ホーム > 特許ランキング > 住信SBIネット銀行株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-08-15
(45)【発行日】2024-08-23
(54)【発明の名称】認証システム及びコンピュータプログラム
(51)【国際特許分類】
G06F 21/31 20130101AFI20240816BHJP
G06F 21/42 20130101ALI20240816BHJP
【FI】
G06F21/31
G06F21/42
【請求項の数】
3
(21)【出願番号】P 2022020952
(22)【出願日】2022-02-15
(65)【公開番号】P2023118166
(43)【公開日】2023-08-25
【審査請求日】2023-03-30
(73)【特許権者】
【識別番号】507212975
【氏名又は名称】住信SBIネット銀行株式会社
(74)【代理人】
【識別番号】100108947
【弁理士】
【氏名又は名称】涌井 謙一
(74)【代理人】
【識別番号】100117086
【弁理士】
【氏名又は名称】山本 典弘
(74)【代理人】
【識別番号】100124383
【弁理士】
【氏名又は名称】鈴木 一永
(74)【代理人】
【識別番号】100173392
【弁理士】
【氏名又は名称】工藤 貴宏
(74)【代理人】
【識別番号】100189290
【弁理士】
【氏名又は名称】三井 直人
(72)【発明者】
【氏名】関 衛介
【審査官】上島 拓也
(56)【参考文献】
【文献】国際公開第2011/083867(WO,A1)
【文献】特開2004-153300(JP,A)
【文献】特開2015-082140(JP,A)
【文献】特開2009-301446(JP,A)
【文献】特開2004-192193(JP,A)
【文献】特開2004-310269(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/31
G06F 21/42
(57)【特許請求の範囲】
【請求項1】
ユーザが使用するユーザ端末にインストールされているアプリケーションソフトウェアの利用時又はWebサービスを提供するサーバへアクセスして前記Webサービスを利用する時に前記ユーザ端末に係るユーザを認証する認証システムであって、前記アプリケーションソフトウェア又は前記Webサービスへのログイン後に前記ユーザ端末に表示される前記アプリケーションソフトウェア又は前記Webサービスの機能実行受付画面において、前記サーバに対する前記ユーザ端末への認証コードの送信要求を、インターネット通信網を通じて受け付ける認証コード送信要求受付手段と、
前記認証コードの送信要求を受け付け、前記認証コードが付帯した認証用URLを前記ユーザ端末に送信する認証用URL生成手段と、
前記ユーザ端末にフィッシング攻撃に対する警告メッセージと併記して表示される前記認証用URLの選択操作に基づいて、前記認証用URLの生成元の前記サーバに対する前記認証コードの認証実行要求を受け付ける認証コード認証実行要求受付手段と、
前記認証用URLにおいて前記認証コードの認証実行要求に係る認証コードを認証する認証手段と、を備える
ことを特徴とする認証システム。
【請求項2】
前記認証用URLとともに前記ユーザ端末に送信される、前記ユーザ端末と前記サーバ間の情報処理についてのセッションに紐づくセッションIDを生成するセッション管理手段をさらに備え、前記認証コード認証実行要求受付手段は、前記認証コードの認証実行要求を受け付ける際に、前記認証用URLに付帯している前記認証コードを前記セッションIDとともに受付け、
前記認証手段は、前記認証コード認証実行要求受付手段が受け付けた前記認証コード認証実行要求に係る認証コードを、前記認証用URL生成手段が生成した認証用URLに付帯している認証コードと照合し、前記認証コード認証実行要求受付手段が受け付けた前記セッションIDを、前記セッション管理手段が生成したセッションIDと照合する
ことを特徴とする請求項1記載の認証システム。
【請求項3】
請求項1又は2に記載した認証システムとしてコンピュータを機能させるためのコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、端末を使用するユーザを認証するシステム及びコンピュータプログラムに関する。
【背景技術】
【0002】
従来、ネットバンキングやショッピングサイトでは、ユーザ認証の信頼性を高めるため、ID・パスワードに加え、ワンタイムパスワードや生体情報等の入力を求める多要素認証が採用されている。
【0003】
しかし、このような認証技術を採用しているにもかかわらず、近年、多要素認証を突破する手口によるネットバンキングの不正送金の被害が増加している。多要素認証を突破する手口として図5に示すフィッシングSMSが挙げられる。
1.攻撃者からユーザに偽のSMS(フィッシングSMS)が送られる。
2.ユーザはフィッシングSMSに表示されている偽サイト(フィッシングサイト)へアクセスする。
3.正規サイトを装ったフィッシングサイトにおいて、ユーザはID及びパスワードを入力する。続いて認証番号の入力が求められる。
4.攻撃者はフィッシングサイトにおいてユーザのID及びパスワードを取得し、これらを使用して正規サイトにログインする。
5.正規サイトからユーザに認証番号が送られる。
6.ユーザは送られてきた認証番号をフィッシングサイトの認証番号入力画面に入力する。
7.攻撃者はフィッシングサイトにおいて認証番号を取得し、これを取引パスワード入力画面に入力して正規サイトで各種の手続き(例えば送金など)を行う。
1.攻撃者からユーザに偽のSMS(フィッシングSMS)が送られる。
2.ユーザはフィッシングSMSに表示されている偽サイト(フィッシングサイト)へアクセスする。
3.正規サイトを装ったフィッシングサイトにおいて、ユーザはID及びパスワードを入力する。続いて認証番号の入力が求められる。
4.攻撃者はフィッシングサイトにおいてユーザのID及びパスワードを取得し、これらを使用して正規サイトにログインする。
5.正規サイトからユーザに認証番号が送られる。
6.ユーザは送られてきた認証番号をフィッシングサイトの認証番号入力画面に入力する。
7.攻撃者はフィッシングサイトにおいて認証番号を取得し、これを取引パスワード入力画面に入力して正規サイトで各種の手続き(例えば送金など)を行う。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2009-301446号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
上記のようなフィッシング攻撃による多要素認証突破を防ぐシステムの提案が望まれている。
【0006】
この発明は、フィッシング攻撃による詐欺等の被害を抑制することを目的とする。
【課題を解決するための手段】
【0007】
[1]
ユーザが使用するユーザ端末にインストールされているアプリケーションソフトウェアの利用時又はWebサービスを提供するサーバへアクセスして前記Webサービスを利用する時に前記ユーザ端末に係るユーザを認証する認証システムであって、
前記アプリケーションソフトウェア又は前記Webサービスへのログイン後に前記ユーザ端末に表示される前記アプリケーションソフトウェア又は前記Webサービスの機能実行受付画面において、前記サーバに対する前記ユーザ端末への認証コードの送信要求を、インターネット通信網を通じて受け付ける認証コード送信要求受付手段と、
前記認証コードの送信要求を受け付け、前記認証コードが付帯した認証用URLを前記ユーザ端末に送信する認証用URL生成手段と、
前記ユーザ端末にフィッシング攻撃に対する警告メッセージと併記して表示される前記認証用URLの選択操作に基づいて、前記認証用URLの生成元の前記サーバに対する前記認証コードの認証実行要求を受け付ける認証コード認証実行要求受付手段と、
前記認証用URLにおいて前記認証コードの認証実行要求に係る認証コードを認証する認証手段と、を備える
ことを特徴とする認証システム。
ユーザが使用するユーザ端末にインストールされているアプリケーションソフトウェアの利用時又はWebサービスを提供するサーバへアクセスして前記Webサービスを利用する時に前記ユーザ端末に係るユーザを認証する認証システムであって、
前記アプリケーションソフトウェア又は前記Webサービスへのログイン後に前記ユーザ端末に表示される前記アプリケーションソフトウェア又は前記Webサービスの機能実行受付画面において、前記サーバに対する前記ユーザ端末への認証コードの送信要求を、インターネット通信網を通じて受け付ける認証コード送信要求受付手段と、
前記認証コードの送信要求を受け付け、前記認証コードが付帯した認証用URLを前記ユーザ端末に送信する認証用URL生成手段と、
前記ユーザ端末にフィッシング攻撃に対する警告メッセージと併記して表示される前記認証用URLの選択操作に基づいて、前記認証用URLの生成元の前記サーバに対する前記認証コードの認証実行要求を受け付ける認証コード認証実行要求受付手段と、
前記認証用URLにおいて前記認証コードの認証実行要求に係る認証コードを認証する認証手段と、を備える
ことを特徴とする認証システム。
【0008】
[2]
[1]に記載した認証システムとしてコンピュータを機能させるためのコンピュータプログラム。
[1]に記載した認証システムとしてコンピュータを機能させるためのコンピュータプログラム。
【発明の効果】
【0009】
この発明によれば、フィッシング攻撃による詐欺等の被害を抑制することができる。
【図面の簡単な説明】
【0010】
【図1】本実施形態の認証システムの構成の一例を表す図である。
【図2】本実施形態の認証システムによる認証処理の一例を表すフロー図である。
【図3】(a)から(f)はそれぞれ、本実施形態の認証システムによる認証処理におけるユーザ端末の画面遷移の一例を表す図である。
【図4】本実施形態の認証システムによる効果の一例としてフィッシング攻撃の防止を表す概念図である。
【図5】多要素認証突破によるフィッシング被害の一例を表す概念図である。
【発明を実施するための形態】
【0011】
以下、添付図面を参照して、本発明の実施形態の一例を説明する。本実施形態の認証システムは、一又は複数のコンピュータで構成され、ユーザが使用するユーザ端末にインストールされているサービス提供者が提供するサービスに係るアプリケーションソフトウェアの利用時又はサービス提供者のWebサイト上で提供されるサービスをユーザが利用する際に使用されるものである。
【0012】
一実施形態として、ユーザが使用するユーザ端末にインストールされている金融機関が提供するサービスに係るアプリケーションソフトウェアの使用時にユーザの認証を行う認証システムである。
【0013】
他の実施形態として、金融機関のWebサービスの利用時にユーザの認証を行う認証システムである。
【0014】
このような認証システムは、ユーザに対して上述したアプリケーションソフトウェアやWebサービスを提供する金融機関が一又は複数のコンピュータを用いて提供、管理するシステムである。
【0015】
一実施形態として、ユーザが使用するユーザ端末と金融機関が管理するサーバとをネットワークを介して通信可能に接続し、サーバ側でユーザ端末に係るユーザを認証する形態で認証システムを構築することができる。
【0016】
図1に示す認証システム1は、インターネット通信網、無線通信規格で定められている無線通信網を含む通信ネットワーク4を通じて、ユーザが使用するユーザ端末2と金融機関が管理するサーバ3とが通信可能に接続されて構築されている。
【0017】
本実施形態には、この実施形態で説明する認証システムシステム1としてコンピュータを機能させるためのコンピュータプログラムを含む。
【0018】
[ユーザ端末]
ユーザ端末2は、金融機関が提供するサービスを利用するユーザが使用する端末であって、パーソナルコンピュータ、スマートフォン、タブレット、等の端末である。図示していないが、ユーザ端末2は、CPU等により構成され各種データの処理、演算を行う演算処理部と、メインメモリ等の各種データを記憶する主記憶部と、内蔵ストレージ等の補助記憶装置と、液晶ディスプレイ等の情報出力部と、タッチパネル等の情報入力部と、サーバ3と各種情報の送受信を行う通信部と、サーバ3へアクセスし金融機関が提供するWebサービスを利用するためのウェブブラウザを備えている。
ユーザ端末2は、金融機関が提供するサービスを利用するユーザが使用する端末であって、パーソナルコンピュータ、スマートフォン、タブレット、等の端末である。図示していないが、ユーザ端末2は、CPU等により構成され各種データの処理、演算を行う演算処理部と、メインメモリ等の各種データを記憶する主記憶部と、内蔵ストレージ等の補助記憶装置と、液晶ディスプレイ等の情報出力部と、タッチパネル等の情報入力部と、サーバ3と各種情報の送受信を行う通信部と、サーバ3へアクセスし金融機関が提供するWebサービスを利用するためのウェブブラウザを備えている。
【0019】
図1に示す形態では、ユーザ端末2には、金融機関が提供するサービスに係る各種機能を実行可能なアプリケーションソフトウェア5がインストールされている。このアプリケーションソフトウェア5を起動することで、ユーザ端末2が画面遷移制御手段(不図示)、要素認証実行要求受付手段6、認証コード送信要求受付手段7、認証コード認証実行要求受付手段9、等として機能し、サーバ3と協働して本実施形態の認証システム1による情報処理が実行される。
【0020】
[サーバ]
サーバ3は、金融機関が管理する各種サーバで構成される。一例として、金融機関がユーザに対して各種サービスを提供するため、アクセスしてきたユーザ端末2に対して金融機関のサービスに係るWebサイトを提供するWebサーバとしての機能を含むサーバである。図示していないが、サーバ3は、CPU等により構成され各種データの処理、演算を行う演算処理部と、メインメモリ等の各種データを記憶する主記憶部と、内蔵ストレージ等の補助記憶装置と、液晶ディスプレイ等の情報出力部と、タッチパネル等の情報入力部と、ユーザ端末2と各種情報の送受信を行う通信部と、を備えている。また、サーバについては一もしくは複数の機器から構成してもよく、又はクラウド上で実現されるサーバであってもよい。
サーバ3は、金融機関が管理する各種サーバで構成される。一例として、金融機関がユーザに対して各種サービスを提供するため、アクセスしてきたユーザ端末2に対して金融機関のサービスに係るWebサイトを提供するWebサーバとしての機能を含むサーバである。図示していないが、サーバ3は、CPU等により構成され各種データの処理、演算を行う演算処理部と、メインメモリ等の各種データを記憶する主記憶部と、内蔵ストレージ等の補助記憶装置と、液晶ディスプレイ等の情報出力部と、タッチパネル等の情報入力部と、ユーザ端末2と各種情報の送受信を行う通信部と、を備えている。また、サーバについては一もしくは複数の機器から構成してもよく、又はクラウド上で実現されるサーバであってもよい。
【0021】
図1に示す形態では、サーバ3はWebサーバとしての機能の他、認証用URL生成手段8、認証手段10及びセッション管理手段11を備えている。
【0022】
【0023】
(S101)
ユーザ端末2においてアプリケーションソフトウェア5が起動すると、画面遷移制御手段はユーザ端末2の表示画面を所定のログイン画面へと遷移する処理を行う。要素認証実行要求受付手段6は、サーバ3に対するユーザの認証要素の認証実行要求を受け付ける処理を行う。本実施形態では前記ログイン画面において、図3(a)に示すようなログインID及びパスワードといった認証要素の入力をユーザ端末2に求める。ユーザがユーザ端末2を操作してログインID及びパスワードといった認証要素を入力すると、要素認証実行要求受付手段6は、入力された認証要素をサーバ3に送信し、認証実行を要求する。
ユーザ端末2においてアプリケーションソフトウェア5が起動すると、画面遷移制御手段はユーザ端末2の表示画面を所定のログイン画面へと遷移する処理を行う。要素認証実行要求受付手段6は、サーバ3に対するユーザの認証要素の認証実行要求を受け付ける処理を行う。本実施形態では前記ログイン画面において、図3(a)に示すようなログインID及びパスワードといった認証要素の入力をユーザ端末2に求める。ユーザがユーザ端末2を操作してログインID及びパスワードといった認証要素を入力すると、要素認証実行要求受付手段6は、入力された認証要素をサーバ3に送信し、認証実行を要求する。
【0024】
(S102)
サーバ3では、認証手段10は、要素認証実行要求受付手段6が受け付けた認証要素を認証する処理を行い、その結果をユーザ端末2に送信する処理を行う。
サーバ3では、認証手段10は、要素認証実行要求受付手段6が受け付けた認証要素を認証する処理を行い、その結果をユーザ端末2に送信する処理を行う。
【0025】
(S103)
要素認証が正常に行われた場合、ユーザ端末2では、認証コード送信要求受付手段7は、サーバ3に対するユーザ端末2への認証コードの送信要求を受け付ける処理を行う。本実施形態では、例えば入出金サービスを利用する際に取引パスワードが要求される場合において、図3(b)に示すようなSMSによる認証コードの送信要求を受け付けるアイコンが表示される。ユーザがユーザ端末2を操作して前記アイコンを選択すると、認証コード送信要求受付手段7は、ユーザ端末2に対して認証コードをショートメッセージで送信するようサーバ3へ要求する。画面遷移制御手段はユーザ端末2の表示画面を図3(c)に示すような認証コード送信要求完了画面へと遷移する処理を行う。
要素認証が正常に行われた場合、ユーザ端末2では、認証コード送信要求受付手段7は、サーバ3に対するユーザ端末2への認証コードの送信要求を受け付ける処理を行う。本実施形態では、例えば入出金サービスを利用する際に取引パスワードが要求される場合において、図3(b)に示すようなSMSによる認証コードの送信要求を受け付けるアイコンが表示される。ユーザがユーザ端末2を操作して前記アイコンを選択すると、認証コード送信要求受付手段7は、ユーザ端末2に対して認証コードをショートメッセージで送信するようサーバ3へ要求する。画面遷移制御手段はユーザ端末2の表示画面を図3(c)に示すような認証コード送信要求完了画面へと遷移する処理を行う。
【0026】
(S104)
サーバ3では、認証用URL生成手段8は、認証コード送信要求受付手段7からのユーザ端末2への認証コードの送信要求を受け付け、認証コード及び当該認証コードが付帯した認証用URLを生成する処理を行う。本実施形態では、認証用URL生成手段8は、認証コード送信要求に対して所定の認証コードを生成するとともに、前記認証コードが付帯し、認証用Webサイトへのリンク先となる認証用URLを生成する。前記認証用URLは一例としてユニバーサルリンクを採用することができる。認証用URL生成手段8は、生成した認証用URLを認証コード送信要求に係るユーザ端末2へ送信する。
セッション管理手段11は、認証コード生成・送信処理に係るユーザ端末2とサーバ3間の情報処理についてのセッションに紐づくセッションIDを生成する。生成されたセッションIDは前記認証用URLとともにユーザ端末2に送信される。セッション管理手段11は、認証用URL生成手段8が生成した認証用URLの有効期限を定め、有効期限を過ぎた認証用URLを使用した場合、ユーザ端末2とサーバ3間のセッションを終了するようにセッションIDに条件を設定する。
画面遷移制御手段はユーザ端末2の表示画面を図3(d)に示すような認証用URL送信完了画面へと遷移する処理を行う。なお、認証用URL生成手段8は上述した処理に加え、図3(d)に示すようなフィッシング攻撃に対する警告メッセージをユーザ端末2に送信する処理を行うこととしてもよい。
サーバ3では、認証用URL生成手段8は、認証コード送信要求受付手段7からのユーザ端末2への認証コードの送信要求を受け付け、認証コード及び当該認証コードが付帯した認証用URLを生成する処理を行う。本実施形態では、認証用URL生成手段8は、認証コード送信要求に対して所定の認証コードを生成するとともに、前記認証コードが付帯し、認証用Webサイトへのリンク先となる認証用URLを生成する。前記認証用URLは一例としてユニバーサルリンクを採用することができる。認証用URL生成手段8は、生成した認証用URLを認証コード送信要求に係るユーザ端末2へ送信する。
セッション管理手段11は、認証コード生成・送信処理に係るユーザ端末2とサーバ3間の情報処理についてのセッションに紐づくセッションIDを生成する。生成されたセッションIDは前記認証用URLとともにユーザ端末2に送信される。セッション管理手段11は、認証用URL生成手段8が生成した認証用URLの有効期限を定め、有効期限を過ぎた認証用URLを使用した場合、ユーザ端末2とサーバ3間のセッションを終了するようにセッションIDに条件を設定する。
画面遷移制御手段はユーザ端末2の表示画面を図3(d)に示すような認証用URL送信完了画面へと遷移する処理を行う。なお、認証用URL生成手段8は上述した処理に加え、図3(d)に示すようなフィッシング攻撃に対する警告メッセージをユーザ端末2に送信する処理を行うこととしてもよい。
【0027】
(S105、S106)
ユーザ端末2では、ユーザがユーザ端末2を操作して認証用URLを選択すると、認証コード認証実行要求受付手段9は、選択された認証用URLを生成したサーバ3に対する認証コードの認証実行要求を受け付ける処理を行う。本実施形態では、図3(d)に示すような認証用URL12が選択されると、認証コード認証実行要求受付手段9は、選択された認証用URL12に付帯している認証コードと、前記セッションIDとを受け付け、これらをサーバ3に送信する。画面遷移制御手段はユーザ端末2の表示画面を図3(e)に示すような認証処理中画面へと遷移する処理を行う。
ユーザ端末2では、ユーザがユーザ端末2を操作して認証用URLを選択すると、認証コード認証実行要求受付手段9は、選択された認証用URLを生成したサーバ3に対する認証コードの認証実行要求を受け付ける処理を行う。本実施形態では、図3(d)に示すような認証用URL12が選択されると、認証コード認証実行要求受付手段9は、選択された認証用URL12に付帯している認証コードと、前記セッションIDとを受け付け、これらをサーバ3に送信する。画面遷移制御手段はユーザ端末2の表示画面を図3(e)に示すような認証処理中画面へと遷移する処理を行う。
【0028】
(S107、S108)
サーバ3では、認証手段10は、認証コード認証実行要求受付手段9が受け付けた認証コードの認証実行要求に係る認証コードを認証する処理を行い、その結果をユーザ端末2に送信する処理を行う。本実施形態では、認証手段10は、ユーザ端末2から取得した認証コード認証実行要求に係る認証コードを、認証用URL生成手段8が生成した認証用URLに付帯している認証コードと照合する。また、認証手段10は、ユーザ端末2から取得したセッションIDを、セッション管理手段11がS104の認証コード生成・送信処理時に生成したセッションIDと照合する。
認証手段10は認証結果をユーザ端末2に送信する。認証コードの認証処理が正常に行われた場合、画面遷移制御手段はユーザ端末2の表示画面を図3(e)に示すような認証完了画面へと遷移する処理を行い、ユーザは引き続きアプリケーションソフトウェアの機能を利用して各種の手続き、例えば入出金サービスを利用することができる。認証コードの認証処理に不備があった場合、画面遷移制御手段はユーザ端末の表示画面を所定のエラー画面へと遷移する処理を行う。
サーバ3では、認証手段10は、認証コード認証実行要求受付手段9が受け付けた認証コードの認証実行要求に係る認証コードを認証する処理を行い、その結果をユーザ端末2に送信する処理を行う。本実施形態では、認証手段10は、ユーザ端末2から取得した認証コード認証実行要求に係る認証コードを、認証用URL生成手段8が生成した認証用URLに付帯している認証コードと照合する。また、認証手段10は、ユーザ端末2から取得したセッションIDを、セッション管理手段11がS104の認証コード生成・送信処理時に生成したセッションIDと照合する。
認証手段10は認証結果をユーザ端末2に送信する。認証コードの認証処理が正常に行われた場合、画面遷移制御手段はユーザ端末2の表示画面を図3(e)に示すような認証完了画面へと遷移する処理を行い、ユーザは引き続きアプリケーションソフトウェアの機能を利用して各種の手続き、例えば入出金サービスを利用することができる。認証コードの認証処理に不備があった場合、画面遷移制御手段はユーザ端末の表示画面を所定のエラー画面へと遷移する処理を行う。
【0029】
本実施形態の認証システム1によれば、フィッシング攻撃による多要素認証突破を防止することができる。上述したように、現在のフィッシング攻撃による多要素認証突破の手口は、SMSを利用して攻撃者側が用意した正規サイトを装った偽サイトへユーザを誘導し、当該偽サイトにてログイン情報や取引パスワードを搾取するものである。
【0030】
本実施形態の認証システム1では、認証コードが付帯した認証用URLをユーザ端末に表示させ当該認証用URLを選択して認証コードを認証する仕組みを採用している。そのため、攻撃者側は偽サイトへユーザを誘導してログイン情報を搾取することができても、認証用URLを搾取するためには図4に示すようなURLの貼り付け指示といった誘導画面を準備しなければならない。しかし、このようなURLの貼り付けを指示する誘導画面は、セキュリティチェックの流れとしては不自然な画面であり、その後の正規サイトから送信される図4に示すような認証用URLが表示されることで、前画面がフィッシング攻撃であることをユーザに認知させ、警戒を促すことができる。
【0031】
また、仮に、ユーザが認証用URLを偽サイトの入力画面に入力しても、本実施形態の認証システム1では、認証手段10は、ユーザ端末2から取得した認証コード認証実行要求に係る認証コードを、認証用URLに付帯している認証コードと照合するとともに、ユーザ端末2から取得したセッションIDを、セッション管理手段11がS104の認証コード生成・送信処理時に生成したセッションIDと照合する。
【0032】
そこで、図4に示す例の場合、認証コード送信要求受付手段7からの認証コード送信要求を受け付けた際に取得したセッションIDが攻撃者側の端末とサーバ3間のセッションとなるので、ユーザ端末2から取得した認証コード認証実行要求に係るユーザ端末2とサーバ3間のセッションが、認証コード送信要求受付手段7からの認証コード送信要求を受け付けた際に取得した攻撃者側の端末とサーバ3間のセッションと一致しない。
【0033】
そのため、認証コードの認証処理は失敗に終わり図4に示すようなエラーメッセージが表示されるので、攻撃者側は取引パスワード等を搾取することができない。
【符号の説明】
【0034】
1 認証システム
4 通信ネットワーク
12 認証用URL
4 通信ネットワーク
12 認証用URL
【図1】
【図2】
【図3】
【図4】
【図5】