JP2018124883A - Fraudulence detection program, fraudulence detection method and fraudulence detection device - Google Patents
Fraudulence detection program, fraudulence detection method and fraudulence detection device Download PDFInfo
- Publication number
- JP2018124883A JP2018124883A JP2017017926A JP2017017926A JP2018124883A JP 2018124883 A JP2018124883 A JP 2018124883A JP 2017017926 A JP2017017926 A JP 2017017926A JP 2017017926 A JP2017017926 A JP 2017017926A JP 2018124883 A JP2018124883 A JP 2018124883A
- Authority
- JP
- Japan
- Prior art keywords
- terminals
- login
- information
- account
- fraud detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明は、不正検出プログラムなどに関する。 The present invention relates to a fraud detection program and the like.
ソフトウェアのライセンスを管理するサーバは、ユーザ数に応じてライセンスを提供し、提供したライセンスを管理する。すなわち、かかるサーバは、提供したソフトウェアのライセンスをユーザ数に応じたユーザのアカウントにより管理する。 A server that manages software licenses provides licenses according to the number of users, and manages the provided licenses. That is, the server manages licenses of the provided software with user accounts corresponding to the number of users.
ユーザが遠隔地にいる場合のユーザのアカウントの認証技術が開示されている。例えば、ユーザのアカウントがその測地的な位置に特有な情報を用いることによって認証されるが、その情報が常に変化している場合に、ユーザのアカウントを認証し、サーバを騙すことを困難にする技術が開示されている(例えば、特許文献1参照)。 A technique for authenticating a user's account when the user is in a remote place is disclosed. For example, if a user's account is authenticated by using information specific to its geodetic location, but that information is constantly changing, it is difficult to authenticate the user's account and trick the server A technique is disclosed (for example, see Patent Document 1).
しかしながら、同じライセンスを用いて複数の端末を利用したサービスが行われる場合がある。かかる場合に、ライセンスを管理するサーバは、同一アカウントを利用したログインについて、ライセンスを有する正規のユーザが複数の端末を用いてログインしているのか、正規のユーザとそれ以外のユーザとが異なる端末を用いてログインしていのかを判別できない。このため、サーバは、同一アカウントを利用した不正なログインを検出することができないという問題がある。 However, a service using a plurality of terminals may be performed using the same license. In such a case, the server that manages the license uses a plurality of terminals to log in a license using the same account, or a terminal in which a regular user and other users are different Cannot determine whether you are logged in using. For this reason, there is a problem that the server cannot detect an unauthorized login using the same account.
なお、従来の技術では、ユーザのアカウントがその測地的な位置に特有な情報を用いることによって認証される場合の認証方法であり、アカウントによって認証される場合に同一アカウントを利用した不正を検出する技術ではない。 The conventional technique is an authentication method in the case where the user's account is authenticated by using information specific to the geodetic position, and when the account is authenticated by the account, fraud using the same account is detected. It's not technology.
1つの側面では、同一アカウントを利用した不正なログインを検出することを目的とする。 In one aspect, the object is to detect unauthorized logins using the same account.
1つの態様では、不正検出プログラムは、コンピュータに、複数の端末から同一アカウントによるログインを検知した場合に、前記複数の端末の位置情報を取得して前記複数の端末それぞれの位置を特定し、特定した前記複数の端末それぞれの位置に基づき、前記複数の端末それぞれの間の距離を算出し、算出した前記距離が所定の値以上である場合に、前記複数の端末からのログインを不正であると判定する、処理を実行させる。 In one aspect, the fraud detection program acquires position information of the plurality of terminals and identifies the positions of the plurality of terminals when the computer detects logins from the plurality of terminals with the same account. Based on the position of each of the plurality of terminals, the distance between each of the plurality of terminals is calculated, and when the calculated distance is equal to or greater than a predetermined value, login from the plurality of terminals is invalid. Determine and execute the process.
1つの態様によれば、不正検出プログラムは、同一アカウントを利用した不正なログインを検出することができる。 According to one aspect, the fraud detection program can detect an unauthorized login using the same account.
以下に、本願の開示する不正検出プログラム、不正検出方法および不正検出装置の実施例を図面に基づいて詳細に説明する。なお、実施例によりこの発明が限定されるものではない。 Embodiments of a fraud detection program, a fraud detection method, and a fraud detection apparatus disclosed in the present application will be described below in detail with reference to the drawings. The present invention is not limited to the embodiments.
[実施例1に係る不正検出装置の構成]
図1は、実施例1に係る不正検出装置の構成を示す機能ブロック図である。図1に示す不正検出装置1は、複数の端末から同一アカウントによるログインを検知した場合に、そのログインが正規のユーザのみからのものであるか、不正のユーザを含むものであるかを判定する。なお、アカウントは、例えば企業で使用されるソフトウェアのライセンスを企業内のユーザ数またはPC数に応じて提供される。しかしながら、アカウントは、これに限定されず、個人で使用されるソフトウェアのライセンスを個人に提供されるものであっても良い。
[Configuration of Fraud Detection Device According to Embodiment 1]
FIG. 1 is a functional block diagram illustrating the configuration of the fraud detection apparatus according to the first embodiment. The fraud detection apparatus 1 shown in FIG. 1 determines whether the login is from a legitimate user or includes an unauthorized user when detecting logins from the same account from a plurality of terminals. For example, an account is provided with a license for software used in a company according to the number of users or the number of PCs in the company. However, the account is not limited to this, and a license for software used by the individual may be provided to the individual.
図1に示すように、不正検出装置1は、制御部10および記憶部20を有する。
As shown in FIG. 1, the fraud detection device 1 includes a
制御部10は、CPU(Central Processing Unit)などの電子回路に対応する。そして、制御部10は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。制御部10は、受信部11、識別部12、判定部13および出力部14を有する。
The
記憶部20は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、または、ハードディスク、光ディスクなどの記憶装置である。記憶部20は、ログイン情報21を有する。ログイン情報21は、ログインの情報を示す。
The
ここで、ログイン情報21の一例を、図2を参照して説明する。図2は、実施例1に係るログイン情報の一例を示す図である。図2に示すように、ログイン情報21は、アカウントID(Identifier)21aおよび位置情報21bを対応付けて記憶する。アカウントID21aは、ライセンス毎に提供される文字列であってライセンスを識別するための標識となる文字列である。位置情報21bは、ログインした端末の位置情報である。位置情報21bは、経度と緯度とを用いた情報であっても良いし、住所の情報であっても良いし、大まかな地域の情報であっても良い。一例として、アカウントID21aが「AAA」である場合に、位置情報21bとして「X1」と記憶している。また、アカウントID21aが「AAA」である場合に、位置情報21bとして「X2」と記憶している。すなわち、アカウントID21aが「AAA」である場合、同一アカウントによる複数のログインの情報が記憶されている。また、アカウントID21aが「BBB」である場合に、位置情報21bとして「X3」と記憶している。すなわち、アカウントID21aが「BBB」である場合、単一のログインの情報が記憶されている。
Here, an example of the
受信部11は、端末からログインの情報を含む情報を受信する。例えば、受信部11は、端末からログインを検出し、アカウントIDおよび位置情報を含むログインの情報を受信する。 The receiving unit 11 receives information including login information from the terminal. For example, the receiving unit 11 detects login from a terminal and receives login information including an account ID and position information.
