Eメールアンチフィッシングインスペクタ
方法、システム、およびコンピュータプログラム製品は、EScamサーバの実施形態を実装するために提供され、これらは、フィッシングEメールを決定するために有用である。方法、システム、およびプログラム製品は、信頼されるURLと関連づけられるサーバを決定するために有用な信頼されるホストマイナ、リンクが信頼されるURLである場合に、ユーザが通信するために有用な信頼されるホストブラウザ、およびユーザの機密情報を要求する文書へのオンサイトリンクを決定するために有用なページスパイダ、の実施形態を実装するためにも提供される。
【発明の詳細な説明】
【技術分野】
【0001】
(関連特許出願の相互参照)
本出願は、2004年11月10日に出願された米国特許出願第10/985,664号の一部継続出願であり、上記出願の全体は、参照によって本願明細書に援用される。
【0002】
(発明の分野)
本発明は、個人から詐取するために用いられるEメールメッセージ(いわゆる「フィッシング」Eメールなど)を検出するための技術に関する。本発明は、Eメールメッセージを受取り、このEメールメッセージがフィッシングEメールメッセージであるか否かを決定するための方法、システム、およびコンピュータプログラム製品(以下、「方法(method)」または「方法(methods)」)を提供する。本発明は、決定された信頼のレベルをユーザに伝達するための方法だけでなく、宛先URLが「信頼される(trusted)」ホストであり、地理的に予期される場所に位置するか否かを決定するために、要求されたURLを評価するための方法をも含む。本発明はさらに、信頼されるホストを引き出すための方法を含み、その方法は、信頼されるサーバの1つ以上のインターネットプロトコル(IP)アドレスを信頼されるURLと関連づける。方法はまた、ユーザから機密情報を要求する文書へのオンサイトリンクを決定するために、文書中のリンクを処理するために提供される。
【背景技術】
【0003】
(発明の背景)
(関連技術の説明)
フィッシングは信用詐欺であり、犯罪者が、Eメール受信者から個人情報および金融情報を「フィッシュ」しようと力を尽くして、ワールドワイドウェブの最も大きくかつ信頼できるウェブサイト(例えば、eBay、PayPal、MSN、Yahoo、CitiBank、およびAmerica Online)などから来るような合法的な外観のEメールを送り出す信用詐欺である。一旦、犯罪者が、疑いをもたないEメール受信者からそのような個人情報および金融情報を得ると、犯罪者はその後、自己の利益のためにその情報を用いる。
【0004】
今日、多くのベンダがアンチフィッシングの解決策を提供している。これらの解決策は、フィッシングEメールを予防的に管理することには役立たない。代わりに、これらは、既知のフィッシングEメール、ブラックリスト、盗まれたブランドなどに基づいた早期の警告を提供することに頼っている。
【0005】
現在、アンチフィッシングの解決策は、3つの大きなカテゴリに分かれる。
1)リンクチェックシステム。このシステムは、サイトがスプーフィングされたサイトにリンクされるか否かを決定するために、ブラウザベースのブラックリストまたは挙動技術を用いる。残念なことに、ブラックリスト解決策を用いるシステムは、スプーフィングされたサイトをホストするIPアドレスのサードパーティアップデートに頼る、まったく受身の解決策である。
2)早期警告システム。このシステムは、フィッシングEメールを識別するために、「ハニーポット」(インターネット上のコンピュータシステムであり、他人のコンピュータシステムへ侵入を試みる人々を引き付けて「トラップする」ために特に設定される)を介するフィッシングEメールの監視技術、オンラインブランド管理およびスキャン技術、Webサーバログ分析技術、およびトラヒック捕捉および分析技術を用いる。これらのシステムが、迅速にフィッシング攻撃を識別し得ることにより、メンバー機関は早期の警告を取得し得る。しかし、これらのシステムのいずれも全く予防的ではない。従って、これらのシステムは、スプーフィングされたサイトによってユーザが犠牲にされることからユーザを保護することに役立たない。
3)認証および証明システム。このシステムは、Eメール、デジタル署名、Eメールの由来の妥当性検証などに埋込まれた信頼されるイメージを用いる。このシステムは、Eメールが合法であるか否かを顧客が決定することを可能にする。
【0006】
現在のアンチフィッシングの解決策は、リアルタイムでフィッシング攻撃に取組むことに役立たない。リンクチェックシステムを用いるビジネスは、フィッシング攻撃に対する保護のために、常にアップデートされているブラックリストに頼らなければならない。残念なことに、リンクチェックシステムが予防的な解決策ではなく、ブラックリストのアップデートに頼らなければならないので、フィッシング攻撃と関連づけられるIPアドレスがブラックリストに追加される前に、何人かの顧客が個人情報および金融情報に対してフィッシングされ得る可能性がある。早期警告システムは、未来の犯罪者をトラップして、フィッシング攻撃が起こる前にその攻撃を封じ込めることを試みる。しかし、このシステムはしばしば、それらの目的を達成することに失敗する。なぜなら、その技法が、スキャンを利用しないフィッシング攻撃に取組むことに役立たないからである。認証および証明システムは、様々な識別技法を用いることを要求される。その技法は、例えば、顧客とサービスプロバイダとの間において両者間で秘密のイメージを共有すること、デジタル署名、そして顧客のコンピュータ上で保存される特定の顧客に固有のコードである。このような技法は、顧客によって、ソフトウェアが顧客のコンピュータ上でメンテナンスされ、定期的にアップデートされなければならないという点で面倒である。
【発明の開示】
【発明が解決しようとする課題】
【0007】
従って、フィッシング攻撃の時点で攻撃を予防的に阻止し、かつ面倒が最小なアンチフィッシングの解決策へのニーズと要求がある。
【0008】
ブラックリストまたはホワイトリストを用いることなく、宛先ホストが信頼されることを予防的に確証し得る解決策に対するニーズもまた存在する。
【0009】
Eメールから取り出されたURLと関連づけられる信頼のレベルに少なくとも基づいた、フィッシングEメールを決定するための方法もまた必要である。
【0010】
信頼されるURLと信頼されるサーバの1つ以上のIPアドレスとを関連づけるさらなるニーズは存在し、URLのホストと関連づけられる信頼のレベルをユーザに伝達するニーズが存在する。
【0011】
最後に、機密情報を要求する文書へのオンサイトリンクを決定するために、文書中のリンクを処理する方法もまた当該分野において必要である。
【課題を解決するための手段】
【0012】
(発明の概要)
本発明は、Eメールメッセージがフィッシング攻撃に用いられるか否かをリアルタイムで決定するための方法を提供する。1つの実施形態において、エンドユーザがEメールメッセージを受信する前に、Eメールメッセージは、EメールメッセージがフィッシングEメールであるか否かを決定するためにサーバによって分析される。このサーバは、フィッシングスコアを作成するためのアルゴリズムの中で用いられる、情報を取得するためにEメールメッセージを構文解析する。フィッシングスコアが所定の閾値を超える場合、そのEメールは、フィッシングEメールメッセージであると決定される。さらなる実施形態において、Eメールから取出された記述内容と保存された記述内容との間の比較に基づいて、そのEメールがフィッシングEメールであると決定され得る。
【0013】
信頼されるサーバの1つ以上のIPアドレスを信頼されるURLと関連づけるための方法もまた、本発明において提供される。機密情報を要求する文書を参照するオンサイトリンクを決定するために、文書中のリンクを処理するためのさらなる方法が提供される。
【0014】
本発明はまた、要求されたURLの宛先が信頼されるホストであるか否かを決定するための方法を提供する。1つの実施形態において、ユーザがブラウザによってURLを訪れることを選択する場合に、宛先ページの内容は、そのページが信頼されるホストからのみ来るべきである情報を含むことを示すためにスキャンされる。そのページが信頼されるホストからのみ戻るべきである情報を含む場合、宛先ホストはそれから、そのホストが信頼されるホストのデータベース(DB)中に含まれる信頼されるホストであることを確証するためにチェックされる。データベースに含まれない場合、ユーザは、内容が信頼されるべきでないことを警告される。
【0015】
本発明の前記ならびに他の利点および特徴は、添付の図面を参照しながら以下に示される本発明の実施形態の詳細な説明からより明らかになる。
【0016】
以下の詳細な説明において、本明細書の一部分を形成する添付の図面に対して参照が行われ、その図面において、本発明が実施され得る特定の実施形態が例示として示される。これらの実施形態は、当業者が本発明を実施することを可能にするために十分詳しく記述され、本発明の精神および範囲から逸脱することなく、他の実施形態が利用され得、構造的、論理的およびプログラミングの変更がなされ得ることは、理解されるべきである。
【発明を実施するための最良の形態】
【0017】
(発明の詳細な説明)
本発明の方法、システム、およびコンピュータプログラム製品が開示され、記述されるに先立ち、本発明が固有の方法、固有の構成要素、または特定の構成(それらはもちろん変わり得るので)に限定されないことが、理解されるべきである。本明細書中に用いられる用語は、特定の実施形態を記述する目的のためだけであり、限定されることを意図しないこともまた、理解されるべきである。
【0018】
別段の明確な明示がない限り、本明細書中に記述されるいかなる方法または実施形態も、そのステップが固有の順序で実行されることを必要とすると解釈されることは少しも意図されない。従って、ステップが固有の順序に限定されるべきであるとの方法の主張が、特許請求の範囲または説明において特に明示されなければ、いかなる関連においても1つの順序が推論されることは少しも意図されない。これは、解釈の目的で、ステップまたは動作フローの配列に関する論理の問題、文法構成または句読法から引出される単純な意味、または明細書中に記述される実施形態の数またはタイプを含む、明確でないあらゆる可能性を保有している。さらに、方法、システム、またはコンピュータプログラム製品の法定のクラスを示す、現在のアプリケーションにおいて、様々な実施形態が提供される一方、本発明が、いかなる法定のクラスにおいても、実行され、実施され、または請求され得ることは注目されるべきである。
【0019】
用語「EScamスコア」は、ヘッダスコアとURL(Uniform Resource Locator)スコアとを含む値の組合せを示す。EScamスコアは、特定のEメールメッセージがどれほど疑わしいかを表す。
【0020】
用語「ヘッダスコア」は、分析されるEメールメッセージ中に見出される、インターネットプロトコル(IP)アドレスと関連づけられる値の組合せを示す。
【0021】
用語「URLスコア」は、分析されるEメールメッセージ中に見出される、URLと関連づけられる値の組合せを示す。
【0022】
用語「信頼されない国」は、信頼すべきでない国としてEScamサーバによって指定されるが、ハイリスク国またはOFAC(財務省外国資産管理局)国(以下で定義される)ではない国を示す。
【0023】
用語「ハイリスク国」は、標準より高い犯罪アクティビティを有する国としてEScamサーバによって指定されるが、OFAC国ではない国を示す。
【0024】
用語「信頼される国」は、信頼されるべき国としてEScamサーバによって指定される国を示す。
【0025】
用語「OFAC国」は、米国または別の国によって課された制裁を有する国を示す。
【0026】
用語「EScamメッセージ」は、EメールメッセージのEScamサーバの分析結果を記述する、EScamサーバによって提供されるテキストフィールドを示す。
【0027】
用語「EScamデータ」は、Eメールヘッダ中のすべてのIPアドレスとEメールメッセージの本文中におけるすべてのURLとを詳説する、EScamサーバリポートの一部を示す。
【0028】
本発明において用いられ得るNetAcuityサーバ240の動作は、米国特許第6,855,551号明細書において議論される。上記特許は、共に本出願の譲受人に譲渡され、その全体は、参照によって本願明細書中に援用される。
【0029】
(EScamサーバ)
図1は、本発明の一実施形態における、EメールメッセージがフィッシングEメールであるか否かを決定するためのステップを例示するフローチャートである。ステップ102において、EScamサーバ202が、Eメールメッセージをスキャンする要求を受取る場合に、EScamサーバ202は、Eメールメッセージの処理を開始する。次にステップ104において、EScamサーバ202は、なんらかのEメールヘッダがEメールメッセージに存在するか否かを判断する。EメールヘッダがEメールメッセージに存在しない場合、EScamサーバ202は、ステップ116に進む。EメールヘッダがEメールメッセージに存在する場合、ステップ106において、EScamサーバ202は、ヘッダからIPアドレスを取得するために、EメールメッセージからのEメールヘッダを構文解析する。次にステップ108において、EScamサーバ202は、その後のスコア付けのために、ヘッダと関連づけられるIPアドレスがどのように分類されるべきかを決定する。例えば、ヘッダと関連づけられるIPアドレスに対する分類およびスコアは、以下のようであり得る。
【0030】
【表1】
ステップ108においてIPアドレスが一旦分類されると、ステップ110において、EScamサーバ202は、Eメールヘッダと関連づけられるIPアドレスの地理的な位置を決定するために、IPアドレスをNetAcuityサーバ240へ転送する。NetAcuityサーバ240は、IPアドレスが匿名プロクシサーバと関連づけられるか否かをも決定し得る。次にステップ112において、IPアドレスがオープンリレーサーバまたはダイナミックサーバのいずれかであるかを決定するために、IPアドレスはブロックリストに対してチェックされる。保存されたブロックリストとの比較のために、IPアドレスを例えばサードパーティに転送することによって、ステップ112における決定がもたらされる(ステップ114)。さらに、ステップ112において、EScamサーバ202は、ヘッダスコアを計算する。
【0031】
ステップ114に続いて、すべての取得された情報は、EScamサーバ202に送られる。次に、ステップ116において、EScamサーバ202は、なんらかのURLがEメールメッセージに存在するか否かを判断する。どのURLをもEメールメッセージに存在しない場合、EScamサーバ202は、ステップ128に進む。URLが存在する場合、ホスト名をEメールメッセージの本文から取出すために、EScam API250を用いて、EScamサーバ202は、ステップ118においてURLを処理する。次にステップ120において、EScamサーバ202は、その後のスコア付けのために、IPアドレスと関連づけられるハイパーテキストマークアップ言語(HTML)タグ情報を検査することによって、URLと関連づけられるIPアドレスがどのように分類されるべきかを決定する。例えば、URLと関連づけられるIPアドレスに対する分類およびスコアは、以下のようであり得る。
【0032】
【表2】
IPアドレスが一旦分類されると、ステップ120において、EScamサーバ202は、URLと関連づけられるIPアドレスの地理的な位置を決定するために、IPアドレスをNetAcuityサーバ240に転送する(ステップ122)。次に、ステップ124において、EScamサーバ202は、Eメールメッセージと関連づけられる各IPアドレスに対してスコアを計算し、各IPアドレスに対して結合されたURLスコアおよび理由コードを生成する。理由コードは、特定のIPアドレスがそのスコアを受取る理由と関連する。例えば、EScamサーバ202は、Eメールが疑わしいと判断されることを示す理由コードを戻し得る。なぜなら、EメールメッセージのIPアドレスがOFAC国を発信地とし、Eメールメッセージの本文が、ハードコード化されたIPアドレスを有するリンクを含むからである。
【0033】
ステップ126において、EScamサーバ202は、2つのコードが合致することを保証するために、Eメールメッセージヘッダと関連づけられるEメールサーバからの国コードとEメールクライアントからの国コードとを比較する。EScamサーバ202は、NetAcuityサーバ240を用いて、EメールサーバおよびEメールクライアントに関する国コード情報を取得する。NetAcuityサーバ240は、Eメールサーバおよびクライアントサーバの位置を決定し、EメールサーバおよびEメールクライアントに対する特定の国と関連づけるコードを戻す。Eメールサーバの国コードとEメールクライアントの国コードとの間が合致しない場合、Eメールメッセージにはフラグが付けられ、計算されるスコアがそれに応じて調整される。例えば、国コードの間が合致しないとき、計算されるスコアは、1ポイントさらに加えられ得る。
【0034】
さらに、EScamスコアは計算される。EScamスコアは、ヘッダスコアとURLスコアの組合せである。EScamスコアは、Eメールメッセージにおける各IPアドレスに対するスコアを加算し、IPアドレスが、EメールヘッダまたはEメールの本文中のURLのどちらからであったかに基づいてスコアを集計することによって決定される。Eメールが詐欺であるか否かを決定する場合に、計算は、より大きなレベルの細分性を提供する。
【0035】
EScamスコアは、EメールメッセージがフィッシングEメールであるか否かを決定するために所定の閾値レベルと比較され得る。例えば、最終的なEScamスコアが閾値レベルを超える場合、Eメールメッセージは、フィッシングEメールであると決定される。一実施形態において、EScamサーバ202による決定は、EScamスコアを計算するためにURLスコアのみを用い得る。しかし、URLスコアが一定の閾値を超える場合、ヘッダスコアもまた、EScamスコアの計算の要因の一つとして含まれ得る。
【0036】
最後に、ステップ128において、EScamサーバ202は、Eメールメッセージと関連づけられる各IPアドレスに関する詳細な法的な(forensic)情報を含めて、EScamスコア、EScamメッセージ、およびEScamデータをEメール受信者へ出力する。詳細な法的な情報は、疑わしいEメールメッセージの由来を追跡することに用いられ得、訴えるための法的な強化を可能にし得る。例えば、Eメールメッセージの分析の間に、EScamサーバ202によって収集された法的な情報は、以下のようであり得る。
X−eScam−スコア: 8
X−eScam−メッセージ: 信頼されない国/MAPタグにおけるハードコード化されたURL
X−eScam−データ: −−−−− ヘッダリポートの開始 −−−−−
X−eScam−データ: 1: 192.168.1.14 PRIV DHELSPERLAPTOP
X−eScam−データ: 1: 国: *** 地域: *** 都市: プライベート
X−eScam−データ: 1: 接続スピード: ?
X−eScam−データ: 1: フラグ: プライベート
X−eScam−データ: 1: スコア: 0 [クリーンにスキャンされた]
X−eScam−データ: −−−−− ヘッダリポートの終了 −−−−−
X−eScam−データ: −−−−− URLリポートの開始 −−−−−
X−eScam−データ: 1: <A> [167.88.194.135] www.wamu.com
X−eScam−データ: 1: 国: usa 地域: wa 都市: seatle
X−eScam−データ: 1: 接続スピード: ブロードバンド
X−eScam−データ: 1: フラグ:
X−eScam−データ: 1: スコア: 0 [URLはクリーンである]
X−eScam−データ: 2: <エリア> [62.141.56.24] 62.141.56.24
X−eScam−データ: 2: 国: deu 地域: th 都市: erfurt
X−eScam−データ: 2: 接続スピード: ブロードバンド
X−eScam−データ: 2: フラグ: 信頼されない
X−eScam−データ: 2: スコア: 8 [信頼されない国/MAPタグにおけるハードコード化されたURL]
X−eScam−データ: −−−−− URLリポートの終了 −−−−−
X−eScam−データ: −−−−− プロセスリポートの開始 −−−−−
X−eScam−データ: −: ヘッダスコア: 0 URLスコア: 8
X−eScam−データ: −: 0.197秒で処理した
X−eScam−データ: −−−−− プロセスリポートの終了 −−−−−
システム構成に依存して、フィッシングEメールであると決定されたEメールメッセージはまた、例えば、削除されるか、隔離されるか、またはレビューのために単にフラグを付けられ得る。
【0037】
EScamサーバ202は、URL中のホスト名をIPアドレスに分解するためにドメインネームサーバ(DNS)のルックアップを利用し得る。さらに、ステップ106において、Eメールメッセージのヘッダを構文解析する場合に、もし有効ならば、EScamサーバ202は、チェーンにおける最終のEメールサーバ(Eメールメッセージの発信サーバ)を表すIPアドレスと、Eメールメッセージの送信EメールクライアントのIPアドレスとを識別し得る。EScamサーバ202は、IPアドレス識別のために、NetAcuityサーバ240を用いる(ステップ110)。EScamサーバ202は、送信Eメールクライアントをも識別し得る。
【0038】
図2は、本発明が用いられ得る例示的な処理システム200である。システム200は、NetAcuityサーバ240、通信用インタフェース212、NetAcuity API214、EScamサーバ202、通信用インタフェース210、EScam API250、および少なくとも1つのEメールクライアント(例えば、Eメールクライアント260)を含む。図3において具体的に示されるように、EScamサーバ202、NetAcuityサーバ240、およびEメールクライアント260、262、264は、それぞれ1つ以上のコンピュータシステム上で動作し得、そのことは、以下においてより詳細に議論される。EScamサーバ202に、情報を保存する複数のデータベース(220、222および224)が存在する。例えば、データベース220は、Eメールメッセージと関連づけられる国コードと比較され得る、OFAC国コードのリストを保存する。データベース222は、Eメールメッセージと関連づけられる国コードと比較され得る、疑わしい国コードのリストを保存する。データベース224は、Eメールメッセージと関連づけられる国コードと比較され得る、信頼される国コードのリストを保存する。
【0039】
EScam API250は、EScamサーバ202とMicrosoft Outlook Eメールクライアント262などのサードパーティアプリケーションとの間の、EScamサーバ202およびサードパーティアプリケーションからの様々な関数呼出しを介したインタフェースを提供する。EScam API250は、例えばTCP/IPプロトコルを用いる、EScamサーバ202とサードパーティアプリケーションとの間の、認証メカニズムおよび通信コンディットを提供する。EScam API250は、Eメールメッセージの本文中に在るいかなるIPアドレスと同様にいかなるホスト名をも抽出するために、Eメール本文の構文解析を実行する。EScam API250はまた、送信または受信Eメールアドレスなどのプライベートであると決定されている情報を削除するために、Eメールヘッダのなんらかの構文解析を実行する。
【0040】
EScam API250は、Eメールクライアント(260、262および264)がEメールメッセージをEScamサーバ202への送信を試みる場合に、以下のインタフェース関数を実行し得る。
・ヘッダおよび本文中のEメールメッセージを構文解析すること。
・ヘッダを処理し、Eメールメッセージから、To:、From:、およびSubject:、の情報を削除すること。
・メッセージの本文を処理し、EScamサーバ202へ送信するための準備として、URLを引出すこと。
・準備されたヘッダおよびURLをEScamサーバ202へ送信すること。
・EScamサーバ202による処理が完了したときには、EScamサーバ202からの戻りコードを引出すこと。
・EScamサーバ202によって遂行された処理の結果もたらされる原文メッセージを引出すこと。
・Eメールメッセージの処理が完了したときには、EScamサーバ202から最終的なEScamスコアを引出すこと。
・Eメールメッセージの処理が完了したときには、EScamサーバ202から最終的なEScamメッセージを引出すこと。
・Eメールメッセージの処理が完了したときに、EScamサーバ202からEScamの詳細を引出すこと。
・ヘッダスコアを引出すこと。
・URLスコアを引出すこと。
【0041】
追加のサポート構成要素は、システム200に含まれ得る。それは、Eメール受信者の受信箱(図示せず)に置かれることに先立ち、特定のEメールクライアント、例えばEメールクライアント260が、着信するEメールメッセージをEScamサーバ202へ送信することを可能にする。この構成要素は、通信コンディットを用いるEScamサーバ202と通信するために、EScam API250を用い得る。この構成要素は、EScamサーバ202によって戻されるEScamスコアに基づいて、例えば、Eメール受信者の受信箱にEメールメッセージを残すか、隔離フォルダにEメールメッセージを移動し得る。Eメールメッセージが隔離フォルダに移動される場合、Eメールメッセージは、アタッチメントとして、EScamスコアと、Eメールメッセージのサブジェクトに付加されたメッセージと、Eメールメッセージに追加されたEScamデータとを有し得る。
【0042】
従って、本発明は、IP情報をEメールメッセージ中の様々な属性と結び付ける。例えば、ヘッダおよび本文中のURLのIPアドレス属性は、Eメールメッセージがフィッシングの策略に用いられるか否かを決定することに用いられ得る、EScamスコアを計算するための規則を適用するために本発明によって用いられる。ヘッダおよび本文中のURLの個々の要素は、HTMLタグや埋込まれたURLがハードコード化されたIPアドレスを有するか否かなどの、判定基準の数に基づいてスコア化される。本発明は、デスクトップ(図示せず)またはバックエンドのメールサーバ上に組込まれ得る。
【0043】
システム200のためのバックエンドのメールサーバの実装において、EScam API250は、Eメールクライアント、例えばEメールクライアント260に組込まれ得る。Eメールクライアント260がEメールメッセージを受信するときに、Eメールクライアント260は、EScam API250と通信用インタフェース210とを介して、分析のためにEメールメッセージをEScamサーバ202へ渡す。戻りコードに基づいて、EScamサーバ202は、EメールメッセージをEメール受信者の受信箱に転送するか、またはEメールメッセージを恐らくは処分するかを決定する。
【0044】
デスクトップインテグレーションが利用される場合、Eメールクライアントおよびウィルス対策ベンダは、Windows(登録商標)ベースEScam API250を有するEScamサーバ202を用い得る。デスクトップクライアントはその後、着信するEメールメッセージの分析をEScamサーバ202へ頼み得る。EScamサーバ202による分析が完了すると、エンドユーザは、EScamサーバ202からの戻りコードに基づいて、Eメールメッセージがどのように扱われるべきかを決定し得る。例えば、分析されたEメールメッセージを示すために、Eメールメッセージのサブジェクトをアップデートすることは、フィッシングの策略の一部であると決定される。スコアが一定の閾値を超える場合、Eメールメッセージはまた、隔離フォルダに移動され得る。
【0045】
本発明の方法は、様々な実施形態を実行するようにプログラムされたプロセッサを用いて実行され得る。図3は、開示された方法を実行するための例示的なコンピュータシステムを示すブロック図である。この例示的なコンピュータシステムは、単なる動作環境の例であり、使用の範囲または動作環境アーキテクチャの機能性について、いかなる限定を示唆することを意図されない。また、動作環境は、例示的な動作環境において示されるいずれか1つの構成要素または構成要素の組合せと関連する、いかなる従属物または要件をも有しないと解釈されるべきである。
【0046】
方法は、多くの他の汎用または専用のコンピュータシステム環境またはコンフィギュレーションによって動作可能であり得る。方法と共に用いることに適合し得る周知のコンピュータシステム、環境、および/またはコンフィギュレーションの例は、パーソナルコンピュータ、サーバコンピュータ、ラップトップデバイス、およびマルチプロセッサシステムを含むが、これらに限定されない。追加の例は、セットトップボックス、プログラマブルな家電製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、上記のシステムまたはデバイスのいずれかを含む分散コンピューティング環境など、を含む。
【0047】
方法は、コンピュータによって実行される、プログラムモジュールなどのコンピュータ命令の一般的なコンテキストにおいて記述され得る。一般的に、プログラムモジュールは、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含み、これらは、特定のタスクを実行するか、または特定の抽象的なデータタイプを実装する。方法は、通信ネットワークを通してリンクされるリモート処理デバイスによってタスクが実行される、分散コンピューティング環境において実行され得る。分散コンピューティング環境において、プログラムモジュールは、メモリストレージデバイスを含むローカルコンピュータおよびリモートコンピュータのストレージ媒体に置かれ得る。
【0048】
本明細書中に開示される方法は、コンピュータ301の形式における汎用コンピュータデバイスを介して実装され得る。コンピュータ301の構成要素は、1つ以上のプロセッサまたは処理ユニット303、システムメモリ312、そしてプロセッサ303を含む様々なシステム構成要素をシステムメモリ312に連結する、システムバス313を含み得るが、これらに限定されない。
【0049】
図3におけるプロセッサ303は、Intel Corporationによって製造されるPENTIUM(登録商標)IVを含むx−86互換プロセッサ、またはAdvanced Micro Devices Corporationによって製造されるATHLON 64プロセッサ、であり得る。Apple、IBM、またはNECによって製造される、他の命令セットを利用するプロセッサを含む、それらのプロセッサもまた用いられ得る。
【0050】
システムバス313は、バス構造のいくつかの可能なタイプの1つ以上を表す。システムバス313は、様々なバスアーキテクチャのいずれかを用いる、メモリバスまたはメモリコントローラ、周辺バス、加速式(accelerated)グラフィックポート、およびプロセッサバスまたはローカルバスを含む。例として、そのようなアーキテクチャは、Industry Standard Architecture(ISA)バス、Micro Channel Architecture(MCA)バス、Enhanced ISA(EISA)バス、Video Electronics Standards Association(VESA)ローカルバス、およびMezzanineバスとしても公知のPeripheral Component Interconnects(PCI)バスを含み得る。このバスおよびこの記述において明記されたすべてのバスは、ワイヤードネットワークまたはワイヤレスネットワーク接続を介して実装され得る。バス313およびこの記述において明記されたすべてのバスは、ワイヤードネットワークまたはワイヤレスネットワーク接続およびサブシステムの各々を介して実装され得る。サブシステムは、プロセッサ303、大容量ストレージデバイス304、オペレーティングシステム305、アプリケーションソフト306、データ307、ネットワークアダプタ308、システムメモリ312、入力/出力インタフェース310、ディスプレイアダプタ309、ディスプレイデバイス311、およびヒューマンマシンインタフェース302を含み、物理的に離れた場所にあり、この形式のバスを通して接続され、完全に分散型システムを実装する効果がある、1つ以上のリモートコンピュータデバイス314a、314b、314c内に収容され得る。
【0051】
図3におけるオペレーティングシステム305は、MICROSOFT WINDOWS(登録商標)XP、WINDOWS(登録商標)2000、WINDOWS(登録商標)NT、またはWINDOWS(登録商標)98、およびREDHAT LINUX、FREE BSD、またはSUN MICROSYSTEMS SOLARISなどのオペレーティングシステムを含む。さらに、アプリケーションソフト306は、MICROSOFT INTERNET EXPLORERまたはMOZILLA FIREFOXなどのウェブブラウザソフトウェアを含み得、これらは、ディスプレイデバイス311上において、HTML、SGML、XML、またはすべての他の適切に構築された文書言語をユーザが見ることを可能にする。
【0052】
コンピュータ301は、一般的にコンピュータ読取り可能な様々な媒体を含む。そのような媒体は、コンピュータ301によってアクセス可能な、揮発性および不揮発性の媒体、リムーバブルおよび非リムーバブルの媒体の両方を含む、すべての利用可能な媒体であり得る。システムメモリ312は、ランダムアクセスメモリ(RAM)などの揮発性メモリ、および/または読出し専用メモリ(ROM)などの不揮発性メモリという形式の、コンピュータ読取り可能な媒体を含む。システムメモリ312は、処理ユニット303によって即座にアクセス可能で、かつ/または現在動作させられている、データ307などのデータ、および/またはオペレーティングシステム305およびアプリケーションソフト306などのプログラムモジュール、を一般的に含む。
【0053】
コンピュータ301は、他のリムーバブル/非リムーバブルの、揮発性/不揮発性のコンピュータストレージ媒体をも含み得る。例として、図3は、コンピュータ301に対する、コンピュータコード、コンピュータ読取り可能な命令、データ構造、プログラムモジュール、および他のデータの不揮発性ストレージを提供し得る、大容量ストレージデバイス304を例示する。例えば、大容量ストレージデバイス304は、ハードディスク、リムーバブル磁気ディスク、リムーバブル光ディスク、磁気カセットまたは他の磁気ストレージデバイス、フラッシュメモリカード、CD−ROM、digital versatile disks(DVD)または他の光学ストレージデバイス、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、電気的消去可能プログラム可能ROM(EEPROM)などであり得る。
【0054】
任意の数のプログラムモジュールは、例えばオペレーティングシステム305およびアプリケーションソフト306を含めて、大容量ストレージデバイス304上において保存され得る。オペレーティングシステム305およびアプリケーションソフト306(または、そのいくつかの組合せ)の各々は、プログラミングおよびアプリケーションソフト306のエレメントを含み得る。データ307もまた、大容量ストレージデバイス304上において保存され得る。データ304は、当該分野において公知である、1つ以上のデータベースのいずれかに保存され得る。そのようなデータベースの例は、DB2(登録商標)、Microsoft(登録商標) Access、Microsoft(登録商標) SQL Server、Oracle(登録商標)、mySQL、PostgreSQLなど、を含む。データベースは、集中化するか、または複数のシステムに渡って分散され得る。
【0055】
ユーザは、入力デバイス(図示せず)を介してコンピュータ301にコマンドと情報を入力し得る。そのような入力デバイスの例は、キーボード、ポインティングデバイス(例えば、「マウス」)、マイクロホン、ジョイスティック、シリアルポート、スキャナ、タッチスクリーン装置などを含むが、これらに限定されない。これらおよび他の入力デバイスは、システムバス313に連結されるヒューマンマシンインタフェース302を介して、処理ユニット303へ接続され得るけれども、パラレルポート、シリアルポート、ゲームポート、またはユニバーサルシリアルバス(USB)などの、他のインタフェースおよびバス構造によって接続され得る。
【0056】
ディスプレイデバイス311もまた、ディスプレイアダプタ309などのインタフェースを介して、システムバス313と接続され得る。例えば、ディスプレイデバイスは、陰極線管(CRT)モニタまたは液晶ディスプレイ(LCD)であり得る。ディスプレイデバイス311に加えて、他の出力周辺デバイスは、入力/出力インタフェース310を介してコンピュータ301と接続され得る、スピーカー(図示せず)およびプリンタ(図示せず)などの構成要素を含み得る。
【0057】
コンピュータ301は、1つ以上のリモートコンピュータデバイス314a、314b、314cへの論理接続を用いて、ネットワーク化された環境において動作し得る。例として、リモートコンピュータデバイスは、パーソナルコンピュータ、ポータブルコンピュータ、サーバ、ルータ、ネットワークコンピュータ、ピアデバイスまたは他の共通ネットワークノードなどであり得る。コンピュータ301とリモートコンピュータデバイス314a、314b、314cとの間の論理接続は、ローカルエリアネットワーク(LAN)、一般のワイドエリアネットワーク(WAN)、またはインターネットなどのネットワークを介して作られ得る。そのようなネットワーク接続は、ネットワークアダプタ308を通過し得る。
【0058】
例示の目的のために、アプリケーションプログラムおよびオペレーティングシステム305などの他の実行可能なプログラムコンポーネントがコンピュータデバイス301の異なるストレージ構成要素において幾重にも存在することは認識されるけれども、そのようなアプリケーションプログラムおよび他の実行可能プログラムコンポーネントは、個別のブロックとして本明細書中に例示されて、コンピュータのデータプロセッサによって実行される。アプリケーションソフト306の実装は、ある種のコンピュータ読取り可能な媒体に保存されるか、またはそれを介して転送され得る。開示された方法の実装もまた、ある種のコンピュータ読取り可能な媒体に保存されるか、またはそれを介して転送され得る。コンピュータ読取り可能な媒体は、コンピュータによってアクセスされ得るあらゆる利用可能な媒体であり得る。例として、限定はされないが、コンピュータ読取り可能な媒体は、「コンピュータストレージ媒体」および「通信媒体」を含み得る。「コンピュータストレージ媒体」は、コンピュータ読取り可能な命令、データ構造、プログラムモジュール、または他のデータなどの情報のストレージのための、あらゆる方法または技術を実装される揮発性および不揮発性で、リムーバブルおよび非リムーバブルの媒体を含む。コンピュータストレージ媒体は、RAM、ROM、EEPROM、フラッシュメモリまたは他のメモリ技術、CD−ROM、DVDまたは他の光学ストレージデバイス、磁気カセット、磁気テープ、磁気ディスクストレージデバイスまたは他の磁気ストレージデバイス、または所望される情報を保存するために用いられ得、そしてコンピュータによってアクセスされ得るすべての他の媒体を含むが、これらに限定されない。
【0059】
(フィッシングEメールディターミナ(Determiner))
本発明の1つの実施形態において、フィッシングEメールディターミナ(PED)は、少なくとも1つの要因はEメールから取出されたURLと関連づけられる信頼のレベルである、1つ以上の要因を用いてフィッシングEメールを決定するために提供される。図4の実施形態は、フィッシングEメールを決定するためのそのような1つの方法を例示する。
【0060】
最初に、図4の実施形態において、Eメールメッセージは受信される(401)。2番目に、Eメールメッセージは、少なくとも1つの要因がEメールから取出されたURLと関連づけられる信頼のレベルに基づいている、1つ以上の要因に基づいてスコア化される(402)。3番目に、スコアは、所定のフィッシング閾値と比較される(403)。最終的に、Eメールは、比較に基づいてフィッシングEメールであると決定される(404)。
【0061】
図4の実施形態に基づいた実施形態において、URLと関連づけられる信頼のレベルは、URLと関連づけられるIPアドレスの関数として決定される。URLと関連づけられるIPアドレスは、DNSサーバに問合せることによって決定され得る。様々な実施形態において、EメールがフィッシングEメールであるという決定は、リアルタイムか、ほぼリアルタイムか、または所定の時間間隔で起こり得る。
【0062】
図3のコンピュータシステム上において動作し得る種類のデータベースは、図4のフィッシングEメールディターミナの様々な実施形態において用いられ得る。例えば、1つ以上の要因がデータベースに保存され得るか、またはURLと関連づけられる信頼のレベルが保存され得るか、データベースから引出され得る。1つの実施形態において、要因は、Eメールメッセージの発信元の地理的な位置であり得、それは、Eメールメッセージの発信元IPアドレスの関数として決定され得る。NetAcuityサーバ240は、メッセージの発信元IPアドレスに基づいてEメールメッセージの発信元の地理的な位置を決定するための、様々な実施形態において用いられ得る。
【0063】
図4の実施形態を拡張して、図5において例示されるフィッシングEメールディターミナのさらなる実施形態において、Eメールメッセージ中の1つ以上のURLは、Eメールのリスクスコアを最適化するために、それらのURLが信頼されるサーバと関連づけられるか否かを決定するために分析され得る。最初に、Eメールメッセージ中の1つ以上のURLは決定される(501)。2番目に、URLの1つ以上が信頼されるサーバと関連づけられるか否かは決定される(502)。3番目に、1つ以上のURLの各々が信頼されるサーバと関連づけられる場合、リスクスコアは、EメールがフィッシングEメールである可能性がより低いことを反映するように最適化される(503)。従って、1つ以上のURLのすべてが信頼されるサーバと関連づけられていない場合、リスクスコアは、EメールがフィッシングEメールである可能性がより高いことを反映するように最適化される(504)。
【0064】
図4の実施形態に基づいたPEDのまた別の実施形態において、Eメールメッセージは、ヘッダおよび本文において構文解析される。そのようなEメールは、プレーンテキスト、HTML、XML、リッチテキストなどを含む多くのフォーマットの1つにおけるデータを含み得る。従って、Eメールがヘッダおよび本文において構文解析された後、リスクスコアは、ヘッダスコアおよびURLスコアを含み、このURLスコアは、URLと関連づけられるHTMLタグに基づいて調整され得る。さらに、1つの実施形態において、ヘッダスコアは、Eメールメッセージに含まれるIPアドレスと関連づけられる発信国に基づいて調整され得る。いくつかの実施形態において、EメールがフィッシングEメールであると決定することは、EメールメッセージがEメール受信者に送られる前に、起こり得る。
【0065】
例えば、図6の実施形態において例示されるように、本発明のフィッシングEメールディターミナはまた、会社などの実体と関連づけられる、Eメールメッセージから取出される記述内容に基づいて、フィッシングEメールを決定し得る。最初に、1つ以上の実体と関連づけられるドメイン名およびキーワードを少なくとも含む記述内容は保存される(601)。2番目に、Eメールメッセージは受信され(602)、記述内容はそれから取出される(603)。4番目に、第1の実体は、取出された記述内容と保存された記述内容との間の比較に基づいて、Eメールが関連づけられ得ることを決定される(604)。5番目に、URLはEメールから取出され(605)、URLと関連づけられる、第2の実体が決定される(606)。最後に、第1の実体と第2の実体との間の比較に基づいて、EメールがフィッシングEメールであると決定される(607)。
【0066】
図6のPEDは、例えば、Eメールがユーザの銀行からであると称するけれども、実際は銀行を装う盗人(thief)からである場合に、EメールがフィッシングEメールであると決めるために実用的に用いられ得る。図6におけるPEDの実施形態を適用すると、記述内容は、FirstBankと仮に呼ばれる銀行と関連づけられて保存され(601)、その銀行は、ドメイン名firstbank.comと関連づけられる。次に、方法は、Eメールを受信し(602)、記述内容をEメールから取出す(603)。この例において、PEDは、ドメイン名firstbank.comをEメールメッセージから取出す(602)。次に、PEDは、取出されたドメインをステップ601において保存された記述内容と比較し、取出されたドメイン名がFirstBankと関連づけられることを決定する(604)。それからURLは、Eメールから取出され(605)、606において、そのURLは、FirstBankに所属しないと決定される。最終的に、図6のPEDは、第1の実体(FirstBank)と第2の実体(FirstBankによって所有されていないURL)とを比較し、比較に基づいてEメールがフィッシングEメールであると決定する(607)。
【0067】
図6の様々な実施形態において、記述内容は、ドメイン名、キーワード、グラフィックイメージ、サウンドファイル、ビデオファイル、添付ファイル、デジタル指紋、およびEメールアドレスを含むいかなるタイプの情報をも含み得る。PEDのさらなる実施形態において、URLと関連づけられる第2の実体を決定するステップは、URLと関連づけられるIPアドレスを決定するステップを含み得、それは、例えば、DNSサーバに問合せることによって決定され得る。
【0068】
図6の実施形態に基づく別の実施形態において、インタフェースが提供され、そのインタフェースは、実体と関連づけられるキーワードおよびドメイン名をユーザが決定することを可能にする。キーワードおよびドメイン名は、次いで保存され、実体と関連づけられる。保存は、例えば、図3に例示されるコンピュータシステム上に存在するデータベースにおいて起こり得る。
【0069】
(信頼されるホストマイナ)
本発明の信頼されるホストマイナ(THM)は、特定の信頼されるURLとして役立つすべてのサーバのIPアドレスを発見することが可能であり、図7の実施形態において例示される。信頼されるURLとして役立つサーバは、信頼されるサーバとして公知である。様々な実施形態において、THMは、特定の信頼されるURLに対してもはや用いられないサーバを切捨てることによって、信頼されるサーバのデータベース(702)を最新に保つ役目を担う。
【0070】
1つの実施形態において、THMは、発見してメンテナンスする役目を担う信頼されるURLのリストを信頼されるURLデータベースからロードする(703)。THMはそれから、各URLのためにDNS問合せを実行する(704)。DNS問合せはまた、DNSが戻す各アドレスのために、活動時間(time−to−live)(TTL)値を戻す。そして、ステップ705で、サーバアドレスがデータベース中にあるか否かが決定される。サーバアドレスがデータベース中にある場合、アドレスに対して最後に見られた日付は、信頼されるサーバのデータベース中でアップデートされる(706)。THMは次いで、DNSが供給した、アドレスに対する活動時間(TTL)の間それが終了するのを待ち(707)、それから、ステップ704においてDNSサーバ問合せを繰り返す。
【0071】
ステップ705において、サーバアドレスがデータベース中になかったことを決定した場合、サーバのアドレスは、信頼されるサーバのデータベースに追加される(708)。THMはそれから、アドレスに対するTTLの間それが終了するのを待ち得、ステップ704において開始するTHMの手順を繰り返す。
【0072】
設定された時間量の間に、特定の信頼されるサーバが見られなかった場合、THMは、信頼されるサーバのデータベース(711)からサーバを削除する(709)ことによって切捨て得る。この行為は、信頼されるサーバのデータベース(711)がいつも最新であり、期限切れのエントリを含まないことを保証する。
【0073】
信頼されるサーバのデータベースはまた、信頼されるサーバの所有者により提供されるそれらのサーバのセットによって事前にロードされ得る(710)。例えば、金融機関は、信頼されるそのサーバのリストを提供し得る。これらのサーバのリストは、信頼されるサーバのデータベース(711)中に置かれ得、THMによって引き出され得ない。
【0074】
別の実施形態のTHMは、図8において例示される。最初に、THMは、信頼されるURLを受信する(801)。2番目に、方法は、信頼されるURLを含む最初の問合せをDNSに提出し(802)、それから、DNSから第1のIPアドレスを受信する(803)。4番目に、第1のIPアドレスは、信頼されるURLと関連づけられ、その関連は保存される(804)。2番目の問合せはそれから、最初の所定の時間が経過した後に、信頼されるURLを含めてDNSに提出され、最初の所定の時間量はDNSから受信したTLL値の関数である(805)。6番目に、第2のIPアドレスは、DNSから受信される(806)。最終的に、第2のIPアドレスは、信頼されるURLと関連づけられ、その関連は保存される(807)。
【0075】
図8の実施形態を拡張するTHMの一実施形態において、2番目の事前設定された時間量が経過した後に、THMの方法は、IPアドレスを信頼されるURLから関連を解除する。さらに、2番目の事前設定された時間量は、TTL値の関数として決定され得る。さらなる実施形態において、信頼されるURLは、データベース問合せの結果として受信され、IPアドレス、TTL値、および信頼されるURLは、図3のコンピュータシステム上に存在するデータベースに保存され得る。
【0076】
(信頼されるホストブラウザ)
本発明は、信頼のレベルをユーザに伝達するための信頼されるホストブラウザ(THB)の方法を提供する。1つの実施形態において、THBは信頼されるサーバのデータベース711を用いて、信頼されるホストブラウザは、ツールバーを介して使用可能であり得るウェブブラウザプラグインとして実装される。プラグインは、ウェブブラウザにロードされ得、エンドユーザが訪れるウェブサイトのセキュリティに関して彼らにフィードバックを提供するために用いられ得る。例えば、エンドユーザが、リンクが彼らの銀行のウェブサイトであるという確信において、彼らが受信したEメールメッセージ中のリンクをクリックする場合、プラグインは、ウェブサイトからウェブブラウザに提供されるコンテンツを彼らが信頼し得るか否かを視覚的に示し得る。
【0077】
図9において例示されるようなTHBの1つの実施形態において、THBプラグインは、ウェブブラウザ要求エリアにおいてロードされたURLを受取り、URLと関連づけられるアドレスをルックアップする(901)。プラグインはそれから、信頼されるサーバのデータベース中のアドレスに対してそのアドレスを照合することを示すアドレスを伴って、EScamサーバ202をコールする(902)。アドレスが信頼されるサーバである場合(903)、プラグインは、「信頼されるウェブサイト」を示すアイコンまたはダイアログボックスをユーザに対して表示する(904)。
【0078】
EScamサーバ202は、サーバが信頼されないと決めた場合、次にサーバの地理的な位置をチェックする(905)。地理的な位置がOFAC国または所定の疑わしい国など潜在的に疑わしい場合(906)、EScamサーバ202は、プラグインにこのことを示し得る。地理的な位置が疑わしくない場合、プラグインは次いで、「疑わしくないウェブサイト」を示すアイコンをブラウザにおいて表示し得る(908)。サーバの位置が疑わしい場合、プラグインは、「疑わしいウェブサイト」を示すアイコンを表示する(907)。エンドユーザはそれから、ユーザのログイン情報、パスワード情報、または金融情報を含む機密情報の提供など、このサイトとの交信を続行するか否かを決定するためにウェブサイトの妥当性に関する情報を用い得る。
【0079】
信頼のレベルをユーザに伝達するために有用な、THBの別の実施形態は、図10において例示される。図10の実施形態において、方法は、最初にURLを受信する(1001)。2番目に、URLと関連づけられるIPアドレスが決定される(1002)。3番目に、URLのホストと関連づけられる信頼のレベルは、少なくとも1つの要因がIPアドレスに基づく、1つ以上の要因に基づいて決定される(1003)。最終的に、決定された信頼のレベル(1003)は、ユーザに伝達される(1004)。
【0080】
図10に基づいたTHBの一実施形態において、URLは、インターネットウェブブラウザのアドレスフィールド中に入力される。さらに、要因は、URLについて問合わされたEScamサーバ202から受信される信頼のレベルであり得る。さらに、要因は、IPアドレスの関数として決定されるホストの地理的な位置であり得る。1つの実施形態において、ホストの地理的な位置は、NetAcuityサーバ240を用いて決定され得る。
【0081】
(ページスパイダ)
本発明の一実施形態は、ユーザ証明書、ログイン情報、パスワード情報、金融情報、社会保障番号、またはすべてのタイプの個人識別情報などの機密または要注意情報の通信を要求し得るオンサイトURLを決定するために、文書中のリンクを処理することに有用なページスパイダの方法を提供する。機密情報を要求するオンサイトウェブページを示すURLはまた、信頼されるURLとして扱われ、信頼されるURLのデータベース711に追加され、THMによって処理され得る。
【0082】
ページスパイダの方法は、図11に描かれる一実施形態において例示される。図11のページスパイダは、URLを安全なページURLまたはすべての包含的なURLのいずれかに分類するための論理を用い得る。包含的なURLは、ログインを求めると決定されていないか、または個人もしくは要注意情報を要求しないあらゆるURLである。最初に、第1のリンクにおいて使用可能である第1の文書が引出され、第1のリンクは第1のホスト名を含む(1101)。2番目に、第1の文書は、第2の文書への第2のリンクを識別するために構文解析される(1102)。第2の文書が、第1のホスト名と同じホスト名を含む第2のリンクを伴うので、すなわち、第2のリンクは第1のリンクに関してオンサイトである。第2の文書は次いで、それがログイン情報、パスワード情報、または金融情報などの機密情報を要求するか否かを決定するために検査される(1103)。最終的に、第2の文書が機密情報を要求する場合、第2のリンクは第1のリストに保存される(1104)。さらなる実施形態において、第2の文書が機密情報を要求しない場合、第2のリンクは第2のリストに保存され得る。
【0083】
ページスパイダの別の実施形態において、文書は、HTML互換の文書であり、リンクはURLである。ページスパイダのさらなる実施形態において、文書は、XML文書であり、リンクはURLである。ページスパイダが、他の文書への1つ以上のリンクまたは参照を含む、あらゆるタイプの文書に対して用いられ得ることもまた当業者にとって明らかである。
【0084】
また別の実施形態において、第1の文書は、第2の文書へのリンクを含むHTMLアンカータグ<A>を決定するために構文解析され得る。第2の文書はまた、それが<FORM>タグまたは<INPUT>タグなどの1つ以上の所定のHTMLタグを含むか否かを決定することによって、文書が機密情報を要求するか否かを決定するために検査され得る。様々な実施形態において、機密情報は、安全なログイン形式によって要求され得る。
【0085】
本発明の1つ以上の実施形態が、図12において示される実施形態など強化された機能性を提供するために組合され得る。それは、協力して動作するページスパイダおよび信頼されるホストマイナを例示する。
【0086】
図12に例示される実施形態において、ページスパイダは、ジャンプオフ(Jump−Off)URLのデータベース1202からジャンプオフURLを与えられるすべての可能なURLまたはサイトに対して、ページをスキャンする役目を担う。ページスパイダは、URLを安全なログインURLまたはすべての包含的なURLのいずれかに分類するために、ロジックを用いる。それは、ログインを求めると決定されていないあらゆるURLである。ページスパイダによるURL処理は、URLが安全なログインURLのように機密情報を要求するか否か、またはURLが正に通常のURLであるか否かを知る必要がある方法に有用である。様々な実施形態において、ページスパイダは、現在のサイトからリンクを辿らないけれども、それらのサイトがジャンプオフURLに変換されるべきであるか否かをある人が確証するために、オフサイトリンクをDidn’t Followデータベース1203に追加する。1つの実施形態において、ジャンプオフURLは、信頼されるホストマイナ1208によって処理され得る潜在的に信頼されるURLである。
【0087】
現在の実施形態において、ページスパイダのユーザインタフェース(UI)1201が提供され、そのUIは、ユーザがジャンプオフURLを入力し、Don’t Follow URLを入力し、そしてDidn’t Follow URLを有効にし、そしてDidn’t Follow URLをジャンプオフURLのデータベース1202に置くことを可能にする。ページスパイダUI1201はまた、ページスパイダ処理をバイパスして、すべての包含的なデータベース1206エントリを有効にし、安全なログインURLのデータベース1207のエントリを有効にし、そしてすべての包含的なURL/安全なURLを手動で入力するために用いられ得る。
【0088】
図12の実施形態において、ページスパイダ1205は、ページスパイダUI1201を介してジャンプオフURLのDB1202、Don’t Follow URLのDB1204、そしてDidn’t Follow URLのDB1203にURLを入力するために用いられる。ページスパイダは、オンサイトURLを突止めて、それらをすべての包含的なURLのDB1206または安全なログインURLのDB1207のいずれかに置く。これらの突止められたURLは、それから、THM1208に供給される。THM1208は、例えば、図7および図8において例示されるように、供給されたURLに対する信頼されるホストを決定する。THM1208はそれから、信頼されるサーバのDB1209をアップデートする。
【0089】
別の実施形態において、信頼されるサーバのDBビルダー1210が信頼されるサーバのDB1209をポーリングし、十分な変化がある場合に、すべての包含的な信頼されるサーバのDB1211と、安全なログインの信頼されるサーバのDB1212とにURLを公開する。さらなる実施形態において、DBディストリビュータ1213はまた、すべての包含的な信頼されるサーバのDB1211と安全なログインの信頼されるサーバのDB1212とにURLを送信する。最終的に、ユーザは、機関の情報DB1214を管理するために、機関のUI1215を用いる。機関の情報DB1214は、機関と関連する内容を識別するために用いられ得るドメイン名およびキーワードなどの記述内容を含む。記述内容はまた、機関からであると称するフィッシングEメールを決定するために、記述内容が用いられることを可能にして、図12の実施形態によって連結されるPEDに供給され得る。
【0090】
本発明は、様々な実施形態に関連して詳細に記述されたけれども、本発明が上記において開示される実施形態に限定されないことは理解されるべきである。むしろ、本発明は、これまで記述されなかった、本発明の精神および範囲を逸脱しない様々な変更、代替、置換、または均等な編成を含むように改変され得る。従って、本発明は前述の説明または図面によって限定されないけれども、添付の特許請求の範囲によってのみ限定される。
【図面の簡単な説明】
【0091】
【図1】図1は、本発明による、EメールメッセージがフィッシングEメールであるか否かを決定するための方法を例示するフローチャートである。
【図2】図2は、本発明のEScamサーバの一実施形態を実装するためのコンピュータシステムのブロック図である。
【図3】図3は、本発明の様々な実施形態を実装するために用いられ得るコンピュータシステムのブロック図である。
【図4】図4は、本発明の一実施形態におけるフィッシングEメールを決定するための方法を例示する。
【図5】図5は、本発明の別の実施形態におけるフィッシングEメールを決定するための方法を例示する。
【図6】図6は、本発明のさらなる実施形態におけるフィッシングEメールを決定するための方法を例示する。
【図7】図7は、本発明の一実施形態の信頼されるホストマイナの方法を例示する。
【図8】図8は、本発明の別の実施形態の信頼されるホストマイナの方法を例示する。
【図9】図9は、本発明の一実施形態の信頼されるホストブラウザの方法を例示する。
【図10】図10は、本発明の別の実施形態における信頼されるホストブラウザの方法を例示する。
【図11】図11は、本発明の一実施形態のページスパイダの方法を例示する。
【図12】図12は、本発明の一実施形態におけるページスパイダの方法および信頼されるホストマイナの方法を例示する。
【技術分野】
【0001】
(関連特許出願の相互参照)
本出願は、2004年11月10日に出願された米国特許出願第10/985,664号の一部継続出願であり、上記出願の全体は、参照によって本願明細書に援用される。
【0002】
(発明の分野)
本発明は、個人から詐取するために用いられるEメールメッセージ(いわゆる「フィッシング」Eメールなど)を検出するための技術に関する。本発明は、Eメールメッセージを受取り、このEメールメッセージがフィッシングEメールメッセージであるか否かを決定するための方法、システム、およびコンピュータプログラム製品(以下、「方法(method)」または「方法(methods)」)を提供する。本発明は、決定された信頼のレベルをユーザに伝達するための方法だけでなく、宛先URLが「信頼される(trusted)」ホストであり、地理的に予期される場所に位置するか否かを決定するために、要求されたURLを評価するための方法をも含む。本発明はさらに、信頼されるホストを引き出すための方法を含み、その方法は、信頼されるサーバの1つ以上のインターネットプロトコル(IP)アドレスを信頼されるURLと関連づける。方法はまた、ユーザから機密情報を要求する文書へのオンサイトリンクを決定するために、文書中のリンクを処理するために提供される。
【背景技術】
【0003】
(発明の背景)
(関連技術の説明)
フィッシングは信用詐欺であり、犯罪者が、Eメール受信者から個人情報および金融情報を「フィッシュ」しようと力を尽くして、ワールドワイドウェブの最も大きくかつ信頼できるウェブサイト(例えば、eBay、PayPal、MSN、Yahoo、CitiBank、およびAmerica Online)などから来るような合法的な外観のEメールを送り出す信用詐欺である。一旦、犯罪者が、疑いをもたないEメール受信者からそのような個人情報および金融情報を得ると、犯罪者はその後、自己の利益のためにその情報を用いる。
【0004】
今日、多くのベンダがアンチフィッシングの解決策を提供している。これらの解決策は、フィッシングEメールを予防的に管理することには役立たない。代わりに、これらは、既知のフィッシングEメール、ブラックリスト、盗まれたブランドなどに基づいた早期の警告を提供することに頼っている。
【0005】
現在、アンチフィッシングの解決策は、3つの大きなカテゴリに分かれる。
1)リンクチェックシステム。このシステムは、サイトがスプーフィングされたサイトにリンクされるか否かを決定するために、ブラウザベースのブラックリストまたは挙動技術を用いる。残念なことに、ブラックリスト解決策を用いるシステムは、スプーフィングされたサイトをホストするIPアドレスのサードパーティアップデートに頼る、まったく受身の解決策である。
2)早期警告システム。このシステムは、フィッシングEメールを識別するために、「ハニーポット」(インターネット上のコンピュータシステムであり、他人のコンピュータシステムへ侵入を試みる人々を引き付けて「トラップする」ために特に設定される)を介するフィッシングEメールの監視技術、オンラインブランド管理およびスキャン技術、Webサーバログ分析技術、およびトラヒック捕捉および分析技術を用いる。これらのシステムが、迅速にフィッシング攻撃を識別し得ることにより、メンバー機関は早期の警告を取得し得る。しかし、これらのシステムのいずれも全く予防的ではない。従って、これらのシステムは、スプーフィングされたサイトによってユーザが犠牲にされることからユーザを保護することに役立たない。
3)認証および証明システム。このシステムは、Eメール、デジタル署名、Eメールの由来の妥当性検証などに埋込まれた信頼されるイメージを用いる。このシステムは、Eメールが合法であるか否かを顧客が決定することを可能にする。
【0006】
現在のアンチフィッシングの解決策は、リアルタイムでフィッシング攻撃に取組むことに役立たない。リンクチェックシステムを用いるビジネスは、フィッシング攻撃に対する保護のために、常にアップデートされているブラックリストに頼らなければならない。残念なことに、リンクチェックシステムが予防的な解決策ではなく、ブラックリストのアップデートに頼らなければならないので、フィッシング攻撃と関連づけられるIPアドレスがブラックリストに追加される前に、何人かの顧客が個人情報および金融情報に対してフィッシングされ得る可能性がある。早期警告システムは、未来の犯罪者をトラップして、フィッシング攻撃が起こる前にその攻撃を封じ込めることを試みる。しかし、このシステムはしばしば、それらの目的を達成することに失敗する。なぜなら、その技法が、スキャンを利用しないフィッシング攻撃に取組むことに役立たないからである。認証および証明システムは、様々な識別技法を用いることを要求される。その技法は、例えば、顧客とサービスプロバイダとの間において両者間で秘密のイメージを共有すること、デジタル署名、そして顧客のコンピュータ上で保存される特定の顧客に固有のコードである。このような技法は、顧客によって、ソフトウェアが顧客のコンピュータ上でメンテナンスされ、定期的にアップデートされなければならないという点で面倒である。
【発明の開示】
【発明が解決しようとする課題】
【0007】
従って、フィッシング攻撃の時点で攻撃を予防的に阻止し、かつ面倒が最小なアンチフィッシングの解決策へのニーズと要求がある。
【0008】
ブラックリストまたはホワイトリストを用いることなく、宛先ホストが信頼されることを予防的に確証し得る解決策に対するニーズもまた存在する。
【0009】
Eメールから取り出されたURLと関連づけられる信頼のレベルに少なくとも基づいた、フィッシングEメールを決定するための方法もまた必要である。
【0010】
信頼されるURLと信頼されるサーバの1つ以上のIPアドレスとを関連づけるさらなるニーズは存在し、URLのホストと関連づけられる信頼のレベルをユーザに伝達するニーズが存在する。
【0011】
最後に、機密情報を要求する文書へのオンサイトリンクを決定するために、文書中のリンクを処理する方法もまた当該分野において必要である。
【課題を解決するための手段】
【0012】
(発明の概要)
本発明は、Eメールメッセージがフィッシング攻撃に用いられるか否かをリアルタイムで決定するための方法を提供する。1つの実施形態において、エンドユーザがEメールメッセージを受信する前に、Eメールメッセージは、EメールメッセージがフィッシングEメールであるか否かを決定するためにサーバによって分析される。このサーバは、フィッシングスコアを作成するためのアルゴリズムの中で用いられる、情報を取得するためにEメールメッセージを構文解析する。フィッシングスコアが所定の閾値を超える場合、そのEメールは、フィッシングEメールメッセージであると決定される。さらなる実施形態において、Eメールから取出された記述内容と保存された記述内容との間の比較に基づいて、そのEメールがフィッシングEメールであると決定され得る。
【0013】
信頼されるサーバの1つ以上のIPアドレスを信頼されるURLと関連づけるための方法もまた、本発明において提供される。機密情報を要求する文書を参照するオンサイトリンクを決定するために、文書中のリンクを処理するためのさらなる方法が提供される。
【0014】
本発明はまた、要求されたURLの宛先が信頼されるホストであるか否かを決定するための方法を提供する。1つの実施形態において、ユーザがブラウザによってURLを訪れることを選択する場合に、宛先ページの内容は、そのページが信頼されるホストからのみ来るべきである情報を含むことを示すためにスキャンされる。そのページが信頼されるホストからのみ戻るべきである情報を含む場合、宛先ホストはそれから、そのホストが信頼されるホストのデータベース(DB)中に含まれる信頼されるホストであることを確証するためにチェックされる。データベースに含まれない場合、ユーザは、内容が信頼されるべきでないことを警告される。
【0015】
本発明の前記ならびに他の利点および特徴は、添付の図面を参照しながら以下に示される本発明の実施形態の詳細な説明からより明らかになる。
【0016】
以下の詳細な説明において、本明細書の一部分を形成する添付の図面に対して参照が行われ、その図面において、本発明が実施され得る特定の実施形態が例示として示される。これらの実施形態は、当業者が本発明を実施することを可能にするために十分詳しく記述され、本発明の精神および範囲から逸脱することなく、他の実施形態が利用され得、構造的、論理的およびプログラミングの変更がなされ得ることは、理解されるべきである。
【発明を実施するための最良の形態】
【0017】
(発明の詳細な説明)
本発明の方法、システム、およびコンピュータプログラム製品が開示され、記述されるに先立ち、本発明が固有の方法、固有の構成要素、または特定の構成(それらはもちろん変わり得るので)に限定されないことが、理解されるべきである。本明細書中に用いられる用語は、特定の実施形態を記述する目的のためだけであり、限定されることを意図しないこともまた、理解されるべきである。
【0018】
別段の明確な明示がない限り、本明細書中に記述されるいかなる方法または実施形態も、そのステップが固有の順序で実行されることを必要とすると解釈されることは少しも意図されない。従って、ステップが固有の順序に限定されるべきであるとの方法の主張が、特許請求の範囲または説明において特に明示されなければ、いかなる関連においても1つの順序が推論されることは少しも意図されない。これは、解釈の目的で、ステップまたは動作フローの配列に関する論理の問題、文法構成または句読法から引出される単純な意味、または明細書中に記述される実施形態の数またはタイプを含む、明確でないあらゆる可能性を保有している。さらに、方法、システム、またはコンピュータプログラム製品の法定のクラスを示す、現在のアプリケーションにおいて、様々な実施形態が提供される一方、本発明が、いかなる法定のクラスにおいても、実行され、実施され、または請求され得ることは注目されるべきである。
【0019】
用語「EScamスコア」は、ヘッダスコアとURL(Uniform Resource Locator)スコアとを含む値の組合せを示す。EScamスコアは、特定のEメールメッセージがどれほど疑わしいかを表す。
【0020】
用語「ヘッダスコア」は、分析されるEメールメッセージ中に見出される、インターネットプロトコル(IP)アドレスと関連づけられる値の組合せを示す。
【0021】
用語「URLスコア」は、分析されるEメールメッセージ中に見出される、URLと関連づけられる値の組合せを示す。
【0022】
用語「信頼されない国」は、信頼すべきでない国としてEScamサーバによって指定されるが、ハイリスク国またはOFAC(財務省外国資産管理局)国(以下で定義される)ではない国を示す。
【0023】
用語「ハイリスク国」は、標準より高い犯罪アクティビティを有する国としてEScamサーバによって指定されるが、OFAC国ではない国を示す。
【0024】
用語「信頼される国」は、信頼されるべき国としてEScamサーバによって指定される国を示す。
【0025】
用語「OFAC国」は、米国または別の国によって課された制裁を有する国を示す。
【0026】
用語「EScamメッセージ」は、EメールメッセージのEScamサーバの分析結果を記述する、EScamサーバによって提供されるテキストフィールドを示す。
【0027】
用語「EScamデータ」は、Eメールヘッダ中のすべてのIPアドレスとEメールメッセージの本文中におけるすべてのURLとを詳説する、EScamサーバリポートの一部を示す。
【0028】
本発明において用いられ得るNetAcuityサーバ240の動作は、米国特許第6,855,551号明細書において議論される。上記特許は、共に本出願の譲受人に譲渡され、その全体は、参照によって本願明細書中に援用される。
【0029】
(EScamサーバ)
図1は、本発明の一実施形態における、EメールメッセージがフィッシングEメールであるか否かを決定するためのステップを例示するフローチャートである。ステップ102において、EScamサーバ202が、Eメールメッセージをスキャンする要求を受取る場合に、EScamサーバ202は、Eメールメッセージの処理を開始する。次にステップ104において、EScamサーバ202は、なんらかのEメールヘッダがEメールメッセージに存在するか否かを判断する。EメールヘッダがEメールメッセージに存在しない場合、EScamサーバ202は、ステップ116に進む。EメールヘッダがEメールメッセージに存在する場合、ステップ106において、EScamサーバ202は、ヘッダからIPアドレスを取得するために、EメールメッセージからのEメールヘッダを構文解析する。次にステップ108において、EScamサーバ202は、その後のスコア付けのために、ヘッダと関連づけられるIPアドレスがどのように分類されるべきかを決定する。例えば、ヘッダと関連づけられるIPアドレスに対する分類およびスコアは、以下のようであり得る。
【0030】
【表1】
ステップ108においてIPアドレスが一旦分類されると、ステップ110において、EScamサーバ202は、Eメールヘッダと関連づけられるIPアドレスの地理的な位置を決定するために、IPアドレスをNetAcuityサーバ240へ転送する。NetAcuityサーバ240は、IPアドレスが匿名プロクシサーバと関連づけられるか否かをも決定し得る。次にステップ112において、IPアドレスがオープンリレーサーバまたはダイナミックサーバのいずれかであるかを決定するために、IPアドレスはブロックリストに対してチェックされる。保存されたブロックリストとの比較のために、IPアドレスを例えばサードパーティに転送することによって、ステップ112における決定がもたらされる(ステップ114)。さらに、ステップ112において、EScamサーバ202は、ヘッダスコアを計算する。
【0031】
ステップ114に続いて、すべての取得された情報は、EScamサーバ202に送られる。次に、ステップ116において、EScamサーバ202は、なんらかのURLがEメールメッセージに存在するか否かを判断する。どのURLをもEメールメッセージに存在しない場合、EScamサーバ202は、ステップ128に進む。URLが存在する場合、ホスト名をEメールメッセージの本文から取出すために、EScam API250を用いて、EScamサーバ202は、ステップ118においてURLを処理する。次にステップ120において、EScamサーバ202は、その後のスコア付けのために、IPアドレスと関連づけられるハイパーテキストマークアップ言語(HTML)タグ情報を検査することによって、URLと関連づけられるIPアドレスがどのように分類されるべきかを決定する。例えば、URLと関連づけられるIPアドレスに対する分類およびスコアは、以下のようであり得る。
【0032】
【表2】
IPアドレスが一旦分類されると、ステップ120において、EScamサーバ202は、URLと関連づけられるIPアドレスの地理的な位置を決定するために、IPアドレスをNetAcuityサーバ240に転送する(ステップ122)。次に、ステップ124において、EScamサーバ202は、Eメールメッセージと関連づけられる各IPアドレスに対してスコアを計算し、各IPアドレスに対して結合されたURLスコアおよび理由コードを生成する。理由コードは、特定のIPアドレスがそのスコアを受取る理由と関連する。例えば、EScamサーバ202は、Eメールが疑わしいと判断されることを示す理由コードを戻し得る。なぜなら、EメールメッセージのIPアドレスがOFAC国を発信地とし、Eメールメッセージの本文が、ハードコード化されたIPアドレスを有するリンクを含むからである。
【0033】
ステップ126において、EScamサーバ202は、2つのコードが合致することを保証するために、Eメールメッセージヘッダと関連づけられるEメールサーバからの国コードとEメールクライアントからの国コードとを比較する。EScamサーバ202は、NetAcuityサーバ240を用いて、EメールサーバおよびEメールクライアントに関する国コード情報を取得する。NetAcuityサーバ240は、Eメールサーバおよびクライアントサーバの位置を決定し、EメールサーバおよびEメールクライアントに対する特定の国と関連づけるコードを戻す。Eメールサーバの国コードとEメールクライアントの国コードとの間が合致しない場合、Eメールメッセージにはフラグが付けられ、計算されるスコアがそれに応じて調整される。例えば、国コードの間が合致しないとき、計算されるスコアは、1ポイントさらに加えられ得る。
【0034】
さらに、EScamスコアは計算される。EScamスコアは、ヘッダスコアとURLスコアの組合せである。EScamスコアは、Eメールメッセージにおける各IPアドレスに対するスコアを加算し、IPアドレスが、EメールヘッダまたはEメールの本文中のURLのどちらからであったかに基づいてスコアを集計することによって決定される。Eメールが詐欺であるか否かを決定する場合に、計算は、より大きなレベルの細分性を提供する。
【0035】
EScamスコアは、EメールメッセージがフィッシングEメールであるか否かを決定するために所定の閾値レベルと比較され得る。例えば、最終的なEScamスコアが閾値レベルを超える場合、Eメールメッセージは、フィッシングEメールであると決定される。一実施形態において、EScamサーバ202による決定は、EScamスコアを計算するためにURLスコアのみを用い得る。しかし、URLスコアが一定の閾値を超える場合、ヘッダスコアもまた、EScamスコアの計算の要因の一つとして含まれ得る。
【0036】
最後に、ステップ128において、EScamサーバ202は、Eメールメッセージと関連づけられる各IPアドレスに関する詳細な法的な(forensic)情報を含めて、EScamスコア、EScamメッセージ、およびEScamデータをEメール受信者へ出力する。詳細な法的な情報は、疑わしいEメールメッセージの由来を追跡することに用いられ得、訴えるための法的な強化を可能にし得る。例えば、Eメールメッセージの分析の間に、EScamサーバ202によって収集された法的な情報は、以下のようであり得る。
X−eScam−スコア: 8
X−eScam−メッセージ: 信頼されない国/MAPタグにおけるハードコード化されたURL
X−eScam−データ: −−−−− ヘッダリポートの開始 −−−−−
X−eScam−データ: 1: 192.168.1.14 PRIV DHELSPERLAPTOP
X−eScam−データ: 1: 国: *** 地域: *** 都市: プライベート
X−eScam−データ: 1: 接続スピード: ?
X−eScam−データ: 1: フラグ: プライベート
X−eScam−データ: 1: スコア: 0 [クリーンにスキャンされた]
X−eScam−データ: −−−−− ヘッダリポートの終了 −−−−−
X−eScam−データ: −−−−− URLリポートの開始 −−−−−
X−eScam−データ: 1: <A> [167.88.194.135] www.wamu.com
X−eScam−データ: 1: 国: usa 地域: wa 都市: seatle
X−eScam−データ: 1: 接続スピード: ブロードバンド
X−eScam−データ: 1: フラグ:
X−eScam−データ: 1: スコア: 0 [URLはクリーンである]
X−eScam−データ: 2: <エリア> [62.141.56.24] 62.141.56.24
X−eScam−データ: 2: 国: deu 地域: th 都市: erfurt
X−eScam−データ: 2: 接続スピード: ブロードバンド
X−eScam−データ: 2: フラグ: 信頼されない
X−eScam−データ: 2: スコア: 8 [信頼されない国/MAPタグにおけるハードコード化されたURL]
X−eScam−データ: −−−−− URLリポートの終了 −−−−−
X−eScam−データ: −−−−− プロセスリポートの開始 −−−−−
X−eScam−データ: −: ヘッダスコア: 0 URLスコア: 8
X−eScam−データ: −: 0.197秒で処理した
X−eScam−データ: −−−−− プロセスリポートの終了 −−−−−
システム構成に依存して、フィッシングEメールであると決定されたEメールメッセージはまた、例えば、削除されるか、隔離されるか、またはレビューのために単にフラグを付けられ得る。
【0037】
EScamサーバ202は、URL中のホスト名をIPアドレスに分解するためにドメインネームサーバ(DNS)のルックアップを利用し得る。さらに、ステップ106において、Eメールメッセージのヘッダを構文解析する場合に、もし有効ならば、EScamサーバ202は、チェーンにおける最終のEメールサーバ(Eメールメッセージの発信サーバ)を表すIPアドレスと、Eメールメッセージの送信EメールクライアントのIPアドレスとを識別し得る。EScamサーバ202は、IPアドレス識別のために、NetAcuityサーバ240を用いる(ステップ110)。EScamサーバ202は、送信Eメールクライアントをも識別し得る。
【0038】
図2は、本発明が用いられ得る例示的な処理システム200である。システム200は、NetAcuityサーバ240、通信用インタフェース212、NetAcuity API214、EScamサーバ202、通信用インタフェース210、EScam API250、および少なくとも1つのEメールクライアント(例えば、Eメールクライアント260)を含む。図3において具体的に示されるように、EScamサーバ202、NetAcuityサーバ240、およびEメールクライアント260、262、264は、それぞれ1つ以上のコンピュータシステム上で動作し得、そのことは、以下においてより詳細に議論される。EScamサーバ202に、情報を保存する複数のデータベース(220、222および224)が存在する。例えば、データベース220は、Eメールメッセージと関連づけられる国コードと比較され得る、OFAC国コードのリストを保存する。データベース222は、Eメールメッセージと関連づけられる国コードと比較され得る、疑わしい国コードのリストを保存する。データベース224は、Eメールメッセージと関連づけられる国コードと比較され得る、信頼される国コードのリストを保存する。
【0039】
EScam API250は、EScamサーバ202とMicrosoft Outlook Eメールクライアント262などのサードパーティアプリケーションとの間の、EScamサーバ202およびサードパーティアプリケーションからの様々な関数呼出しを介したインタフェースを提供する。EScam API250は、例えばTCP/IPプロトコルを用いる、EScamサーバ202とサードパーティアプリケーションとの間の、認証メカニズムおよび通信コンディットを提供する。EScam API250は、Eメールメッセージの本文中に在るいかなるIPアドレスと同様にいかなるホスト名をも抽出するために、Eメール本文の構文解析を実行する。EScam API250はまた、送信または受信Eメールアドレスなどのプライベートであると決定されている情報を削除するために、Eメールヘッダのなんらかの構文解析を実行する。
【0040】
EScam API250は、Eメールクライアント(260、262および264)がEメールメッセージをEScamサーバ202への送信を試みる場合に、以下のインタフェース関数を実行し得る。
・ヘッダおよび本文中のEメールメッセージを構文解析すること。
・ヘッダを処理し、Eメールメッセージから、To:、From:、およびSubject:、の情報を削除すること。
・メッセージの本文を処理し、EScamサーバ202へ送信するための準備として、URLを引出すこと。
・準備されたヘッダおよびURLをEScamサーバ202へ送信すること。
・EScamサーバ202による処理が完了したときには、EScamサーバ202からの戻りコードを引出すこと。
・EScamサーバ202によって遂行された処理の結果もたらされる原文メッセージを引出すこと。
・Eメールメッセージの処理が完了したときには、EScamサーバ202から最終的なEScamスコアを引出すこと。
・Eメールメッセージの処理が完了したときには、EScamサーバ202から最終的なEScamメッセージを引出すこと。
・Eメールメッセージの処理が完了したときに、EScamサーバ202からEScamの詳細を引出すこと。
・ヘッダスコアを引出すこと。
・URLスコアを引出すこと。
【0041】
追加のサポート構成要素は、システム200に含まれ得る。それは、Eメール受信者の受信箱(図示せず)に置かれることに先立ち、特定のEメールクライアント、例えばEメールクライアント260が、着信するEメールメッセージをEScamサーバ202へ送信することを可能にする。この構成要素は、通信コンディットを用いるEScamサーバ202と通信するために、EScam API250を用い得る。この構成要素は、EScamサーバ202によって戻されるEScamスコアに基づいて、例えば、Eメール受信者の受信箱にEメールメッセージを残すか、隔離フォルダにEメールメッセージを移動し得る。Eメールメッセージが隔離フォルダに移動される場合、Eメールメッセージは、アタッチメントとして、EScamスコアと、Eメールメッセージのサブジェクトに付加されたメッセージと、Eメールメッセージに追加されたEScamデータとを有し得る。
【0042】
従って、本発明は、IP情報をEメールメッセージ中の様々な属性と結び付ける。例えば、ヘッダおよび本文中のURLのIPアドレス属性は、Eメールメッセージがフィッシングの策略に用いられるか否かを決定することに用いられ得る、EScamスコアを計算するための規則を適用するために本発明によって用いられる。ヘッダおよび本文中のURLの個々の要素は、HTMLタグや埋込まれたURLがハードコード化されたIPアドレスを有するか否かなどの、判定基準の数に基づいてスコア化される。本発明は、デスクトップ(図示せず)またはバックエンドのメールサーバ上に組込まれ得る。
【0043】
システム200のためのバックエンドのメールサーバの実装において、EScam API250は、Eメールクライアント、例えばEメールクライアント260に組込まれ得る。Eメールクライアント260がEメールメッセージを受信するときに、Eメールクライアント260は、EScam API250と通信用インタフェース210とを介して、分析のためにEメールメッセージをEScamサーバ202へ渡す。戻りコードに基づいて、EScamサーバ202は、EメールメッセージをEメール受信者の受信箱に転送するか、またはEメールメッセージを恐らくは処分するかを決定する。
【0044】
デスクトップインテグレーションが利用される場合、Eメールクライアントおよびウィルス対策ベンダは、Windows(登録商標)ベースEScam API250を有するEScamサーバ202を用い得る。デスクトップクライアントはその後、着信するEメールメッセージの分析をEScamサーバ202へ頼み得る。EScamサーバ202による分析が完了すると、エンドユーザは、EScamサーバ202からの戻りコードに基づいて、Eメールメッセージがどのように扱われるべきかを決定し得る。例えば、分析されたEメールメッセージを示すために、Eメールメッセージのサブジェクトをアップデートすることは、フィッシングの策略の一部であると決定される。スコアが一定の閾値を超える場合、Eメールメッセージはまた、隔離フォルダに移動され得る。
【0045】
本発明の方法は、様々な実施形態を実行するようにプログラムされたプロセッサを用いて実行され得る。図3は、開示された方法を実行するための例示的なコンピュータシステムを示すブロック図である。この例示的なコンピュータシステムは、単なる動作環境の例であり、使用の範囲または動作環境アーキテクチャの機能性について、いかなる限定を示唆することを意図されない。また、動作環境は、例示的な動作環境において示されるいずれか1つの構成要素または構成要素の組合せと関連する、いかなる従属物または要件をも有しないと解釈されるべきである。
【0046】
方法は、多くの他の汎用または専用のコンピュータシステム環境またはコンフィギュレーションによって動作可能であり得る。方法と共に用いることに適合し得る周知のコンピュータシステム、環境、および/またはコンフィギュレーションの例は、パーソナルコンピュータ、サーバコンピュータ、ラップトップデバイス、およびマルチプロセッサシステムを含むが、これらに限定されない。追加の例は、セットトップボックス、プログラマブルな家電製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、上記のシステムまたはデバイスのいずれかを含む分散コンピューティング環境など、を含む。
【0047】
方法は、コンピュータによって実行される、プログラムモジュールなどのコンピュータ命令の一般的なコンテキストにおいて記述され得る。一般的に、プログラムモジュールは、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含み、これらは、特定のタスクを実行するか、または特定の抽象的なデータタイプを実装する。方法は、通信ネットワークを通してリンクされるリモート処理デバイスによってタスクが実行される、分散コンピューティング環境において実行され得る。分散コンピューティング環境において、プログラムモジュールは、メモリストレージデバイスを含むローカルコンピュータおよびリモートコンピュータのストレージ媒体に置かれ得る。
【0048】
本明細書中に開示される方法は、コンピュータ301の形式における汎用コンピュータデバイスを介して実装され得る。コンピュータ301の構成要素は、1つ以上のプロセッサまたは処理ユニット303、システムメモリ312、そしてプロセッサ303を含む様々なシステム構成要素をシステムメモリ312に連結する、システムバス313を含み得るが、これらに限定されない。
【0049】
図3におけるプロセッサ303は、Intel Corporationによって製造されるPENTIUM(登録商標)IVを含むx−86互換プロセッサ、またはAdvanced Micro Devices Corporationによって製造されるATHLON 64プロセッサ、であり得る。Apple、IBM、またはNECによって製造される、他の命令セットを利用するプロセッサを含む、それらのプロセッサもまた用いられ得る。
【0050】
システムバス313は、バス構造のいくつかの可能なタイプの1つ以上を表す。システムバス313は、様々なバスアーキテクチャのいずれかを用いる、メモリバスまたはメモリコントローラ、周辺バス、加速式(accelerated)グラフィックポート、およびプロセッサバスまたはローカルバスを含む。例として、そのようなアーキテクチャは、Industry Standard Architecture(ISA)バス、Micro Channel Architecture(MCA)バス、Enhanced ISA(EISA)バス、Video Electronics Standards Association(VESA)ローカルバス、およびMezzanineバスとしても公知のPeripheral Component Interconnects(PCI)バスを含み得る。このバスおよびこの記述において明記されたすべてのバスは、ワイヤードネットワークまたはワイヤレスネットワーク接続を介して実装され得る。バス313およびこの記述において明記されたすべてのバスは、ワイヤードネットワークまたはワイヤレスネットワーク接続およびサブシステムの各々を介して実装され得る。サブシステムは、プロセッサ303、大容量ストレージデバイス304、オペレーティングシステム305、アプリケーションソフト306、データ307、ネットワークアダプタ308、システムメモリ312、入力/出力インタフェース310、ディスプレイアダプタ309、ディスプレイデバイス311、およびヒューマンマシンインタフェース302を含み、物理的に離れた場所にあり、この形式のバスを通して接続され、完全に分散型システムを実装する効果がある、1つ以上のリモートコンピュータデバイス314a、314b、314c内に収容され得る。
【0051】
図3におけるオペレーティングシステム305は、MICROSOFT WINDOWS(登録商標)XP、WINDOWS(登録商標)2000、WINDOWS(登録商標)NT、またはWINDOWS(登録商標)98、およびREDHAT LINUX、FREE BSD、またはSUN MICROSYSTEMS SOLARISなどのオペレーティングシステムを含む。さらに、アプリケーションソフト306は、MICROSOFT INTERNET EXPLORERまたはMOZILLA FIREFOXなどのウェブブラウザソフトウェアを含み得、これらは、ディスプレイデバイス311上において、HTML、SGML、XML、またはすべての他の適切に構築された文書言語をユーザが見ることを可能にする。
【0052】
コンピュータ301は、一般的にコンピュータ読取り可能な様々な媒体を含む。そのような媒体は、コンピュータ301によってアクセス可能な、揮発性および不揮発性の媒体、リムーバブルおよび非リムーバブルの媒体の両方を含む、すべての利用可能な媒体であり得る。システムメモリ312は、ランダムアクセスメモリ(RAM)などの揮発性メモリ、および/または読出し専用メモリ(ROM)などの不揮発性メモリという形式の、コンピュータ読取り可能な媒体を含む。システムメモリ312は、処理ユニット303によって即座にアクセス可能で、かつ/または現在動作させられている、データ307などのデータ、および/またはオペレーティングシステム305およびアプリケーションソフト306などのプログラムモジュール、を一般的に含む。
【0053】
コンピュータ301は、他のリムーバブル/非リムーバブルの、揮発性/不揮発性のコンピュータストレージ媒体をも含み得る。例として、図3は、コンピュータ301に対する、コンピュータコード、コンピュータ読取り可能な命令、データ構造、プログラムモジュール、および他のデータの不揮発性ストレージを提供し得る、大容量ストレージデバイス304を例示する。例えば、大容量ストレージデバイス304は、ハードディスク、リムーバブル磁気ディスク、リムーバブル光ディスク、磁気カセットまたは他の磁気ストレージデバイス、フラッシュメモリカード、CD−ROM、digital versatile disks(DVD)または他の光学ストレージデバイス、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、電気的消去可能プログラム可能ROM(EEPROM)などであり得る。
【0054】
任意の数のプログラムモジュールは、例えばオペレーティングシステム305およびアプリケーションソフト306を含めて、大容量ストレージデバイス304上において保存され得る。オペレーティングシステム305およびアプリケーションソフト306(または、そのいくつかの組合せ)の各々は、プログラミングおよびアプリケーションソフト306のエレメントを含み得る。データ307もまた、大容量ストレージデバイス304上において保存され得る。データ304は、当該分野において公知である、1つ以上のデータベースのいずれかに保存され得る。そのようなデータベースの例は、DB2(登録商標)、Microsoft(登録商標) Access、Microsoft(登録商標) SQL Server、Oracle(登録商標)、mySQL、PostgreSQLなど、を含む。データベースは、集中化するか、または複数のシステムに渡って分散され得る。
【0055】
ユーザは、入力デバイス(図示せず)を介してコンピュータ301にコマンドと情報を入力し得る。そのような入力デバイスの例は、キーボード、ポインティングデバイス(例えば、「マウス」)、マイクロホン、ジョイスティック、シリアルポート、スキャナ、タッチスクリーン装置などを含むが、これらに限定されない。これらおよび他の入力デバイスは、システムバス313に連結されるヒューマンマシンインタフェース302を介して、処理ユニット303へ接続され得るけれども、パラレルポート、シリアルポート、ゲームポート、またはユニバーサルシリアルバス(USB)などの、他のインタフェースおよびバス構造によって接続され得る。
【0056】
ディスプレイデバイス311もまた、ディスプレイアダプタ309などのインタフェースを介して、システムバス313と接続され得る。例えば、ディスプレイデバイスは、陰極線管(CRT)モニタまたは液晶ディスプレイ(LCD)であり得る。ディスプレイデバイス311に加えて、他の出力周辺デバイスは、入力/出力インタフェース310を介してコンピュータ301と接続され得る、スピーカー(図示せず)およびプリンタ(図示せず)などの構成要素を含み得る。
【0057】
コンピュータ301は、1つ以上のリモートコンピュータデバイス314a、314b、314cへの論理接続を用いて、ネットワーク化された環境において動作し得る。例として、リモートコンピュータデバイスは、パーソナルコンピュータ、ポータブルコンピュータ、サーバ、ルータ、ネットワークコンピュータ、ピアデバイスまたは他の共通ネットワークノードなどであり得る。コンピュータ301とリモートコンピュータデバイス314a、314b、314cとの間の論理接続は、ローカルエリアネットワーク(LAN)、一般のワイドエリアネットワーク(WAN)、またはインターネットなどのネットワークを介して作られ得る。そのようなネットワーク接続は、ネットワークアダプタ308を通過し得る。
【0058】
例示の目的のために、アプリケーションプログラムおよびオペレーティングシステム305などの他の実行可能なプログラムコンポーネントがコンピュータデバイス301の異なるストレージ構成要素において幾重にも存在することは認識されるけれども、そのようなアプリケーションプログラムおよび他の実行可能プログラムコンポーネントは、個別のブロックとして本明細書中に例示されて、コンピュータのデータプロセッサによって実行される。アプリケーションソフト306の実装は、ある種のコンピュータ読取り可能な媒体に保存されるか、またはそれを介して転送され得る。開示された方法の実装もまた、ある種のコンピュータ読取り可能な媒体に保存されるか、またはそれを介して転送され得る。コンピュータ読取り可能な媒体は、コンピュータによってアクセスされ得るあらゆる利用可能な媒体であり得る。例として、限定はされないが、コンピュータ読取り可能な媒体は、「コンピュータストレージ媒体」および「通信媒体」を含み得る。「コンピュータストレージ媒体」は、コンピュータ読取り可能な命令、データ構造、プログラムモジュール、または他のデータなどの情報のストレージのための、あらゆる方法または技術を実装される揮発性および不揮発性で、リムーバブルおよび非リムーバブルの媒体を含む。コンピュータストレージ媒体は、RAM、ROM、EEPROM、フラッシュメモリまたは他のメモリ技術、CD−ROM、DVDまたは他の光学ストレージデバイス、磁気カセット、磁気テープ、磁気ディスクストレージデバイスまたは他の磁気ストレージデバイス、または所望される情報を保存するために用いられ得、そしてコンピュータによってアクセスされ得るすべての他の媒体を含むが、これらに限定されない。
【0059】
(フィッシングEメールディターミナ(Determiner))
本発明の1つの実施形態において、フィッシングEメールディターミナ(PED)は、少なくとも1つの要因はEメールから取出されたURLと関連づけられる信頼のレベルである、1つ以上の要因を用いてフィッシングEメールを決定するために提供される。図4の実施形態は、フィッシングEメールを決定するためのそのような1つの方法を例示する。
【0060】
最初に、図4の実施形態において、Eメールメッセージは受信される(401)。2番目に、Eメールメッセージは、少なくとも1つの要因がEメールから取出されたURLと関連づけられる信頼のレベルに基づいている、1つ以上の要因に基づいてスコア化される(402)。3番目に、スコアは、所定のフィッシング閾値と比較される(403)。最終的に、Eメールは、比較に基づいてフィッシングEメールであると決定される(404)。
【0061】
図4の実施形態に基づいた実施形態において、URLと関連づけられる信頼のレベルは、URLと関連づけられるIPアドレスの関数として決定される。URLと関連づけられるIPアドレスは、DNSサーバに問合せることによって決定され得る。様々な実施形態において、EメールがフィッシングEメールであるという決定は、リアルタイムか、ほぼリアルタイムか、または所定の時間間隔で起こり得る。
【0062】
図3のコンピュータシステム上において動作し得る種類のデータベースは、図4のフィッシングEメールディターミナの様々な実施形態において用いられ得る。例えば、1つ以上の要因がデータベースに保存され得るか、またはURLと関連づけられる信頼のレベルが保存され得るか、データベースから引出され得る。1つの実施形態において、要因は、Eメールメッセージの発信元の地理的な位置であり得、それは、Eメールメッセージの発信元IPアドレスの関数として決定され得る。NetAcuityサーバ240は、メッセージの発信元IPアドレスに基づいてEメールメッセージの発信元の地理的な位置を決定するための、様々な実施形態において用いられ得る。
【0063】
図4の実施形態を拡張して、図5において例示されるフィッシングEメールディターミナのさらなる実施形態において、Eメールメッセージ中の1つ以上のURLは、Eメールのリスクスコアを最適化するために、それらのURLが信頼されるサーバと関連づけられるか否かを決定するために分析され得る。最初に、Eメールメッセージ中の1つ以上のURLは決定される(501)。2番目に、URLの1つ以上が信頼されるサーバと関連づけられるか否かは決定される(502)。3番目に、1つ以上のURLの各々が信頼されるサーバと関連づけられる場合、リスクスコアは、EメールがフィッシングEメールである可能性がより低いことを反映するように最適化される(503)。従って、1つ以上のURLのすべてが信頼されるサーバと関連づけられていない場合、リスクスコアは、EメールがフィッシングEメールである可能性がより高いことを反映するように最適化される(504)。
【0064】
図4の実施形態に基づいたPEDのまた別の実施形態において、Eメールメッセージは、ヘッダおよび本文において構文解析される。そのようなEメールは、プレーンテキスト、HTML、XML、リッチテキストなどを含む多くのフォーマットの1つにおけるデータを含み得る。従って、Eメールがヘッダおよび本文において構文解析された後、リスクスコアは、ヘッダスコアおよびURLスコアを含み、このURLスコアは、URLと関連づけられるHTMLタグに基づいて調整され得る。さらに、1つの実施形態において、ヘッダスコアは、Eメールメッセージに含まれるIPアドレスと関連づけられる発信国に基づいて調整され得る。いくつかの実施形態において、EメールがフィッシングEメールであると決定することは、EメールメッセージがEメール受信者に送られる前に、起こり得る。
【0065】
例えば、図6の実施形態において例示されるように、本発明のフィッシングEメールディターミナはまた、会社などの実体と関連づけられる、Eメールメッセージから取出される記述内容に基づいて、フィッシングEメールを決定し得る。最初に、1つ以上の実体と関連づけられるドメイン名およびキーワードを少なくとも含む記述内容は保存される(601)。2番目に、Eメールメッセージは受信され(602)、記述内容はそれから取出される(603)。4番目に、第1の実体は、取出された記述内容と保存された記述内容との間の比較に基づいて、Eメールが関連づけられ得ることを決定される(604)。5番目に、URLはEメールから取出され(605)、URLと関連づけられる、第2の実体が決定される(606)。最後に、第1の実体と第2の実体との間の比較に基づいて、EメールがフィッシングEメールであると決定される(607)。
【0066】
図6のPEDは、例えば、Eメールがユーザの銀行からであると称するけれども、実際は銀行を装う盗人(thief)からである場合に、EメールがフィッシングEメールであると決めるために実用的に用いられ得る。図6におけるPEDの実施形態を適用すると、記述内容は、FirstBankと仮に呼ばれる銀行と関連づけられて保存され(601)、その銀行は、ドメイン名firstbank.comと関連づけられる。次に、方法は、Eメールを受信し(602)、記述内容をEメールから取出す(603)。この例において、PEDは、ドメイン名firstbank.comをEメールメッセージから取出す(602)。次に、PEDは、取出されたドメインをステップ601において保存された記述内容と比較し、取出されたドメイン名がFirstBankと関連づけられることを決定する(604)。それからURLは、Eメールから取出され(605)、606において、そのURLは、FirstBankに所属しないと決定される。最終的に、図6のPEDは、第1の実体(FirstBank)と第2の実体(FirstBankによって所有されていないURL)とを比較し、比較に基づいてEメールがフィッシングEメールであると決定する(607)。
【0067】
図6の様々な実施形態において、記述内容は、ドメイン名、キーワード、グラフィックイメージ、サウンドファイル、ビデオファイル、添付ファイル、デジタル指紋、およびEメールアドレスを含むいかなるタイプの情報をも含み得る。PEDのさらなる実施形態において、URLと関連づけられる第2の実体を決定するステップは、URLと関連づけられるIPアドレスを決定するステップを含み得、それは、例えば、DNSサーバに問合せることによって決定され得る。
【0068】
図6の実施形態に基づく別の実施形態において、インタフェースが提供され、そのインタフェースは、実体と関連づけられるキーワードおよびドメイン名をユーザが決定することを可能にする。キーワードおよびドメイン名は、次いで保存され、実体と関連づけられる。保存は、例えば、図3に例示されるコンピュータシステム上に存在するデータベースにおいて起こり得る。
【0069】
(信頼されるホストマイナ)
本発明の信頼されるホストマイナ(THM)は、特定の信頼されるURLとして役立つすべてのサーバのIPアドレスを発見することが可能であり、図7の実施形態において例示される。信頼されるURLとして役立つサーバは、信頼されるサーバとして公知である。様々な実施形態において、THMは、特定の信頼されるURLに対してもはや用いられないサーバを切捨てることによって、信頼されるサーバのデータベース(702)を最新に保つ役目を担う。
【0070】
1つの実施形態において、THMは、発見してメンテナンスする役目を担う信頼されるURLのリストを信頼されるURLデータベースからロードする(703)。THMはそれから、各URLのためにDNS問合せを実行する(704)。DNS問合せはまた、DNSが戻す各アドレスのために、活動時間(time−to−live)(TTL)値を戻す。そして、ステップ705で、サーバアドレスがデータベース中にあるか否かが決定される。サーバアドレスがデータベース中にある場合、アドレスに対して最後に見られた日付は、信頼されるサーバのデータベース中でアップデートされる(706)。THMは次いで、DNSが供給した、アドレスに対する活動時間(TTL)の間それが終了するのを待ち(707)、それから、ステップ704においてDNSサーバ問合せを繰り返す。
【0071】
ステップ705において、サーバアドレスがデータベース中になかったことを決定した場合、サーバのアドレスは、信頼されるサーバのデータベースに追加される(708)。THMはそれから、アドレスに対するTTLの間それが終了するのを待ち得、ステップ704において開始するTHMの手順を繰り返す。
【0072】
設定された時間量の間に、特定の信頼されるサーバが見られなかった場合、THMは、信頼されるサーバのデータベース(711)からサーバを削除する(709)ことによって切捨て得る。この行為は、信頼されるサーバのデータベース(711)がいつも最新であり、期限切れのエントリを含まないことを保証する。
【0073】
信頼されるサーバのデータベースはまた、信頼されるサーバの所有者により提供されるそれらのサーバのセットによって事前にロードされ得る(710)。例えば、金融機関は、信頼されるそのサーバのリストを提供し得る。これらのサーバのリストは、信頼されるサーバのデータベース(711)中に置かれ得、THMによって引き出され得ない。
【0074】
別の実施形態のTHMは、図8において例示される。最初に、THMは、信頼されるURLを受信する(801)。2番目に、方法は、信頼されるURLを含む最初の問合せをDNSに提出し(802)、それから、DNSから第1のIPアドレスを受信する(803)。4番目に、第1のIPアドレスは、信頼されるURLと関連づけられ、その関連は保存される(804)。2番目の問合せはそれから、最初の所定の時間が経過した後に、信頼されるURLを含めてDNSに提出され、最初の所定の時間量はDNSから受信したTLL値の関数である(805)。6番目に、第2のIPアドレスは、DNSから受信される(806)。最終的に、第2のIPアドレスは、信頼されるURLと関連づけられ、その関連は保存される(807)。
【0075】
図8の実施形態を拡張するTHMの一実施形態において、2番目の事前設定された時間量が経過した後に、THMの方法は、IPアドレスを信頼されるURLから関連を解除する。さらに、2番目の事前設定された時間量は、TTL値の関数として決定され得る。さらなる実施形態において、信頼されるURLは、データベース問合せの結果として受信され、IPアドレス、TTL値、および信頼されるURLは、図3のコンピュータシステム上に存在するデータベースに保存され得る。
【0076】
(信頼されるホストブラウザ)
本発明は、信頼のレベルをユーザに伝達するための信頼されるホストブラウザ(THB)の方法を提供する。1つの実施形態において、THBは信頼されるサーバのデータベース711を用いて、信頼されるホストブラウザは、ツールバーを介して使用可能であり得るウェブブラウザプラグインとして実装される。プラグインは、ウェブブラウザにロードされ得、エンドユーザが訪れるウェブサイトのセキュリティに関して彼らにフィードバックを提供するために用いられ得る。例えば、エンドユーザが、リンクが彼らの銀行のウェブサイトであるという確信において、彼らが受信したEメールメッセージ中のリンクをクリックする場合、プラグインは、ウェブサイトからウェブブラウザに提供されるコンテンツを彼らが信頼し得るか否かを視覚的に示し得る。
【0077】
図9において例示されるようなTHBの1つの実施形態において、THBプラグインは、ウェブブラウザ要求エリアにおいてロードされたURLを受取り、URLと関連づけられるアドレスをルックアップする(901)。プラグインはそれから、信頼されるサーバのデータベース中のアドレスに対してそのアドレスを照合することを示すアドレスを伴って、EScamサーバ202をコールする(902)。アドレスが信頼されるサーバである場合(903)、プラグインは、「信頼されるウェブサイト」を示すアイコンまたはダイアログボックスをユーザに対して表示する(904)。
【0078】
EScamサーバ202は、サーバが信頼されないと決めた場合、次にサーバの地理的な位置をチェックする(905)。地理的な位置がOFAC国または所定の疑わしい国など潜在的に疑わしい場合(906)、EScamサーバ202は、プラグインにこのことを示し得る。地理的な位置が疑わしくない場合、プラグインは次いで、「疑わしくないウェブサイト」を示すアイコンをブラウザにおいて表示し得る(908)。サーバの位置が疑わしい場合、プラグインは、「疑わしいウェブサイト」を示すアイコンを表示する(907)。エンドユーザはそれから、ユーザのログイン情報、パスワード情報、または金融情報を含む機密情報の提供など、このサイトとの交信を続行するか否かを決定するためにウェブサイトの妥当性に関する情報を用い得る。
【0079】
信頼のレベルをユーザに伝達するために有用な、THBの別の実施形態は、図10において例示される。図10の実施形態において、方法は、最初にURLを受信する(1001)。2番目に、URLと関連づけられるIPアドレスが決定される(1002)。3番目に、URLのホストと関連づけられる信頼のレベルは、少なくとも1つの要因がIPアドレスに基づく、1つ以上の要因に基づいて決定される(1003)。最終的に、決定された信頼のレベル(1003)は、ユーザに伝達される(1004)。
【0080】
図10に基づいたTHBの一実施形態において、URLは、インターネットウェブブラウザのアドレスフィールド中に入力される。さらに、要因は、URLについて問合わされたEScamサーバ202から受信される信頼のレベルであり得る。さらに、要因は、IPアドレスの関数として決定されるホストの地理的な位置であり得る。1つの実施形態において、ホストの地理的な位置は、NetAcuityサーバ240を用いて決定され得る。
【0081】
(ページスパイダ)
本発明の一実施形態は、ユーザ証明書、ログイン情報、パスワード情報、金融情報、社会保障番号、またはすべてのタイプの個人識別情報などの機密または要注意情報の通信を要求し得るオンサイトURLを決定するために、文書中のリンクを処理することに有用なページスパイダの方法を提供する。機密情報を要求するオンサイトウェブページを示すURLはまた、信頼されるURLとして扱われ、信頼されるURLのデータベース711に追加され、THMによって処理され得る。
【0082】
ページスパイダの方法は、図11に描かれる一実施形態において例示される。図11のページスパイダは、URLを安全なページURLまたはすべての包含的なURLのいずれかに分類するための論理を用い得る。包含的なURLは、ログインを求めると決定されていないか、または個人もしくは要注意情報を要求しないあらゆるURLである。最初に、第1のリンクにおいて使用可能である第1の文書が引出され、第1のリンクは第1のホスト名を含む(1101)。2番目に、第1の文書は、第2の文書への第2のリンクを識別するために構文解析される(1102)。第2の文書が、第1のホスト名と同じホスト名を含む第2のリンクを伴うので、すなわち、第2のリンクは第1のリンクに関してオンサイトである。第2の文書は次いで、それがログイン情報、パスワード情報、または金融情報などの機密情報を要求するか否かを決定するために検査される(1103)。最終的に、第2の文書が機密情報を要求する場合、第2のリンクは第1のリストに保存される(1104)。さらなる実施形態において、第2の文書が機密情報を要求しない場合、第2のリンクは第2のリストに保存され得る。
【0083】
ページスパイダの別の実施形態において、文書は、HTML互換の文書であり、リンクはURLである。ページスパイダのさらなる実施形態において、文書は、XML文書であり、リンクはURLである。ページスパイダが、他の文書への1つ以上のリンクまたは参照を含む、あらゆるタイプの文書に対して用いられ得ることもまた当業者にとって明らかである。
【0084】
また別の実施形態において、第1の文書は、第2の文書へのリンクを含むHTMLアンカータグ<A>を決定するために構文解析され得る。第2の文書はまた、それが<FORM>タグまたは<INPUT>タグなどの1つ以上の所定のHTMLタグを含むか否かを決定することによって、文書が機密情報を要求するか否かを決定するために検査され得る。様々な実施形態において、機密情報は、安全なログイン形式によって要求され得る。
【0085】
本発明の1つ以上の実施形態が、図12において示される実施形態など強化された機能性を提供するために組合され得る。それは、協力して動作するページスパイダおよび信頼されるホストマイナを例示する。
【0086】
図12に例示される実施形態において、ページスパイダは、ジャンプオフ(Jump−Off)URLのデータベース1202からジャンプオフURLを与えられるすべての可能なURLまたはサイトに対して、ページをスキャンする役目を担う。ページスパイダは、URLを安全なログインURLまたはすべての包含的なURLのいずれかに分類するために、ロジックを用いる。それは、ログインを求めると決定されていないあらゆるURLである。ページスパイダによるURL処理は、URLが安全なログインURLのように機密情報を要求するか否か、またはURLが正に通常のURLであるか否かを知る必要がある方法に有用である。様々な実施形態において、ページスパイダは、現在のサイトからリンクを辿らないけれども、それらのサイトがジャンプオフURLに変換されるべきであるか否かをある人が確証するために、オフサイトリンクをDidn’t Followデータベース1203に追加する。1つの実施形態において、ジャンプオフURLは、信頼されるホストマイナ1208によって処理され得る潜在的に信頼されるURLである。
【0087】
現在の実施形態において、ページスパイダのユーザインタフェース(UI)1201が提供され、そのUIは、ユーザがジャンプオフURLを入力し、Don’t Follow URLを入力し、そしてDidn’t Follow URLを有効にし、そしてDidn’t Follow URLをジャンプオフURLのデータベース1202に置くことを可能にする。ページスパイダUI1201はまた、ページスパイダ処理をバイパスして、すべての包含的なデータベース1206エントリを有効にし、安全なログインURLのデータベース1207のエントリを有効にし、そしてすべての包含的なURL/安全なURLを手動で入力するために用いられ得る。
【0088】
図12の実施形態において、ページスパイダ1205は、ページスパイダUI1201を介してジャンプオフURLのDB1202、Don’t Follow URLのDB1204、そしてDidn’t Follow URLのDB1203にURLを入力するために用いられる。ページスパイダは、オンサイトURLを突止めて、それらをすべての包含的なURLのDB1206または安全なログインURLのDB1207のいずれかに置く。これらの突止められたURLは、それから、THM1208に供給される。THM1208は、例えば、図7および図8において例示されるように、供給されたURLに対する信頼されるホストを決定する。THM1208はそれから、信頼されるサーバのDB1209をアップデートする。
【0089】
別の実施形態において、信頼されるサーバのDBビルダー1210が信頼されるサーバのDB1209をポーリングし、十分な変化がある場合に、すべての包含的な信頼されるサーバのDB1211と、安全なログインの信頼されるサーバのDB1212とにURLを公開する。さらなる実施形態において、DBディストリビュータ1213はまた、すべての包含的な信頼されるサーバのDB1211と安全なログインの信頼されるサーバのDB1212とにURLを送信する。最終的に、ユーザは、機関の情報DB1214を管理するために、機関のUI1215を用いる。機関の情報DB1214は、機関と関連する内容を識別するために用いられ得るドメイン名およびキーワードなどの記述内容を含む。記述内容はまた、機関からであると称するフィッシングEメールを決定するために、記述内容が用いられることを可能にして、図12の実施形態によって連結されるPEDに供給され得る。
【0090】
本発明は、様々な実施形態に関連して詳細に記述されたけれども、本発明が上記において開示される実施形態に限定されないことは理解されるべきである。むしろ、本発明は、これまで記述されなかった、本発明の精神および範囲を逸脱しない様々な変更、代替、置換、または均等な編成を含むように改変され得る。従って、本発明は前述の説明または図面によって限定されないけれども、添付の特許請求の範囲によってのみ限定される。
【図面の簡単な説明】
【0091】
【図1】図1は、本発明による、EメールメッセージがフィッシングEメールであるか否かを決定するための方法を例示するフローチャートである。
【図2】図2は、本発明のEScamサーバの一実施形態を実装するためのコンピュータシステムのブロック図である。
【図3】図3は、本発明の様々な実施形態を実装するために用いられ得るコンピュータシステムのブロック図である。
【図4】図4は、本発明の一実施形態におけるフィッシングEメールを決定するための方法を例示する。
【図5】図5は、本発明の別の実施形態におけるフィッシングEメールを決定するための方法を例示する。
【図6】図6は、本発明のさらなる実施形態におけるフィッシングEメールを決定するための方法を例示する。
【図7】図7は、本発明の一実施形態の信頼されるホストマイナの方法を例示する。
【図8】図8は、本発明の別の実施形態の信頼されるホストマイナの方法を例示する。
【図9】図9は、本発明の一実施形態の信頼されるホストブラウザの方法を例示する。
【図10】図10は、本発明の別の実施形態における信頼されるホストブラウザの方法を例示する。
【図11】図11は、本発明の一実施形態のページスパイダの方法を例示する。
【図12】図12は、本発明の一実施形態におけるページスパイダの方法および信頼されるホストマイナの方法を例示する。
【特許請求の範囲】
【請求項1】
フィッシングEメールを決定するための方法であって、該方法は、
a.Eメールメッセージを受信するステップと、
b.1つ以上の要因に基づいて該Eメールメッセージをスコア化するステップであって、少なくとも1つの要因は、該Eメールから取出されるURLと関連づけられる信頼のレベルに基づく、ステップと、
c.該スコアを所定のフィッシング閾値と比較するステップと、
d.該比較に基づいて、該EメールがフィッシングEメールであるか否かを決定するステップと
を包含する、方法。
【請求項2】
前記要因の1つ以上は、データベースに保存される、請求項1に記載の方法。
【請求項3】
前記URLと関連づけられる前記信頼のレベルは、該URLと関連づけられるIPアドレスの関数として決定される、請求項1に記載の方法。
【請求項4】
前記URLと関連づけられる前記IPアドレスは、DNSサーバに問合せることによって決定される、請求項3に記載の方法。
【請求項5】
前記URLと関連づけられる前記信頼のレベルは、データベースから引出される、請求項1に記載の方法。
【請求項6】
要因は、前記Eメールメッセージの発信元の地理的な位置を含む、請求項1に記載の方法。
【請求項7】
前記地理的な位置は、前記Eメールメッセージの前記発信元のIPアドレスの関数として決定される、請求項6に記載の方法。
【請求項8】
前記EメールがフィッシングEメールであるか否かを決定する前記ステップは、リアルタイムで起こる、請求項1に記載の方法。
【請求項9】
前記Eメールメッセージをヘッダおよび本文に構文解析することをさらに含む、請求項1の方法。
【請求項10】
前記Eメールメッセージは、HTMLのEメールメッセージである、請求項1に記載の方法。
【請求項11】
前記Eメールメッセージは、テキストのEメールメッセージである、請求項1に記載の方法。
【請求項12】
請求項1に記載の方法であって、該方法は、
a.前記Eメールメッセージに含まれる1つ以上のURLを決定するステップと、
b.該1つ以上のURLが信頼されるサーバと関連づけられるか否かを決定するステップと、
c.該1つ以上のURLの各々が、信頼されるサーバと関連づけられる場合、該Eメールが、フィッシングEメールである可能性がより低いことを反映するように前記スコアを最適化するステップと、
d.該1つ以上のURLのすべてが、信頼されるサーバと関連づけられていない場合、該Eメールが、フィッシングEメールである可能性がより高いことを反映するようにリスクスコアを最適化するステップと
をさらに含む、方法。
【請求項13】
前記スコアは、ヘッダスコアとURLスコアとから構成される、請求項9に記載の方法。
【請求項14】
前記URLスコアは、前記URLと関連づけられるHTMLタグに基づいて調整される、請求項13に記載の方法。
【請求項15】
前記ヘッダスコアは、前記Eメールメッセージに含まれるIPアドレスと関連づけられる発信国に基づいて調整される、請求項13に記載の方法。
【請求項16】
前記Eメールメッセージは、Eメールクライアントによって受信される、請求項1に記載の方法。
【請求項17】
前記EメールメッセージがEメール受信者に送られる前に、前記決定するステップが起こる、請求項1に記載の方法。
【請求項18】
前記決定するステップと関連づけられる情報を報告するステップをさらに含む、請求項1に記載の方法。
【請求項19】
フィッシングEメールを決定するための方法であって、該方法は、
a.1つ以上の実体と関連づけられる記述内容を保存するステップであって、該内容は、少なくともドメイン名およびキーワードを含む、ステップと、
b.Eメールを受信するステップと、
c.該Eメールから記述内容を取出すステップと、
d.該取出された記述内容と該保存された記述内容との間の比較に基づいて、該Eメールが、関連づけられ得る第1の実体を決定するステップと、
e.該EメールからURLを取出すステップと、
f.該URLと関連づけられる第2の実体を決定するステップと、
g.該第1の実体と該第2の実体との間の比較に基づいて、該EメールがフィッシングEメールであるか否かを決定するステップと
を包含する、方法。
【請求項20】
前記URLと関連づけられる第2の実体を決定する前記ステップは、該URLと関連づけられるIPアドレスを決定するステップを含む、請求項19に記載の方法。
【請求項21】
前記IPアドレスは、DNSサーバに問合せることによって決定される、請求項20に記載の方法。
【請求項22】
請求項19に記載の方法であって、前記1つ以上の実体と関連づけられる記述内容を保存するステップは、
a.実体と関連づけられるキーワードおよびドメイン名を決定するために、ユーザに対してインタフェースを提供するステップと、
b.該実体と関連づけられるキーワードを該ユーザによって決定するステップと、
c.該実体と関連づけられるドメイン名を該ユーザによって決定するステップと、
d.実体情報、該関連づけられたキーワード、および該関連づけられたドメイン名を保存するステップと
を含む、方法。
【請求項23】
前記実体、キーワード、およびドメイン名の情報は、データベースに保存される、請求項22に記載の方法。
【請求項24】
信頼されるサーバの1つ以上のインターネットプロトコル(IP)アドレスを信頼されるユニフォームリソースロケータ(URL)と関連づけるための方法であって、該方法は、
a.該信頼されるURLを受信するステップと、
b.該信頼されるURLを含む第1の問合せをドメインネームサーバ(DNS)に提出するステップと、
c.該DNSから第1のIPアドレスを受信するステップと、
d.該第1のIPアドレスを該信頼されるURLと関連づけ、該関連を保存するステップと、
e.第1の所定の時間量が経過した後に、該信頼されるURLを含む第2の問合せを該DNSに提出するステップであって、該第1の所定の時間量は、該DNSから受信された活動時間(TTL)値の関数である、ステップと、
f.該DNSから第2のIPアドレスを受信するステップと、
g.該第2のIPアドレスを該信頼されるURLと関連づけ、該関連を保存するステップと
を包含する、方法。
【請求項25】
前記信頼されるURLを受信する前記ステップは、データベース問合せの結果として、該信頼されるURLを受信するステップを含む、請求項24に記載の方法。
【請求項26】
1つ以上のIPアドレス、TTL値、および前記信頼されるURLをデータベースに保存するステップをさらに含む、請求項24に記載の方法。
【請求項27】
第2の事前設定された時間量が経過した後に、IPアドレスを前記信頼されるURLから関連を解除するステップをさらに含む、請求項24に記載の方法。
【請求項28】
前記第2の事前設定された時間量は、TTL値の関数として決定される、請求項27に記載の方法。
【請求項29】
前記信頼されるサーバと関連づけられる実体から、前記信頼されるURLと関連づけられるIPアドレスを受信するステップをさらに含む、請求項24に記載の方法。
【請求項30】
前記実体は、信頼されるサーバの所有者である、請求項29に記載の方法。
【請求項31】
ステップeからステップgは、1回以上繰り返される、請求項24に記載の方法。
【請求項32】
ユニフォームリソースロケータ(URL)のホストと関連づけられる信頼のレベルをユーザに伝達するための方法であって、該方法は、
a.該URLを受信するステップと、
b.該URLと関連づけられるインターネットプロトコル(IP)アドレスを決定するステップと、
c.1つ以上の要因に基づいて該URLの該ホストと関連づけられる該信頼のレベルを決定するステップであって、少なくとも1つの要因は、該IPアドレスに基づく、ステップと、
d.該ホストと関連づけられる該信頼のレベルを該ユーザに伝達するステップと
を包含する、方法。
【請求項33】
前記URLは、インターネットウェブブラウザのアドレスフィールドに入力されるURLである、請求項32に記載の方法。
【請求項34】
要因は、前記URLについて問合わされたEScamサーバから受信される前記信頼のレベルである、請求項32に記載の方法。
【請求項35】
前記URLと関連づけられるIPアドレスを決定する前記ステップは、該URLについてDNSに問合せるステップを含む、請求項32に記載の方法。
【請求項36】
要因は、前記IPアドレスの関数として決定される前記ホストの地理的な位置である、請求項32に記載の方法。
【請求項37】
前記URLと関連づけられるIPアドレスを決定する前記ステップは、データベースから該IPアドレスを引出すステップを含む、請求項32に記載の方法。
【請求項38】
前記ユーザに伝達する前記ステップは、前記URLと関連づけられる前記信頼のレベルを示すメッセージを該ユーザに対して表示することによって、前記ホストと関連づけられる該信頼のレベルを該ユーザに伝達するステップを含む、請求項32に記載の方法。
【請求項39】
前記ユーザに伝達する前記ステップは、前記URLと関連づけられる前記信頼のレベルを示すアイコンまたはダイアログボックスを該ユーザに対して表示することによって、前記ホストと関連づけられる該信頼のレベルを該ユーザに伝達するステップを含む、請求項32に記載の方法。
【請求項40】
文書の中のリンクを処理するための方法であって、該方法は、
a.第1のリンクにおいて使用可能な第1の文書を引出すステップであって、該第1のリンクは、第1のホスト名を含む、ステップと、
b.第2の文書への第2のリンクを識別するために、該第1の文書を構文解析するステップであって、該第2のリンクは、該第1のホスト名と同じホスト名を含む、ステップと、
c.該第2の文書が、ログイン情報、パスワード情報、または金融情報などの機密情報を要求するか否かを決定するために、該第2の文書を検査するステップと、
d.該第2の文書が機密情報を要求する場合、第1のリストに該第2のリンクを保存するステップと
を包含する、方法。
【請求項41】
前記第2の文書が機密情報を要求しない場合、第2のリストに前記第2のリンクを保存するステップをさらに含む、請求項40に記載の方法。
【請求項42】
文書は、HTML互換の文書であり、リンクは、ユニフォームリソースロケータ(URL)である、請求項40に記載の方法。
【請求項43】
文書は、XML互換の文書であり、リンクは、ユニフォームリソースロケータ(URL)である、請求項40に記載の方法。
【請求項44】
第2の文書への第2のリンクを決定するために、前記第1の文書を構文解析する前記ステップは、該第2の文書へのリンクを含む、<A>HTMLタグを決定するステップを含む、請求項42に記載の方法。
【請求項45】
前記第2の文書が機密情報を要求するか否かを決定するために、該第2の文書を検査する前記ステップは、該第2の文書が<FORM>タグまたは<INPUT>タグなどの1つ以上の所定のHTMLタグを含むか否かを決定するために、該第2の文書を検査するステップを含む、請求項42に記載の方法。
【請求項46】
前記機密情報は、前記第2の文書に含まれる安全なログイン形式によって要求される、請求項45に記載の方法。
【請求項47】
前記機密情報は、前記第2の文書に含まれる安全なログイン形式によって要求される、請求項40に記載の方法。
【請求項48】
文書の中のリンクを処理するための方法であって、該方法は、
a.第1のリンクにおいて使用可能な第1の文書を引出すステップであって、該第1のリンクは、第1のホスト名を含む、ステップと、
b.他の文書への1つ以上のリンクを識別するために、該第1の文書を構文解析するステップであって、各識別されたリンクは、識別されたホスト名を含み、該1つ以上の識別されたリンクは、第2のホスト名を含む第2のリンクを少なくとも含む、ステップと、
c.該1つ以上の識別されたリンクに対して、該第1のホスト名と該識別されたホスト名とが同じか否かを決定するステップと、
d.該第1のホスト名と該識別されたホスト名とが同じ場合、第1のリストに該識別されたリンクを保存するステップと、
e.該第1のホスト名と該識別されたホスト名とが同じでない場合、第2のリストに該識別されたリンクを保存するステップと
を包含する、方法。
【請求項49】
検査されるリンクが、ログイン情報、パスワード情報、または金融情報などの機密情報を要求する文書を参照するか否かを決定するために、前記第1のリストの1つ以上の該リンクを検査するステップをさらに含む、請求項48に記載の方法。
【請求項50】
請求項49に記載の方法であって、該方法は、
a.前記検査されるリンクによって参照される前記文書が、機密情報を要求する場合、第3のリストに該検査されるリンクを保存するステップと、
b.該検査されるリンクによって参照される該文書が、機密情報を要求しない場合、第4のリストに該検査されるリンクを保存するステップと
をさらに含む、方法。
【請求項51】
文書は、HTML互換の文書であり、リンクは、ユニフォームリソースロケータ(URL)である、請求項48に記載の方法。
【請求項52】
文書は、XML互換の文書であり、リンクは、ユニフォームリソースロケータ(URL)である、請求項48に記載の方法。
【請求項53】
第2の文書への前記第2のリンクを決定するために、前記第1の文書を構文解析する前記ステップは、該第2の文書へのリンクを含む、<A>HTMLタグを決定するステップを含む、請求項51に記載の方法。
【請求項54】
第2の文書が機密情報を要求するか否かを決定するために、該第2の文書を検査する前記ステップは、該第2の文書が<FORM>タグまたは<INPUT>タグなどの1つ以上の所定のHTMLタグを含むか否かを決定するために、該第2の文書を検査するステップを含む、請求項51に記載の方法。
【請求項55】
前記機密情報は、前記第2の文書に含まれる安全なログイン形式によって要求される、請求項54に記載の方法。
【請求項56】
前記機密情報は、前記第2の文書に含まれる安全なログイン形式によって要求される、請求項48に記載の方法。
【請求項1】
フィッシングEメールを決定するための方法であって、該方法は、
a.Eメールメッセージを受信するステップと、
b.1つ以上の要因に基づいて該Eメールメッセージをスコア化するステップであって、少なくとも1つの要因は、該Eメールから取出されるURLと関連づけられる信頼のレベルに基づく、ステップと、
c.該スコアを所定のフィッシング閾値と比較するステップと、
d.該比較に基づいて、該EメールがフィッシングEメールであるか否かを決定するステップと
を包含する、方法。
【請求項2】
前記要因の1つ以上は、データベースに保存される、請求項1に記載の方法。
【請求項3】
前記URLと関連づけられる前記信頼のレベルは、該URLと関連づけられるIPアドレスの関数として決定される、請求項1に記載の方法。
【請求項4】
前記URLと関連づけられる前記IPアドレスは、DNSサーバに問合せることによって決定される、請求項3に記載の方法。
【請求項5】
前記URLと関連づけられる前記信頼のレベルは、データベースから引出される、請求項1に記載の方法。
【請求項6】
要因は、前記Eメールメッセージの発信元の地理的な位置を含む、請求項1に記載の方法。
【請求項7】
前記地理的な位置は、前記Eメールメッセージの前記発信元のIPアドレスの関数として決定される、請求項6に記載の方法。
【請求項8】
前記EメールがフィッシングEメールであるか否かを決定する前記ステップは、リアルタイムで起こる、請求項1に記載の方法。
【請求項9】
前記Eメールメッセージをヘッダおよび本文に構文解析することをさらに含む、請求項1の方法。
【請求項10】
前記Eメールメッセージは、HTMLのEメールメッセージである、請求項1に記載の方法。
【請求項11】
前記Eメールメッセージは、テキストのEメールメッセージである、請求項1に記載の方法。
【請求項12】
請求項1に記載の方法であって、該方法は、
a.前記Eメールメッセージに含まれる1つ以上のURLを決定するステップと、
b.該1つ以上のURLが信頼されるサーバと関連づけられるか否かを決定するステップと、
c.該1つ以上のURLの各々が、信頼されるサーバと関連づけられる場合、該Eメールが、フィッシングEメールである可能性がより低いことを反映するように前記スコアを最適化するステップと、
d.該1つ以上のURLのすべてが、信頼されるサーバと関連づけられていない場合、該Eメールが、フィッシングEメールである可能性がより高いことを反映するようにリスクスコアを最適化するステップと
をさらに含む、方法。
【請求項13】
前記スコアは、ヘッダスコアとURLスコアとから構成される、請求項9に記載の方法。
【請求項14】
前記URLスコアは、前記URLと関連づけられるHTMLタグに基づいて調整される、請求項13に記載の方法。
【請求項15】
前記ヘッダスコアは、前記Eメールメッセージに含まれるIPアドレスと関連づけられる発信国に基づいて調整される、請求項13に記載の方法。
【請求項16】
前記Eメールメッセージは、Eメールクライアントによって受信される、請求項1に記載の方法。
【請求項17】
前記EメールメッセージがEメール受信者に送られる前に、前記決定するステップが起こる、請求項1に記載の方法。
【請求項18】
前記決定するステップと関連づけられる情報を報告するステップをさらに含む、請求項1に記載の方法。
【請求項19】
フィッシングEメールを決定するための方法であって、該方法は、
a.1つ以上の実体と関連づけられる記述内容を保存するステップであって、該内容は、少なくともドメイン名およびキーワードを含む、ステップと、
b.Eメールを受信するステップと、
c.該Eメールから記述内容を取出すステップと、
d.該取出された記述内容と該保存された記述内容との間の比較に基づいて、該Eメールが、関連づけられ得る第1の実体を決定するステップと、
e.該EメールからURLを取出すステップと、
f.該URLと関連づけられる第2の実体を決定するステップと、
g.該第1の実体と該第2の実体との間の比較に基づいて、該EメールがフィッシングEメールであるか否かを決定するステップと
を包含する、方法。
【請求項20】
前記URLと関連づけられる第2の実体を決定する前記ステップは、該URLと関連づけられるIPアドレスを決定するステップを含む、請求項19に記載の方法。
【請求項21】
前記IPアドレスは、DNSサーバに問合せることによって決定される、請求項20に記載の方法。
【請求項22】
請求項19に記載の方法であって、前記1つ以上の実体と関連づけられる記述内容を保存するステップは、
a.実体と関連づけられるキーワードおよびドメイン名を決定するために、ユーザに対してインタフェースを提供するステップと、
b.該実体と関連づけられるキーワードを該ユーザによって決定するステップと、
c.該実体と関連づけられるドメイン名を該ユーザによって決定するステップと、
d.実体情報、該関連づけられたキーワード、および該関連づけられたドメイン名を保存するステップと
を含む、方法。
【請求項23】
前記実体、キーワード、およびドメイン名の情報は、データベースに保存される、請求項22に記載の方法。
【請求項24】
信頼されるサーバの1つ以上のインターネットプロトコル(IP)アドレスを信頼されるユニフォームリソースロケータ(URL)と関連づけるための方法であって、該方法は、
a.該信頼されるURLを受信するステップと、
b.該信頼されるURLを含む第1の問合せをドメインネームサーバ(DNS)に提出するステップと、
c.該DNSから第1のIPアドレスを受信するステップと、
d.該第1のIPアドレスを該信頼されるURLと関連づけ、該関連を保存するステップと、
e.第1の所定の時間量が経過した後に、該信頼されるURLを含む第2の問合せを該DNSに提出するステップであって、該第1の所定の時間量は、該DNSから受信された活動時間(TTL)値の関数である、ステップと、
f.該DNSから第2のIPアドレスを受信するステップと、
g.該第2のIPアドレスを該信頼されるURLと関連づけ、該関連を保存するステップと
を包含する、方法。
【請求項25】
前記信頼されるURLを受信する前記ステップは、データベース問合せの結果として、該信頼されるURLを受信するステップを含む、請求項24に記載の方法。
【請求項26】
1つ以上のIPアドレス、TTL値、および前記信頼されるURLをデータベースに保存するステップをさらに含む、請求項24に記載の方法。
【請求項27】
第2の事前設定された時間量が経過した後に、IPアドレスを前記信頼されるURLから関連を解除するステップをさらに含む、請求項24に記載の方法。
【請求項28】
前記第2の事前設定された時間量は、TTL値の関数として決定される、請求項27に記載の方法。
【請求項29】
前記信頼されるサーバと関連づけられる実体から、前記信頼されるURLと関連づけられるIPアドレスを受信するステップをさらに含む、請求項24に記載の方法。
【請求項30】
前記実体は、信頼されるサーバの所有者である、請求項29に記載の方法。
【請求項31】
ステップeからステップgは、1回以上繰り返される、請求項24に記載の方法。
【請求項32】
ユニフォームリソースロケータ(URL)のホストと関連づけられる信頼のレベルをユーザに伝達するための方法であって、該方法は、
a.該URLを受信するステップと、
b.該URLと関連づけられるインターネットプロトコル(IP)アドレスを決定するステップと、
c.1つ以上の要因に基づいて該URLの該ホストと関連づけられる該信頼のレベルを決定するステップであって、少なくとも1つの要因は、該IPアドレスに基づく、ステップと、
d.該ホストと関連づけられる該信頼のレベルを該ユーザに伝達するステップと
を包含する、方法。
【請求項33】
前記URLは、インターネットウェブブラウザのアドレスフィールドに入力されるURLである、請求項32に記載の方法。
【請求項34】
要因は、前記URLについて問合わされたEScamサーバから受信される前記信頼のレベルである、請求項32に記載の方法。
【請求項35】
前記URLと関連づけられるIPアドレスを決定する前記ステップは、該URLについてDNSに問合せるステップを含む、請求項32に記載の方法。
【請求項36】
要因は、前記IPアドレスの関数として決定される前記ホストの地理的な位置である、請求項32に記載の方法。
【請求項37】
前記URLと関連づけられるIPアドレスを決定する前記ステップは、データベースから該IPアドレスを引出すステップを含む、請求項32に記載の方法。
【請求項38】
前記ユーザに伝達する前記ステップは、前記URLと関連づけられる前記信頼のレベルを示すメッセージを該ユーザに対して表示することによって、前記ホストと関連づけられる該信頼のレベルを該ユーザに伝達するステップを含む、請求項32に記載の方法。
【請求項39】
前記ユーザに伝達する前記ステップは、前記URLと関連づけられる前記信頼のレベルを示すアイコンまたはダイアログボックスを該ユーザに対して表示することによって、前記ホストと関連づけられる該信頼のレベルを該ユーザに伝達するステップを含む、請求項32に記載の方法。
【請求項40】
文書の中のリンクを処理するための方法であって、該方法は、
a.第1のリンクにおいて使用可能な第1の文書を引出すステップであって、該第1のリンクは、第1のホスト名を含む、ステップと、
b.第2の文書への第2のリンクを識別するために、該第1の文書を構文解析するステップであって、該第2のリンクは、該第1のホスト名と同じホスト名を含む、ステップと、
c.該第2の文書が、ログイン情報、パスワード情報、または金融情報などの機密情報を要求するか否かを決定するために、該第2の文書を検査するステップと、
d.該第2の文書が機密情報を要求する場合、第1のリストに該第2のリンクを保存するステップと
を包含する、方法。
【請求項41】
前記第2の文書が機密情報を要求しない場合、第2のリストに前記第2のリンクを保存するステップをさらに含む、請求項40に記載の方法。
【請求項42】
文書は、HTML互換の文書であり、リンクは、ユニフォームリソースロケータ(URL)である、請求項40に記載の方法。
【請求項43】
文書は、XML互換の文書であり、リンクは、ユニフォームリソースロケータ(URL)である、請求項40に記載の方法。
【請求項44】
第2の文書への第2のリンクを決定するために、前記第1の文書を構文解析する前記ステップは、該第2の文書へのリンクを含む、<A>HTMLタグを決定するステップを含む、請求項42に記載の方法。
【請求項45】
前記第2の文書が機密情報を要求するか否かを決定するために、該第2の文書を検査する前記ステップは、該第2の文書が<FORM>タグまたは<INPUT>タグなどの1つ以上の所定のHTMLタグを含むか否かを決定するために、該第2の文書を検査するステップを含む、請求項42に記載の方法。
【請求項46】
前記機密情報は、前記第2の文書に含まれる安全なログイン形式によって要求される、請求項45に記載の方法。
【請求項47】
前記機密情報は、前記第2の文書に含まれる安全なログイン形式によって要求される、請求項40に記載の方法。
【請求項48】
文書の中のリンクを処理するための方法であって、該方法は、
a.第1のリンクにおいて使用可能な第1の文書を引出すステップであって、該第1のリンクは、第1のホスト名を含む、ステップと、
b.他の文書への1つ以上のリンクを識別するために、該第1の文書を構文解析するステップであって、各識別されたリンクは、識別されたホスト名を含み、該1つ以上の識別されたリンクは、第2のホスト名を含む第2のリンクを少なくとも含む、ステップと、
c.該1つ以上の識別されたリンクに対して、該第1のホスト名と該識別されたホスト名とが同じか否かを決定するステップと、
d.該第1のホスト名と該識別されたホスト名とが同じ場合、第1のリストに該識別されたリンクを保存するステップと、
e.該第1のホスト名と該識別されたホスト名とが同じでない場合、第2のリストに該識別されたリンクを保存するステップと
を包含する、方法。
【請求項49】
検査されるリンクが、ログイン情報、パスワード情報、または金融情報などの機密情報を要求する文書を参照するか否かを決定するために、前記第1のリストの1つ以上の該リンクを検査するステップをさらに含む、請求項48に記載の方法。
【請求項50】
請求項49に記載の方法であって、該方法は、
a.前記検査されるリンクによって参照される前記文書が、機密情報を要求する場合、第3のリストに該検査されるリンクを保存するステップと、
b.該検査されるリンクによって参照される該文書が、機密情報を要求しない場合、第4のリストに該検査されるリンクを保存するステップと
をさらに含む、方法。
【請求項51】
文書は、HTML互換の文書であり、リンクは、ユニフォームリソースロケータ(URL)である、請求項48に記載の方法。
【請求項52】
文書は、XML互換の文書であり、リンクは、ユニフォームリソースロケータ(URL)である、請求項48に記載の方法。
【請求項53】
第2の文書への前記第2のリンクを決定するために、前記第1の文書を構文解析する前記ステップは、該第2の文書へのリンクを含む、<A>HTMLタグを決定するステップを含む、請求項51に記載の方法。
【請求項54】
第2の文書が機密情報を要求するか否かを決定するために、該第2の文書を検査する前記ステップは、該第2の文書が<FORM>タグまたは<INPUT>タグなどの1つ以上の所定のHTMLタグを含むか否かを決定するために、該第2の文書を検査するステップを含む、請求項51に記載の方法。
【請求項55】
前記機密情報は、前記第2の文書に含まれる安全なログイン形式によって要求される、請求項54に記載の方法。
【請求項56】
前記機密情報は、前記第2の文書に含まれる安全なログイン形式によって要求される、請求項48に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公表番号】特表2009−518751(P2009−518751A)
【公表日】平成21年5月7日(2009.5.7)
【国際特許分類】
【出願番号】特願2008−544503(P2008−544503)
【出願日】平成18年12月6日(2006.12.6)
【国際出願番号】PCT/US2006/046665
【国際公開番号】WO2007/070323
【国際公開日】平成19年6月21日(2007.6.21)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(504359787)デジタル エンボイ, インコーポレイテッド (9)
【Fターム(参考)】
【公表日】平成21年5月7日(2009.5.7)
【国際特許分類】
【出願日】平成18年12月6日(2006.12.6)
【国際出願番号】PCT/US2006/046665
【国際公開番号】WO2007/070323
【国際公開日】平成19年6月21日(2007.6.21)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(504359787)デジタル エンボイ, インコーポレイテッド (9)
【Fターム(参考)】
[ Back to top ]