ホーム > 特許ランキング > 楽天グループ株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2023-03-03
(45)【発行日】2023-03-13
(54)【発明の名称】不正検知システム、不正検知方法、及びプログラム
(51)【国際特許分類】
G06F 21/60 20130101AFI20230306BHJP
G06F 21/31 20130101ALI20230306BHJP
G06F 11/34 20060101ALI20230306BHJP
【FI】
G06F21/60
G06F21/31
G06F11/34 138
【請求項の数】
19
(21)【出願番号】P 2022545453
(86)(22)【出願日】2021-06-29
(86)【国際出願番号】 JP2021024566
【審査請求日】2022-07-26
【早期審査対象出願】
(73)【特許権者】
【識別番号】399037405
【氏名又は名称】楽天グループ株式会社
(74)【代理人】
【識別番号】110000154
【氏名又は名称】弁理士法人はるか国際特許事務所
(72)【発明者】
【氏名】友田 恭輔
(72)【発明者】
【氏名】栗木 孝広
【審査官】田名網 忠雄
(56)【参考文献】
【文献】特表2010-515175(JP,A)
【文献】特開2002-258972(JP,A)
【文献】国際公開第2018/087839(WO,A1)
【文献】特開2013-004005(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/60
G06F 21/30-21/31
G06F 11/34
(57)【特許請求の範囲】
【請求項1】
所定のサービスにおけるユーザのログインを検知するログイン検知手段と、前記サービスにログインした前記ユーザの表示手段に、ユーザ情報を変更又は登録するためのユーザ情報画面を表示させる表示制御手段と、
前記ログインが検知された場合の現在日時を第1時点として取得し、前記ユーザ情報画面とは異なる少なくとも1つの他の画面が表示された後に前記ユーザ情報画面が表示される場合の現在日時を第2時点として取得し、前記第1時点から前記第2時点までの時間の長さに関する時間情報を取得する時間情報取得手段と、
前記時間情報に基づいて、前記ユーザの不正を検知する不正検知手段と、
を含む不正検知システム。
【請求項2】
所定のサービスにおけるユーザのログインを検知するログイン検知手段と、
前記サービスにログインした前記ユーザの表示手段に、ユーザ情報を変更又は登録するためのユーザ情報画面を表示させる表示制御手段と、
前記ログインが検知されてから前記ユーザ情報画面が表示されるまでの期間の少なくとも一部に表示された画面数に関する画面数情報を取得する画面数情報取得手段と、
前記画面数情報が示す前記画面数と閾値とに基づいて、前記ユーザの不正を検知する不正検知手段と、
を含む不正検知システム。
【請求項3】
所定のサービスにおけるユーザのログインを検知するログイン検知手段と、
前記サービスにログインした前記ユーザの表示手段に、ユーザ情報を変更又は登録するためのユーザ情報画面を表示させる表示制御手段と、
前記ログインが検知されてから前記ユーザ情報画面が表示されるまでの期間の少なくとも一部における操作量に関する操作量情報を取得する操作量情報取得手段と、
前記操作量情報が示す前記操作量と閾値とに基づいて、前記ユーザの不正を検知する不正検知手段と、
を含む不正検知システム。
【請求項4】
前記不正検知手段は、前記ログインが検知されてから前記ユーザ情報画面が表示されるまでの期間の少なくとも一部に表示された画面の種類に関する画面種類情報に基づいて、前記ユーザの不正を検知する、請求項1~3の何れかに記載の不正検知システム。
【請求項5】
前記不正検知システムは、過去のログイン時における前記ユーザの行動履歴に関する履歴情報を取得する履歴情報取得手段を更に含み、前記不正検知手段は、前記時間情報と、前記履歴情報と、の違いに基づいて、前記ユーザの不正を検知する、
請求項1に記載の不正検知システム。
【請求項6】
前記ユーザ情報は、前記サービスにおける認証に関する認証情報を含み、前記不正検知手段は、前記ユーザ情報画面において前記認証情報が変更又は登録される場合に、前記ユーザの不正を検知する、
請求項1~5の何れかに記載の不正検知システム。
【請求項7】
前記ユーザ情報は、前記サービスにおける利用条件に関する利用条件情報を含み、前記不正検知手段は、前記ユーザ情報画面において前記利用条件情報が変更又は登録される場合に、前記ユーザの不正を検知する、
請求項1~6の何れかに記載の不正検知システム。
【請求項8】
前記ユーザ情報は、前記サービスで提供される物の提供先に関する提供先情報を含み、前記不正検知手段は、前記ユーザ情報画面において前記提供先情報が変更又は登録される場合に、前記ユーザの不正を検知する、
請求項1~7の何れかに記載の不正検知システム。
【請求項9】
前記不正検知システムは、前記ユーザの不正が検知された場合に、前記ユーザ情報画面における前記ユーザ情報の変更又は登録を制限する第1制限手段、を更に含む請求項1~8の何れかに記載の不正検知システム。
【請求項10】
前記不正検知システムは、前記ユーザの不正が検知された場合に、前記サービスにログインしている前記ユーザを強制的にログアウトさせるログアウト手段、を更に含む請求項1~9の何れかに記載の不正検知システム。
【請求項11】
前記不正検知システムは、前記ユーザの不正が検知された場合に、前記ユーザ情報画面において変更又は登録された前記ユーザ情報に基づく前記サービスの提供を制限する第2制限手段、を更に含む請求項1~10の何れかに記載の不正検知システム。
【請求項12】
前記不正検知システムは、前記ユーザの不正が検知された場合に、前記ユーザ情報画面において変更又は登録された前記ユーザ情報に基づいて前記サービスが提供される前に、前記ユーザの不正が検知されない場合には要求されない認証を、前記ユーザに要求する要求手段、を更に含む請求項1~11の何れかに記載の不正検知システム。
【請求項13】
所定のサービスにおけるユーザのログインを検知するログイン検知手段と、
前記サービスにログインした前記ユーザの表示手段に、ユーザ情報を変更又は登録するためのユーザ情報画面を表示させる手段であって、前記ユーザ情報画面が表示される前に、不正検知の判定基準として利用され、前記ユーザに応じた内容を含む判定基準画面を前記表示手段に表示させる表示制御手段と、
前記判定基準画面における前記ユーザの操作に関する操作情報を取得する操作情報取得手段と、
前記操作情報に基づいて、前記ユーザの不正を検知する不正検知手段と、
を含む不正検知システム。
【請求項14】
所定のサービスにおけるユーザのログインを検知するログイン検知手段と、
前記サービスにログインした前記ユーザの表示手段に、第1ユーザ情報を変更又は登録するための第1ユーザ情報画面と、第2ユーザ情報を変更又は登録するための第2ユーザ情報画面と、を表示させる表示制御手段と、
前記ログインが検知されてから前記第1ユーザ情報画面が表示されるまでの期間の少なくとも一部における前記ユーザの行動に関する第1行動情報と、前記第1ユーザ情報画面が表示されてから前記第2ユーザ情報画面が表示されるまでの期間の少なくとも一部における前記ユーザの行動に関する第2行動情報と、を取得する行動情報取得手段と、
前記第1行動情報及び第1閾値と、前記第2行動情報及び第2閾値と、に基づいて、前記ユーザの不正を検知する不正検知手段と、
を含む不正検知システム。
【請求項15】
前記不正検知システムは、前記不正検知手段による前記ユーザの不正の検知結果を、前記ユーザが利用登録をした他のサービスに提供する検知結果提供手段、を更に含む請求項1~14の何れかに記載の不正検知システム。
【請求項16】
前記不正検知手段は、前記サービスにおける不正を検知するための学習モデルに基づいて、前記ユーザの不正を検知する、請求項1~15の何れかに記載の不正検知システム。
【請求項17】
前記サービスは、電子決済サービスであり、前記ユーザ情報は、前記電子決済サービスにおいて利用される情報である、
請求項1~16の何れかに記載の不正検知システム。
【請求項18】
所定のサービスにおけるユーザのログインを検知するログイン検知ステップと、前記サービスにログインした前記ユーザの表示手段に、ユーザ情報を変更又は登録するためのユーザ情報画面を表示させる表示制御ステップと、
前記ログインが検知された場合の現在日時を第1時点として取得し、前記ユーザ情報画面とは異なる少なくとも1つの他の画面が表示された後に前記ユーザ情報画面が表示される場合の現在日時を第2時点として取得し、前記第1時点から前記第2時点までの時間の長さに関する時間情報を取得する時間情報取得ステップと、
前記時間情報に基づいて、前記ユーザの不正を検知する不正検知ステップと、
を含む不正検知方法。
【請求項19】
所定のサービスにおけるユーザのログインを検知するログイン検知手段、前記サービスにログインした前記ユーザの表示手段に、ユーザ情報を変更又は登録するためのユーザ情報画面を表示させる表示制御手段、
前記ログインが検知された場合の現在日時を第1時点として取得し、前記ユーザ情報画面とは異なる少なくとも1つの他の画面が表示された後に前記ユーザ情報画面が表示される場合の現在日時を第2時点として取得し、前記第1時点から前記第2時点までの時間の長さに関する時間情報を取得する時間情報取得手段、
前記時間情報に基づいて、前記ユーザの不正を検知する不正検知手段、
としてコンピュータを機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、不正検知システム、不正検知方法、及びプログラムに関する。
【背景技術】
【0002】
従来、所定のサービスにログインしたユーザの行動に基づいて、このユーザの不正を検知する技術が知られている。例えば、特許文献1には、ユーザにより行われた所定の操作ごとに、複数の項目に基づいて不正判定スコアを計算する情報処理装置が記載されている。この情報処理装置は、ユーザがログイン操作の直後にユーザ情報変更操作を行った場合に、ユーザ情報変更操作の直前のログイン操作の不正判定スコアに基づいて、直後に行われたユーザ情報変更操作の不正判定スコアを計算することが記載されている。
【先行技術文献】
【特許文献】
【0003】
【文献】国際公開第2018/087839号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
不正なユーザは、ユーザ情報の変更又は登録を目的として不正なログインをすることがある。不正なユーザは、ログインしてからユーザ情報を変更又は登録するまでの期間に、正当なユーザとは異なる特徴的な行動をすることがあるので、この間における一連の行動を総合的に考慮することは重要である。しかしながら、特許文献1の技術は、個々の操作ごとの不正判定スコアを計算するものである。特許文献1の技術は、一連の行動を総合的に考慮するものではないので、不正検知の精度を十分に高めることができなかった。
【0005】
本開示の目的の1つは、不正検知の精度を高めることである。
【課題を解決するための手段】
【0006】
本開示の一態様に係る不正検知システムは、所定のサービスにおけるユーザのログインを検知するログイン検知手段と、前記サービスにログインした前記ユーザの表示手段に、ユーザ情報を変更又は登録するためのユーザ情報画面を表示させる表示制御手段と、前記ログインが検知されてから前記ユーザ情報画面が表示されるまでの期間の少なくとも一部における前記ユーザの行動に関する行動情報を取得する行動情報取得手段と、前記行動情報に基づいて、前記ユーザの不正を検知する不正検知手段と、を含む。
【発明の効果】
【0007】
本開示によれば、不正検知の精度が高まる。
【図面の簡単な説明】
【0008】
【図1】不正検知システムの全体構成の一例を示す図である。
【図2】ユーザがSNSにログインする場合の画面遷移の一例を示す図である。
【図3】正当ユーザがSNSにログインする場合の画面遷移の一例を示す図である。
【図4】不正ユーザがSNSにログインする場合の画面遷移の一例を示す図である。
【図5】不正検知システムで利用される学習モデルの一例を示す図である。
【図6】不正検知システムで実現される機能の一例を示す機能ブロック図である。
【図7】ユーザデータベースのデータ格納例を示す図である。
【図8】訓練データベースのデータ格納例を示す図である。
【図9】不正検知システムで実行される処理の一例を示すフロー図である。
【図10】変形例における機能ブロック図である。
【図11】判定基準画面の一例を示す図である。
【図12】複数のユーザ情報が次々と変更又は登録される様子の一例を示す図である。
【発明を実施するための形態】
【0009】
[1.不正検知システムの全体構成]
以降、本開示に係る不正検知システムの実施形態の一例を説明する。図1は、不正検知システムの全体構成の一例を示す図である。図1に示すように、不正検知システムSは、サーバ10及びユーザ端末20を含む。サーバ10及びユーザ端末20の各々は、インターネット等のネットワークNに接続可能である。不正検知システムSは、少なくとも1つのコンピュータを含めばよく、図1の例に限られない。例えば、不正検知システムSは、複数のサーバ10を含んでもよい。不正検知システムSは、複数のユーザ端末20を含んでもよい。不正検知システムSは、他のコンピュータを含んでもよい。
以降、本開示に係る不正検知システムの実施形態の一例を説明する。図1は、不正検知システムの全体構成の一例を示す図である。図1に示すように、不正検知システムSは、サーバ10及びユーザ端末20を含む。サーバ10及びユーザ端末20の各々は、インターネット等のネットワークNに接続可能である。不正検知システムSは、少なくとも1つのコンピュータを含めばよく、図1の例に限られない。例えば、不正検知システムSは、複数のサーバ10を含んでもよい。不正検知システムSは、複数のユーザ端末20を含んでもよい。不正検知システムSは、他のコンピュータを含んでもよい。
【0010】
サーバ10は、サーバコンピュータである。サーバ10は、制御部11、記憶部12、及び通信部13を含む。制御部11は、少なくとも1つのプロセッサを含む。記憶部12は、RAM等の揮発性メモリと、ハードディスク等の不揮発性メモリと、を含む。通信部13は、有線通信用の通信インタフェースと、無線通信用の通信インタフェースと、の少なくとも一方を含む。
【0011】
ユーザ端末20は、ユーザが操作するコンピュータである。例えば、ユーザ端末20は、パーソナルコンピュータ、スマートフォン、タブレット端末、又はウェアラブル端末である。ユーザ端末20は、制御部21、記憶部22、通信部23、操作部24、及び表示部25を含む。制御部21、記憶部22、及び通信部23の物理的構成は、それぞれ制御部11、記憶部12、及び通信部13と同様である。操作部24は、タッチパネル等の入力デバイスである。表示部25は、液晶ディスプレイ又は有機ELディスプレイである。
【0012】
なお、サーバ10及びユーザ端末20の各々に記憶されるプログラム及びデータの少なくとも一方は、ネットワークNを介して供給されてもよい。また、サーバ10及びユーザ端末20の各々に、コンピュータ読み取り可能な情報記憶媒体を読み取る読取部(例えば、光ディスクドライブやメモリカードスロット)と、外部機器とデータの入出力をするための入出力部(例えば、USBポート)と、の少なくとも一方が含まれてもよい。例えば、情報記憶媒体に記憶されたプログラム及びデータの少なくとも一方が、読取部及び入出力部の少なくとも一方を介して供給されてもよい。
【0013】
[2.不正検知システムの概要]
不正検知システムSは、所定のサービスにログインしたユーザの不正を検知する。不正とは、違法行為、サービスの利用規約に違反する行為、又はその他の迷惑行為である。本実施形態では、他人のユーザID及びパスワードでサービスにログインしてユーザ情報を変更又は登録する行為が不正に相当する場合を例に挙げる。このため、この行為について説明している箇所は、不正と読み替えることができる。不正検知システムSは、種々の不正を検知可能である。他の不正の例は、後述の変形例で説明する。
不正検知システムSは、所定のサービスにログインしたユーザの不正を検知する。不正とは、違法行為、サービスの利用規約に違反する行為、又はその他の迷惑行為である。本実施形態では、他人のユーザID及びパスワードでサービスにログインしてユーザ情報を変更又は登録する行為が不正に相当する場合を例に挙げる。このため、この行為について説明している箇所は、不正と読み替えることができる。不正検知システムSは、種々の不正を検知可能である。他の不正の例は、後述の変形例で説明する。
【0014】
不正を検知するとは、不正の有無を推定又は判定することである。例えば、不正であるか否かを示す情報を出力すること、又は、不正の疑いの高さを示すスコアを出力することは、不正を検知することに相当する。例えば、スコアが数値で表現される場合、スコアが高いほど不正の疑いが高い。スコアは、数値以外にもSランク、Aランク、Bランクといったような文字等で表現されてもよい。スコアは、不正の確率又は蓋然性ということもできる。
【0015】
ユーザ情報とは、ユーザに関する情報である。ユーザ情報は、ユーザIDに関連付けられて登録される情報である。本実施形態では、ユーザ情報は、認証で利用される認証情報を含む場合を例に挙げる。この認証は、ログイン時の認証に限られず、ログイン後に実行される認証であってもよい。認証自体は、公知の種々の認証を利用可能であり、例えば、パスワード認証、パスコード認証、暗証番号認証、電話番号認証、合言葉認証、パターン認証、又は生体認証であってもよい。ユーザ情報は、任意の情報を含んでよい。例えば、ユーザ情報は、住所、電話番号、生年月日、又はメールアドレスといった個人情報を含んでもよい。ユーザ情報は、これらの少なくとも1つの情報を含めばよい。
【0016】
本実施形態では、所定のサービスの一例として、SNS(Social networking service)を説明する。このため、SNSと記載した箇所は、所定のサービスと読み替えることができる。不正検知システムSは、任意のサービスに適用可能である。他のサービスの適用例は、後述の変形例で説明する。本実施形態では、他人のユーザID及びパスワードでSNSにログインして認証情報を変更又は登録する行為が、不正に相当する。
【0017】
図2は、ユーザがSNSにログインする場合の画面遷移の一例を示す図である。図2に示すように、ユーザが、ユーザ端末20にインストールされたSNSのアプリケーションを起動したり、ユーザ端末20のブラウザでSNSのウェブサイトにアクセスしたりすると、SNSにログインするためのログイン画面G1が表示部25に表示される。本実施形態では、ユーザは、SNSの利用登録を済ませており、ユーザID及びパスワードを発行済みであるものとする。
【0018】
ユーザは、入力フォームF10,F11にユーザID及びパスワードを入力し、ボタンB12を選択する。サーバ10は、ユーザが入力したユーザID及びパスワードに基づいて、認証を実行する。認証が成功するとSNSへのログインが許可されて、ホーム画面G2が表示部25に表示される。ユーザは、ホーム画面G2からSNSで提供されている各種サービスを利用できる。
【0019】
本実施形態のSNSは、ユーザ間の交流だけではなく、種々のサービスを複合的に提供する。例えば、ユーザは、ホーム画面G2から、ゲーム、電子書籍、音楽、又はニュース記事といったコンテンツを利用できる。他にも例えば、ユーザは、SNSに登録した決済手段を利用して、これらのコンテンツを購入できる。ユーザがアイコンI20を選択すると、このアイコンI20に対応するサービスが提供される。
【0020】
ユーザは、ホーム画面G2から、SNSにおける設定をすることもできる。例えば、ユーザは、プロフィールの設定、通知設定、メッセージの表示設定、友人の表示設定、又は個々のサービスの利用設定といった種々の設定をすることができる。本実施形態では、この設定として、ユーザ情報の変更又は登録を例に挙げる。ユーザ情報の変更は、登録済みのユーザ情報の全部又は一部の内容を変えることである。ユーザ情報の変更は、ユーザ情報の更新ということもできる。ユーザ情報の全部又は一部を削除することも、ユーザ情報の変更に相当する。ユーザ情報の登録は、ユーザ情報の全部又は一部を新たに追加することである。
【0021】
例えば、ユーザが、ホーム画面G2のアイコンI21を選択すると、設定項目の一覧を示すメニューM22が表示される。メニューM22には、ユーザ情報の変更又は登録をするための設定項目が表示される。ユーザが、メニューM22内の設定項目を選択すると、当該選択された設定項目に対応するユーザ情報の変更又は登録が可能になる。例えば、ユーザは、住所、電話番号、メールアドレス、パスワード、又はメール配信設定の変更又は登録が可能である。
【0022】
本実施形態では、入力フォームF11に入力されるパスワードとは異なるパスワードを登録可能である。以降、入力フォームF11に入力されるパスワードを、第1パスワードと記載する。第1パスワードとは異なるパスワードを、第2パスワードと記載する。第1パスワードの登録は必須である。このため、メニューM22では、「第1パスワードの変更」と表示され、「登録」の文言は表示されない。
【0023】
本実施形態では、第2パスワードの登録は任意であるものとする。Cookie等を利用してユーザID及び第1パスワードの入力を省略する場合であったとしても、第2パスワードを登録済みのユーザであれば、第2パスワードの入力が要求されるものとする。例えば、メニューM22の「第2パスワードの変更又は登録」が選択されると、第2パスワードの変更又は登録をするためのユーザ情報画面G3が表示される。ユーザが、入力フォームF30,F31に第2パスワードを入力してボタンB32を選択すると、第2パスワードの変更又は登録が完了する。第2パスワードの変更時には、古い第2パスワードの入力が要求されてもよい。
【0024】
例えば、過去に不正をしていないユーザ(以降、正当ユーザ)が第2パスワードを登録していなかったとする。この正当ユーザのユーザID及び第1パスワードを、フィッシング等によって不正に入手したユーザ(以降、不正ユーザ)は、正当ユーザになりすましてSNSにログインすることがある。更に、不正ユーザは、第2パスワードを勝手に登録して正当ユーザをログインできないようにすることがある。このような不正ユーザは、第2パスワードの登録を目的としてSNSにログインするので、ログイン後の一連の行動が正当ユーザとは異なることが多い。
【0025】
図3は、正当ユーザがSNSにログインする場合の画面遷移の一例を示す図である。図3では、画面の種類のみを示し、個々の画面の詳細は省略する。この点は、後述の図4も同様である。正当ユーザは、友人との交流やコンテンツの閲覧を目的としてSNSにログインすることが多い。このため、ログイン画面G1からホーム画面G2に遷移した後は、ユーザ情報画面G3以外の他の画面G4が表示されることが多い。正当ユーザは、他の何かのついでにユーザ情報の変更又は登録をすることが多いので、図3に示すように、ユーザ情報画面G3に到達するまでに、他の画面が表示されることが多い。
【0026】
図4は、不正ユーザがSNSにログインする場合の画面遷移の一例を示す図である。不正ユーザは、第2パスワード等のユーザ情報の変更又は登録を目的としてSNSにログインすることが多い。このため、ログイン画面G1からホーム画面G2に遷移した後は、ユーザ情報画面G3以外の他の画面G4を挟まずに、ユーザ情報画面G3が表示されることが多い。不正ユーザは、正当ユーザとは異なり、他の何かのついでにユーザ情報の変更又は登録をすることは考えにくいので、図4に示すように、ホーム画面G2の直後にユーザ情報画面G3に到達することが多い。
【0027】
そこで、不正検知システムSは、あるユーザがSNSにログインしてからユーザ情報画面G3が表示されるまでの一連の行動に基づいて、このユーザの不正を検知する。本実施形態では、機械学習の学習モデルを利用して不正が検知される場合を例に挙げるが、学習モデルを利用せずに不正が検知されてもよい。例えば、学習モデルとは呼ばれないルールベースの不正検知モデルを利用してもよい。他にも例えば、特にモデルとは呼ばれない他の方法を利用してもよい。
【0028】
学習モデルは、機械学習を利用したモデルである。機械学習は、人工知能と呼ばれることもある。機械学習自体は、公知の種々の方法を利用可能であり、例えば、ニューラルネットワークを利用可能である。広い意味では、深層学習又は強化学習も機械学習に分類されるので、学習モデルは、深層学習又は強化学習を利用して作成されたモデルであってもよい。本実施形態では、教師有り学習を例に挙げるが、教師無し学習又は半教師有り学習であってもよい。
【0029】
図5は、不正検知システムSで利用される学習モデルの一例を示す図である。図5に示すように、学習モデルMには、不正ユーザであること又は正当ユーザであることが確定したユーザの行動に基づいて作成された訓練データが学習されている。訓練データの入力部分は、学習モデルMに対する実際の入力と同じ形式であり、訓練データの出力部分は、学習モデルMからの実際の出力と同じ形式である。
【0030】
図5に示すように、訓練データには、入力部分として、不正ユーザ又は正当ユーザの行動に関する行動情報が含まれる。行動情報の詳細は後述する。図5の例では、行動情報は、「時間情報」、「画面数情報」、「操作量情報」、「画面種類情報」、「場所情報」、「日時情報」を含む。訓練データには、出力部分として、不正であるか否かを示す情報が含まれる。出力部分は、不正の疑いの高さを示すスコアであってもよい。
【0031】
サーバ10は、あるユーザによるSNSへのログインを検知すると、ユーザ情報画面G3が表示されるまでの期間の少なくとも一部における行動に基づいて、このユーザの行動情報を取得する。サーバ10は、ユーザ情報画面G3が表示される場合に、このユーザの行動情報を学習モデルMに入力する。サーバ10は、学習モデルMからの出力を取得し、この出力が不正を示す場合には、このユーザによるユーザ情報の変更又は登録を制限する。サーバ10は、この出力が正当を示す場合には、このユーザによるユーザ情報の変更又は登録を許可する。
【0032】
以上のように、不正検知システムSは、SNSへのログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部におけるユーザの行動情報に基づいて、このユーザの不正を検知する。不正検知システムSは、ユーザ情報画面G3が表示されるまでの一連の行動を考慮することによって、不正検知の精度を高めるようにしている。以降、この技術の詳細を説明する。
【0033】
[3.不正検知システムで実現される機能]
図6は、不正検知システムSで実現される機能の一例を示す機能ブロック図である。図6に示すように、サーバ10では、データ記憶部100、学習部101、ログイン検知部102、表示制御部103、行動情報取得部104、不正検知部105、及び制限部106が実現される。データ記憶部100は、記憶部12を主として実現される。他の各機能は、制御部11を主として実現される。
図6は、不正検知システムSで実現される機能の一例を示す機能ブロック図である。図6に示すように、サーバ10では、データ記憶部100、学習部101、ログイン検知部102、表示制御部103、行動情報取得部104、不正検知部105、及び制限部106が実現される。データ記憶部100は、記憶部12を主として実現される。他の各機能は、制御部11を主として実現される。
【0034】
[データ記憶部]
データ記憶部100は、本実施形態の不正検知に必要なデータを記憶する。例えば、データ記憶部100は、ユーザデータベースDB1、訓練データベースDB2、及び学習モデルMを記憶する。
データ記憶部100は、本実施形態の不正検知に必要なデータを記憶する。例えば、データ記憶部100は、ユーザデータベースDB1、訓練データベースDB2、及び学習モデルMを記憶する。
【0035】
図7は、ユーザデータベースDB1のデータ格納例を示す図である。図7に示すように、ユーザデータベースDB1は、SNSの利用登録をしたユーザに関する情報が格納されたデータベースである。例えば、ユーザデータベースDB1には、ユーザID、ユーザ情報、及び行動情報が関連付けられて格納される。あるユーザがSNSの利用登録を完了すると、ユーザデータベースDB1に新たなレコードが作成され、このユーザのユーザID及びユーザ情報が格納される。あるユーザIDを利用したログインが発生すると、このユーザIDに関連付けられた行動情報が更新される。
【0036】
ユーザIDは、ユーザを識別可能な情報である。ユーザIDもユーザに関する情報という意味では、ユーザ情報の一例である。ユーザIDは、SNSへのログインに必要である。ユーザを識別可能な情報は、ユーザID以外の名前で呼ばれる情報であってもよい。例えば、ユーザ名、ユーザアカウント、又はログインIDと呼ばれる情報が、ユーザを識別可能な情報に相当してもよい。
【0037】
図7の例では、第1パスワード、第2パスワード、氏名、住所、電話番号、メールアドレス、及びメール配信設定がユーザ情報に含まれる場合を示しているが、ユーザ情報には、他の任意の情報が含まれていてもよい。また、1つのユーザ情報に含まれるものとした複数の項目の1つ1つがユーザ情報に相当してもよい。即ち、第1パスワードだけが1つのユーザ情報に相当し、第2パスワードだけが1つのユーザ情報に相当するといったように、個々の項目が別々のユーザ情報として扱われてもよい。
【0038】
行動情報は、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部におけるユーザの行動に関する情報である。ログインが検知されてからユーザ情報画面G3が表示されるまでの期間とは、ログイン検知部102によりログインが検知された第1時点からユーザ情報画面G3が表示される第2時点までの期間である。不正検知では、この期間の少なくとも一部における行動が考慮されるようにすればよく、この期間の前後における行動も合わせて考慮されてもよい。例えば、ユーザ情報画面G3が表示された後に、このユーザ情報画面G3に対する行動が考慮されてもよい。他にも例えば、ログインする前におけるログイン画面G1に対する行動が考慮されてもよい。
【0039】
本実施形態では、サーバ10がユーザ情報画面G3の表示データをユーザ端末20に送信した時点が第2時点に相当する場合を説明するが、第2時点は、その前後の時点であってもよい。例えば、ユーザ情報画面G3を表示させるための操作をユーザ端末20が受け付けた時点、この操作が行われたことを示す情報をサーバ10が受信した時点、ユーザ情報画面G3の表示データがサーバ10により生成された時点、この表示データをユーザ端末20が受信した時点、又はユーザ情報画面G3が表示部25に実際に表示された時点が第2時点を意味してもよい。
【0040】
行動情報は、後述の行動情報取得部104により取得される。本実施形態では、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の全期間におけるユーザの行動に基づいて行動情報が取得される場合を説明するが、一部の期間におけるユーザの行動だけに基づいて行動情報が取得されてもよい。行動情報取得部104は、ユーザ端末20から行われたユーザの操作に基づいて、このユーザのユーザIDに関連付けられた行動情報を更新する。個々の行動情報の取得方法は後述する。
【0041】
図8は、訓練データベースDB2のデータ格納例を示す図である。図8に示すように、訓練データベースDB2は、学習モデルMに学習させる訓練データが格納されたデータベースである。本実施形態では、学習モデルMに対する入力と、正解となる出力と、のペアを訓練データ(教師データ)と記載する。訓練データベースDB2には、このペアの集まりが格納される。訓練データの詳細は、図5で説明した通りである。訓練データは、学習モデルMの作成者が手動で作成してもよいし、公知の訓練データの作成ツールが利用されてもよい。
【0042】
データ記憶部100は、学習済みの学習モデルMのプログラム及びパラメータを記憶する。データ記憶部100は、訓練データが学習される前の学習モデルMと、訓練データの学習で必要なプログラムと、を記憶してもよい。データ記憶部100が記憶するデータは、上記の例に限られない。データ記憶部100は、任意のデータを記憶可能である。
【0043】
[学習部]
学習部101は、訓練データベースDB2に格納された訓練データを学習モデルMに学習させる。学習モデルMの学習方法自体は、種々の手法を利用可能であり、例えば、勾配降下法又は誤差逆伝播法を利用可能である。先述したように、深層学習又は強化学習の手法が利用されてもよい。学習部101は、訓練データの入力部分が入力された場合に、訓練データの出力部分が出力されるように、学習モデルMのパラメータを調整する。
学習部101は、訓練データベースDB2に格納された訓練データを学習モデルMに学習させる。学習モデルMの学習方法自体は、種々の手法を利用可能であり、例えば、勾配降下法又は誤差逆伝播法を利用可能である。先述したように、深層学習又は強化学習の手法が利用されてもよい。学習部101は、訓練データの入力部分が入力された場合に、訓練データの出力部分が出力されるように、学習モデルMのパラメータを調整する。
【0044】
[ログイン検知部]
ログイン検知部102は、SNSにおけるユーザのログインを検知する。ユーザのログインを検知するとは、ログインしたユーザのユーザIDを特定することである。本実施形態であれば、入力フォームF10に入力されたユーザIDに基づくログインが発生した場合に、このユーザIDを特定することは、ユーザのログインを検知することに相当する。本実施形態では、ログイン検知部102がログイン時の認証を実行する場合を説明するが、この認証は、ログイン検知部102以外の機能ブロックによって実行されてもよい。この認証は、サーバ10以外の他のコンピュータによって実行されてもよい。この場合、ログイン検知部102は、他のコンピュータから、ログインしたユーザのユーザIDを取得することによって、このユーザのログインを検知する。
ログイン検知部102は、SNSにおけるユーザのログインを検知する。ユーザのログインを検知するとは、ログインしたユーザのユーザIDを特定することである。本実施形態であれば、入力フォームF10に入力されたユーザIDに基づくログインが発生した場合に、このユーザIDを特定することは、ユーザのログインを検知することに相当する。本実施形態では、ログイン検知部102がログイン時の認証を実行する場合を説明するが、この認証は、ログイン検知部102以外の機能ブロックによって実行されてもよい。この認証は、サーバ10以外の他のコンピュータによって実行されてもよい。この場合、ログイン検知部102は、他のコンピュータから、ログインしたユーザのユーザIDを取得することによって、このユーザのログインを検知する。
【0045】
例えば、ログイン検知部102は、ユーザ端末20から、入力フォームF10,F11に入力されたユーザID及び第1パスワードを取得する。ログイン検知部102は、このユーザID及び第1パスワードのペアがユーザデータベースDB1に存在するか否かを判定する。ログイン検知部102は、このペアが存在する場合に、このペアに含まれるユーザIDのユーザによるログインを検知する。ログイン自体は、公知の種々の処理を利用可能である。ユーザがSNSにログインすると、SNSの各種サービスがユーザに提供される。
【0046】
なお、第2パスワードを登録済みのユーザであれば、ログイン検知部102は、ユーザにより入力されたユーザID、第1パスワード、及び第2パスワードの組み合わせがユーザデータベースDB1に存在するか否かを判定すればよい。ログイン検知部102は、この組み合わせが存在する場合に、この組み合わせに含まれるユーザIDのユーザによるログインを検知する。SNSへのログイン時に他の認証が実行される場合には、ログイン検知部102は、他の認証が成功したか否かを判定することによって、ユーザのログインを検知すればよい。
【0047】
[表示制御部]
表示制御部103は、SNSにログインしたユーザのユーザ端末20の表示部25に、ユーザ情報を変更又は登録するためのユーザ情報画面G3を表示させる。本実施形態では、サーバ10に表示制御部103が含まれるので、表示制御部103は、ユーザ端末20に、ユーザ情報画面G3を表示させるために必要な表示データを送信することによって、ユーザ情報画面G3を表示部25に表示させる。ユーザ情報画面G3は、第2パスワードを登録又は変更するための画面に限られず、ユーザ情報に含まれる他の任意の項目を登録又は変更するための画面であってよい。
表示制御部103は、SNSにログインしたユーザのユーザ端末20の表示部25に、ユーザ情報を変更又は登録するためのユーザ情報画面G3を表示させる。本実施形態では、サーバ10に表示制御部103が含まれるので、表示制御部103は、ユーザ端末20に、ユーザ情報画面G3を表示させるために必要な表示データを送信することによって、ユーザ情報画面G3を表示部25に表示させる。ユーザ情報画面G3は、第2パスワードを登録又は変更するための画面に限られず、ユーザ情報に含まれる他の任意の項目を登録又は変更するための画面であってよい。
【0048】
ユーザ情報画面G3の表示データは、任意の形式であってよく、例えば、ブラウザを利用してユーザ情報画面G3が表示される場合にはHTMLデータであってよい。SNSのアプリケーションを利用してユーザ情報画面G3が表示される場合には、この表示データは、アプリケーションに定義されたフレームにはめ込む画像データであってもよい。この表示データは、データ記憶部100に予め記憶されていてもよいし、データ記憶部100に記憶されたデータからその場で生成されてもよい。
【0049】
表示制御部103は、あるユーザがSNSにログインした後に、このユーザにより所定の操作が行われた場合に、ユーザ情報画面G3を表示部25に表示させる。本実施形態では、この操作がホーム画面G2のアイコンI21を選択する操作である場合を例に挙げるが、この操作は、ユーザ情報画面G3を表示させるための操作であればよく、任意の操作であってよい。ユーザは、この操作が行われる前に、SNSを利用するための他の操作をすることができる。例えば、友人とのメッセージを含むトーク画面、友人のタイムラインを含むタイムライン画面、ニュース記事を含むニュース画面、又は決済を実行するためのウォレット画面といった他の画面を表示させるための操作は、他の操作に相当する。
【0050】
[行動情報取得部]
行動情報取得部104は、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部におけるユーザの行動に関する行動情報を取得する。行動情報取得部104は、あるユーザIDに基づくログインが検知されると、このユーザIDに関連付ける行動情報を生成してユーザデータベースDB1に格納する。行動情報取得部104は、ユーザ端末20からユーザの何らかの行動を示すデータを受信した場合に、行動情報を更新する。行動情報の更新方法は、行動情報に含まれる情報の種類に応じた方法であればよい。
行動情報取得部104は、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部におけるユーザの行動に関する行動情報を取得する。行動情報取得部104は、あるユーザIDに基づくログインが検知されると、このユーザIDに関連付ける行動情報を生成してユーザデータベースDB1に格納する。行動情報取得部104は、ユーザ端末20からユーザの何らかの行動を示すデータを受信した場合に、行動情報を更新する。行動情報の更新方法は、行動情報に含まれる情報の種類に応じた方法であればよい。
【0051】
例えば、行動情報は、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部の時間の長さに関する時間情報を含む。行動情報取得部104は、あるユーザのログインが検知された場合に、現在日時を取得し、第1時点としてデータ記憶部100に記録する。現在日時は、リアルタイムクロック等を利用して取得されるようにすればよい。行動情報取得部104は、ユーザ情報画面G3が表示される場合に、現在日時を取得し、第2時点としてデータ記憶部100に記録する。行動情報取得部104は、第1時点から第2時点までの時間の長さを計算し、時間情報として取得する。時間の計測方法自体は、任意の方法であってよく、第1時点及び第2時点の差を計算するのではなく、所定の計時処理によって第1時点からの経過時間を計測する方法であってもよい。
【0052】
例えば、行動情報は、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部に表示された画面数に関する画面数情報を含む。行動情報取得部104は、あるユーザのログインが検知された場合に、このユーザのユーザIDに関連付けられた画面数情報として初期値(例えば、0又は1)を設定する。その後、行動情報取得部104は、SNSにおける何らかの画面が表示されるたびに、画面数情報をインクリメントする。行動情報取得部104は、特定の画面が表示された場合にだけ、画面数情報をインクリメントしてもよい。行動情報取得部104は、ユーザ情報画面G3が表示されるまで、画面数情報のインクリメントを行う。
【0053】
例えば、行動情報は、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部における操作量に関する操作量情報を含む。操作量とは、操作の多さであり、例えば、クリックやタップ等の操作が行われた回数、又は、ポインティングデバイスを利用した指示位置の移動距離(ポインタの移動距離等)である。行動情報取得部104は、あるユーザのログインが検知された場合に、このユーザのユーザIDに関連付けられた操作量情報として初期値(例えば、0又は1)を設定する。その後、行動情報取得部104は、SNSにおける何らかの操作が行われたことをユーザ端末20から受信するたびに、操作量情報をインクリメントする。行動情報取得部104は、特定の操作が行われた場合にだけ、操作量情報をインクリメントしてもよい。行動情報取得部104は、ユーザ情報画面G3が表示されるまで、操作量情報のインクリメントを行う。
【0054】
例えば、行動情報は、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部に表示された画面の種類に関する画面種類情報を含む。行動情報取得部104は、あるユーザのログインが検知され、ホーム画面G2が表示された場合に、このユーザのユーザIDに関連付けられた画面種類情報に、ホーム画面G2を識別可能な情報を追加する。その後、行動情報取得部104は、SNSにおける何らかの画面が表示されるたびに、この画面を識別可能な情報が追加されるように、画面種類情報を更新する。行動情報取得部104は、特定の画面が表示された場合にだけ、画面種類情報を更新してもよい。行動情報取得部104は、ユーザ情報画面G3が表示されるまで、画面種類情報を更新する。
【0055】
なお、行動情報は、他の情報を含んでもよい。行動情報取得部104は、行動情報として用いる情報に応じた取得方法で、行動情報を取得すればよい。例えば、ユーザ端末20の場所に関する場所情報を行動情報に含める場合には、行動情報取得部104は、ユーザ端末20のIPアドレスに基づいて、場所情報を取得してもよい。場所情報の取得方法自体は、任意の方法を利用可能であり、例えば、無線LANのアクセスポイント、携帯基地局情報、又はGPS等のGNSSが利用されてもよい。
【0056】
他にも例えば、時間情報以外にも現在日時に関する日時情報を行動情報に含める場合には、行動情報取得部104は、現在日時を、日時情報として取得してもよい。日時ではなく、時刻だけが利用されてもよいし、時間帯が利用されてもよい。行動情報は、ユーザの行動に関する情報であればよく、例えば、ユーザ端末20を識別可能なデバイス情報、ユーザ端末20の機種、オペレーティングシステム、ブラウザの種類、使用言語、又はこれらの組み合わせであってもよい。これらは、ユーザが何らかの行動を起こす際に使用されるものなので、行動情報に相当する。行動情報取得部104は、行動情報として用いる情報の種類に応じた取得方法で、行動情報を取得すればよい。
【0057】
[不正検知部]
不正検知部105は、行動情報に基づいて、ユーザの不正を検知する。本実施形態では、不正検知部105は、行動情報と、SNSにおける不正を検知するための学習モデルMと、に基づいて、ユーザの不正を検知する。不正検知部105が学習モデルMに行動情報を入力すると、学習モデルMは、入力された行動情報に対応する不正の検知結果を出力する。不正検知部105は、学習モデルMからの出力を取得し、ユーザの不正を検知する。
不正検知部105は、行動情報に基づいて、ユーザの不正を検知する。本実施形態では、不正検知部105は、行動情報と、SNSにおける不正を検知するための学習モデルMと、に基づいて、ユーザの不正を検知する。不正検知部105が学習モデルMに行動情報を入力すると、学習モデルMは、入力された行動情報に対応する不正の検知結果を出力する。不正検知部105は、学習モデルMからの出力を取得し、ユーザの不正を検知する。
【0058】
本実施形態では、図5を参照して説明したように、学習モデルMは、不正であるか否かを示す情報を出力する。不正検知部105は、あるユーザの行動情報を学習モデルMに入力し、不正であることを示す出力が得られた場合には、このユーザが不正であると判定する。不正検知部105は、あるユーザの行動情報を学習モデルMに入力し、正当であることを示す出力が得られた場合には、このユーザが正当であると判定する。正当であると判定されることは、不正であるとは判定しないことである。
【0059】
なお、学習モデルMが、不正の疑いの高さを示すスコアを出力する場合には、不正検知部105は、あるユーザの行動情報を学習モデルMに入力し、閾値以上のスコアが出力として得られた場合には、このユーザが不正であると判定する。不正検知部105は、あるユーザの行動情報を学習モデルMに入力し、閾値未満のスコアが出力として得られた場合には、このユーザが正当であると判定する。
【0060】
本実施形態では、行動情報は時間情報を含むので、不正検知部105は、時間情報に基づいて、ユーザの不正を検知する。本実施形態では、学習モデルMによって時間情報以外の情報も総合的に考慮される場合を説明するが、不正検知部105は、あるユーザの時間情報が示す時間が閾値未満である場合には、このユーザが不正であると判定してもよい。不正検知部105は、あるユーザの時間情報が示す時間が閾値以上である場合には、このユーザが正当であると判定してもよい。
【0061】
本実施形態では、行動情報は画面数情報を含むので、不正検知部105は、画面数情報に基づいて、ユーザの不正を検知する。本実施形態では、学習モデルMによって画面数情報以外の情報も総合的に考慮される場合を説明するが、不正検知部105は、あるユーザの画面数情報が示す画面数が閾値未満である場合には、このユーザが不正であると判定してもよい。不正検知部105は、あるユーザの画面数情報が示す画面数が閾値以上である場合には、このユーザが正当であると判定してもよい。
【0062】
本実施形態では、行動情報は操作量情報を含むので、不正検知部105は、操作量情報に基づいて、ユーザの不正を検知する。本実施形態では、学習モデルMによって操作量情報以外の情報も総合的に考慮される場合を説明するが、不正検知部105は、あるユーザの操作量情報が示す操作量が閾値未満である場合には、このユーザが不正であると判定してもよい。不正検知部105は、あるユーザの操作量情報が示す操作量が閾値以上である場合には、このユーザが正当であると判定してもよい。
【0063】
本実施形態では、行動情報は画面種類情報を含むので、不正検知部105は、画面種類情報に基づいて、ユーザの不正を検知する。本実施形態では、学習モデルMによって操作量情報以外の情報も総合的に考慮される場合を説明するが、不正検知部105は、あるユーザの画面種類情報が示す画面に特定の画面が含まれない場合には、このユーザが不正であると判定してもよい。不正検知部105は、あるユーザの画面種類情報が示す画面に特定の画面が含まれる場合には、このユーザが正当であると判定してもよい。
【0064】
特定の画面とは、正当ユーザであれば表示させると思われる画面である。例えば、特定の画面は、正当ユーザによるアクセス数が相対的に多い画面である。特定の画面は、不正ユーザによるアクセス数が相対的に少ない画面である。特定の画面は、ユーザ情報画面G3以外の任意の画面であればよい。特定の画面は、過去の統計に基づいて決定されてもよい。例えば、過去の統計から、正当ユーザはゲーム画面を表示させることが多いが、不正ユーザはゲーム画面を表示させることが少ないことが特定された場合には、特定の画面は、ゲーム画面であってもよい。
【0065】
なお、特定の画面は、不正ユーザがユーザ情報画面G3の前に表示させることが多い画面であってもよい。例えば、過去の統計に基づいて、不正ユーザがトーク画面を表示させた後にユーザ情報画面G3を表示させる傾向が特定された場合には、特定の画面は、トーク画面であってもよい。この場合、不正検知部105は、あるユーザの画面種類情報が示す画面に特定の画面が含まれる場合には、このユーザが不正であると判定してもよい。不正検知部105は、あるユーザの画面種類情報が示す画面に特定の画面が含まれない場合には、このユーザが正当であると判定してもよい。
【0066】
本実施形態では、ユーザ情報は、SNSにおける認証に関する認証情報を含む。この認証情報が第2パスワードである場合を例に挙げるが、この認証情報は、第1パスワード又は他の認証情報であってもよい。このため、第2パスワードと記載した箇所は、認証情報又はユーザ情報と読み替えることができる。不正検知部105は、ユーザ情報画面G3において第2パスワードが変更又は登録される場合に、行動情報に基づいて、ユーザの不正を検知する。図2の例であれば、不正検知部105は、メニューM22の「第2パスワードの登録又は変更」のリンクが選択された場合に、ユーザの不正を検知する。それまでは行動情報の収集が継続されるが、ユーザの不正は検知されないものとする。
【0067】
なお、不正検知部105は、任意のタイミングでユーザの不正を検知可能である。例えば、ユーザ情報画面G3の「第2パスワードの登録又は変更」のリンクが選択されなくても、ユーザ情報画面G3が表示される時点でユーザの不正を検知してもよい。他にも例えば、不正検知部105は、ユーザ情報画面G3の「第1パスワードの変更」のリンクが選択された場合に、ユーザの不正を検知してもよい。他のタイミングについては、後述の変形例で説明する。
【0068】
また、不正検知部105は、学習モデルMを利用して不正を検知するのではなく、先述したルールベースのモデルを利用して不正を検知してもよい。他にも例えば、不正検知部105は、時間情報や画面数情報等を利用した不正の検知方法で説明した個々の項目を判定し、所定数以上の項目について不正と判定された場合に、ユーザを不正と判定してもよい。不正検知部105は、行動情報を利用した任意の不正検知を実行可能である。
【0069】
[制限部]
制限部106は、ユーザの不正が検知された場合に、ユーザ情報画面G3におけるユーザ情報の変更又は登録を制限する。本実施形態では、ユーザ情報の変更又は登録を禁止することが制限に相当する場合を説明するが、ユーザ情報を自由に変更又は登録しないようにすることが制限に相当すればよい。例えば、ユーザ情報の一部の変更又は登録は許可するが、ユーザ情報の他の部分の変更又は登録を禁止することが制限に相当してもよい。本実施形態では、制限の対象となるのは第2パスワードなので、制限部106は、ユーザの不正が検知された場合に、ユーザ情報画面G3における第2パスワードの変更又は登録を制限する。
制限部106は、ユーザの不正が検知された場合に、ユーザ情報画面G3におけるユーザ情報の変更又は登録を制限する。本実施形態では、ユーザ情報の変更又は登録を禁止することが制限に相当する場合を説明するが、ユーザ情報を自由に変更又は登録しないようにすることが制限に相当すればよい。例えば、ユーザ情報の一部の変更又は登録は許可するが、ユーザ情報の他の部分の変更又は登録を禁止することが制限に相当してもよい。本実施形態では、制限の対象となるのは第2パスワードなので、制限部106は、ユーザの不正が検知された場合に、ユーザ情報画面G3における第2パスワードの変更又は登録を制限する。
【0070】
[4.不正検知システムで実行される処理]
図9は、不正検知システムSで実行される処理の一例を示すフロー図である。この処理は、制御部11,21が記憶部12,22に記憶されたプログラムに従って動作することによって実行される。この処理は、図6に示す機能ブロックにより実行される処理の一例である。
図9は、不正検知システムSで実行される処理の一例を示すフロー図である。この処理は、制御部11,21が記憶部12,22に記憶されたプログラムに従って動作することによって実行される。この処理は、図6に示す機能ブロックにより実行される処理の一例である。
【0071】
図9に示すように、ユーザ端末20は、SNSのアプリケーションが起動した場合、又は、ブラウザからSNSのURLが指定された場合に、サーバ10にアクセスしてログイン画面G1を表示部25に表示させる(S1)。ユーザ端末20は、入力フォームF10,F11にユーザID及び第1パスワードが入力されてボタンB12が選択されると、サーバ10に、当該入力されたユーザID及び第1パスワードを含むログイン要求を送信する(S2)。
【0072】
サーバ10は、ログイン要求を受信すると、ユーザデータベースDB1に基づいて、認証を実行する(S3)。S3では、ログイン要求に含まれるユーザID及び第1パスワードのペアがユーザデータベースDB1に存在する場合に、認証が成功する。このペアが存在しない場合に、認証は失敗する。認証が失敗した場合(S3;失敗)、本処理は終了する。認証が成功した場合(S3;成功)、サーバ10は、SNSへのログイン処理を実行する(S4)。
【0073】
ログイン処理が実行されると、サーバ10とユーザ端末20との間で、ホーム画面G2を表示させるための処理が実行され(S5)、ユーザ端末20は、ユーザの操作を受け付ける(S6)。ここでは、第2パスワードを変更又は登録するためのユーザ情報画面G3以外の他の画面を表示させるための操作、第2パスワードを変更又は登録するためのユーザ情報画面G3を表示させるための操作、又は所定の終了操作が行われるものとする。
【0074】
他の画面を表示させるための操作が行われた場合(S6;他の画面)、サーバ10とユーザ端末20との間で、トーク画面やタイムライン画面といった他の画面を表示させるための処理が実行される(S7)。サーバ10は、ユーザ端末20からユーザの何らかの行動に関するデータを受信すると、ログイン中のユーザのユーザIDに関連付けられた行動情報を更新する(S8)。行動情報の更新方法は、行動情報取得部104の処理で説明した通りである。
【0075】
第2パスワードを変更又は登録するためのユーザ情報画面G3を表示させるための操作が行われた場合(S6;G3)、サーバ10とユーザ端末20との間で、第2パスワードを変更又は登録するためのユーザ情報画面G3を表示させるための処理が実行される(S9)。サーバ10は、ログイン中のユーザのユーザIDに関連付けられた行動情報を学習モデルMに入力し(S10)、学習モデルMからの出力を取得する(S11)。
【0076】
学習モデルMからの出力が正当である場合(S11;正当)、サーバ10とユーザ端末20との間で、第2パスワードを変更又は登録するための処理が実行され(S12)、本処理は終了する。学習モデルMからの出力が不正である場合(S11;不正)、サーバ10とユーザ端末20との間で、ユーザ情報を変更又は登録するための処理は実行されず、所定のエラーメッセージがユーザ端末20に表示される。終了操作が行われた場合(S6;終了)、本処理は終了する。
【0077】
本実施形態の不正検知システムSによれば、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部におけるユーザの行動に関する行動情報に基づいて、ユーザの不正を検知する。ユーザの一連の行動を総合的に考慮することができるので、不正検知の精度が高まる。その結果、SNSが不正に利用されることを防止し、SNSにおけるセキュリティが高まる。
【0078】
また、不正検知システムSは、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部の時間の長さに関する時間情報に基づいて、ユーザの不正を検知する。不正ユーザは、SNSにログインしてからすぐにユーザ情報画面G3を表示させることが多いので、時間情報を考慮することによって、不正ユーザと似た行動を特定でき不正検知の精度がより高まる。
【0079】
また、不正検知システムSは、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部に表示された画面数に関する画面数情報に基づいて、ユーザの不正を検知する。不正ユーザは、SNSにログインしてから他の画面をあまり経由することなくユーザ情報画面G3を表示させることが多いので、画面数情報を考慮することによって、不正ユーザと似た行動を特定でき不正検知の精度がより高まる。
【0080】
また、不正検知システムSは、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部における操作量に関する操作量情報に基づいて、ユーザの不正を検知する。不正ユーザは、SNSにログインしてから何らかの操作をあまり行うことなくユーザ情報画面G3を表示させることが多いので、操作量情報を考慮することによって、不正ユーザと似た行動を特定でき不正検知の精度がより高まる。
【0081】
また、不正検知システムSは、ログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部に表示された画面の種類に関する画面種類情報に基づいて、ユーザの不正を検知する。SNSにログインしてからユーザ情報画面G3を表示させるまでの不正ユーザの画面遷移は特徴的なことが多く、画面種類情報を考慮することによって、不正ユーザと似た行動を特定でき不正検知の精度がより高まる。
【0082】
また、不正検知システムSは、ユーザ情報画面G3において第2パスワードが変更又は登録される場合に、行動情報に基づいて、ユーザの不正を検知する。これにより、第2パスワードが変更又は登録されることを防止できるので、SNSにおけるセキュリティが高まる。その結果、正当ユーザが自身のユーザIDでログインできなくなってしまう、といったことを防止できる。また、不正ユーザに狙われやすい第2パスワードが変更又は登録されるタイミングを不正検知のタイミングとすることによって、より最適なタイミングで不正を検知できる。例えば、他のタイミングでは不正検知の処理を実行しないようにすることで、サーバ10の処理負荷を軽減できる。
【0083】
また、不正検知システムSは、ユーザの不正が検知された場合に、ユーザ情報画面G3におけるユーザ情報の変更又は登録を制限する。これにより、ユーザ情報が変更又は登録されることを防止できるので、SNSにおけるセキュリティが高まる。
【0084】
また、不正検知システムSは、行動情報と、SNSにおける不正を検知するための学習モデルMと、に基づいて、ユーザの不正を検知する。学習モデルMは、管理者が手動でルールを定めなくても、例えば最近の不正ユーザの傾向を学習モデルMに学習させ、不正検知の精度がより高まる。
【0085】
[5.変形例]
なお、本開示は、以上に説明した実施形態に限定されるものではない。本開示の趣旨を逸脱しない範囲で、適宜変更可能である。
なお、本開示は、以上に説明した実施形態に限定されるものではない。本開示の趣旨を逸脱しない範囲で、適宜変更可能である。
【0086】
図10は、変形例における機能ブロック図である。図10では、実施形態で説明した制限部106を第1制限部106と記載する。図10に示すように、以降説明する変形例では、実施形態で説明した機能に加えて、履歴情報取得部107、ログアウト部108、第2制限部109、要求部110、及び検知結果提供部111が実現される。これら各機能は、制御部11を主として実現される。
【0087】
[5-1.変形例1]
例えば、不正検知システムSは、過去のログイン時におけるユーザの行動履歴に関する履歴情報を取得する履歴情報取得部107を更に含んでもよい。行動履歴とは、過去に行われた行動の時系列な記録である。履歴情報には、ユーザが過去にSNSにログインしてからログアウトするまでの全部又は一部の行動履歴が示されてもよいし、特にログアウトが発生せずに、過去のログインから今回のログインまでの全部又は一部の行動履歴が示されてもよい。履歴情報は、ユーザデータベースDB1に格納されるものとするが、他のデータベースに格納されてもよい。
例えば、不正検知システムSは、過去のログイン時におけるユーザの行動履歴に関する履歴情報を取得する履歴情報取得部107を更に含んでもよい。行動履歴とは、過去に行われた行動の時系列な記録である。履歴情報には、ユーザが過去にSNSにログインしてからログアウトするまでの全部又は一部の行動履歴が示されてもよいし、特にログアウトが発生せずに、過去のログインから今回のログインまでの全部又は一部の行動履歴が示されてもよい。履歴情報は、ユーザデータベースDB1に格納されるものとするが、他のデータベースに格納されてもよい。
【0088】
例えば、履歴情報には、ユーザ端末20の表示部25に表示された画面を識別可能な情報と、この画面に対する操作内容を識別可能な情報と、の少なくとも一方が含まれる。履歴情報には、個々の行動が行われた日時を識別可能な情報が含まれてもよい。サーバ10は、あるユーザがSNSにログインした場合に、このユーザのユーザ端末20との通信内容に基づいて、このユーザのユーザIDに関連付けられた履歴情報を更新する。例えば、サーバ10は、ある画面をユーザ端末20に表示させた場合には、この画面を識別可能な情報を履歴情報に追加する。サーバ10は、ある操作が行われたことをユーザ端末20から受信した場合には、この操作内容を識別可能な情報を履歴情報に追加する。
【0089】
本変形例の不正検知部105は、行動情報と、履歴情報と、の違いに基づいて、ユーザの不正を検知する。この違いは、今回のログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部における行動と、過去のログインが検知されてからユーザ情報画面G3が表示されるまでの期間の少なくとも一部における行動と、の違いである。違いは、差分ということもできる。
【0090】
実施形態と同様に、学習モデルMが利用される場合には、行動情報及び履歴情報の違いは、学習モデルMに入力される特徴量の1つになる。学習モデルMには、あるユーザの行動情報及び履歴情報の違いと、このユーザが不正であるか否かと、の関係が学習されている。不正検知部105は、ログイン中のユーザの行動情報及び履歴情報の違いを学習モデルMに入力し、学習モデルMからの出力を取得することによって、このユーザの不正を検知する。
【0091】
本変形例では、学習モデルMによって行動情報及び履歴情報の違い以外の情報も総合的に考慮される場合を説明するが、不正検知部105は、あるユーザの行動情報及び履歴情報の違いが閾値以上である場合には、このユーザが不正であると判定してもよい。不正検知部105は、あるユーザの行動情報及び履歴情報の違いが閾値未満である場合には、このユーザが正当であると判定してもよい。
【0092】
変形例1によれば、行動情報と、過去のログイン時におけるユーザの行動履歴に関する履歴情報と、の違いに基づいて、ユーザの不正を検知する。ユーザの行動の傾向は、ユーザごとに異なることがあるので、個々のユーザの普段の行動を示す行動履歴との違いを考慮することによって、不正検知の精度がより高まる。
【0093】
[5-2.変形例2]
例えば、ユーザ情報は、SNSにおける利用条件に関する利用条件情報を含んでもよい。利用条件は、SNSの利用時に参照される条件である。利用条件は、SNSの利用範囲を定めるものであってもよい。利用条件は、サービスの内容に応じた条件であればよく、実施形態で説明したSNSであれば、投稿の公開範囲等でもよいし、ウォレットを利用した電子決済における1回あたりの利用上限額、所定期間における利用上限額、電子マネーへの1回あたりのチャージ上限額、又は所定期間におけるチャージ上限額が利用条件に相当してもよい。
例えば、ユーザ情報は、SNSにおける利用条件に関する利用条件情報を含んでもよい。利用条件は、SNSの利用時に参照される条件である。利用条件は、SNSの利用範囲を定めるものであってもよい。利用条件は、サービスの内容に応じた条件であればよく、実施形態で説明したSNSであれば、投稿の公開範囲等でもよいし、ウォレットを利用した電子決済における1回あたりの利用上限額、所定期間における利用上限額、電子マネーへの1回あたりのチャージ上限額、又は所定期間におけるチャージ上限額が利用条件に相当してもよい。
【0094】
利用条件情報は、ユーザデータベースDB1に格納される。サーバ10は、あるユーザがSNSを利用する場合に、このユーザのユーザIDに関連付けられた利用条件情報に基づいて、SNSを提供する。利用条件情報は、ユーザ情報画面G3から変更又は登録が可能である。例えば、ユーザ情報画面G3に「利用条件情報を変更又は登録する」といったリンクを表示させ、このリンクが選択された場合に、利用条件情報が変更又は登録されてもよい。
【0095】
不正検知部105は、ユーザ情報画面G3において利用条件情報が変更又は登録される場合に、行動情報に基づいて、ユーザの不正を検知する。例えば、不正検知部105は、ユーザ情報画面G3の「利用条件情報を変更又は登録する」のリンクが選択された場合に、ユーザの不正を検知する。それまでは行動情報の収集が継続されるが、ユーザの不正は検知されないものとする。不正の検知方法自体は、実施形態で説明した通りである。
【0096】
変形例2によれば、ユーザ情報画面G3において利用条件情報が変更又は登録される場合に、行動情報に基づいて、ユーザの不正を検知する。これにより、利用条件情報が変更又は登録されることを防止できるので、SNSにおけるセキュリティが高まる。その結果、正当ユーザが意図しない利用条件で不正ユーザが勝手にSNSを利用するといった行為を防止できる。また、不正ユーザに狙われやすい利用条件情報が変更又は登録されるタイミングを不正検知のタイミングとすることによって、より最適なタイミングで不正を検知できる。例えば、他のタイミングでは不正検知の処理を実行しないようにすることで、サーバ10の処理負荷を軽減できる。
【0097】
[5-3.変形例3]
例えば、ユーザ情報は、SNSで提供される物の提供先に関する提供先情報を含んでもよい。この物は、SNSから提供される商品、又は、SNSの利用に必要な物である。例えば、SNSではなく後述する電子決済サービスの例であれば、クレジットカード等のカードが物に相当してもよい。商品は、有体物であってもよいし、動画データ又は楽曲データのような無体物であってもよい。有体物の商品であれば、配送先の住所が提供先に相当する。この場合、SNSから商品を注文可能であるものとする。無体物の商品であれば、データの送信先が提供先に相当する。データは、任意の媒体によって提供可能であり、例えば、SNS、電子メール、メッセージアプリ、又はファイル転送プロトコルによって提供可能である。即ち、無体物の商品であれば、SNSのアカウントや電子メールアドレス等が提供先に相当する。
例えば、ユーザ情報は、SNSで提供される物の提供先に関する提供先情報を含んでもよい。この物は、SNSから提供される商品、又は、SNSの利用に必要な物である。例えば、SNSではなく後述する電子決済サービスの例であれば、クレジットカード等のカードが物に相当してもよい。商品は、有体物であってもよいし、動画データ又は楽曲データのような無体物であってもよい。有体物の商品であれば、配送先の住所が提供先に相当する。この場合、SNSから商品を注文可能であるものとする。無体物の商品であれば、データの送信先が提供先に相当する。データは、任意の媒体によって提供可能であり、例えば、SNS、電子メール、メッセージアプリ、又はファイル転送プロトコルによって提供可能である。即ち、無体物の商品であれば、SNSのアカウントや電子メールアドレス等が提供先に相当する。
【0098】
提供先情報は、ユーザデータベースDB1に格納される。サーバ10は、あるユーザがSNSで物を注文した場合に、このユーザのユーザIDに関連付けられた提供先情報に基づいて、商品を提供する。提供先情報は、ユーザ情報画面G3から変更又は登録が可能である。図2の例であれば、メニューM22の「住所の変更又は登録」のリンクが選択された場合に、提供先情報を変更又は登録するためユーザ情報画面G3が表示される。このユーザ情報画面G3では、提供先情報の入力が受け付けられる。提供先情報を登録していないユーザは、提供先情報の変更ではなく登録を行う。
【0099】
不正検知部105は、ユーザ情報画面G3において提供先情報が変更又は登録される場合に、行動情報に基づいて、ユーザの不正を検知する。例えば、不正検知部105は、メニューM22の「住所の変更又は登録」のリンクが選択された場合に、ユーザの不正を検知する。それまでは行動情報の収集が継続されるが、ユーザの不正は検知されないものとする。不正の検知方法自体は、実施形態で説明した通りである。
【0100】
変形例3によれば、ユーザ情報画面G3において提供先情報が変更又は登録される場合に、行動情報に基づいて、ユーザの不正を検知する。これにより、提供先情報が変更又は登録されることを防止できるので、SNSにおけるセキュリティが高まる。その結果、正当ユーザが意図しない場所にSNSで提供される商品等が提供されてしまう、といったことを防止できる。また、不正ユーザに狙われやすい提供先情報が変更又は登録されるタイミングを不正検知のタイミングとすることによって、より最適なタイミングで不正を検知できる。例えば、他のタイミングでは不正検知の処理を実行しないようにすることで、サーバ10の処理負荷を軽減できる。
【0101】
[5-4.変形例4]
例えば、不正検知システムSは、ユーザの不正が検知された場合に、SNSにログインしているユーザを強制的にログアウトさせるログアウト部108を含んでもよい。強制的にログアウトする方法自体は、公知の種々の手法を利用可能であり、例えば、サーバ10側でユーザのログイン状態を識別する情報を削除すればよい。この情報は、任意の情報であってよく、例えば、セッションを維持するためのセッションID、ログイン状態を維持するために一時的に有効になる認証情報、又はCookieに保持される情報であってもよい。ログアウト部108は、あるユーザの不正が検知されたことを条件として、このユーザを強制的にログアウトさせ、このユーザの不正が検知されない場合には、強制的なログアウトを実行せずにログイン状態を維持させる。
例えば、不正検知システムSは、ユーザの不正が検知された場合に、SNSにログインしているユーザを強制的にログアウトさせるログアウト部108を含んでもよい。強制的にログアウトする方法自体は、公知の種々の手法を利用可能であり、例えば、サーバ10側でユーザのログイン状態を識別する情報を削除すればよい。この情報は、任意の情報であってよく、例えば、セッションを維持するためのセッションID、ログイン状態を維持するために一時的に有効になる認証情報、又はCookieに保持される情報であってもよい。ログアウト部108は、あるユーザの不正が検知されたことを条件として、このユーザを強制的にログアウトさせ、このユーザの不正が検知されない場合には、強制的なログアウトを実行せずにログイン状態を維持させる。
【0102】
変形例4によれば、ユーザの不正が検知された場合に、SNSにログインしているユーザを強制的にログアウトさせる。これにより、ユーザ情報が変更又は登録されるといった不正を防止し、SNSにおけるセキュリティが高まる。強制的なログアウトを実行することにより、他の不正が発生することも防止できる。
【0103】
[5-5.変形例5]
例えば、不正検知システムSは、ユーザの不正が検知された場合に、ユーザ情報画面G3において変更又は登録されたユーザ情報に基づくSNSの提供を制限する第2制限部109を含んでもよい。本変形例では、ユーザ情報に基づくSNSの提供を禁止することが制限に相当する場合を説明するが、例えば、ユーザ情報に基づくSNSの一部の機能は許可するが、他の機能の提供を禁止することが制限に相当してもよい。本実施形態では、制限の対象となるのは第2パスワードなので、第2制限部109は、ユーザの不正が検知された場合に、第2パスワードを利用したログインを制限する。他にも例えば、SNSにおける電子決済の際に第2パスワードが要求される場合には、第2制限部109は、第2パスワードに基づいて認証が実行されて電子決済が許可されることを制限する。
例えば、不正検知システムSは、ユーザの不正が検知された場合に、ユーザ情報画面G3において変更又は登録されたユーザ情報に基づくSNSの提供を制限する第2制限部109を含んでもよい。本変形例では、ユーザ情報に基づくSNSの提供を禁止することが制限に相当する場合を説明するが、例えば、ユーザ情報に基づくSNSの一部の機能は許可するが、他の機能の提供を禁止することが制限に相当してもよい。本実施形態では、制限の対象となるのは第2パスワードなので、第2制限部109は、ユーザの不正が検知された場合に、第2パスワードを利用したログインを制限する。他にも例えば、SNSにおける電子決済の際に第2パスワードが要求される場合には、第2制限部109は、第2パスワードに基づいて認証が実行されて電子決済が許可されることを制限する。
【0104】
変形例5によれば、ユーザの不正が検知された場合に、ユーザ情報画面G3において変更又は登録されたユーザ情報に基づくSNSの提供を制限する。これにより、SNSが不正に利用されることを防止し、SNSにおけるセキュリティが高まる。
【0105】
[5-6.変形例6]
例えば、不正検知システムSは、ユーザの不正が検知された場合に、ユーザ情報画面G3において変更又は登録されたユーザ情報に基づいてSNSが提供される前に、ユーザの不正が検知されない場合には要求されない認証を、ユーザに要求する要求部110を含んでもよい。この認証は、任意の種類であってよく、例えば、ログイン時の認証とは異なる認証である。第2パスワードを登録していないユーザであれば、ユーザID及び第1パスワードを入力させる認証以外の認証である。第2パスワードを登録したユーザであれば、ユーザID、第1パスワード、及び第2パスワードを入力させる認証以外の認証である。
例えば、不正検知システムSは、ユーザの不正が検知された場合に、ユーザ情報画面G3において変更又は登録されたユーザ情報に基づいてSNSが提供される前に、ユーザの不正が検知されない場合には要求されない認証を、ユーザに要求する要求部110を含んでもよい。この認証は、任意の種類であってよく、例えば、ログイン時の認証とは異なる認証である。第2パスワードを登録していないユーザであれば、ユーザID及び第1パスワードを入力させる認証以外の認証である。第2パスワードを登録したユーザであれば、ユーザID、第1パスワード、及び第2パスワードを入力させる認証以外の認証である。
【0106】
要求部110により要求される認証は、ユーザ端末20内で完結する認証(例えば、ユーザ端末20に登録された生体情報を利用した生体認証)であってもよいが、本変形例では、ユーザデータベースDB1に登録された認証情報を利用した認証であるものとする。例えば、ユーザデータベースDB1に生体情報を登録しておき、当該登録された生体情報と、ユーザ端末20から入力された生体情報と、に基づく生体認証が要求されてもよい。他にも例えば、第3パスワード又は暗証番号をユーザデータベースDB1に登録しておき、当該登録された第3パスワード又は暗証番号を利用した認証が要求されてもよい。
【0107】
要求部110は、あるユーザの不正が検知された場合に、このユーザがログインしているユーザIDについては、上記の任意の認証を要求する。サーバ10は、このユーザがSNSを利用する場合には、この認証を成功させたことを条件として、SNSを利用させる。サーバ10は、この認証が成功しなかった場合には、このユーザによるSNSの利用を制限する。本変形例では、SNSの利用を禁止することが制限に相当する場合を説明するが、例えば、SNSの一部の機能の利用は許可するが、他の機能の利用を禁止することが制限に相当してもよい。
【0108】
変形例6によれば、ユーザの不正が検知された場合に、ユーザ情報画面G3において変更又は登録されたユーザ情報に基づいてSNSが提供される前に、ユーザの不正が検知されない場合には要求されない認証を、ユーザに要求する。これにより、SNSが不正に利用されることを防止し、SNSにおけるセキュリティが高まる。
【0109】
[5-7.変形例7]
例えば、表示制御部103は、ユーザ情報画面G3が表示される前に、不正検知の判定基準として利用される判定基準画面を表示部25に表示させてもよい。判定基準画面は、不正ユーザと正当ユーザとの間で行動が異なりやすい画面である。例えば、不正ユーザは、何の操作もせずに素通りする画面であるが、正当ユーザは何らかの操作をする画面である。本変形例では、クーポンやポイント等の所定の特典を得られるキャンペーンを表示させるための画面が判定基準画面に相当する場合を説明する。
例えば、表示制御部103は、ユーザ情報画面G3が表示される前に、不正検知の判定基準として利用される判定基準画面を表示部25に表示させてもよい。判定基準画面は、不正ユーザと正当ユーザとの間で行動が異なりやすい画面である。例えば、不正ユーザは、何の操作もせずに素通りする画面であるが、正当ユーザは何らかの操作をする画面である。本変形例では、クーポンやポイント等の所定の特典を得られるキャンペーンを表示させるための画面が判定基準画面に相当する場合を説明する。
【0110】
図11は、判定基準画面の一例を示す図である。図11の例では、メニューM22にキャンペーンに関する情報が表示される。このため、メニューM22が表示されたホーム画面G2は、判定基準画面の一例である。正当ユーザは、メニューM22に表示されたキャンペーンに興味を持ち、このキャンペーンの特典を受け取るための画面(例えば、キャンペーンにエントリーする画面)に遷移することが多い。不正ユーザは、メニューM22に表示されたキャンペーンを選択せずに、ユーザ情報画面G3に移行することが多い。
【0111】
不正ユーザと正当ユーザの過去の行動の統計に基づいて、どの画面を判定基準画面にするか決定されてもよい。この場合、ある画面に対する不正ユーザの行動と、この画面に対する正当ユーザの行動と、の間に一定程度の差があれば、この画面が判定基準画面として採用される。サーバ10は、SNSで提供される画面ごとに、不正ユーザ及び正当ユーザの各々のアクセス数や操作内容を集計し、判定基準画面とする画面を決定してもよい。他にも例えば、サーバ10は、正当ユーザごとに、この正当ユーザの過去の行動履歴から興味を持つ可能性が高いキャンペーンの内容を特定し、この正当ユーザのユーザIDでSNSにログインした場合に、この正当ユーザが興味を持つ可能性が高いキャンペーンを表示させるようにしてもよい。
【0112】
本変形例の行動情報は、判定基準画面におけるユーザの操作に関する操作情報を含む。操作情報は、判定基準画面が表示された状態で行われたユーザの操作内容を示す。例えば、操作情報は、判定基準画面に表示されたアイコン等の画像が選択されたか否か、カーソルの移動量、又はスクロール量等である。
【0113】
不正検知部105は、操作情報に基づいて、ユーザの不正を検知する。実施形態と同様に、学習モデルMが利用される場合には、操作情報は、学習モデルMに入力される特徴量の1つになる。学習モデルMには、操作情報を含む行動情報と、このユーザが不正であるか否かと、の関係が学習されている。不正検知部105は、ログイン中のユーザから取得された操作情報を含む行動情報を学習モデルMに入力し、学習モデルMからの出力を取得することによって、このユーザの不正を検知する。
【0114】
本変形例では、学習モデルMによって操作情報以外の情報も総合的に考慮される場合を説明するが、不正検知部105は、あるユーザの操作情報が特定の操作が行われたことを示さない場合には、このユーザが不正であると判定してもよい。不正検知部105は、あるユーザの操作情報が特定の操作が行われたことを示す場合には、このユーザが正当であると判定してもよい。
【0115】
特定の操作とは、正当ユーザであれば行うと思われる操作である。例えば、特定の操作は、判定基準画面に表示されたキャンペーンのリンクを選択することである。例えば、正当ユーザであることが確定されたユーザにより行われた操作を集計し、集計数が多い操作を特定の操作として利用してもよい。
【0116】
特定の操作は、不正ユーザであれば行うと思われる操作であってもよい。例えば、不正ユーザであることが確定されたユーザにより行われた操作を集計し、集計数が多い操作を特定の操作として利用してもよい。この場合、不正検知部105は、あるユーザの操作情報が特定の操作が行われたことを示す場合には、このユーザが不正であると判定してもよい。不正検知部105は、あるユーザの操作情報が特定の操作が行われたことを示さない場合には、このユーザが正当であると判定してもよい。
【0117】
変形例7によれば、判定基準画面におけるユーザの操作に関する操作情報に基づいて、ユーザの不正を検知する。不正ユーザであるか否かを判定しやすい判定基準画面におけるユーザの操作を考慮することによって、不正検知の精度がより高まる。
【0118】
[5-8.変形例8]
例えば、表示制御部103は、第1ユーザ情報を変更又は登録するための第1ユーザ情報画面と、第2ユーザ情報を変更又は登録するための第2ユーザ情報画面と、を表示部25に表示させてもよい。即ち、複数のユーザ情報が次々と変更又は登録であってもよい。この場合、不正ユーザは、複数のユーザ情報を次々と変更又は登録することがあるが、正当ユーザは、複数のユーザ情報を次々と変更又は登録することはあまりないので、複数のユーザ情報を次々と変更又は登録する行動に基づいて、不正が検知されてもよい。
例えば、表示制御部103は、第1ユーザ情報を変更又は登録するための第1ユーザ情報画面と、第2ユーザ情報を変更又は登録するための第2ユーザ情報画面と、を表示部25に表示させてもよい。即ち、複数のユーザ情報が次々と変更又は登録であってもよい。この場合、不正ユーザは、複数のユーザ情報を次々と変更又は登録することがあるが、正当ユーザは、複数のユーザ情報を次々と変更又は登録することはあまりないので、複数のユーザ情報を次々と変更又は登録する行動に基づいて、不正が検知されてもよい。
【0119】
なお、本変形例では、第1パスワード及び第2パスワードとは異なる第3パスワードが存在する場合を例に挙げて説明する。例えば、第1ユーザ情報画面は、第1ユーザ情報としての第2パスワードを変更又は登録するための画面である。第2ユーザ情報画面は、第2ユーザ情報としての第3パスワードを変更又は登録するための画面である。第3パスワードは、ログイン時に利用されてもよいが、本変形例では、所定のサービスで利用されるものとする。例えば、ウォレットに登録されたクレジットカードを利用する場合に要求される3Dセキュアと呼ばれる認証のパスワードが第3パスワードに相当してもよい。
【0120】
図12は、複数のユーザ情報が次々と変更又は登録される様子の一例を示す図である。図12に示すように、行動情報は、ログインが検知されてから第1ユーザ情報画面G3Aが表示されるまでの期間の少なくとも一部におけるユーザの行動に関する第1行動情報と、第1ユーザ情報画面G3Aが表示されてから第2ユーザ情報画面G3Bが表示されるまでの期間の少なくとも一部におけるユーザの行動に関する第2行動情報と、を取得する。第1行動情報及び第2行動情報は、対象となる期間が異なるだけであり、個々の行動情報の項目や取得方法自体は、実施形態で説明した行動情報と同様である。
【0121】
不正検知部105は、第1行動情報と、第2行動情報と、に基づいて、ユーザの不正を検知する。例えば、学習モデルMには、第1行動情報及び第2行動情報と、ユーザが不正であるか否かと、の関係が学習されていてもよい。この場合、不正検知部105は、第1行動情報及び第2行動情報を学習モデルMに入力し、学習モデルMから取得された出力が不正を示すか否かを判定する。不正検知部105は、第1行動情報を学習モデルMに入力し、学習モデルMから取得された第1出力と、第2行動情報を学習モデルMに入力し、学習モデルMから取得された第2出力と、に基づいて、ユーザの不正を検知してもよい。
【0122】
他にも例えば、不正検知部105は、学習モデルMを利用するのではなく、実施形態で説明した方法と同様にして、ユーザの不正を検知してもよい。例えば、不正検知部105は、第1行動情報に含まれる時間情報が示す時間が第1閾値未満であり、かつ、第2行動情報に含まれる時間情報が示す時間が第2閾値未満である場合に、ユーザが不正であると判定してもよい。例えば、不正検知部105は、第1行動情報に含まれる画面数情報が示す画面数が第1閾値未満であり、かつ、第2行動情報に含まれる画面数情報が示す画面数が第2閾値未満である場合に、ユーザが不正であると判定してもよい。操作量情報や画面種類情報についても同様である。
【0123】
変形例8によれば、第1行動情報と、第2行動情報と、に基づいて、ユーザの不正を検知する。これにより、複数のユーザ情報を次々と変更又は登録するといった不正を検知し、不正検知の精度がより高まる。
【0124】
[5-9.変形例9]
例えば、不正検知システムSは、不正検知部105によるユーザの不正の検知結果を、ユーザが利用登録をした他のサービスに提供する検知結果提供部111を含んでもよい。他のサービスでは、不正検知部105の検知結果に基づいて、当該他のサービスにおけるユーザが不正で有るか否かが判定される。他のサービスは、SNSと連携するサービスであればよく、任意のサービスであってよい。例えば、SNSの運営会社と同じ会社により提供されるオンラインショッピングサービスであってもよい。
例えば、不正検知システムSは、不正検知部105によるユーザの不正の検知結果を、ユーザが利用登録をした他のサービスに提供する検知結果提供部111を含んでもよい。他のサービスでは、不正検知部105の検知結果に基づいて、当該他のサービスにおけるユーザが不正で有るか否かが判定される。他のサービスは、SNSと連携するサービスであればよく、任意のサービスであってよい。例えば、SNSの運営会社と同じ会社により提供されるオンラインショッピングサービスであってもよい。
【0125】
例えば、他のサービスのサーバコンピュータは、当該他のサービスにおけるユーザに基づく不正の検知結果と、不正検知部105によるこのユーザの不正の検知結果と、を総合的に考慮して、このユーザの不正を検知する。例えば、これら2つの検知結果に基づくスコアにより不正が検知されてもよいし、これら2つの検知結果の何れか又は両方で不正とされた場合に不正と判定されてもよい。他のサービスにおける不正の検知方法自体は、他のサービスに応じた方法であればよい。例えば、電子決済サービスであれば、クレジットカードの不正利用を検知する方法が利用されるようにすればよい。他にも例えば、金融サービスであれば、不正な振込を検知する方法が利用されるようにすればよい。
【0126】
変形例9によれば、不正検知部105によるユーザの不正の検知結果を、ユーザが利用登録をした他のサービスに提供することによって、他のサービスにおける不正検知の精度が高まる。
【0127】
なお、不正検知部105は、他のサービスにおける不正の検知結果を取得し、当該不正の検知結果に更に基づいて、SNSにおけるユーザの不正を検知してもよい。この場合、他のサービスにおける不正の検知結果は、学習モデルMに入力される特徴量の1つとして利用されるようにしてもよい。学習モデルMを利用しない場合には、他のサービスにおける不正の検知結果は、SNSにおけるユーザの不正を検知するための判定項目の1つとして利用されるようにすればよい。
【0128】
[5-10.変形例10]
例えば、不正検知の対象となるサービスは、実施形態の例に限られない。不正検知システムSは、電子決済サービス、電子商取引サービス、電子チケットサービス、金融サービス、又は通信サービスといったサービスにも適用可能である。本変形例では、電子決済サービスにおけるユーザの不正が検知される場合を説明する。
例えば、不正検知の対象となるサービスは、実施形態の例に限られない。不正検知システムSは、電子決済サービス、電子商取引サービス、電子チケットサービス、金融サービス、又は通信サービスといったサービスにも適用可能である。本変形例では、電子決済サービスにおけるユーザの不正が検知される場合を説明する。
【0129】
電子決済サービスでは、任意の電子決済が可能であり、例えば、キャッシュカード、デビットカード、銀行振込、ポイント、電子マネー、電子キャッシュ、又はその他の電子バリューといった決済手段を利用可能である。ユーザ情報は、電子決済サービスにおいて利用される情報である。例えば、ユーザ情報は、これらの決済手段に関する情報を含む。例えば、ユーザ情報は、キャッシュカードのカード番号、利用上限額、電子マネーの識別情報、電子マネーの利用上限額、又は電子マネーのチャージ上限額といった情報を含む。例えば、ユーザ情報は、これらの決済手段を利用するための認証情報を含む。
【0130】
例えば、電子決済サービスにログインしたユーザは、ユーザ情報として登録された決済手段を利用可能である。決済手段を利用した電子決済自体は、公知の処理を利用可能である。例えば、クレジットカードの与信処理、銀行口座からの引き落とし処理、ポイントの充当処理、又は電子マネーの支払い処理が実行される。電子決済サービスにログインしたユーザは、電子決済サービスにおける利用状況に関する利用状況情報が提供されてもよい。電子決済サービスにおける不正検知の方法自体は、実施形態で説明したSNSにおける不正検知の方法と同様である。電子決済サービスにおけるパスワード等のユーザ情報が変更されるまでの行動情報に基づいて、不正が検知されるようにすればよい。
【0131】
変形例10によれば、電子決済サービスにおける不正検知の精度が高まる。
【0132】
[5-11.その他の変形例]
例えば、上記説明した変形例を組み合わせてもよい。
例えば、上記説明した変形例を組み合わせてもよい。
【0133】
例えば、第2パスワードを変更又は登録するためのユーザ情報画面G3が表示されるまでの行動に基づいて不正が検知される場合を説明したが、他のユーザ情報を変更又は登録するためのユーザ情報画面G3が表示されるまでの行動に基づいて不正が検知されてもよい。例えば、第1パスワード又は他の認証情報を変更又は登録するためのユーザ情報画面G3が表示されるまでの行動に基づいて不正が検知されてもよい。例えば、変形例10のように電子決済サービスに適用する場合には、電子決済サービスで利用される暗証番号、利用上限額の変更、電子マネーへのチャージ上限額の変更、登録カードの変更、又は新たな送金先の登録を行うためのユーザ情報画面G3が表示されるまでの行動に基づいて不正が検知されてもよい。
【0134】
また例えば、主な機能がサーバ10で実現される場合を説明したが、各機能は複数のコンピュータで分担されてもよい。例えば、サーバ10とユーザ端末20で機能が分担されてもよい。例えば、複数のサーバコンピュータで機能が分担されてもよい。例えば、データ記憶部100に記憶されるものとしたデータは、データベースサーバに記憶されていてもよい。
【要約】
不正検知システム(S)のログイン検知手段(102)は、所定のサービスにおけるユーザのログインを検知する。表示制御手段(103)は、サービスにログインしたユーザの表示手段(25)に、ユーザ情報を変更又は登録するためのユーザ情報画面を表示させる。行動情報取得手段(104)は、ログインが検知されてからユーザ情報画面が表示されるまでの期間の少なくとも一部におけるユーザの行動に関する行動情報を取得する。不正検知手段(105)は、行動情報に基づいて、ユーザの不正を検知する。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】