SMTP AUTH はメール送信時に送信者がユーザ本人であることを確認するための SMTP 拡張機能である．大分大学のメールサーバにおいて，SMTP AUTH に対するパスワードクラッキング攻撃を観測している．SMTP AUTH パスワードクラッキング攻撃が成功した場合，メールサーバは spam 送信の踏み台にされる危険性がある．そこで，本論文では SMTP AUTH に対するパスワードクラッキング攻撃を検知することを目的として，送信元と SMTP サーバ間のコネクションにおいて送受信するデータサイズに着目した SMTP AUTH に対するパスワードクラッキング攻撃検知システム PASSPIE を提案する．予備調査として，攻撃の通信とメール送信成功時の通信のそれぞれの 1 コネクションあたりの送受信するデータサイズをメールサーバのログから調査した．調査結果から，攻撃の検知のしきい値として，1 コネクションあたりのデータサイズを 1,000 Byte 未満とした．PASSIPIE システムでは，誤検知防止のためにデータサイズが 1,000 Byte 未満のコネクションを連続 10 回観測した送信元 IP アドレスを攻撃者として検知する．提案手法の有用性を，大分大学の SMTP サーバ宛のパケットデータを用いて評価した．実験結果より，検知結果の適合率は 0.51，再現率は 0.86，および F 値は 0.64 となった．誤検知した送信元について調査したところ，メールサーバにより SMTP コネクションが拒否されていた．メールサーバにより拒否された送信元を除けば，PASSPIE システムは SMTP AUTH に対するパスワードクラッキング攻撃を十分に検知できることが判明した．

SMTP AUTH is an extension of SMTP in order to confirm the validity of an email sender. We have observed SMTP AUTH password cracking attacks to mail servers in Oita University. If the attacker's SMTP password cracking attack is successful, there has a risk that mail server becomes to send spam. In this paper, we propose a detection system for SMTP AUTH password cracking attacks (PASSIPIE). PASSIPIE system detect SMTP AUTH password cracking attacks using data size of connection between SMTP client and server. Firstly, we investigated data size per connection the following cases, (1) Maximum data size of connection in SMTP AUTH password cracking attacks (2) Minimum data size of connection in successful of mail sending. As an investigation result, we decided to detection threshold values of less than 1000 bytes per connection for SMTP AUTH password cracking attacks. Our system detects SMTP client that connect less than 1000 bytes per connection to SMTP server 10 times continuously to avoid false positives. We evaluated the usefulness of PASSPIE using captured SMTP packet data to SMTP server. We calculated Precision, Recall and F-measure: Precision is 0.51, Recall is 0.86, and F-measure is 0.64. As a result, the detection results of PASSPIE system included some false positives. We investigated false positives. Our SMTP server rejected the SMTP clients. Therefore, the data size of false positives is less than benign connections. We confirmed to detect SMTP AUTH password cracking attacks by our PASSIPIE system except for rejected client by mail server.