JP2019082820A - 不正検知システム、不正検知方法及び不正検知プログラム - Google Patents

不正検知システム、不正検知方法及び不正検知プログラム Download PDF

Info

Publication number
JP2019082820A
JP2019082820A JP2017209374A JP2017209374A JP2019082820A JP 2019082820 A JP2019082820 A JP 2019082820A JP 2017209374 A JP2017209374 A JP 2017209374A JP 2017209374 A JP2017209374 A JP 2017209374A JP 2019082820 A JP2019082820 A JP 2019082820A
Authority
JP
Japan
Prior art keywords
transaction
information
terminal
control unit
estimated value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017209374A
Other languages
English (en)
Other versions
JP6491297B1 (ja
Inventor
正伸 三和
Masanobu Miwa
正伸 三和
慶子 橋詰
Keiko Hashizume
慶子 橋詰
耕典 岡崎
Kosuke Okazaki
耕典 岡崎
充宏 山崎
Mitsuhiro Yamazaki
充宏 山崎
正輝 福井
Masaki Fukui
正輝 福井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PSI KK
Mizuho Information and Research Institute Inc
Mizuho Bank Ltd
Original Assignee
PSI KK
Mizuho Information and Research Institute Inc
Mizuho Bank Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PSI KK, Mizuho Information and Research Institute Inc, Mizuho Bank Ltd filed Critical PSI KK
Priority to JP2017209374A priority Critical patent/JP6491297B1/ja
Priority to GB1914077.1A priority patent/GB2574779A/en
Priority to PCT/JP2018/040231 priority patent/WO2019088060A1/ja
Priority to US16/498,979 priority patent/US11392952B2/en
Application granted granted Critical
Publication of JP6491297B1 publication Critical patent/JP6491297B1/ja
Publication of JP2019082820A publication Critical patent/JP2019082820A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Finance (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

【課題】不正の可能性がある取引行為を検知するための不正検知システム、不正検知方法及び不正検知プログラムを提供する。【解決手段】監視装置20は、不可逆コードに関連付けられた取引情報を記録する取引情報記憶部22と、取引端末10から取引要求を取得する制御部21とを備える。制御部21が、個人特定情報をユニークな不可逆コードに変換し、取引端末識別情報を含めた取引情報を取得し、取引情報記憶部22に蓄積し、取引情報記憶部22に蓄積された取引情報に基づいて、端末毎及び不可逆コード毎に、将来の取引を推定した取引推定値を算出する。そして、制御部21は、新規取引情報を取得した場合には、新規取引情報に含まれる取引端末識別情報に応じた取引端末10の取引推定値及び不可逆コードにおける取引推定値に基づいて、新規取引情報の乖離度を算出し、乖離度が大きい場合に注意喚起情報を出力する。【選択図】図1

Description

本発明は、不正の可能性がある取引行為を検知するための不正検知システム、不正検知方法及び不正検知プログラムに関する。
現金自動預払機(automatic teller machine)において、キャッシュカード等を用いて、不正な取引が行なわれることがある。このため、カードが不正に使用される可能性を検知する技術が検討されている(例えば、特許文献1)。この文献に記載された支援サーバは、外部からカードを使用したい旨の要求があった場合に、カードを識別するカード識別情報及びカードを使用する内容を示す使用内容を外部から取得する使用内容取得部と、カードのカード識別情報に対応付けて、カードの使用内容の履歴を格納する使用履歴格納部とを備える。そして、要求に対応したカード識別情報に対応付けられて格納されている要求以前の使用内容を使用履歴格納部から読み出し、読み出した使用内容と使用内容取得部が要求に対応して外部から新たに取得した使用内容とを比較して乖離度を算出する。
特開2006−72575号公報
しかしながら、利用者の取引状況では、不正を検知できない可能性がある。例えば、海外の金融機関に開設された口座のキャッシュカードを利用する場合、口座の利用状況に関する情報を取得できず、不正を検知することができない。
上記課題を解決するために、不正検知システムは、個人特定情報を変換した不可逆コードに関連付けられた取引情報を記録する取引情報記憶部と、取引端末から取引要求を取得する制御部とを備える。そして、前記制御部が、個人特定情報をユニークな不可逆コードに変換し、取引端末識別情報を含めた取引情報を取得し、前記取引情報記憶部に蓄積し、前記取引情報記憶部に蓄積された取引情報に基づいて、取引端末毎及び不可逆コード毎に、将来の取引を推定した取引推定値を算出し、新規取引情報を取得した場合には、新規取引情報に含まれる取引端末識別情報に応じた取引端末の取引推定値及び不可逆コードにおける取引推定値に基づいて、新規取引情報の乖離度を算出し、乖離度が大きい場合に注意喚起情報を出力する。
本発明によれば、不正の可能性がある取引行為を検知することができる。
本実施形態のシステム概略図。 本実施形態の取引パターンの説明図であって、(a)は取引量の端末取引パターン、(b)は取引内容の端末取引パターン、(c)は媒体種別の端末取引パターン、(d)は媒体発行者の端末取引パターン、(e)は顔画像の端末取引パターン、(f)は利用位置(連続性)の利用者取引パターン、(g)は利用位置(統計性)の利用者取引パターンの説明図。 本実施形態の処理手順の説明図。 本実施形態の処理手順の説明図であって、(a)は取引量評価処理、(b)は取引内容評価処理の説明図。 本実施形態の処理手順の説明図であって、(a)は媒体属性評価処理、(b)は顔画像評価処理の説明図。 本実施形態の処理手順の説明図であって、(a)は移動評価処理、(b)は個別媒体評価処理の説明図。 他の実施形態の処理手順の説明図。
以下、図1〜図6を用いて、不正検知システムの一実施形態を説明する。本実施形態では、銀行(自行)の取引端末において、他の銀行(他行)に開設された口座のキャッシュカード(媒体)を用いて、利用者が、取引(例えば、現金引出)を行なう場合を想定する。
図1に示すように、利用者が取引を行なう場合、取引端末10、ネットワークスイッチ11、ゲートウェイ12、ホストシステム13を用いる。
取引端末10は、利用者の取引依頼を受け付ける端末であり、例えば、現金自動預払機等を用いる。本実施形態では、利用者のキャッシュカードを受け付け、このキャッシュカードを用いての現金引出(取引依頼)に対応する場合を想定する。
ネットワークスイッチ11は、取引端末10から送信された取引要求電文を、ゲートウェイ12及び監視装置20に転送する処理を実行する。
ゲートウェイ12は、ネットワークスイッチ11をホストシステム13に接続するコンピュータサーバである。
ホストシステム13は、取引要求電文に応じて、取引処理を行なうコンピュータシステムである。本実施形態では、ホストシステム13は、利用者のキャッシュカードに基づいて特定される他行口座を用いて、現金引出サービスを提供する。
監視装置20は、取引要求電文に基づいて、不正行為の可能性を判定するコンピュータシステムである。この監視装置20は、制御部21、取引情報記憶部22、端末情報記憶部23を備えている。
制御部21は、制御手段(CPU、RAM、ROM等)を備え、後述する処理(取引情報取得段階、コード化段階、推定段階、評価段階、通知段階等の各処理等)を行なう。そのための評価プログラムを実行することにより、制御部21は、情報取得部210、コード化部211、推定部212、評価部213、通知部214として機能する。
情報取得部210は、ネットワークスイッチ11から取引要求電文を取得する処理を実行する。
コード化部211は、取引要求電文に含まれる個人情報(カード情報)をハッシュ化する処理を実行する。このハッシュ化により、個人を識別可能なユニークなコードであって、個人情報を特定できない不可逆コードに変換する。この不可逆コードから媒体識別子を算出することはできない。なお、個人情報を特定できない不可逆コードに変換できれば、変換方法はハッシュ化に限定されるものではない。
推定部212は、取引情報記憶部22に記録された取引情報を用いて、ベイズ推定により、将来、行なわれる取引パターンを予測し、現時点で行なわれる可能性がある取引を表わした推定値(取引推定値)を算出する処理を実行する。
評価部213は、取引パターンを用いて算出した取引推定値と、新たに取得した取引要求電文の評価項目との乖離を評価する処理を実行する。このため、評価部213は、取引推定値との乖離を判定するために、以下の基準値取引量に関するデータを保持する。
・取引量の大きな乖離を判定するための取引量乖離基準値
・取引内容の乖離を判定するための取引内容乖離基準値
・媒体属性(媒体種別、媒体発行者)の分布の大きな乖離を判定するための媒体属性基準値
・同一利用者の連続利用回数の乖離を判定するための連続利用基準回数
・複数の取引端末10を利用する場合の端末間の標準的な移動速度
・取引端末10の通常時の利用状況を特定するための普段利用判定数
そして、評価部213は、各評価項目の評価結果をメモリに記録するとともに、各評価項目の評価結果を用いて多角的な評価を行なう。
通知部214は、取引要求電文の評価結果に基づいて、アラーム(注意喚起情報)を通知する処理を実行する。
取引情報記憶部22には、各利用者との取引履歴について、取引管理レコード220が記録される。ここでは、コンビニエンスストア等、銀行以外の店舗のキャッシュアウト等における取引についても記録する。この取引管理レコード220は、取引端末10からの取引要求電文を、ネットワークスイッチ11を介して取得した場合に記録される。この取引管理レコード220は、不可逆コード、取引日時、取引端末、媒体種別、媒体発行者、取引金額、取引種別、暗証番号相違、画像特徴量に関するデータを含んで構成される。
不可逆コードデータ領域には、利用者や取引に用いる媒体情報(キャッシュカードにより特定されるカード番号や口座番号等の個人特定情報)をユニークに特定するための識別子に関するデータが記録される。本実施形態では、取引端末10において取引に用いるキャッシュカードの媒体識別子をハッシュ化したコードを記録する。これにより、取引に用いるキャッシュカードを個別に識別することができるが、取引に用いられる媒体情報自身を特定することはできない。
取引日時データ領域には、取引要求電文を取得した年月日及び時刻を特定するための識別子に関するデータが記録される。
取引端末データ領域には、取引場所を特定するために、取引端末10の識別子に関するデータが記録される。本実施形態では、取引端末10を特定するための端末コード(IPアドレス)を記録する。
媒体種別、媒体発行者の各データ領域には、それぞれ、媒体種別(IC、MS(磁気ストライプ)等の媒体)、媒体発行者(BINコード:発行者識別番号)に関するデータが記録される。
取引金額データ領域には、取引要求電文に含まれる取引金額に関するデータが記録される。
取引種別データ領域には、取引要求電文における取引種別を特定するための識別子に関するデータが記録される。
暗証番号相違データ領域には、この取引において、暗証番号の入力間違いがあったことが記録される。
画像特徴量データ領域には、取引端末10において撮影した利用者の人物特徴情報に関するデータが記録される。本実施形態では、人物特徴情報として、利用者の顔画像の特徴量を用いる。
端末情報記憶部23には、取引端末10についての端末管理レコード230が記録される。この端末管理レコード230は、取引端末10が設置された場合に記録される。端末管理レコード230は、端末コード、設置場所に関するデータを含んで構成される。
端末コードデータ領域には、取引端末10を特定するための識別子に関するデータが記録される。
設置場所データ領域には、この取引端末10が設置された場所(店舗種別や住所)に関するデータが記録される。
監視装置20には、管理者端末30が接続される。この管理者端末30は、取引を監視する管理者が用いるコンピュータ端末である。
次に、図2を用いて、監視装置20において、通常取引における取引推定値と乖離がある取引を検知するパターンを説明する。本実施形態では、利用者に関する取引パターンや、取引端末10に関する取引パターンを用いる。
取引端末10毎に評価する取引パターンとしては、以下のパターンを用いる。
図2(a)に示すように、各取引端末10における取引量の時間帯依存性に関する端末取引パターンを用いる。このパターンにより、各取引端末10において、ベイズ推定により予測される取引量分布(取引推定値)と乖離した「取引量の急増」を判定する。
図2(b)に示すように、各取引端末10における取引内容の時間帯依存性に関する端末取引パターンを用いる。このパターンにより、各取引端末10において、ベイズ推定により予測される取引内容(例えば、暗証番号相違)の発生頻度(取引推定値)と乖離した「特定の取引内容(暗証番号相違)の連続発生(連続性)」を判定する。なお、取引内容は暗証番号相違に限定されるものではなく、乖離した頻度での現金引出等の連続発生を判定してもよい。
図2(c)に示すように、各取引端末10において利用されるカードの媒体種別(IC、MS(磁気ストライプ)等の媒体)の分布に関する端末取引パターンを用いる。このパターンにより、ベイズ推定により予測される媒体種別の利用頻度(取引推定値)と乖離した「特定の媒体種別の連続利用(連続性)」を判定する。
図2(d)に示すように、各取引端末10において利用されるカードの媒体発行者(発行国を特定可能なBINコード)の分布に関する端末取引パターンを用いる。このパターンにより、ベイズ推定により予測されるBINコードの頻度(取引推定値)とは異なる「特定の媒体の連続利用(連続性)」を判定する。
図2(e)に示すように、各取引端末10における利用者の顔画像の分布に関する端末取引パターンを用いる。このパターンにより、ベイズ推定により予測される利用者の分布(取引推定値)と乖離した「同一利用者の連続利用(連続性)」を判定する。
媒体(不可逆コード)毎に評価する取引パターンとしては、以下のパターンを用いる。
図2(f)に示すように、同一カード(同じ不可逆コードの媒体)の利用位置(連続性)に関する利用者取引パターンを用いる。このパターンにより、標準的な移動速度(標準移動速度)で移動できる範囲(取引推定値)を超えた場所に配置された複数の取引端末10を用いての「同一媒体の連続利用の範囲(連続性)」との乖離を判定する。
図2(g)に示すように、同一カード(同じ不可逆コードの媒体)の利用位置(統計性)に関する利用者取引パターンを用いる。このパターンにより、ベイズ推定により予測される利用頻度が高い場所(取引が推定される取引端末10)と異なる場所での「同一媒体の利用範囲(統計性)」との乖離を判定する。
また、利用者取引パターンにおいても、図2(e)と同様に、各不可逆コードにおける利用者の顔画像の分布に関するパターンを用いる。このパターンにより、ベイズ推定により予測される利用者の分布(取引推定値)と乖離した「異なる利用者」の利用を判定する。
また、利用者取引パターンにおいても、図2(b)と同様に、各不可逆コードにおける取引種別の分布に関するパターンを用いる。このパターンにより、ベイズ推定により予測される同一媒体の利用頻度(取引推定値)と乖離した「異なる取引種別」の発生を判定する。
次に、図3〜図6を用いて、監視装置20における不正検知処理を説明する。
(不正検知処理)
図3を用いて、不正検知処理を説明する。
まず、監視装置20の制御部21は、取引情報の取得処理を実行する(ステップS1−1)。具体的には、利用者が取引端末10において取引依頼を入力した場合、取引端末10は、ネットワークスイッチ11、ゲートウェイ12を介して、ホストシステム13に取引要求電文を送信する。この取引要求電文には、取引に利用する媒体識別子、端末コード、媒体情報(媒体種別)、取引金額、取引種別、顔画像特徴量に関するデータが含まれる。この場合、制御部21の情報取得部210は、ネットワークスイッチ11から取引要求電文を取得する。そして、情報取得部210は、媒体識別子により、媒体発行者を特定する。
次に、監視装置20の制御部21は、媒体識別情報のハッシュ化処理を実行する(ステップS1−2)。具体的には、制御部21のコード化部211は、媒体識別子をハッシュ関数に代入して不可逆コード(ハッシュ値)を算出する。
次に、監視装置20の制御部21は、取引履歴の取得処理を実行する(ステップS1−3)。具体的には、制御部21の情報取得部210は、所定期間(サンプル期間)について、取引要求電文に含まれる端末コードが取引端末データ領域に記録された取引管理レコード220、及びステップS1−2で算出した不可逆コードが記録された取引管理レコード220を、取引情報記憶部22から取得する。
そして、上述した端末取引パターン、利用者取引パターンを用いて、今回の取引依頼を評価する。
ここでは、監視装置20の制御部21は、端末取引パターンの特定処理を実行する(ステップS1−4)。具体的には、制御部21の推定部212は、取引要求電文に含まれる端末コードが取引端末データ領域に記録された取引管理レコード220を用いて、評価項目毎に取引端末10単位の端末取引パターンを特定する。
そして、監視装置20の制御部21は、端末取引パターンとの乖離の評価処理を実行する(ステップS1−5)。具体的には、制御部21の評価部213は、評価項目毎に、今回の取引依頼と、端末取引パターンにおける今回の取引時の取引推定値との乖離の大きさ(乖離度)を評価する。この評価の詳細は、図4、図5を用いて、後述する。
また、監視装置20の制御部21は、利用者取引パターンの特定処理を実行する(ステップS1−6)。具体的には、制御部21の推定部212は、算出した不可逆コードが記録された取引管理レコード220を用いて、評価項目毎に同一媒体による利用者取引パターンを特定する。
そして、監視装置20の制御部21は、利用者取引パターンとの乖離の評価処理を実行する(ステップS1−7)。具体的には、制御部21の評価部213は、評価項目毎に、今回の取引依頼と、利用者取引パターンにおける今回の取引時の取引推定値との乖離の大きさ(乖離度)を評価する。この評価の詳細は、図6を用いて、後述する。
次に、監視装置20の制御部21は、乖離の多角的評価処理を実行する(ステップS1−8)。具体的には、制御部21の評価部213は、メモリに記録された評価結果(端末取引パターンの取引推定値との乖離幅、利用者取引パターンの取引推定値との乖離幅)の項目別評価結果をまとめて評価する。ここでは、各評価項目の乖離の評価結果を、複数の評価軸に展開し、その展開状況により多角的評価結果を算出する。例えば、複数の評価軸に展開した場合の乖離の分布形状を算出することにより、多角的評価結果を算出する。
次に、監視装置20の制御部21は、アラーム通知対象かどうかについての判定処理を実行する(ステップS1−9)。具体的には、制御部21の評価部213は、多角的評価結果が、アラーム通知基準を超えているかどうかを判定する。例えば、複数の評価軸(評価項目)に乖離の大きさで展開した場合の分布形状が、所定形状(アラーム通知基準)を超えている場合にはアラーム通知対象と判定する。
アラーム通知対象と判定した場合(ステップS1−9において「YES」の場合)、監視装置20の制御部21は、アラーム通知処理を実行する(ステップS1−10)。具体的には、制御部21の通知部214は、管理者端末30に対して、アラームを通知する。
一方、アラーム通知対象でないと判定した場合(ステップS1−9において「NO」の場合)、監視装置20の制御部21は、アラーム通知処理(ステップS1−10)をスキップする。
そして、ベイズ推定で予測した端末取引パターン、利用者取引パターンを用いて、今回の取引要求電文の各評価項目の評価(ステップS1−4〜S1−7)を、以下で説明する。
(取引量評価処理)
図4(a)を用いて、取引量評価処理を説明する。
まず、監視装置20の制御部21は、取引時間帯毎の取引量の算出処理を実行する(ステップS2−1)。具体的には、制御部21の推定部212は、取引要求電文を送信した取引端末10の端末コードが取引端末データ領域に記録された取引管理レコード220を用いて、取引時間帯毎にレコード数をカウントして、取引端末10における取引量(端末取引パターン)を算出する。取引時間帯としては、例えば、「9時〜10時」、「10時〜11時」のように、取引可能時間を、所定の単位時間毎に区切った時間帯を用いる。
次に、監視装置20の制御部21は、取引端末における取引量の推定処理を実行する(ステップS2−2)。具体的には、制御部21の推定部212は、時間帯毎の取引量の端末取引パターンを用いて、現在時刻の取引量(取引推定値)を予測する。
次に、監視装置20の制御部21は、推定値との乖離が大きいかどうかについての判定処理を実行する(ステップS2−3)。具体的には、制御部21の評価部213は、推定値と、直近の所定期間(評価期間)の取引量とを比較して、乖離幅を算出する。乖離幅が取引量乖離基準値を超えている場合には、推定値との乖離が大きいと判定する。
推定値との乖離が大きいと判定した場合(ステップS2−3において「YES」の場合)、監視装置20の制御部21は、アラーム対象候補処理を実行する(ステップS2−4)。具体的には、制御部21の評価部213は、今回の取引要求電文をアラーム対象候補としてメモリに仮記憶する。この場合、取引量評価結果として乖離幅をメモリに仮記憶する。
一方、推定値との乖離が小さいと判定した場合(ステップS2−3において「NO」の場合)、監視装置20の制御部21は、アラーム対象候補処理(ステップS2−4)をスキップする。
(取引内容評価処理)
図4(b)を用いて、取引内容評価処理を説明する。
まず、監視装置20の制御部21は、取引時間帯毎の取引内容の算出処理を実行する(ステップS3−1)。具体的には、制御部21の推定部212は、取引要求電文を送信した取引端末10の端末コードが取引端末データ領域に記録された取引管理レコード220を用いて、取引時間帯毎に、取引端末10における取引内容(取引種別、暗証番号相違)毎にレコード数をカウントして、取引内容の分布(端末取引パターン)を算出する。
次に、監視装置20の制御部21は、取引端末における取引内容の推定処理を実行する(ステップS3−2)。具体的には、制御部21の推定部212は、時間帯毎の取引内容の端末取引パターンを用いて、現在時刻の取引内容の分布(取引推定値)を予測する。
次に、監視装置20の制御部21は、推定値との乖離が大きいかどうかについての判定処理を実行する(ステップS3−3)。具体的には、制御部21の評価部213は、推定値と、直近の所定期間(評価期間)の取引内容の分布とを比較して、乖離幅を算出する。乖離幅が取引内容乖離基準値を超えている場合には、推定値との乖離が大きいと判定する。
推定値との乖離が大きいと判定した場合(ステップS3−3において「YES」の場合)、監視装置20の制御部21は、アラーム対象候補処理を実行する(ステップS3−4)。具体的には、制御部21の評価部213は、今回の取引要求電文をアラーム対象候補としてメモリに仮記憶する。この場合、取引内容評価結果として乖離幅をメモリに仮記憶する。
一方、推定値との乖離が小さいと判定した場合(ステップS3−3において「NO」の場合)、監視装置20の制御部21は、アラーム対象候補処理(ステップS3−4)をスキップする。
(媒体属性評価処理)
図5(a)を用いて、媒体属性評価処理を説明する。
まず、監視装置20の制御部21は、取引時間帯毎の媒体種別の分布の算出処理を実行する(ステップS4−1)。具体的には、制御部21の推定部212は、取引要求電文を送信した取引端末10の端末コードが取引端末データ領域に記録された取引管理レコード220を用いて、取引時間帯毎に、各媒体種別のレコード数をカウントして、取引端末10における媒体種別の分布(端末取引パターン)を算出する。
次に、監視装置20の制御部21は、取引時間帯毎の媒体発行者の分布の算出処理を実行する(ステップS4−2)。具体的には、制御部21の推定部212は、取引要求電文を送信した取引端末10の端末コードが取引端末データ領域に記録された取引管理レコード220を用いて、取引時間帯毎に、各媒体発行者のレコード数をカウントして、取引端末10における媒体発行者の分布(端末取引パターン)を算出する。
次に、監視装置20の制御部21は、取引端末における媒体利用状況の推定処理を実行する(ステップS4−3)。具体的には、制御部21の推定部212は、時間帯毎の媒体種別、媒体発行者の端末取引パターンを用いて、現在時刻の媒体種別、媒体発行者の媒体利用状況(各取引推定値)を推定する。
次に、監視装置20の制御部21は、推定値との乖離が大きいかどうかについての判定処理を実行する(ステップS4−4)。具体的には、制御部21の評価部213は、各取引推定値と直近の所定期間の媒体種別、媒体発行者の媒体利用状況とを比較して、それぞれの乖離幅を算出する。媒体種別、媒体発行者のいずれかの乖離幅が媒体属性乖離基準値を超えている場合には、推定値との乖離が大きいと判定する。
ここで、推定値との乖離が小さいと判定した場合(ステップS4−4において「NO」の場合)、監視装置20の制御部21は、同一属性の連続性の評価処理を実行する(ステップS4−5)。具体的には、制御部21の評価部213は、直近の所定期間(評価期間)の媒体種別、媒体発行者の媒体を用いた取引の連続回数を算出する。
次に、監視装置20の制御部21は、異常な連続利用かどうかについての判定処理を実行する(ステップS4−6)。具体的には、制御部21の評価部213は、媒体種別、媒体発行者の端末取引パターンを用いて、今回の媒体種別、媒体発行者について、連続して利用される回数(取引推定値)を算出する。そして、今回の媒体種別、媒体発行者の媒体の連続利用回数が推定値を超えている場合には、異常な連続利用と判定する。
推定値との乖離が大きいと判定した場合や、異常な連続利用と判定した場合(ステップS4−4、S4−6において「YES」の場合)、監視装置20の制御部21は、アラーム対象候補処理を実行する(ステップS4−7)。具体的には、制御部21の評価部213は、今回の取引要求電文をアラーム対象候補としてメモリに仮記憶する。この場合、媒体属性評価結果として乖離幅、連続利用回数をメモリに仮記憶する。
一方、異常な連続利用でないと判定した場合(ステップS4−6において「NO」の場合)、監視装置20の制御部21は、アラーム対象候補処理(ステップS4−7)をスキップする。
(顔画像評価処理)
図5(b)を用いて、顔画像評価処理を説明する。
まず、監視装置20の制御部21は、直近所定期間の利用者画像の取得処理を実行する(ステップS5−1)。具体的には、制御部21の評価部213は、取引要求電文を送信した取引端末10の端末コードが取引端末データ領域に記録され、直近所定期間の取引管理レコード220を取引情報記憶部22から取得する。そして、評価部213は、取引管理レコード220に記録された画像特徴量を取得する。
次に、監視装置20の制御部21は、利用者画像のマッチング処理を実行する(ステップS5−2)。具体的には、制御部21の評価部213は、取得した画像特徴量に基づいて、取引端末10における同一利用者を分類する。
次に、監視装置20の制御部21は、異常な連続利用かどうかについての判定処理を実行する(ステップS5−3)。具体的には、制御部21の評価部213は、同一利用者の連続利用回数を算出し、連続利用基準回数(取引推定値)と比較する。そして、連続利用回数が基準回数を超えている場合には、異常な連続利用と判定する。なお、連続利用基準回数(取引推定値)を、推定部212が、この取引端末10の過去の利用状況(取引パターン)に基づいて算出してもよい。
異常な連続利用と判定した場合(ステップS5−3において「YES」の場合)、監視装置20の制御部21は、アラーム対象候補処理を実行する(ステップS5−4)。具体的には、制御部21の評価部213は、今回の取引要求電文をアラーム対象候補としてメモリに仮記憶する。この場合、顔画像評価結果として連続利用回数をメモリに仮記憶する。
一方、異常な連続利用でないと判定した場合(ステップS5−3において「NO」の場合)、監視装置20の制御部21は、アラーム対象候補処理(ステップS5−4)をスキップする。
(移動評価処理)
図6(a)を用いて、移動評価処理を説明する。
まず、監視装置20の制御部21は、前回利用の取引端末の特定処理を実行する(ステップS6−1)。具体的には、制御部21の評価部213は、今回の取引要求電文に関わる不可逆コードが記録され、直近の取引日時が記録された取引管理レコード220(前回取引の取引管理レコード220)を抽出する。そして、評価部213は、抽出した取引管理レコード220の取引端末データ領域に記録されている端末コードを特定する。
次に、監視装置20の制御部21は、前回利用の取引端末との距離及び取引時間間隔の算出処理を実行する(ステップS6−2)。具体的には、制御部21の評価部213は、端末情報記憶部23を用いて、前回の取引端末10及び今回の取引端末10の設置場所を特定し、両者の端末間距離を算出する。更に、評価部213は、前回利用の取引管理レコード220の取引日時と現在日時との差分(取引時間間隔)を算出する。
次に、監視装置20の制御部21は、乖離度の算出処理を実行する(ステップS6−3)。ここでは、複数の取引端末10を利用する場合に、一般的に移動可能な範囲を端末取引パターンとして用いる。具体的には、制御部21の評価部213は、前回の取引で利用した取引端末10と、今回の取引で利用している取引端末10との乖離度を、以下の式で算出する。
〔乖離度〕=〔端末間距離〕/〔取引時間間隔×標準移動速度〕
ここで、標準移動速度は、端末間距離により定められ、〔取引時間間隔×標準移動速度〕が通常の端末取引パターンにおける取引推定値として機能する。例えば、所定距離以下の場合には、平均的な徒歩による移動速度を用い、所定距離を超える場合には、交通機関を利用した場合の移動速度を用いる。なお、標準移動速度(取引推定値)を、推定部212が、二つの取引端末10の過去の利用状況(取引パターン)に基づいて算出してもよい。
次に、監視装置20の制御部21は、乖離が大きいかどうかについての判定処理を実行する(ステップS6−4)。具体的には、制御部21の評価部213は、乖離度と移動基準値とを比較し、乖離度が基準値を超える場合には、乖離が大きいと判定する。
乖離が大きいと判定した場合(ステップS6−4において「YES」の場合)、監視装置20の制御部21は、アラーム対象候補処理を実行する(ステップS6−5)。具体的には、制御部21の評価部213は、今回の取引要求電文をアラーム対象候補としてメモリに仮記憶する。この場合、移動評価結果として乖離度をメモリに仮記憶する。
一方、乖離が小さいと判定した場合(ステップS6−4において「NO」の場合)、監視装置20の制御部21は、アラーム対象候補処理(ステップS6−5)をスキップする。
(個別媒体評価処理)
図6(b)を用いて、個別媒体評価処理を説明する。
まず、監視装置20の制御部21は、普段の利用状況を特定可能かどうかについての判定処理を実行する(ステップS7−1)。具体的には、制御部21の推定部212は、今回の取引における不可逆コードが記録された取引管理レコード220のレコード数を算出する。そして、推定部212は、レコード数が普段利用判定数以上の場合には、普段の利用状況を特定可能と判定する。
レコード数が普段利用判定数未満で、普段の利用状況を特定不可と判定した場合(ステップS7−1において「NO」の場合)、監視装置20の制御部21は、個別媒体評価処理を終了する。
一方、レコード数が普段利用判定数以上で、普段の利用状況を特定可能と判定した場合(ステップS7−1において「YES」の場合)、監視装置20の制御部21は、利用者の顔画像の取得処理を実行する(ステップS7−2)。具体的には、制御部21の推定部212は、取引管理レコード220に記録された画像特徴量を取得する。
次に、監視装置20の制御部21は、通常利用者の特定処理を実行する(ステップS7−3)。具体的には、制御部21の推定部212は、取得した画像特徴量を用いて、利用者を識別する。ここで、画像特徴量に基づいて、複数の利用者を特定した場合には、すべてを通常利用者として推定する。この通常利用者の画像特徴量を取引推定値として用いる。
次に、監視装置20の制御部21は、乖離が大きいかどうかについての判定処理を実行する(ステップS7−4)。具体的には、制御部21の評価部213は、通常利用者の画像特徴量と、今回の取引における顔画像の画像特徴量とを比較する。通常利用者と異なる場合には、乖離が大きいと判定する。
乖離が大きいと判定した場合(ステップS7−4において「YES」の場合)、監視装置20の制御部21は、アラーム対象候補処理を実行する(ステップS7−5)。具体的には、制御部21の評価部213は、今回の取引要求電文をアラーム対象候補としてメモリに仮記憶する。この場合、個別媒体評価結果として、特定の利用者のみが利用している状況(通常利用者の人数が少ない状況)で、複数の利用者を検知した場合、人数に応じて大きな乖離幅をメモリに仮記憶する。
一方、乖離が小さいと判定した場合(ステップS7−4において「NO」の場合)、監視装置20の制御部21は、アラーム対象候補処理(ステップS7−5)をスキップする。
以上、本実施形態によれば、以下のような効果を得ることができる。
(1)本実施形態によれば、監視装置20の制御部21は、媒体識別情報のハッシュ化処理を実行する(ステップS1−2)。これにより、個人情報の漏えいを抑制することができる。特に、不正の可能性がある取引を検知するための取引パターンを、利用者個人を特定することなく生成することができる。
(2)本実施形態によれば、監視装置20の制御部21は、端末取引パターンの特定処理(ステップS1−4)、端末取引パターンとの乖離の評価処理(ステップS1−5)を実行する。これにより、取引端末10の利用状況に基づいて予測した取引推定値を用いて、通常でない取引状況を検知することができる。
(3)本実施形態によれば、監視装置20の制御部21は、利用者取引パターンの特定処理(ステップS1−6)、利用者取引パターンとの乖離の評価処理(ステップS1−7)を実行する。これにより、キャッシュカード等の媒体の利用状況に基づいて予測した取引推定値を用いて、通常でない取引状況を検知することができる。
(4)本実施形態によれば、監視装置20の制御部21は、乖離の多角的評価処理を実行する(ステップS1−8)。これにより、複数の評価項目を用いて、的確に不正の可能性がある取引を検知することができる。
(5)本実施形態によれば、監視装置20の制御部21は、取引量評価処理を実行する。これにより、取引に利用される取引端末10における取引推定値から乖離した異常な取引量を検知することができる。
(6)本実施形態によれば、監視装置20の制御部21は、取引内容評価処理を実行する。これにより、取引に利用される取引端末10における取引推定値から乖離した異常な取引内容の発生状況を検知することができる。
(7)本実施形態によれば、監視装置20の制御部21は、媒体属性評価処理を実行する。これにより、取引に利用される取引端末10における取引推定値から乖離した異常な媒体属性の利用状況を検知することができる。
(8)本実施形態によれば、監視装置20の制御部21は、顔画像評価処理を実行する。これにより、取引に利用される取引端末10における取引推定値から乖離した異常な同一利用者の利用状況を検知することができる。
(9)本実施形態によれば、監視装置20の制御部21は、移動評価処理を実行する。これにより、取引に利用される取引端末10における取引推定値から乖離した複数の取引端末の利用状況を検知することができる。
(10)本実施形態によれば、監視装置20の制御部21は、個別媒体評価処理を実行する。これにより、不可逆コードにより特定される利用者における取引推定値から乖離したキャッシュカード等の媒体の利用状況を検知することができる。
また、上記実施形態は以下のように変更してもよい。
・上記実施形態では、監視装置20の制御部21は、乖離度の算出処理を実行する(ステップS6−3)。この場合、乖離度を算出するための情報は、端末間距離、取引時間間隔、標準移動速度に限定されるものではない。例えば、移動経路検索サービスを利用して、取引端末10間の移動に要する所要時間を算出するようにしてもよい。この場合には、移動経路検索サービスで算出した所要時間と、今回の取引における取引時間間隔との差分を乖離度として算出する。
また、日常的に利用している取引端末10と、それ以外の取引端末10については、判断手法を変更してもよい。例えば、不可逆コードを用いて日常的に利用している取引端末10を特定し、この取引端末10については、使い慣れた環境での利用と判定し、標準移動速度を高く設定する。これにより、取引端末10の利用状況に応じて、利用経験がある取引端末10については、短い取引時間間隔であっても、乖離度を小さくすることができる。
・上記実施形態では、監視装置20の制御部21は、端末取引パターンの特定処理(ステップS1−4)、端末取引パターンとの乖離の評価処理(ステップS1−5)を実行する。この場合、新設の取引端末10については、他の取引端末10の端末取引パターンを利用するようにしてもよい。このために、端末情報記憶部23には、取引端末10の設置場所の環境属性を特定するための情報を記録しておく。この環境属性は、例えば、銀行店舗内、コンビニエンスストア内、駅構内等の施設等、利用者が共通すると想定される環境の特徴を意味する。
図7を用いて、この場合の不正検知処理を説明する。
ここでは、監視装置20の制御部21は、ステップS1−3と同様に、取引履歴の取得処理を実行する(ステップS8−1)。
次に、監視装置20の制御部21は、新設かどうかについての判定処理を実行する(ステップS8−2)。具体的には、制御部21の推定部212は、取引情報記憶部22から取得した取引管理レコード220のレコード数を算出する。そして、推定部212は、レコード数が新設評価基準数未満の場合には、新設の取引端末10と判定する。
取引管理レコード220のレコード数が新設評価基準数以上であり、新設でないと判定した場合(ステップS8−2において「NO」の場合)、監視装置20の制御部21は、ステップS1−4と同様に、端末取引パターンの特定処理を実行する(ステップS8−3)。
一方、取引管理レコード220のレコード数が新設評価基準数未満であり、新設と判定した場合(ステップS8−2において「YES」の場合)、監視装置20の制御部21は、類似する取引端末の端末取引パターンの特定処理を実行する(ステップS8−4)。具体的には、制御部21の推定部212は、端末情報記憶部23を用いて、新設の取引端末10の設置場所の住所から所定範囲内に設置され、新設でない他の取引端末10を検索する。次に、推定部212は、所定範囲内に設置されている他の取引端末10の中で、設置場所の環境属性が共通する取引端末10を類似端末として特定する。そして、推定部212は、特定した類似端末の取引管理レコード220を用いて、端末取引パターンを特定する。
次に、監視装置20の制御部21は、ステップS1−5と同様に、端末取引パターンとの乖離の評価処理を実行する(ステップS8−5)。
また、監視装置20の制御部21は、ステップS1−6、S1−7と同様に、利用者取引パターンの特定処理(ステップS8−6)、利用者取引パターンとの乖離の評価処理(ステップS8−7)を実行する。
そして、監視装置20の制御部21は、ステップS1−8と同様に、乖離の多角的評価処理を実行する(ステップS8−8)。
・上記実施形態では、監視装置20の制御部21は、端末取引パターンの特定処理を実行する(ステップS1−4)。ここでは、取引に用いられる取引端末10の端末コードが記録された取引管理レコード220を用いて端末取引パターンを特定する。この場合、複数の取引端末10をグループ化して、このグループに属する取引端末10の取引管理レコード220により、端末取引パターンを特定してもよい。例えば、端末情報記憶部23において、同じ店舗や、所定の近接範囲に複数の取引端末10が設置されていることを検知した場合、監視装置20の制御部21は、これらの複数の取引端末10をグループ化する。
・上記実施形態では、監視装置20の制御部21は、端末取引パターンの特定処理を実行する(ステップS1−4)。また、監視装置20の制御部21は、利用者取引パターンの特定処理を実行する(ステップS1−6)。取引パターンの特定は、バッチ処理により、予め準備しておいてもよい。この場合には、監視装置20にパターン記憶部を設け、端末コードに関連付けて端末取引パターン、不可逆コードに関連付けて利用者取引パターンを登録しておく。そして、新たな取引要求電文を取得した場合には、監視装置20の制御部21は、端末コードに関連付けられた端末取引パターン、不可逆コードに関連付けられた利用者取引パターンを呼び出し、取引パターンに基づく取引推定値との乖離の評価に用いる。
・上記実施形態では、監視装置20の制御部21は、乖離の多角的評価処理を実行する(ステップS1−8)。この場合、利用者、取引端末10についての取引管理レコード220の情報蓄積状況に応じて、判断手法を変更してもよい。ここでは、今回の取引における不可逆コードが取引端末データ領域に記録された取引管理レコード220のレコード数に応じて、乖離度の重み付けを行なう。具体的には、レコード数が多い取引パターンによる取引推定値については、乖離が大きい場合の乖離度を、レコード数が少ない取引パターンによる取引推定値よりも高く評価する。
・上記実施形態では、取引端末10毎の取引の連続性を予測するために、取引量〜顔画像の取引パターンを用いる。取引パターンは、これらに限定されるものではない。例えば、取引金額の連続性についての端末取引パターンを用いてもよい。例えば、同じ取引金額範囲の取引の連続について、端末取引パターンから予測される取引推定値からの乖離を評価するようにしてもよい。
・上記実施形態では、銀行(自行)の取引端末において、他の銀行(他行)に開設された口座のキャッシュカード(媒体)を用いて、利用者が、取引(例えば、現金引出)を行なう場合を想定する。ここで、自行口座を用いての取引に適用してもよい。
また、個人特定情報を取得する媒体は、キャッシュカードに限定されない。例えば、個人特定情報をユニークな不可逆コードに変換できるものではあれば、利用者の携帯端末の固有情報や、利用者の生体情報を用いてもよい。
・上記実施形態では、取引端末10として、例えば、現金自動預払機等を用いる。取引端末は、現金自動預払機に限らない。例えば、PC端末や携帯端末を用いてもよい。
・上記実施形態では、監視装置20は、ネットワークスイッチ11から取引要求電文を取得する。ここで、取引端末10やホストシステム13から、取引要求電文を取得するようにしてもよい。
また、上記実施形態では、監視装置20の制御部21は、媒体識別情報のハッシュ化処理を実行する(ステップS1−2)。ここで、個人情報を特定できない不可逆コードへの変換(ハッシュ化)は、取引端末10やホストシステム13で行なうようにしてもよい。この場合には、不可逆コードに関連付けた取引情報を、取引要求電文とは別に、監視装置20に提供する。
・上記実施形態では、推定部212は、ベイズ推定により、将来、行なわれる取引パターンを予測し、取引推定値を算出する。推定方法は、ベイズ推定に限定されるものではなく、将来の取引を予測する各種統計的手法を用いることができる。
・上記実施形態では、監視装置20の制御部21は、利用者の顔画像の取得処理を実行する(ステップS7−2)。利用者を特定できる人物特徴情報であれば、顔画像に限定されるものではない。例えば、挙動を撮影した画像や取引端末の操作状況(操作速度等)を用いてもよい。
10…取引端末、11…ネットワークスイッチ、12…ゲートウェイ、13…ホストシステム、20…監視装置、21…制御部、210…情報取得部、211…コード化部、212…推定部、213…評価部、214…通知部、22…取引情報記憶部、23…端末情報記憶部、30…管理者端末。

Claims (11)

  1. 個人特定情報を変換した不可逆コードに関連付けられた取引情報を記録する取引情報記憶部と、
    取引端末から取引要求を取得する制御部とを備えた不正検知システムであって、
    前記制御部が、
    個人特定情報をユニークな不可逆コードに変換し、
    取引端末識別情報を含めた取引情報を取得し、前記取引情報記憶部に蓄積し、
    前記取引情報記憶部に蓄積された取引情報に基づいて、取引端末毎及び不可逆コード毎に、将来の取引を推定した取引推定値を算出し、
    新規取引情報を取得した場合には、新規取引情報に含まれる取引端末識別情報に応じた取引端末の取引推定値及び不可逆コードにおける取引推定値に基づいて、新規取引情報の乖離度を算出し、
    乖離度が大きい場合に注意喚起情報を出力することを特徴とする不正検知システム。
  2. 前記制御部が、
    取引情報を取得した取引端末において、直近の所定期間の取引量を取得し、
    前記取引量と、前記取引端末の取引推定値とを比較して、乖離度を判定することを特徴とする請求項1に記載の不正検知システム。
  3. 前記制御部が、
    取引情報を取得した取引端末において、直近の所定期間の取引内容を取得し、
    前記取引内容と、前記取引端末の取引推定値とを比較して、乖離度を判定することを特徴とする請求項1又は2に記載の不正検知システム。
  4. 前記制御部が、
    取引情報を取得した取引端末において、直近の所定期間の取引における媒体属性を取得し、
    前記媒体属性と、前記取引端末の取引推定値とを比較して、乖離度を判定することを特徴とする請求項1〜3のいずれか一項に記載の不正検知システム。
  5. 前記制御部が、
    取引情報を取得した取引端末において、直近の所定期間の取引における利用者の人物特徴情報を取得し、
    前記人物特徴情報と、前記取引端末の取引推定値とを比較して、乖離度を判定することを特徴とする請求項1〜4のいずれか一項に記載の不正検知システム。
  6. 前記制御部が、
    新規取引情報における不可逆コードに関連付けられた前回の取引において利用された取引端末を特定し、
    前記前回の取引端末と前記新規取引情報における取引端末の移動距離と利用時間間隔に基づいて乖離度を判定することを特徴とする請求項1〜5のいずれか一項に記載の不正検知システム。
  7. 前記制御部が、
    前記取引情報記憶部に記録された取引端末毎及び不可逆コード毎の取引情報数に基づいて、情報蓄積度を算出し、
    前記情報蓄積度に基づいて、取引端末毎の取引推定値と不可逆コード毎の取引推定値の重み付けを行なうことを特徴とする請求項1〜6のいずれか一項に記載の不正検知システム。
  8. 前記制御部が、取引端末の設置場所に基づいて、取引端末をグループ化し、前記グループ化された取引端末についての取引推定値を特定することを特徴とする請求項1〜7のいずれか一項に記載の不正検知システム。
  9. 前記制御部が、
    前記取引情報記憶部に記録された取引情報数に基づいて、前記新規取引情報を取得した取引端末の情報蓄積度を算出し、前記取引端末の情報蓄積度が低い場合には、前記取引端末の属性を特定し、類似した属性を有する他の取引端末であって、高い情報蓄積度の取引推定値を用いることを特徴とする請求項1〜8のいずれか一項に記載の不正検知システム。
  10. 個人特定情報を変換した不可逆コードに関連付けられた取引情報を記録する取引情報記憶部と、
    取引端末から取引要求を取得する制御部とを備えた不正検知システムを用いて、不正検知を支援する方法であって、
    前記制御部が、
    個人特定情報をユニークな不可逆コードに変換し、
    取引端末識別情報を含めた取引情報を取得し、前記取引情報記憶部に蓄積し、
    前記取引情報記憶部に蓄積された取引情報に基づいて、取引端末毎及び不可逆コード毎に、将来の取引を推定した取引推定値を算出し、
    新規取引情報を取得した場合には、新規取引情報に含まれる取引端末識別情報に応じた取引端末の取引推定値及び不可逆コードにおける取引推定値に基づいて、新規取引情報の乖離度を算出し、
    乖離度が大きい場合に注意喚起情報を出力することを特徴とする不正検知方法。
  11. 個人特定情報を変換した不可逆コードに関連付けられた取引情報を記録する取引情報記憶部と、
    取引端末から取引要求を取得する制御部とを備えた不正検知システムを用いて、不正検知を支援するためのプログラムであって、
    前記制御部を、
    個人特定情報をユニークな不可逆コードに変換し、
    取引端末識別情報を含めた取引情報を取得し、前記取引情報記憶部に蓄積し、
    前記取引情報記憶部に蓄積された取引情報に基づいて、取引端末毎及び不可逆コード毎に、将来の取引を推定した取引推定値を算出し、
    新規取引情報を取得した場合には、新規取引情報に含まれる取引端末識別情報に応じた取引端末の取引推定値及び不可逆コードにおける取引推定値に基づいて、新規取引情報の乖離度を算出し、
    乖離度が大きい場合に注意喚起情報を出力する手段として機能させることを特徴とする不正検知プログラム。
JP2017209374A 2017-10-30 2017-10-30 不正検知システム、不正検知方法及び不正検知プログラム Active JP6491297B1 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017209374A JP6491297B1 (ja) 2017-10-30 2017-10-30 不正検知システム、不正検知方法及び不正検知プログラム
GB1914077.1A GB2574779A (en) 2017-10-30 2018-10-30 Fraud detection system, method, and non-temporary computer readable storage medium
PCT/JP2018/040231 WO2019088060A1 (ja) 2017-10-30 2018-10-30 不正検知システム、方法及び非一時的コンピュータ可読記憶媒体
US16/498,979 US11392952B2 (en) 2017-10-30 2018-10-30 Fraud detection system, method, and non-temporary computer readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017209374A JP6491297B1 (ja) 2017-10-30 2017-10-30 不正検知システム、不正検知方法及び不正検知プログラム

Publications (2)

Publication Number Publication Date
JP6491297B1 JP6491297B1 (ja) 2019-03-27
JP2019082820A true JP2019082820A (ja) 2019-05-30

Family

ID=65895277

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017209374A Active JP6491297B1 (ja) 2017-10-30 2017-10-30 不正検知システム、不正検知方法及び不正検知プログラム

Country Status (4)

Country Link
US (1) US11392952B2 (ja)
JP (1) JP6491297B1 (ja)
GB (1) GB2574779A (ja)
WO (1) WO2019088060A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023517338A (ja) * 2020-08-20 2023-04-25 テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド 異常行為検出方法、装置、電子機器及びコンピュータプログラム

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0927002A (ja) * 1995-07-11 1997-01-28 Fujitsu Ltd 在高管理システム
JPH10269182A (ja) * 1997-03-26 1998-10-09 Oki Electric Ind Co Ltd 利用者認証方法および利用者認証システム
JP2001256395A (ja) * 2000-03-10 2001-09-21 Aip:Kk 情報送受信システム及び情報送受信方法
JP2002123775A (ja) * 2000-10-13 2002-04-26 Akesesu:Kk カード利用正当性判定方法
JP2010282262A (ja) * 2009-06-02 2010-12-16 Oki Electric Ind Co Ltd 情報処理装置、取引検査方法及びプログラム
US20100327056A1 (en) * 2007-11-28 2010-12-30 Susumu Yoshikawa Payment approval system and method for approving payment for credit card
JP2011186923A (ja) * 2010-03-10 2011-09-22 Denso Wave Inc 精算システム
JP2012506587A (ja) * 2008-10-24 2012-03-15 ユーシー・グループ・リミテッド オンライン販売業者と取引を処理するシステム及び方法
JP2014078183A (ja) * 2012-10-11 2014-05-01 Scsk Corp 不正検知システム及び不正検知プログラム
US20160132886A1 (en) * 2013-08-26 2016-05-12 Verafin, Inc. Fraud detection systems and methods
US20170161745A1 (en) * 2015-12-03 2017-06-08 Mastercard International Incorporated Payment account fraud detection using social media heat maps

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4965568A (en) * 1989-03-01 1990-10-23 Atalla Martin M Multilevel security apparatus and method with personal key
JP4564309B2 (ja) 2004-08-31 2010-10-20 株式会社日本総合研究所 カードの不正な使用を防止する支援サーバ、支援方法およびプログラム
US20150088746A1 (en) * 2013-09-26 2015-03-26 SayPay Technologies, Inc. Method and system for implementing financial transactions

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0927002A (ja) * 1995-07-11 1997-01-28 Fujitsu Ltd 在高管理システム
JPH10269182A (ja) * 1997-03-26 1998-10-09 Oki Electric Ind Co Ltd 利用者認証方法および利用者認証システム
JP2001256395A (ja) * 2000-03-10 2001-09-21 Aip:Kk 情報送受信システム及び情報送受信方法
JP2002123775A (ja) * 2000-10-13 2002-04-26 Akesesu:Kk カード利用正当性判定方法
US20100327056A1 (en) * 2007-11-28 2010-12-30 Susumu Yoshikawa Payment approval system and method for approving payment for credit card
JP2012506587A (ja) * 2008-10-24 2012-03-15 ユーシー・グループ・リミテッド オンライン販売業者と取引を処理するシステム及び方法
JP2010282262A (ja) * 2009-06-02 2010-12-16 Oki Electric Ind Co Ltd 情報処理装置、取引検査方法及びプログラム
JP2011186923A (ja) * 2010-03-10 2011-09-22 Denso Wave Inc 精算システム
JP2014078183A (ja) * 2012-10-11 2014-05-01 Scsk Corp 不正検知システム及び不正検知プログラム
US20160132886A1 (en) * 2013-08-26 2016-05-12 Verafin, Inc. Fraud detection systems and methods
US20170161745A1 (en) * 2015-12-03 2017-06-08 Mastercard International Incorporated Payment account fraud detection using social media heat maps

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023517338A (ja) * 2020-08-20 2023-04-25 テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド 異常行為検出方法、装置、電子機器及びコンピュータプログラム
JP7430816B2 (ja) 2020-08-20 2024-02-13 テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド 異常行為検出方法、装置、電子機器及びコンピュータプログラム

Also Published As

Publication number Publication date
US20210110398A1 (en) 2021-04-15
JP6491297B1 (ja) 2019-03-27
WO2019088060A1 (ja) 2019-05-09
GB2574779A (en) 2019-12-18
US11392952B2 (en) 2022-07-19
GB201914077D0 (en) 2019-11-13

Similar Documents

Publication Publication Date Title
CN102713861B (zh) 操作管理装置、操作管理方法以及程序存储介质
Angelos et al. Detection and identification of abnormalities in customer consumptions in power distribution systems
US20190188732A1 (en) System and method for ensuring credibility of items in a supply chain management
CN114676862B (zh) 一种数据中心的可视化运维管理方法及系统
CN114930301A (zh) 分布式系统中的故障预测
CN106886485A (zh) 系统容量分析预测方法及装置
CN112231174A (zh) 异常告警方法、装置、设备及存储介质
CN108198408B (zh) 一种基于用电信息采集系统的自适应反窃电监控方法及系统
KR20160068620A (ko) 이상 패턴 분석 방법, 이를 수행하는 이상 패턴 분석 장치 및 이를 저장하는 기록매체
JP6491297B1 (ja) 不正検知システム、不正検知方法及び不正検知プログラム
CN112700131A (zh) 基于人工智能的ab测试方法、装置、计算机设备及介质
Min et al. Behavior language processing with graph based feature generation for fraud detection in online lending
CN109697155B (zh) It系统性能评估方法、装置、设备及可读存储介质
CN110942314A (zh) 异常账户监管方法及装置
CN111371581A (zh) 物联网卡业务异常检测的方法、装置、设备和介质
CN111639213B (zh) 一种异常行为的识别方法及装置
JP5978270B2 (ja) 口座評価システム、口座評価方法及び口座評価プログラム
CN111221833A (zh) 一种业务数据检测的方法、系统、存储介质及计算设备
CN115689740A (zh) 基于深度学习的交易异常检测方法及装置
CN103929322A (zh) 通信监视器和预测方法
CN115098326A (zh) 一种系统异常检测方法及装置、存储介质及电子设备
CN112862119A (zh) 提升自助设备维保效率的方法、装置、设备及介质
Joshi et al. Credit card fraud detection using machine learning techniques
JP2013206160A (ja) 管理装置、管理方法および管理プログラム
JP2011215941A (ja) 商品監視システム、商品監視方法及び商品監視プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171030

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20171129

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20171215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181015

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181023

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190228

R150 Certificate of patent or registration of utility model

Ref document number: 6491297

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250