(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024003085
(43)【公開日】2024-01-11
(54)【発明の名称】情報処理装置、情報処理方法およびプログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20231228BHJP
G06F 21/45 20130101ALI20231228BHJP
【FI】
G06F21/55 320
G06F21/45
【審査請求】有
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2023187999
(22)【出願日】2023-11-01
(62)【分割の表示】P 2020118211の分割
【原出願日】2020-07-09
(71)【出願人】
【識別番号】509286983
【氏名又は名称】株式会社ロイヤリティマーケティング
(74)【代理人】
【識別番号】110003708
【氏名又は名称】弁理士法人鈴榮特許綜合事務所
(72)【発明者】
【氏名】佐佐 將行
(72)【発明者】
【氏名】星山 昌之
(57)【要約】
【課題】 不正アクセスに対する対策をより適切に選択可能にする技術を提供する。
【解決手段】 パスワード認証によりアカウントを管理するサービスの会員のうち、アカウントに不正なアクセスを受けた被害会員に関する会員情報を取得する情報取得部と、上記会員情報の統計的な偏りを分析する分析部と、上記分析の結果に基づいて上記サービスが管理するアカウントごとに上記不正なアクセスに対する対策を選択する対策選択部と、を備える情報処理装置を提供する。
【選択図】図2
【解決手段】 パスワード認証によりアカウントを管理するサービスの会員のうち、アカウントに不正なアクセスを受けた被害会員に関する会員情報を取得する情報取得部と、上記会員情報の統計的な偏りを分析する分析部と、上記分析の結果に基づいて上記サービスが管理するアカウントごとに上記不正なアクセスに対する対策を選択する対策選択部と、を備える情報処理装置を提供する。
【選択図】図2
【特許請求の範囲】
【請求項1】
パスワード認証によりアカウントを管理するサービスの会員のうち、アカウントに不正なアクセスを受けた被害会員に関する会員情報を取得する、会員情報取得部と、
前記会員情報の統計的な偏りを分析する分析部と、
前記分析の結果に基づいて、前記サービスが管理するアカウントごとに前記不正なアクセスに対する対策を選択する、対策選択部と
を備える情報処理装置。
前記会員情報の統計的な偏りを分析する分析部と、
前記分析の結果に基づいて、前記サービスが管理するアカウントごとに前記不正なアクセスに対する対策を選択する、対策選択部と
を備える情報処理装置。
【請求項2】
前記分析部は、前記会員情報に含まれる項目について被害会員数の偏差値を算出することにより、前記会員情報の統計的な偏りを分析し、
前記対策選択部は、前記偏差値と前記パスワード認証の危険度との対応関係に基づき、前記会員情報の統計的な偏りに対応する危険度を決定し、前記危険度に応じた対策を選択する、
請求項1に記載の情報処理装置。
前記対策選択部は、前記偏差値と前記パスワード認証の危険度との対応関係に基づき、前記会員情報の統計的な偏りに対応する危険度を決定し、前記危険度に応じた対策を選択する、
請求項1に記載の情報処理装置。
【請求項3】
前記分析部は、前記会員情報に含まれる少なくとも2つの項目の各々について前記会員情報の統計的な偏りを分析し、
前記対策選択部は、前記少なくとも2つの項目の各々について前記会員情報の統計的な偏りに対応する危険度を組み合わせることによって前記対策を選択する、
請求項2に記載の情報処理装置。
前記対策選択部は、前記少なくとも2つの項目の各々について前記会員情報の統計的な偏りに対応する危険度を組み合わせることによって前記対策を選択する、
請求項2に記載の情報処理装置。
【請求項4】
前記対策選択部は、前記会員情報の統計的な偏りおよび前記被害会員に関する経済的価値に基づいて前記対策を選択する、
請求項2または3に記載の情報処理装置。
請求項2または3に記載の情報処理装置。
【請求項5】
前記対策選択部は、前記サービスが管理するアカウントの少なくとも一部について、当該アカウントに係るサービスの全部もしくは一部の停止、当該アカウントに係るパスワード認証の停止、または当該アカウントのパスワード認証の危険度を表す情報の通知のうちの少なくとも1つを前記対策として選択する、
請求項1乃至4のいずれか一項に記載の情報処理装置。
請求項1乃至4のいずれか一項に記載の情報処理装置。
【請求項6】
パスワード認証によりアカウントを管理するサービスの会員のうち、アカウントに不正なアクセスを受けた被害会員に関する会員情報を取得する過程と、
前記会員情報の統計的な偏りを分析する過程と、
前記分析の結果に基づいて、前記サービスが管理するアカウントごとに前記不正なアクセスに対する対策を選択する過程と
を備える情報処理方法。
前記会員情報の統計的な偏りを分析する過程と、
前記分析の結果に基づいて、前記サービスが管理するアカウントごとに前記不正なアクセスに対する対策を選択する過程と
を備える情報処理方法。
【請求項7】
請求項1乃至5のいずれか一項に記載の装置の各部による処理をコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、情報処理装置、情報処理方法およびプログラムに関する。
【背景技術】
【0002】
通信技術の発展に伴い、インターネットバンキングやオンラインショッピングをはじめとするオンラインサービスが広く普及している。一般に、各ユーザは、ユーザIDなどとも呼ばれるアカウント識別情報と、認証用のパスワードを入力することによって、システムにログインし、サービスの提供を受けることができる。
【0003】
このようなオンラインサービスの普及に伴い、ユーザIDとパスワードの組合せによりアクセス制御機能が付されているサービス等に対し、利用権限がない第三者が不正に利用できる状態にする行為が問題となっている。ここでは、このような行為全般を「不正アクセス」または「不正ログイン」と呼ぶ。不正アクセスが発生すると、個人情報が盗まれたり、現金やポイントが不正利用されたりするおそれがある。
【0004】
このような不正アクセスを検知するため、いわゆるリスクベースの認証を行うことが知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2020-57439号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
一般に、不正アクセスが検知された場合、不正アクセスの対象となったアカウントのサービスを停止させるなどの対策がとられる。しかし、管理下にある他のアカウントに対しては、例えば、全サービスを停止させる、パスワード変更を要求する通知をするなど、一律な対策しかとられていなかった。頻繁なサービス停止は、ユーザ(以下、「会員」とも言う。)の不満の原因となりかねない。また、頻繁なパスワード変更は、ユーザにとって煩雑であるばかりか、パスワードの管理が困難となり、複数のサービス間でのパスワードの使い回しが助長され、かえってセキュリティの低下をまねくおそれもある。
【0007】
この発明は上記事情に着目してなされたもので、その目的とするところは、不正アクセスに対する対策をより適切に選択可能にする技術を提供することにある。
【課題を解決するための手段】
【0008】
上記課題を解決するために、この発明の一態様では、パスワード認証によりアカウントを管理するサービスの会員のうち、アカウントに不正なアクセスを受けた被害会員に関する会員情報を取得する情報取得部と、上記会員情報の統計的な偏りを分析する分析部と、上記分析の結果に基づいて上記サービスが管理するアカウントごとに上記不正なアクセスに対する対策を選択する対策選択部と、を備える情報処理装置が提供される。
【発明の効果】
【0009】
この発明の一態様によれば、サービス会員のうち、実際に不正なアクセスを受けた被害会員の会員情報の統計的な偏りに基づいて、管理下にあるアカウントごとに対策が選択される。これにより、不正なアクセスが発生したときに、全アカウントに対して一律な対策をとるのではなく、不正アクセスの傾向を踏まえてアカウントごとに選択された、より適切な対策をとることができる。
【0010】
すなわち、この発明によれば、不正アクセスに対する対策をより適切に選択可能にする技術を提供することができる。
【図面の簡単な説明】
【0011】
【発明を実施するための形態】
【0012】
以下、図面を参照してこの発明に係る実施形態について説明する。なお、以降、説明済みの要素と同一または類似の要素には同一または類似の符号を付し、重複する説明については基本的に省略する。例えば、複数の同一または類似の要素が存在する場合に、各要素を区別せずに説明するために共通の符号を用いることがあるし、各要素を区別して説明するために当該共通の符号に加えて枝番号を用いることもある。
【0013】
[実施形態の概要]
この発明の実施形態に係る情報処理装置は、パスワード認証により会員のアカウントを管理するサービスとの間で情報をやり取りすることができる。当該情報処理装置は、不正なアクセスを受けた会員がいる場合に、当該会員に関する会員情報を収集し、会員情報をもとに統計的な偏りについて分析し、分析結果に基づいて不正なアクセスに対する対策を選択する。
