[发明专利]邮件检查装置、邮件检查方法和邮件检查程序

说明书

在邮件检查装置(10)中，学习部(20)学习多个邮件中包含的各邮件的特征与各邮件中附带的资源的特征之间的关系性。各邮件中附带的资源包含各邮件中添加的文件和由各邮件的正文中的URL确定的资源中的至少任意一方。判定部(30)提取检查对象邮件的特征和检查对象邮件中附带的资源的特征，根据提取出的特征之间是否具有由学习部(20)学习到的关系性，判定检查对象邮件是否是可疑邮件。

技术领域

本发明涉及邮件检查装置、邮件检查方法和邮件检查程序。

背景技术

将特定的组织或人作为对象进行机密信息的窃取等攻击的标的型攻击成为严重的威胁。在标的型攻击中，基于邮件的标的型攻击邮件引起的攻击依然是重大威胁之一。在趋势科技的调查(https：//www.trendmicro.tw/cloud-content/us/pdfs/business/datasheets/ds_social-engineering-attack-protection.pdf)中，得出标的型攻击邮件引起的恶意软件感染上升到针对企业的攻击全体的76％这样的结论。因此，从防止损失增加且越来越巧妙的网络攻击的观点来看，防止标的型攻击邮件是重要的。

在专利文献1中公开有如下技术：对正规邮件标题和接收邮件的标题进行比较，判定接收邮件是否是可疑邮件。

在专利文献2中公开有如下技术：为了防止邮件的误发送，根据邮件的正文中包含的名词等信息，判定和通知邮件是否与一般发送到根据目的地地址判定出的目的地的邮件相似。

在专利文献3中公开有如下技术：确定文件的格式，判定所确定的格式是否是被许可的格式，以判定邮件中添加的文件是否是可疑文件。

在专利文献4中公开有如下技术：根据新接收邮件的标题信息与过去邮件的标题信息之间的距离，判定新接收邮件是否是可疑邮件。

现有技术文献

专利文献

专利文献1：日本特开2013-236308号公报

专利文献2：日本特开2017-4126号公报

专利文献3：日本特表2008-546111号公报

专利文献4：日本特开2014-102708号公报

发明内容

发明要解决的课题

在现有技术中，无法检测巧妙的标的型攻击邮件。作为具体例，设标的组织内的平台已经感染恶意软件。在攻击者的目的在于感染具有访问组织机密信息的权限的人的终端等最终目标的情况下，考虑利用平台的邮件地址和信息向最终目标发送邮件。该情况下，攻击者基于平台的特征发送攻击的邮件，因此，在现有技术中很难检测。

本发明的目的在于检测巧妙的攻击邮件。

用于解决课题的手段

本发明的一个方式的邮件检查装置具有：学习部，其学习多个邮件中包含的各邮件的特征与各邮件中附带的资源的特征之间的关系性，该各邮件中附带的资源包含各邮件中添加的文件和由各邮件的正文中的URL确定的资源中的至少任意一方；以及判定部，其提取检查对象邮件的特征和所述检查对象邮件中附带的资源的特征，根据提取出的特征之间是否具有由所述学习部学习到的关系性，判定所述检查对象邮件是否是可疑邮件。

“URL”是Uniform Resource Locator(统一资源定位符)的简称。

发明效果

在本发明中，根据检查对象邮件的特征与检查对象邮件中附带的资源的特征之间是否具有预先学习到的关系性，判定检查对象邮件是否是可疑邮件，由此能够检测巧妙的攻击邮件。

附图说明