JP2018124883A - Fraudulence detection program, fraudulence detection method and fraudulence detection device - Google Patents

Fraudulence detection program, fraudulence detection method and fraudulence detection device Download PDF

Info

Publication number
JP2018124883A
JP2018124883A JP2017017926A JP2017017926A JP2018124883A JP 2018124883 A JP2018124883 A JP 2018124883A JP 2017017926 A JP2017017926 A JP 2017017926A JP 2017017926 A JP2017017926 A JP 2017017926A JP 2018124883 A JP2018124883 A JP 2018124883A
Authority
JP
Japan
Prior art keywords
terminals
login
information
account
fraud detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017017926A
Other languages
Japanese (ja)
Other versions
JP6772870B2 (en
Inventor
海寧 王
Kainei O
海寧 王
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017017926A priority Critical patent/JP6772870B2/en
Publication of JP2018124883A publication Critical patent/JP2018124883A/en
Application granted granted Critical
Publication of JP6772870B2 publication Critical patent/JP6772870B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

PROBLEM TO BE SOLVED: To detect a fraudulent log-in using the same account.SOLUTION: When detecting log-in by the same account from a plurality of terminals, the fraudulence detection device 1 obtains position information of the plurality of terminals to locate the plurality of terminals, and based on the specified locations of the respective terminals, calculates the distances between the plurality of terminals. Then, when the calculated distances are equal to or greater than a predetermined value, the fraudulence detection device 1 determines that the log-in from the plurality of terminals is fraudulent.SELECTED DRAWING: Figure 1

Description

本発明は、不正検出プログラムなどに関する。   The present invention relates to a fraud detection program and the like.

ソフトウェアのライセンスを管理するサーバは、ユーザ数に応じてライセンスを提供し、提供したライセンスを管理する。すなわち、かかるサーバは、提供したソフトウェアのライセンスをユーザ数に応じたユーザのアカウントにより管理する。   A server that manages software licenses provides licenses according to the number of users, and manages the provided licenses. That is, the server manages licenses of the provided software with user accounts corresponding to the number of users.

ユーザが遠隔地にいる場合のユーザのアカウントの認証技術が開示されている。例えば、ユーザのアカウントがその測地的な位置に特有な情報を用いることによって認証されるが、その情報が常に変化している場合に、ユーザのアカウントを認証し、サーバを騙すことを困難にする技術が開示されている(例えば、特許文献1参照)。   A technique for authenticating a user's account when the user is in a remote place is disclosed. For example, if a user's account is authenticated by using information specific to its geodetic location, but that information is constantly changing, it is difficult to authenticate the user's account and trick the server A technique is disclosed (for example, see Patent Document 1).

特表平11−512860号公報Japanese National Patent Publication No. 11-512860 特開2002−342284号公報JP 2002-342284 A

しかしながら、同じライセンスを用いて複数の端末を利用したサービスが行われる場合がある。かかる場合に、ライセンスを管理するサーバは、同一アカウントを利用したログインについて、ライセンスを有する正規のユーザが複数の端末を用いてログインしているのか、正規のユーザとそれ以外のユーザとが異なる端末を用いてログインしていのかを判別できない。このため、サーバは、同一アカウントを利用した不正なログインを検出することができないという問題がある。   However, a service using a plurality of terminals may be performed using the same license. In such a case, the server that manages the license uses a plurality of terminals to log in a license using the same account, or a terminal in which a regular user and other users are different Cannot determine whether you are logged in using. For this reason, there is a problem that the server cannot detect an unauthorized login using the same account.

なお、従来の技術では、ユーザのアカウントがその測地的な位置に特有な情報を用いることによって認証される場合の認証方法であり、アカウントによって認証される場合に同一アカウントを利用した不正を検出する技術ではない。   The conventional technique is an authentication method in the case where the user's account is authenticated by using information specific to the geodetic position, and when the account is authenticated by the account, fraud using the same account is detected. It's not technology.

1つの側面では、同一アカウントを利用した不正なログインを検出することを目的とする。   In one aspect, the object is to detect unauthorized logins using the same account.

1つの態様では、不正検出プログラムは、コンピュータに、複数の端末から同一アカウントによるログインを検知した場合に、前記複数の端末の位置情報を取得して前記複数の端末それぞれの位置を特定し、特定した前記複数の端末それぞれの位置に基づき、前記複数の端末それぞれの間の距離を算出し、算出した前記距離が所定の値以上である場合に、前記複数の端末からのログインを不正であると判定する、処理を実行させる。   In one aspect, the fraud detection program acquires position information of the plurality of terminals and identifies the positions of the plurality of terminals when the computer detects logins from the plurality of terminals with the same account. Based on the position of each of the plurality of terminals, the distance between each of the plurality of terminals is calculated, and when the calculated distance is equal to or greater than a predetermined value, login from the plurality of terminals is invalid. Determine and execute the process.

1つの態様によれば、不正検出プログラムは、同一アカウントを利用した不正なログインを検出することができる。   According to one aspect, the fraud detection program can detect an unauthorized login using the same account.

図1は、実施例1に係る不正検出装置の構成を示す機能ブロック図である。FIG. 1 is a functional block diagram illustrating the configuration of the fraud detection apparatus according to the first embodiment. 図2は、実施例1に係るログイン情報の一例を示す図である。FIG. 2 is a diagram illustrating an example of login information according to the first embodiment. 図3は、実施例1に係る不正検出処理のフローチャートの一例を示す図である。FIG. 3 is a diagram illustrating an example of a flowchart of fraud detection processing according to the first embodiment. 図4は、実施例2に係る不正検出装置の構成を示す機能ブロック図である。FIG. 4 is a functional block diagram illustrating the configuration of the fraud detection device according to the second embodiment. 図5は、実施例2に係る過去履歴情報の一例を示す図である。FIG. 5 is a diagram illustrating an example of past history information according to the second embodiment. 図6は、アラート種別に対応する閾値の一例を示す図である。FIG. 6 is a diagram illustrating an example of threshold values corresponding to alert types. 図7は、アラート種別に応じたアラートの一例を示す図である。FIG. 7 is a diagram illustrating an example of an alert corresponding to an alert type. 図8は、実施例2に係る不正検出処理のフローチャートの一例を示す図である。FIG. 8 is a diagram illustrating an example of a flowchart of fraud detection processing according to the second embodiment. 図9は、過去履歴情報を用いた不正段階判定処理のフローチャートの一例を示す図である。FIG. 9 is a diagram illustrating an example of a flowchart of an unauthorized stage determination process using past history information. 図10は、不正検出プログラムを実行するコンピュータの一例を示す図である。FIG. 10 is a diagram illustrating an example of a computer that executes a fraud detection program.

以下に、本願の開示する不正検出プログラム、不正検出方法および不正検出装置の実施例を図面に基づいて詳細に説明する。なお、実施例によりこの発明が限定されるものではない。   Embodiments of a fraud detection program, a fraud detection method, and a fraud detection apparatus disclosed in the present application will be described below in detail with reference to the drawings. The present invention is not limited to the embodiments.

[実施例1に係る不正検出装置の構成]
図1は、実施例1に係る不正検出装置の構成を示す機能ブロック図である。図1に示す不正検出装置1は、複数の端末から同一アカウントによるログインを検知した場合に、そのログインが正規のユーザのみからのものであるか、不正のユーザを含むものであるかを判定する。なお、アカウントは、例えば企業で使用されるソフトウェアのライセンスを企業内のユーザ数またはPC数に応じて提供される。しかしながら、アカウントは、これに限定されず、個人で使用されるソフトウェアのライセンスを個人に提供されるものであっても良い。 [Configuration of Fraud Detection Device According to Embodiment 1]
FIG. 1 is a functional block diagram illustrating the configuration of the fraud detection apparatus according to the first embodiment. The fraud detection apparatus 1 shown in FIG. 1 determines whether the login is from a legitimate user or includes an unauthorized user when detecting logins from the same account from a plurality of terminals. For example, an account is provided with a license for software used in a company according to the number of users or the number of PCs in the company. However, the account is not limited to this, and a license for software used by the individual may be provided to the individual.

図1に示すように、不正検出装置1は、制御部10および記憶部20を有する。   As shown in FIG. 1, the fraud detection device 1 includes a control unit 10 and a storage unit 20.

制御部10は、CPU(Central Processing Unit)などの電子回路に対応する。そして、制御部10は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。制御部10は、受信部11、識別部12、判定部13および出力部14を有する。   The control unit 10 corresponds to an electronic circuit such as a CPU (Central Processing Unit). And the control part 10 has an internal memory for storing the program which prescribed | regulated various process procedures, and control data, and performs various processes by these. The control unit 10 includes a reception unit 11, an identification unit 12, a determination unit 13, and an output unit 14.

記憶部20は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、または、ハードディスク、光ディスクなどの記憶装置である。記憶部20は、ログイン情報21を有する。ログイン情報21は、ログインの情報を示す。   The storage unit 20 is, for example, a semiconductor memory device such as a RAM (Random Access Memory) or a flash memory, or a storage device such as a hard disk or an optical disk. The storage unit 20 has login information 21. The login information 21 indicates login information.

ここで、ログイン情報21の一例を、図2を参照して説明する。図2は、実施例1に係るログイン情報の一例を示す図である。図2に示すように、ログイン情報21は、アカウントID(Identifier)21aおよび位置情報21bを対応付けて記憶する。アカウントID21aは、ライセンス毎に提供される文字列であってライセンスを識別するための標識となる文字列である。位置情報21bは、ログインした端末の位置情報である。位置情報21bは、経度と緯度とを用いた情報であっても良いし、住所の情報であっても良いし、大まかな地域の情報であっても良い。一例として、アカウントID21aが「AAA」である場合に、位置情報21bとして「X1」と記憶している。また、アカウントID21aが「AAA」である場合に、位置情報21bとして「X2」と記憶している。すなわち、アカウントID21aが「AAA」である場合、同一アカウントによる複数のログインの情報が記憶されている。また、アカウントID21aが「BBB」である場合に、位置情報21bとして「X3」と記憶している。すなわち、アカウントID21aが「BBB」である場合、単一のログインの情報が記憶されている。   Here, an example of the login information 21 will be described with reference to FIG. FIG. 2 is a diagram illustrating an example of login information according to the first embodiment. As shown in FIG. 2, the login information 21 stores an account ID (Identifier) 21a and position information 21b in association with each other. The account ID 21a is a character string provided for each license, and is a character string that serves as an indicator for identifying the license. The location information 21b is location information of the logged-in terminal. The position information 21b may be information using longitude and latitude, may be address information, or may be rough area information. As an example, when the account ID 21a is “AAA”, “X1” is stored as the position information 21b. In addition, when the account ID 21a is “AAA”, “X2” is stored as the position information 21b. That is, when the account ID 21a is “AAA”, information on a plurality of logins using the same account is stored. Further, when the account ID 21a is “BBB”, “X3” is stored as the position information 21b. That is, when the account ID 21a is “BBB”, single login information is stored.

受信部11は、端末からログインの情報を含む情報を受信する。例えば、受信部11は、端末からログインを検出し、アカウントIDおよび位置情報を含むログインの情報を受信する。   The receiving unit 11 receives information including login information from the terminal. For example, the receiving unit 11 detects login from a terminal and receives login information including an account ID and position information.

識別部12は、受信部11によって受信された情報を識別する。例えば、識別部12は、受信部11によって受信されたログインの情報に含まれるアカウントIDおよび位置情報を識別する。そして、識別部12は、識別(特定)されたアカウントIDおよび識別(特定)された位置情報を対応付けてログイン情報21に格納する。   The identification unit 12 identifies information received by the reception unit 11. For example, the identification unit 12 identifies an account ID and location information included in the login information received by the reception unit 11. Then, the identification unit 12 stores the identified (identified) account ID and the identified (identified) position information in the login information 21 in association with each other.

判定部13は、識別部12によって識別された識別情報に基づき、端末からのログインが不正であるか否かを判定する。例えば、判定部13は、ログイン情報21を参照し、識別部12によって識別されたアカウントIDと同一のアカウントIDの位置情報21bを取得する。そして、判定部13は、識別部12によって識別された位置情報と、取得した位置情報21bとに基づき、ログインした端末と、取得した位置情報21bの端末との間の距離を算出する。そして、判定部13は、算出した距離が所定の値以上である場合に、ログインした端末および取得した位置情報21bの端末からのログインを不正であると判定する。所定の値は、例えば、1ユーザが複数の端末で利用することが可能な複数の端末間の距離の値である。すなわち、判定部13は、同一のアカウントIDの複数の端末が1ユーザにより利用可能な距離に位置している場合には、複数の端末からのログインを不正でないと判定する。判定部13は、同一のアカウントIDの複数の端末が1ユーザにより利用不可能な距離に位置している場合には、複数の端末からのログインを不正であると判定する。   The determination unit 13 determines whether or not the login from the terminal is illegal based on the identification information identified by the identification unit 12. For example, the determination unit 13 refers to the login information 21 and acquires the position information 21 b of the same account ID as the account ID identified by the identification unit 12. And the determination part 13 calculates the distance between the terminal logged in and the terminal of the acquired positional information 21b based on the positional information identified by the identification part 12, and the acquired positional information 21b. And the determination part 13 determines with the login from the terminal of the logged-in terminal and the acquired positional information 21b being unauthorized, when the calculated distance is more than a predetermined value. The predetermined value is, for example, a distance value between a plurality of terminals that can be used by a single user at a plurality of terminals. That is, the determination unit 13 determines that logins from a plurality of terminals are not illegal when a plurality of terminals with the same account ID are located at a distance that can be used by one user. When a plurality of terminals with the same account ID are located at a distance that cannot be used by one user, the determination unit 13 determines that login from the plurality of terminals is illegal.

出力部14は、判定部13によって端末からのログインが不正であると判定された場合には、不正であると判定された複数の端末に対してアラートを出力する。例えば、出力部14は、ログイン後に、不正であると判定された複数の端末に対して注意や警告等のアラートを出力する。一例として、出力部14は、ログイン後に、不正であると判定された複数の端末に出力する画面の一部または全部を視認不可能または視認しにくい状態にする。   When the determination unit 13 determines that the login from the terminal is illegal, the output unit 14 outputs an alert to the plurality of terminals determined to be illegal. For example, the output unit 14 outputs alerts such as cautions and warnings to a plurality of terminals determined to be unauthorized after login. As an example, the output unit 14 makes a part or all of the screens output to a plurality of terminals determined to be illegal after logging in an invisible or difficult to view state.

[実施例1に係る不正検出処理のフローチャート]
図3は、実施例1に係る不正検出処理のフローチャートの一例を示す図である。図3に示すように、受信部11は、ログインを検出したか否かを判定する(ステップS11)。ログインを検出していないと判定した場合には(ステップS11;No)、受信部11は、ログインを検出するまで、判定処理を繰り返す。 [Flowchart of Fraud Detection Processing According to Embodiment 1]
FIG. 3 is a diagram illustrating an example of a flowchart of fraud detection processing according to the first embodiment. As illustrated in FIG. 3, the reception unit 11 determines whether login has been detected (step S <b> 11). If it is determined that the login is not detected (step S11; No), the receiving unit 11 repeats the determination process until the login is detected.

一方、ログインを検出したと判定した場合には(ステップS11;Yes)、識別部12は、ログインの情報からアカウントIDおよび位置情報を特定する(ステップS12)。そして、識別部12は、特定されたアカウントIDおよび特定された位置情報を対応付けてログイン情報21に格納する。   On the other hand, when it determines with having detected login (step S11; Yes), the identification part 12 specifies account ID and position information from the information of login (step S12). Then, the identification unit 12 stores the specified account ID and the specified position information in the login information 21 in association with each other.

そして、判定部13は、ログイン情報21を参照し、特定されたアカウントIDと同一のアカウントID21aの位置情報21bが存在するかを判定する(ステップS13)。特定されたアカウントIDと同一のアカウントID21aの位置情報21bが存在しないと判定した場合には(ステップS13;No)、判定部13は、端末からのログインを不正でないと判定し、不正検出処理を終了する。   Then, the determination unit 13 refers to the login information 21 and determines whether the position information 21b of the same account ID 21a as the specified account ID exists (step S13). When it is determined that the position information 21b of the account ID 21a identical to the identified account ID does not exist (step S13; No), the determination unit 13 determines that the login from the terminal is not unauthorized, and performs the fraud detection process. finish.

一方、特定されたアカウントIDと同一のアカウントID21aの位置情報21bが存在すると判定した場合には(ステップS13;Yes)、判定部13は、以下の処理を行う。すなわち、判定部13は、特定された位置情報と、特定されたアカウントIDと同一のアカウントID21aの位置情報21bとの距離が所定の値未満であるか否かを判定する(ステップS14)。   On the other hand, when it is determined that the position information 21b of the same account ID 21a as the specified account ID exists (step S13; Yes), the determination unit 13 performs the following process. That is, the determination unit 13 determines whether the distance between the specified position information and the position information 21b of the same account ID 21a as the specified account ID is less than a predetermined value (step S14).

距離が所定の値未満であると判定した場合には(ステップS14;Yes)、判定部13は、端末からのログインを不正でないと判定し、不正検出処理を終了する。   If it is determined that the distance is less than the predetermined value (step S14; Yes), the determination unit 13 determines that the login from the terminal is not unauthorized and ends the fraud detection process.

一方、距離が所定の値以上であると判定した場合には(ステップS14;No)、出力部14は、ログインが検出された端末および同一のアカウントID21aの位置情報21bの端末に対してアラートを出力する(ステップS15)。判定部13は、ログインが検出された端末および同一のアカウントID21aの位置情報21bの端末からのログインを不正であると判定し、出力部14は、これらの端末に対して注意や警告等のアラートを出力する。判定部13は、不正検出処理を終了する。   On the other hand, if it is determined that the distance is greater than or equal to the predetermined value (step S14; No), the output unit 14 issues an alert to the terminal where the login is detected and the terminal of the location information 21b of the same account ID 21a. Output (step S15). The determination unit 13 determines that the login from the terminal in which the login is detected and the terminal having the location information 21b with the same account ID 21a is illegal, and the output unit 14 generates an alert such as a caution or a warning for these terminals. Is output. The determination unit 13 ends the fraud detection process.

[実施例1の効果]
このようにして、上記実施例1では、不正検出装置1は、複数の端末から同一アカウントによるログインを検知した場合に、複数の端末の位置情報を取得して複数の端末それぞれの位置を特定する。不正検出装置1は、特定した複数の端末それぞれの位置に基づき、複数の端末それぞれの間の距離を算出する。そして、不正検出装置1は、算出した距離が所定の値以上である場合に、複数の端末からのログインを不正であると判定する。かかる構成によれば、不正検出装置1は、同一アカウントを利用した不正なログインを検出することができる。 [Effect of Example 1]
In this way, in the first embodiment, the fraud detection device 1 acquires the position information of the plurality of terminals and identifies the position of each of the plurality of terminals when the login by the same account is detected from the plurality of terminals. . The fraud detection device 1 calculates the distance between each of the plurality of terminals based on the identified positions of the plurality of terminals. The fraud detection device 1 determines that logins from a plurality of terminals are fraudulent when the calculated distance is equal to or greater than a predetermined value. According to such a configuration, the fraud detection device 1 can detect an unauthorized login using the same account.

また、上記実施例1では、不正検出装置1は、複数の端末からのログインを不正であると判定した場合に、ログイン後に複数の端末に出力する画面の一部または全部を視認不可能または視認しにくい状態にする処理を実行する。かかる構成によれば、不正検出装置1は、ログインを不正であると判定された複数の端末に対して、ライセンスの不正利用に対する意識を喚起させることができる。   Further, in the first embodiment, when the fraud detection device 1 determines that logins from a plurality of terminals are illegal, a part or all of the screens output to the plurality of terminals after login cannot be viewed or viewed. Execute the process to make it difficult to do. According to such a configuration, the fraud detection device 1 can make a plurality of terminals that are determined to be fraudulent to be aware of the unauthorized use of the license.

ところで、実施例1に係る不正検出装置1は、複数の端末から同一アカウントによるログインを検知した際、複数の端末それぞれの位置から算出された距離が所定の値以上である場合に、複数の端末からのログインを不正であると判定すると説明した。しかしながら、不正検出装置1は、これに限定されず、複数の端末からのログインを不正であると判定した場合に、過去のログインの履歴情報を参照して、段階的に複数の端末に出力する画面の一部または全部を視認不可能または視認しにくい状態にしても良い。   By the way, the fraud detection apparatus 1 according to the first embodiment, when detecting logins from the same account from a plurality of terminals, when the distance calculated from the position of each of the plurality of terminals is a predetermined value or more, the plurality of terminals It explained that it was determined that the login from was invalid. However, the fraud detection apparatus 1 is not limited to this, and when it is determined that logins from a plurality of terminals are illegal, the fraud detection apparatus 1 refers to the history information of past logins and outputs to the plurality of terminals step by step. A part or all of the screen may be invisible or difficult to view.

そこで、実施例2に係る不正検出装置1は、複数の端末からのログインを不正であると判定した場合に、過去のログインの履歴情報を参照して、段階的に複数の端末に出力する画面の一部または全部を視認不可能または視認しにくい状態にする場合を説明する。   Accordingly, the fraud detection apparatus 1 according to the second embodiment refers to a screen that outputs to a plurality of terminals step by step with reference to past log history information when it is determined that logins from a plurality of terminals are fraudulent. A case will be described in which a part or all of the screen is made invisible or difficult to view.

[実施例2に係る不正検出装置の構成]
図4は、実施例2に係る不正検出装置の構成を示す機能ブロック図である。なお、図1に示す不正検出装置1と同一の構成については同一符号を付すことで、その重複する構成および動作の説明については省略する。実施例1と実施例2とが異なるところは、受信部11を受信部11Aに変更し、識別部12を識別部12Aに変更し、判定部13を判定部13Aに変更し、出力部14を出力部14Aに変更した点にある。また、実施例1と実施例2とが異なるところは、過去履歴情報31を追加した点にある。過去履歴情報31は、過去にログインした端末の履歴情報である。 [Configuration of fraud detection apparatus according to Embodiment 2]
FIG. 4 is a functional block diagram illustrating the configuration of the fraud detection device according to the second embodiment. In addition, about the structure same as the fraud detection apparatus 1 shown in FIG. 1, the same code | symbol is attached | subjected and the description of the overlapping structure and operation | movement is abbreviate | omitted. The difference between the first embodiment and the second embodiment is that the reception unit 11 is changed to the reception unit 11A, the identification unit 12 is changed to the identification unit 12A, the determination unit 13 is changed to the determination unit 13A, and the output unit 14 is changed. The output unit 14A is changed. Further, the difference between the first embodiment and the second embodiment is that past history information 31 is added. The past history information 31 is history information of a terminal that has logged in in the past.

ここで、過去履歴情報31の一例を、図5を参照して説明する。図5は、実施例2に係る過去履歴情報の一例を示す図である。図5に示すように、過去履歴情報31は、アカウントID31aおよびログイン開始時刻31bに対応付けて、HW情報の内のMACアドレス31c、HW情報の内のIPアドレス31d、ログイン状況31e、利用時間31fを記憶する。さらに、過去履歴情報31は、アカウントID31aおよびログイン開始時刻31bに対応付けて、位置情報31g、利用URL31hおよびブラウザ31iを記憶する。アカウントID31aは、ライセンス毎に割り当てられる文字列であってライセンスを識別するための標識となる文字列である。アカウントID31aは、ログイン情報21のアカウントID21aに対応する。ログイン開始時刻31bは、ログインの開始時刻を示す。HW情報の内のMACアドレス31cは、ログインした端末のMACアドレスを示す。HW情報の内のIPアドレス31dは、ログインした端末のIPアドレスを示す。ログイン状況31eは、ログインした端末のログイン状況を示す。利用時間31fは、ログインしてから継続して利用している継続時間を示す。位置情報31gは、ログインした端末の位置情報である。位置情報31gは、経度と緯度とを用いた情報であっても良いし、住所の情報であっても良いし、大まかな地域の情報であっても良い。ここでは、位置情報31gは、大まかな地域の情報として示すものとする。利用URL31hは、ログインした端末が利用しているURLを示す。ブラウザ31iは、ログインした端末が利用しているブラウザを示す。   Here, an example of the past history information 31 will be described with reference to FIG. FIG. 5 is a diagram illustrating an example of past history information according to the second embodiment. As shown in FIG. 5, past history information 31 is associated with account ID 31a and login start time 31b, MAC address 31c in HW information, IP address 31d in HW information, login status 31e, usage time 31f. Remember. Furthermore, the past history information 31 stores location information 31g, a usage URL 31h, and a browser 31i in association with the account ID 31a and the login start time 31b. The account ID 31a is a character string assigned to each license, and is a character string that serves as an indicator for identifying the license. The account ID 31a corresponds to the account ID 21a of the login information 21. The login start time 31b indicates the login start time. The MAC address 31c in the HW information indicates the MAC address of the logged-in terminal. The IP address 31d in the HW information indicates the IP address of the logged-in terminal. The login status 31e indicates the login status of the logged-in terminal. The usage time 31f indicates the duration of continuous use after logging in. The location information 31g is location information of the logged-in terminal. The position information 31g may be information using longitude and latitude, may be address information, or may be rough area information. Here, the position information 31g is assumed to be rough area information. The use URL 31h indicates a URL used by the logged-in terminal. The browser 31i indicates a browser that is used by the logged-in terminal.

一例として、アカウントID31aが「AAA」である場合に、ログイン開始時刻31bとして「2017/01/10 13:30」、HW情報の内のMACアドレス31cとして「MACアドレスa」、IPアドレス31dとして「IPアドレスa」と記憶している。ログイン状況31eとして「ログイン中」、利用時間31fとして「3h」、位置情報31gとして「東京」、利用URL31hとして「URLa」、ブラウザ31iとして「IE」と記憶している。また、別のアカウントID31aが「AAA」である場合に、ログイン開始時刻31bとして「2017/01/10 14:30」、HW情報の内のMACアドレス31cとして「MACアドレスb」、IPアドレス31dとして「IPアドレスb」と記憶している。ログイン状況31eとして「ログイン中」、利用時間31fとして「1h」、位置情報31gとして「大阪」、利用URL31hとして「URLb」、ブラウザ31iとして「IE」と記憶している。   As an example, when the account ID 31a is “AAA”, the login start time 31b is “2017/01/10 13:30”, the MAC address 31c in the HW information is “MAC address a”, and the IP address 31d is “ IP address a ”is stored. “Logged in” is stored as the login status 31e, “3h” as the usage time 31f, “Tokyo” as the location information 31g, “URLa” as the usage URL 31h, and “IE” as the browser 31i. When another account ID 31a is “AAA”, the login start time 31b is “2017/01/10 14:30”, the MAC address 31c in the HW information is “MAC address b”, and the IP address 31d is “IP address b” is stored. “Logged in” is stored as the login status 31e, “1h” as the usage time 31f, “Osaka” as the location information 31g, “URLb” as the usage URL 31h, and “IE” as the browser 31i.

受信部11Aは、端末からログインの情報を含む情報を受信する。また、受信部11Aは、ログインした端末からライセンスを利用した利用状況の情報を受信する。ログインの情報は、例えば、アカウントID、位置情報およびHW情報を含む情報である。利用状況の情報は、例えば、ログイン状況、利用URLおよびブラウザを含む情報である。   The receiving unit 11A receives information including login information from the terminal. In addition, the receiving unit 11A receives information on the usage status using the license from the logged-in terminal. The login information is, for example, information including an account ID, position information, and HW information. The usage status information is, for example, information including a login status, a usage URL, and a browser.

識別部12Aは、受信部11Aによって受信された情報を識別する。例えば、識別部12Aは、受信部11Aによって受信されたログインの情報に含まれるアカウントID、位置情報およびHW情報を識別する。そして、識別部12Aは、識別(特定)されたアカウントIDおよび識別(特定)された位置情報を対応付けてログイン情報21に格納する。識別部12Aは、識別(特定)されたアカウントID、位置情報およびHW情報を過去履歴情報31に格納する。また、識別部12Aは、受信部11Aによって受信された利用状況の情報に含まれるログイン状況、利用URLおよびブラウザを識別する。そして、識別部12Aは、アカウントIDおよびHW情報に対応する、過去履歴情報31のレコードに、識別(特定)されたログイン状況、利用URLおよびブラウザを更新する。また、識別部12Aは、受信部11Aによって利用状況が受信されたとき、ログインしてから継続して利用している利用時間を、アカウントIDおよびHW情報に対応する、過去履歴情報31のレコードに更新する。   The identification unit 12A identifies the information received by the reception unit 11A. For example, the identification unit 12A identifies an account ID, location information, and HW information included in the login information received by the reception unit 11A. Then, the identification unit 12A associates the identified (identified) account ID and the identified (identified) position information and stores them in the login information 21. The identification unit 12A stores the identified (identified) account ID, location information, and HW information in the past history information 31. The identifying unit 12A identifies the login status, usage URL, and browser included in the usage status information received by the receiving unit 11A. Then, the identification unit 12A updates the identified (identified) login status, usage URL, and browser in the record of the past history information 31 corresponding to the account ID and the HW information. In addition, when the usage status is received by the receiving unit 11A, the identification unit 12A indicates the usage time continuously used after logging in the record of the past history information 31 corresponding to the account ID and the HW information. Update.

判定部13Aは、識別部12Aによって識別された識別情報に基づき、端末からのログインを不正であると判定する。例えば、判定部13Aは、ログイン情報21を参照し、識別部12Aによって識別されたアカウントIDと同一のアカウントID21aの位置情報21bを取得する。そして、判定部13Aは、識別部12Aによって識別された位置情報と、取得した位置情報21bとに基づき、ログインした端末と、取得した位置情報21bの端末との間の距離を算出する。そして、判定部13Aは、算出した距離が所定の値以上である場合に、ログインした端末および取得した位置情報21bの端末からのログインが不正であると判定する。すなわち、判定部13Aは、同一のアカウントIDによりログインした複数の端末からのログインが不正であると判定する。   The determination unit 13A determines that the login from the terminal is illegal based on the identification information identified by the identification unit 12A. For example, the determination unit 13A refers to the login information 21 and acquires the position information 21b of the same account ID 21a as the account ID identified by the identification unit 12A. Then, the determination unit 13A calculates the distance between the logged-in terminal and the terminal of the acquired position information 21b based on the position information identified by the identification unit 12A and the acquired position information 21b. When the calculated distance is equal to or greater than a predetermined value, the determination unit 13A determines that the login from the terminal that has logged in and the terminal of the acquired position information 21b is illegal. That is, the determination unit 13A determines that logins from a plurality of terminals logged in with the same account ID are illegal.

また、判定部13Aは、同一のアカウントIDによりログインした複数の端末からのログインが不正であると判定した場合には、過去履歴情報31を用いてさらに不正であるかどうかを判定する。例えば、判定部13Aは、過去履歴情報31を参照して、第1の閾値に合致する場合には、複数の端末からのログインを注意段階の不正であると判定する。すなわち、かかる場合には、判定部13Aは、複数の端末からのログインを軽度の段階の不正と判定する。そして、判定部13Aは、アラート種別を「注意」として出力部14Aにアラート種別を出力する。また、判定部13Aは、過去履歴情報31を参照して、第2の閾値に合致する場合には、複数の端末からのログインを警告の段階の不正であると判定する。すなわち、かかる場合には、判定部13Aは、複数の端末からのログインを中度の段階の不正と判定する。そして、判定部13Aは、アラート種別を「警告」として出力部14Aにアラート種別を出力する。また、判定部13Aは、過去履歴情報31を参照して、第3の閾値に合致する場合には、複数の端末からのログインを制限の段階の不正であると判定する。すなわち、かかる場合には、判定部13Aは、複数の端末からのログインを重度の段階の不正と判定する。そして、判定部13Aは、アラート種別を「制限」として出力部14Aにアラート種別を出力する。なお、第1の閾値、第2の閾値および第3の閾値の関係は、第1の閾値、第2の閾値、第3の閾値の順番で閾値の内容が重く設定されるものとする。   If the determination unit 13A determines that logins from a plurality of terminals logged in with the same account ID are illegal, the determination unit 13A determines whether the login is further illegal using the past history information 31. For example, with reference to the past history information 31, the determination unit 13A determines that logins from a plurality of terminals are illegal at the caution stage when the first threshold value is met. That is, in such a case, the determination unit 13A determines that logins from a plurality of terminals are mild injustices. Then, the determination unit 13A outputs the alert type to the output unit 14A with the alert type as “caution”. Further, the determination unit 13A refers to the past history information 31 and determines that login from a plurality of terminals is illegal at the warning stage when the second threshold value is satisfied. That is, in such a case, the determination unit 13A determines that logins from a plurality of terminals are medium-level fraud. Then, the determination unit 13A sets the alert type as “warning” and outputs the alert type to the output unit 14A. Further, the determination unit 13A refers to the past history information 31 and determines that login from a plurality of terminals is illegal at the restriction stage when the third threshold value is satisfied. In other words, in such a case, the determination unit 13A determines that logins from a plurality of terminals are serious injustices. Then, the determination unit 13A sets the alert type as “restricted” and outputs the alert type to the output unit 14A. Note that the relationship between the first threshold value, the second threshold value, and the third threshold value is set such that the contents of the threshold value are heavy in the order of the first threshold value, the second threshold value, and the third threshold value.

ここで、ソフトウェアのライセンスとして1つのアカウントが個人に対して提供された場合の、第1の閾値、第2の閾値および第3の閾値の一例を、図6を参照して説明する。図6は、アラート種別に対応する閾値の一例を示す図である。図6で示される表は、アラート種別に対応させて、不正であるかどうかを判定する際に用いられる判定項目の閾値が表わされている。判定項目は、例えば、同一アカウントIDからのログイン数、所定期間におけるログイン回数、所定期間における利用時間、複数の端末間の距離である。なお、ここで示される判定項目は、一例であって、他の判定項目を適用しても良い。   Here, an example of the first threshold value, the second threshold value, and the third threshold value when one account is provided to an individual as a software license will be described with reference to FIG. FIG. 6 is a diagram illustrating an example of threshold values corresponding to alert types. The table shown in FIG. 6 shows thresholds of determination items used when determining whether or not the information is invalid in association with the alert type. The determination items are, for example, the number of logins from the same account ID, the number of logins in a predetermined period, the usage time in the predetermined period, and the distance between a plurality of terminals. The determination items shown here are examples, and other determination items may be applied.

同一アカウントIDからのログイン数を判定項目として用いる場合には、第1の閾値は「2〜4」、第2の閾値は「5〜9」、第3の閾値は「10〜」である。例えば、判定部13Aは、過去履歴情報31を参照し、識別部12Aによって識別されたアカウントIDと同一のアカウントIDのログイン中のログイン数をカウントする。そして、判定部13Aは、カウント数が第1の閾値を示す「2〜4」に合致する場合には、アラート種別を「注意」に決定する。軽度の段階の不正と判定したものである。そして、判定部13Aは、カウント数が第2の閾値を示す「5〜9」に合致する場合には、アラート種別を「警告」に決定する。中度の段階の不正と判定したものである。そして、判定部13Aは、カウント数が第3の閾値を示す「10〜」に合致する場合には、アラート種別を「制限」に決定する。重度の段階の不正と判定したものである。すなわち、ログイン中の同一アカウントIDからのログイン数が「2〜4」である場合には、判定部13Aは、不正利用の可能性があるという軽度の段階の不正と判定する。ログイン中の同一アカウントIDからのログイン数が「5〜9」である場合には、判定部13Aは、不正利用の可能性が高いという中度の段階の不正と判定する。そして、ログイン中の同一アカウントIDからのログイン数が「10〜」である場合には、判定部13Aは、不正利用の可能性が相当高いという重度の段階の不正と判定する。   When the number of logins from the same account ID is used as a determination item, the first threshold is “2-4”, the second threshold is “5-9”, and the third threshold is “10”. For example, the determination unit 13A refers to the past history information 31 and counts the number of logins during login of the same account ID as the account ID identified by the identification unit 12A. Then, when the count number matches “2-4” indicating the first threshold, the determination unit 13A determines the alert type as “caution”. It is judged as a minor stage of fraud. Then, the determination unit 13A determines the alert type as “warning” when the count number matches “5 to 9” indicating the second threshold. It is determined that the medium level of fraud. Then, when the count number matches “10” indicating the third threshold, the determination unit 13A determines the alert type as “restricted”. It is judged as a serious stage of fraud. That is, when the number of logins from the same account ID being logged in is “2 to 4”, the determination unit 13A determines that there is a mild stage of fraud that there is a possibility of unauthorized use. When the number of logins from the same account ID being logged in is “5-9”, the determination unit 13A determines that the medium level of fraud is likely to be fraudulent use. When the number of logins from the same account ID being logged in is “10”, the determination unit 13A determines that it is a serious stage of fraud where the possibility of unauthorized use is very high.

所定期間におけるログイン回数を判定項目として用いる場合には、第1の閾値は「基準値±50%以内」、第2の閾値は「基準値±51〜100%」、第3の閾値は「基準値±101〜100%」である。ここで、基準値が例えば「3」であるとする。すると、第1の閾値は例えば「1.5以上4.5以下」、第2の閾値は例えば「4.5より大きく6以下」、第3の閾値は例えば「6より大きい」と設定されれば良い。なお、基準値は、過去の所定時間におけるログイン回数から算出されれば良いし、ユーザによって予め設定されても良い。   When the number of logins in a predetermined period is used as a determination item, the first threshold is “within reference value ± 50%”, the second threshold is “reference value ± 51 to 100%”, and the third threshold is “reference value”. Values ± 101 to 100% ”. Here, it is assumed that the reference value is “3”, for example. Then, for example, the first threshold is set to “1.5 to 4.5”, the second threshold is set to “greater than 4.5 and less than 6”, and the third threshold is set to “greater than 6”, for example. It ’s fine. The reference value may be calculated from the number of logins in the past predetermined time, or may be set in advance by the user.

例えば、判定部13Aは、過去履歴情報31を参照し、所定期間内で、識別部12Aによって識別されたアカウントIDと同一のアカウントIDのログインの回数をカウントする。そして、判定部13Aは、カウントしたログインの回数が第1の閾値を示す「基準値±50%以内」に合致する場合には、アラート種別を「注意」とする。軽度の段階の不正と判定したものである。そして、判定部13Aは、カウントしたログインの回数が第2の閾値を示す「基準値±51〜100%」に合致する場合には、アラート種別を「警告」とする。中度の段階の不正と判定したものである。そして、判定部13Aは、カウントしたログインの回数が第3の閾値を示す「基準値±101〜100%」に合致する場合には、アラート種別を「制限」とする。重度の段階の不正と判定したものである。   For example, the determination unit 13A refers to the past history information 31 and counts the number of logins of the same account ID as the account ID identified by the identification unit 12A within a predetermined period. Then, the determination unit 13A sets the alert type to “caution” when the counted number of logins matches “within reference value ± 50%” indicating the first threshold. It is judged as a minor stage of fraud. Then, the determination unit 13A sets the alert type to “warning” when the counted number of logins matches “reference value ± 51 to 100%” indicating the second threshold. It is determined that the medium level of fraud. Then, the determination unit 13A sets the alert type to “restricted” when the counted number of logins matches “reference value ± 101 to 100%” indicating the third threshold. It is judged as a serious stage of fraud.

所定期間における利用時間を判定項目として用いる場合には、第1の閾値は「10h以内/日」、第2の閾値は「10h〜15h/日」、第3の閾値は「15h以上/日」である。例えば、判定部13Aは、過去履歴情報31を参照し、識別部12Aによって識別されたアカウントIDの利用時間と当該アカウントIDと同一のアカウントIDの利用時間を取得する。そして、判定部13Aは、どちらの利用時間も第1の閾値を示す「10h以内/日」に合致する場合には、アラート種別を「注意」に決定する。軽度の段階の不正と判定したものである。そして、判定部13Aは、どちらの利用時間も第2の閾値を示す「10h〜15h/日」に合致する場合には、アラート種別を「警告」に決定する。中度の段階の不正と判定したものである。そして、判定部13Aは、どちらの利用時間も第3の閾値を示す「15h以上/日」に合致する場合には、アラート種別を「制限」に決定する。重度の段階の不正と判定したものである。すなわち、所定期間における利用時間が所定の閾値に合致する場合には、判定部13Aは、同一ユーザが複数台の端末を長期に渡って利用することは難しいため、不正利用と判定したものである。   When the usage time in the predetermined period is used as a determination item, the first threshold is “within 10 h / day”, the second threshold is “10 h to 15 h / day”, and the third threshold is “15 h or more / day”. It is. For example, the determination unit 13A refers to the past history information 31 and acquires the usage time of the account ID identified by the identification unit 12A and the usage time of the account ID that is the same as the account ID. Then, the determination unit 13A determines the alert type as “caution” when both the usage times match “within 10 hours / day” indicating the first threshold. It is judged as a minor stage of fraud. Then, the determination unit 13A determines the alert type as “warning” when both the usage times match “10h to 15h / day” indicating the second threshold. It is determined that the medium level of fraud. Then, the determination unit 13A determines that the alert type is “restricted” when both usage times match “15h or more / day” indicating the third threshold. It is judged as a serious stage of fraud. That is, when the usage time in a predetermined period matches a predetermined threshold, the determination unit 13A determines that the same user is illegally used because it is difficult for the same user to use a plurality of terminals for a long period of time. .

複数の端末間の距離を判定項目として用いる場合には、第1の閾値は「企業内に該当する距離」、第2の閾値は「国内に該当する距離」、第3の閾値は「国外に該当する距離」である。例えば、判定部13Aは、過去履歴情報31を参照し、識別部12Aによって識別されたアカウントIDの位置情報と当該アカウントIDと同一のアカウントIDの位置情報を取得する。そして、判定部13Aは、取得した位置情報から複数の端末間の距離を算出する。そして、判定部13Aは、複数の端末間の距離が第1の閾値を示す「企業内に該当する距離」に合致する場合には、アラート種別を「注意」に決定する。軽度の段階の不正と判定したものである。そして、判定部13Aは、複数の端末間の距離が第2の閾値を示す「国内に該当する距離」に合致する場合には、アラート種別を「警告」に決定する。中度の段階の不正と判定したものである。そして、判定部13Aは、複数の端末間の距離が第3の閾値を示す「国外に該当する距離」に合致する場合には、アラート種別を「制限」に決定する。重度の段階の不正と判定したものである。すなわち、複数の端末間の距離が所定の閾値に合致する場合には、判定部13Aは、同一ユーザが複数台の端末を利用することは難しいため、不正利用と判定したものである。   When using a distance between a plurality of terminals as a determination item, the first threshold is “distance corresponding to the company”, the second threshold is “distance corresponding to the country”, and the third threshold is “outside the country”. “Applicable distance”. For example, the determination unit 13A refers to the past history information 31 and acquires the position information of the account ID identified by the identification unit 12A and the position information of the same account ID as the account ID. Then, the determination unit 13A calculates distances between the plurality of terminals from the acquired position information. When the distance between the plurality of terminals matches the “distance corresponding to the company” indicating the first threshold, the determination unit 13A determines the alert type as “caution”. It is judged as a minor stage of fraud. Then, the determination unit 13A determines the alert type as “warning” when the distance between the plurality of terminals matches the “distance corresponding to the country” indicating the second threshold. It is determined that the medium level of fraud. Then, the determination unit 13A determines that the alert type is “restricted” when the distance between the plurality of terminals matches the “distance corresponding to outside the country” indicating the third threshold. It is judged as a serious stage of fraud. That is, when the distance between a plurality of terminals matches a predetermined threshold, the determination unit 13A determines that the same user is unauthorized use because it is difficult for the same user to use a plurality of terminals.

このようにして、判定部13Aは、複数の端末から同一のアカウントIDでのログインが行われた際に、位置情報だけでなく、判定条件を追加して判定することにより、そのログインが不正であるかどうかを精度良く判定することができる。   In this way, when the login with the same account ID is performed from a plurality of terminals, the determination unit 13A adds not only the location information but also the determination condition to determine that the login is illegal. It can be accurately determined whether or not there is.

なお、判定部13Aが、各判定項目について、第1の閾値、第2の閾値および第3の閾値を用いてアラート種別を決定すると説明した。しかしながら、判定部13Aは、これに限定されず、各判定項目の組み合わせについて、第1の閾値、第2の閾値および第3の閾値を用いてアラート種別を決定しても良い。例えば、判定部13Aは、組み合わせに含まれる各判定項目について、各判定項目に関する各値がそれぞれの第1の閾値に合致する場合に、アラート種別を「注意」に決定する。判定部13Aは、組み合わせに含まれる各判定項目について、各判定項目に関する各値がそれぞれの第2の閾値に合致する場合に、アラート種別を「警告」に決定する。判定部13Aは、組み合わせに含まれる各判定項目について、各判定項目に関する各値がそれぞれの第3の閾値に合致する場合に、アラート種別を「制限」に決定する。   It has been described that the determination unit 13A determines the alert type for each determination item using the first threshold value, the second threshold value, and the third threshold value. However, the determination unit 13A is not limited to this, and the alert type may be determined using the first threshold value, the second threshold value, and the third threshold value for each combination of the determination items. For example, for each determination item included in the combination, the determination unit 13A determines that the alert type is “attention” when each value related to each determination item matches each first threshold value. For each determination item included in the combination, the determination unit 13A determines the alert type as “warning” when each value related to each determination item matches the second threshold value. For each determination item included in the combination, the determination unit 13A determines that the alert type is “restricted” when each value related to each determination item matches the third threshold value.

また、図6では、ソフトウェアのライセンスとして1つのアカウントが個人に対して提供された場合の、第1の閾値、第2の閾値および第3の閾値の一例を示した。しかしながら、ソフトウェアのライセンスとして1つのアカウントが企業に対して提供される場合の、第1の閾値、第2の閾値および第3の閾値であっても企業内のユーザ数に合わせて設定されれば良い。ユーザ数が1000であるとする。かかる場合には、同一アカウントIDからのログイン数を判定項目として用いる場合には、第1の閾値は例えば「1001〜1004」、第2の閾値は例えば「1005〜1009」、第3の閾値は例えば「1010〜」と設定されれば良い。また、所定期間におけるログイン回数を判定項目として用いる場合には、規定値が例えば「3000」であるとする。すると、第1の閾値は例えば「1500以上4500以下」、第2の閾値は例えば「4500より大きく6000以下」、第3の閾値は例えば「6000より大きい」と設定されれば良い。   FIG. 6 shows an example of the first threshold value, the second threshold value, and the third threshold value when one account is provided to an individual as a software license. However, if one account is provided for a company as a software license, even if the first threshold, the second threshold, and the third threshold are set according to the number of users in the company good. Assume that the number of users is 1000. In such a case, when the number of logins from the same account ID is used as the determination item, the first threshold is “1001 to 1004”, the second threshold is “1005 to 1009”, and the third threshold is For example, “1010” may be set. Further, when the number of logins in a predetermined period is used as a determination item, the specified value is assumed to be “3000”, for example. Then, for example, the first threshold may be set to “1500 to 4500”, the second threshold may be set to “greater than 4500 and less than or equal to 6000”, and the third threshold may be set to “greater than 6000”, for example.

出力部14Aは、判定部13Aによって出力されたアラート種別に応じて、不正であると判定された複数の端末に対してアラートを出力する。例えば、出力部14Aは、判定部13Aによって出力されたアラート種別に応じて、不正であると判定された複数の端末に出力する画面の一部または全部を視認不可能または視認しにくい状態にする。一例として、出力部14Aは、アラート種別が「注意」である場合には、不正であると判定された複数の端末に対して、利用中の画面業務と関係のない部分を視認しにくい状態にする。すなわち、出力部14Aは、業務への影響が小さい部分を干渉する。出力部14Aは、アラート種別が「警告」である場合には、不正であると判定された複数の端末に対して、利用中の画面業務と関係のある部分を含めて視認しにくい状態にする。すなわち、出力部14Aは、業務への影響が出る程度の部分を干渉する。出力部14Aは、アラート種別が「制限」である場合には、不正であると判定された複数の端末に対して、利用中の画面全部を視認不可能な状態または視認しにくい状態にする。すなわち、出力部14Aは、利用画面に対して全面的に干渉する。   The output unit 14A outputs an alert to a plurality of terminals determined to be unauthorized according to the alert type output by the determination unit 13A. For example, the output unit 14A makes a part or all of the screens output to a plurality of terminals determined to be illegal in a state where it is not visible or difficult to view depending on the alert type output by the determination unit 13A. . As an example, when the alert type is “attention”, the output unit 14A makes it difficult for a plurality of terminals determined to be illegal to visually recognize a portion that is not related to the screen job being used. To do. That is, the output unit 14A interferes with a part that has a small influence on the business. When the alert type is “warning”, the output unit 14A makes it difficult to visually recognize a plurality of terminals determined to be illegal, including portions related to the screen job being used. . That is, the output unit 14A interferes with a part that has an effect on business. When the alert type is “restricted”, the output unit 14A makes all the screens in use invisible or difficult to view for a plurality of terminals determined to be illegal. That is, the output unit 14A interferes with the usage screen entirely.

ここで、アラート種別に応じたアラートの一例を、図7を参照して説明する。図7は、アラート種別に応じたアラートの一例を示す図である。図7に示すように、過去履歴情報31を用いて決定されたアラート種別に応じて、アラートが出力される。   Here, an example of the alert corresponding to the alert type will be described with reference to FIG. FIG. 7 is a diagram illustrating an example of an alert corresponding to an alert type. As shown in FIG. 7, an alert is output according to the alert type determined using the past history information 31.

アラート種別が「注意」である場合には、出力部14Aは、不正であると判定された複数の端末に対して、利用中の画面業務と関係のない部分を視認しにくい状態にする。ここでは、破線内に示される利用中の画面業務と関係のない部分が干渉されている。   When the alert type is “Caution”, the output unit 14A makes it difficult for a plurality of terminals determined to be illegal to visually recognize portions that are not related to the screen job being used. Here, a portion unrelated to the screen job being used shown in a broken line is interfered.

アラート種別が「警告」である場合には、出力部14Aは、不正であると判定された複数の端末に対して、利用中の画面業務と関係のある部分を含めて視認しにくい状態にする。ここでは、破線内に示される利用中の画面業務と関係のある部分が干渉されている。   When the alert type is “warning”, the output unit 14A makes it difficult to visually recognize a plurality of terminals determined to be illegal, including portions related to the screen job being used. . Here, a portion related to the screen job being used shown in a broken line is interfered.

アラート種別が「制限」である場合には、出力部14Aは、不正であると判定された複数の端末に対して、利用中の画面全部を視認不可能な状態または視認しにくい状態にする。ここでは、利用中の画面全部が視認不可能な状態に干渉されている。   When the alert type is “restricted”, the output unit 14A makes all the screens in use invisible or difficult to view for a plurality of terminals determined to be illegal. Here, the entire screen being used is interfered with in an invisible state.

これにより、出力部14Aは、不正であると判定された複数の端末の画面に対して閾値に応じて段階的に干渉することで、ライセンスの不正利用に対する意識を喚起させることができる。   Accordingly, the output unit 14A can raise awareness of unauthorized use of the license by interfering in a stepwise manner with respect to the screens of a plurality of terminals determined to be unauthorized according to the threshold value.

[実施例2に係る不正検出処理のフローチャート]
図8は、実施例2に係る不正検出処理のフローチャートの一例を示す図である。図8に示すように、受信部11Aは、ログインを検出したか否かを判定する(ステップS21)。ログインを検出していないと判定した場合には(ステップS21;No)、受信部11Aは、ログインを検出するまで、判定処理を繰り返す。 [Flowchart of Fraud Detection Processing According to Second Embodiment]
FIG. 8 is a diagram illustrating an example of a flowchart of fraud detection processing according to the second embodiment. As illustrated in FIG. 8, the reception unit 11A determines whether login has been detected (step S21). If it is determined that login has not been detected (step S21; No), the receiving unit 11A repeats the determination process until login is detected.

一方、ログインを検出したと判定した場合には(ステップS21;Yes)、識別部12Aは、ログインの情報からアカウントIDおよび位置情報を特定する(ステップS22)。そして、識別部12Aは、特定されたアカウントIDおよび特定された位置情報を対応付けてログイン情報21に格納する。   On the other hand, when it determines with having detected login (step S21; Yes), the identification part 12A specifies account ID and position information from the information of login (step S22). Then, the identification unit 12A stores the specified account ID and the specified position information in the login information 21 in association with each other.

そして、判定部13Aは、ログイン情報21を参照し、特定されたアカウントIDと同一のアカウントID21aの位置情報21bが存在するかを判定する(ステップS23)。特定されたアカウントIDと同一のアカウントID21aの位置情報21bが存在しないと判定した場合には(ステップS23;No)、判定部13Aは、端末からのログインを不正でないと判定し、不正検出処理を終了する。   Then, the determination unit 13A refers to the login information 21 and determines whether the position information 21b of the same account ID 21a as the specified account ID exists (step S23). When it is determined that the position information 21b of the account ID 21a identical to the identified account ID does not exist (step S23; No), the determination unit 13A determines that the login from the terminal is not unauthorized, and performs the fraud detection process. finish.

一方、特定されたアカウントIDと同一のアカウントID21aの位置情報21bが存在すると判定した場合には(ステップS23;Yes)、判定部13Aは、以下の処理を行う。すなわち、判定部13Aは、特定された位置情報と、特定されたアカウントIDと同一のアカウントID21aの位置情報21bとの距離が所定の値未満であるか否かを判定する(ステップS24)。   On the other hand, when it is determined that the position information 21b of the account ID 21a identical to the specified account ID exists (step S23; Yes), the determination unit 13A performs the following process. That is, the determination unit 13A determines whether or not the distance between the specified position information and the position information 21b of the same account ID 21a as the specified account ID is less than a predetermined value (step S24).

距離が所定の値未満であると判定した場合には(ステップS24;Yes)、判定部13Aは、端末からのログインを不正でないと判定し、不正検出処理を終了する。   If it is determined that the distance is less than the predetermined value (step S24; Yes), the determination unit 13A determines that the login from the terminal is not illegal and ends the fraud detection process.

一方、距離が所定の値以上であると判定した場合には(ステップS24;No)、判定部13Aは、特定されたアカウントIDによりログインした複数の端末からのログインが不正であると判定する。そして、判定部13Aは、さらに、特定されたアカウントIDについて、過去履歴情報31を用いた不正段階判定処理を実行する(ステップS25)。なお、過去履歴情報31を用いた不正段階判定処理のフローチャートは、後述する。   On the other hand, when it is determined that the distance is equal to or greater than the predetermined value (step S24; No), the determination unit 13A determines that logins from a plurality of terminals logged in using the specified account ID are illegal. Then, the determination unit 13A further performs an unauthorized stage determination process using the past history information 31 for the specified account ID (step S25). A flowchart of the unauthorized stage determination process using the past history information 31 will be described later.

そして、判定部13Aは、過去履歴情報31を用いた不正段階判定処理を実行した後、不正検出処理を終了する。   Then, the determination unit 13A ends the fraud detection process after executing the fraud stage determination process using the past history information 31.

[過去履歴情報を用いた不正段階判定処理のフローチャート]
図9は、過去履歴情報を用いた不正段階判定処理のフローチャートの一例を示す図である。なお、図9では、判定部13Aは、ログインが不正であると判定された該当のアカウントIDを受け取るものとする。 [Flow chart of fraud stage determination processing using past history information]
FIG. 9 is a diagram illustrating an example of a flowchart of an unauthorized stage determination process using past history information. In FIG. 9, it is assumed that the determination unit 13 </ b> A receives a corresponding account ID that is determined to be unauthorized.

図9に示すように、判定部13Aは、過去履歴情報31を参照して、該当するアカウントIDの過去履歴が第1の閾値に合致するか否かを判定する(ステップS31)。該当するアカウントIDの過去履歴が第1の閾値に合致すると判定した場合には(ステップS31;Yes)、判定部13Aは、該当するアカウントIDによりログインした複数の端末からのログインを注意段階の不正であると判定する。そして、出力部14Aは、「注意」のアラートを出力する(ステップS32)。例えば、出力部14Aは、不正であると判定された複数の端末に対して、利用中の画面業務と関係のない部分を視認しにくい状態にする。そして、判定部13Aは、過去履歴情報31を用いた不正段階判定処理を終了する。   As illustrated in FIG. 9, the determination unit 13A refers to the past history information 31 and determines whether or not the past history of the corresponding account ID matches the first threshold (step S31). When it is determined that the past history of the corresponding account ID matches the first threshold value (step S31; Yes), the determination unit 13A is illegal to log in from a plurality of terminals logged in with the corresponding account ID. It is determined that Then, the output unit 14A outputs a “caution” alert (step S32). For example, the output unit 14A makes it difficult for a plurality of terminals determined to be illegal to visually recognize a portion unrelated to the screen job being used. Then, the determination unit 13A ends the unauthorized stage determination process using the past history information 31.

一方、該当するアカウントIDの過去履歴が第1の閾値に合致しないと判定した場合には(ステップS31;No)、判定部13Aは、該当するアカウントIDの過去履歴が第2の閾値に合致するか否かを判定する(ステップS33)。該当するアカウントIDの過去履歴が第2の閾値に合致すると判定した場合には(ステップS33;Yes)、判定部13Aは、該当するアカウントIDによりログインした複数の端末からのログインを警告段階の不正であると判定する。そして、出力部14Aは、「警告」のアラートを出力する(ステップS34)。例えば、出力部14Aは、不正であると判定された複数の端末に対して、利用中の画面業務と関係のある部分を含めて視認しにくい状態にする。そして、判定部13Aは、過去履歴情報31を用いた不正段階判定処理を終了する。   On the other hand, if it is determined that the past history of the corresponding account ID does not match the first threshold (step S31; No), the determination unit 13A matches the past history of the corresponding account ID to the second threshold. Is determined (step S33). When it is determined that the past history of the corresponding account ID matches the second threshold value (step S33; Yes), the determination unit 13A is illegal in logging in from a plurality of terminals logged in with the corresponding account ID. It is determined that The output unit 14A then outputs a “warning” alert (step S34). For example, the output unit 14A makes it difficult to visually recognize a plurality of terminals determined to be illegal, including portions related to the screen job being used. Then, the determination unit 13A ends the unauthorized stage determination process using the past history information 31.

一方、該当するアカウントIDの過去履歴が第2の閾値に合致しないと判定した場合には(ステップS33;No)、判定部13Aは、該当するアカウントIDによりログインした複数の端末からのログインを制限段階の不正であると判定する。そして、出力部14Aは、「制限」のアラートを出力する(ステップS35)。例えば、出力部14Aは、不正であると判定された複数の端末に対して、利用中の画面全部を視認不可能な状態または視認しにくい状態にする。そして、判定部13Aは、過去履歴情報31を用いた不正段階判定処理を終了する。   On the other hand, when it is determined that the past history of the corresponding account ID does not match the second threshold (step S33; No), the determination unit 13A restricts login from a plurality of terminals logged in with the corresponding account ID. It is determined that the stage is invalid. Then, the output unit 14A outputs a “limit” alert (step S35). For example, the output unit 14A makes all of the screens in use unrecognizable or difficult to view for a plurality of terminals determined to be unauthorized. Then, the determination unit 13A ends the unauthorized stage determination process using the past history information 31.

なお、判定部13Aは、同一のアカウントIDによりログインした複数の端末からのログインが不正であると判定した場合には、過去履歴情報31を用いてさらに不正であるかどうかを判定すると説明した。例えば、判定部13Aは、過去履歴情報31を参照して、不正なログインの継続時間(利用時間)、不正なログインの回数および不正なログインを行った複数の端末間の距離の少なくとも一つに応じて、さらに不正であるかどうかを判定する。しかしながら、判定部13Aは、これに限定されず、過去履歴情報31を参照して、不正なログインを行った複数の端末の情報に応じて、さらに不正であるかどうかを判定しても良い。例えば、判定部13Aは、過去履歴情報31を参照して、不正なログインを行った複数のMACアドレスを取得し、取得したMACアドレスが過去に利用していない場合には、このMACアドレスの端末を不正であると判定しても良い。また、判定部13Aは、過去履歴情報31を参照して、不正なログインを行った複数の端末の情報、不正なログインの継続時間(利用時間)、不正なログインの回数および不正なログインを行った複数の端末間の距離の少なくとも一つに応じて、さらに不正であるかどうかを判定しても良い。   It has been described that the determination unit 13 </ b> A determines whether it is further unauthorized using the past history information 31 when it is determined that logins from a plurality of terminals logged in with the same account ID are unauthorized. For example, the determination unit 13A refers to the past history information 31 to set at least one of the duration of unauthorized login (usage time), the number of unauthorized logins, and the distance between a plurality of terminals that performed unauthorized logins. In response, it is further determined whether or not it is illegal. However, the determination unit 13 </ b> A is not limited to this, and may refer to the past history information 31 to determine whether or not the information is further illegal in accordance with information on a plurality of terminals that performed unauthorized login. For example, the determination unit 13A refers to the past history information 31 to acquire a plurality of MAC addresses that have performed unauthorized login, and when the acquired MAC address has not been used in the past, the terminal of the MAC address May be determined to be fraudulent. In addition, the determination unit 13A refers to the past history information 31 and performs information on a plurality of terminals that have performed unauthorized login, the duration of unauthorized login (usage time), the number of unauthorized logins, and unauthorized login. Further, it may be determined whether or not it is further illegal according to at least one of the distances between the plurality of terminals.

[実施例2の効果]
このようにして、上記実施例2では、不正検出装置1は、複数の端末からのログインを不正であると判定した場合に、さらに、端末の情報、不正なログインの継続時間、不正なログインの回数および不正なログインを行った端末間の距離の少なくとも一つに応じて、視認不可能または視認しにくい状態にする領域を決定する。かかる構成によれば、不正検出装置1は、過去履歴情報31を用いることで、ログインを不正であると判定された複数の端末に対して、ライセンスの不正利用に対する意識をさらに喚起させることができる。 [Effect of Example 2]
As described above, in the second embodiment, when the fraud detection device 1 determines that logins from a plurality of terminals are illegal, the fraud detection apparatus 1 further includes terminal information, unauthorized login duration, and unauthorized logins. A region to be invisible or difficult to view is determined according to at least one of the number of times and the distance between terminals that have performed unauthorized login. According to such a configuration, the fraud detection device 1 can further raise awareness of unauthorized use of licenses to a plurality of terminals determined to be fraudulent using the past history information 31. .

また、上記実施例2では、不正検出装置1は、複数の端末からのログインを不正であると判定した場合に、さらに、端末の情報、不正なログインの継続時間、不正なログインの回数および不正なログインを行った端末間の距離の少なくとも一つに応じて、視認のしにくさを決定する。かかる構成によれば、不正検出装置1は、過去履歴情報31を用いて視認のしにくさを決定することで、ライセンスの不正利用に対する意識をさらに喚起させることができる。   Further, in the second embodiment, when the fraud detection device 1 determines that logins from a plurality of terminals are illegal, the fraud detection apparatus 1 further includes terminal information, the duration of illegal login, the number of illegal logins, and fraud. The difficulty of visual recognition is determined according to at least one of the distances between the terminals that have logged in. According to this configuration, the fraud detection device 1 can further raise awareness of unauthorized use of the license by determining the difficulty of visual recognition using the past history information 31.

[その他]
なお、図示した装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、装置の分散・統合の具体的態様は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、判定部13Aを、同一のアカウントIDによりログインした複数の端末からのログインが不正であるかどうかを判定する第1の判定部と、過去履歴情報31を用いてさらに不正であるかどうかを判定する第2の判定部とに分離しても良い。また、受信部11Aと識別12Aとを統合しても良い。また、記憶部20を不正検出装置1の外部装置としてネットワーク経由で接続するようにしても良い。 [Others]
Note that the components of the illustrated apparatus do not necessarily have to be physically configured as illustrated. In other words, the specific mode of device distribution / integration is not limited to that shown in the figure, and all or part of the device is functionally or physically distributed / integrated in an arbitrary unit according to various loads or usage conditions. Can be configured. For example, the determination unit 13A uses the first determination unit for determining whether or not the login from a plurality of terminals logged in with the same account ID is unauthorized, and whether or not it is further unauthorized using the past history information 31. You may isolate | separate into the 2nd determination part to determine. Further, the receiving unit 11A and the identification 12A may be integrated. Further, the storage unit 20 may be connected as an external device of the fraud detection device 1 via a network.

また、上記実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーション等のコンピュータで実行することによって実現することができる。そこで、以下では、図1に示した不正検出装置1と同様の機能を実現する不正検出プログラムを実行するコンピュータの一例を説明する。図10は、不正検出プログラムを実行するコンピュータの一例を示す図である。   The various processes described in the above embodiments can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. Therefore, in the following, an example of a computer that executes a fraud detection program that realizes the same function as the fraud detection device 1 illustrated in FIG. 1 will be described. FIG. 10 is a diagram illustrating an example of a computer that executes a fraud detection program.

図10に示すように、コンピュータ200は、各種演算処理を実行するCPU203と、ユーザからのデータの入力を受け付ける入力装置215と、表示装置209を制御する表示制御部207とを有する。また、コンピュータ200は、記憶媒体からプログラムなどを読取るドライブ装置213と、ネットワークを介して他のコンピュータとの間でデータの授受を行う通信制御部217とを有する。また、コンピュータ200は、各種情報を一時記憶するメモリ201と、HDD205とを有する。そして、メモリ201、CPU203、HDD(Hard Disk Drive)205、表示制御部207、ドライブ装置213、入力装置215、通信制御部217は、バス219で接続されている。   As illustrated in FIG. 10, the computer 200 includes a CPU 203 that executes various arithmetic processes, an input device 215 that receives input of data from the user, and a display control unit 207 that controls the display device 209. The computer 200 also includes a drive device 213 that reads a program and the like from a storage medium, and a communication control unit 217 that exchanges data with other computers via a network. The computer 200 includes a memory 201 that temporarily stores various types of information and an HDD 205. The memory 201, CPU 203, HDD (Hard Disk Drive) 205, display control unit 207, drive device 213, input device 215, and communication control unit 217 are connected by a bus 219.

ドライブ装置213は、例えばリムーバブルディスク211用の装置である。   The drive device 213 is a device for the removable disk 211, for example.

CPU203は、不正検出プログラム205aを読み出して、メモリ201に展開し、プロセスとして実行する。かかるプロセスは、不正検出装置1の各機能部に対応する。不正検出処理関連情報205bは、不正検出装置1では、受信部11、識別部12、判定部13および出力部14に対応する。そして、例えばリムーバブルディスク211が、不正検出プログラム205aなどの各情報を記憶する。   The CPU 203 reads the fraud detection program 205a, expands it in the memory 201, and executes it as a process. Such a process corresponds to each functional unit of the fraud detection device 1. The fraud detection processing related information 205 b corresponds to the reception unit 11, the identification unit 12, the determination unit 13, and the output unit 14 in the fraud detection device 1. For example, the removable disk 211 stores each piece of information such as the fraud detection program 205a.

なお、不正検出プログラム205aについては、必ずしも最初からHDD205に記憶させておかなくても良い。例えば、コンピュータ200に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカード等の「可搬用の物理媒体」に当該プログラムを記憶させておく。そして、コンピュータ200がこれらから不正検出プログラム205aを読み出して実行するようにしても良い。   The fraud detection program 205a does not necessarily have to be stored in the HDD 205 from the beginning. For example, the program is stored in a “portable physical medium” such as a flexible disk (FD), a CD-ROM, a DVD disk, a magneto-optical disk, or an IC card inserted into the computer 200. Then, the computer 200 may read and execute the fraud detection program 205a from these.

1 不正検出装置
10 制御部
11、11A 受信部
12、12A 識別部
13、13A 判定部
14、14A 出力部
20 記憶部
21 ログイン情報
31 過去履歴情報 DESCRIPTION OF SYMBOLS 1 Fraud detection apparatus 10 Control part 11, 11A Reception part 12, 12A Identification part 13, 13A Determination part 14, 14A Output part 20 Storage part 21 Login information 31 Past history information

Claims (6)

コンピュータに、
複数の端末から同一アカウントによるログインを検知した場合に、前記複数の端末の位置情報を取得して前記複数の端末それぞれの位置を特定し、
特定した前記複数の端末それぞれの位置に基づき、前記複数の端末それぞれの間の距離を算出し、
算出した前記距離が所定の値以上である場合に、前記複数の端末からのログインを不正であると判定する
処理を実行させることを特徴とする不正検出プログラム。 On the computer,
When login from the same account is detected from a plurality of terminals, the position information of the plurality of terminals is acquired to identify the positions of the plurality of terminals,
Calculate the distance between each of the plurality of terminals based on the identified position of each of the plurality of terminals,
A fraud detection program that executes a process of determining that logins from the plurality of terminals are fraudulent when the calculated distance is equal to or greater than a predetermined value. 前記複数の端末からのログインを不正であると判定した場合に、前記ログイン後に前記複数の端末に出力する画面の一部または全部を視認不可能または視認しにくい状態にする
処理を実行させることを特徴とする請求項1に記載の不正検出プログラム。 When it is determined that logins from the plurality of terminals are unauthorized, executing a process of making a part or all of the screens output to the plurality of terminals after the login unrecognizable or difficult to view. The fraud detection program according to claim 1. さらに、前記端末の情報、不正なログインの継続時間、不正なログインの回数および不正なログインを行った端末間の距離の少なくとも一つに応じて、前記視認不可能または視認しにくい状態にする領域を決定する
処理を実行させることを特徴とする請求項2に記載の不正検出プログラム。 Further, an area that is invisible or difficult to view according to at least one of the terminal information, the duration of unauthorized login, the number of unauthorized logins, and the distance between terminals that performed unauthorized login The fraud detection program according to claim 2, wherein the fraud detection program is executed. さらに、前記端末の情報、不正なログインの継続時間、不正なログインの回数および不正なログインを行った端末間の距離の少なくとも一つに応じて、前記視認のしにくさを決定する
処理を実行させることを特徴とする請求項2に記載の不正検出プログラム。 Furthermore, the process for determining the difficulty of visual recognition is executed according to at least one of the terminal information, the duration of unauthorized login, the number of unauthorized logins, and the distance between terminals performing unauthorized login. The fraud detection program according to claim 2, wherein: コンピュータが、
複数の端末から同一アカウントによるログインを検知した場合に、前記複数の端末の位置情報を取得して前記複数の端末それぞれの位置を特定し、
特定した前記複数の端末それぞれの位置に基づき、前記複数の端末それぞれの間の距離を算出し、
算出した前記距離が所定の値以上である場合に、前記複数の端末からのログインを不正であると判定する、
処理を実行することを特徴とする不正検出方法。 Computer
When login from the same account is detected from a plurality of terminals, the position information of the plurality of terminals is acquired to identify the positions of the plurality of terminals,
Calculate the distance between each of the plurality of terminals based on the identified position of each of the plurality of terminals,
When the calculated distance is equal to or greater than a predetermined value, it is determined that logins from the plurality of terminals are illegal.
A fraud detection method characterized by executing processing. 複数の端末から同一アカウントによるログインを検知した場合に、前記複数の端末の位置情報を取得して前記複数の端末それぞれの位置を特定する特定部と、
特定した前記複数の端末それぞれの位置に基づき、前記複数の端末それぞれの間の距離を算出する算出部と、
算出した前記距離が所定の値以上である場合に、前記複数の端末からのログインを不正であると判定する判定部と、
を有することを特徴とする不正検出装置。 When detecting login by the same account from a plurality of terminals, a specifying unit that acquires position information of the plurality of terminals and specifies the position of each of the plurality of terminals;
A calculation unit for calculating a distance between each of the plurality of terminals based on the identified positions of the plurality of terminals;
A determination unit that determines that logins from the plurality of terminals are illegal when the calculated distance is equal to or greater than a predetermined value;
A fraud detection device characterized by comprising:
JP2017017926A 2017-02-02 2017-02-02 Fraud detection program, fraud detection method and fraud detection device Active JP6772870B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017017926A JP6772870B2 (en) 2017-02-02 2017-02-02 Fraud detection program, fraud detection method and fraud detection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017017926A JP6772870B2 (en) 2017-02-02 2017-02-02 Fraud detection program, fraud detection method and fraud detection device

Publications (2)

Publication Number Publication Date
JP2018124883A true JP2018124883A (en) 2018-08-09
JP6772870B2 JP6772870B2 (en) 2020-10-21

Family

ID=63111391

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017017926A Active JP6772870B2 (en) 2017-02-02 2017-02-02 Fraud detection program, fraud detection method and fraud detection device

Country Status (1)

Country Link
JP (1) JP6772870B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116980238A (en) * 2023-09-25 2023-10-31 北京智麟科技有限公司 Multi-terminal login control method and system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116980238A (en) * 2023-09-25 2023-10-31 北京智麟科技有限公司 Multi-terminal login control method and system
CN116980238B (en) * 2023-09-25 2023-12-08 北京智麟科技有限公司 Multi-terminal login control method and system

Also Published As

Publication number Publication date
JP6772870B2 (en) 2020-10-21

Similar Documents

Publication Publication Date Title
JP6680840B2 (en) Automatic detection of fraudulent digital certificates
US9439070B2 (en) User authentication system
JP6871357B2 (en) Systems and methods for detecting online scams
US8689001B1 (en) Method and system for protecting user identification information
US11968217B2 (en) Domain name and URL visual verification for increased security
JP6113678B2 (en) Authentication apparatus, authentication system, and authentication method
US11418499B2 (en) Password security
JP2017107450A (en) Access monitoring program, access monitoring method, and access monitor
JP2011040918A (en) Wireless lan access point; wireless lan terminal; and system, method and program for preventing wireless lan fraudulence
US9378358B2 (en) Password management system
JP2011154413A (en) Information processing device and method
US9992181B2 (en) Method and system for authenticating a user based on location data
JP2018124883A (en) Fraudulence detection program, fraudulence detection method and fraudulence detection device
JP4711824B2 (en) Business administrator terminal, environmental management station terminal, network operator terminal, business operator terminal, business administrator terminal control method, environmental management station terminal control method, network operator terminal control method, and business operator program
US8353032B1 (en) Method and system for detecting identity theft or unauthorized access
JP2011090589A (en) Automatic logon information management system to terminal
KR101565942B1 (en) Method and Apparatus for detecting ID theft
CN111209552A (en) Identity authentication method and device based on user behaviors
JP6361368B2 (en) Authentication apparatus and program
KR101393600B1 (en) Method for distinguishing a phishing site and system therefor
JP2010287076A (en) Information processor, information processing method and program
JP2013092998A (en) Access determination device, access determination method and program
US20230087884A1 (en) Controlling a screenshot function to obfuscate sensitive information in a screenshot
US20230252476A1 (en) Computationally efficient theft detection
US20170061440A1 (en) Periodic Fraud Checks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191008

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200812

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200901

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200914

R150 Certificate of patent or registration of utility model

Ref document number: 6772870

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150