この発明の実施形態に係る情報処理装置は、パスワード認証により会員のアカウントを管理するサービスとの間で情報をやり取りすることができる。当該情報処理装置は、不正なアクセスを受けた会員がいる場合に、当該会員に関する会員情報を収集し、会員情報をもとに統計的な偏りについて分析し、分析結果に基づいて不正なアクセスに対する対策を選択する。
【0014】
ここで、情報処理装置が収集する会員情報には、不正なアクセスを受けた会員に関するあらゆる情報が含まれ得る。例えば、会員情報には、当該会員の個人情報、アカウントに紐づけられる情報、ネットワーク上のサービスに係る活動履歴などが含まれる。個人情報には、例えば、氏名、住所、性別、年齢、電話番号、メールアドレス、職業、年収、家族構成、嗜好等が含まれる。アカウントに紐づけられる情報には、例えば、当該アカウントの作成日時、アカウント作成日時からの経過時間、アカウント作成のために経由したWebサイトの情報、ログイン履歴、パスワード変更履歴などが含まれる。ネットワーク上のサービスに係る活動履歴には、例えば、ソーシャルネットワーキングサービス(SNS)の利用履歴、SNS上の投稿履歴、特定のWebサイトの閲覧履歴、クレジットカードの利用履歴、オンラインショッピングに係る購買履歴や決済情報、銀行口座や電子マネー口座の残高や入出金履歴、ポイント口座の残高や交換履歴、保険加入や証券取引の実績など、任意のサービスの活動履歴が含まれる。
【0015】
以下では、一例として、パスワード認証により会員のアカウントを管理するサービスとしてポイントサービスを想定し、実施形態に係る情報処理装置が、ポイントサービスを提供するサーバから上記の会員情報を収集するものとして説明する。ただし、これは一例にすぎず、実施形態に係る情報処理装置は、他の多種多様な情報収集元から収集される会員情報に基づいて同様の処理が可能であることに留意されたい。例えば、情報処理装置は、不正なアクセスを受けた会員本人に対して会員情報の入力を要求することによって、会員情報を収集することができる。情報処理装置はまた、会員本人がSNS上で公開している情報を収集することもできる。あるいは情報処理装置は、会員本人の許可を得て、金融機関やクレジットカード会社のサーバから預貯金や購買履歴に関する情報を収集することもできる。情報処理装置は、情報AはサーバXから、情報BはサーバYから、というように、複数の情報収集元から会員情報を収集し、統合して、後続の処理に用いてもよい。
【0016】
[一実施形態]
(1)構成
(1-1)システム
図1は、この発明の一実施形態に係る情報処理装置10を備えたシステム1の全体構成の一例を示す図である。
情報処理装置10は、インターネットなどのネットワークNWを介して、ポイント管理サーバ20、サービスAサーバ50A,サービスBサーバ50B,・・・(以後、まとめて「サービス提供サーバ50」とも言う)、およびユーザによって使用されるユーザ端末UT1,...,UTi(以後、まとめて「ユーザ端末UT」とも言う)との間で通信可能である。
(1)構成
(1-1)システム
図1は、この発明の一実施形態に係る情報処理装置10を備えたシステム1の全体構成の一例を示す図である。
情報処理装置10は、インターネットなどのネットワークNWを介して、ポイント管理サーバ20、サービスAサーバ50A,サービスBサーバ50B,・・・(以後、まとめて「サービス提供サーバ50」とも言う)、およびユーザによって使用されるユーザ端末UT1,...,UTi(以後、まとめて「ユーザ端末UT」とも言う)との間で通信可能である。
【0017】
ポイント管理サーバ20は、情報処理装置10の会員情報収集元の一例であり、ポイントサービスを提供する事業者によって管理されるサーバコンピュータである。ポイントサービスは、例えば、会員登録をしたユーザ(以下、単に「会員」とも言う)が、商品または役務(以下、「商品等」と言う)を購入した際にその購入金額に応じて、あるいは店舗への来店回数等に応じて、企業側が定めた条件でユーザに対しポイントを付与し、たまったポイントを次回以降の来店時に商品等と交換したり、商品等の購入時に代金として使用できるようにするサービスである。ポイント管理サーバ20は、会員ごとに、付与されたポイント、使用されたポイント、およびポイント残高等のポイントデータを管理する。さらにここでは、ポイント管理サーバ20が複数のサービス間で共通して使用される共通ポイントのサービスを提供するものとして説明するが、これに限定されるものではなく、店舗や企業単位で使用される個別、ないしは独自ポイントを管理するものでもよい。
【0018】
サービス提供サーバ50は、ポイント管理サーバ20によって提供されるポイントサービスに加盟する、提携サービスを提供する事業者のサーバである。サービス提供サーバ50は、オンラインショッピングやインターネットバンキングなど、Webサービスを提供するサーバであってもよいし、コンビニエンスストアやガソリンスタンドなど、実店舗での売上げを管理するサーバであってもよい。例えばオンラインショッピングサイトを提供するサーバである場合、サービス提供サーバ50は、当該サイトを介してユーザが商品等の購入をすると、その購入金額に応じた付与ポイント数を算出し、算出した付与ポイント数をユーザまたはそのポイント口座の識別情報とともにポイント管理サーバ20に通知する。あるいは、サービス提供サーバ50の管理下にある店舗でユーザが商品等の購入をする場合、例えば店舗に設置されたPOS端末が、購入金額に応じたポイントを算出し、ユーザが提示したポイントカードまたはその機能を有する携帯端末に対してポイント付与処理を行う。そして、サービス提供サーバ50が、POS端末から決済情報とともにポイント処理情報を受け取り、やはりポイント管理サーバ20に通知する。
【0019】
ユーザ端末UTは、ユーザによって使用されるスマートフォン、タブレット端末、ノート型またはデスクトップ型のパーソナルコンピュータなど、ネットワークNWに接続可能な任意の情報処理端末である。ポイントサービスの会員は、ユーザ端末UTを用いて、例えばポイント管理サーバ20が提供するWebサイトや専用のアプリケーションプログラム(以下、「アプリケーション」とも言う)から直接、またはサービス提供サーバ50が提供するWebサイトや専用のアプリケーションを介して、自身のポイント口座にアクセスし、残高を確認したり、ポイントの使用/交換処理等を行うことができる。
【0020】
ここで、各会員がポイント口座にアクセスするに際して、IDとパスワードの組合せを用いたパスワード認証が用いられる。例えば、各会員は、ユーザ端末UTを介してポイント管理サーバ20が提供するWebサイトにアクセスし、ポイント口座に係るIDとパスワードを含む認証リクエストを図示しない認証サーバへ送信した結果、認証に成功することによって、ポイント口座にアクセスすることができる。あるいは、各会員は、まずサービス提供サーバ50が提供するWebサイト(例えば、オンラインショッピング用のアカウント)にアクセスするために第1のIDと第1のパスワードの組合せを用いた第1の認証に成功し、その後さらに当該Webサイトを介してポイント口座にアクセスするための第2のIDと第2のパスワードの組合せを用いた第2の認証に成功することによって、サービス提供サーバ50が提供するWebサイトでポイントを使用できるようになる。あるいは、ポイント管理サーバ20とサービス提供サーバ50が会員の便宜のために認証連携を利用することも可能である。ここでは、認証連携とは、一度の認証処理によってユーザが複数のサービスにアクセスできるようにする仕組みをいう。認証連携が利用される場合、例えば会員は、サービス提供サーバ50が提供するWebサイト上で自身のアカウントにログインすることによって、ポイント管理サーバ20が管理するポイント口座にもシームレスにアクセスすることができる。しかし、認証連携が使用される場合、万一不正アクセスが発生した場合に、連携サービス間で多重の被害が発生するおそれがある。
【0021】
情報処理装置10は、その管理下のアカウントに対して不正アクセスが発生した場合に、アカウントごとに適切な対策を選択する処理を行うもので、サーバコンピュータまたはパーソナルコンピュータにより構成される。情報処理装置10は、ポイント管理サーバ20と連携して動作することができる。以下では、情報処理装置10が、ポイント管理サーバ20と連携して動作するように構成され、ポイント管理サーバ20によって提供されるポイントサービスのアカウントを管理するものとして説明するが、これに限られない。なお、上述したパスワード認証処理は、図示しない認証サーバによって実行されてもよいし、情報処理装置10によって実行されてもよいし、ポイント管理サーバ20によって実行されてもよい。
【0022】
(1-2)情報処理装置
(1-2-1)機能構成
図2は、一実施形態に係る情報処理装置10の機能構成の一例を示すブロック図である。
情報処理装置10は、被害者データ取得部11と、分析部12と、対策選択部13と、被害者データ記憶部14と、グレード情報記憶部15と、対策方針記憶部16とを備えている。
(1-2-1)機能構成
図2は、一実施形態に係る情報処理装置10の機能構成の一例を示すブロック図である。
