[发明专利]可疑邮件检测装置、可疑邮件检测方法以及可疑邮件检测程序

说明书

运用部(120)计算作为检查对象的电子邮件的对象邮件的特征量。接下来，运用部基于所述对象邮件的特征量从状态定义文件中获取所述对象邮件的状态标识符。接下来，运用部从1个以上的邮件线程中选择所述对象邮件所属的邮件线程作为对象线程，将所述对象邮件的状态标识符追加到所述对象线程的状态组。接下来，运用部判定追加了所述对象邮件的状态标识符之后的所述对象线程的状态组是否符合检测规则。在所述对象线程的所述状态组符合所述检测规则的情况下，运用部产生警报。

技术领域

本发明涉及用于检测可疑的电子邮件的技术。

背景技术

针对性攻击已成为严重威胁。针对性攻击是以特定组织或特定的人为对象，以窃取机密信息等为目的的攻击。

在针对性攻击中，针对性邮件攻击仍然是重大威胁之一。针对性邮件攻击是基于电子邮件的攻击。

根据趋势科技(Trend Micro)的调查得到如下结果：由针对性邮件攻击造成的恶意软件(malware)感染高达针对企业的攻击整体的76％。因此，从防止使受害增加的精心的网络攻击的观点来看，防止针对性邮件攻击很重要。

在这样的背景下，已研究了用于通过检测针对性攻击邮件来防止组织遭受针对性邮件攻击的技术。

专利文献1中公开了如下技术：通过将接收邮件的标题与已学习的正规标题进行比较来判断接收邮件是否为可疑的电子邮件。

专利文献2中公开了如下技术：为了判断电子邮件附带的文件是否可疑而确定文件的格式，判定确定出的格式是否为被允许的格式。

专利文献3中公开了如下技术：在新邮件的标题信息与过去邮件的标题信息的相似度低的情况下判断为新邮件为可疑的电子邮件。

专利文献4中公开了如下技术：在接收邮件的正文与垃圾消息(Spam message)的正文的相似度超过阈值的情况下判断为接收邮件为可疑的电子邮件。

关于非专利文献1，将在实施方式中提及。

现有技术文献

专利文献

专利文献1：日本特开2013-236308号公报

专利文献2：日本特表2008-546111号公报

专利文献3：日本特开2014-102708号公报

专利文献4：日本特表2007-503660号公报

非专利文献

非专利文献1：Mikolov,Tomas,et al.“Efficient estimation of wordrepresentations in vector space.”(向量空间中单词表示的有效估计),arXivpreprint arXiv：1301.3781(2013)

发明内容

发明所要解决的技术课题

一般认为攻击者将邮件标题伪装得像是正规的标题，进而对邮件正文进行设计使之像是由目标的相关人员撰写。根据现有技术无法检测这样的精心的针对性攻击邮件。

例如，一般认为攻击者在使与目标有关系的人员的终端感染后，利用该人员为跳板使目标的终端感染。具体而言，攻击者利用用作跳板的人员的信息(例如邮件地址)，向目标的终端发送攻击邮件。在该情况下，攻击邮件的标题信息等为正规的，攻击邮件的正文也具有用作跳板的人员的特征。因此，根据现有技术难以检测该攻击邮件。

以组织中通常使用的文件形式生成的附件有时被用于感染。在该情况下，基于附件的扩展名的检测的效果有限。