ホーム > 特許ランキング > 株式会社 ゆうちょ銀行
知財求人 - 知財ポータルサイト「IP Force」
特開2017-91407不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2017-91407(P2017-91407A)
(43)【公開日】2017年5月25日
(54)【発明の名称】不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
(51)【国際特許分類】
G06F 21/62 20130101AFI20170421BHJP
G06F 21/55 20130101ALI20170421BHJP
【FI】
G06F21/62 318
G06F21/55
【審査請求】未請求
【請求項の数】10
【出願形態】OL
【全頁数】15
(21)【出願番号】特願2015-224145(P2015-224145)
(22)【出願日】2015年11月16日
(71)【出願人】
【識別番号】507417422
【氏名又は名称】株式会社 ゆうちょ銀行
(74)【代理人】
【識別番号】100100549
【弁理士】
【氏名又は名称】川口 嘉之
(74)【代理人】
【識別番号】100113608
【弁理士】
【氏名又は名称】平川 明
(72)【発明者】
【氏名】佐々木 大輔
(57)【要約】
【課題】検知精度を高めた不正アクセス検知装置を提供する。【解決手段】本不正アクセス検知装置は、不正プログラム実行端末判定手段、第1の取得手段、第2の取得手段および検知手段を備える。不正プログラム実行端末判定手段は、第1のアクセスを検知すると、第1のアクセスに基づいて第1のアクセスの送信元である第1の送信元端末において不正プログラムが実行されているか否かを判定する。第1の取得手段は、不正プログラム実行端末判定手段によって不正プログラムが実行されていると判定された第1の送信元端末からの第1のアクセスに含まれるパラメータから第1の特定情報を取得する。第2の取得手段は、第2のアクセスを検知すると、第2のアクセスに含まれるパラメータから第2の特定情報を取得する。検知手段は、第1の特定情報と第2の特定情報とが一致する場合、第2のアクセスを不正アクセスとして検知する。
【選択図】図3
【特許請求の範囲】
【請求項1】
第1のアクセスを検知すると、前記第1のアクセスに基づいて前記第1のアクセスの送信元である第1の送信元端末において不正プログラムが実行されているか否かを判定する不正プログラム実行端末判定手段と、
前記不正プログラム実行端末判定手段によって不正プログラムが実行されていると判定された前記第1の送信元端末からの前記第1のアクセスに含まれるパラメータから第1の特定情報を取得する第1の取得手段と、
第2のアクセスを検知すると、前記第2のアクセスに含まれるパラメータから第2の特定情報を取得する第2の取得手段と、
前記第1の特定情報と前記第2の特定情報とが一致する場合、前記第2のアクセスを不正アクセスとして検知する検知手段と、を備える、
不正アクセス検知装置。
前記不正プログラム実行端末判定手段によって不正プログラムが実行されていると判定された前記第1の送信元端末からの前記第1のアクセスに含まれるパラメータから第1の特定情報を取得する第1の取得手段と、
第2のアクセスを検知すると、前記第2のアクセスに含まれるパラメータから第2の特定情報を取得する第2の取得手段と、
前記第1の特定情報と前記第2の特定情報とが一致する場合、前記第2のアクセスを不正アクセスとして検知する検知手段と、を備える、
不正アクセス検知装置。
【請求項2】
前記不正アクセス検知装置は、前記第1のアクセスとして複数の情報部品を含むウェブページを要求するリクエストを受信すると、前記第1のアクセスが要求する情報部品を特定する情報と前記第1のアクセスに含まれるパラメータから取得される前記送信元端末を特定する第3の特定情報とを対応付けて記録したアクセスログにアクセス可能であり、
前記不正プログラム実行端末判定手段は、前記アクセスログを参照し、前記ウェブページに含まれる複数の情報部品のうち一部の情報部品を要求しない前記第1のアクセスを検出し、前記検出された第1のアクセスに対応付けられた前記第3の特定情報によって特定される端末を前記不正プログラムが実行されている端末と判定する、
請求項1に記載の不正アクセス検知装置。
前記不正プログラム実行端末判定手段は、前記アクセスログを参照し、前記ウェブページに含まれる複数の情報部品のうち一部の情報部品を要求しない前記第1のアクセスを検出し、前記検出された第1のアクセスに対応付けられた前記第3の特定情報によって特定される端末を前記不正プログラムが実行されている端末と判定する、
請求項1に記載の不正アクセス検知装置。
【請求項3】
前記第1の特定情報は前記第1のアクセスを行った利用者を特定する第1の利用者IDまたは前記第1の送信元端末を特定する第1の端末情報を含み、前記第2の特定情報は前記第2のアクセスを行った利用者を特定する第2の利用者IDまたは前記第2のアクセスの送信元となる第2の送信元端末を特定する第2の端末情報を含む、
請求項1または2に記載の不正アクセス検知装置。
請求項1または2に記載の不正アクセス検知装置。