識別部12は、受信部11によって受信された情報を識別する。例えば、識別部12は、受信部11によって受信されたログインの情報に含まれるアカウントIDおよび位置情報を識別する。そして、識別部12は、識別(特定)されたアカウントIDおよび識別(特定)された位置情報を対応付けてログイン情報21に格納する。
The
判定部13は、識別部12によって識別された識別情報に基づき、端末からのログインが不正であるか否かを判定する。例えば、判定部13は、ログイン情報21を参照し、識別部12によって識別されたアカウントIDと同一のアカウントIDの位置情報21bを取得する。そして、判定部13は、識別部12によって識別された位置情報と、取得した位置情報21bとに基づき、ログインした端末と、取得した位置情報21bの端末との間の距離を算出する。そして、判定部13は、算出した距離が所定の値以上である場合に、ログインした端末および取得した位置情報21bの端末からのログインを不正であると判定する。所定の値は、例えば、1ユーザが複数の端末で利用することが可能な複数の端末間の距離の値である。すなわち、判定部13は、同一のアカウントIDの複数の端末が1ユーザにより利用可能な距離に位置している場合には、複数の端末からのログインを不正でないと判定する。判定部13は、同一のアカウントIDの複数の端末が1ユーザにより利用不可能な距離に位置している場合には、複数の端末からのログインを不正であると判定する。
The
出力部14は、判定部13によって端末からのログインが不正であると判定された場合には、不正であると判定された複数の端末に対してアラートを出力する。例えば、出力部14は、ログイン後に、不正であると判定された複数の端末に対して注意や警告等のアラートを出力する。一例として、出力部14は、ログイン後に、不正であると判定された複数の端末に出力する画面の一部または全部を視認不可能または視認しにくい状態にする。
When the
[実施例1に係る不正検出処理のフローチャート]
図3は、実施例1に係る不正検出処理のフローチャートの一例を示す図である。図3に示すように、受信部11は、ログインを検出したか否かを判定する(ステップS11)。ログインを検出していないと判定した場合には(ステップS11;No)、受信部11は、ログインを検出するまで、判定処理を繰り返す。
[Flowchart of Fraud Detection Processing According to Embodiment 1]
FIG. 3 is a diagram illustrating an example of a flowchart of fraud detection processing according to the first embodiment. As illustrated in FIG. 3, the reception unit 11 determines whether login has been detected (step S <b> 11). If it is determined that the login is not detected (step S11; No), the receiving unit 11 repeats the determination process until the login is detected.
一方、ログインを検出したと判定した場合には(ステップS11;Yes)、識別部12は、ログインの情報からアカウントIDおよび位置情報を特定する(ステップS12)。そして、識別部12は、特定されたアカウントIDおよび特定された位置情報を対応付けてログイン情報21に格納する。
On the other hand, when it determines with having detected login (step S11; Yes), the
そして、判定部13は、ログイン情報21を参照し、特定されたアカウントIDと同一のアカウントID21aの位置情報21bが存在するかを判定する(ステップS13)。特定されたアカウントIDと同一のアカウントID21aの位置情報21bが存在しないと判定した場合には(ステップS13;No)、判定部13は、端末からのログインを不正でないと判定し、不正検出処理を終了する。
Then, the
一方、特定されたアカウントIDと同一のアカウントID21aの位置情報21bが存在すると判定した場合には(ステップS13;Yes)、判定部13は、以下の処理を行う。すなわち、判定部13は、特定された位置情報と、特定されたアカウントIDと同一のアカウントID21aの位置情報21bとの距離が所定の値未満であるか否かを判定する(ステップS14)。
On the other hand, when it is determined that the position information 21b of the
距離が所定の値未満であると判定した場合には(ステップS14;Yes)、判定部13は、端末からのログインを不正でないと判定し、不正検出処理を終了する。
If it is determined that the distance is less than the predetermined value (step S14; Yes), the
一方、距離が所定の値以上であると判定した場合には(ステップS14;No)、出力部14は、ログインが検出された端末および同一のアカウントID21aの位置情報21bの端末に対してアラートを出力する(ステップS15)。判定部13は、ログインが検出された端末および同一のアカウントID21aの位置情報21bの端末からのログインを不正であると判定し、出力部14は、これらの端末に対して注意や警告等のアラートを出力する。判定部13は、不正検出処理を終了する。
On the other hand, if it is determined that the distance is greater than or equal to the predetermined value (step S14; No), the output unit 14 issues an alert to the terminal where the login is detected and the terminal of the location information 21b of the
[実施例1の効果]
このようにして、上記実施例1では、不正検出装置1は、複数の端末から同一アカウントによるログインを検知した場合に、複数の端末の位置情報を取得して複数の端末それぞれの位置を特定する。不正検出装置1は、特定した複数の端末それぞれの位置に基づき、複数の端末それぞれの間の距離を算出する。そして、不正検出装置1は、算出した距離が所定の値以上である場合に、複数の端末からのログインを不正であると判定する。かかる構成によれば、不正検出装置1は、同一アカウントを利用した不正なログインを検出することができる。
[Effect of Example 1]
In this way, in the first embodiment, the fraud detection device 1 acquires the position information of the plurality of terminals and identifies the position of each of the plurality of terminals when the login by the same account is detected from the plurality of terminals. . The fraud detection device 1 calculates the distance between each of the plurality of terminals based on the identified positions of the plurality of terminals. The fraud detection device 1 determines that logins from a plurality of terminals are fraudulent when the calculated distance is equal to or greater than a predetermined value. According to such a configuration, the fraud detection device 1 can detect an unauthorized login using the same account.
また、上記実施例1では、不正検出装置1は、複数の端末からのログインを不正であると判定した場合に、ログイン後に複数の端末に出力する画面の一部または全部を視認不可能または視認しにくい状態にする処理を実行する。かかる構成によれば、不正検出装置1は、ログインを不正であると判定された複数の端末に対して、ライセンスの不正利用に対する意識を喚起させることができる。 Further, in the first embodiment, when the fraud detection device 1 determines that logins from a plurality of terminals are illegal, a part or all of the screens output to the plurality of terminals after login cannot be viewed or viewed. Execute the process to make it difficult to do. According to such a configuration, the fraud detection device 1 can make a plurality of terminals that are determined to be fraudulent to be aware of the unauthorized use of the license.
ところで、実施例1に係る不正検出装置1は、複数の端末から同一アカウントによるログインを検知した際、複数の端末それぞれの位置から算出された距離が所定の値以上である場合に、複数の端末からのログインを不正であると判定すると説明した。しかしながら、不正検出装置1は、これに限定されず、複数の端末からのログインを不正であると判定した場合に、過去のログインの履歴情報を参照して、段階的に複数の端末に出力する画面の一部または全部を視認不可能または視認しにくい状態にしても良い。 By the way, the fraud detection apparatus 1 according to the first embodiment, when detecting logins from the same account from a plurality of terminals, when the distance calculated from the position of each of the plurality of terminals is a predetermined value or more, the plurality of terminals It explained that it was determined that the login from was invalid. However, the fraud detection apparatus 1 is not limited to this, and when it is determined that logins from a plurality of terminals are illegal, the fraud detection apparatus 1 refers to the history information of past logins and outputs to the plurality of terminals step by step. A part or all of the screen may be invisible or difficult to view.
そこで、実施例2に係る不正検出装置1は、複数の端末からのログインを不正であると判定した場合に、過去のログインの履歴情報を参照して、段階的に複数の端末に出力する画面の一部または全部を視認不可能または視認しにくい状態にする場合を説明する。 Accordingly, the fraud detection apparatus 1 according to the second embodiment refers to a screen that outputs to a plurality of terminals step by step with reference to past log history information when it is determined that logins from a plurality of terminals are fraudulent. A case will be described in which a part or all of the screen is made invisible or difficult to view.
[実施例2に係る不正検出装置の構成]
図4は、実施例2に係る不正検出装置の構成を示す機能ブロック図である。なお、図1に示す不正検出装置1と同一の構成については同一符号を付すことで、その重複する構成および動作の説明については省略する。実施例1と実施例2とが異なるところは、受信部11を受信部11Aに変更し、識別部12を識別部12Aに変更し、判定部13を判定部13Aに変更し、出力部14を出力部14Aに変更した点にある。また、実施例1と実施例2とが異なるところは、過去履歴情報31を追加した点にある。過去履歴情報31は、過去にログインした端末の履歴情報である。
[Configuration of fraud detection apparatus according to Embodiment 2]
FIG. 4 is a functional block diagram illustrating the configuration of the fraud detection device according to the second embodiment. In addition, about the structure same as the fraud detection apparatus 1 shown in FIG. 1, the same code | symbol is attached | subjected and the description of the overlapping structure and operation | movement is abbreviate | omitted. The difference between the first embodiment and the second embodiment is that the reception unit 11 is changed to the
ここで、過去履歴情報31の一例を、図5を参照して説明する。図5は、実施例2に係る過去履歴情報の一例を示す図である。図5に示すように、過去履歴情報31は、アカウントID31aおよびログイン開始時刻31bに対応付けて、HW情報の内のMACアドレス31c、HW情報の内のIPアドレス31d、ログイン状況31e、利用時間31fを記憶する。さらに、過去履歴情報31は、アカウントID31aおよびログイン開始時刻31bに対応付けて、位置情報31g、利用URL31hおよびブラウザ31iを記憶する。アカウントID31aは、ライセンス毎に割り当てられる文字列であってライセンスを識別するための標識となる文字列である。アカウントID31aは、ログイン情報21のアカウントID21aに対応する。ログイン開始時刻31bは、ログインの開始時刻を示す。HW情報の内のMACアドレス31cは、ログインした端末のMACアドレスを示す。HW情報の内のIPアドレス31dは、ログインした端末のIPアドレスを示す。ログイン状況31eは、ログインした端末のログイン状況を示す。利用時間31fは、ログインしてから継続して利用している継続時間を示す。位置情報31gは、ログインした端末の位置情報である。位置情報31gは、経度と緯度とを用いた情報であっても良いし、住所の情報であっても良いし、大まかな地域の情報であっても良い。ここでは、位置情報31gは、大まかな地域の情報として示すものとする。利用URL31hは、ログインした端末が利用しているURLを示す。ブラウザ31iは、ログインした端末が利用しているブラウザを示す。
Here, an example of the
一例として、アカウントID31aが「AAA」である場合に、ログイン開始時刻31bとして「2017/01/10 13:30」、HW情報の内のMACアドレス31cとして「MACアドレスa」、IPアドレス31dとして「IPアドレスa」と記憶している。ログイン状況31eとして「ログイン中」、利用時間31fとして「3h」、位置情報31gとして「東京」、利用URL31hとして「URLa」、ブラウザ31iとして「IE」と記憶している。また、別のアカウントID31aが「AAA」である場合に、ログイン開始時刻31bとして「2017/01/10 14:30」、HW情報の内のMACアドレス31cとして「MACアドレスb」、IPアドレス31dとして「IPアドレスb」と記憶している。ログイン状況31eとして「ログイン中」、利用時間31fとして「1h」、位置情報31gとして「大阪」、利用URL31hとして「URLb」、ブラウザ31iとして「IE」と記憶している。
As an example, when the
受信部11Aは、端末からログインの情報を含む情報を受信する。また、受信部11Aは、ログインした端末からライセンスを利用した利用状況の情報を受信する。ログインの情報は、例えば、アカウントID、位置情報およびHW情報を含む情報である。利用状況の情報は、例えば、ログイン状況、利用URLおよびブラウザを含む情報である。
The receiving
識別部12Aは、受信部11Aによって受信された情報を識別する。例えば、識別部12Aは、受信部11Aによって受信されたログインの情報に含まれるアカウントID、位置情報およびHW情報を識別する。そして、識別部12Aは、識別(特定)されたアカウントIDおよび識別(特定)された位置情報を対応付けてログイン情報21に格納する。識別部12Aは、識別(特定)されたアカウントID、位置情報およびHW情報を過去履歴情報31に格納する。また、識別部12Aは、受信部11Aによって受信された利用状況の情報に含まれるログイン状況、利用URLおよびブラウザを識別する。そして、識別部12Aは、アカウントIDおよびHW情報に対応する、過去履歴情報31のレコードに、識別(特定)されたログイン状況、利用URLおよびブラウザを更新する。また、識別部12Aは、受信部11Aによって利用状況が受信されたとき、ログインしてから継続して利用している利用時間を、アカウントIDおよびHW情報に対応する、過去履歴情報31のレコードに更新する。
The
判定部13Aは、識別部12Aによって識別された識別情報に基づき、端末からのログインを不正であると判定する。例えば、判定部13Aは、ログイン情報21を参照し、識別部12Aによって識別されたアカウントIDと同一のアカウントID21aの位置情報21bを取得する。そして、判定部13Aは、識別部12Aによって識別された位置情報と、取得した位置情報21bとに基づき、ログインした端末と、取得した位置情報21bの端末との間の距離を算出する。そして、判定部13Aは、算出した距離が所定の値以上である場合に、ログインした端末および取得した位置情報21bの端末からのログインが不正であると判定する。すなわち、判定部13Aは、同一のアカウントIDによりログインした複数の端末からのログインが不正であると判定する。
The determination unit 13A determines that the login from the terminal is illegal based on the identification information identified by the
また、判定部13Aは、同一のアカウントIDによりログインした複数の端末からのログインが不正であると判定した場合には、過去履歴情報31を用いてさらに不正であるかどうかを判定する。例えば、判定部13Aは、過去履歴情報31を参照して、第1の閾値に合致する場合には、複数の端末からのログインを注意段階の不正であると判定する。すなわち、かかる場合には、判定部13Aは、複数の端末からのログインを軽度の段階の不正と判定する。そして、判定部13Aは、アラート種別を「注意」として出力部14Aにアラート種別を出力する。また、判定部13Aは、過去履歴情報31を参照して、第2の閾値に合致する場合には、複数の端末からのログインを警告の段階の不正であると判定する。すなわち、かかる場合には、判定部13Aは、複数の端末からのログインを中度の段階の不正と判定する。そして、判定部13Aは、アラート種別を「警告」として出力部14Aにアラート種別を出力する。また、判定部13Aは、過去履歴情報31を参照して、第3の閾値に合致する場合には、複数の端末からのログインを制限の段階の不正であると判定する。すなわち、かかる場合には、判定部13Aは、複数の端末からのログインを重度の段階の不正と判定する。そして、判定部13Aは、アラート種別を「制限」として出力部14Aにアラート種別を出力する。なお、第1の閾値、第2の閾値および第3の閾値の関係は、第1の閾値、第2の閾値、第3の閾値の順番で閾値の内容が重く設定されるものとする。
If the determination unit 13A determines that logins from a plurality of terminals logged in with the same account ID are illegal, the determination unit 13A determines whether the login is further illegal using the
ここで、ソフトウェアのライセンスとして1つのアカウントが個人に対して提供された場合の、第1の閾値、第2の閾値および第3の閾値の一例を、図6を参照して説明する。図6は、アラート種別に対応する閾値の一例を示す図である。図6で示される表は、アラート種別に対応させて、不正であるかどうかを判定する際に用いられる判定項目の閾値が表わされている。判定項目は、例えば、同一アカウントIDからのログイン数、所定期間におけるログイン回数、所定期間における利用時間、複数の端末間の距離である。なお、ここで示される判定項目は、一例であって、他の判定項目を適用しても良い。 Here, an example of the first threshold value, the second threshold value, and the third threshold value when one account is provided to an individual as a software license will be described with reference to FIG. FIG. 6 is a diagram illustrating an example of threshold values corresponding to alert types. The table shown in FIG. 6 shows thresholds of determination items used when determining whether or not the information is invalid in association with the alert type. The determination items are, for example, the number of logins from the same account ID, the number of logins in a predetermined period, the usage time in the predetermined period, and the distance between a plurality of terminals. The determination items shown here are examples, and other determination items may be applied.
同一アカウントIDからのログイン数を判定項目として用いる場合には、第1の閾値は「2〜4」、第2の閾値は「5〜9」、第3の閾値は「10〜」である。例えば、判定部13Aは、過去履歴情報31を参照し、識別部12Aによって識別されたアカウントIDと同一のアカウントIDのログイン中のログイン数をカウントする。そして、判定部13Aは、カウント数が第1の閾値を示す「2〜4」に合致する場合には、アラート種別を「注意」に決定する。軽度の段階の不正と判定したものである。そして、判定部13Aは、カウント数が第2の閾値を示す「5〜9」に合致する場合には、アラート種別を「警告」に決定する。中度の段階の不正と判定したものである。そして、判定部13Aは、カウント数が第3の閾値を示す「10〜」に合致する場合には、アラート種別を「制限」に決定する。重度の段階の不正と判定したものである。すなわち、ログイン中の同一アカウントIDからのログイン数が「2〜4」である場合には、判定部13Aは、不正利用の可能性があるという軽度の段階の不正と判定する。ログイン中の同一アカウントIDからのログイン数が「5〜9」である場合には、判定部13Aは、不正利用の可能性が高いという中度の段階の不正と判定する。そして、ログイン中の同一アカウントIDからのログイン数が「10〜」である場合には、判定部13Aは、不正利用の可能性が相当高いという重度の段階の不正と判定する。
When the number of logins from the same account ID is used as a determination item, the first threshold is “2-4”, the second threshold is “5-9”, and the third threshold is “10”. For example, the determination unit 13A refers to the
所定期間におけるログイン回数を判定項目として用いる場合には、第1の閾値は「基準値±50%以内」、第2の閾値は「基準値±51〜100%」、第3の閾値は「基準値±101〜100%」である。ここで、基準値が例えば「3」であるとする。すると、第1の閾値は例えば「1.5以上4.5以下」、第2の閾値は例えば「4.5より大きく6以下」、第3の閾値は例えば「6より大きい」と設定されれば良い。なお、基準値は、過去の所定時間におけるログイン回数から算出されれば良いし、ユーザによって予め設定されても良い。 When the number of logins in a predetermined period is used as a determination item, the first threshold is “within reference value ± 50%”, the second threshold is “reference value ± 51 to 100%”, and the third threshold is “reference value”. Values ± 101 to 100% ”. Here, it is assumed that the reference value is “3”, for example. Then, for example, the first threshold is set to “1.5 to 4.5”, the second threshold is set to “greater than 4.5 and less than 6”, and the third threshold is set to “greater than 6”, for example. It ’s fine. The reference value may be calculated from the number of logins in the past predetermined time, or may be set in advance by the user.
例えば、判定部13Aは、過去履歴情報31を参照し、所定期間内で、識別部12Aによって識別されたアカウントIDと同一のアカウントIDのログインの回数をカウントする。そして、判定部13Aは、カウントしたログインの回数が第1の閾値を示す「基準値±50%以内」に合致する場合には、アラート種別を「注意」とする。軽度の段階の不正と判定したものである。そして、判定部13Aは、カウントしたログインの回数が第2の閾値を示す「基準値±51〜100%」に合致する場合には、アラート種別を「警告」とする。中度の段階の不正と判定したものである。そして、判定部13Aは、カウントしたログインの回数が第3の閾値を示す「基準値±101〜100%」に合致する場合には、アラート種別を「制限」とする。重度の段階の不正と判定したものである。
For example, the determination unit 13A refers to the
所定期間における利用時間を判定項目として用いる場合には、第1の閾値は「10h以内/日」、第2の閾値は「10h〜15h/日」、第3の閾値は「15h以上/日」である。例えば、判定部13Aは、過去履歴情報31を参照し、識別部12Aによって識別されたアカウントIDの利用時間と当該アカウントIDと同一のアカウントIDの利用時間を取得する。そして、判定部13Aは、どちらの利用時間も第1の閾値を示す「10h以内/日」に合致する場合には、アラート種別を「注意」に決定する。軽度の段階の不正と判定したものである。そして、判定部13Aは、どちらの利用時間も第2の閾値を示す「10h〜15h/日」に合致する場合には、アラート種別を「警告」に決定する。中度の段階の不正と判定したものである。そして、判定部13Aは、どちらの利用時間も第3の閾値を示す「15h以上/日」に合致する場合には、アラート種別を「制限」に決定する。重度の段階の不正と判定したものである。すなわち、所定期間における利用時間が所定の閾値に合致する場合には、判定部13Aは、同一ユーザが複数台の端末を長期に渡って利用することは難しいため、不正利用と判定したものである。
When the usage time in the predetermined period is used as a determination item, the first threshold is “within 10 h / day”, the second threshold is “10 h to 15 h / day”, and the third threshold is “15 h or more / day”. It is. For example, the determination unit 13A refers to the
複数の端末間の距離を判定項目として用いる場合には、第1の閾値は「企業内に該当する距離」、第2の閾値は「国内に該当する距離」、第3の閾値は「国外に該当する距離」である。例えば、判定部13Aは、過去履歴情報31を参照し、識別部12Aによって識別されたアカウントIDの位置情報と当該アカウントIDと同一のアカウントIDの位置情報を取得する。そして、判定部13Aは、取得した位置情報から複数の端末間の距離を算出する。そして、判定部13Aは、複数の端末間の距離が第1の閾値を示す「企業内に該当する距離」に合致する場合には、アラート種別を「注意」に決定する。軽度の段階の不正と判定したものである。そして、判定部13Aは、複数の端末間の距離が第2の閾値を示す「国内に該当する距離」に合致する場合には、アラート種別を「警告」に決定する。中度の段階の不正と判定したものである。そして、判定部13Aは、複数の端末間の距離が第3の閾値を示す「国外に該当する距離」に合致する場合には、アラート種別を「制限」に決定する。重度の段階の不正と判定したものである。すなわち、複数の端末間の距離が所定の閾値に合致する場合には、判定部13Aは、同一ユーザが複数台の端末を利用することは難しいため、不正利用と判定したものである。
When using a distance between a plurality of terminals as a determination item, the first threshold is “distance corresponding to the company”, the second threshold is “distance corresponding to the country”, and the third threshold is “outside the country”. “Applicable distance”. For example, the determination unit 13A refers to the
このようにして、判定部13Aは、複数の端末から同一のアカウントIDでのログインが行われた際に、位置情報だけでなく、判定条件を追加して判定することにより、そのログインが不正であるかどうかを精度良く判定することができる。 In this way, when the login with the same account ID is performed from a plurality of terminals, the determination unit 13A adds not only the location information but also the determination condition to determine that the login is illegal. It can be accurately determined whether or not there is.
なお、判定部13Aが、各判定項目について、第1の閾値、第2の閾値および第3の閾値を用いてアラート種別を決定すると説明した。しかしながら、判定部13Aは、これに限定されず、各判定項目の組み合わせについて、第1の閾値、第2の閾値および第3の閾値を用いてアラート種別を決定しても良い。例えば、判定部13Aは、組み合わせに含まれる各判定項目について、各判定項目に関する各値がそれぞれの第1の閾値に合致する場合に、アラート種別を「注意」に決定する。判定部13Aは、組み合わせに含まれる各判定項目について、各判定項目に関する各値がそれぞれの第2の閾値に合致する場合に、アラート種別を「警告」に決定する。判定部13Aは、組み合わせに含まれる各判定項目について、各判定項目に関する各値がそれぞれの第3の閾値に合致する場合に、アラート種別を「制限」に決定する。 It has been described that the determination unit 13A determines the alert type for each determination item using the first threshold value, the second threshold value, and the third threshold value. However, the determination unit 13A is not limited to this, and the alert type may be determined using the first threshold value, the second threshold value, and the third threshold value for each combination of the determination items. For example, for each determination item included in the combination, the determination unit 13A determines that the alert type is “attention” when each value related to each determination item matches each first threshold value. For each determination item included in the combination, the determination unit 13A determines the alert type as “warning” when each value related to each determination item matches the second threshold value. For each determination item included in the combination, the determination unit 13A determines that the alert type is “restricted” when each value related to each determination item matches the third threshold value.
また、図6では、ソフトウェアのライセンスとして1つのアカウントが個人に対して提供された場合の、第1の閾値、第2の閾値および第3の閾値の一例を示した。しかしながら、ソフトウェアのライセンスとして1つのアカウントが企業に対して提供される場合の、第1の閾値、第2の閾値および第3の閾値であっても企業内のユーザ数に合わせて設定されれば良い。ユーザ数が1000であるとする。かかる場合には、同一アカウントIDからのログイン数を判定項目として用いる場合には、第1の閾値は例えば「1001〜1004」、第2の閾値は例えば「1005〜1009」、第3の閾値は例えば「1010〜」と設定されれば良い。また、所定期間におけるログイン回数を判定項目として用いる場合には、規定値が例えば「3000」であるとする。すると、第1の閾値は例えば「1500以上4500以下」、第2の閾値は例えば「4500より大きく6000以下」、第3の閾値は例えば「6000より大きい」と設定されれば良い。 FIG. 6 shows an example of the first threshold value, the second threshold value, and the third threshold value when one account is provided to an individual as a software license. However, if one account is provided for a company as a software license, even if the first threshold, the second threshold, and the third threshold are set according to the number of users in the company good. Assume that the number of users is 1000. In such a case, when the number of logins from the same account ID is used as the determination item, the first threshold is “1001 to 1004”, the second threshold is “1005 to 1009”, and the third threshold is For example, “1010” may be set. Further, when the number of logins in a predetermined period is used as a determination item, the specified value is assumed to be “3000”, for example. Then, for example, the first threshold may be set to “1500 to 4500”, the second threshold may be set to “greater than 4500 and less than or equal to 6000”, and the third threshold may be set to “greater than 6000”, for example.
出力部14Aは、判定部13Aによって出力されたアラート種別に応じて、不正であると判定された複数の端末に対してアラートを出力する。例えば、出力部14Aは、判定部13Aによって出力されたアラート種別に応じて、不正であると判定された複数の端末に出力する画面の一部または全部を視認不可能または視認しにくい状態にする。一例として、出力部14Aは、アラート種別が「注意」である場合には、不正であると判定された複数の端末に対して、利用中の画面業務と関係のない部分を視認しにくい状態にする。すなわち、出力部14Aは、業務への影響が小さい部分を干渉する。出力部14Aは、アラート種別が「警告」である場合には、不正であると判定された複数の端末に対して、利用中の画面業務と関係のある部分を含めて視認しにくい状態にする。すなわち、出力部14Aは、業務への影響が出る程度の部分を干渉する。出力部14Aは、アラート種別が「制限」である場合には、不正であると判定された複数の端末に対して、利用中の画面全部を視認不可能な状態または視認しにくい状態にする。すなわち、出力部14Aは、利用画面に対して全面的に干渉する。 The output unit 14A outputs an alert to a plurality of terminals determined to be unauthorized according to the alert type output by the determination unit 13A. For example, the output unit 14A makes a part or all of the screens output to a plurality of terminals determined to be illegal in a state where it is not visible or difficult to view depending on the alert type output by the determination unit 13A. . As an example, when the alert type is “attention”, the output unit 14A makes it difficult for a plurality of terminals determined to be illegal to visually recognize a portion that is not related to the screen job being used. To do. That is, the output unit 14A interferes with a part that has a small influence on the business. When the alert type is “warning”, the output unit 14A makes it difficult to visually recognize a plurality of terminals determined to be illegal, including portions related to the screen job being used. . That is, the output unit 14A interferes with a part that has an effect on business. When the alert type is “restricted”, the output unit 14A makes all the screens in use invisible or difficult to view for a plurality of terminals determined to be illegal. That is, the output unit 14A interferes with the usage screen entirely.
ここで、アラート種別に応じたアラートの一例を、図7を参照して説明する。図7は、アラート種別に応じたアラートの一例を示す図である。図7に示すように、過去履歴情報31を用いて決定されたアラート種別に応じて、アラートが出力される。
Here, an example of the alert corresponding to the alert type will be described with reference to FIG. FIG. 7 is a diagram illustrating an example of an alert corresponding to an alert type. As shown in FIG. 7, an alert is output according to the alert type determined using the
アラート種別が「注意」である場合には、出力部14Aは、不正であると判定された複数の端末に対して、利用中の画面業務と関係のない部分を視認しにくい状態にする。ここでは、破線内に示される利用中の画面業務と関係のない部分が干渉されている。 When the alert type is “Caution”, the output unit 14A makes it difficult for a plurality of terminals determined to be illegal to visually recognize portions that are not related to the screen job being used. Here, a portion unrelated to the screen job being used shown in a broken line is interfered.
アラート種別が「警告」である場合には、出力部14Aは、不正であると判定された複数の端末に対して、利用中の画面業務と関係のある部分を含めて視認しにくい状態にする。ここでは、破線内に示される利用中の画面業務と関係のある部分が干渉されている。 When the alert type is “warning”, the output unit 14A makes it difficult to visually recognize a plurality of terminals determined to be illegal, including portions related to the screen job being used. . Here, a portion related to the screen job being used shown in a broken line is interfered.
アラート種別が「制限」である場合には、出力部14Aは、不正であると判定された複数の端末に対して、利用中の画面全部を視認不可能な状態または視認しにくい状態にする。ここでは、利用中の画面全部が視認不可能な状態に干渉されている。 When the alert type is “restricted”, the output unit 14A makes all the screens in use invisible or difficult to view for a plurality of terminals determined to be illegal. Here, the entire screen being used is interfered with in an invisible state.
これにより、出力部14Aは、不正であると判定された複数の端末の画面に対して閾値に応じて段階的に干渉することで、ライセンスの不正利用に対する意識を喚起させることができる。 Accordingly, the output unit 14A can raise awareness of unauthorized use of the license by interfering in a stepwise manner with respect to the screens of a plurality of terminals determined to be unauthorized according to the threshold value.
[実施例2に係る不正検出処理のフローチャート]
図8は、実施例2に係る不正検出処理のフローチャートの一例を示す図である。図8に示すように、受信部11Aは、ログインを検出したか否かを判定する(ステップS21)。ログインを検出していないと判定した場合には(ステップS21;No)、受信部11Aは、ログインを検出するまで、判定処理を繰り返す。
[Flowchart of Fraud Detection Processing According to Second Embodiment]
FIG. 8 is a diagram illustrating an example of a flowchart of fraud detection processing according to the second embodiment. As illustrated in FIG. 8, the
一方、ログインを検出したと判定した場合には(ステップS21;Yes)、識別部12Aは、ログインの情報からアカウントIDおよび位置情報を特定する(ステップS22)。そして、識別部12Aは、特定されたアカウントIDおよび特定された位置情報を対応付けてログイン情報21に格納する。
On the other hand, when it determines with having detected login (step S21; Yes), the
そして、判定部13Aは、ログイン情報21を参照し、特定されたアカウントIDと同一のアカウントID21aの位置情報21bが存在するかを判定する(ステップS23)。特定されたアカウントIDと同一のアカウントID21aの位置情報21bが存在しないと判定した場合には(ステップS23;No)、判定部13Aは、端末からのログインを不正でないと判定し、不正検出処理を終了する。
Then, the determination unit 13A refers to the
一方、特定されたアカウントIDと同一のアカウントID21aの位置情報21bが存在すると判定した場合には(ステップS23;Yes)、判定部13Aは、以下の処理を行う。すなわち、判定部13Aは、特定された位置情報と、特定されたアカウントIDと同一のアカウントID21aの位置情報21bとの距離が所定の値未満であるか否かを判定する(ステップS24)。
On the other hand, when it is determined that the position information 21b of the
距離が所定の値未満であると判定した場合には(ステップS24;Yes)、判定部13Aは、端末からのログインを不正でないと判定し、不正検出処理を終了する。 If it is determined that the distance is less than the predetermined value (step S24; Yes), the determination unit 13A determines that the login from the terminal is not illegal and ends the fraud detection process.
一方、距離が所定の値以上であると判定した場合には(ステップS24;No)、判定部13Aは、特定されたアカウントIDによりログインした複数の端末からのログインが不正であると判定する。そして、判定部13Aは、さらに、特定されたアカウントIDについて、過去履歴情報31を用いた不正段階判定処理を実行する(ステップS25)。なお、過去履歴情報31を用いた不正段階判定処理のフローチャートは、後述する。
On the other hand, when it is determined that the distance is equal to or greater than the predetermined value (step S24; No), the determination unit 13A determines that logins from a plurality of terminals logged in using the specified account ID are illegal. Then, the determination unit 13A further performs an unauthorized stage determination process using the
そして、判定部13Aは、過去履歴情報31を用いた不正段階判定処理を実行した後、不正検出処理を終了する。
Then, the determination unit 13A ends the fraud detection process after executing the fraud stage determination process using the
[過去履歴情報を用いた不正段階判定処理のフローチャート]
図9は、過去履歴情報を用いた不正段階判定処理のフローチャートの一例を示す図である。なお、図9では、判定部13Aは、ログインが不正であると判定された該当のアカウントIDを受け取るものとする。
[Flow chart of fraud stage determination processing using past history information]
FIG. 9 is a diagram illustrating an example of a flowchart of an unauthorized stage determination process using past history information. In FIG. 9, it is assumed that the
図9に示すように、判定部13Aは、過去履歴情報31を参照して、該当するアカウントIDの過去履歴が第1の閾値に合致するか否かを判定する(ステップS31)。該当するアカウントIDの過去履歴が第1の閾値に合致すると判定した場合には(ステップS31;Yes)、判定部13Aは、該当するアカウントIDによりログインした複数の端末からのログインを注意段階の不正であると判定する。そして、出力部14Aは、「注意」のアラートを出力する(ステップS32)。例えば、出力部14Aは、不正であると判定された複数の端末に対して、利用中の画面業務と関係のない部分を視認しにくい状態にする。そして、判定部13Aは、過去履歴情報31を用いた不正段階判定処理を終了する。
As illustrated in FIG. 9, the determination unit 13A refers to the
一方、該当するアカウントIDの過去履歴が第1の閾値に合致しないと判定した場合には(ステップS31;No)、判定部13Aは、該当するアカウントIDの過去履歴が第2の閾値に合致するか否かを判定する(ステップS33)。該当するアカウントIDの過去履歴が第2の閾値に合致すると判定した場合には(ステップS33;Yes)、判定部13Aは、該当するアカウントIDによりログインした複数の端末からのログインを警告段階の不正であると判定する。そして、出力部14Aは、「警告」のアラートを出力する(ステップS34)。例えば、出力部14Aは、不正であると判定された複数の端末に対して、利用中の画面業務と関係のある部分を含めて視認しにくい状態にする。そして、判定部13Aは、過去履歴情報31を用いた不正段階判定処理を終了する。
On the other hand, if it is determined that the past history of the corresponding account ID does not match the first threshold (step S31; No), the determination unit 13A matches the past history of the corresponding account ID to the second threshold. Is determined (step S33). When it is determined that the past history of the corresponding account ID matches the second threshold value (step S33; Yes), the determination unit 13A is illegal in logging in from a plurality of terminals logged in with the corresponding account ID. It is determined that The output unit 14A then outputs a “warning” alert (step S34). For example, the output unit 14A makes it difficult to visually recognize a plurality of terminals determined to be illegal, including portions related to the screen job being used. Then, the determination unit 13A ends the unauthorized stage determination process using the
一方、該当するアカウントIDの過去履歴が第2の閾値に合致しないと判定した場合には(ステップS33;No)、判定部13Aは、該当するアカウントIDによりログインした複数の端末からのログインを制限段階の不正であると判定する。そして、出力部14Aは、「制限」のアラートを出力する(ステップS35)。例えば、出力部14Aは、不正であると判定された複数の端末に対して、利用中の画面全部を視認不可能な状態または視認しにくい状態にする。そして、判定部13Aは、過去履歴情報31を用いた不正段階判定処理を終了する。
On the other hand, when it is determined that the past history of the corresponding account ID does not match the second threshold (step S33; No), the determination unit 13A restricts login from a plurality of terminals logged in with the corresponding account ID. It is determined that the stage is invalid. Then, the output unit 14A outputs a “limit” alert (step S35). For example, the output unit 14A makes all of the screens in use unrecognizable or difficult to view for a plurality of terminals determined to be unauthorized. Then, the determination unit 13A ends the unauthorized stage determination process using the
なお、判定部13Aは、同一のアカウントIDによりログインした複数の端末からのログインが不正であると判定した場合には、過去履歴情報31を用いてさらに不正であるかどうかを判定すると説明した。例えば、判定部13Aは、過去履歴情報31を参照して、不正なログインの継続時間(利用時間)、不正なログインの回数および不正なログインを行った複数の端末間の距離の少なくとも一つに応じて、さらに不正であるかどうかを判定する。しかしながら、判定部13Aは、これに限定されず、過去履歴情報31を参照して、不正なログインを行った複数の端末の情報に応じて、さらに不正であるかどうかを判定しても良い。例えば、判定部13Aは、過去履歴情報31を参照して、不正なログインを行った複数のMACアドレスを取得し、取得したMACアドレスが過去に利用していない場合には、このMACアドレスの端末を不正であると判定しても良い。また、判定部13Aは、過去履歴情報31を参照して、不正なログインを行った複数の端末の情報、不正なログインの継続時間(利用時間)、不正なログインの回数および不正なログインを行った複数の端末間の距離の少なくとも一つに応じて、さらに不正であるかどうかを判定しても良い。
It has been described that the
[実施例2の効果]
このようにして、上記実施例2では、不正検出装置1は、複数の端末からのログインを不正であると判定した場合に、さらに、端末の情報、不正なログインの継続時間、不正なログインの回数および不正なログインを行った端末間の距離の少なくとも一つに応じて、視認不可能または視認しにくい状態にする領域を決定する。かかる構成によれば、不正検出装置1は、過去履歴情報31を用いることで、ログインを不正であると判定された複数の端末に対して、ライセンスの不正利用に対する意識をさらに喚起させることができる。
[Effect of Example 2]
As described above, in the second embodiment, when the fraud detection device 1 determines that logins from a plurality of terminals are illegal, the fraud detection apparatus 1 further includes terminal information, unauthorized login duration, and unauthorized logins. A region to be invisible or difficult to view is determined according to at least one of the number of times and the distance between terminals that have performed unauthorized login. According to such a configuration, the fraud detection device 1 can further raise awareness of unauthorized use of licenses to a plurality of terminals determined to be fraudulent using the
また、上記実施例2では、不正検出装置1は、複数の端末からのログインを不正であると判定した場合に、さらに、端末の情報、不正なログインの継続時間、不正なログインの回数および不正なログインを行った端末間の距離の少なくとも一つに応じて、視認のしにくさを決定する。かかる構成によれば、不正検出装置1は、過去履歴情報31を用いて視認のしにくさを決定することで、ライセンスの不正利用に対する意識をさらに喚起させることができる。
Further, in the second embodiment, when the fraud detection device 1 determines that logins from a plurality of terminals are illegal, the fraud detection apparatus 1 further includes terminal information, the duration of illegal login, the number of illegal logins, and fraud. The difficulty of visual recognition is determined according to at least one of the distances between the terminals that have logged in. According to this configuration, the fraud detection device 1 can further raise awareness of unauthorized use of the license by determining the difficulty of visual recognition using the
[その他]
なお、図示した装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、装置の分散・統合の具体的態様は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、判定部13Aを、同一のアカウントIDによりログインした複数の端末からのログインが不正であるかどうかを判定する第1の判定部と、過去履歴情報31を用いてさらに不正であるかどうかを判定する第2の判定部とに分離しても良い。また、受信部11Aと識別12Aとを統合しても良い。また、記憶部20を不正検出装置1の外部装置としてネットワーク経由で接続するようにしても良い。
[Others]
Note that the components of the illustrated apparatus do not necessarily have to be physically configured as illustrated. In other words, the specific mode of device distribution / integration is not limited to that shown in the figure, and all or part of the device is functionally or physically distributed / integrated in an arbitrary unit according to various loads or usage conditions. Can be configured. For example, the determination unit 13A uses the first determination unit for determining whether or not the login from a plurality of terminals logged in with the same account ID is unauthorized, and whether or not it is further unauthorized using the
また、上記実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーション等のコンピュータで実行することによって実現することができる。そこで、以下では、図1に示した不正検出装置1と同様の機能を実現する不正検出プログラムを実行するコンピュータの一例を説明する。図10は、不正検出プログラムを実行するコンピュータの一例を示す図である。 The various processes described in the above embodiments can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. Therefore, in the following, an example of a computer that executes a fraud detection program that realizes the same function as the fraud detection device 1 illustrated in FIG. 1 will be described. FIG. 10 is a diagram illustrating an example of a computer that executes a fraud detection program.
図10に示すように、コンピュータ200は、各種演算処理を実行するCPU203と、ユーザからのデータの入力を受け付ける入力装置215と、表示装置209を制御する表示制御部207とを有する。また、コンピュータ200は、記憶媒体からプログラムなどを読取るドライブ装置213と、ネットワークを介して他のコンピュータとの間でデータの授受を行う通信制御部217とを有する。また、コンピュータ200は、各種情報を一時記憶するメモリ201と、HDD205とを有する。そして、メモリ201、CPU203、HDD(Hard Disk Drive)205、表示制御部207、ドライブ装置213、入力装置215、通信制御部217は、バス219で接続されている。
As illustrated in FIG. 10, the
ドライブ装置213は、例えばリムーバブルディスク211用の装置である。
The
CPU203は、不正検出プログラム205aを読み出して、メモリ201に展開し、プロセスとして実行する。かかるプロセスは、不正検出装置1の各機能部に対応する。不正検出処理関連情報205bは、不正検出装置1では、受信部11、識別部12、判定部13および出力部14に対応する。そして、例えばリムーバブルディスク211が、不正検出プログラム205aなどの各情報を記憶する。
The
なお、不正検出プログラム205aについては、必ずしも最初からHDD205に記憶させておかなくても良い。例えば、コンピュータ200に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカード等の「可搬用の物理媒体」に当該プログラムを記憶させておく。そして、コンピュータ200がこれらから不正検出プログラム205aを読み出して実行するようにしても良い。
The
1 不正検出装置
10 制御部
11、11A 受信部
12、12A 識別部
13、13A 判定部
14、14A 出力部
20 記憶部
21 ログイン情報
31 過去履歴情報
DESCRIPTION OF SYMBOLS 1
Claims (6)
複数の端末から同一アカウントによるログインを検知した場合に、前記複数の端末の位置情報を取得して前記複数の端末それぞれの位置を特定し、
特定した前記複数の端末それぞれの位置に基づき、前記複数の端末それぞれの間の距離を算出し、
算出した前記距離が所定の値以上である場合に、前記複数の端末からのログインを不正であると判定する
処理を実行させることを特徴とする不正検出プログラム。 On the computer,
When login from the same account is detected from a plurality of terminals, the position information of the plurality of terminals is acquired to identify the positions of the plurality of terminals,
Calculate the distance between each of the plurality of terminals based on the identified position of each of the plurality of terminals,
A fraud detection program that executes a process of determining that logins from the plurality of terminals are fraudulent when the calculated distance is equal to or greater than a predetermined value.
処理を実行させることを特徴とする請求項1に記載の不正検出プログラム。 When it is determined that logins from the plurality of terminals are unauthorized, executing a process of making a part or all of the screens output to the plurality of terminals after the login unrecognizable or difficult to view. The fraud detection program according to claim 1.
処理を実行させることを特徴とする請求項2に記載の不正検出プログラム。 Further, an area that is invisible or difficult to view according to at least one of the terminal information, the duration of unauthorized login, the number of unauthorized logins, and the distance between terminals that performed unauthorized login The fraud detection program according to claim 2, wherein the fraud detection program is executed.
処理を実行させることを特徴とする請求項2に記載の不正検出プログラム。 Furthermore, the process for determining the difficulty of visual recognition is executed according to at least one of the terminal information, the duration of unauthorized login, the number of unauthorized logins, and the distance between terminals performing unauthorized login. The fraud detection program according to claim 2, wherein:
複数の端末から同一アカウントによるログインを検知した場合に、前記複数の端末の位置情報を取得して前記複数の端末それぞれの位置を特定し、
特定した前記複数の端末それぞれの位置に基づき、前記複数の端末それぞれの間の距離を算出し、
算出した前記距離が所定の値以上である場合に、前記複数の端末からのログインを不正であると判定する、
処理を実行することを特徴とする不正検出方法。 Computer
When login from the same account is detected from a plurality of terminals, the position information of the plurality of terminals is acquired to identify the positions of the plurality of terminals,
Calculate the distance between each of the plurality of terminals based on the identified position of each of the plurality of terminals,
When the calculated distance is equal to or greater than a predetermined value, it is determined that logins from the plurality of terminals are illegal.
A fraud detection method characterized by executing processing.
特定した前記複数の端末それぞれの位置に基づき、前記複数の端末それぞれの間の距離を算出する算出部と、
算出した前記距離が所定の値以上である場合に、前記複数の端末からのログインを不正であると判定する判定部と、
を有することを特徴とする不正検出装置。 When detecting login by the same account from a plurality of terminals, a specifying unit that acquires position information of the plurality of terminals and specifies the position of each of the plurality of terminals;
A calculation unit for calculating a distance between each of the plurality of terminals based on the identified positions of the plurality of terminals;
A determination unit that determines that logins from the plurality of terminals are illegal when the calculated distance is equal to or greater than a predetermined value;
A fraud detection device characterized by comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017017926A JP6772870B2 (en) | 2017-02-02 | 2017-02-02 | Fraud detection program, fraud detection method and fraud detection device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017017926A JP6772870B2 (en) | 2017-02-02 | 2017-02-02 | Fraud detection program, fraud detection method and fraud detection device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018124883A true JP2018124883A (en) | 2018-08-09 |
JP6772870B2 JP6772870B2 (en) | 2020-10-21 |
Family
ID=63111391
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017017926A Active JP6772870B2 (en) | 2017-02-02 | 2017-02-02 | Fraud detection program, fraud detection method and fraud detection device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6772870B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116980238A (en) * | 2023-09-25 | 2023-10-31 | 北京智麟科技有限公司 | Multi-terminal login control method and system |
-
2017
- 2017-02-02 JP JP2017017926A patent/JP6772870B2/en active Active
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116980238A (en) * | 2023-09-25 | 2023-10-31 | 北京智麟科技有限公司 | Multi-terminal login control method and system |
CN116980238B (en) * | 2023-09-25 | 2023-12-08 | 北京智麟科技有限公司 | Multi-terminal login control method and system |
Also Published As
Publication number | Publication date |
---|---|
JP6772870B2 (en) | 2020-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6680840B2 (en) | Automatic detection of fraudulent digital certificates | |
US9439070B2 (en) | User authentication system | |
JP6871357B2 (en) | Systems and methods for detecting online scams | |
US8689001B1 (en) | Method and system for protecting user identification information | |
US11968217B2 (en) | Domain name and URL visual verification for increased security | |
JP6113678B2 (en) | Authentication apparatus, authentication system, and authentication method | |
US11418499B2 (en) | Password security | |
JP2017107450A (en) | Access monitoring program, access monitoring method, and access monitor | |
JP2011040918A (en) | Wireless lan access point; wireless lan terminal; and system, method and program for preventing wireless lan fraudulence | |
US9378358B2 (en) | Password management system | |
JP2011154413A (en) | Information processing device and method | |
US9992181B2 (en) | Method and system for authenticating a user based on location data | |
JP2018124883A (en) | Fraudulence detection program, fraudulence detection method and fraudulence detection device | |
JP4711824B2 (en) | Business administrator terminal, environmental management station terminal, network operator terminal, business operator terminal, business administrator terminal control method, environmental management station terminal control method, network operator terminal control method, and business operator program | |
US8353032B1 (en) | Method and system for detecting identity theft or unauthorized access | |
JP2011090589A (en) | Automatic logon information management system to terminal | |
KR101565942B1 (en) | Method and Apparatus for detecting ID theft | |
CN111209552A (en) | Identity authentication method and device based on user behaviors | |
JP6361368B2 (en) | Authentication apparatus and program | |
KR101393600B1 (en) | Method for distinguishing a phishing site and system therefor | |
JP2010287076A (en) | Information processor, information processing method and program | |
JP2013092998A (en) | Access determination device, access determination method and program | |
US20230087884A1 (en) | Controlling a screenshot function to obfuscate sensitive information in a screenshot | |
US20230252476A1 (en) | Computationally efficient theft detection | |
US20170061440A1 (en) | Periodic Fraud Checks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191008 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200812 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200901 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200914 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6772870 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |