JP2004213476A - Injustice access detection device - Google Patents
Injustice access detection device Download PDFInfo
- Publication number
- JP2004213476A JP2004213476A JP2003001392A JP2003001392A JP2004213476A JP 2004213476 A JP2004213476 A JP 2004213476A JP 2003001392 A JP2003001392 A JP 2003001392A JP 2003001392 A JP2003001392 A JP 2003001392A JP 2004213476 A JP2004213476 A JP 2004213476A
- Authority
- JP
- Japan
- Prior art keywords
- access
- user
- unauthorized access
- login
- declaration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、コンピュータシステムのセキュリティ管理に関し、特にコンピュータシステムに対する不正アクセスを検出する技術に関する。
【0002】
【従来の技術】
企業の社内システムなど、予め定められたユーザ(例えば、社員等)だけにアクセス権限が与えられている閉じたシステムにおいて、権限あるユーザがシステムの外部からアクセスすることを認めている場合がある。
【0003】
【発明が解決しようとする課題】
前記のようなシステムが外部からアクセス要求を受けたとき、真に権限あるユーザであるかどうかを確認することは、セキュリティ管理上極めて重要である。
従って、係るシステムでは、通常、不正アクセスを防止するため、ユーザからのアクセス要求またはログイン要求を受けたとき、そのユーザが権限あるユーザであるかどうかを確認する(ユーザ認証)。このユーザ認証の方法として、パスワードによる認証や指紋などを用いた生体認証等が知られている。
【0004】
しかし、パスワードは盗まれたり、解読されたりすることもあるし、指紋はダミーを作成されてしまえば不正アクセスを許すことになってしまう。そして、一度不正に侵入されてしまうと、その不正侵入者を捜し出して、取り締まることは難しい。
【0005】
そこで、本発明の目的は、ユーザ認証をクリアした不正なアクセスを検出するための技術を提供することである。
【0006】
本発明の別の目的は、ユーザが申告した内容に基づいて不正アクセスを検出するための技術を提供することである。
【0007】
【課題を解決するための手段】
本発明の一つの実施形態に従う不正アクセス検出装置は、コンピュータシステムへアクセスするユーザから、前記アクセスに関する申告を受け付ける受付手段と、前記受け付けた申告内容を記憶するための記憶手段と、前記ユーザの通信装置と前記コンピュータシステムとの間の通信記録を取得する取得手段と、前記記憶手段に記憶された申告内容と、前記取得した通信記録とを比較する比較手段と、前記比較手段の比較結果に基づいて、前記ユーザの不正アクセスを検出する検出手段とを備える。
【0008】
好適な実施形態では、前記受付手段は、複数項目について申告を受け付け、前記比較手段は、前記項目別に比較を行い、前記検出手段は、前記項目別に、前記申告内容と前記通信記録との不一致回数を計数し、前記不一致回数が所定回数を超えたときに、不正アクセスを検出する。
【0009】
好適な実施形態では、前記申告には、少なくとも前記コンピュータシステム内のアクセス先を特定可能な項目を含み、前記通信記録には、前記ユーザがアクセスした現実のアクセス先を示す情報を含み、前記比較手段は、前記現実のアクセス先と前記申告されたアクセス先とを比較して、一致するかどうかを判別する。
【0010】
好適な実施形態では、前記現実のアクセス先と前記申告されたアクセス先とが一致しないとき、前記現実のアクセス先に基づいて定まる対策を実行することを特徴とする。
【0011】
好適な実施形態では、前記通信記録に基づいて、ユーザのアクセス態様が予め定められた類型に含まれるかどうかを判定する判定手段をさらに備え、前記検出手段は、前記判定手段の判定結果に基づいて不正アクセスを検出する。
【0012】
好適な実施形態では、前記検出手段が、前記判定手段の判定結果に基づいて不正アクセスを検出したとき、前記ユーザのアクセス態様が属する類型に基づいて定まる対策を実行する。
【0013】
【発明の実施の形態】
以下、本発明を適用した一実施形態に係るシステムついて、図面を用いて説明する。
【0014】
本システムの全体構成を図1に示す。本システムは、権限あるユーザ以外のユーザに対してアクセスを制限して、コンピュータシステムを保護するために、ユーザの認証および監視を行うための認証サーバ1を備える。保護すべきコンピュータシステムの好適な例として、本実施形態では企業の社内ネットワーク9を用いて説明する。社内ネットワーク9へアクセスできるのは、その企業の社員等の予め定められている者である。社員等が社内ネットワーク9へアクセスしたいときは、ユーザ端末2からインターネットなどのネットワーク3を介して認証サーバ1へログイン要求をする。このログイン要求が許可されると、そのユーザは社内ネットワーク9へアクセスすることができる。
【0015】
また、社内ネットワーク9へのアクセス要求の正当性の確認等のため、認証サーバ1はアクセス要求をしたユーザを管理する管理者の携帯電話機5との間で、ネットワーク3、無線基地局4および携帯電話機用無線電話網(図示しない)を通じてデータの送受信を行う。
【0016】
ここで、「管理者」は「ユーザ」を直接的、または間接的に管理、監督、監視、あるいは指導する立場にある者を含む。典型的には「管理者」と「ユーザ」とは、いわゆる上司と部下の関係であるが、必ずしもこれに限定されない。たとえば、「ユーザ」が外注先の社員であるときは、「管理者」は外注元の社員でもよいし、「ユーザ」と「管理者」とが相互に相手の行動を監視しあう立場でもよい。
【0017】
認証サーバ1およびユーザ端末2は、いずれも例えば汎用的なコンピュータシステムにより構成され、以下に説明する個々の構成要素または機能は、例えば、コンピュータプログラムを実行することにより実現される。また、携帯電話機5は、必ずしも現在実用されているタイプの携帯電話機でなければならないわけではなく、例えば電子メールやWWWによるインターネット通信機能を有する携帯型およびデスクトップのパーソナルコンピュータやPDA(パーソナルデータアシスタント)や現在のものから将来的に進化した携帯電話機等の他のタイプの携帯通信機器で置き換えられてもよい。
【0018】
認証サーバ1は、ネットワークインタフェース部11と、ログイン処理部12と、Webページ13と、管理者インタフェース14と、管理者テーブル15と、アクセス監視部16と、ユーザテーブル18と、アクセスログ19とを備える。
【0019】
ネットワークインタフェース部11は、ネットワーク3に対するデータの入出力を制御する。さらに、ネットワークインタフェース部11は、社内ネットワーク9へアクセスが許可されたユーザの通信記録(アクセス先や利用サービス)をアクセスログ19に記録する。アクセスログ19は、例えば、ユーザID、利用時間、容量、アクセス先の識別情報(アドレス等)、送受信コマンド、応答コード、送受信文字列等をデータ項目に含む。
【0020】
ユーザテーブル18は、社内ネットワーク9へアクセスする権限を有するユーザの個人情報を記憶する。たとえば、ユーザテーブル18は、図2(a)に示すように、ユーザID181と、パスワード182と、電子メールアドレス183とをデータ項目として有する。アクセス要求を受けたときに、ログイン処理部12がこのユーザテーブル18を参照してユーザ認証を行う。電子メールアドレス183は、社内ネットワーク9内(社内)の電子メールアドレスである。ユーザID181のユーザがユーザ端末2からログインしたとき、ログイン処理部12が電子メールアドレス183へログインの事実を通知するための電子メールを送信する。
【0021】
管理者テーブル15は、ユーザテーブル18に登録されているユーザの管理者を示す情報が登録されている。例えば、管理者テーブル15には、図2(b)に示すように、ユーザID151と、管理者の電子メールアドレス152、153とが対応づけて記憶されている。ここで、管理者の電子メールアドレスが複数あるのは、以下の理由による。すなわち、後述するように、管理者インタフェース14がこの管理者テーブル15を参照して管理者の携帯電話機5へ電子メールを送信する。このとき、複数の電子メールアドレスの中で予め優先順位を定めておき、順位の高い電子メールアドレスから順に送信し、送信できない場合に下位の電子メールアドレスへ送信するようにしてもよい。
【0022】
Webページ13は、認証サーバ1へアクセスしたユーザから情報の入力を受け付けたり、ユーザに情報を提供したりする。Webページ13の一例が図3に示すログイン申請画面100である。ログイン申請画面100の詳細については後述する。
【0023】
ログイン処理部12は、ユーザ端末2からアクセス要求を受け付けたとき、その要求を許可するかどうかを決定する。
【0024】
例えば、社内ネットワーク9へログインを希望するユーザが、ユーザ端末2から認証サーバ1へアクセスすると、ログイン申請画面100がユーザ端末2の図示しない表示部に表示される。そして、ログイン申請画面100から入力された情報を認証サーバ1が受け付ける。
【0025】
ここで、ログイン申請画面100の一例を図3に示す。ログイン申請画面100は、ユーザIDの入力領域101およびパスワードの入力領域102を有する。ログイン処理部12は、ここで入力されたユーザIDおよびパスワードをユーザテーブル18に予め記憶されているものと照合してユーザ認証を行う。ユーザ認証の結果、正規のユーザであることが確認されたら、ログイン処理部12はログインを許可するようにしてもよい。あるいは、後述するようにユーザIDおよびパスワードによる認証に加え、管理者からのログイン許可通知があったときにログインを許可するようにしてもよい。さらに、後述するような追加認証を行ってもよい。
【0026】
ログイン申請画面100は、ログインの付加情報の入力を受け付ける領域をさらに有する。つまり、ログイン申請画面100は、ログインした状態を継続する予定時間(アクセスを希望する時間)の入力領域103と、社内ネットワーク9内のどこへアクセスするか(アクセス先)、または何をするか(利用サービス)を選択するための入力領域104と、ログインする理由の入力領域105とを有する。ログイン付加情報に含まれる項目の一部または全部で、ログイン要求の正当性を確認することができる。ここで入力されたログイン付加情報の一部または全部が、後述するようにログインするユーザの管理者の携帯電話機5へ電子メール等で送信される(図4参照)。
【0027】
ここで入力されたログイン付加情報は、図示しない記憶部に記憶される。このとき、入力領域104に入力された情報は、アクセス先のサーバ名またはURL(Uniform Resource Locator)等、アクセス先を一意に識別可能な情報に置き換えられた後、記憶部に記憶するようにしてもよい。
【0028】
また、ログイン処理部12は、一度社内ネットワーク9へのアクセスを許可した場合であっても、アクセス監視部16または管理者インタフェース14から指示を受けたときなど、所定の場合にはそれを取り消して通信を切断する。
【0029】
管理者インタフェース14は、社内ネットワーク9へログインを希望するユーザの管理者との間で情報を送受信する。例えば、管理者インタフェース14は、電子メール機能を備える。そして、ログイン申請画面100に入力されたログイン付加情報を含むテキストファイルを生成して、アクセス要求をしたユーザの管理者の通信装置5へネットワークインタフェース11を介して送信する。このとき、送信先の電子メールアドレスは、管理者インタフェース14が、管理者テーブル15を参照してアクセス要求をしたユーザのIDと対応する管理者の携帯電話機5の電子メールアドレス152,153を取得する。
【0030】
図4は、上記電子メールを受信した管理者の携帯電話機5にログイン付加情報を表示したときの一例である。つまり、携帯電話機5の表示部51に受信した電子メールの内容が表示される。ここで、付加情報と併せて、アクセス要求をしたユーザを特定するための情報も含まれている。ユーザを特定するための情報は、受信した管理者がユーザを特定するのに十分な情報であればよい。例えば、ユーザID、ユーザ名(ニックネーム、イニシャル等を含む)、あるいは所属部署とユーザ名の組み合わせなどでもよい。
【0031】
また、管理者インタフェース14は、後述するようなアクセス監視部16からのメール通知指示を受けたときも、管理者のメールアドレスへ電子メールを送信する。
【0032】
管理者は、携帯電話機5を操作して、受信した電子メールに対する返信メールを送ることができる。返信メールには、ログイン許可、または不許可を示す情報を添付できる。管理者インタフェース14はこの返信メールを受信し、返信メールがログイン許可を示すときはその旨を、ログイン不許可を示すときはその旨または切断指示をログイン処理部12へ通知する。
【0033】
アクセス監視部16は、アクセスログ19を参照してユーザのアクセスを監視する。そして、予め申告したアクセス先と異なるところへアクセスしたときなど、不正なアクセスを検出したときは、ログイン処理部12へ切断指示をする。アクセス監視部16の処理の詳細は後述する。
【0034】
以上に説明した構成を備える認証サーバ1が行う処理の手順について、図5〜図8のフローチャートを用いて説明する。
【0035】
認証サーバ1の処理は、図5に示すように、ユーザのログインを許可するかどうかを判定するログイン処理S1と、ログインが許可された後、ユーザが社内ネットワーク9へアクセスしている間に行うアクセス中処理S2とに分かれる。
【0036】
認証サーバ1はログイン処理S1として以下の処理を行う。すなわち、社内ネットワーク9へログインを希望するユーザが、ユーザ端末2から認証サーバ1へアクセスすると、これを受け付けてユーザ端末2にログイン申請画面100を表示させる。ユーザが、ログイン申請画面100の各入力項目に必要な情報を入力してログイン申請を行う(S11)。このログイン申請を受け付けると、ログイン処理部12が入力されたユーザIDおよびパスワードと、ユーザテーブル18に登録されているユーザIDおよびパスワードとを照合して、ユーザ認証を行う(S12)。ユーザIDおよびパスワードが一致すると、管理者インタフェース14が、ログイン付加情報を含むテキストファイルを生成する。そして、管理者テーブル15を参照して、ユーザIDに対応する管理者の電子メールアドレス152を取得する。管理者インタフェース14は、生成されたテキストファイルを電子メール機能を利用して管理者へ送信する(S13)。なお、ステップS12とステップS13とは順序が逆でもよい。つまり、ステップS13をステップS12より先に行ってもよい。
【0037】
これにより、アクセスを要求するユーザにはログイン付加情報を入力させ、これをそのユーザの管理者へ通知することができる。ログイン付加情報の通知を受けた管理者は、自分の部下が外部から社内ネットワーク9へログインするために、付加情報としてどのようなことを申請しているか、リアルタイムで確認することができる。この結果、管理者は部下の申請内容が、その部下の業務や直近の行動に照らして矛盾しないかを確認できる。
【0038】
なお、ログイン付加情報は、本実施形態で例示する項目以外に、社内ネットワーク9へのアクセス要求の正当性を管理者が確認できるような情報であれば、他の項目に関する情報を入力させてもよい。
【0039】
次に、認証サーバ1は、アクセス中処理S2として以下の処理を行う。すなわち、図示しない計時部が、ユーザが実際にログインしている時間を計測し、自己申告したログイン予定時間と対比して残り時間を求め、ユーザ端末2に表示させる(S21)。社内ネットワーク9へのログインが許可されている間に、ユーザからログイン時間の延長を求める再申請があるとステップS1のログイン処理を繰り返し(S22:Yes)、再申請された時間を残り時間に追加する。再申請がないときは、ログイン処理部12が実際にアクセスしている時間が申請されたアクセス時間を超過していないか監視する(S23)。そして、実際のログイン時間が申請された時間を超過したとき、ログイン処理部12が強制的にアクセスを遮断する(S24)。
【0040】
なお、アクセスの強制切断の前に、残り時間が所定の時間(たとえば、2分)以下になったところで、警告をしてもよい。また、ステップS22で再申請があったとき、ログイン処理S1の繰り返しは省略してもよい。
【0041】
次に、ログイン処理S1は、図5に示した処理以外に、以下のような処理でもよい。例えば、図6はログイン処理S1の他の態様について示す。この態様では、ログインに当たり管理者の承認を必要とする。すなわち、ステップS11〜S13のあとに、ログイン許可通知を受信するとログインを許可するステップS14を追加してもよい。このログイン許可通知は、例えば、ステップS13でログイン付加情報を送信した管理者の携帯電話機5からの返信メールである。ステップS14では、所定時間内に返信メールを受信しない場合や、ログインを許可しない旨の電子メールを受信したときは、ログイン処理部12はそのアクセス要求を許可しない(S14:No)。
【0042】
この態様では、管理者が携帯電話機5でログイン付加情報の通知を受けると、この内容を確認して、管理者がそのログインを許可するかどうかを判断する。これにより、不審なログイン要求は未然に拒否することができる。
【0043】
また、図6の態様のようにログインに管理者の承認を必要とするかどうかは、ログインをするユーザ、あるいはアクセス先または利用サービスに応じて定めてもよい。この場合は、ユーザに与えられている権限あるいは担当業務、アクセス先等の機密の高さなどに応じて、管理者承認の要否を定めてもよい。
【0044】
ログイン処理S1のさらに別の態様について図7に示す。この態様では、ステップS12とS13との間にユーザの追加認証を行うステップS15が挿入されている。追加認証とは、ステップS12のユーザIDおよびパスワードによる認証に加えて行われる認証で、ログイン処理部12が行う。例えば、過去の通信記録に関する情報(前回のログイン時の理由など)をログイン申請時に入力させ、ログイン処理部12がアクセスログ19に記録されている情報と照合する。この場合、ログイン申請画面100に入力領域をさらに設けて入力させるようにしてもよい。
【0045】
なお、ステップS12のユーザ認証は、ユーザIDおよびパスワードによる認証を、電子証明書による認証またはワンタイムパスワードによる認証と置き換えることもできるし、これらの2つ以上を併用して適用することもできる。
【0046】
次に、アクセス中処理S2についても同様に、図5に示した処理以外の処理を行うこともできる。他の処理態様の例を図8に示す。
【0047】
この処理態様では、切断指示を受けたかどうかの判断を行うステップS25が追加されている。このステップS25は、アクセス監視部16または管理者の携帯電話機5から切断指示を受けたかどうかを判定する。そして、切断指示があったときは、ログイン処理部12がステップS24で強制的に切断する。これにより、アクセス監視部16が例えば不正アクセスを検出したとき、あるいは管理者が不正なアクセスであると判断したときに、その時点で強制的にそのユーザのアクセスを切断することができる。
【0048】
次に、アクセス監視部16が行う処理の詳細について説明する。なお、以下の処理は、複数のユーザが社内ネットワーク9へアクセスしている場合は、ユーザIDをキーにしてユーザごとに行う。
【0049】
アクセス監視部16は、ログイン時にユーザによって申告されたログイン付加情報とアクセスログ19とを比較する。この比較は、例えば、ログイン付加情報の各項目ごとに行い、アクセスログ19に記録されたアクセス先の識別情報とが、ログイン付加情報のアクセス先とが一致するかどうかを判定する。ここで、現実のアクセス先が申告されたアクセス先と一致しない場合、直ちに不正アクセスとしてもよいが、本実施形態では、不一致の回数が所定のしきい値を越えたときに不正アクセスとして検出する。
【0050】
これにより、自己申告とは異なるアクセスを繰り返すと不正なアクセスとして検出される。
【0051】
また、現実のアクセス先に応じて重要度を予め設定しておき(例えば図9参照)、その重要度に応じて不正アクセスとして検出するためのしきい値を定めてもよい。つまり、重要度が高いアクセス先は、重要度が低いアクセス先よりも、少ない(不一致)検出回数で不正アクセスと認定する。
【0052】
図9には、アクセス先別に重要度、および不正アクセス検出のしきい値が定義された重要度定義テーブル50を示す。このテーブル50は、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0053】
アクセス監視部16は、さらに、上記のアクセス先に基づく不正アクセス判定に加え、またはこれとは別に、ユーザが行っているアクセスの態様が、予め定めた不審な行為の類型に含まれるかどうかを判定する。この判定は、アクセス監視部16がアクセスログ19に記憶された内容を分析し、ユーザのアクセスの態様(ユーザが行っている行為)を特定する。そして、そのアクセス態様が不審なアクセスの類型(不審な行為)に属するかどうかを判別する。ここで、不審な行為とは、例えば、一般的に不正と思われるアクセス方法、または、ログイン付加情報に含まれる目的に照らし、その目的とは明らかに異なる行為、あるいはその目的とは関係ないと思われるような行為を含む。一般的に不正と思われるアクセス方法とは、例えば、連続してパスワードエラーを発生させる行為(応答コードを参照して判定する)、および所定時間内に所定数以上のサーバへアクセスするスキャン行為(IPアドレスの末尾を1から100まで順に辿るなど、実在しないサーバも含めてスキャンする行為)などである。不審な行為の中でも、さらに、危険度に応じて予めレベルを設定しておいてもよい。
【0054】
これにより、ユーザ認証をクリアしてログインしたときでも、不審な行為を行うと不正なアクセスとして検出される。
【0055】
ここで、不正なアクセス先を検出したときと同様に、不審な行為を検出すると直ちに不正アクセスとしてもよいが、本実施形態では、不審な行為の回数が所定のしきい値を越えたときに不正アクセスとして検出する。さらに、不正な行為の危険度に応じて不正アクセスとして検出するためのしきい値を定めてもよい(例えば図10)。つまり、危険度の高い不審な行為を検出したときは、危険度が低いものよりも少ない回数で不正アクセスと認定する。
【0056】
図10には、不審な行為別に危険度、および不正アクセス検出のしきい値が定義された危険度定義テーブル60を示す。このテーブル60は、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0057】
上述のようにして不正アクセスを検出したと判断したときは、アクセス監視部16は、予め定められた所定の処理(対策)を実行する。例えば、アクセス監視部16は、不正アクセスを行っているユーザの管理者のメールアドレス(社内ネットワーク9内の通常のメールアドレス、または携帯電話機5のメールアドレス)へ電子メールで通知するよう管理者インタフェース14へ指示したり、強制的にアクセスを切断するためにログイン処理部12へ切断指示をしたりする。管理者へ通知する電子メールには、検出された不正アクセスを行っているユーザを特定するための情報および不正アクセスの内容などが含まれる。
【0058】
アクセス監視部16が行う対策は、現実のアクセス先または不審な行為に基づいて定めてもよいし、所定のルールに基づいて、その時々で定めて行ってもよい。所定のルールの一例を、図11および図12を用いて説明する。すなわち、図11は、示すアクセス先の重要度と不審な行為の危険度とから対策レベルを定めるマトリックス70を示し、図12は、ユーザID別の対策レベルに応じた対策テーブル80を示す。このマトリックス70および対策テーブル80は、いずれも、例えば、アクセス監視部16内の図示しない記憶領域に記憶されている。
【0059】
まず、アクセス監視部16がマトリックス70を用いて対策レベルを定める。対策レベルが定まると、対策テーブル80を参照し、ユーザID応じて実施する対策が定まる。
【0060】
次に、アクセス中処理S2として行われるアクセス先を監視するときの処理手順を、図13に示すフローチャートを用いて説明する。
【0061】
まず、アクセス監視部16が、図示しない記憶部に記憶されているログイン付加情報およびアクセスログ19を参照して、アクセス先がユーザが自己申告したアクセス先と一致するかどうかを判定する(S31,S32)。
【0062】
現実のアクセス先が申告したものと一致しない場合(S32:No)、アクセス先別の回数をカウントするためのカウンタをカウントアップする(S33)。
そして、アクセス監視部16は、そのカウンタのカウント値が所定のしきい値を越えたかどうかを判定する(S34)。所定のしきい値を越えていた場合は(S34:Yes)、アクセス監視部16は、所定の対策または所定のルールに基づいて定まる対策を実施する(S35)。
【0063】
また、アクセス行為が不正なものであるかどうかの判定を行うときの処理手順を、図14に示すフローチャートを用いて説明する。
【0064】
まず、アクセス監視部16がアクセスログ19を参照して、ユーザの行為を分析ながら監視する(S36)。そして、ユーザが不審な行為を行っていることを検出すると(S37:Yes)、行為別の回数をカウントするためのカウンタをカウントアップする(S38)。アクセス監視部16は、そのカウンタのカウント値が所定のしきい値を越えたかどうかを判定する(S39)。所定のしきい値を越えていた場合は(S39:Yes)、アクセス監視部16は、所定の対策または所定のルールに基づいて定まる対策を実施する(S40)。
【0065】
上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。
【図面の簡単な説明】
【図1】本発明を適用したユーザ認証システムの構成図である。
【図2】管理者テーブルおよびユーザテーブルのデータ項目の一例を示す図である。
【図3】ログイン申請画面の一例を示す図である。
【図4】携帯電話機5が受信した電子メールの内容を表示したときの一例を示す図である。
【図5】認証サーバが行う処理の一例を示すフローチャートである。
【図6】ログイン処理の他の態様を示すフローチャートである。
【図7】ログイン処理の他の態様を示すフローチャートである。
【図8】アクセス中処理の態様を示すフローチャートである。
【図9】重要度定義テーブルの一例を示す図である。
【図10】危険度定義テーブルの一例を示す図である。
【図11】対策レベルを定めるマトリックスの一例を示す図である。
【図12】ユーザID別対策テーブルの一例を示す図である。
【図13】アクセス先を監視するための処理の態様を示すフローチャートである。
【図14】不正な行為を判定するための処理の態様を示すフローチャートである。
【符号の説明】
1…認証サーバ、2…ユーザ端末、3…ネットワーク、4…無線基地局、5…携帯電話機、9…社内ネットワーク、11…ネットワークインタフェース部、12…ログイン処理部、13…Webページ、14…管理者インタフェース、15…管理者テーブル、16…アクセス監視部、18…ユーザテーブル、19…アクセスログ。50…重要度定義テーブル、60…危険度定義テーブル、70…対策レベルを定めるマトリックス、80…ユーザID別対策テーブル。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to security management of a computer system, and more particularly to a technique for detecting unauthorized access to a computer system.
[0002]
[Prior art]
In a closed system, such as an in-house system of a company, in which only a predetermined user (eg, an employee) has access authority, an authorized user may be permitted to access from outside the system.
[0003]
[Problems to be solved by the invention]
When such a system receives an access request from the outside, it is extremely important for security management to confirm whether the user is a truly authorized user.
Therefore, in such a system, when an access request or a login request is received from a user, it is usually confirmed whether or not the user is an authorized user in order to prevent unauthorized access (user authentication). As a method of the user authentication, authentication using a password, biometric authentication using a fingerprint, or the like is known.
[0004]
However, passwords can be stolen or cracked, and fingerprints can be illegally accessed once a dummy is created. And once it has been hacked, it is difficult to find out and crack down on the hackers.
[0005]
Accordingly, an object of the present invention is to provide a technique for detecting an unauthorized access that has cleared user authentication.
[0006]
Another object of the present invention is to provide a technique for detecting unauthorized access based on the content declared by a user.
[0007]
[Means for Solving the Problems]
An unauthorized access detection device according to one embodiment of the present invention includes a receiving unit that receives a report on the access from a user accessing a computer system, a storage unit for storing the received report content, and communication of the user. Acquisition means for acquiring a communication record between the device and the computer system, a declaration content stored in the storage means, a comparison means for comparing the acquired communication record, and a comparison result of the comparison means. Detecting means for detecting unauthorized access of the user.
[0008]
In a preferred embodiment, the accepting unit accepts a report for a plurality of items, the comparing unit compares the items, and the detecting unit determines, for each item, the number of inconsistencies between the declared content and the communication record. Is counted, and when the number of mismatches exceeds a predetermined number, an unauthorized access is detected.
[0009]
In a preferred embodiment, the declaration includes at least an item that can specify an access destination in the computer system, the communication record includes information indicating an actual access destination accessed by the user, and the comparison includes The means compares the actual access destination with the declared access destination to determine whether they match.
[0010]
In a preferred embodiment, when the actual access destination and the declared access destination do not match, a measure determined based on the actual access destination is executed.
[0011]
In a preferred embodiment, the apparatus further includes a determination unit configured to determine whether a user's access mode is included in a predetermined type based on the communication record, and the detection unit performs a determination based on a determination result of the determination unit. To detect unauthorized access.
[0012]
In a preferred embodiment, when the detection unit detects an unauthorized access based on the determination result of the determination unit, a countermeasure determined based on a type to which the access mode of the user belongs is executed.
[0013]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, a system according to an embodiment to which the present invention is applied will be described with reference to the drawings.
[0014]
FIG. 1 shows the overall configuration of this system. The system includes an
[0015]
In addition, in order to confirm the validity of the access request to the in-
[0016]
Here, the “manager” includes a person who is in a position to directly, or indirectly manage, supervise, monitor, or instruct the “user”. Typically, the “manager” and the “user” have a so-called supervisor-subordinate relationship, but are not necessarily limited to this. For example, when "user" is a subcontractor employee, "administrator" may be a subcontractor employee, or "user" and "administrator" may be in a position to monitor each other's activities. .
[0017]
Each of the
[0018]
The
[0019]
The
[0020]
The user table 18 stores personal information of a user who has authority to access the in-
[0021]
In the administrator table 15, information indicating the administrator of the user registered in the user table 18 is registered. For example, as shown in FIG. 2B, a
[0022]
The
[0023]
When accepting an access request from the
[0024]
For example, when a user who wants to log in to the in-
[0025]
Here, an example of the
[0026]
The
[0027]
The login additional information input here is stored in a storage unit (not shown). At this time, the information input to the input area 104 is replaced with information that can uniquely identify the access destination, such as a server name or a URL (Uniform Resource Locator) of the access destination, and then stored in the storage unit. Is also good.
[0028]
Further, even when the
[0029]
The
[0030]
FIG. 4 is an example when the additional login information is displayed on the
[0031]
The
[0032]
The administrator can operate the
[0033]
The
[0034]
The procedure of the process performed by the
[0035]
As shown in FIG. 5, the processing of the
[0036]
The
[0037]
As a result, the user who requests access can be made to input the additional login information, and this can be notified to the administrator of the user. The administrator who has been notified of the login additional information can check in real time what kind of additional information he / she has applied for logging in to the in-
[0038]
The additional login information may be information other than the items exemplified in the present embodiment, as long as the administrator can confirm the validity of the access request to the in-
[0039]
Next, the
[0040]
Before the forced disconnection of the access, a warning may be issued when the remaining time becomes equal to or less than a predetermined time (for example, 2 minutes). Further, when there is a re-application in step S22, the repetition of the login processing S1 may be omitted.
[0041]
Next, the login processing S1 may be the following processing other than the processing shown in FIG. For example, FIG. 6 shows another aspect of the login processing S1. In this mode, login requires the approval of the administrator. That is, after the steps S11 to S13, a step S14 for permitting the login when the login permission notification is received may be added. This login permission notification is, for example, a reply mail from the
[0042]
In this aspect, when the administrator receives the notification of the additional login information on the
[0043]
Whether the login requires the approval of the administrator as in the mode of FIG. 6 may be determined according to the user who logs in, the access destination, or the service used. In this case, the necessity of administrator approval may be determined according to the authority given to the user, the assigned task, the level of confidentiality of the access destination, and the like.
[0044]
FIG. 7 shows still another mode of the login process S1. In this embodiment, a step S15 for performing additional authentication of the user is inserted between steps S12 and S13. The additional authentication is authentication performed in addition to the authentication using the user ID and the password in step S12, and is performed by the
[0045]
In the user authentication in step S12, authentication using a user ID and a password can be replaced with authentication using an electronic certificate or authentication using a one-time password, or two or more of these can be used in combination.
[0046]
Next, similarly to the processing during access S2, processing other than the processing illustrated in FIG. 5 can be performed. FIG. 8 shows an example of another processing mode.
[0047]
In this processing mode, a step S25 for determining whether or not a disconnection instruction has been received is added. In step S25, it is determined whether a disconnection instruction has been received from the
[0048]
Next, details of the processing performed by the
[0049]
The
[0050]
Thus, if an access different from the self-report is repeated, it is detected as an unauthorized access.
[0051]
Further, the importance may be set in advance according to the actual access destination (for example, see FIG. 9), and a threshold for detecting an unauthorized access may be determined according to the importance. In other words, an access destination with a higher importance is identified as an unauthorized access with a smaller (mismatch) detection count than an access destination with a lower importance.
[0052]
FIG. 9 shows an importance definition table 50 in which the importance and the threshold value for detecting unauthorized access are defined for each access destination. This table 50 is stored, for example, in a storage area (not shown) in the
[0053]
The
[0054]
As a result, even if the user authentication is cleared and the user logs in, if a suspicious action is performed, it is detected as an unauthorized access.
[0055]
Here, similarly to the case where the unauthorized access destination is detected, the suspicious activity may be immediately detected when the suspicious activity is detected. Detect as unauthorized access. Further, a threshold value for detecting unauthorized access may be determined according to the risk of unauthorized acts (for example, FIG. 10). That is, when a suspicious activity with a high risk is detected, it is recognized as an unauthorized access with a smaller number of times than that with a low risk.
[0056]
FIG. 10 shows a risk definition table 60 in which the risk and the threshold value for detecting unauthorized access are defined for each suspicious activity. This table 60 is stored, for example, in a storage area (not shown) in the
[0057]
When determining that an unauthorized access has been detected as described above, the
[0058]
The measures taken by the
[0059]
First, the
[0060]
Next, a processing procedure for monitoring an access destination performed as the processing during access S2 will be described with reference to a flowchart shown in FIG.
[0061]
First, the
[0062]
If the actual access destination does not match the declared one (S32: No), a counter for counting the number of times for each access destination is counted up (S33).
Then, the
[0063]
Further, a processing procedure for determining whether or not an access act is unauthorized will be described with reference to a flowchart shown in FIG.
[0064]
First, the
[0065]
The above-described embodiments of the present invention are exemplifications for describing the present invention, and are not intended to limit the scope of the present invention only to those embodiments. Those skilled in the art can implement the present invention in various other modes without departing from the gist of the present invention.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a user authentication system to which the present invention is applied.
FIG. 2 is a diagram illustrating an example of data items of an administrator table and a user table.
FIG. 3 is a diagram illustrating an example of a login application screen.
FIG. 4 is a diagram showing an example when the content of an e-mail received by the
FIG. 5 is a flowchart illustrating an example of a process performed by an authentication server.
FIG. 6 is a flowchart illustrating another aspect of the login process.
FIG. 7 is a flowchart illustrating another aspect of the login process.
FIG. 8 is a flowchart illustrating an aspect of processing during access.
FIG. 9 is a diagram illustrating an example of an importance definition table.
FIG. 10 is a diagram illustrating an example of a risk definition table.
FIG. 11 is a diagram showing an example of a matrix for determining a measure level.
FIG. 12 is a diagram illustrating an example of a countermeasure table for each user ID.
FIG. 13 is a flowchart illustrating an aspect of a process for monitoring an access destination.
FIG. 14 is a flowchart illustrating an aspect of a process for determining an unauthorized act.
[Explanation of symbols]
DESCRIPTION OF
Claims (8)
前記受け付けた申告内容を記憶するための記憶手段と、
前記ユーザの通信装置と前記コンピュータシステムとの間の通信記録を取得する取得手段と、
前記記憶手段に記憶された申告内容と、前記取得した通信記録とを比較する比較手段と、
前記比較手段の比較結果に基づいて、前記ユーザの不正アクセスを検出する検出手段とを備える不正アクセス検出装置。Receiving means for receiving a report on the access from a user accessing the computer system;
Storage means for storing the accepted declaration content;
Acquisition means for acquiring a communication record between the communication device of the user and the computer system,
Comparison means for comparing the declaration content stored in the storage means with the obtained communication record,
An unauthorized access detection device comprising: a detection unit configured to detect an unauthorized access of the user based on a comparison result of the comparison unit.
前記比較手段は、前記項目別に比較を行い、
前記検出手段は、前記項目別に、前記申告内容と前記通信記録との不一致回数を計数し、前記不一致回数が所定回数を超えたときに、不正アクセスを検出する請求項1記載の不正アクセス検出装置。The receiving means receives a report for a plurality of items,
The comparing means performs a comparison for each item,
2. The unauthorized access detection device according to claim 1, wherein the detection unit counts the number of mismatches between the declaration content and the communication record for each item, and detects an unauthorized access when the number of mismatches exceeds a predetermined number. .
前記通信記録には、前記ユーザがアクセスした現実のアクセス先を示す情報を含み、
前記比較手段は、前記現実のアクセス先と前記申告されたアクセス先とを比較して、一致するかどうかを判別する請求項1記載の不正アクセス検出装置。The declaration includes at least an item that can specify an access destination in the computer system,
The communication record includes information indicating an actual access destination accessed by the user,
2. The unauthorized access detection device according to claim 1, wherein the comparison unit compares the actual access destination with the declared access destination to determine whether they match.
前記検出手段は、前記判定手段の判定結果に基づいて不正アクセスを検出する請求項1記載の不正アクセス検出装置。A determination unit configured to determine whether an access mode of the user is included in a predetermined type based on the communication record;
2. The unauthorized access detection device according to claim 1, wherein the detection unit detects unauthorized access based on a result of the determination by the determination unit.
コンピュータシステムへアクセスするユーザから、前記アクセスに関する申告の入力を受け付けるステップと、
受け付けた申告内容を記憶手段に記憶するステップと、
前記ユーザの通信装置と前記コンピュータシステムとの間の通信記録を取得するステップと、
前記記憶手段に記憶された申告内容と、前記取得した通信記録とを比較するステップと、
前記比較結果に基づいて、前記ユーザの不正アクセスを検出するステップとを備える不正アクセスの検出方法。A method for operation of an apparatus for detecting unauthorized access,
Receiving input of a declaration regarding the access from a user accessing the computer system;
Storing the accepted declaration content in storage means;
Obtaining a communication record between the user's communication device and the computer system;
Comparing the declaration contents stored in the storage means with the obtained communication record;
Detecting an unauthorized access of the user based on the comparison result.
コンピュータシステムへアクセスするユーザから、前記アクセスに関する申告の入力を受け付けるステップと、
受け付けた申告内容を記憶手段に記憶するステップと、
前記ユーザの通信装置と前記コンピュータシステムとの間の通信記録を取得するステップと、
前記記憶手段に記憶された申告内容と、前記取得した通信記録とを比較するステップと、
前記比較結果に基づいて、前記ユーザの不正アクセスを検出するステップとを行う不正アクセス検出のためのコンピュータプログラム。When executed on a computer,
Receiving input of a declaration regarding the access from a user accessing the computer system;
Storing the accepted declaration content in storage means;
Obtaining a communication record between the user's communication device and the computer system;
Comparing the declaration contents stored in the storage means with the obtained communication record;
Detecting an unauthorized access of the user based on the comparison result.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003001392A JP3934062B2 (en) | 2003-01-07 | 2003-01-07 | Unauthorized access detection device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003001392A JP3934062B2 (en) | 2003-01-07 | 2003-01-07 | Unauthorized access detection device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004213476A true JP2004213476A (en) | 2004-07-29 |
JP3934062B2 JP3934062B2 (en) | 2007-06-20 |
Family
ID=32819427
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003001392A Expired - Lifetime JP3934062B2 (en) | 2003-01-07 | 2003-01-07 | Unauthorized access detection device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3934062B2 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006146456A (en) * | 2004-11-18 | 2006-06-08 | Fujitsu Ltd | Authentication device |
JP2006155124A (en) * | 2004-11-29 | 2006-06-15 | Savant:Kk | Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein |
JP2006178855A (en) * | 2004-12-24 | 2006-07-06 | Ntt Communications Kk | User authority controller, user authority control method and user authority control program |
JP2006237842A (en) * | 2005-02-23 | 2006-09-07 | Nippon Telegr & Teleph Corp <Ntt> | System and method for network control |
JP2007049649A (en) * | 2005-08-12 | 2007-02-22 | Sharp Corp | Communication medium apparatus, data providing apparatus, and data providing system |
JP2007122228A (en) * | 2005-10-26 | 2007-05-17 | Pfu Ltd | Network medical inspection system |
WO2007077624A1 (en) * | 2006-01-05 | 2007-07-12 | Intelligent Wave Inc. | Unauthorized access monitor program, unauthorized monitor method, and unauthorized monitor system |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10240687A (en) * | 1997-02-28 | 1998-09-11 | Tec Corp | Network system |
JPH11265347A (en) * | 1998-01-16 | 1999-09-28 | Toshiba Corp | Distributed network computing system, information switching device and method to be used for the system and computer readable storage medium storing information switching method program information |
JP2001282625A (en) * | 2000-03-31 | 2001-10-12 | Fujitsu Ltd | Security management system and security management program storage medium |
JP2002163030A (en) * | 2000-11-22 | 2002-06-07 | Nec Corp | System and method for controlling computer unit |
JP2002342279A (en) * | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | Filtering device, filtering method and program for making computer execute the method |
-
2003
- 2003-01-07 JP JP2003001392A patent/JP3934062B2/en not_active Expired - Lifetime
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10240687A (en) * | 1997-02-28 | 1998-09-11 | Tec Corp | Network system |
JPH11265347A (en) * | 1998-01-16 | 1999-09-28 | Toshiba Corp | Distributed network computing system, information switching device and method to be used for the system and computer readable storage medium storing information switching method program information |
JP2001282625A (en) * | 2000-03-31 | 2001-10-12 | Fujitsu Ltd | Security management system and security management program storage medium |
JP2002163030A (en) * | 2000-11-22 | 2002-06-07 | Nec Corp | System and method for controlling computer unit |
JP2002342279A (en) * | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | Filtering device, filtering method and program for making computer execute the method |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006146456A (en) * | 2004-11-18 | 2006-06-08 | Fujitsu Ltd | Authentication device |
JP4677768B2 (en) * | 2004-11-18 | 2011-04-27 | 富士通株式会社 | Authentication device |
JP2006155124A (en) * | 2004-11-29 | 2006-06-15 | Savant:Kk | Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein |
JP2006178855A (en) * | 2004-12-24 | 2006-07-06 | Ntt Communications Kk | User authority controller, user authority control method and user authority control program |
JP4490254B2 (en) * | 2004-12-24 | 2010-06-23 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | User authority control device, user authority control method, and user authority control program |
JP2006237842A (en) * | 2005-02-23 | 2006-09-07 | Nippon Telegr & Teleph Corp <Ntt> | System and method for network control |
JP2007049649A (en) * | 2005-08-12 | 2007-02-22 | Sharp Corp | Communication medium apparatus, data providing apparatus, and data providing system |
JP4578352B2 (en) * | 2005-08-12 | 2010-11-10 | シャープ株式会社 | Communication mediating apparatus, data providing apparatus, and data providing system |
JP2007122228A (en) * | 2005-10-26 | 2007-05-17 | Pfu Ltd | Network medical inspection system |
WO2007077624A1 (en) * | 2006-01-05 | 2007-07-12 | Intelligent Wave Inc. | Unauthorized access monitor program, unauthorized monitor method, and unauthorized monitor system |
Also Published As
Publication number | Publication date |
---|---|
JP3934062B2 (en) | 2007-06-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102217916B1 (en) | System and method for biometric protocol standards | |
US8141138B2 (en) | Auditing correlated events using a secure web single sign-on login | |
US10339298B2 (en) | Weak password support in a multi-user environment | |
US8327421B2 (en) | System and method for identity consolidation | |
US8245042B2 (en) | Shielding a sensitive file | |
US20170324777A1 (en) | Injecting supplemental data into data queries at network end-points | |
CN109409045B (en) | Safety protection method and device for automatic login account of browser | |
JP2006522420A (en) | Network security system based on physical location | |
US9516059B1 (en) | Using mock tokens to protect against malicious activity | |
JP3973563B2 (en) | Login request receiving apparatus, login request receiving method, and program therefor | |
CN112800397A (en) | Data asset protection method, system, electronic equipment and storage medium | |
JP2005234729A (en) | Unauthorized access protection system and its method | |
US20050238174A1 (en) | Method and system for secure communications over a public network | |
Osman et al. | Proposed security model for web based applications and services | |
JP3934062B2 (en) | Unauthorized access detection device | |
JP2007226827A (en) | Log-in request receiving device and access management device | |
KR101025029B1 (en) | Implementation method for integration database security system using electronic authentication | |
JP2012033145A (en) | Server device, and computer system and login method thereof | |
KR100931326B1 (en) | A managing system for id/password search list and login list and the method thereof | |
US20050086542A1 (en) | Authentication system | |
Pittalia | Advanced Security Policies to protect the Internet resources against the cyber attacks. | |
CN111711602A (en) | Login authentication method and device, electronic equipment and readable storage medium | |
WO2021144770A1 (en) | Device and method for securing, governing and monitoring source control management (scm) and version control systems | |
CN117349883A (en) | Data access management method and system based on block chain | |
Magruder et al. | Technical report: More secure passwords |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060523 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060530 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060725 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070220 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070314 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3934062 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110330 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110330 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120330 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120330 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130330 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140330 Year of fee payment: 7 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |