JP2018142266A - 不正アクセス検出装置、プログラム及び方法 - Google Patents
不正アクセス検出装置、プログラム及び方法 Download PDFInfo
- Publication number
- JP2018142266A JP2018142266A JP2017037438A JP2017037438A JP2018142266A JP 2018142266 A JP2018142266 A JP 2018142266A JP 2017037438 A JP2017037438 A JP 2017037438A JP 2017037438 A JP2017037438 A JP 2017037438A JP 2018142266 A JP2018142266 A JP 2018142266A
- Authority
- JP
- Japan
- Prior art keywords
- access
- user terminal
- information
- authentication
- transmitted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 44
- 238000001514 detection method Methods 0.000 claims description 103
- 230000010365 information processing Effects 0.000 claims description 8
- 230000008859 change Effects 0.000 claims description 3
- 230000002265 prevention Effects 0.000 abstract 1
- 230000001186 cumulative effect Effects 0.000 description 34
- 230000008569 process Effects 0.000 description 31
- 238000012545 processing Methods 0.000 description 26
- 238000004891 communication Methods 0.000 description 19
- 230000006870 function Effects 0.000 description 16
- 238000013475 authorization Methods 0.000 description 15
- 230000000875 corresponding effect Effects 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000009795 derivation Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002238 attenuated effect Effects 0.000 description 1
- 238000010923 batch production Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
不正アクセスとは、アクセス権限のない他者が、インターネット等のネットワークを介して、各種のシステムやサーバにアクセスして内部情報等を流出・漏洩させて、情報を不正に利用するもので、情報漏洩等は、企業や組織等の信用やイメージなどに大きな影響を及ぼす深刻な問題となっている。
これまで、ネットワーク上の不正アクセスについては、例えばファイヤーウォールやWAF(Web Application Firewall)等の防御手段・防衛技術が知られている(例えば特許文献1参照)。
また、最近では、例えばOpenID(登録商標)Connectと呼ばれる、一つの認証処理によって複数のサーバやシステムへのアクセスを許可する技術が提案されている。
これは、インターネット上にある様々なWebサイトやアプリケーションサービスを利用する場合に、各ユーザが一つのIDでログイン・認証処理ができるようにするID連携の技術であり、シングルサインオンの機能を実現する利便性の高いシステム、サービスとして利用・拡大が期待されている。
このため、IDやパスワード等の認証情報が漏洩・流出すれば、不正アクセスを防止することは非常に困難乃至不可能となってしまい、これに対しては、特許文献1で開示されているような既存のファイヤーウォールやWAF等では、有効な防御手段とはなり得なかった。
前記アクセス許可情報が生成されたユーザ端末に係る認証情報と同一の認証情報が、当該アクセス許可情報が送信された対象装置と同一又は異なる対象装置に対してアクセス要求情報を送信したユーザ端末から送信されると、当該同一の認証情報を送信したユーザ端末に係るアクセス要求情報について、所定の不正アクセスのリスク判定を行うリスク判定手段と、を備える構成としてある。
さらに、本発明は、上記のような本発明に係る不正アクセス検出装置及びプログラムによって実施可能な不正アクセス検出方法として構成することもできる。
これにより、例えばOpenID Connectなどの、一つの認証処理によって複数のサーバやシステムへのアクセスが可能となるシングルサインオンのシステムにおいても、不正アクセスによる情報漏洩やそれに基づく被害発生を有効に防止・排除することが可能となる。
ここで、以下に示す本発明の不正アクセス検出装置は、プログラム(ソフトウェア)の命令によりコンピュータで実行される処理,手段,機能によって実現される。プログラムは、コンピュータの各構成要素に指令を送り、以下に示す本発明に係る所定の処理や機能等を行わせることができる。すなわち、本発明における各処理や手段,機能は、プログラムとコンピュータとが協働した具体的手段によって実現される。
図1に、本発明の一実施形態に係る不正アクセス検出装置20を備えた不正アクセス検出システム1の構成を模式的に示す。
また、図2に、本実施形態に係る不正アクセス検出システム1におけるアクセスパターンを模式的に示す説明図である。
これらの図に示すように、本発明の一実施形態に係る不正アクセス検出システム1は、不正サクセスの監視対象となる複数の対象サーバ12(12a〜12n)と、対象サーバ12にアクセス可能な複数のユーザ端末14(14a〜14n)と、各対象サーバ12に対する不正アクセスを監視・検出する不正アクセス検出装置20を備えて構成されている。
これら対象サーバ12・ユーザ端末14・不正アクセス検出装置20は、LAN・WAN・インターネット等を含む通信網16を介して接続され、それぞれ相互にネットワーク通信が可能となっている。
これによって、ユーザ端末14は、一つの認証処理によって複数の対象サーバ12へのアクセスが許可・可能となり、ユーザ端末14を操作するユーザが一つのID等でログイン・認証処理を経て複数の対象サーバ12へのアクセスが可能となるシングルサインオン機能が提供されるようになる。
これによって、本実施形態では、ユーザ端末14のユーザや対象サーバ12のサービス提供事業者にとって利便性の高いシングルサインオン機能を提供しつつ、ユーザ端末14の認証情報を不正に利用した不正アクセスを確実に検出して、ユーザやサービス提供事業者の被害発生を防止するものである。
また、「ウェブアクセス」は、所定のサーバに対する通信網を介したリモートアクセスであり、正当な権限を持つユーザの正当なアクセスと、不正者による不正アクセスの双方を含む。
また、例えば、短期間に大量のアクセスが自動実行されるような不正アクセスが明らかな場合ではなく、低頻度の不正アクセス(例えば1回/時間等)が長期的に実行されるような場合には、不正アクセスを正当なアクセスと判別することが一層困難となる。
具体的には、同一の認証情報(ID・パスワード等)を使用して行われた、複数の対象サーバ12に対するウェブアクセスのデータに含まれる複数種類のIDそれぞれが使用された、複数回のウェブアクセスの態様に基づいて、今回のウェブアクセスが不正なものか否かを判定するものである。
以下、本実施形態に係る不正アクセス検出装置20を備えた不正アクセス検出システム1の各構成要素について、順次詳細に説明する。
対象サーバ12(12a〜12n)は、インターネット等の通信網16を介して、ユーザ端末14に対してWebサイトやアプリケーションなどを提供する情報処理装置であり、例えばWebサイト等を提供するサービス提供事業者等のデータセンタやオフィスなどに設置されるPCやサーバ群等によって構成される。
この各対象サーバ12a〜12nが、本発明に係る対象装置を構成している。
このように、対象サーバ12は、認証・認可を認証装置(不正アクセス検出装置20)に依存する「認証・認可依存サイト:RP(Relying Party)」を構成している。
例えば、各対象サーバ12a〜12nは、通信販売、インターネットバンキング等のウェブサイトをインターネット上に公開するウェブサーバの機能を備え、認証・アクセス許可されたユーザ端末14からのウェブアクセス(HTTP要求)を受け付け、所定のサービスを提供するためのウェブページをユーザ端末14へ提供・送信する。
ユーザ端末14(14a〜14n)は、Webブラウザが実装された、例えばPC、タブレット端末、スマートフォン等で構成される情報処理装置であり、インターネット等の通信網16を介して、対象サーバ12や不正アクセス検出装置20に接続可能なウェブクライアントとして機能する、本発明に係るユーザ端末を構成している。
各ユーザ端末14は、所定の登録情報として、例えばユーザの識別情報・ログインID・パスワード等の情報が、認証装置となる不正アクセス検出装置20に登録されるようになっている。したがって、所定の登録情報が登録されていないユーザ端末14は、認証処理が行えず、対象サーバ12へのアクセス要求が拒否されることになる。
そして、このユーザ端末14を操作するユーザが、対象サーバ12のウェブサイトへのログインが許可されたユーザ(すなわち正当な権限を有するユーザ)であり、また、他人のアカウントを不正使用する等、対象サーバ12に対して不正アクセスを試みるユーザでもあり得ることになる。
その後、受信したアクセス許可情報を一の対象サーバ12に送信することで、その一の対象サーバ12では、不正アクセス検出装置20において認証・アクセス許可がなされたユーザ端末14であると判断され、当該一の対象サーバ12へのアクセスとサービス提供を受けることができるようになる。
ここで、不正アクセス検出装置20で生成され、ユーザ端末14(及び対象サーバ12)に送信されるアクセス許可情報としては、例えばアクセストークンがある。
このようなアクセストークンが、不正アクセス検出装置20と各対象サーバ12の間で受け渡したされて情報共有されることで、ユーザ端末14からアクセストークンを伴うアクセス要求があれば、それによって各対象サーバ12では、アクセスを許可することになる。
なお、本発明に係るアクセス許可情報としては、アクセストークンに限定されるものではない。ユーザ端末14について複数の対象サーバ12へのアクセス要求の可否を識別・決定できる限り、アクセス許可情報としての名称や情報内容等は、アクセストークン以外の情報であっても良い。
不正アクセス検出装置20は、インターネット等の通信網16を介して、ユーザ端末14からアクセス要求情報が送信された対象サーバ12に対して、アクセス要求したユーザ端末14についてのアクセス許可情報を送信する認証装置(認証システム)として機能する情報処理装置であり、例えば複数のWebサイト等に対して認証処理サービスを提供する事業者等のデータセンタやオフィスなどに設置されるPCやサーバ群等によって構成される。この不正アクセス検出装置20による認証処理によって、ユーザ端末14は、一つの認証処理によって複数の対象サーバ12へのアクセスが許可されるシングルサインオンが可能となる(図2参照)。
このように、不正アクセス検出装置20は、複数の対象サーバ12に対して、ユーザ端末14の認証・認可を提供する「認証・認可提供システム:iDP(Identity Provider)」を構成している。
以下、不正アクセス検出装置20の詳細について、図3を参照しつつ説明する。
すなわち、不正アクセス検出装置20は、同一の認証情報を使用したユーザ端末14から複数の対象サーバ12へのウェブアクセスの中に存在する不正アクセスを検出する。
そして、不正アクセス検出装置20は、リスクの判定結果に応じて、当該ウェブアクセスに係るユーザ端末14について、アクセスの許可や再認証/追加認証の要求、アクセス許可情報の無効化(破棄・削除・変更)などの処理を実行する。
同図に示すように、不正アクセス検出装置20は、制御部22、記憶部24、通信部26の各部を備えて構成される。
制御部22は、ユーザ端末14の認証と、ユーザ端末14から対象サーバ12への不正アクセスを検出するためのデータ処理を実行する。また、制御部22は、通信部26を介してユーザ端末14及び対象サーバ12とデータを送受する。
記憶部24は、制御部22により参照又は更新されるデータを記憶する記憶領域である。
通信部26は、所定の通信プロトコルにしたがって外部装置と通信する。この通信部26が、ユーザ端末14から送信される認証情報を受信する、本発明に係る認証情報受信手段を構成する。
記憶部24は、図3に示すように、認証・アクセス許可情報保持部27、BL/WL保持部28、アドレス情報保持部30、規則保持部32、第1判定結果保持部34、第2判定結果保持部36、累積スコア保持部38の各部を備えている。
認証・アクセス許可情報保持部27は、ユーザ端末14についての登録情報として、各ユーザ端末14の識別情報・ログインID・パスワードなどの情報を保持・記憶している。
この登録情報に基づいて、各ユーザ端末14から対象サーバ12に対してアクセス要求が行われると、まず当該ユーザ端末14の認証処理が認証処理部42よって実行される。
このアクセス許可情報といては、例えば上述したアクセストークンがあり、アクセストークンに含まれる所定情報(発行元識別情報・発行先識別情報・ユーザ識別情報・発行日時等)が、ユーザ端末14の登録情報として保持される。
図4は、BL/WL保持部28のデータ構造の例を示す。
同図に示す例では、キーとしてユーザ端末14のIPアドレス情報(例えばIPアドレス(又はネットワークアドレス)+サブネットマスク長)が設定されている。
また、値としてホワイトリストの識別子(図4では「ホワイト」)又はブラックリストの識別子(図4では「ブラック」)が設定されている。ホワイトリストの識別子に対応付けられたキーのリストがホワイトリストに相当し、ブラックリストの識別子に対応付けられたキーのリストがブラックリストに相当する。
また、ホワイトリストとして登録される情報としては、例えば、正当な権限を有するユーザが固定的に使用するユーザ端末14のIPアドレス、ネットワークアドレス、デバイスID、ユーザIDなどを記録することができる。
図5は、アドレス情報保持部30のデータ構造の例を示す。
同図に示す例では、アドレス情報保持部30は、対象サーバ12に対するウェブアクセスの接続元のIPアドレスをキーとし、国・都市・緯度・経度を値として、両者を対応づけたレコードを保持する。
ここで、接続元のIPアドレスは、対象サーバ12で受信されたIPパケットに設定された送信元IPアドレスであってもよい。例えば、ユーザ端末14のIPアドレスであってもよく、ユーザ端末14と対象サーバ12との通信を中継するプロキシサーバやルータ等のIPアドレスであってもよい。
なお、BIスコア判定規則とFPスコア判定規則は、高速アクセスを可能にするために半導体メモリ内に格納されてもよく、後述のBIスコア導出部46、FPスコア導出部48を実装したコンピュータプログラム内にアルゴリズムとして組み込まれてもよい。
BIスコア判定規則は、判定条件と、判定条件が満たされた場合のBIスコアを対応づけて保持する。判定条件は、アクセス先URL、GET又はPOSTのパラメータ属性等が規定されてもよい。また、BIスコアは、対象サーバ12において重要な処理又はトランザクションほど大きい値が設定される。例えば、対象サーバ12によりサービスを提供する企業のビジネスに与える影響が大きい処理又はトランザクションほど大きい値が設定されてよい。
また、図6の4番目のレコードは、送信画面における送金実行用のURLに対するPOST送信であり、かつ、送金金額のパラメータの値が50万円未満の場合に、BIスコアに「90」とすることを示している。
FPスコア判定規則は、判定条件(図7では識別対象及びルール内容)と、判定条件が満たされた場合に加算すべきFPスコア(値は不図示)を対応づけて保持する。
図7における識別対象は、アクセスのデータに含まれる複数種類の識別子のうち少なくとも1つである。識別対象は、例えば、国(IPアドレスにより特定される国)、IPアドレス、UA(User Agent)、ユーザID(ログイン要求で指定されたユーザID)、デバイスIDを含む。デバイスIDは、特定のユーザ端末14を一意に識別可能な識別子であり、ユーザ端末14のウェブブラウザ種類及びバージョン、言語設定、インストール済フォント、画面解像度、色深度、CPU種別、タイムゾーン等の組み合わせに基づいて生成された情報である。
具体的には、複数の判定条件の中で、充足された場合に不正アクセスの疑いが強いものほど大きなFPスコアが設定される。
図7の項番17は、特定のユーザIDを指定したログイン試行アクセスについて、単位時間あたりの上記ログイン試行アクセスが含む接続元IPアドレスの個数(ユニーク数)が所定値以上の場合、所定のFPスコアを加算するように規定するものである。ここでの単位時間は5分でもよく、所定値は5個でもよい。図7の項番20は、同じデバイスIDを含むログイン試行アクセスについて、単位時間あたりの上記ログイン試行アクセスが含むユーザIDの個数(ユニーク数)が所定値以上の場合、所定のFPスコアを加算するように規定する。
例えば、図7の項番10、11はログイン回数(ログイン成功回数)が基準であり、図7の項番12、13はログイン失敗回数が基準である。これに加えて、図7の項番17〜20は、ログイン認証を実行するURLへのアクセス回数であり、ログインが成功か失敗かに関わらないログイン試行回数が基準であるため、仮にログインに成功したウェブアクセスであっても不正アクセスとして判定することができる。
図8は、第1判定結果保持部34及び第2判定結果保持部36のデータ構造の例を示す。
同図に示すように、レコード群60は、1つのウェブアクセスあたりに記録される複数のレコードである。
アクセス属性62は、ウェブアクセスの属性値であり、複数種類の識別子の値(IPアドレス、ユーザID、デバイスID)を含む。
リスク判定結果64は、アクセス属性62に基づくリスク判定結果であり、BIスコア、FPスコア、リスクランクを含む。
なお、第1判定結果保持部34は、1つのウェブアクセスあたりに記録されたレコード群60を、アクセス日時(例えばアクセス属性62のTime)から、例えば30日間のみ保持するようになっている。一方、第2判定結果保持部36は、1つのウェブアクセスあたりに記録されたレコード群60を、管理者による明示的な削除がない限り永続的に保持することができるようになっている。
図9は、累積スコア保持部38のデータ構造の例を示す。
累積スコア保持部38は、1つの識別子の値ごとに、型(Type)・FP累積値(SumScore)・最終アクセス日時(LastAccess)の3レコードを含む。
図9では、IPアドレス「133.250.195.1」、デバイスID「E6JU9Mr・・・」、ユーザID「user0001」のそれぞれについて記録された型・FP累積値・最終アクセス日時を示している。
制御部22は、図3に示すように、ログ取得部40、認証処理部42、アクセス許可処理部44、BIスコア導出部46、FPスコア導出部48、リスク判定部50、判定結果記録部52、累積スコア記録部54、アラート通知部56、ダッシュボード提供部58の各部を備える構成となっている。
ログ取得部40は、1つ以上のユーザ端末14のウェブアクセスのデータ(ウェブアクセス属性)が記録されたアクセスログを対象サーバ12から取得し、アクセスログに記録されたウェブアクセス属性を読み込む。
