32】
前記分析ステップが、EScamサーバの中で発生する、請求項22に記載のコンピュータベース媒体。
【請求項33】
前記EScamサーバが、eメールスコアリングアルゴリズムを使用する、請求項32に記載のコンピュータベース媒体。
【請求項34】
前記スコアが、ヘッダスコアおよびURLスコアからなる、請求項22に記載のコンピュータベース媒体。
【請求項35】
前記URLスコアが、該URLに関連するHTMLタグに基づいて調整される、請求項34に記載のコンピュータベース媒体。
【請求項36】
前記ヘッダスコアが、前記eメールメッセージの中に含まれるIPアドレスに関連する発信国に基づいて調整される、請求項34に記載のコンピュータベース媒体。
【請求項37】
前記eメールメッセージが、Microsoft Outlook(登録商標)から受信される、請求項22に記載のコンピュータベース媒体。
【請求項38】
前記検出方法が、アドインとしてMicrosoft Outlook(登録商標)の中に含まれる、請求項37に記載のコンピュータベース媒体。
【請求項39】
前記eメールメッセージが、UNIX(登録商標)ベースのeメールサーバから受信される、請求項22に記載のコンピュータベース媒体。
【請求項40】
前記コンピュータが、前記eメールメッセージがeメール受信者の受信箱に送信される前に前記ステップを実行する、請求項22に記載のコンピュータベース媒体。
【請求項41】
前記決定ステップに関連する情報を報告することをさらに備える、請求項22に記載のコンピュータベース媒体。
【請求項42】
前記決定ステップが、ヘッダからIPアドレスを抽出する、請求項22に記載のコンピュータベース媒体。
【請求項43】
前記決定ステップが、前記eメールメッセージの中の属性を使用する、請求項22に記載のコンピュータベース媒体。
【請求項44】
コンピュータコードを実行するためのプロセッサを含むコンピュータシステムと、
該コンピュータシステムの上での実行のためのアプリケーションと
を備える、フィッシングeメールを決定するためのシステムであって、
該コンピュータシステムは、実行中のアプリケーションがeメールメッセージを受信するときに、該eメールメッセージについての発信の地理的位置を決定し、該決定からの結果に基づいて該eメールメッセージをスコアリングし、および該スコアを所定のフィッシング閾値スコアと比較する、
システム。
【請求項45】
前記アプリケーションが、ウェブベースのアプリケーションである、請求項44に記載のシステム。
【請求項46】
前記スコアが前記所定のフィッシング閾値スコアを超える場合には、前記eメールメッセージがフィッシングeメールであると決定される、請求項44に記載のシステム。
【請求項47】
前記フィッシング決定が、リアルタイムで発生する、請求項46に記載のシステム。
【請求項48】
前記eメールメッセージをヘッダおよび本文に分析することをさらに備える、請求項44に記載のシステム。
【請求項49】
前記eメールメッセージの送信者に関連するeメールアドレスを、該eメールメッセージから取り除くことをさらに備える、請求項48に記載のシステム。
【請求項50】
前記eメールメッセージの受信者に関連するeメールアドレスを、該eメールメッセージから取り除くことをさらに備える、請求項48に記載のシステム。
【請求項51】
前記eメールメッセージを処理することをさらに備える、請求項44に記載のシステム。
【請求項52】
前記eメールメッセージが、HTML eメールメッセージである、請求項44に記載のシステム。
【請求項53】
前記eメールメッセージが、テキストeメールメッセージである、請求項44に記載のシステム。
【請求項54】
前記eメールメッセージからURLを検索することをさらに備える、請求項44に記載のシステム。
【請求項55】
前記決定が、EScamサーバの中で発生する、請求項44に記載のシステム。
【請求項56】
前記EScamサーバが、eメールスコアリングアルゴリズムを使用する、請求項55に記載のシステム。
【請求項57】
前記スコアが、ヘッダスコアおよびURLスコアからなる、請求項44に記載のシステム。
【請求項58】
前記URLスコアが、該URLに関連するHTMLタグに基づいて調整される、請求項57に記載のシステム。
【請求項59】
前記ヘッダスコアが、前記eメールメッセージの中に含まれるIPアドレスに関連する発信国に基づいて調整される、請求項57に記載のシステム。
【請求項60】
前記eメールメッセージが、Microsoft Outlook(登録商標)から受信される、請求項44に記載のシステム。
【請求項61】
前記検出方法が、アドインとしてMicrosoft Outlook(登録商標)の中に含まれる、請求項60に記載のシステム。
【請求項62】
前記eメールメッセージが、UNIX(登録商標)ベースのeメールサーバから受信される、請求項44に記載のシステム。
【請求項63】
前記フィッシング決定が、前記eメールメッセージがeメール受信者の受信箱に送信される前に発生する、請求項44に記載のシステム。
【請求項64】
前記決定に関連する情報を報告することをさらに備える、請求項44に記載のシステム。
【請求項65】
前記決定が、ヘッダからIPアドレスを抽出する、請求項44に記載のシステム。
【請求項66】
前記決定が、前記eメールメッセージの中の属性を使用する、請求項44に記載のシステム。
【請求項67】
フィッシングeメールを決定するシステムであって、
eメールメッセージを受信するための手段と、
該eメールメッセージについての発信の地理的位置を決定するための手段と、
該決定ステップからの決定に基づいて該eメールメッセージをスコアリングするための手段と、
該スコアを所定のフィッシング閾値スコアと比較するための手段と
を備える、システム。
【請求項1】
フィッシングeメールを決定する方法であって、
eメールメッセージを受信することと、
該eメールメッセージについての発信の地理的位置を決定することと、
該決定するステップからの結果に基づいて該eメールメッセージをスコアリングすることと、
該スコアと所定のフィッシング閾値スコアとを比較することと
を包含する、方法。
【請求項2】
前記スコアが前記所定のフィッシング閾値スコアを超える場合には、前記eメールメッセージがフィッシングeメールであると結論される、請求項1に記載の方法。
【請求項3】
前記結論が、リアルタイムで発生する、請求項2に記載の方法。
【請求項4】
前記eメールメッセージをヘッダおよび本文に分析することをさらに包含する、請求項1に記載の方法。
【請求項5】
前記eメールメッセージの送信者に関連するeメールアドレスを、該eメールメッセージから取り除くことをさらに包含する、請求項4に記載の方法。
【請求項6】
前記eメールメッセージの受信者に関連するeメールアドレスを、該eメールメッセージから取り除くことをさらに包含する、請求項4に記載の方法。
【請求項7】
前記eメールメッセージを処理することをさらに包含する、請求項1に記載の方法。
【請求項8】
前記eメールメッセージが、HTML eメールメッセージである、請求項1に記載の方法。
【請求項9】
前記eメールメッセージが、テキストeメールメッセージである、請求項1に記載の方法。
【請求項10】
前記eメールメッセージからURLを検索することをさらに包含する、請求項1に記載の方法。
【請求項11】
前記分析ステップが、EScamサーバの中で発生する、請求項1に記載の方法。
【請求項12】
前記EScamサーバが、eメールスコアリングアルゴリズムを使用する、請求項11に記載の方法。
【請求項13】
前記スコアが、ヘッダスコアおよびURLスコアからなる、請求項1に記載の方法。
【請求項14】
前記URLスコアが、該URLに関連するHTMLタグに基づいて調整される、請求項13に記載の方法。
【請求項15】
前記ヘッダスコアが、前記eメールメッセージの中に含まれるIPアドレスに関連する発信国に基づいて調整される、請求項13に記載の方法。
【請求項16】
前記eメールメッセージが、Microsoft Outlook(登録商標)から受信される、請求項1に記載の方法。
【請求項17】
前記検出方法が、アドインとしてMicrosoft Outlook(登録商標)の中に含まれる、請求項16に記載の方法。
【請求項18】
前記検出方法が、前記eメールメッセージがeメール受信者の受信箱に送信される前に発生する、請求項1に記載の方法。
【請求項19】
前記決定ステップに関連する情報を報告することをさらに包含する、請求項1に記載の方法。
【請求項20】
前記決定ステップが、ヘッダからIPアドレスを抽出する、請求項1に記載の方法。
【請求項21】
前記決定ステップが、前記eメールメッセージの中の属性を使用する、請求項1に記載の方法。
【請求項22】
コンピュータによって実行可能なアプリケーションを含むコンピュータベース媒体であって、該コンピュータは、
eメールメッセージを受信するステップと、
該eメールメッセージについての発信の地理的位置を決定するステップと、
該決定するステップからの結果に基づいて、該eメールメッセージをスコアリングするステップと、
該スコアを所定のフィッシング閾値スコアと比較するステップと
を実行する、
コンピュータベース媒体。
【請求項23】
前記スコアが前記所定のフィッシング閾値スコアを超える場合には、前記eメールメッセージはフィッシングメールであると結論される、請求項22に記載のコンピュータベース媒体。
【請求項24】
前記結論が、リアルタイムで発生する、請求項23に記載のコンピュータベース媒体。
【請求項25】
前記eメールメッセージをヘッダおよび本文に分析することをさらに備える、請求項22に記載のコンピュータベース媒体。
【請求項26】
前記eメールメッセージの送信者に関連するeメールアドレスを、該eメールメッセージから取り除くことをさらに備える、請求項25に記載のコンピュータベース媒体。
【請求項27】
前記eメールメッセージの受信者に関連するeメールアドレスを、該eメールメッセージから取り除くことをさらに備える、請求項25に記載のコンピュータベース媒体。
【請求項28】
前記eメールメッセージを処理することをさらに備える、請求項22に記載のコンピュータベース媒体。
【請求項29】
前記eメールメッセージが、HTML eメールメッセージである、請求項22に記載のコンピュータベース媒体。
【請求項30】
前記eメールメッセージが、テキストeメールメッセージである、請求項22に記載のコンピュータベース媒体。
【請求項31】
前記eメールメッセージからURLを検索することをさらに備える、請求項22に記載のコンピュータベース媒体。
【請求項32】
前記分析ステップが、EScamサーバの中で発生する、請求項22に記載のコンピュータベース媒体。
【請求項33】
前記EScamサーバが、eメールスコアリングアルゴリズムを使用する、請求項32に記載のコンピュータベース媒体。
【請求項34】
前記スコアが、ヘッダスコアおよびURLスコアからなる、請求項22に記載のコンピュータベース媒体。
【請求項35】
前記URLスコアが、該URLに関連するHTMLタグに基づいて調整される、請求項34に記載のコンピュータベース媒体。
【請求項36】
前記ヘッダスコアが、前記eメールメッセージの中に含まれるIPアドレスに関連する発信国に基づいて調整される、請求項34に記載のコンピュータベース媒体。
【請求項37】
前記eメールメッセージが、Microsoft Outlook(登録商標)から受信される、請求項22に記載のコンピュータベース媒体。
【請求項38】
前記検出方法が、アドインとしてMicrosoft Outlook(登録商標)の中に含まれる、請求項37に記載のコンピュータベース媒体。
【請求項39】
前記eメールメッセージが、UNIX(登録商標)ベースのeメールサーバから受信される、請求項22に記載のコンピュータベース媒体。
【請求項40】
前記コンピュータが、前記eメールメッセージがeメール受信者の受信箱に送信される前に前記ステップを実行する、請求項22に記載のコンピュータベース媒体。
【請求項41】
前記決定ステップに関連する情報を報告することをさらに備える、請求項22に記載のコンピュータベース媒体。
【請求項42】
前記決定ステップが、ヘッダからIPアドレスを抽出する、請求項22に記載のコンピュータベース媒体。
【請求項43】
前記決定ステップが、前記eメールメッセージの中の属性を使用する、請求項22に記載のコンピュータベース媒体。
【請求項44】
コンピュータコードを実行するためのプロセッサを含むコンピュータシステムと、
該コンピュータシステムの上での実行のためのアプリケーションと
を備える、フィッシングeメールを決定するためのシステムであって、
該コンピュータシステムは、実行中のアプリケーションがeメールメッセージを受信するときに、該eメールメッセージについての発信の地理的位置を決定し、該決定からの結果に基づいて該eメールメッセージをスコアリングし、および該スコアを所定のフィッシング閾値スコアと比較する、
システム。
【請求項45】
前記アプリケーションが、ウェブベースのアプリケーションである、請求項44に記載のシステム。
【請求項46】
前記スコアが前記所定のフィッシング閾値スコアを超える場合には、前記eメールメッセージがフィッシングeメールであると決定される、請求項44に記載のシステム。
【請求項47】
前記フィッシング決定が、リアルタイムで発生する、請求項46に記載のシステム。
【請求項48】
前記eメールメッセージをヘッダおよび本文に分析することをさらに備える、請求項44に記載のシステム。
【請求項49】
前記eメールメッセージの送信者に関連するeメールアドレスを、該eメールメッセージから取り除くことをさらに備える、請求項48に記載のシステム。
【請求項50】
前記eメールメッセージの受信者に関連するeメールアドレスを、該eメールメッセージから取り除くことをさらに備える、請求項48に記載のシステム。
【請求項51】
前記eメールメッセージを処理することをさらに備える、請求項44に記載のシステム。
【請求項52】
前記eメールメッセージが、HTML eメールメッセージである、請求項44に記載のシステム。
【請求項53】
前記eメールメッセージが、テキストeメールメッセージである、請求項44に記載のシステム。
【請求項54】
前記eメールメッセージからURLを検索することをさらに備える、請求項44に記載のシステム。
【請求項55】
前記決定が、EScamサーバの中で発生する、請求項44に記載のシステム。
【請求項56】
前記EScamサーバが、eメールスコアリングアルゴリズムを使用する、請求項55に記載のシステム。
【請求項57】
前記スコアが、ヘッダスコアおよびURLスコアからなる、請求項44に記載のシステム。
【請求項58】
前記URLスコアが、該URLに関連するHTMLタグに基づいて調整される、請求項57に記載のシステム。
【請求項59】
前記ヘッダスコアが、前記eメールメッセージの中に含まれるIPアドレスに関連する発信国に基づいて調整される、請求項57に記載のシステム。
【請求項60】
前記eメールメッセージが、Microsoft Outlook(登録商標)から受信される、請求項44に記載のシステム。
【請求項61】
前記検出方法が、アドインとしてMicrosoft Outlook(登録商標)の中に含まれる、請求項60に記載のシステム。
【請求項62】
前記eメールメッセージが、UNIX(登録商標)ベースのeメールサーバから受信される、請求項44に記載のシステム。
【請求項63】
前記フィッシング決定が、前記eメールメッセージがeメール受信者の受信箱に送信される前に発生する、請求項44に記載のシステム。
【請求項64】
前記決定に関連する情報を報告することをさらに備える、請求項44に記載のシステム。
【請求項65】
前記決定が、ヘッダからIPアドレスを抽出する、請求項44に記載のシステム。
【請求項66】
前記決定が、前記eメールメッセージの中の属性を使用する、請求項44に記載のシステム。
【請求項67】
フィッシングeメールを決定するシステムであって、
eメールメッセージを受信するための手段と、
該eメールメッセージについての発信の地理的位置を決定するための手段と、
該決定ステップからの決定に基づいて該eメールメッセージをスコアリングするための手段と、
該スコアを所定のフィッシング閾値スコアと比較するための手段と
を備える、システム。
【図1】
【図2】
【図2】
【公表番号】特表2008−520010(P2008−520010A)
【公表日】平成20年6月12日(2008.6.12)
【国際特許分類】
【出願番号】特願2007−540209(P2007−540209)
【出願日】平成17年11月10日(2005.11.10)
【国際出願番号】PCT/US2005/040775
【国際公開番号】WO2006/053142
【国際公開日】平成18年5月18日(2006.5.18)
【出願人】(504359787)デジタル エンボイ, インコーポレイテッド (9)
【公表日】平成20年6月12日(2008.6.12)
【国際特許分類】
【出願日】平成17年11月10日(2005.11.10)
【国際出願番号】PCT/US2005/040775
【国際公開番号】WO2006/053142
【国際公開日】平成18年5月18日(2006.5.18)
【出願人】(504359787)デジタル エンボイ, インコーポレイテッド (9)
[ Back to top ]