情報処理装置10は、被害者データ取得部11と、分析部12と、対策選択部13と、被害者データ記憶部14と、グレード情報記憶部15と、対策方針記憶部16とを備えている。
【0023】
被害者データ取得部11は、情報取得部として、ポイント管理サーバ20またはそのデータベース(図示せず)から、ポイント管理サーバ20の管理下にある会員のうち、アカウントに不正なアクセスを受けた会員に関する会員情報(以下、「被害者データ」とも言う)を取得し、被害者データ記憶部14に記憶させる。なお、ここでは「被害者」または「被害会員」という用語は、単に不正アクセスを受けたアカウントの会員を指すために使用され、実際に金銭的被害が発生しているか否かは問わない。
【0024】
分析部12は、被害者データ記憶部14に記憶された被害者データを一定量ずつ読み出し、当該被害者データの統計的な偏りを分析する。一実施形態では、分析部12は、被害者データに含まれる項目の種別ごとに被害会員数を集計し、集計結果をもとに統計量を算出することによって、上記統計的な偏りを分析する。ここでは「統計量」とは、対象とするデータ(例えば被害者データ)を、統計学的なアルゴリズムによって要約した値全般を指す。以下では、統計量の一例として、一定期間に発生した不正アクセスの被害会員数を母集団として算出される項目の種別ごとの偏差値を用いて説明する。算出方法の具体例については後述する。なお、これに限られるものではなく、例えば、平均値、中央値、最大値、最小値など、他の統計量を用いて、被害者データの偏りを算出してもよい。
【0025】
対策選択部13は、分析部12による分析の結果に基づいて、ポイント管理サーバ20の管理下にある会員のアカウントごとに不正アクセスに対する対策を選択する。対策選択部13は、選択の結果を任意の出力先(例えば、ポイント管理サーバ20、サービス提供サーバ50、ユーザ端末UTなど)に出力することができる。対策選択部13はまた、被害者データを時系列的に分析することにより、選択した対策の有効性(その対策が実行された結果、不正アクセスが減少したかどうかなど)を評価して、その後の対策選択に用いることもできる。
【0026】
被害者データ記憶部14は、被害者データ取得部11によって取得された被害者データを記憶する。
【0027】
グレード情報記憶部15は、上記被害者データの統計的な偏りを表す統計量(一例として種別の偏差値)と、パスワード認証の危険度との関係について指定する対応表を記憶する。
【0028】
対策方針記憶部16は、パスワード認証の危険度に応じた対策について指定する対応表を記憶する。
【0029】
(1-2-2)ハードウェア構成
図3は、情報処理装置10のハードウェア構成の一例を示すブロック図である。
情報処理装置10は、CPU(Central Processing Unit)101、RAM(Random Access Memory)102、ROM(Read Only Memory)103、補助記憶装置104、入力装置105、出力装置106、および通信インタフェース(I/F)107を備える。
図3は、情報処理装置10のハードウェア構成の一例を示すブロック図である。
情報処理装置10は、CPU(Central Processing Unit)101、RAM(Random Access Memory)102、ROM(Read Only Memory)103、補助記憶装置104、入力装置105、出力装置106、および通信インタフェース(I/F)107を備える。
【0030】
情報処理装置10の上述した被害者データ取得部11、分析部12、および対策選択部13の処理機能は、CPU101がROM103または補助記憶装置104に記憶されたプログラムをRAM102に展開し、このプログラムを実行することにより実現される。CPU101は、情報処理装置10の全体的な動作を制御するハードウェアプロセッサの一例である。ハードウェアプロセッサは、CPU101などの汎用プロセッサに限らず、ASIC(Application Specific Integrated Circuit)またはFPGA(Field-Programmable Gate Array)などの専用プロセッサであってもよい。またCPU101は、単一のCPU等であってもよいし、複数のCPU等であってもよい。
【0031】
補助記憶装置104は、データを不揮発的に記憶するコンピュータ読み取り可能な記憶媒体を備えたものであり、例えば、HDD(Hard Disk Drive)又はSDD(Solid State Drive)であり得る。補助記憶装置104は、上述した被害者データ記憶部14、グレード情報記憶部15、および対策方針記憶部16を含む記憶部として機能し得る。
【0032】
入力装置105は、例えば、キーボードおよびマウスを備える。出力装置106は、表示装置を備える。入力装置105と出力装置106は、例えば、液晶パネル等の表示デバイスとタッチパッド等の入力デバイスとを組み合わせた、一体型のタッチパネル型装置であってもよい。
【0033】
通信インタフェース107は、外部装置と通信するためのインタフェースである。通信インタフェース107は、例えば、LAN(Local Area Network)ポートを備え、例えばLANケーブルを用いてネットワークNWに接続され、ネットワークNWを介して外部装置との間でデータを送受信する。通信インタフェース107は、無線LANモジュールまたはBluetooth(登録商標)モジュールなどの無線モジュールを備えてもよい。
【0034】
情報処理装置10の具体的なハードウェア構成に関して、実施形態に応じて、適宜、構成要素の省略、置換及び追加が可能である。
【0035】
従来のシステムでは、オンラインサービスに対する不正アクセス(不正ログイン)など、悪意のある第三者攻撃(行為)を検知した際に、その利用登録者とその情報の保護のための第一次保護方式としてIDとパスワードを採用している場合に、
1)攻撃者の意図・ターゲットを確率論から論理的・客観的に類推・判定する方法がない、
2)それゆえ、利用者保護の見地からパスワードの変更による自衛を一律で求める必要がある、という課題があった。
1)攻撃者の意図・ターゲットを確率論から論理的・客観的に類推・判定する方法がない、
2)それゆえ、利用者保護の見地からパスワードの変更による自衛を一律で求める必要がある、という課題があった。
【0036】
そのため、攻撃者から見て本来の攻撃対象ではなかった利用者にまでパスワード変更を求めることとなり、
(a)利用者が覚えなくてはならないパスワードが(不必要に)増加していく、または
(b)新しく設定するパスワードの構造(つくり)が複雑多岐にわたり、どのサービスの利用のためのどのIDのパスワードをどのような構造(つくり)でパスワードを作成したのか判らなくなって、利用者本人もサービスを利用できなくなることが容易に想定され、あるいは
(c)上記2つの問題を避けるために、パスワードの使いまわしを行うことで、別の機会に別のサービスにおいて攻撃者がなりすまし侵入を成功させられる可能性(別途のまたは将来のリスク)を引き上げてしまうことになる。
(a)利用者が覚えなくてはならないパスワードが(不必要に)増加していく、または
(b)新しく設定するパスワードの構造(つくり)が複雑多岐にわたり、どのサービスの利用のためのどのIDのパスワードをどのような構造(つくり)でパスワードを作成したのか判らなくなって、利用者本人もサービスを利用できなくなることが容易に想定され、あるいは
(c)上記2つの問題を避けるために、パスワードの使いまわしを行うことで、別の機会に別のサービスにおいて攻撃者がなりすまし侵入を成功させられる可能性(別途のまたは将来のリスク)を引き上げてしまうことになる。
【0037】
そのため、例えば以下のような点に着目する方式が必要である。
(1)全員一律などといった無用なパスワードの変更を広範囲で求めることなく、必要最小限の利用者に対してのみ変更を求め、
(2)リスクの低いIDのパスワードは無暗に変更しないことで却って安全性を維持させ、
(3)パスワードの変更に当たっては、安全性(強度)の高い構造(つくり)に関するアドバイス(支援)を行って利用者個々の考案負担と忘却・混乱リスクを軽減し、
(4)攻撃者の意図・狙いや対象者としてのリスク(危険度)特性に応じた多段的な対処を行い(例えば、最高で全員に対するサービス停止、最低でサービスサイトトップページ(ログイン画面)での注意喚起、など)、
(5)攻撃者の攻撃手法・対象が、当方の防御対応に応じて変移・変遷していってもこれを把握・追随することで
(6)「サービスとその利用者」全体の最も効果的な(耐攻撃強度の高い)安全性確立を図っていく。
(1)全員一律などといった無用なパスワードの変更を広範囲で求めることなく、必要最小限の利用者に対してのみ変更を求め、
(2)リスクの低いIDのパスワードは無暗に変更しないことで却って安全性を維持させ、
(3)パスワードの変更に当たっては、安全性(強度)の高い構造(つくり)に関するアドバイス(支援)を行って利用者個々の考案負担と忘却・混乱リスクを軽減し、
(4)攻撃者の意図・狙いや対象者としてのリスク(危険度)特性に応じた多段的な対処を行い(例えば、最高で全員に対するサービス停止、最低でサービスサイトトップページ(ログイン画面)での注意喚起、など)、
(5)攻撃者の攻撃手法・対象が、当方の防御対応に応じて変移・変遷していってもこれを把握・追随することで
(6)「サービスとその利用者」全体の最も効果的な(耐攻撃強度の高い)安全性確立を図っていく。
【0038】
上記実施形態に係る情報処理装置10は、不正アクセスが検知されたときに、不正アクセスを受けたアカウントに係る被害会員の会員情報の統計的な偏りを分析し、その分析の結果に基づいて、管理下のアカウントごとに適切な対策を選択する。これにより、全アカウントに対して一律の対策ではなく、実際の不正アクセスの傾向を踏まえた適切な対策をアカウントごとに選択することができ、サービスとその利用者全体にとって、より効果的な安全性の確立を図ることができる。
【0039】
(2)動作
次に、以上のように構成された情報処理装置10による動作について説明する。
以下では、情報処理装置10による動作を、第1段階、第2段階、および第3段階に分けて説明するが、後述するようにこれらは必ずしも同じ時間軸上で順番に実行される必要はなく、被害の状況等に応じて、同時並行して、順序を入れ替えて、または組み合わせて実行されてよい。
次に、以上のように構成された情報処理装置10による動作について説明する。
以下では、情報処理装置10による動作を、第1段階、第2段階、および第3段階に分けて説明するが、後述するようにこれらは必ずしも同じ時間軸上で順番に実行される必要はなく、被害の状況等に応じて、同時並行して、順序を入れ替えて、または組み合わせて実行されてよい。
【0040】
また、以下では、ポイント管理サーバ20においてポイントサービス会員のアカウントに対する不正アクセスが何らかの方法により検知され、その旨がポイント管理サーバ20から情報処理装置10に通知されたことを前提として説明する。不正アクセスの検知は、例えば、上述したようなリスクベースの認証システムからアラートが発せられたことに基づいてもよいし、会員本人から身の覚えのないログイン履歴またはポイント消費が存在する旨の報告があったことや、サービス提供サーバ50からサイバー攻撃を受けた旨の連絡があったことなどに基づいてもよい。
【0041】
【0042】
まずステップS101において、情報処理装置10は、被害者データ取得部11により、不正アクセスを受けたアカウントに係る会員の会員情報(被害者データ)を取得し、被害者データ記憶部14に記憶させる。被害者データ取得部11は、不正アクセスが発生するたびにポイント管理サーバ20から送信される被害者データを受信してもよいし、定期的(例えば、1時間ごと、1日ごと)にポイント管理サーバ20から被害者データを受信してもよい。または同様に、被害者データ取得部11が、任意のタイミングでポイント管理サーバ20のデータベースから被害者データを読み出すようにしてもよい。
【0043】
図5は、被害者データ記憶部14に記憶される被害者データの一例を示す。なお、上述したように、ここでは単なる一実施形態として、ポイント管理サーバ20が共通ポイントサービスを提供し、ポイント管理サーバ20とサービス提供サーバ50が認証連携を利用するものとして説明する。図5の被害者データは、不正アクセスの被害に係る、発生時刻、会員ID、登録経路、登録メールドメイン、保有ポイント数、構造化パスワード(構造PASS)更新回数、ID登録日等を含み得る。
【0044】
発生時刻は、年月日(YYYY/MM/DD)、時分秒(hh:mm:ss)などの情報を含み、例えば不正なログインが発生した時刻であってもよいし、会員から被害報告を受けた時刻であってもよい。
【0045】
会員IDは、会員(アカウント)ごとに付与される識別情報であり、ここでは仮に3桁の記号が付されているが、任意の桁数および任意の文字列で管理されてよい。なお、会員IDと、パスワード認証に用いられるIDは同じものであってもよいし、異なるものであってもよい。
【0046】
登録経路は、共通ポイントサービスを利用するための会員登録にあたり、ユーザがどのサービスを経由したかを示す。例えば、ユーザは、ポイント管理サーバ20が提供するWebサイトを介して会員登録することもできるし、サービス提供サーバ50が提供するWebサイトを介して登録することもできる。あるいはユーザは、実店舗等に設置された申込用紙を介して店員等の代行者に入力を依頼することによって、または実店舗に設置された端末を介して自身で情報を入力することによって、いずれかのサーバに会員登録を要求することもできる。登録経路の知識は、例えば、どの経路から登録された情報が漏洩したか、またはどのレベルで攻撃が発生したか(例えば、下位の店舗サーバが攻撃の対象になったのか、より上位の管理サーバが攻撃の対象になったのか、など)を推測するのに役立ち得る。
【0047】
登録メールドメインは、会員が共通ポイントサービスに係る連絡先として指定したメールアドレスのドメイン情報である。登録メールドメインの知識は、当該ドメインを管理するサーバレベルでの対策の要否を判断するのに役立ち得る。
【0048】
保有ポイント数は、各会員が保有するポイントの残高である。ポイントは経済的価値を有するから、保有ポイント数が高い会員のアカウントが不正アクセスを受けた場合、会員個人はもちろん、ポイントサービスの提供事業者や提携事業者にとっても大きな損害になりかねない。また、保有ポイント数が高い会員は、不正アクセスのターゲットとなる確率が高くなることも考えられる。したがって、保有ポイント数は、起こりうる経済的損害の指標となり得る。
【0049】
構造化パスワード(構造PASS)更新回数は、セキュリティ向上の目的でパスワードを構造化して管理するシステム(図示せず)(以下、「構造化パスワード管理システム」とも言う)に関わるパラメータである。構造PASS更新回数とは、会員本人が設定したパスワードに対し、システム側が何らかの文字列の追加または削除を指定することにより、会員本人とシステム側との合作パスワードとしてパスワードが更新された回数を指す。すなわち、何らかの理由で会員に対してパスワード変更を要求する際に、会員まかせにするのではなく、システム側から安全性(パスワード強度)の高い構造に関するアドバイスを行う。これにより、新しいパスワードの考案に係る各会員の負担を軽減するとともに、会員全体のセキュリティレベルの向上を図る。
【0050】
ここで、構造PASS更新回数が「0回」とは、当該会員のパスワードが、会員本人が設定したパスワードのままであることを意味する。仮にパスワードが定期的に変更されていても、上記のようなシステムとの合作でなければ更新回数は「0回」と記録される。例えば、会員が当初設定したパスワードが「PASSWORD」であり、システム側が「“末尾”に“3桁”の文字列“123”を“追加”せよ」との指定を行い、会員がこれに従って新たなパスワード「PASSWORD123」を登録すると、更新回数は「1回」になる。さらにシステム側が(例えば一定期間経過後に)「“語頭”から“2桁”の文字列を“削除”せよ」との指定を行い、会員がこれに従って新たなパスワード「SSWORD123」を登録すると、更新回数は「2回」になる。一方、会員がシステムの指示に応じず、自ら選択したパスワードを登録した場合、更新回数は0回のままか、または0回にリセットされる。構造PASS更新回数は、「0回」であるか「1回以上」であるかに応じて、上記システムを利用した会員であるか利用しなかった会員であるかを判別することができ、例えば情報漏洩の経路や攻撃手法(例えばリスト攻撃であるのかブルートフォース攻撃であるのか)を推測するのに役立ち得る。あるいは、最新の構造PASS更新回数だけでなく、その更新履歴を時系列データとして収集することも考えられる。例えば、一定期間にわたって更新回数が「1回」のままであれば、上記システム利用の効果が現れていると推測される。他方、「2回以上」の場合、何度も攻撃を受けているので、当該会員またはその登録ルートが攻撃ターゲットになっていると推測される。「0回」と「1回」を繰り返している場合、システムの指示に従わず自らパスワードを決めて(これにより「0回」となる)、それが攻撃を受けたためシステムの指示に従って変更し(これにより「1回」となる)、その後どうなったか(例えば、「2回」になったか、それが以外か)など、パターンごとに時系列データを集計することによって、上記の構造化パスワード管理システムの効果を考慮した対策を選択することができる。
【0051】
上記のような構造化パスワード管理システムが利用される場合、パスワード更新を会員のみに委ねるリスクを軽減しつつ、システムと会員が共同で実施する作業をとることにより、多様性と安全性の向上を同時に図ることができる。また、構造PASS回数を統計的偏りの分析において考慮することによって、会員の性格や行動パターンまでも考慮した対策を選択することができる。ただし、上記のような構造化パスワード管理システムの使用は任意であり、構造化パスワード管理システムが利用されない場合には構造PASS更新回数は被害者データに含まれなくてもよい。
【0052】
ID登録日は、会員登録をした日を表す。年月日に限らず、時分秒の情報まで含んでもよい。ID登録日の知識は、情報漏洩の経路や攻撃対象を推測するのに役立ち得る。
【0053】
上述したように、図5に示した被害者データは単なる一例にすぎない。被害者データは、より多くの情報を含むものでもよいし、より少ない情報を含むものでもよい。被害者データは、上述した以外の個人情報やネットワーク上の活動履歴情報を含むことができる。また上述したように、情報処理装置10は、被害者に関する情報を任意の情報収集元から収集することができる。
【0054】