なお、ログ取得部40は、ユーザ端末14から対象サーバ12にアクセス要求されたタイミングでアクセスログを受信・取得し、また、対象サーバ12から定期的に送信されるアクセスログを受信することもできる。
ユーザIDは、ログイン認証画面に対してパラメータとして送信されたユーザIDでもよく、ログイン後のユーザセッションに対応付けられたユーザIDでもよい。
対象サーバ12は、デバイスID取得スクリプト(例えばJavascript(登録商標)プログラム)を保持し、当該スクリプトをウェブページのデータとともにユーザ端末14へ送信してユーザ端末14のウェブブラウザで実行させることにより、ユーザ端末14からデバイスIDを取得することができる。
例えば、ウェブアクセス属性は、GET送信又はPOST送信でパラメータとして付加されたデータをさらに含んでもよい。この場合、BIスコア判定規則とFPスコア判定規則の少なくとも一方に、業務固有のパラメータの値に基づく判定条件が設定されてもよい。例えば、インターネットバンキングのウェブサイトの場合、業務固有のパラメータとして口座番号や取引金額を含んでもよい。そして、口座番号や取引金額が判定条件を満たす場合に、BIスコアとFPスコアの少なくとも一方を加算してもよい。
この認証処理部42が、本発明に係る認証手段を構成する。
ここで、認証処理情報とは、上述した認証・アクセス許可情報保持部27に登録・記憶されている登録認証情報に対応する情報であり、ユーザ端末14の識別情報・ログインID・パスワードなどの情報である。
この認証処理部42が、本発明に係るアクセス許可情報生成手段を構成する。
認証処理部42は、リスク判定部50のリスク判定結果(例えば図8のリスク判定結果64)に基づいて、該当するアクセス要求情報を送信したユーザ端末14に、再度の認証情報の送信(追加認証)を要求する。
ここで、再度の認証情報としては、OTP(One Time Password)を求める所定情報を該当するユーザ端末14に送信することができる。
アクセス許可情報の無効化は、認証・アクセス許可情報保持部27において記憶されているアクセス許可情報を破棄(削除)することにより行われる。
ここで、所定の動作としては、上記のような再認証要求やアクセストークンの無効化の他、所定のリスクランク以上のウェブアクセスを遮断したり、所定のリスクランク以上のウェブアクセスの対象となる取引を拒否することが含まれる。これによって、例えば商品や資金などの不正の取引を未然に防ぐことができる。
なお、リスクランクに応じた所定の動作としては、ウェブアクセスの対象となる取引毎、図6に示す業務処理毎、図7に示す判定条件毎・ルールカテゴリ毎・ルール内容毎に、所定の動作を設定することもできる。
上述した図6の例では、1つのウェブアクセス属性に含まれるアクセス先URLがログイン認証URLと合致する場合、そのウェブアクセスのBIスコアを「10」に決定する。
また、変形例として、ウェブアクセス属性が複数の判定条件を充足する場合、それら複数の判定条件に対応付けられたBIスコアの合計値を0〜100の値に正規化し、正規化後の値を当該ウェブアクセスのBIスコアとして決定してもよい。
本実施形態では、FPスコア導出部48は、1つのウェブアクセス属性に含まれる複数種類の識別子(例えば接続元IPアドレス、ユーザID、デバイスID)について、識別子ごとにその値に基づいてFP値を導出し、識別子ごとに導出したFP値を集計して1つのウェブアクセスのFP値を導出することができる。
そして、例えば一の対象サーバ12に対する1つ以上のウェブアクセス属性から、今回の他の対象サーバ12に対するウェブアクセス属性に基づいて特定される複数のウェブアクセスの振る舞いが、FPスコア判定規則の判定条件(例えば図7の項番9以降)に合致する場合、その判定条件に対応付けられたFPスコアを加算する。
また、FPスコア導出部48は、1つのウェブアクセス属性に含まれる識別子ごとに(FPスコア判定規則の判定条件ごとに)、判定条件の充足判定処理とFPスコア加算処理を繰り返すことができる。
また、図7の項番17にしたがって、FPスコア導出部48は、判定対象のウェブアクセスに含まれるユーザIDに対する、単位時間あたりのログイン試行IPアドレス数が所定値以上の場合、項番17で定められたFPスコアを加算する。
この場合、FPスコア導出部48は、上記ユーザIDを指定したログイン試行URLへのウェブアクセスを、第1判定結果保持部34から検索してもよい。そして、検索にヒットした1つ以上のウェブアクセスにおける接続元IPアドレスのユニーク数を計数してもよい。
そして、それらのログイン試行アクセスで指定されたユーザIDのユニーク数が所定値以上の場合、項番20で定められたFPスコアを加算する。
この場合、FPスコア導出部48は、上記デバイスIDを指定したログイン試行URLへのウェブアクセスを、第1判定結果保持部34から検索してもよい。そして、検索にヒットした1つ以上のウェブアクセスで指定されたユーザIDのユニーク数を計数してもよい。
そして、本実施形態では、リスク判定部50は、アクセス許可情報が生成されたユーザ端末14に係る認証情報と同一の認証情報が、当該アクセス許可情報が送信された対象サーバ12と、同一又は異なる対象サーバ12に対してアクセス要求情報を送信したユーザ端末14から送信されると、当該同一の認証情報を送信した一又は二以上のユーザ端末14に係るアクセス要求情報について、各対象サーバ12に対して送信されたアクセス要求情報について所定の不正アクセスのリスク判定を実行するようになっている(図11、12参照)。
このリスク判定部50が、本発明に係るリスク判定手段を構成する。
図10は、本実施形態におけるリスク判定基準を示す。
同図に示すように、リスク判定部50は、BIスコアとFPスコアの組み合わせが領域70に該当する場合、リスクランク「低(LOW)」と判定する。
また、上記組み合わせが領域72に該当すればリスクランク「中(MID)」、領域74に該当すればリスクランク「高(HIGH)」、領域76に該当すればリスクランク「重大(SEVERE)」と判定する。
また、リスク判定部50は、或る対象サーバ12に対するウェブアクセスのFPスコアが相対的に大きい場合、当該ウェブアクセスのBIスコアが相対的に小さくても、当該ウェブアクセスの危険度を相対的に高く判定する。
換言すれば、リスク判定部50は、FPスコアが所定値(同一の値)であるとき、BIスコアが大きくなるほど危険度を高く判定する。同様に、リスク判定部50は、BIスコアが所定値(同一の値)であるとき、FPスコアが大きくなるほど危険度を高く判定する。
例えば、累積スコア記録部54は、上述した図9で示したように、1つの識別子の値をキーとして、型・FP累積値・最終アクセス日時(擬似的にFP累積値の更新日時でもよい)を対応付けて、累積スコア保持部38に記録することができる。
BL追加基準値としては、識別子の種類ごとに異なる値を設定することができる。
さらに、累積スコア記録部54は、或る識別子の値に対応付けて記録されたFPスコアの累積値が、BL追加基準値以下からBL追加基準値を超えた場合に、その識別子の値をブラックリストへ自動的に登録することができる。具体的には、その識別子の値をキーとし、「ブラック」を値とするレコードをBL/WL保持部28へ追加することができる。
具体的には、FPスコア導出部48は、識別子の値がブラックリストに登録されていた場合、すなわち、累積値の値をキーとし、かつ「ブラック」を値とするレコードがBL/WL保持部28に存在する場合、FPスコアを加算することができる(例えば図7の項番1〜5)。
累積スコア記録部54は、或る識別子の値と対応付けて記録したFP累積値を、その識別子の値を含む最終アクセスからの経過時間に応じて減算することができる。
具体的には、最終アクセスからの経過時間が長くなるほど、FP累積値の減算幅を大きくする。例えば、或るIPアドレスの値(ここでは図8の「133.250.195.1」)に対応付けて記録されたFP累積値「30」について、「133.250.195.1」を接続元IPアドレスとするウェブアクセスがなされない期間が長くなるほど上記FP累積値を小さくしていく。
新たなFP累積値 = 前回更新時のFP累積値 − Td
具体的には、その識別子の値をキーとし、「ブラック」を値とするレコードをBL/WL保持部28から削除する。
また、アラート通知部56は、予め定められたタイミングで定期的にアラート情報を、各対象サーバ12の管理者が保持・操作する所定の管理者端末へ送信することができる。
なお、アラート情報の送信タイミングとしては、所定のリスクランク以上のウェブアクセスが検出されたタイミング、言い換えれば、所定のリスクランク以上を示すリスク判定結果が第1判定結果保持部34、第2判定結果保持部36に記録されたタイミングで、アラート情報を送信することができる。
例えば、ダッシュボード提供部58は、第2判定結果保持部36に保持されたリスク判定結果を読み込んでダッシュボードの画面データを生成し、所定の対象サーバ12等に送信することができる。
次に、以上のような不正アクセス検出装置20において不正アクセスとして判定・検出される、同一の認証情報を用いて行われる対象サーバ12への複数のアクセスについての脅威レベルのパターン設定について説明する。
図11は、複数の同一又は異なる対象サーバ12に対して、同一の認証情報(ID/パスワード)が入力・送信されて認証が行われた場合の想定されるパターン(シナリオ)と、その場合の脅威レベルと対応動作を対応付けた設定例である。この例では、同一認証・複数アクセスがあった場合に、セキュリティとユーザの利便性の観点から、脅威レベルを「低・中・高」の3段階に設定している。
このような設定は、不正アクセス検出装置20の記憶部24に設定・記憶され、リスク判定部50によるリスク判定に用いられる。
まず、図11の上段は、1回目のアクセスが行われた一の対象サーバ12aと異なる、他の対象サーバ12bに対して行われた2回目のアクセスが、1回目のアクセスと同じUA(User Agent:Webブラウザの識別情報)からのものであった場合である。
この場合には、同じユーザ端末14から同一ユーザによってアクセスされたものと判定することができ、「同じUA=安全」と判断できるので、追加認証等の対応も不要と考えられ、2回目のアクセスの脅威レベルは「低」と設定することができる。
また、この場合には、不正アクセス検出装置20では、次回以降に同じUA(ユーザ端末)については追加認証(OTP)を求めないようにするために、不正アクセス検知(IFD:Identity Fraud Detection)のリスク情報を初期化することができる。
次に、図12の中段は、2回目のアクセスが、1回目のアクセスと同一の対象サーバ12aに対して、異なるUAから行われた場合である。
この場合には、同一ユーザが、自己が使用する異なる2つのユーザ端末14からアクセスを行ったものと判定することができ、「UA変更」は、例えばPCとスマートフォン等のモバイル端末などの間では普通(頻繁)に行われると判断できるので、追加認証を行えば問題ないと考えられ、2回目のアクセスの脅威レベルは「中」と設定することができる。
また、この場合には、不正アクセス検出装置20では、次回以降に同じ複数のUA(ユーザ端末)については追加認証(OTP)を求めず、過去に使用されていないUAからアクセスされた場合にのみ追加認証を求めるようにするために、IFDのリスク情報を設定・変更等することができる。
次に、図12の下段は、2回目のアクセスが、1回目のアクセスが行われた一の対象サーバ12aとは異なる他の対象サーバ12bに対して行われ、かつ、2回目のアクセス元が1回目のアクセス元とは異なる国である場合である。
この場合には、認証情報の漏洩・不正使用による不正アクセスの可能性が高いと判定することができ、追加認証やトークンリボークが必要と考えられ、2回目のアクセスの脅威レベルは「高」と設定することができる。
この場合には、不正アクセス検出装置20では、不正使用された可能性の高い認証情報による認証・ログインの後、同意画面を表示させる前に追加認証(OTP)を求める。
また、同時に、同一認証情報に基づいて発行されたアクセストークンは、全て無効化(削除)する。これによって、それ以前に発行されたアクセストークンは他の対象サーバ12で使用された段階でエラー発生となり、アクセストークンが盗難・不正利用された場合にも、被害の発生を防止できるようになる。
次に、以上のような構成からなる本実施形態に係る不正アクセス検出装置20の具体的な動作(不正アクセス検出方法)について、図12を参照しつつ説明する。
図12は、本実施形態に係る不正アクセス検出装置20における処理動作を示すシーケンス図である。
まず、或るユーザ端末14から、複数の対象サーバ12のうち、一の対象サーバ12a(RP1)に対して、サービス利用要求としてアクセス要求情報が送信される(ステップ(1))。このアクセス要求情報には、当該ユーザ端末14に係るウェブアクセス属性を示す情報が含まれる。
認証認可要求が不正アクセス検出装置20で受信されると、不正アクセス検出装置20は、ユーザ端末14の認証情報となるID/パスワードの入力画面が生成され、ユーザ端末14に対して送信・提示される(ステップ(3))。
不正アクセス検出装置20では、ユーザ端末14から送信されたID/パスワードを、不正アクセス検出装置20で登録されているID/パスワードとの検証・照合が行われ、送信されたID/パスワードが登録されたID/パスワードと一致すれば、当該ユーザ端末14の認証が行われる(ステップ(5))。
その後は、必要な他の処理等を経て、ユーザ認証されたユーザ端末14から送信されたウェブアクセス属性を含むリクエスト時の情報が記憶され、当該ユーザ端末14に対して、アクセス許可情報となるアクセストークンが生成・発行される(ステップ(6))。
送信されたアクセストークンは、ユーザ端末14において記憶・保持されるとともに、アクセス要求を受けた対象サーバ12aにおいて記憶・管理される(ステップ(8))。具体的には、対象サーバ12aでは、受信したアクセストークンを、ユーザ端末14のユーザID等の識別情報と対応付けて記憶・管理する(ステップ(8))。
不正アクセス検出装置20では、対象サーバ12aから送信されたアクセストークンを検証し、記憶・保持されているアクセストークンの情報と照合・対比して、情報が一致すれば検証OKとし(ステップ(11))、当該ユーザ端末14には不正等がないものとして正常応答を返信する(ステップ(12))。
これによって、ユーザ端末14は、アクセス要求した対象サーバ12aとのアクセスが可能となり、対象サーバ12aとの間で個別サービスの利用が可能となる(ステップ(13))。
そして、この場合に、上述した図11のパターン設定における「脅威レベル:高」に該当する事象、すなわち、2回目のアクセスが、1回目のアクセスとは異なる対象サーバ12bに対して、1回目とは異なる国から行われたとする。
不正アクセスが行われた場合には、追加認証に合致する情報を入力・送信することはできず、したがって、2回目のアクセスによってアクセストークンの発行を受けたり、対象サーバ12bにアクセスしてサービス等の利用を受けることは不可能となる。
これによって、1回目のアクセスを行ったユーザ端末14から対象サーバ12aに対して個別サービスの利用要求が行われると(ステップ(15))、対象サーバ12aは、アクセストークンを使ってサービスに必要な情報を不正アクセス検出装置20に要求するトークン検証リクエストを送信する(ステップ(16))。
不正アクセス検出装置20では、対象サーバ12aに対して発行されたアクセストークンを既に破棄しているので、トークン検証はエラーとなり、対象サーバ12aに対してはエラー応答が返信される(ステップ(17))。
このようにして、本システムによらなければ「正常応答」してしまうアカウントハッキングのような場合にも、対象サーバ12aと対象サーバ12bに対する複数のアクセス内容から異変を察知することができ、被害の発生・拡大を防止できるようになる。
これによって、例えばOpenID Connectに代表される、一つの認証処理によって複数のサーバやシステムへのアクセスが許可されるシステムにおいても、同一の認証情報を盗用した不正アクセスを検出して、信頼性・安全性の高い認証サービスシステムを実現することができる。
これにより、対象サーバ12のウェブサイトに対してウェブアクセスが与える影響度合い、言い換えれば、対象サーバ12が実行する業務やビジネスに対してウェブアクセスが与える現実のリスクの大きさに即して評価したウェブアクセスの危険度を、対象サーバやその管理者等へ提供することができる。
例えば、正しいユーザID・パスワードを用いたアクセスであっても、(1)同じIPアドレスで多数のユーザIDへのログインが行われた場合、(2)同じユーザIDを用いたログインが(異なるIPアドレスからも含めて)多数行われた場合、(3)同じデバイスIDで多数のユーザIDへのログイン試行が行われた場合等、FPスコアの増加により不正アクセスとして検知することができる。
さらに、不正アクセス検出装置20は、最終アクセスからの経過時間に応じてFPスコアの累積値を減算し、閾値以下になるとブラックリストから自動削除することができる。これにより、ブラックリストの登録数の増加を抑制でき、ブラックリストとの効率的なマッチングを実現することができる。また、不正アクセスで使用されなくなってから時間が経過した識別子の値はブラックリストから除外されることで、その後、正当なユーザがその識別子の値を利用する場合に、不正アクセスと誤検知してしまうことを抑制できる。
例えば、上述した実施形態の第1変形例として、FPスコア判定規則は、対象サーバ12に対して1つのユーザ端末14からなされた複数回のウェブアクセスに所定の関係がある場合にFPスコアを加算することを定めてもよい。具体的には、対象サーバ12のウェブサイトがロイヤリティプログラム(ポイントプログラム)を提供するウェブサイトである場合に、識別対象「ユーザID」、ルール内容「ポイント交換(モノとの引き替え)のウェブページのURLを指定したHTTP要求から、退会のウェブページのURLを指定したHTTP要求までの時間が所定時間(例えば3分)以内であること」が規定されてもよい。
また、不正アクセス検出装置20に保持されるBIスコア判定規則は、例えば、外部装置からのアクセスが重要なシステムコールを発生させるアクセスに対して高いBIスコアが設定されてもよい。また、FPスコア判定規則は、例えば、管理者権限の乗っ取りやハッキングの典型的なパターンに対して高いFPスコアが設定されてもよい。
加えて、前記実施形態では、認証・認可提供機能を具備するIDPに不正アクセス検出機能を実装した構成を説明したが、IDPと独立して不正アクセス検出機能を有する装置を新規に加える構成であってもよく、この新規の装置において、各RPから直接、若しくは、各RPからIDPを介して、アクセスデータを受信してリスク判定を行う動作を行ってもよい。
組み合わせによって生じる新たな実施の形態は、組み合わされる実施形態及び変形例それぞれの効果を併せ持つことができる。
また、請求項に記載の各構成要件が果たすべき機能は、上述した実施形態及び変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることは勿論である。
12 対象サーバ(認証・認可依存サイト)
14 ユーザ端末
16 通信網
20 不正アクセス検出装置(認証・認可提供システム)
22 制御部
24 記憶部
26 通信部
Claims (5)
- ユーザ端末からアクセス要求情報が送信された対象装置に対して、当該ユーザ端末に係る所定のアクセス許可情報を送信する情報処理装置であって、
前記ユーザ端末から送信される認証情報を受信する認証情報受信手段と、
前記認証情報受信手段で受信された認証情報に基づいて、前記ユーザ端末の認証を行う認証手段と、
前記認証手段で認証されたユーザ端末に係る前記アクセス許可情報を生成し、当該ユーザ端末からアクセス要求情報が送信された対象装置に対して前記アクセス許可情報を送信するアクセス許可情報生成手段と、
前記アクセス許可情報が生成されたユーザ端末に係る認証情報と同一の認証情報が、当該アクセス許可情報が送信された対象装置と同一又は異なる対象装置に対してアクセス要求情報を送信したユーザ端末から送信されると、当該同一の認証情報を送信したユーザ端末に係るアクセス要求情報について、所定の不正アクセスのリスク判定を行うリスク判定手段と、を備える
ことを特徴とする不正アクセス検出装置。 - 前記認証手段は、
前記リスク判定手段のリスク判定結果に基づいて、
前記同一の認証情報を送信したユーザ端末に、所定の認証情報の送信を要求する
ことを特徴とする請求項1記載の不正アクセス検出装置。 - 前記アクセス許可情報生成手段は、
前記リスク判定手段のリスク判定結果に基づいて、
前記同一の認証情報を送信したユーザ端末に係るアクセス許可情報を無効、破棄、削除若しくは変更する、又は、前記同一の認証情報を送信したユーザ端末に対してアクセス許可、再認証若しくは追加認証を要求する、
ことを特徴とする請求項1又は2記載の不正アクセス検出装置。 - ユーザ端末からアクセス要求情報が送信された対象装置に対して、当該ユーザ端末に係る所定のアクセス許可情報を送信する情報処理装置を構成するコンピュータを、
前記ユーザ端末から送信される認証情報を受信する認証情報受信手段、
前記認証情報受信手段で受信された認証情報に基づいて、前記ユーザ端末の認証を行う認証手段、
前記認証手段で認証されたユーザ端末に係る前記アクセス許可情報を生成し、当該ユーザ端末からアクセス要求情報が送信された対象装置に対して前記アクセス許可情報を送信するアクセス許可情報生成手段、
前記アクセス許可情報が生成されたユーザ端末に係る認証情報と同一の認証情報が、当該アクセス許可情報が送信された対象装置と同一又は異なる対象装置に対してアクセス要求情報を送信したユーザ端末から送信されると、当該同一の認証情報を送信したユーザ端末に係るアクセス要求情報について、所定の不正アクセスのリスク判定を行うリスク判定手段、として機能させる
ことを特徴とする不正アクセス検出プログラム。 - ユーザ端末からアクセス要求情報が送信された対象装置に対して、当該ユーザ端末に係る所定のアクセス許可情報を送信する方法であって、
コンピュータが、
前記ユーザ端末から送信される認証情報を受信する認証情報受信手順、
前記認証情報受信手順で受信された認証情報に基づいて、前記ユーザ端末の認証を行う認証手順、
前記認証手順で認証されたユーザ端末に係る前記アクセス許可情報を生成し、当該ユーザ端末からアクセス要求情報が送信された対象装置に対して前記アクセス許可情報を送信するアクセス許可情報生成手順、
前記アクセス許可情報が生成されたユーザ端末に係る認証情報と同一の認証情報が、当該アクセス許可情報が送信された対象装置と同一又は異なる対象装置に対してアクセス要求情報を送信したユーザ端末から送信されると、当該同一の認証情報を送信したユーザ端末に係るアクセス要求情報について、所定の不正アクセスのリスク判定を行うリスク判定手順、とを実行する
ことを特徴とする不正アクセス検出方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017037438A JP6842951B2 (ja) | 2017-02-28 | 2017-02-28 | 不正アクセス検出装置、プログラム及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017037438A JP6842951B2 (ja) | 2017-02-28 | 2017-02-28 | 不正アクセス検出装置、プログラム及び方法 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021026017A Division JP2021082342A (ja) | 2021-02-22 | 2021-02-22 | 不正アクセス検出装置、プログラム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018142266A true JP2018142266A (ja) | 2018-09-13 |
JP6842951B2 JP6842951B2 (ja) | 2021-03-17 |
Family
ID=63528186
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017037438A Active JP6842951B2 (ja) | 2017-02-28 | 2017-02-28 | 不正アクセス検出装置、プログラム及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6842951B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111132158A (zh) * | 2018-10-30 | 2020-05-08 | 中国移动通信集团安徽有限公司 | 防止业务盗用的方法和系统 |
JP7403565B2 (ja) | 2022-03-18 | 2023-12-22 | Lineヤフー株式会社 | 不正検出装置、不正検出方法、及び不正検出プログラム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008152596A (ja) * | 2006-12-19 | 2008-07-03 | Fuji Xerox Co Ltd | 認証プログラム、認証サーバおよびシングルサインオン認証システム |
JP2009003559A (ja) * | 2007-06-19 | 2009-01-08 | Fuji Xerox Co Ltd | シングルサインオンサーバ用コンピュータシステム及びプログラム |
JP2013182302A (ja) * | 2012-02-29 | 2013-09-12 | Nec System Technologies Ltd | ネットワークシステム、認証連携装置、認証連携方法、及びプログラム |
-
2017
- 2017-02-28 JP JP2017037438A patent/JP6842951B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008152596A (ja) * | 2006-12-19 | 2008-07-03 | Fuji Xerox Co Ltd | 認証プログラム、認証サーバおよびシングルサインオン認証システム |
JP2009003559A (ja) * | 2007-06-19 | 2009-01-08 | Fuji Xerox Co Ltd | シングルサインオンサーバ用コンピュータシステム及びプログラム |
JP2013182302A (ja) * | 2012-02-29 | 2013-09-12 | Nec System Technologies Ltd | ネットワークシステム、認証連携装置、認証連携方法、及びプログラム |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111132158A (zh) * | 2018-10-30 | 2020-05-08 | 中国移动通信集团安徽有限公司 | 防止业务盗用的方法和系统 |
JP7403565B2 (ja) | 2022-03-18 | 2023-12-22 | Lineヤフー株式会社 | 不正検出装置、不正検出方法、及び不正検出プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP6842951B2 (ja) | 2021-03-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11888868B2 (en) | Identifying security risks and fraud attacks using authentication from a network of websites | |
Fett et al. | A comprehensive formal security analysis of OAuth 2.0 | |
US9853983B2 (en) | Preventing phishing attacks based on reputation of user locations | |
US9942220B2 (en) | Preventing unauthorized account access using compromised login credentials | |
US11290464B2 (en) | Systems and methods for adaptive step-up authentication | |
US8819803B1 (en) | Validating association of client devices with authenticated clients | |
US20170324758A1 (en) | Detecting and reacting to malicious activity in decrypted application data | |
US8959650B1 (en) | Validating association of client devices with sessions | |
US11902307B2 (en) | Method and apparatus for network fraud detection and remediation through analytics | |
US10728279B2 (en) | Detection of remote fraudulent activity in a client-server-system | |
JP2014086822A (ja) | 不正アクセス検出方法、ネットワーク監視装置及びプログラム | |
Calzavara et al. | Sub-session hijacking on the web: Root causes and prevention | |
US11616774B2 (en) | Methods and systems for detecting unauthorized access by sending a request to one or more peer contacts | |
Gavazzi et al. | A Study of {Multi-Factor} and {Risk-Based} Authentication Availability | |
Barron et al. | Click this, not that: extending web authentication with deception | |
CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
JP6842951B2 (ja) | 不正アクセス検出装置、プログラム及び方法 | |
US11539697B1 (en) | Method for controlling access to computer resources utilizing user device fingerprints | |
JP6835507B2 (ja) | 不正アクセス検出装置、不正アクセス検出方法およびコンピュータプログラム | |
US11855989B1 (en) | System and method for graduated deny list | |
KR100695489B1 (ko) | 프로파일링 기반 웹 서비스 보안 시스템 및 그 방법 | |
JP2021082342A (ja) | 不正アクセス検出装置、プログラム及び方法 | |
JP7037628B2 (ja) | 不正アクセス検出装置、不正アクセス検出方法およびコンピュータプログラム | |
US11722459B1 (en) | Cumulative sum model for IP deny lists | |
US11601435B1 (en) | System and method for graduated deny lists |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200207 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201111 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201208 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210119 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210209 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210222 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6842951 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |