(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023137572
(43)【公開日】2023-09-29
(54)【発明の名称】不正検出装置、不正検出方法、及び不正検出プログラム
(51)【国際特許分類】
G06Q 20/40 20120101AFI20230922BHJP
【FI】
G06Q20/40
【審査請求】有
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2022043826
(22)【出願日】2022-03-18
(71)【出願人】
【識別番号】319013263
【氏名又は名称】ヤフー株式会社
(74)【代理人】
【識別番号】110000637
【氏名又は名称】弁理士法人樹之下知的財産事務所
(72)【発明者】
【氏名】塚原 剛
【テーマコード(参考)】
5L055
【Fターム(参考)】
5L055AA75
(57)【要約】
【課題】高い精度で不正検出を実施可能な不正検出装置、不正検出方法、及び不正検出プログラムを提供する。
【解決手段】不正検出装置10は、アクション内容と複数のパラメータとを含むアクション要求情報を受信する要求受信部131と、アクション内容とパラメータとを互いに関連付け、かつ、新たに受信したパラメータが過去に受信したパラメータと同一である場合に、当該パラメータに関連付けられたアクション内容を互いに関連付ける関連付部132と、ブロックリストに基づいて不正アクションを判定する不正判定部と、過去に受信したパラメータに関連付けられる不正アクションが所定の条件を満たす場合に、パラメータを不正パラメータとしてブロックリストに登録するリスト登録部134と、を備える。
【選択図】図1
【解決手段】不正検出装置10は、アクション内容と複数のパラメータとを含むアクション要求情報を受信する要求受信部131と、アクション内容とパラメータとを互いに関連付け、かつ、新たに受信したパラメータが過去に受信したパラメータと同一である場合に、当該パラメータに関連付けられたアクション内容を互いに関連付ける関連付部132と、ブロックリストに基づいて不正アクションを判定する不正判定部と、過去に受信したパラメータに関連付けられる不正アクションが所定の条件を満たす場合に、パラメータを不正パラメータとしてブロックリストに登録するリスト登録部134と、を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
所定のアクションの実行を要求するアクション要求情報であって、前記アクションの内容であるアクション内容と、前記アクションを要求する際の複数のパラメータとを含む前記アクション要求情報を受信する要求受信部と、
1つの前記アクション要求情報に含まれる前記アクション内容と複数の前記パラメータとを互いに関連付け、かつ、新たに受信した前記アクション要求情報の前記パラメータが、過去に受信した前記アクション要求情報に含まれる前記パラメータと同一である場合に、当該パラメータに関連付けられた前記アクション内容を互いに関連付ける関連付部と、
不正と判定すべき前記パラメータである不正パラメータを記録したブロックリストに基づいて、新規に受信した前記アクション内容が不正な不正アクションであるか否かを判定する不正判定部と、
過去に受信した前記パラメータに関連付けられる前記不正アクションが所定の条件を満たす場合に、当該パラメータを前記不正パラメータとして前記ブロックリストに登録するリスト登録部と、を備える、不正検出装置。
1つの前記アクション要求情報に含まれる前記アクション内容と複数の前記パラメータとを互いに関連付け、かつ、新たに受信した前記アクション要求情報の前記パラメータが、過去に受信した前記アクション要求情報に含まれる前記パラメータと同一である場合に、当該パラメータに関連付けられた前記アクション内容を互いに関連付ける関連付部と、
不正と判定すべき前記パラメータである不正パラメータを記録したブロックリストに基づいて、新規に受信した前記アクション内容が不正な不正アクションであるか否かを判定する不正判定部と、
過去に受信した前記パラメータに関連付けられる前記不正アクションが所定の条件を満たす場合に、当該パラメータを前記不正パラメータとして前記ブロックリストに登録するリスト登録部と、を備える、不正検出装置。
【請求項2】
前記リスト登録部は、過去に受信した前記パラメータに対して、第一閾値以上の数の前記不正アクションが関連付けられた場合に、当該パラメータを不正パラメータとして登録する、
請求項1に記載の不正検出装置。
請求項1に記載の不正検出装置。
【請求項3】
前記リスト登録部は、過去に受信した前記アクション要求情報に含まれる前記パラメータに対して関連付けられた複数の前記アクション内容のうち、第二閾値以上の割合の前記アクション内容が前記不正アクションである場合に、当該パラメータを前記不正パラメータとして登録する、
請求項1に記載の不正検出装置。
請求項1に記載の不正検出装置。
【請求項4】
前記不正パラメータに関連付けられた前記アクション内容であって前記不正アクションを含まない前記アクション内容を距離が1の不正アクション候補とし、前記距離が1の不正アクション候補に関連付けられた前記パラメータであって前記不正パラメータを含まない前記パラメータを距離が1の不正パラメータ候補とし、距離がiの不正パラメータ候補に関連付けられた前記アクション内容であって前記距離がiの不正アクション候補を含まない前記アクション内容を距離がi+1の不正アクション候補とし、前記距離がi+1の不正アクション候補に関連付けられた前記パラメータであって前記距離がiの不正パラメータ候補を含まない前記パラメータを距離がi+1の不正パラメータ候補とした場合に、
前記不正判定部は、新規に受信した前記アクション要求情報に含まれるパラメータの前記不正パラメータからの距離が第三閾値以内となる場合に、当該アクション要求情報を不正と判定する、
請求項1から請求項3のいずれか1項に記載の不正検出装置。
前記不正判定部は、新規に受信した前記アクション要求情報に含まれるパラメータの前記不正パラメータからの距離が第三閾値以内となる場合に、当該アクション要求情報を不正と判定する、
請求項1から請求項3のいずれか1項に記載の不正検出装置。
【請求項5】
前記アクション内容及び前記パラメータをノードとして、互いに関連付けられた前記アクション内容及び前記パラメータに対応する一対の前記ノードをリンクにより接続し、前記不正パラメータに対応する前記ノードを、他の前記パラメータの前記ノードとは異なる表示形態で表示したネットワークグラフを作成するグラフ作成部をさらに備える、
請求項1から請求項4のいずれか1項に記載の不正検出装置。
請求項1から請求項4のいずれか1項に記載の不正検出装置。
【請求項6】
コンピュータによりユーザ端末から送信された所定のアクションの実行を要求するアクション要求情報の不正を検出する不正検出方法であって、
前記アクション要求情報は、前記アクションの内容であるアクション内容と、前記アクションを要求する際の複数のパラメータとを含み、
前記コンピュータは、要求受信部、関連付部、不正判定部、及びリスト登録部を備え、
前記要求受信部が、前記アクション要求情報を受信する要求受信ステップと、
前記関連付部が、1つの前記アクション要求情報に含まれる前記アクション内容と複数の前記パラメータとを互いに関連付け、かつ、新たに受信した前記アクション要求情報の前記パラメータが、過去に受信した前記アクション要求情報に含まれる前記パラメータと同一である場合に、当該パラメータに関連付けられた前記アクション内容を互いに関連付ける関連付ステップと、
前記不正判定部が、不正と判定すべき前記パラメータである不正パラメータを記録したブロックリストに基づいて、新規に受信した前記アクション内容が不正な不正アクションであるか否かを判定する不正判定ステップと、
前記リスト登録部が、過去に受信した前記パラメータに関連付けられる前記不正アクションが所定の条件を満たす場合に、当該パラメータを前記不正パラメータとして前記ブロックリストに登録するリスト登録ステップと、
を実施する、不正検出方法。
前記アクション要求情報は、前記アクションの内容であるアクション内容と、前記アクションを要求する際の複数のパラメータとを含み、
前記コンピュータは、要求受信部、関連付部、不正判定部、及びリスト登録部を備え、
前記要求受信部が、前記アクション要求情報を受信する要求受信ステップと、
前記関連付部が、1つの前記アクション要求情報に含まれる前記アクション内容と複数の前記パラメータとを互いに関連付け、かつ、新たに受信した前記アクション要求情報の前記パラメータが、過去に受信した前記アクション要求情報に含まれる前記パラメータと同一である場合に、当該パラメータに関連付けられた前記アクション内容を互いに関連付ける関連付ステップと、
前記不正判定部が、不正と判定すべき前記パラメータである不正パラメータを記録したブロックリストに基づいて、新規に受信した前記アクション内容が不正な不正アクションであるか否かを判定する不正判定ステップと、
前記リスト登録部が、過去に受信した前記パラメータに関連付けられる前記不正アクションが所定の条件を満たす場合に、当該パラメータを前記不正パラメータとして前記ブロックリストに登録するリスト登録ステップと、
を実施する、不正検出方法。
【請求項7】
コンピュータにより読み取り実行可能な不正検出プログラムであって、
前記コンピュータを請求項1から請求項5のいずれか1項に記載の不正検出装置として機能させる、不正検出プログラム。
前記コンピュータを請求項1から請求項5のいずれか1項に記載の不正検出装置として機能させる、不正検出プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正検出装置、不正検出方法、及び不正検出プログラムに関する。
【背景技術】
【0002】
従来、決済処理等における不正決済を検出する等、インターネット上のユーザのアクションに関して不正なアクションを検出する装置が知られている。
特許文献1に記載のシステムでは、各対象サーバがユーザ端末からアクセストークン報を受信すると、認証装置から当該ユーザ端末に係るアクセストークンを受信し、アクセスが許可されたユーザ端末からのアクセスを受け付ける。そして、認証装置は、BPスコアやFPスコア、累計スコアに基づいて設定されるブロックリスト、ユーザ端末から同一の認証情報が複数の異なる対象サーバに送信されたか否か等のルールに基づいてリスク判定を実施する。
特許文献1に記載のシステムでは、各対象サーバがユーザ端末からアクセストークン報を受信すると、認証装置から当該ユーザ端末に係るアクセストークンを受信し、アクセスが許可されたユーザ端末からのアクセスを受け付ける。そして、認証装置は、BPスコアやFPスコア、累計スコアに基づいて設定されるブロックリスト、ユーザ端末から同一の認証情報が複数の異なる対象サーバに送信されたか否か等のルールに基づいてリスク判定を実施する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004-348536号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、上記のような従来の不正検出システムでは、不正検出の1つのルールとして、ブロックリストに接続元IP等が登録されているかを判定し、不正を検知する。しかしながら、不正ユーザがブロックリストを回避するために、例えばブラウザクッキー等の一部の情報を故意に変更する等により、ブロックリストを回避する回避行動をとる場合があり、不正ユーザによりこのような回避行動がとられると、ブロックリストによる不正検出は困難となる。
【0005】
本発明は、高い精度で不正検出を実施可能な不正検出装置、不正検出方法、及び不正検出プログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明に係る一態様の不正検出装置は、所定のアクションの実行を要求するアクション要求情報であって、前記アクションの内容であるアクション内容と、前記アクションを要求する際の複数のパラメータとを含む前記アクション要求情報を受信する要求受信部と、1つの前記アクション要求情報に含まれる前記アクション内容と複数の前記パラメータとを互いに関連付け、かつ、新たに受信した前記アクション要求情報の前記パラメータが、過去に受信した前記アクション要求情報に含まれる前記パラメータと同一である場合に、当該パラメータに関連付けられた前記アクション内容を互いに関連付ける関連付部と、不正と判定すべき前記パラメータである不正パラメータを記録したブロックリストに基づいて、新規に受信した前記アクション内容が不正な不正アクションであるか否かを判定する不正判定部と、過去に受信した前記パラメータに関連付けられる前記不正アクションが所定の条件を満たす場合に、当該パラメータを前記不正パラメータとして前記ブロックリストに登録するリスト登録部と、を備える。
【発明の効果】
【0007】
本発明では、パラメータに関連付けられるアクション内容が不正アクションであり、当該パラメータに関連付けられた不正アクションが所定の条件を満たす場合に、そのパラメータを不正パラメータとして検出し、ブロックリストに登録する。これにより、ブロックリストに登録する不正パラメータを拡張でき、例えば接続元IPのみのブロックリストを用いてユーザの不正を検出する場合に比べて、より広い範囲でユーザの不正を検出することができる。よって、不正にサービスを利用するユーザ(不正ユーザ)が、例えばクッキー等の情報の一部を書き換えてアクション要求情報を送信したとしても、他のパラメータがブロックリストに記録されている可能性が高くなり、不正ユーザによるブロックリストの回避行動を抑制でき、より精度の高い不正検出を実施することが可能となる。
【図面の簡単な説明】
【0008】
【図1】本実施形態の不正検出システムの概略を示す図。
【図2】本実施形態の不正検出方法におけるBLの更新処理を示すフローチャート。
【図3】不正パラメータの判定手法を説明するための図。
【図4】ネットワークグラフの一例を示す図。
【図5】不正判定方法における不正判定処理を示すフローチャート。
【図6】本実施形態のパラメータの関連付けを説明するための概略図。
【図7】不正パラメータからの距離を説明するための図。
【発明を実施するための形態】
【0009】
以下、本発明に係る一実施形態の不正検出システムについて説明する。
図1は、本実施形態の不正検出システムを示す概略図である。
不正検出システム1は、サービスサーバ20と、不正検出装置10と、ユーザ端末30と、を含んで構成されている。これらのサービスサーバ20、不正検出装置10、及びユーザ端末30はインターネットを介して通信可能に接続されている。
図1は、本実施形態の不正検出システムを示す概略図である。
不正検出システム1は、サービスサーバ20と、不正検出装置10と、ユーザ端末30と、を含んで構成されている。これらのサービスサーバ20、不正検出装置10、及びユーザ端末30はインターネットを介して通信可能に接続されている。
【0010】
本実施形態では、サービスサーバ20は、ユーザ端末30を操作するユーザに対して所定のサービスを提供する装置であり、ユーザ端末30から送信されたアクション要求情報に対応したサービスを提供する。例えば、サービスサーバ20は、クレジットカードや電子マネー等による決済サービスを提供してもよく、インターネットを介して商品を販売するネットショップサービスやオークションサービスを提供してもよく、その他のサービスを提供してもよい。
サービスサーバ20にユーザ端末30からアクション要求情報が送信されると、サービスサーバ20は、不正検出装置10に当該アクション要求情報を送信する。不正検出装置10は、ユーザ端末30からサービスサーバ20を介して送信されたアクション要求情報を受信すると、そのアクション要求情報が不正なアクション要求であるか否かを判定する。不正が検出されなかった場合は、不正検出装置10はサービスサーバ20にアクション要求情報が適正である旨の応答を返し、これにより、サービスサーバ20はユーザ端末30にサービスを提供する。一方、不正検出装置10により不正が検出された場合は、アクション要求が不正である旨をサービスサーバ20に返し、この場合サービスサーバ20からユーザ端末30へのサービス提供は行われない。また、不正検出装置10は、不正検出の結果に基づいて、サービスの提供を行わないユーザのリストを記録したブロックリストに当該ユーザに関する情報を記録する。
以下、各構成についてより詳細に説明する。
サービスサーバ20にユーザ端末30からアクション要求情報が送信されると、サービスサーバ20は、不正検出装置10に当該アクション要求情報を送信する。不正検出装置10は、ユーザ端末30からサービスサーバ20を介して送信されたアクション要求情報を受信すると、そのアクション要求情報が不正なアクション要求であるか否かを判定する。不正が検出されなかった場合は、不正検出装置10はサービスサーバ20にアクション要求情報が適正である旨の応答を返し、これにより、サービスサーバ20はユーザ端末30にサービスを提供する。一方、不正検出装置10により不正が検出された場合は、アクション要求が不正である旨をサービスサーバ20に返し、この場合サービスサーバ20からユーザ端末30へのサービス提供は行われない。また、不正検出装置10は、不正検出の結果に基づいて、サービスの提供を行わないユーザのリストを記録したブロックリストに当該ユーザに関する情報を記録する。
以下、各構成についてより詳細に説明する。
【0011】
[不正検出装置10の構成]
不正検出装置10は、コンピュータにより構成され、通信部11と、記憶部12と、制御部13と、等を含んで構成されている。なお、不正検出装置10を構成するコンピュータの数は特に限定されない。例えば、1台のコンピュータによって不正検出装置10が構成されてもよく、複数のコンピュータをネットワークで接続して構築されるクラウドサーバにより不正検出装置10が構成されてもよい。
通信部11は、例えばLAN等を介してネットワーク(インターネット)に接続されており、サービスサーバ20やユーザ端末30等の外部機器と通信する。
不正検出装置10は、コンピュータにより構成され、通信部11と、記憶部12と、制御部13と、等を含んで構成されている。なお、不正検出装置10を構成するコンピュータの数は特に限定されない。例えば、1台のコンピュータによって不正検出装置10が構成されてもよく、複数のコンピュータをネットワークで接続して構築されるクラウドサーバにより不正検出装置10が構成されてもよい。
通信部11は、例えばLAN等を介してネットワーク(インターネット)に接続されており、サービスサーバ20やユーザ端末30等の外部機器と通信する。
【0012】
記憶部12は、例えばメモリ、ハードディスク等により構成されたデータ記録装置である。この記憶部12は、アクションデータベース(アクションDB121)、関連データベース(関連DB122)、ブロックリスト(BL123)等を有する。
なお、ここでは、不正検出装置10の記憶部12に、アクションDB121、及びBL123等が設けられる例を示すが、不正検出装置10とネットワークを介して通信可能に接続された他のデータサーバやクラウドストレージに、これらのデータが記録される構成としてもよい。
また、記憶部12には、不正検出装置10により不正検出処理を実施するための不正検出プログラム等の各種プログラムが記憶されている。
なお、ここでは、不正検出装置10の記憶部12に、アクションDB121、及びBL123等が設けられる例を示すが、不正検出装置10とネットワークを介して通信可能に接続された他のデータサーバやクラウドストレージに、これらのデータが記録される構成としてもよい。
また、記憶部12には、不正検出装置10により不正検出処理を実施するための不正検出プログラム等の各種プログラムが記憶されている。
【0013】
アクションDB121には、サービスサーバ20から送信されたアクション要求情報が蓄積されている。アクション要求情報には、ユーザがサービスを受ける際に必要となる複数のパラメータと、ユーザが提供を希望するサービスの内容に関するアクション内容とが含まれている。例えば、決済サービスを提供するアクション要求情報である場合、アクション内容は決済処理であり、パラメータとして、接続元IP、ユーザを識別するアカウント情報、クレジットカード番号、ユーザの居所、ユーザの電話番号、メール等のメッセージ通知先アドレス、電話番号、クッキー情報等が含まれる。
また、アクションDB121に蓄積されるアクション要求情報には、不正検出装置10によって、アクション内容が不正と判定されたか否かを示す不正判定フラグが記録されている。例えば、決済サービスの場合、決済処理が、不正なく適正決済処理を実施した通常決済であるか、不正決済であるかを示す不正判定フラグが記録される。
また、アクションDB121に蓄積されるアクション要求情報には、不正検出装置10によって、アクション内容が不正と判定されたか否かを示す不正判定フラグが記録されている。例えば、決済サービスの場合、決済処理が、不正なく適正決済処理を実施した通常決済であるか、不正決済であるかを示す不正判定フラグが記録される。
【0014】
関連DB122は、アクション要求情報に含まれる各アクション内容及び各パラメータに関し、これらのアクション内容やパラメータ同士の関連性を記録する。例えば、関連DB122には、各アクション内容及び各パラメータをノードとし、アクション内容に対応したノードと各パラメータに対応したノードとをリンクにより接続したネットワークグラフが記録されていてもよい。この場合、複数のアクション内容に対して共通するパラメータが含まれる場合、当該共通するパラメータに対応するノードを介して複数のアクションノードがリンクにより接続される。リンクによって接続されたこれらのアクションノードやノードは互いに関連付けられた(紐付けられた)アクション内容、パラメータを示す。なお、関連DB122に記録される、パラメータ同士の関連性に関しては、上記に限定されず、例えば、アクション要求情報に含まれるアクション内容とパラメータとを1つのレコードとし、当該レコードに共通するパラメータを有する他のアクション内容を関連付けてもよく、データの管理方法については特に限定されるものではない。
【0015】
BL123は、サービスの利用を提供しないユーザ、つまりブロックすべきユーザに関する情報を記録したリストであり、例えば、ブロック対象のユーザとすべきパラメータが多数記録されている。
【0016】
制御部13は、CPU(Central Processing Unit)等の演算回路、RAM(Random Access Memory)等の記録回路により構成される。制御部13は、記憶部12等に記録されている各種プログラムをRAMに展開し、RAMに展開されたプログラムとの協働により各種処理を実行する。そして、制御部13は、記憶部12に記録された不正判定プログラムを含む各種プログラムを読み込み実行することで、図1に示すように、要求受信部131、関連付部132、不正パラメータ検出部133、リスト登録部134、グラフ作成部135、及び不正判定部136等として機能する。
【0017】
要求受信部131は、ユーザ端末30から送信されたアクション要求情報をサービスサーバ20を介して受信する。
関連付部132は、アクション要求情報に含まれる複数のパラメータを抽出し、抽出したパラメータの関連付けを行い、関連DB122を更新する。
不正パラメータ検出部133は、関連DB122とBL123に基づいて、不正と判定すべきパラメータ(不正パラメータ)、及び不正である可能性があるパラメータ(不正パラメータ候補)を検出する。
関連付部132は、アクション要求情報に含まれる複数のパラメータを抽出し、抽出したパラメータの関連付けを行い、関連DB122を更新する。
不正パラメータ検出部133は、関連DB122とBL123に基づいて、不正と判定すべきパラメータ(不正パラメータ)、及び不正である可能性があるパラメータ(不正パラメータ候補)を検出する。
【0018】
リスト登録部134は、不正パラメータをBL123に登録する。
グラフ作成部135は、各パラメータ及び各アクション内容の関係性を示すネットワークグラフを作成し、関連DB122に記録する。
不正判定部136は、BL123に基づいて、アクション要求情報が不正であるか適正であるかの不正判定処理を実施する。例えば、不正判定部136は、BL123に記録されたパラメータが含まれるアクション要求情報を不正なアクション要求情報として判定する。
グラフ作成部135は、各パラメータ及び各アクション内容の関係性を示すネットワークグラフを作成し、関連DB122に記録する。
不正判定部136は、BL123に基づいて、アクション要求情報が不正であるか適正であるかの不正判定処理を実施する。例えば、不正判定部136は、BL123に記録されたパラメータが含まれるアクション要求情報を不正なアクション要求情報として判定する。
【0019】
[サービスサーバ20、及びユーザ端末30の構成]
サービスサーバ20はサービス提供者が保有するコンピュータであり、ユーザ端末30は、ユーザが保有する端末装置(コンピュータ)である。
これらのサービスサーバ20、及びユーザ端末30の具体的な構成の図示は省略するが、一般的なコンピュータが有する基本的な構成を有する。すなわち、サービスサーバ20、及びユーザ端末30は、入力操作を受け付ける入力操作部、画像情報を表示させるディスプレイ、各種情報を記録する記録装置、各種情報を演算処理する演算回路(CPU等)を備えている。
サービスサーバ20はサービス提供者が保有するコンピュータであり、ユーザ端末30は、ユーザが保有する端末装置(コンピュータ)である。
これらのサービスサーバ20、及びユーザ端末30の具体的な構成の図示は省略するが、一般的なコンピュータが有する基本的な構成を有する。すなわち、サービスサーバ20、及びユーザ端末30は、入力操作を受け付ける入力操作部、画像情報を表示させるディスプレイ、各種情報を記録する記録装置、各種情報を演算処理する演算回路(CPU等)を備えている。
【0020】
[不正検出システム1の動作]
次に、本実施形態の不正検出システム1による不正検出方法について説明する。
まず、不正判定方法におけるBL123の更新処理について説明する。
図2は、本実施形態の不正検出システムによるBL123の更新処理を示すフローチャートである。
BL123の更新処理は、過去に受信されてアクションDB121に蓄積されているアクション要求情報とBL123とを用いて実施される。
不正パラメータ検出部133は、アクションDB121に蓄積されているアクション要求情報を読み出す(ステップS1)。読み出されるアクション要求情報は、全てのアクション要求情報であってもよく、直近の所定期間のアクション要求情報であってもよい。
また、不正パラメータ検出部133は、読み出した過去のアクション要求情報に含まれる各パラメータについて、当該パラメータに関連付けられたアクション内容(通常アクション、又は不正アクション)を検出する。
そして、不正パラメータ検出部133は、各パラメータに関して、当該パラメータに関連付けられた不正アクションの数が所定の閾値(第一閾値)以上であるか否かを判定する(ステップS2)。
ステップS2でYESと判定される場合、さらに、不正パラメータ検出部133は、各パラメータに関連付けられたアクション内容において、不正アクションの占める割合が所定の閾値(第二閾値)以上であるか否かを判定する(ステップS3)。
次に、本実施形態の不正検出システム1による不正検出方法について説明する。
まず、不正判定方法におけるBL123の更新処理について説明する。
図2は、本実施形態の不正検出システムによるBL123の更新処理を示すフローチャートである。
BL123の更新処理は、過去に受信されてアクションDB121に蓄積されているアクション要求情報とBL123とを用いて実施される。
不正パラメータ検出部133は、アクションDB121に蓄積されているアクション要求情報を読み出す(ステップS1)。読み出されるアクション要求情報は、全てのアクション要求情報であってもよく、直近の所定期間のアクション要求情報であってもよい。
また、不正パラメータ検出部133は、読み出した過去のアクション要求情報に含まれる各パラメータについて、当該パラメータに関連付けられたアクション内容(通常アクション、又は不正アクション)を検出する。
そして、不正パラメータ検出部133は、各パラメータに関して、当該パラメータに関連付けられた不正アクションの数が所定の閾値(第一閾値)以上であるか否かを判定する(ステップS2)。
ステップS2でYESと判定される場合、さらに、不正パラメータ検出部133は、各パラメータに関連付けられたアクション内容において、不正アクションの占める割合が所定の閾値(第二閾値)以上であるか否かを判定する(ステップS3)。
【0021】