続いてステップS102において、分析部12が、被害者データ記憶部14から被害者データを読み出し、被害者データの統計的な偏りについて分析を行う。より具体的には、分析部12は、あらかじめ指定された期間または量の被害者データを読み出し、読み出した被害者データに含まれる項目(例えば、発生時刻、会員ID、登録経路、登録メールドメイン、保有ポイント数、構造PASS更新回数、ID登録日など)の種別ごとに被害会員数を集計し、その統計量を算出する処理を行う。
【0055】
【0056】
図6は、第1の例として、登録経路に関する、種別に応じた被害者データの統計的な偏りの分析処理の結果の一例である。ここでは、統計的な偏りを表す統計量として、種別の被害会員数をもとに偏差値が算出される。またここでは、登録経路としてサービスA~Fの6種別があらかじめ指定される。種別の数は6種別に限られない。サービスA~Fには、共通ポイントサービス自体(例えば、ポイント管理サーバ20によって提供されるサービス)と、その提携サービス(例えば、サービス提供サーバ50によって提供されるサービス)が含まれ得る。
【0057】
分析部21はまず、読み出した被害者データの集合から、第1の評価対象群として、直近4日間(ここでは10月28日~10月31日)に係る被害者データ(「合計」)を抽出し、種別ごとに被害会員数(「件数」)を集計する。図6では、サービスAが186件、サービスBが126件、サービスCが51件、サービスDが30件、サービスEが10件、サービスFが0件、合計403件と集計された。
【0058】
次に、分析部21は、上記の合計403件を母集団として、以下の式により種別ごとに偏差値を算出する。
式中、Tiは種別iの偏差値、xiは種別iの件数の値を表し(ここでは、i=サービスA,サービスB,サービスC,サービスD,サービスE,サービスF)、μは母集団の平均値であり、次式で表され、
ここでNは種別iの個数(ここではN=6)であり、σは母集団の標準偏差であり、次式で表される。
【数1】
【数2】
【数3】
【0059】
図6の例では、分析部21は、第1の評価対象群(「合計」)に関する平均値μ1および標準偏差σ1を以下のように算出した。
μ1=(186+126+51+30+10+0)/6≒67.17
σ1=[{(186-67.17)2+(126-67.17)2+(51-67.17)2+(30-67.17)2+(10-67.17)2+(0-67.17)2}/6]^(1/2)≒67.09
μ1=(186+126+51+30+10+0)/6≒67.17
σ1=[{(186-67.17)2+(126-67.17)2+(51-67.17)2+(30-67.17)2+(10-67.17)2+(0-67.17)2}/6]^(1/2)≒67.09
【0060】
続いて分析部21は、上記のように算出された平均値μ1および標準偏差σ1を用いてサービスA~Fの偏差値をそれぞれ算出する。例えば、第1の評価対象群において、サービスAに関する偏差値T1A、サービスBに関する偏差値T1B、サービスCに関する偏差値T1C、サービスDに関する偏差値T1D、サービスEに関する偏差値T1E、サービスFに関する偏差値T1Fは、それぞれ以下のように算出された。図6では、評価対象群ごとに最高の偏差値が強調表示されている。
T1A={(186-67.17)/67.09}×10+50≒67.71
T1B={(126-67.17)/67.09}×10+50≒58.77
T1C={(51-67.17)/67.09}×10+50≒47.59
T1D={(30-67.17)/67.09}×10+50≒44.46
T1E={(10-67.17)/67.09}×10+50≒41.48
T1F={(0-67.17)/67.09}×10+50≒39.99
T1A={(186-67.17)/67.09}×10+50≒67.71
T1B={(126-67.17)/67.09}×10+50≒58.77
T1C={(51-67.17)/67.09}×10+50≒47.59
T1D={(30-67.17)/67.09}×10+50≒44.46
T1E={(10-67.17)/67.09}×10+50≒41.48
T1F={(0-67.17)/67.09}×10+50≒39.99
【0061】
分析部21はまた、直近4日間のデータのうち、日ごとの被害者データについても、それぞれ第2~第5の評価対象群として、上記と同様に各日の被害会員数(件数)の合計値を母集団として、平均値、標準偏差、および偏差値を算出する。例えば、10月28日には、合計3件の被害報告があり、平均値は「0.50」、標準偏差は「0.50」で、サービスA~Fそれぞれの偏差値は「60.00」、「60.00」、「60.00」、「40.00」、「40.00」、「40.00」と算出された。同様に、10月29日には合計100件の被害報告があり、サービスBについて最も高い偏差値「71.08」が得られた。10月30日および10月31日には、偏差値が最も高いのはサービスAであった。
【0062】
以上のように得られた結果のどの観点に着目すべきかは、情報処理装置10の管理者等によってあらかじめ指定され得る。例えば、日ごとの偏差値が最大となった登録経路に着目し、日々、その登録経路に係るアカウントに対して対策を講じるようにしてもよい。この場合、図6では、10月28日にはサービスA~Cに、10月29日にはサービスBに、10月30日にはサービスAに、10月31日にはサービスAに着目することになる。同様に、4日間の合計で偏差値が最大となった登録経路に着目し、対策を講じてもよい。図6の例ではサービスAに着目し、対策を講じることになる。また、日ごとの集計結果と合計の集計結果を組み合わせて判断してもよい。このような判断は、あらかじめ集計期間と偏差値範囲(例えば、4日間の集計で偏差値60を超える種別があるか否か、日ごとの集計で偏差値70を超える種別があるか否か、など)を設定することにより実現され得る。
【0063】
図7は、第2の例として、登録メールドメインに関する、種別に応じた被害者データの統計的な偏りの分析処理の結果の一例である。この例では、例えば4日間の合計に着目する場合、2段目の「bbb.ne.jp」が最高の偏差値「70.95」を示しているので、「bbb.ne.jp」のドメインを登録しているアカウントのリスクが高いと判断するように設定し得る。
【0064】
図8は、第3の例として、保有ポイント数に関する、種別に応じた被害者データの統計的な偏りの分析処理の結果の一例である。例えば4日間の合計に着目する場合、2段目の「10,001~30,000」が最高の偏差値「68.59」を示している。この場合、ポイント残高が「10,001~30,000」に該当するアカウントのリスクが高いと判断するように設定してもよいし、ポイント残高「150,001」以上の種別の偏差値が4日間を通して低いので経済的損害が低いと判断するように設定することも考えられる。
【0065】
図9は、第4の例として、構造PASS更新回数に関する、種別に応じた被害者データの統計的な偏りの分析処理の結果の一例である。上記のように、この項目は、ユーザとシステムの合作パスワードが用いられているか否かの指標である。この例では、「0回」の偏差値が有意に高いので、合作パスワードの安全性が高い(合作パスワード以外のパスワードの安全性が低い)と判断し得る。仮に、構造PASS更新回数が「1回」またはそれ以上の欄の偏差値が高い場合、構造化パスワード管理システム自体からの漏洩が疑われる。
【0066】
図10は、第5の例として、ID登録時期に関する、種別に応じた被害者データの統計的な偏りの分析処理の結果の一例である。4日間の合計に着目すると、「361日~720日以内」の偏差値が他よりも若干高いので、同じ登録時期に該当するアカウントのリスクが高いと判断するように設定することも考えられるし、サービス利用期間が長いほど漏洩リスクが高いと判断するように設定することも考えられる。
【0067】
なお、図6~図10に関して、直近4日間の合計または日ごとに集計する例を挙げて説明したが、これらは例示にすぎず、例えば1週間や1か月など、評価対象期間として他の任意の期間が設定されてよい。評価対象として、ポイント管理サーバ20の管理下で発生したすべての不正アクセスに係る被害者データ(過去の全期間のデータ)を用いるようにしてもよい。あるいは、直近の任意の期間から得られた統計量と、過去の全期間の被害者データから得られた統計量が組み合わせて使用されてもよい。
【0068】
ステップS103において、対策選択部13は、いずれかの項目に着目し、対策を選択する。例えば、図7の結果に着目する場合、対策選択部13は、偏差値が最高であった「bbb.ne.jp」と同じドメインを有するメールアドレスを登録した全アカウントに対し、あらかじめ指定された対策、例えば「ログイン時に注意喚起メッセージを表示」を選択する。どの項目に着目するかは、複数の項目について偏差値を算出し比較することによって判断してもよいし(例えば最大の偏差値が得られた種別を含む項目)、あらかじめ設定された優先度(例えば、登録経路、登録ドメイン、保有ポイント数、構造PASS更新回数、ID登録時期、の順に見ていく)を用いてもよい。
【0069】
以上のように、対策選択部13は、いずれかの項目に着目し、そのうち偏差値が最高の種別に対して対策を選択することができる。あるいは、対策選択部13は、偏差値に応じて当該種別の危険度を判定し、危険度に応じた対策を選択することもできる。以下、そのような方法の一例として、対策選択部13が対応表を用いて対策を選択する方法について説明する。