【請求項4】
前記第2の取得手段は、不正取引を検知する不正取引検知手段を含み、
前記第2の特定情報は、前記不正取引検知手段によって取得される、
請求項1に記載の不正アクセス検知装置。
前記第2の特定情報は、前記不正取引検知手段によって取得される、
請求項1に記載の不正アクセス検知装置。
【請求項5】
前記第1の特定情報は前記第1のアクセスを行った利用者を特定する第1の利用者IDと前記第1の送信元端末を示す第1の端末情報とを含み、
前記第2の特定情報は前記第2のアクセスを行った利用者を特定する第2の利用者IDと前記第2のアクセスの送信元となる第2の送信元端末を示す第2の端末情報とを含み、
前記検知手段は、前記第1の利用者IDと前記第2の利用者IDとが一致し、かつ、前記第1の端末情報と前記第2の端末情報とが一致しない場合に、前記第2のアクセスを不正アクセスとして検知する、
請求項1に記載の不正アクセス検知装置。
前記第2の特定情報は前記第2のアクセスを行った利用者を特定する第2の利用者IDと前記第2のアクセスの送信元となる第2の送信元端末を示す第2の端末情報とを含み、
前記検知手段は、前記第1の利用者IDと前記第2の利用者IDとが一致し、かつ、前記第1の端末情報と前記第2の端末情報とが一致しない場合に、前記第2のアクセスを不正アクセスとして検知する、
請求項1に記載の不正アクセス検知装置。
【請求項6】
前記不正プログラム実行端末判定手段によって不正プログラムが実行されていると判定された前記第1の送信元端末を特定する不正プログラム実行端末特定情報を記憶する不正プログラム実行端末特定情報記憶手段をさらに備え、
前記検知手段は、前記第2の特定情報が前記不正プログラム実行端末特定情報記憶手段に記憶された前記不正プログラム実行端末特定情報のいずれかと一致する場合、前記第2のアクセスを不正アクセスとして検知する、
請求項1または2に記載の不正アクセス検知装置。
前記検知手段は、前記第2の特定情報が前記不正プログラム実行端末特定情報記憶手段に記憶された前記不正プログラム実行端末特定情報のいずれかと一致する場合、前記第2のアクセスを不正アクセスとして検知する、
請求項1または2に記載の不正アクセス検知装置。
【請求項7】
前記第1の利用者IDと前記第2の利用者IDとが一致し、かつ、前記第1の端末情報と前記第2の端末情報とが一致しない場合、前記第1の利用者IDを漏洩した利用者IDと判定する漏洩ID判定手段をさらに備える、
請求項5に記載の不正アクセス検知装置。
請求項5に記載の不正アクセス検知装置。
【請求項8】
前記第1の取得手段によって取得された前記第1の利用者IDと前記第1の端末情報とを対応付けて記憶する対応情報記憶手段をさらに備え、
前記漏洩ID判定手段は、
前記第2の利用者IDと前記対応情報記憶手段に記憶された前記第1の利用者IDのいずれかが一致するか否かを判定し、
前記第2の利用者IDと前記対応情報記憶手段に記憶された前記第1の利用者IDのいずれかが一致する場合、一致した前記第1の利用者IDに対応付けて前記対応情報記憶手段に記憶された前記第1の端末情報を抽出し、
抽出された前記第1の端末情報に対応付けられた前記第1の利用者IDのすべてを漏洩したIDと判定する、
請求項7に記載の不正アクセス検知装置。
前記漏洩ID判定手段は、
前記第2の利用者IDと前記対応情報記憶手段に記憶された前記第1の利用者IDのいずれかが一致するか否かを判定し、
前記第2の利用者IDと前記対応情報記憶手段に記憶された前記第1の利用者IDのいずれかが一致する場合、一致した前記第1の利用者IDに対応付けて前記対応情報記憶手段に記憶された前記第1の端末情報を抽出し、
抽出された前記第1の端末情報に対応付けられた前記第1の利用者IDのすべてを漏洩したIDと判定する、
請求項7に記載の不正アクセス検知装置。
【請求項9】
コンピュータが、
第1のアクセスを検知すると、前記第1のアクセスに基づいて前記第1のアクセスの送信元である第1の送信元端末において不正プログラムが実行されているか否かを判定し、
不正プログラムが実行されていると判定された前記第1の送信元端末からの前記第1のアクセスに含まれるパラメータから第1の特定情報を取得し、
第2のアクセスを検知すると、前記第2のアクセスに含まれるパラメータから第2の特定情報を取得し、
前記第1の特定情報と前記第2の特定情報とが一致する場合、前記第2のアクセスを不正アクセスとして検知する、
不正アクセス検知方法。
第1のアクセスを検知すると、前記第1のアクセスに基づいて前記第1のアクセスの送信元である第1の送信元端末において不正プログラムが実行されているか否かを判定し、
不正プログラムが実行されていると判定された前記第1の送信元端末からの前記第1のアクセスに含まれるパラメータから第1の特定情報を取得し、
第2のアクセスを検知すると、前記第2のアクセスに含まれるパラメータから第2の特定情報を取得し、
前記第1の特定情報と前記第2の特定情報とが一致する場合、前記第2のアクセスを不正アクセスとして検知する、
不正アクセス検知方法。
【請求項10】
コンピュータに、
第1のアクセスを検知すると、前記第1のアクセスに基づいて前記第1のアクセスの送信元である第1の送信元端末において不正プログラムが実行されているか否かを判定させ、
不正プログラムが実行されていると判定された前記第1の送信元端末からの前記第1のアクセスに含まれるパラメータから第1の特定情報を取得させ、
第2のアクセスを検知すると、前記第2のアクセスに含まれるパラメータから第2の特定情報を取得させ、
前記第1の特定情報と前記第2の特定情報とが一致する場合、前記第2のアクセスを不正アクセスとして検知させる、
不正アクセス検知プログラム。
第1のアクセスを検知すると、前記第1のアクセスに基づいて前記第1のアクセスの送信元である第1の送信元端末において不正プログラムが実行されているか否かを判定させ、
不正プログラムが実行されていると判定された前記第1の送信元端末からの前記第1のアクセスに含まれるパラメータから第1の特定情報を取得させ、
第2のアクセスを検知すると、前記第2のアクセスに含まれるパラメータから第2の特定情報を取得させ、
前記第1の特定情報と前記第2の特定情報とが一致する場合、前記第2のアクセスを不正アクセスとして検知させる、
不正アクセス検知プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラムに関する。
【背景技術】
【0002】
オンラインサービスへの不正なアクセスを検知する方法では、例えば、普段と異なる環境からのアクセスまたは不正アクセスが検知された環境からのアクセスを不正アクセスとして検知する(特許文献1から4を参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2010−211257号公報
【特許文献2】特開2005−321928号公報
【特許文献3】国際公開第03/100619号
【特許文献4】特開2002−82849号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来の検知技術では、正規利用者が普段とは異なる環境からアクセスする場合も不正アクセスとして検知する虞がある。このような場合、ログ等の情報を基にアクセスを一件ずつ確認する事は、管理者にとって大きな負担となる。
【0005】
そこで、開示の技術の1つの側面は、検知精度を高めた不正アクセス検知装置を提供する事を課題とする。
【課題を解決するための手段】
【0006】
開示の技術の1つの側面は、次のような不正アクセス検知装置によって例示される。本不正アクセス検知装置は、不正プログラム実行端末判定手段、第1の取得手段、第2の取得手段および検知手段を備える。不正プログラム実行端末判定手段は、第1のアクセスを検知すると、第1のアクセスに基づいて第1のアクセスの送信元である第1の送信元端末において不正プログラムが実行されているか否かを判定する。第1の取得手段は、不正プログラム実行端末判定手段によって不正プログラムが実行されていると判定された第1の送信元端末からの第1のアクセスに含まれるパラメータから第1の特定情報を取得する。第2の取得手段は、第2のアクセスを検知すると、第2のアクセスに含まれるパラメータから第2の特定情報を取得する。検知手段は、第1の特定情報と第2の特定情報とが一致する場合、第2のアクセスを不正アクセスとして検知する。
【0007】
このような発明によれば、不正アクセス検知装置は、不正プログラムを実行していると判定された端末によるアクセスから取得した特定情報と一致する特定情報を含む第2のアクセスを不正アクセスとして検知することで、不正アクセスの検知精度を高めることができる。
【0008】
また、本不正アクセス検知装置は、第1のアクセスとして複数の情報部品を含むウェブページを要求するリクエストを受信すると、第1のアクセスが要求する情報部品を特定する情報と第1のアクセスに含まれるパラメータから取得される送信元端末を特定する第3の特定情報とを対応付けて記録したアクセスログにアクセス可能であってもよい。さらに、本発明に係る不正プログラム実行端末判定手段は、アクセスログを参照し、ウェブページに含まれる複数の情報部品のうち一部の情報部品を要求しない第1のアクセスを検出し、検出された第1のアクセスに対応付けられた第3の特定情報によって特定される端末を不正プログラムが実行されている端末と判定してもよい。このような発明によれば、ウェブページに含まれる複数の情報部品のうち一部の情報部品を要求しない端末を不正プログラムが実行されている端末と判定できる。
【0009】
また、本発明に係る第1の特定情報は、第1のアクセスを行った利用者を特定する第1の利用者IDまたは第1の送信元端末を特定する第1の端末情報を含み、第2の特定情報は、第2のアクセスを行った利用者を特定する第2の利用者IDまたは第2のアクセスの送信元となる第2の送信元端末を特定する第2の端末情報含んでもよい。このような発明によれば、不正アクセス検知装置は、利用者IDまたは端末情報に基づいて不正アクセスを検知できる。
【0010】
本発明に係る第2の取得手段は、不正取引を検知する不正取引検知手段を含み、第2の特定情報は、不正取引検知手段によって取得されてもよい。このような発明によれば、不正プログラムが実行された端末によるアクセスから取得した第1の特定情報と不正取引検知手段によって取得された第2の特定情報とを比較することで、不正アクセスの検知精度をより高くすることができる。
【0011】
本発明に係る第1の特定情報は、第1のアクセスを行った利用者を特定する第1の利用者IDと第1の送信元端末を示す第1の端末情報とを含んでもよく、本発明に係る第2の特定情報は、第2のアクセスを行った利用者を特定する第2の利用者IDと第2のアクセスの送信元となる第2の送信元端末を示す第2の端末情報とを含んでもよい。さらに、本発明に係る検知手段は、第1の利用者IDと第2の利用者IDとが一致し、かつ、第1の端末情報と第2の端末情報とが一致しない場合に、第2のアクセスを不正アクセスとして検知してもよい。このような発明によれば、不正プログラムを実行していると判定された端末からのアクセスと同一の利用者IDによって不正プログラムを実行していると判定された端末とは異なる端末から行われたアクセスを不正アクセスとして検知できる。
【0012】
また、本発明に係る不正アクセス検知装置は、不正プログラム実行端末判定手段によって不正プログラムが実行されていると判定された第1の送信元端末を特定する不正プログラム実行端末特定情報を記憶する不正プログラム実行端末特定情報記憶手段をさらに備えてもよい。さらに、本発明に係る検知手段は、第2の特定情報が不正プログラム実行端末特定情報記憶手段に記憶された不正プログラム実行端末特定情報のいずれかと一致する場合、第2のアクセスを不正アクセスとして検知してもよい。このような発明によれば、不正プログラムを実行していると判定された端末からのアクセスを不正アクセスとして検知できる。
【0013】
また、本発明に係る不正アクセス検知装置は、第1の利用者IDと第2の利用者IDとが一致し、かつ、第1の端末情報と第2の端末情報とが一致しない場合、第1の利用者IDを漏洩した利用者IDと判定する漏洩ID判定手段をさらに備えてもよい。このような発明によれば、不正プログラムが実行されていると判定された端末からのアクセスに用いられた利用者IDと同一の利用者IDによるアクセスが異なる端末から行われた場合、当該利用者IDを漏洩した利用者IDとして判定できる。
【0014】
また、本発明に係る不正アクセス検知装置は、第1の取得手段によって取得された第1の利用者IDと第1の端末情報とを対応付けて記憶する対応情報記憶手段をさらに備えてもよい。さらに、本発明に係る漏洩ID判定手段は、第2の利用者IDと対応情報記憶手段に記憶された第1の利用者IDのいずれかが一致するか否かを判定し、第2の利用者IDと対応情報記憶手段に記憶された第1の利用者IDのいずれかが一致する場合、一致した第1の利用者IDに対応付けて対応情報記憶手段に記憶された第1の端末情報を抽出し、抽出された第1の端末情報に対応付けられた第1の利用者IDのすべてを漏洩したIDと判定してもよい。このような発明によれば、不正プログラムが実行されていると判定された端末から送信された複数の利用者IDのうち、一部が不正アクセスに用いられた場合、他の利用者IDも漏洩した利用者IDとして検知できる。
【0015】
また、本発明は、コンピュータによって実行される不正アクセス検知方法およびコンピュータに実行させる不正アクセス検知プログラムとして把握する事も可能である。
【発明の効果】
【0016】
本不正アクセス検知装置は、不正アクセスの検知精度を高めることができる。
【図面の簡単な説明】
【0017】
【発明を実施するための形態】
【0018】
以下、図面を参照して、一実施形態に係る不正アクセス検知装置について説明する。以下に示す実施形態の構成は例示であり、開示の技術は実施形態の構成に限定されない。
【0019】
<実施形態>図1は、不正アクセス検知装置11の適用例を示す図である。図1では、不正アクセス検知装置11、ウェブサーバ12、不正プログラム実行端末20、不正アクセス端末30が例示されている。不正アクセス検知装置11、不正プログラム実行端末20および不正アクセス端末30は、相互にネットワークN1によって接続されている。
【0020】
ネットワークN1は、情報処理装置を相互に通信可能に接続するコンピュータネットワークである。ネットワークN1は、例えば、インターネットである。
【0021】
ウェブサーバ12は、情報を要求するアクセスを他の情報処理装置から受け付け、当該アクセスに応じて情報を提供する情報処理装置である。ウェブサーバ12は、あらかじめ登録された利用者を示す利用者IDに基づいて認証を行い、認証されたアクセスに対して情報を提供する。また、ウェブサーバ12は、受け付けたアクセスに含まれる各種情報をログファイルに出力する。
【0022】
不正アクセス検知装置11は、ウェブサーバ12に対する不正アクセスを検知する情報処理装置である。不正アクセスとは、他人の利用者IDを使用したアクセスを含む。不正アクセス検知装置11は、図1に例示されるように、ネットワークN1からウェブサーバ12へのアクセスの通信経路上に設けられる。すなわち、ネットワーク1からウェブサーバ12へのアクセスは、不正アクセス検知装置11を経由する。
【0023】
不正プログラム実行端末20は、ウェブサーバ12の利用者として登録されたユーザによって用いられる情報処理装置である。不正プログラム実行端末20は、ウェブサーバ12に対し情報の提供を要求し、ウェブサーバ12から提供された情報を受信する。不正プログラム実行端末20には、IPアドレス「xxx.xxx.xxx.xxx」が割り当てられている。また、不正プログラム実行端末20では、利用者ID等を搾取して不正アクセス端末30に送信する不正プログラムが実行されている。不正プログラムは、ウェブサーバ12によって公開される情報のうち一部の情報を不正プログラム実行端末20に取得させない処理をさらに行う。この一部の情報は、例えば、セキュリティに関する注意事項の告知である。不正プログラムは、例えば、コンピュータウィルスである。不正プログラム実行端末20は、「第1の送信元端末」の一例である。
【0024】
不正アクセス端末30は、ウェブサーバ12に対し不正アクセスを行う情報処理装置である。不正アクセス端末30は、例えば、ウェブサーバ12の保有する情報に対し、改変、削除、搾取等を行う。不正アクセス端末30は、不正プログラム実行端末20で実行されている不正プログラムによって取得した利用者IDを使用することで、正規の利用者に成り済ましてウェブサーバ12にアクセスする。不正アクセス端末30には、IPアドレス「yyy.yyy.yyy.yyy」が割り当てられている。不正アクセス端末30は、「第2の送信元端末」の一例である。
【0025】
不正プログラム実行端末20および不正アクセス端末30によってウェブサーバ12へ行われるアクセスには、送信元端末を示す情報がパラメータとして含まれる。送信元端末を示す情報は、例えば、IPアドレスまたはホスト名である。また、不正プログラム実行端末20および不正アクセス端末30は、パラメータとして利用者IDを含めたアクセスをウェブサーバ12に対して行う事で、ウェブサーバ12に対して認証処理を要求する。
【0026】
<情報処理装置100のハードウェア構成>図2は、情報処理装置100のハードウェア構成の一例を示す図である。情報処理装置100は、プロセッサ101、主記憶部102、補助記憶部103、通信部104および接続バスB1を含む。プロセッサ101、主記憶部102、補助記憶部103および通信部104は、接続バスB1によって相互に接続されている。情報処理装置100は、端末とも称する。情報処理装置100は、例えば、不正アクセス検知装置11、ウェブサーバ12、不正プログラム実行端末20および不正アクセス端末30として利用できる。
【0027】
情報処理装置100では、プロセッサ101が補助記憶部103に記憶されたプログラムを主記憶部102の作業領域に展開し、プログラムの実行を通じて周辺装置の制御を行う。これにより、情報処理装置100は、所定の目的に合致した処理を実行することができる。主記憶部102および補助記憶部103は、情報処理装置100が読み取り可能な記録媒体である。
【0028】
主記憶部102は、プロセッサ101から直接アクセスされる記憶部として例示され、例えば、Random Access Memory(RAM)やRead Only Memory(ROM)を適用可能である。補助記憶部103は、各種のプログラムおよび各種のデータを読み書き自在に記録媒体に格納する記憶部であり、オペレーティングシステムやその他各種のプログラム等が格納される。なお、補助記憶部103は、例えば、ネットワーク上のコンピュータ群であるクラウドシステムの一部であってもよい。
【0029】
通信部104は、例えば、ネットワーク環境5とのインターフェースであり、ネットワーク環境5を介して外部の装置と通信を行う。
【0030】
なお、情報処理装置100には、例えば、各種操作を受け付ける入力部や、各種データを出力する出力部を備えていてもよい。
【0031】
<不正アクセス検知装置11の処理ブロック>図3は、不正アクセス検知装置11の処理ブロックの一例を示す図である。図3では、不正プログラム実行端末判定手段201、第1の取得手段202、第2の取得手段203、検知手段204、漏洩ID判定手段205、不正プログラム実行端末特定情報記憶手段206および対応情報記憶手段207の各処理ブロックが例示されている。例えば、図2のプロセッサ101が図3の各ブロックとして主記憶部102に展開されたコンピュータプログラムを実行する。ただし、図3のいずれかのブロックの少なくとも一部はハードウェア回路、専用のプロセッサまたはデジタルシグナルプロセッサ(Digital Signal Processor、DSP)を含んでもよい。
【0032】
プロセッサ101は、不正プログラム実行端末判定手段201として、ウェブサーバ12にアクセスした情報処理装置において不正プログラムが実行されているか否かの判定を行う。不正プログラム実行端末判定手段201は、不正プログラムが実行されていると判定された情報処理装置を特定する特定情報を不正プログラム実行端末特定情報記憶手段206に記憶させる。
【0033】
プロセッサ101は、第1の取得手段202として、不正プログラムが実行されていると判定された情報処理装置によるウェブサーバ12へのアクセスに含まれるパラメータから特定情報を取得する。特定情報は、例えば、ウェブサーバ12の利用者を識別する利用者IDまたはアクセスを要求した情報処理装置を特定する端末情報である。端末情報は、例えば、Internet Protocol(IP)アドレス、Media Access Control(MAC)アドレスまたはホスト名である。さらに、第1の取得手段202は、特定情報として利用者IDと端末情報の双方を取得した場合、端末情報と利用者IDとを対応付けて対応情報記憶手段207に記憶させる。以下、本明細書において、第1の取得手段202によって取得された特定情報を第1の特定情報とも称する。また、第1の取得手段202によって特定情報の取得対象となったアクセスを第1のアクセスとも称する。
【0034】
プロセッサ101は、第2の取得手段203として、不正プログラムが実行されていないと判定された情報処理装置によるウェブサーバ12へのアクセスに含まれるパラメータから特定情報を取得する。以下、本明細書において、第2の取得手段203によって取得された特定情報を第2の特定情報とも称する。また、第2の取得手段203によって特定情報の取得対象となったアクセスを第2のアクセスとも称する。
【0035】
プロセッサ101は、検知手段204として、第1の取得手段202および第2の取得手段203によって取得された特定情報に基づいて不正アクセスを検知する。
【0036】
プロセッサ101は、漏洩ID判定手段205として、ウェブサーバ12へのアクセスに用いられた利用者IDが漏洩した利用者IDであるか否かを判定する。
【0037】
<各処理ブロックの処理フロー>以下、図面を参照して、不正アクセス検知装置11の各処理ブロックの処理フローについて説明する。
【0038】
<不正プログラム実行端末判定手段201の処理フロー>図4は、不正プログラム実行端末判定手段201の処理フローの一例を示す図である。
不正プログラム実行端末判定手段201による処理は、例えば、定期的に実行される。以下、図4を参照して、不正プログラム実行端末判定手段201の処理フローの一例について説明する。
【0039】
OP1では、不正プログラム実行端末判定手段201は、ウェブサーバ12のログを参照し、ウェブページに含まれる情報部品のうち、一部の部品を要求しなかったアクセスを抽出する。
【0040】
図5は、ウェブサーバ12によって公開されるウェブページP1の一例を示す図である。ウェブページP1は、図5に例示されるように、枠部品M1、タイトル部品M2、ログイン部品M3およびテキスト部品M4を含む。テキスト部品M4には、セキュリティに関する注意事項が記載されているものとする。すなわち、ウェブページP1を要求する他の情報処理装置は、M1からM4までの各々の部品をウェブサーバ12に要求し、受信したM1からM4までの部品を組み立てることで、ウェブページP1を出力する。
【0041】
図6は、ウェブサーバ12のログファイル12Lの一例を示す図である。ウェブサーバ12は、他の情報処理装置から受けつけたアクセスの内容をログファイル12Lに記録する。ログファイル12Lは、図6に例示されるように、IPアドレス、受信日時、要求内容を含む。ログファイル12LのIPアドレスには、ウェブサーバ12にアクセスした情報処理装置のIPアドレスが記録される。ログファイル12Lに記録される情報は、これらに限定されず、ウェブサーバ12にアクセスした情報処理装置で稼働するOSの種別やインターネットブラウザの種別等が記録されてもよい。ログファイル12Lの受信日時には、アクセスを受け付けた日時が記録される。ログファイル12Lの要求内容には、ウェブサーバ12に送信された要求が記録される。例えば、図6に例示されるログファイル12Lの2行目では、IPアドレス「xxx.xxx.xxx.xxx」の不正プログラム実行端末20がタイトル部品M2を要求していることがわかる。また、図6に例示されるアクセスA1は、IPアドレス「xxx.xxx.xxx.xxx」の不正プログラム実行端末20がウェブページP1
を要求する一連のアクセスの記録であり、アクセスA2は、IPアドレス「yyy.yyy.yyy.yyy」の不正アクセス端末30がウェブページP1を要求する一連のアクセスの記録であ
る。図6のアクセスA1およびA2では、ウェブページP1の取得後、利用者ID「USER1」を用いて認証処理が要求されている。ログファイル12Lは、「アクセスログ」の一
例である。
【0042】
不正プログラム実行端末20では、前述のとおり不正プログラムが実行されている。そのため、不正プログラム実行端末20では、セキュリティに関する注意事項が記載されたテキスト部品M4の取得が不正プログラムによって妨げられる。そのため、図6に例示するように、不正プログラム実行端末20によるアクセスA1は、ウェブページP1の部品M1からM3は要求しているものの、テキスト部品M4は要求していない。すなわち、アクセスA1は、ウェブページP1の一部の部品を要求していない。そこで、不正プログラム実行端末判定手段201は、一部の部品を要求しないアクセスとして、アクセスA1を抽出する。
【0043】
OP2では、不正プログラム実行端末判定手段201は、OP1で抽出したアクセスA1に対応付けられた特定情報を抽出する。ここでは、不正プログラム実行端末判定手段201は、アクセスA1に対応付けられた不正プログラム実行端末20の特定情報として、IPアドレス「xxx.xxx.xxx.xxx」および利用者ID「USER1」を抽出する。
【0044】
OP3では、不正プログラム実行端末判定手段201は、抽出した不正プログラム実行端末20のIPアドレス「xxx.xxx.xxx.xxx」および利用者ID「USER1」を不正プログラム実行端末特定情報記憶手段206に記憶させる。
【0045】
<第1の取得手段202の処理フロー>図7は、第1の取得手段202の処理フローの一例を示す図である。第1の取得手段202による処理は、例えば、不正アクセス検知装置11がウェブサーバ12へのアクセスを検知した際に実行される。以下、図7を参照して、第1の取得手段202の処理フローの一例について説明する。
【0046】
OP11では、第1の取得手段202は、ウェブサーバ12へのアクセスを検知する。第1の取得手段202は、アクセスの送信元となる情報処理装置を示すIPアドレスおよび利用者IDを検知したアクセスに含まれるパラメータから取得する。
【0047】
OP12では、第1の取得手段202は、OP11で取得したIPアドレスが不正プログラム実行端末特定情報記憶手段206に記憶されたIPアドレスのいずれかと一致するか否かを判定する。第1の取得手段202は、当該判定により、検知したアクセスが不正プログラム実行端末20からのアクセスであるか否かを判定する。不正プログラム実行端末20からのアクセスである場合(OP12でYES)、処理はOP13に進められる。不正プログラム実行端末20からのアクセスではない場合(OP12でNO)、処理は終了する。
【0048】
OP13では、第1の取得手段202は、OP11で取得した不正プログラム実行端末20のIPアドレスと利用者IDとを対応付けて対応情報記憶手段207に格納する。
【0049】
<第2の取得手段203の処理フロー>図8は、第2の取得手段203の処理フローの一例を示す図である。第2の取得手段203による処理は、例えば、不正アクセス検知装置11がウェブサーバ12へのアクセスを検知した際に実行される。以下、図8を参照して、第2の取得手段203の処理フローの一例について説明する。
【0050】
OP21の処理は、図7のOP11の処理と同様である。そのため、その説明を省略する。OP22では、第2の取得手段203は、OP21で取得したIPアドレスが不正プログラム実行端末特定情報記憶手段206に記憶されたIPアドレスのいずれかと一致するか否かを判定する。第2の取得手段203は、当該判定により、検知したアクセスが不正プログラム実行端末20からのアクセスであるか否かを判定する。不正プログラム実行端末20からのアクセスである場合(OP22でYES)、処理は終了する。不正プログラム実行端末20からのアクセスではない場合(OP22でNO)、処理はOP23に進められる。
【0051】
OP23では、第2の取得手段203は、OP21で取得したIPアドレスと利用者IDとを対応付けて対応情報記憶手段207に格納する。
【0052】
<検知手段204の処理フロー>図9は、検知手段204の処理フローの一例を示す図である。検知手段204による処理は、例えば、第2の取得手段203による処理の後に実行される。以下、図9を参照して、検知手段204の処理フローの一例について説明する。
【0053】
OP31では、検知手段204は、第1の取得手段によって取得された利用者IDと第2の取得手段によって取得された利用者IDとを比較する。第1の取得手段によって取得された利用者IDと第2の取得手段によって取得された利用者IDが一致する場合(OP32でYES)、処理はOP33に進められる。第1の取得手段によって取得された利用者IDと第2の取得手段によって取得された利用者IDが一致しない場合(OP32でNO)、処理は終了する。すなわち、検知手段204は、OP32の判定により、不正プログラム実行端末20から利用者IDを搾取した不正アクセス端末30からのアクセスであるか否かを判定する。
【0054】
OP33では、検知手段204は、第2の取得手段によって取得されたIPアドレスによって示される情報処理装置からのアクセスを不正アクセスとして検知する。すなわち、検知手段204は、不正アクセス端末30からのアクセスを不正アクセスとして検知する。
【0055】
<漏洩ID判定手段205の処理フロー>図10は、漏洩ID判定手段205の処理フローの一例を示す図である。漏洩ID判定手段205の処理は、例えば、第2の取得手段203によって利用者IDも取得された場合に実行される。以下、図10を参照して、漏洩ID判定手段205の処理フローの一例について説明する。
【0056】
OP41では、漏洩ID判定手段205は、第1の取得手段202が取得した利用者IDと第2の取得手段203が取得した利用者IDとを比較する。第1の取得手段202が取得した利用者IDと第2の取得手段203が取得した利用者IDとが一致する場合(OP42でYES)、処理はOP43に進められる。第1の取得手段202が取得した利用者IDと第2の取得手段203が取得した利用者IDとが一致しない場合(OP42でNO)、処理はOP46に進められる。
【0057】
OP43では、漏洩ID判定手段205は、第1の取得手段202が取得したIPアドレスと第2の取得手段203が取得したIPアドレスとを比較する。第1の取得手段202が取得したIPアドレスと第2の取得手段203が取得したIPアドレスとが一致する場合(OP44でYES)、処理はOP46に進められる。第1の取得手段202が取得したIPアドレスと第2の取得手段203が取得したIPアドレスとが一致しない場合(OP44でNO)、処理はOP45に進められる。
【0058】
OP45では、漏洩ID判定手段205は、第1の取得手段202が取得した利用者IDを漏洩した利用者IDと判定する。OP46では、漏洩ID判定手段205は、第1の取得手段202が取得した利用者IDを漏洩した利用者IDと判定しない。
【0059】
<変形例>実施形態では、不正プログラム実行端末20および不正アクセス端末30とウェブサーバ12との通信経路上に不正アクセス検知装置11が設けられた。実施形態では、この不正アクセス検知装置11によってウェブサーバ12への不正アクセスの検知が行われた。しかしながら、本発明はこのような構成に限定されない。不正アクセスの検知は、例えば、ウェブサーバ12によって行われてもよい。
【0060】
実施形態の検知手段204では、第1の取得手段202によって取得された利用者IDと第2の取得手段203によって取得された利用者IDとが一致した場合に、第2のアクセスを不正アクセスとして検知した。しかしながら、検知手段204の処理は、このような処理に限定されない。検知手段204は、例えば、第1の取得手段202によって取得されたIPアドレスと第2の取得手段203によって取得されたIPアドレスが異なり、かつ、第1の取得手段202によって取得された利用者IDと第2の取得手段203によって取得された利用者IDとが一致する場合に、第2のアクセスを不正アクセスとして検知してもよい。
【0061】
第2の取得手段203は不正取引を検知する不正取引検知手段を含み、第2の特定情報は不正取引検知手段が取得することとしてもよい。検知手段204が不正取引検知手段によって取得された第2の特定情報と第1の特定情報とを比較する。このことにより、不正アクセス検知装置11は、不正取引検知手段のみによる検知よりも、不正アクセスの検知精度を高めることができる。不正取引検知手段は、例えば、利用者IDに対応付けて記憶された取引の内容に基づいて検知する。取引の内容は、例えば、取引履歴、取引額、取引頻度、取引する商品の種別、取引する商品の数量、アクセス元となる情報処理装置の地理情報である。さらに、不正取引検知手段は、これらに限定されず、様々な公知の方法を採用できる。
【0062】
OSやインターネットブラウザによっては、特定の情報部品を取得しないことでウェブサーバ12からのデータ転送量を削減するものがある。そこで、不正プログラム実行端末判定手段201は、例えば、アクセスを行った情報処理装置で稼働するOSの種別やインターネットブラウザの種別等をログファイル12Lから取得してもよい。不正プログラム実行端末判定手段201は、OSの種別やインターネットブラウザの種別を基に、一部の情報部品を取得しないアクセスについて、当該アクセスが通常のアクセスであるか否かを判定できる。不正プログラム実行端末判定手段201は、当該判定によって通常のアクセスではないと判定したアクセスを不正プログラム実行端末20からのアクセスとして検知できる。
【0063】
実施形態の漏洩ID判定手段205は、第1の取得手段202が取得したIPアドレスと第2の取得手段203が取得したIPアドレスとが異なる場合、第1の取得手段202が取得した利用者IDを漏洩した利用者IDと判定した。しかしながら、漏洩ID判定手段205の処理は、このような処理に限定されない。図11は、漏洩ID判定手段205の処理の別例を示す図である。以下、図11を参照して、漏洩ID判定手段205の処理の別例について説明する。
【0064】
OP51では、漏洩ID判定手段205は、第2の取得手段203によって取得された利用者IDに一致する利用者IDが対応情報記憶手段207に記憶されているか判定する。記憶されている場合(OP51でYES)、処理はOP52に進められる。一致しない場合(OP51でNO)、処理は終了する。
【0065】
OP52では、漏洩ID判定手段205は、OP51で一致すると判定された利用者IDに対応づけられたIPアドレスを抽出する。OP53では、漏洩ID判定手段205は、OP52で抽出したIPアドレスと対応付けて対応情報記憶手段207に記憶されている利用者IDのすべてを漏洩した利用者IDと判定する。
【0066】
以上で開示した実施形態や変形例はそれぞれ組み合わせる事ができる。
【符号の説明】
【0067】
11・・・不正アクセス検知装置12・・・ウェブサーバ
20・・・不正プログラム実行端末
30・・・不正アクセス端末
N1・・・ネットワーク
100・・・情報処理装置
101・・・プロセッサ
102・・・主記憶部
103・・・補助記憶部
104・・・通信部
B1・・・接続バス
201・・・不正プログラム実行端末判定手段
202・・・第1の取得手段
203・・・第2の取得手段
204・・・検知手段
205・・・漏洩ID判定手段
206・・・不正プログラム実行端末特定情報記憶手段
207・・・対応情報記憶手段