図3は、ステップS2及びステップS3でのBL123に登録する不正パラメータの決定手法を示す図である。
図3は、ネットワークグラフの一部の一例であり、判定対象となるパラメータ(判定パラメータR)と、当該判定パラメータRに関連付けられた複数のアクション内容とが示されている。ここで、黒で示されるアクション内容は、不正と判定された不正アクションQFであり、白で示されるアクション内容は、通常に処理されたアクション内容QTである。
ステップS2で、不正パラメータ検出部133は、判定パラメータRに関連付けられた不正アクションQFの数N1が第一閾値以上であるか否かを判定する。そして、ステップS2でYESと判定される場合、さらに、不正パラメータ検出部133は、ステップS3により、判定パラメータRに関連付けられたアクション内容において、不正アクションQFの占める割合N2が第二閾値以上であるか否かを判定する。そして、ステップS2及びステップS3の双方でYESと判定される場合、判定パラメータRを不正パラメータとして検出する。
なお、第一閾値及び第二閾値は、不正検出装置10の管理者またはサービスサーバ20の管理者が適宜設定することができる。例えば、図3に示す判定パラメータRは、第一閾値を4とする場合においてステップS2においてYESと判定される。また、図3に示す判定パラメータRは、第二閾値を0.5とする場合においてステップS3においてYESと判定される。
図3は、ネットワークグラフの一部の一例であり、判定対象となるパラメータ(判定パラメータR)と、当該判定パラメータRに関連付けられた複数のアクション内容とが示されている。ここで、黒で示されるアクション内容は、不正と判定された不正アクションQFであり、白で示されるアクション内容は、通常に処理されたアクション内容QTである。
ステップS2で、不正パラメータ検出部133は、判定パラメータRに関連付けられた不正アクションQFの数N1が第一閾値以上であるか否かを判定する。そして、ステップS2でYESと判定される場合、さらに、不正パラメータ検出部133は、ステップS3により、判定パラメータRに関連付けられたアクション内容において、不正アクションQFの占める割合N2が第二閾値以上であるか否かを判定する。そして、ステップS2及びステップS3の双方でYESと判定される場合、判定パラメータRを不正パラメータとして検出する。
なお、第一閾値及び第二閾値は、不正検出装置10の管理者またはサービスサーバ20の管理者が適宜設定することができる。例えば、図3に示す判定パラメータRは、第一閾値を4とする場合においてステップS2においてYESと判定される。また、図3に示す判定パラメータRは、第二閾値を0.5とする場合においてステップS3においてYESと判定される。
【0022】
ステップS2及びステップS3でYESと判定され、判定パラメータRが不正パラメータとして検出された場合、リスト登録部134は、検出した不正パラメータをBL123に新たに登録する(ステップS4)。なお、上記ステップS2からステップS3の処理は、ステップS1で読み出された各アクション要求情報に含まれる各パラメータについて実施される。
【0023】
また、グラフ作成部135は、蓄積された過去のアクション要求情報と、BL123とに基づいて、ネットワークグラフを作成し、記憶部12の関連DB122に記録してもよい(ステップS5)。
図4は、ネットワークグラフの一例である。
グラフ作成部135は、各アクション内容に対応するノードNと、パラメータに対応するノードNとをグラフ上に配置し、互いに関連するノードNをリンクLで接続したネットワークグラフを作成する。この際、不正パラメータや不正アクションと判定されたノードNの大きさや色等の表示形態を変更する。また、関連する不正パラメータの数に応じて、ノードの大きさや色等の表示形態を変更してもよい。
このネットワークグラフは、管理者により閲覧可能に記憶部12に記憶されており、管理者が適宜ネットワークグラフを閲覧することで、容易に互いに関連する不正パラメータのまとまりや、不正なアクション要求として頻繁に使用されるパラメータ等を確認でき、不正検出処理におけるBL123の見直しや更新に貢献することができる。
図4は、ネットワークグラフの一例である。
グラフ作成部135は、各アクション内容に対応するノードNと、パラメータに対応するノードNとをグラフ上に配置し、互いに関連するノードNをリンクLで接続したネットワークグラフを作成する。この際、不正パラメータや不正アクションと判定されたノードNの大きさや色等の表示形態を変更する。また、関連する不正パラメータの数に応じて、ノードの大きさや色等の表示形態を変更してもよい。
このネットワークグラフは、管理者により閲覧可能に記憶部12に記憶されており、管理者が適宜ネットワークグラフを閲覧することで、容易に互いに関連する不正パラメータのまとまりや、不正なアクション要求として頻繁に使用されるパラメータ等を確認でき、不正検出処理におけるBL123の見直しや更新に貢献することができる。
【0024】
次に、更新されたBL123を用いた不正判定処理について説明する。
図5は、不正判定方法における不正判定処理を示すフローチャートである。
本実施形態では、ユーザがサービスサーバ20からサービスの提供を受ける場合、ユーザ端末30からサービスサーバ20に所定のサービスの提供を要求するアクション要求情報を送信する。サービスサーバ20は、アクション要求情報を受信すると、当該アクション要求情報を不正検出装置10に送信し、アクション要求情報に不正がないか否かを問い合わせる。
図5は、不正判定方法における不正判定処理を示すフローチャートである。
本実施形態では、ユーザがサービスサーバ20からサービスの提供を受ける場合、ユーザ端末30からサービスサーバ20に所定のサービスの提供を要求するアクション要求情報を送信する。サービスサーバ20は、アクション要求情報を受信すると、当該アクション要求情報を不正検出装置10に送信し、アクション要求情報に不正がないか否かを問い合わせる。
【0025】
不正検出装置10において、要求受信部131がサービスサーバ20からアクション要求情報を受信すると(ステップS6)、関連付部132は、アクション要求情報に含まれるパラメータの関連付けを行う(ステップS7)。
なお、以降の説明にあたり、ステップS6で新規に受信したアクション要求情報に含まれるアクション内容を対象アクションと称し、パラメータを対象パラメータと称する。
なお、以降の説明にあたり、ステップS6で新規に受信したアクション要求情報に含まれるアクション内容を対象アクションと称し、パラメータを対象パラメータと称する。
【0026】
図6は、パラメータの関連付けを説明するための概略図であり、各パラメータ及び各アクション内容のネットワークグラフの一例を示している。
ステップS7では、過去に受信したアクション要求情報に含まれるアクション内容及びパラメータと、ステップS6で受信したアクション要求情報に含まれる対象アクション及び対象パラメータとの関連付けを行う。例えば、図6のP1は新規に受信した1つのアクション要求情報を示しており、当該アクション要求情報P1には、対象アクションQ1と、複数の対象パラメータR1,R2,R3とが含まれる。
関連付部132は、これらの対象アクションQ1、及び対象パラメータR1,R2,R3を互いに関連付ける。
また、過去にアクション内容Q2、パラメータR1,R4,R5を含むアクション要求情報が受信されている場合、関連DB122には、図6に示すように、アクション内容Q2とパラメータR1,R4,R5とが関連付けられている旨が記録されている。この場合、関連付部132は、図6に示すように、対象アクションQ1及びアクション内容Q2を、共通のパラメータR1を介して関連付ける。つまり、パラメータR1を介して対象アクションQ1とアクション内容Q2とが関連付けられることになる。
ステップS7では、過去に受信したアクション要求情報に含まれるアクション内容及びパラメータと、ステップS6で受信したアクション要求情報に含まれる対象アクション及び対象パラメータとの関連付けを行う。例えば、図6のP1は新規に受信した1つのアクション要求情報を示しており、当該アクション要求情報P1には、対象アクションQ1と、複数の対象パラメータR1,R2,R3とが含まれる。
関連付部132は、これらの対象アクションQ1、及び対象パラメータR1,R2,R3を互いに関連付ける。
また、過去にアクション内容Q2、パラメータR1,R4,R5を含むアクション要求情報が受信されている場合、関連DB122には、図6に示すように、アクション内容Q2とパラメータR1,R4,R5とが関連付けられている旨が記録されている。この場合、関連付部132は、図6に示すように、対象アクションQ1及びアクション内容Q2を、共通のパラメータR1を介して関連付ける。つまり、パラメータR1を介して対象アクションQ1とアクション内容Q2とが関連付けられることになる。
【0027】
次に、不正パラメータ検出部133は、対象パラメータが、BL123に含まれるか否かを判定する(ステップS8)。
【0028】
ステップS8でNOと判定される場合、既にBL123に記録されている不正パラメータから対象アクション及び対象パラメータまでの距離が予め設定された閾値(第三閾値)以内であるか否かを判定する(ステップS9)。
図7は、不正パラメータからの距離を説明するための図であり、ネットワークグラフの一部の例を示している。図7において、不正アクションQBL、及び不正パラメータRBLは、既にBL123に記録されている情報である。
ここで、既にBL123に登録されている不正パラメータRBLに紐づけられたアクション内容(不正アクションQBLを含まない)を距離が1のアクション内容(不正アクション候補QF1)とし、当該不正アクション候補QF1に紐づく不正パラメータ候補を距離が1の不正パラメータ候補RF1とする。また、不正パラメータ候補RF1に紐づけられたアクション内容(不正アクション候補QF1を含めない)を距離が2の不正アクション候補QF2とし、当該不正アクション候補QF2に紐づく不正パラメータ候補を距離が2の不正パラメータ候補RF2とする。以降、距離がiの不正パラメータ候補RFiに紐づけられたアクション内容(不正アクション候補QFiを含めない)を距離がi+1の不正アクション候補QFi+1とし、当該不正アクション候補QFi+1に紐づく不正パラメータ候補RFを距離がi+1の不正パラメータ候補RFi+1とする。
図7は、不正パラメータからの距離を説明するための図であり、ネットワークグラフの一部の例を示している。図7において、不正アクションQBL、及び不正パラメータRBLは、既にBL123に記録されている情報である。
ここで、既にBL123に登録されている不正パラメータRBLに紐づけられたアクション内容(不正アクションQBLを含まない)を距離が1のアクション内容(不正アクション候補QF1)とし、当該不正アクション候補QF1に紐づく不正パラメータ候補を距離が1の不正パラメータ候補RF1とする。また、不正パラメータ候補RF1に紐づけられたアクション内容(不正アクション候補QF1を含めない)を距離が2の不正アクション候補QF2とし、当該不正アクション候補QF2に紐づく不正パラメータ候補を距離が2の不正パラメータ候補RF2とする。以降、距離がiの不正パラメータ候補RFiに紐づけられたアクション内容(不正アクション候補QFiを含めない)を距離がi+1の不正アクション候補QFi+1とし、当該不正アクション候補QFi+1に紐づく不正パラメータ候補RFを距離がi+1の不正パラメータ候補RFi+1とする。
【0029】
ステップS8でYESと判定された場合(対象パラメータがBL123に登録されている場合)、及びステップS9でYESと判定された場合(対象パラメータの不正パラメータからの距離が第三閾値以内である場合)、不正判定部136は、BL123に基づく不正判定処理により、対象パラメータを含むアクション要求情報が不正であると判定する(ステップS10)。また、ステップS9でNOと判定される場合(対象パラメータの不正パラメータからの距離が第三閾値より大きい場合)、他の対象パラメータが不正と判定されていない限り、アクション要求情報が正常であると判定する(ステップS11)。
【0030】
[本実施形態の作用効果]
本実施形態の不正検出装置10では、制御部13が、記憶部12に記憶された不正検出プログラムを読み込み実行することで、要求受信部131、関連付部132、リスト登録部134、及び不正判定部136として機能する。
要求受信部131は、ユーザ端末30から送信されたアクション要求情報を受信する。このアクション要求情報には、アクション内容とパラメータとを含み、例えば決済処理を要求する場合では、決済処理を示すアクション内容と、接続元IPやクレジットカード番号等のパラメータとが含まれる。
関連付部132は、同一のアクション要求情報に含まれる前記アクション内容と複数の前記パラメータとを互いに関連付ける。また、新たに受信したアクション要求情報に含まれる対象パラメータが、過去に受信したアクション要求情報に含まれるパラメータと同一である場合に、当該対象パラメータ(パラメータ)に関連付けられるアクション内容を関連付ける。つまり、対象属性を介して2つのアクション要求情報が関連付けられる。
不正判定部136は、BL123に基づいて、アクション要求情報が不正であるか否かを判定する。
リスト登録部134は、過去に受信したアクション要求情報に基づいて、過去のアクション要求情報に含まれる判定パラメータに関連付けられる前記不正アクションが所定の条件を満たす場合に、当該判定パラメータを不正パラメータとしてBL123に登録する。
本実施形態の不正検出装置10では、制御部13が、記憶部12に記憶された不正検出プログラムを読み込み実行することで、要求受信部131、関連付部132、リスト登録部134、及び不正判定部136として機能する。
要求受信部131は、ユーザ端末30から送信されたアクション要求情報を受信する。このアクション要求情報には、アクション内容とパラメータとを含み、例えば決済処理を要求する場合では、決済処理を示すアクション内容と、接続元IPやクレジットカード番号等のパラメータとが含まれる。
関連付部132は、同一のアクション要求情報に含まれる前記アクション内容と複数の前記パラメータとを互いに関連付ける。また、新たに受信したアクション要求情報に含まれる対象パラメータが、過去に受信したアクション要求情報に含まれるパラメータと同一である場合に、当該対象パラメータ(パラメータ)に関連付けられるアクション内容を関連付ける。つまり、対象属性を介して2つのアクション要求情報が関連付けられる。
不正判定部136は、BL123に基づいて、アクション要求情報が不正であるか否かを判定する。
リスト登録部134は、過去に受信したアクション要求情報に基づいて、過去のアクション要求情報に含まれる判定パラメータに関連付けられる前記不正アクションが所定の条件を満たす場合に、当該判定パラメータを不正パラメータとしてBL123に登録する。
【0031】
以上のような本実施形態では、不正と判断すべきパラメータを好適に拡張することができ、不正ユーザによるBL123の回避行動を抑制して、精度よく不正を検出することができる。
アクション内容として決済処理を具体例として説明する。従来の不正検出方法では、不正決済が見つかった場合に、その不正決済に関連付けられる単一のパラメータのみ(例えば、接続元IP)をブロックリストとして登録する。この場合、例えば、不正ユーザが他のproxyサーバを経由する、クッキー情報の一部を変更するなどの回避行動をとった場合に、不正を検出することができない。
これに対して、本実施形態では、不正決済に関連付けられた複数のパラメータが不正パラメータ候補となり、これらの不正パラメータ候補において、所定の条件を満たすパラメータが、BL123に登録される。したがって、従来のように、不正決済に基づく接続元IPのみといったブロックリストによる不正検出に比べて、不正決済に紐づく多数のパラメータがBL123に登録される。これにより、不正ユーザが、他のproxyサーバを経由するように決済処理を実施した場合でも、クッキーの一部の情報を書き換えた場合でも、他のパラメータが不正パラメータとして登録されている可能性が高く、不正ユーザによる不正決済を好適に検出することができる。
アクション内容として決済処理を具体例として説明する。従来の不正検出方法では、不正決済が見つかった場合に、その不正決済に関連付けられる単一のパラメータのみ(例えば、接続元IP)をブロックリストとして登録する。この場合、例えば、不正ユーザが他のproxyサーバを経由する、クッキー情報の一部を変更するなどの回避行動をとった場合に、不正を検出することができない。
これに対して、本実施形態では、不正決済に関連付けられた複数のパラメータが不正パラメータ候補となり、これらの不正パラメータ候補において、所定の条件を満たすパラメータが、BL123に登録される。したがって、従来のように、不正決済に基づく接続元IPのみといったブロックリストによる不正検出に比べて、不正決済に紐づく多数のパラメータがBL123に登録される。これにより、不正ユーザが、他のproxyサーバを経由するように決済処理を実施した場合でも、クッキーの一部の情報を書き換えた場合でも、他のパラメータが不正パラメータとして登録されている可能性が高く、不正ユーザによる不正決済を好適に検出することができる。
【0032】
本実施形態では、リスト登録部134は、判定パラメータに対して、第一閾値以上の数の不正アクションが関連付けられた場合に、その判定パラメータを不正パラメータとして登録する。
上述したように、不正パラメータに関連するパラメータをBL123に登録することで、不正ユーザによるBL123の回避行動を抑制することが可能となる。しかしながら、不正パラメータに関連するパラメータの全てをBL123に登録すると、不正なアクションではないにもかかわらず、不正と判定される誤検出の発生率が高くなる。例えば、proxyサーバを経由する等により多くのユーザで、接続元IPが同一と判定される場合がある。この場合、当該接続元IPをBL123に登録すると、誤検知が大量に発生する。これに対して、本実施形態では、ステップS2において、上記のように、判定パラメータに関連付けられている不正アクションの数が第一閾値以上である場合に、不正パラメータとして検出する。したがって、判定パラメータに対して第一閾値未満の不正アクションが関連付けられていても、不正パラメータとはみなされず、BL123に登録されない。これにより、誤検出の発生を抑制することができる。
上述したように、不正パラメータに関連するパラメータをBL123に登録することで、不正ユーザによるBL123の回避行動を抑制することが可能となる。しかしながら、不正パラメータに関連するパラメータの全てをBL123に登録すると、不正なアクションではないにもかかわらず、不正と判定される誤検出の発生率が高くなる。例えば、proxyサーバを経由する等により多くのユーザで、接続元IPが同一と判定される場合がある。この場合、当該接続元IPをBL123に登録すると、誤検知が大量に発生する。これに対して、本実施形態では、ステップS2において、上記のように、判定パラメータに関連付けられている不正アクションの数が第一閾値以上である場合に、不正パラメータとして検出する。したがって、判定パラメータに対して第一閾値未満の不正アクションが関連付けられていても、不正パラメータとはみなされず、BL123に登録されない。これにより、誤検出の発生を抑制することができる。
【0033】
本実施形態では、リスト登録部134は、判定パラメータに対して関連付けられた複数のアクション内容のうち、第二閾値以上の割合のアクション内容が不正アクションである場合に、判定パラメータを不正パラメータとして検出する。
つまり、判定パラメータに対して第二閾値未満の割合で不正アクションが関連付けられていても、不正パラメータとはみなされず、BL123に登録されない。これにより、上記と同様に、誤検出の発生を抑制することができる。
つまり、判定パラメータに対して第二閾値未満の割合で不正アクションが関連付けられていても、不正パラメータとはみなされず、BL123に登録されない。これにより、上記と同様に、誤検出の発生を抑制することができる。
【0034】
また、判定パラメータに関連付けられた不正アクションの数のみでBL123に登録するか否かを判定する場合、判定パラメータに関連付けられるアクション内容の数によって誤検出が増大することがある。例えば、判定パラメータに対して関連付けられたアクション内容の数が非常に多く、不正アクションの数が第一閾値以上ではあるものの、大半のアクションが適正である場合、BL123に当該判定パラメータを不正パラメータとして登録すると、多くの適正なアクション内容が不正として検出される。一方、判定パラメータに関連付けられた不正アクションの割合のみでBL123に登録するか否かを判定する場合、判定パラメータに関連付けられるアクション内容が少数である場合に誤検出が増大することがある。例えば、判定パラメータに対して関連付けられたアクション内容が2~3程度である場合では、不正アクションの数が1個程度でも、不正アクションの割合が第二閾値以上としてBL123に登録されることがある。このような場合、データ数が少なく十分な精度で不正を検出することができない。
これに対して、本実施形態では、ステップS2及びステップS3の双方を実施することで、両者のデメリットを補うことができ、適正に不正ユーザを検出可能なBL123を作成できる。
これに対して、本実施形態では、ステップS2及びステップS3の双方を実施することで、両者のデメリットを補うことができ、適正に不正ユーザを検出可能なBL123を作成できる。
【0035】
本実施形態では、新規に受信したアクション要求情報に含まれる対象パラメータの不正パラメータからの距離が第三閾値以内となる場合に、当該対象パラメータを含むアクション要求情報を不正と判定する。
これにより、不正パラメータからの距離が1である対象パラメータのみならず、より広い範囲に不正と判定すべき不正判定範囲を広げることができ、不正ユーザがBL123を回避してサービスを利用するとする不正行為を抑制できる。
これにより、不正パラメータからの距離が1である対象パラメータのみならず、より広い範囲に不正と判定すべき不正判定範囲を広げることができ、不正ユーザがBL123を回避してサービスを利用するとする不正行為を抑制できる。
【0036】
本実施形態では、グラフ作成部135が、アクション内容及びパラメータをノードNとして、互いに関連付けられたアクション内容及びパラメータに対応する一対のノードNをリンクLにより接続し、不正パラメータ及び不正パラメータ候補に対応するノードNを、他の通常のパラメータのノードNとは異なる表示形態で表示したネットワークグラフを作成する。
これにより、不正検出装置10の管理者は、当該ネットワークグラフを確認することで、BL123の更新等を容易に行える。また、本実施形態では、上述した第一閾値、第二閾値、第三閾値は、不正検出装置10の管理者によって適宜調整することが可能であり、管理者が、ネットワークグラフを確認することで、これらの閾値を適正な値に容易に調整することができる。
これにより、不正検出装置10の管理者は、当該ネットワークグラフを確認することで、BL123の更新等を容易に行える。また、本実施形態では、上述した第一閾値、第二閾値、第三閾値は、不正検出装置10の管理者によって適宜調整することが可能であり、管理者が、ネットワークグラフを確認することで、これらの閾値を適正な値に容易に調整することができる。
【0037】
本実施形態では、各サービスサーバ20と別体として不正検出装置10が設けられ、各サービスサーバ20を介してユーザ端末30から送信されるアクション要求情報を受信する。この場合、各サービスサーバ20のサービス内容に応じた様々なパラメータを受信することがで、これらのパラメータの関連付けを行うことができる。したがって、あるサービスにおいて、不正なサービスの利用として判定されたユーザのパラメータがBL123に登録されると、そのパラメータに関連する他のパラメータも不正パラメータとしてBL123に登録される可能性が高くなる。このため、当該ユーザが他のサービスを利用する場合に不正ユーザとして判定される可能性が高くなり、ユーザのサービスの不正利用に対する抑止力としてすることができる。
【0038】
[変形例]
なお、本発明は、上述した実施形態に限定されるものではなく、本発明の目的を達成できる範囲で、以下に示される変形をも含むものである。
なお、本発明は、上述した実施形態に限定されるものではなく、本発明の目的を達成できる範囲で、以下に示される変形をも含むものである。
【0039】
[変形例1]
上記実施形態では、ステップS9において、不正パラメータからの距離が第三閾値以内の対象パラメータを含むアクション要求情報を不正と判定した。これに対して、他の不正パラメータからの距離をさらに考慮してもよい。
例えば、対象パラメータからの距離が第三閾値以内の範囲に、第一閾値以上の不正パラメータが存在する場合に、対象パラメータを含むアクション要求情報を不正と判定してもよい。また、対象パラメータからの距離が第三閾値以内の範囲に存在するアクション内容のうち、第二閾値以上の割合で不正パラメータが存在する場合に、対象パラメータを含むアクション要求情報を不正と判定してもよい。
上記実施形態では、ステップS9において、不正パラメータからの距離が第三閾値以内の対象パラメータを含むアクション要求情報を不正と判定した。これに対して、他の不正パラメータからの距離をさらに考慮してもよい。
例えば、対象パラメータからの距離が第三閾値以内の範囲に、第一閾値以上の不正パラメータが存在する場合に、対象パラメータを含むアクション要求情報を不正と判定してもよい。また、対象パラメータからの距離が第三閾値以内の範囲に存在するアクション内容のうち、第二閾値以上の割合で不正パラメータが存在する場合に、対象パラメータを含むアクション要求情報を不正と判定してもよい。
【0040】
[変形例2]
上記実施形態では、ステップS2によりYESと判定された場合に、ステップS3の処理を実施したが、ステップS3を先に実施し、ステップS3でYESと判定される場合にステップS2の処理を実施してもよい。この場合でも、上記実施形態と同様に、ステップS2及びステップS3の双方でYESと判定されることで、対象パラメータを不正パラメータとして検出する。
さらに、上記実施形態では、ステップS2及びステップS3の双方を実施する例を示しているが、ステップS2及びステップS3のいずれかのみが実施されてもよい。
上記実施形態では、ステップS2によりYESと判定された場合に、ステップS3の処理を実施したが、ステップS3を先に実施し、ステップS3でYESと判定される場合にステップS2の処理を実施してもよい。この場合でも、上記実施形態と同様に、ステップS2及びステップS3の双方でYESと判定されることで、対象パラメータを不正パラメータとして検出する。
さらに、上記実施形態では、ステップS2及びステップS3の双方を実施する例を示しているが、ステップS2及びステップS3のいずれかのみが実施されてもよい。
【0041】
[変形例3]
上記実施形態では、不正検出装置10と、サービスサーバ20とが別体として設けられ、不正検出装置10は、ユーザ端末30から送信されアクション要求情報がサービスサーバ20を介して受信する構成であるが、これに限定されない。
例えば、各サービスサーバ20を不正検出装置10として機能させてもよい。この場合、各サービスサーバ20の制御部(プロセッサー)が記憶部に記憶された不正検出プログラムを読み出し実行することで、要求受信部131、関連付部132、不正パラメータ検出部133、リスト登録部134、グラフ作成部135、及び不正判定部136として機能する。
上記実施形態では、不正検出装置10と、サービスサーバ20とが別体として設けられ、不正検出装置10は、ユーザ端末30から送信されアクション要求情報がサービスサーバ20を介して受信する構成であるが、これに限定されない。
例えば、各サービスサーバ20を不正検出装置10として機能させてもよい。この場合、各サービスサーバ20の制御部(プロセッサー)が記憶部に記憶された不正検出プログラムを読み出し実行することで、要求受信部131、関連付部132、不正パラメータ検出部133、リスト登録部134、グラフ作成部135、及び不正判定部136として機能する。
【符号の説明】
【0042】
1…不正検出システム、10…不正検出装置、11…通信部、12…記憶部、13…制御部、20…サービスサーバ、30…ユーザ端末、131…要求受信部、132…関連付部、133…不正パラメータ検出部、134…リスト登録部、135…グラフ作成部、136…不正判定部、121…アクションデータベース、122…関連データベース、123…ブロックリスト、L…リンク、N…ノード。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