【0070】
図11は、対策選択部13により使用され得る、偏差値と危険度の対応を指定する対応表の一例を示す。図11によれば、偏差値が70を超える場合、危険度が最も高い「グレード1」と定義され、偏差値が45未満の場合、危険度が最も低い「グレード6」と定義される。このような対応表は、情報処理装置10の管理者等により任意に設定され、グレード情報記憶部15に記憶され得る。
【0071】
図12は、図11に示した対応表に基づいて対策選択部13により決定される危険度(グレード)の一例を示す。図12は、項目として登録メールドメインに着目したもので、図7とは異なる例を示している。分析部12により、6種類の登録メールドメイン種別に対し、それぞれ偏差値が算出された。そして、対策選択部13により上記対応表に基づいてそれぞれの危険度が決定された。例えば、登録メールドメインが「abc.co.jp」については、偏差値「64.00」であるので、図11の対応表により「グレード2」に該当する。その後、対策選択部13は、やはり対応表を用いてそれぞれの危険度に応じた対策を選択する。
【0072】
図13は、対策選択部13により使用され得る、危険度ととるべき対策の対応関係を指定する対応表の一例を示す。図13によれば、危険度が最も高い「グレード1」では、対象アカウントに対して「アカウント停止」が選択される。一方、危険度が最も低い「グレード6」では、特に対応をとらないという対策が選択される。このような対応表は、情報処理装置10の管理者等により任意に設定され、対策方針記憶部16に記憶され得る。
【0073】
対策選択部13は、図13の対応表に基づき、図12の例でいえば、登録メールドメイン「abc.co.jp」をもつアカウントに対して「グレード2=ログイン停止」を選択する。同様に、対策選択部13は、「def.com」をもつアカウントに対して「グレード1=アカウント停止」を選択し、「ghi.ne.jp」をもつアカウントに対して「グレード3=ポイント利用停止」を選択し、「jkl.co.jp」をもつアカウントに対して「グレード6=対応無し」を選択し、「mno.ne.jp」をもつアカウントに対して「グレード5=サイト警告」を選択し、それ以外のアカウントに対しては「グレード4=メール警告」を選択する。なお、図11と図13の対応表は一体的に設定・格納されてもよい。
【0074】
対策選択部13は、以上のような選択の結果を任意の出力先に出力することができる。例えば、対策選択部13は、上記のような選択の結果すべてをポイント管理サーバ20に送信し、ポイント管理サーバ20が、選択された対策を実際に実行するように構成してもよい。例えば、図12の例では、選択結果を受け取ったポイント管理サーバ20は、登録メールドメイン「abc.co.jp」をもつアカウントを抽出し、当該アカウントに対して「ログイン停止」の対策を実行する。ポイント管理サーバ20は、対策を実行するための必要に応じて、サービス提供サーバ50に対して適宜通知を行うこともできる。あるいは、対策選択部13が、選択された対策に応じて選択結果の出力先を変えるようにしてもよい。例えば、対策選択部13は、「ログイン停止」が選択されたアカウント情報についてはポイント管理サーバ20に送信し、「サイト警告」が選択されたアカウント情報についてはポイント管理サーバ20とサービス提供サーバ50の両方に送信するようにしてもよい。「メール警告」が選択された場合、対策選択部13が直接ユーザ端末UTにメッセージを送信するように構成されてもよい。あるいは、情報処理装置10が、対策選択部13により選択された対策を実行するように構成されてもよい。
【0075】
図12では、登録メールドメインに関して説明したが、対策選択部13は、登録メールドメイン以外の項目についても、以上と同様の危険度の判定および対策の選択を行うことができる。ただし、「構造化PASS更新回数」の項目については例外的に次のような判定を行ってもよい。上述したように、「更新回数=0回」は、構造化パスワード管理システムを利用しなかった会員のパスワードであることを意味する。よって、「0回」の偏差値が高い場合には、不正アクセスの原因が上記システムを使用していない提携サービスからの情報漏洩である可能性が高い。したがって、そのような提携サービスに対して注意、または攻撃や被害の有無調査を促すメッセージを送信するとともに、対策選択部13は、「0回」に該当する全アカウントに対して図13で指定される対策を選択することができる。これに対し、「1回以上」のいずれかの偏差値が高い場合、構造化パスワード管理システムからの情報漏洩のおそれがあるため異常事態として扱うこともできる。これは、図13に「グレード0」で示した状況に該当し、「グレード0」が発生したときには、対策選択部13は、特定のアカウントに限らずすべてのサービスを停止するという対策を選択することができる。
【0076】
以上のように、第1段階として、項目別の偏差値結果に基づき、「点」での対策をとることができる。第1段階は、「初期対応」として発生時の即時対応を行うための処理を想定している。第1段階で収束が見込めない場合、第2段階に進み得る。一例として、上記対策を実行した後に、当該項目の偏差値が下がれば収束とみなすことができる。例えば、偏差値の変化の推移が下向きであれば収束(または見守る段階)と判断し、水平や上向きであれば追加の対策が必要と判断することができる。
【0077】
(2-2)第2段階
第2段階では、選択した項目のうち偏差値の高いレベルの組合せの対象者を判定し、「面」での対策を行う。
図14は、そのような第2段階の動作の一例を示すフローチャートである。なお、図4と同様の処理については図4と同じ符号を付し、詳細な説明は省略する。
第2段階では、選択した項目のうち偏差値の高いレベルの組合せの対象者を判定し、「面」での対策を行う。
図14は、そのような第2段階の動作の一例を示すフローチャートである。なお、図4と同様の処理については図4と同じ符号を付し、詳細な説明は省略する。
【0078】
まずステップS101において、情報処理装置10は、被害者データ取得部11により、被害者データを取得し、被害者データ記憶部14に記憶させる。
【0079】
次いでステップS102において、分析部12により、被害者データ記憶部14から被害者データを読み出し、項目別に集計して、種別の偏差値を算出する。
【0080】
そして、ステップS203において、対策選択部13により、任意の複数の項目についてクロス集計を行い、対策を選択する。
【0081】
図15は、そのようなクロス集計の一例を示す図である。第1段階に関して説明したように、被害者データに含まれる項目ごとに種別の被害会員数を集計し、偏差値を算出する。そして、任意の2つ(3つ以上でもよい)の項目を選択する。図15の例では、項目として登録経路と登録メールドメインが選択され、グレードごとにクロス集計が行われる。図15の「対象者数」は、クロス集計の結果の一例であり、各項目の同じグレードの対象者数の合計値を表す。例えば、グレード1については、登録経路が「サービスX」のアカウント(対象者)の数と、メールドメインが「def.com」のアカウント(対象者)の数の和が「300,000」と計算される。対象者数は、被攻撃リスク範囲を表すことになる。
【0082】
第2段階では、対策選択部13は、上記対象者「300,000」に対してグレード1の対応、すなわち、アカウント停止という対策を選択し得る。あるいは対策選択部13は、上記で得られた対象者数をもとに再び偏差値を算出し、クロス集計後の偏差値に応じた対策を選択し得る。ここで、対策選択部13は、第2段階についても、危険度のグレードに応じた対策として上記図13の対応表に基づく対策を選択することができる。
【0083】
図16は、危険度ととるべき対策の対応表の他の例を示す図である。図16の対応表は、各グレードがさらに細分化され、対策内容の上下を選択可能とする。一例として、対策内容の上下は、対象者数の規模(影響範囲)に応じて選択され、上下判定は、しきい値を設けることによって自動的に判定され得る。あるいは図16の対応表は、不正アクセスの発生から日数が経過し、ある程度不正アクセスの傾向が見えてきた段階での評価に用いることが想定され得る。例えば、一定の監視サイクル(例えば3日ごとの平均)の偏差値推移が水平だった場合はそのまま、上昇したら一段階上、下降したら一段階下、などの対策を選択してもよい。
【0084】
例えば、グレード1に関し、基準となる対策は「1B」の「対象アカウントのみアカウント停止」であるが、一段階上の対策を選択する場合、「1A」の「すべてのサービス停止」が選択され、一段階下の対策を選択する場合、「1C」の「対象アカウントのみログイン停止」が選択される。
【0085】
同様に、グレード2に関し、基準となる対策「2B」の「ログイン停止」を実施している状況で、例えば1週間経過しても被害状況が変わらない場合には「2A」の「アカウント停止」を行い、1週間経過後に被害状況が減った場合には、「2C」の「ポイント利用停止」に移行することができる。あるいは、被害状況がさらに減った場合には、対策自体を解除するようにしてもよい。
【0086】
図16の対応表を用いてグレードをまたぐ調整を行うことも可能である。例えば、対策選択部13は、各グレード内に他の選択肢があればその範囲でアップまたはダウンさせ、各グレードの最上位または最下位の対策を実施中にさらにアップまたはダウンすべき条件が整えば、上下のグレードにおける同じ対策の上位または下位対策を選択することが可能である。例えば、図16の例で言えば、グレード「2A」の対策を実施中に不正アクセスの被害がエスカレートした場合、グレード「2」内には上位の選択肢がないので、グレード「1」にアップグレードされる。ここで、この例では、実施中のグレード「2A」の対策とグレード「1B」の対策がいずれも「アカウント停止(対象アカウントのみ)」で同一であるので、対策選択部13は、グレード「1B」の1つ上の「1A」を選択することができる。反対に、グレード「1C」の対策を選択していた状況で不正アクセスの被害が軽減した場合、グレード「1C」と同じ対策(ログイン停止)であるグレード「2B」の1つ下、グレード「2C」へと遷移することができる。このようなグレードをまたぐロジックは、例えば、全被害件数、当該項目の被害件数、当該項目の全対象者数など、注目対象の値とあらかじめ設定したしきい値との比較により構築されてよい。なお、上記の例に限らず、単に「1C」から1つダウングレードして「2A」の対策を選択するようにしてもよいし、反対に「2A」の対策からアップグレードして「1C」の対策を選択するようにしてもよい。不正アクセスの被害がエスカレートすれば、最終的にはグレード「0」の「全サービス停止」が選択されることになる。
【0087】
言うまでもなく、「登録経路」と「メールドメイン」以外の組合せを用いたクロス集計も可能である。どの項目をクロス集計に選択するかは、例えばあらかじめ指定されてもよいし、最高偏差値が最も高い2項目が選択されるようにしてもよい。
【0088】
第2段階に関しても、対策選択部13は、任意の出力先に選択結果を出力することができる。
【0089】
以上のように、第2段階として、項目別の偏差値結果からクロス集計を用いることで、「面」での対策をとることができる。第2段階は、特に、「継続対応」として、日数経過とともにどのようなユーザの被攻撃リスクが高いかを評価し、対象者数の規模(影響範囲)に応じた対策のアップ・ダウングレードを可能とする。一例として、上記のように対応した項目以外に偏差値の高い項目が別途発生した場合は、継続対応の影響が広範囲に及ぶとみなし、第3段階に進むようにしてもよい。または第1段階における収束判断と同様に、偏差値の変化の推移に応じて判断を行ってもよい。
【0090】
(2-3)第3段階
第3段階では、第2段階のクロス集計に、さらに対象ユーザの合計保有ポイントまたは平均保有ポイントを加味してインパクト(影響度)を判定する、「奥行」での対策を行う。
図17は、そのような第3段階の動作の一例を示すフローチャートである。なお、図4と同様の処理については図4と同じ符号を付し、詳細な説明は省略する。
第3段階では、第2段階のクロス集計に、さらに対象ユーザの合計保有ポイントまたは平均保有ポイントを加味してインパクト(影響度)を判定する、「奥行」での対策を行う。
図17は、そのような第3段階の動作の一例を示すフローチャートである。なお、図4と同様の処理については図4と同じ符号を付し、詳細な説明は省略する。
【0091】
まずステップS101において、情報処理装置10は、被害者データ取得部11により、被害者データを取得し、被害者データ記憶部14に記憶させる。
【0092】
次いでステップS102において、分析部12により、被害者データ記憶部14から被害者データを読み出し、項目別に集計し、種別の偏差値を算出する。
【0093】
次いでステップS303において、対策選択部13により、任意の複数の項目についてクロス集計を行う。この処理は、第2段階でステップS203として説明したのと同様の処理である。
【0094】
次いで、ステップS304において、対策選択部13により、さらに別の指標を追加して、インパクトを判定し、対策を選択する。
【0095】
図18は、そのような指標追加の一例を示す。ここでは、メールドメインと登録経路によりクロス集計を行った後、さらに、対象者が保有する合計ポイント(合計P)数と平均ポイント(平均P)数を算出する。対象者数は、被攻撃リスク範囲を表し、合計ポイント数は事業インパクトを表し、平均ポイント数は個人インパクトを表す。ここでは、対策選択部13は、この事業インパクトおよび個人インパクトの対象者数を判断基準として、対策を選択するように構成される。
【0096】
例えば、グレード6は低リスクであるが、合計ポイント数および平均ポイント数が多いので、対策を一段階上げることが考えられる。例えば、ポイント数に関するしきい値を設けておき、しきい値を超える場合にはグレード内の対応を一段階上げる(図16と同様に、グレード6Bからグレード6Aに上げる)ように設定することができる。同様に、グレード3は中リスクであるが、合計ポイントや平均ポイントが少ないので、グレード内の対応を一段階下げるなどの対策を選択するように設定することができる。対策の上下判定については、やはりしきい値を設けることにより、対策選択部13によって自動的に行われ得る。例えば、ある項目内にグレード1(偏差値70超)の種別が2つあった場合、その種別の個数に応じたしきい値を設けて自動的に判定を行ってもよい。一例として、グレード1に該当する種別の個数で対象者数を割り、その数値でのしきい値を設け、それにより対策の昇降判定を行ってもよい。図18の例では、クロス集計に選んだ項目「登録経路」と「メールドメイン」に関し、グレード3には「サービスY」「サービスW」および「ghi.ne.jp」の3つあるので、対象者数を3で割り、その結果をしきい値で判定して、昇降判定を行うことができる。
【0097】
上記例では、クロス集計に追加する「指標」として保有ポイント数に着目したが、他の指標を用いてもよい。図9、図10に関して項目として例示した「構造PASS更新回数」や「登録時期」を用いてもよいし、それ以外の情報を用いてもよい。一例として、各会員のポイント発生に寄与した購買データが蓄積されている場合、その累積購入金額を指標として用いてもよい。または、会員情報に各サービスや購買店、各社ブランドごとの購買データが含まれる場合、サービスや購買店、各社ブランドごとの購買金額(売上金額)を指標として用いてもよい。
【0098】
以上のように、第3段階として、クロス集計の結果に、さらに保有ポイントの情報を考慮することで、「奥行」での対策をとることができる。言い換えれば、この例では、横軸に属性別の対象者数をとり、縦軸に任意の指標(例えば上記のように、ポイント被害、個人情報漏洩、またはそれらの組み合わせ)を考慮した重みを付けた場合に、その縦×横の面積が大きくなるものを優先すべき事象として素早く判断し、対策を講じることができる。これにより、詳細を評価してサービスの停止までも含めた判断を行い、被害拡大を防ぐ。被害は、言うまでもなく経済的被害に限られず、個人情報の漏洩や、個人情報の漏洩に起因する論理的被害も含む。すなわち、「奥行」としてどのような指標をクロス集計に追加するかに応じて、多様な視点に基づく対策を選択することができる。
【0099】
第3段階に関しても、対策選択部13は、任意の出力先に選択結果を出力することができる。
【0100】
なお、第1段階としての初期対応で収束が見られない場合に第2段階に進むものとして説明したが、被害の規模感等によっては、第1段階と第2段階を同時に実施することも可能である。例えば、第1段階の処理については初期対応で早く実施し(対処療法)、第2段階の処理は、第1段階の結果を見たうえで不正アクセスの傾向を見ながら対応し(対策実施)、第3段階の処理については、第1段階と第2段階の結果から影響(経営への影響、たとえば被害金額や被害会員数が著しく増大したなど)を見て対応するなど、判断のレイヤーが想定され得る。したがって、必ずしも、まず第1段階、次に第2段階、最後に第3段階という進み方に限定されるわけではなく、異なる判断軸に応じて、前段階の対応も同時に考慮しつつ同時並列に実施されてよい。言い換えれば、情報処理装置10は、被害者データの蓄積に応じて、すなわち判定材料が集まるのに応じて、上記で説明した各処理を並行して実行することができる。
【0101】
(3)効果
以上詳述したように、この発明の一実施形態に係る情報処理装置10は、パスワード認証によりアカウントを管理するサービスの会員のうち、アカウントに不正なアクセスを受けた被害会員の会員情報を取得する被害者データ取得部11と、会員情報の統計的な偏りを分析する分析部12と、分析の結果に基づいて上記サービスが管理するアカウントごとに不正なアクセスに対する対策を選択する対策選択部13とを備える。これにより、管理下にある全アカウントに対して一律の対策ではなく、実際の不正アクセスの傾向を踏まえた、より適切な対策をアカウントごとに選択することができ、サービスとその利用者全体にとって、より効果的な安全性の確立を図ることができる。
以上詳述したように、この発明の一実施形態に係る情報処理装置10は、パスワード認証によりアカウントを管理するサービスの会員のうち、アカウントに不正なアクセスを受けた被害会員の会員情報を取得する被害者データ取得部11と、会員情報の統計的な偏りを分析する分析部12と、分析の結果に基づいて上記サービスが管理するアカウントごとに不正なアクセスに対する対策を選択する対策選択部13とを備える。これにより、管理下にある全アカウントに対して一律の対策ではなく、実際の不正アクセスの傾向を踏まえた、より適切な対策をアカウントごとに選択することができ、サービスとその利用者全体にとって、より効果的な安全性の確立を図ることができる。
【0102】
(4)他の実施形態
なお、この発明は上記実施形態に限定されるものではない。例えば、上記実施形態の一例では、主に情報処理装置10が共通ポイントサービスに係るアカウントを管理するものとして説明したが、同じポイントでも独自ポイントのような汎用的、総体的ではない限定的な範囲に限られるサービスに係るアカウントを管理するものであってもよい。この場合、図5に関して例示した被害者データに含まれる情報のいくつかが省略されてもよい。あるいは被害者データには、他の会員情報(例えば、居住地、性別、年齢等の属性情報)が含まれてもよい。この場合にも同様に統計上の偏りを分析することが可能である。例えば、住所として登録された都道府県または市町村別に偏差値を算出し、特定の居住地の会員に被害の偏りがあるか否かを判定してもよい。被害会員の性別と年齢に基づくクロス集計を行い、さらにネットワーク上のサービスに係る活動履歴(特定のWebサイトの閲覧履歴やSNS上の投稿頻度など)に応じた奥行集計を行うことによって、不正アクセスの目的やターゲットを考慮した対策をとることができる可能性がある。なお、被害者データが少なくとも3種類の情報を含めば、上記第1段階、第2段階、および第3段階と同様の処理を実行することができる。
なお、この発明は上記実施形態に限定されるものではない。例えば、上記実施形態の一例では、主に情報処理装置10が共通ポイントサービスに係るアカウントを管理するものとして説明したが、同じポイントでも独自ポイントのような汎用的、総体的ではない限定的な範囲に限られるサービスに係るアカウントを管理するものであってもよい。この場合、図5に関して例示した被害者データに含まれる情報のいくつかが省略されてもよい。あるいは被害者データには、他の会員情報(例えば、居住地、性別、年齢等の属性情報)が含まれてもよい。この場合にも同様に統計上の偏りを分析することが可能である。例えば、住所として登録された都道府県または市町村別に偏差値を算出し、特定の居住地の会員に被害の偏りがあるか否かを判定してもよい。被害会員の性別と年齢に基づくクロス集計を行い、さらにネットワーク上のサービスに係る活動履歴(特定のWebサイトの閲覧履歴やSNS上の投稿頻度など)に応じた奥行集計を行うことによって、不正アクセスの目的やターゲットを考慮した対策をとることができる可能性がある。なお、被害者データが少なくとも3種類の情報を含めば、上記第1段階、第2段階、および第3段階と同様の処理を実行することができる。
【0103】
また上記実施形態では、情報処理装置10が、ポイント管理サーバ20と連携して動作するものとして説明したが、やはりこれに限られるものではない。情報処理装置10は、個人情報を管理する何らかの装置から被害者データを収集し、被害者データに含まれる任意の項目の種別に基づいて上記実施形態で説明したのと同様の処理を行うことができる。例えば、情報処理装置10は、金融機関(銀行、証券会社、保険会社など)、クレジットカード会社、実店舗もしくはオンラインショップ、会員制コミュニティサービス、情報管理サービス、その他のオンラインサービス、交通機関、行政機関、医療機関、教育機関など、個人情報を管理するあらゆる機関から、情報を収集することができる。また情報処理装置10は、被害者本人から個人情報の入力を受け付けてもよい。
【0104】
情報処理装置10が備える各機能部を、複数の装置に分散配置し、これらの装置が互いに連携することにより処理を行うようにしてもよい。また各機能部は、回路を用いることで実現されてもよい。回路は、特定の機能を実現する専用回路であってもよいし、プロセッサのような汎用回路であってもよい。
【0105】
さらに、以上で説明した各処理の流れは、説明した手順に限定されるものではなく、いくつかのステップの順序が入れ替えられてもよいし、いくつかのステップが同時並行で実施されてもよい。また、以上で説明した一連の処理は、時間的に連続して実行される必要はなく、各ステップは任意のタイミングで実行されてもよい。
【0106】
以上で記載した手法は、計算機(コンピュータ)に実行させることができるプログラム(ソフトウェア手段)として、例えば磁気ディスク(フロッピー(登録商標)ディスク、ハードディスク等)、光ディスク(CD-ROM、DVD、MO等)、半導体メモリ(ROM、RAM、フラッシュメモリ等)等の記録媒体(記憶媒体)に格納し、また通信媒体により伝送して頒布することもできる。なお、媒体側に格納されるプログラムには、計算機に実行させるソフトウェア手段(実行プログラムのみならずテーブル、データ構造も含む)を計算機内に構成させる設定プログラムをも含む。上記装置を実現する計算機は、記録媒体に記録されたプログラムを読み込み、また場合により設定プログラムによりソフトウェア手段を構築し、このソフトウェア手段によって動作が制御されることにより上述した処理を実行する。なお、本明細書でいう記録媒体は、頒布用に限らず、計算機内部あるいはネットワークを介して接続される機器に設けられた磁気ディスク、半導体メモリ等の記憶媒体を含むものである。
【0107】
その他、各データの収集タイミングや収集方法、分析方法等についても、この発明の要旨を逸脱しない範囲で種々変形して実施可能である。
【0108】
なお、この発明は、上記実施形態に限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で種々に変形することが可能である。また、各実施形態は適宜組み合わせて実施してもよく、その場合組み合わせた効果が得られる。更に、上記実施形態には種々の発明が含まれており、開示される複数の構成要件から選択された組み合わせにより種々の発明が抽出され得る。例えば、実施形態に示される全構成要件からいくつかの構成要件が削除されても、課題が解決でき、効果が得られる場合には、この構成要件が削除された構成が発明として抽出され得る。
【符号の説明】
【0109】
1…システム、10…情報処理装置、11…被害者データ取得部、12…分析部、13…対策選択部、14…被害者データ記憶部、15…グレード情報記憶部、16…対策方針記憶部、20…ポイント管理サーバ、50…サービス提供サーバ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【手続補正書】
【提出日】2023-11-29
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
パスワード認証によりアカウントを管理するサービスの会員のうち、アカウントに不正なアクセスを受けた被害会員に関する会員情報を取得し、記憶する会員情報取得部と、
前記会員情報に含まれる項目に関して被害会員数の統計量を算出することにより、前記会員情報の統計的な偏りを分析する分析部と、
を備える情報処理装置。
前記会員情報に含まれる項目に関して被害会員数の統計量を算出することにより、前記会員情報の統計的な偏りを分析する分析部と、
を備える情報処理装置。
【請求項2】
前記会員情報に含まれる項目は、少なくとも、攻撃対象、経済的損害、情報漏洩の経路または攻撃手法を推測するための指標である、請求項1に記載の情報処理装置。
【請求項3】
前記統計量と前記パスワード認証の危険度との対応関係に基づき、前記会員情報の統計的な偏りに対応する危険度を決定し、前記危険度に応じた対策を選択する対策選択部をさらに備える、請求項1または2に記載の情報処理装置。
【請求項4】
前記分析部は、前記会員情報に含まれる少なくとも2つの項目の各々について前記会員情報の統計的な偏りを分析し、
前記対策選択部は、前記少なくとも2つの項目の各々について前記会員情報の統計的な偏りに対応する危険度を組み合わせることによって前記対策を選択する、
請求項3に記載の情報処理装置。
前記対策選択部は、前記少なくとも2つの項目の各々について前記会員情報の統計的な偏りに対応する危険度を組み合わせることによって前記対策を選択する、
請求項3に記載の情報処理装置。
【請求項5】
前記対策選択部は、前記被害会員に関する経済的価値に基づいて前記対策を選択する、
請求項3または4に記載の情報処理装置。
請求項3または4に記載の情報処理装置。
【請求項6】
前記対策選択部は、前記会員情報を時系列的に分析することにより、選択した対策の有効性を評価する、請求項3乃至5のいずれか一項に記載の情報処理装置。
【請求項7】
情報処理装置が実行する情報処理方法であって、
情報処理装置が、パスワード認証によりアカウントを管理するサービスの会員のうち、アカウントに不正なアクセスを受けた被害会員に関する会員情報を取得し、記憶する過程と、
情報処理装置が、前記会員情報に含まれる項目に関して被害会員数の統計量を算出することにより、前記会員情報の統計的な偏りを分析する過程と、
を備える情報処理方法。
情報処理装置が、パスワード認証によりアカウントを管理するサービスの会員のうち、アカウントに不正なアクセスを受けた被害会員に関する会員情報を取得し、記憶する過程と、
情報処理装置が、前記会員情報に含まれる項目に関して被害会員数の統計量を算出することにより、前記会員情報の統計的な偏りを分析する過程と、
を備える情報処理方法。
【請求項8】
請求項1乃至6のいずれか一項に記載の装置の各部による処理をコンピュータに実行させるプログラム。