JP5514890B1 - 連続的な不正アクセスを防止する方法 - Google Patents

連続的な不正アクセスを防止する方法 Download PDF

Info

Publication number
JP5514890B1
JP5514890B1 JP2012269597A JP2012269597A JP5514890B1 JP 5514890 B1 JP5514890 B1 JP 5514890B1 JP 2012269597 A JP2012269597 A JP 2012269597A JP 2012269597 A JP2012269597 A JP 2012269597A JP 5514890 B1 JP5514890 B1 JP 5514890B1
Authority
JP
Japan
Prior art keywords
value conversion
login
conversion process
specific value
server device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012269597A
Other languages
English (en)
Other versions
JP2014115833A (ja
Inventor
俊春 杉山
Original Assignee
株式会社 ディー・エヌ・エー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社 ディー・エヌ・エー filed Critical 株式会社 ディー・エヌ・エー
Priority to JP2012269597A priority Critical patent/JP5514890B1/ja
Priority to US14/080,576 priority patent/US8966604B2/en
Application granted granted Critical
Publication of JP5514890B1 publication Critical patent/JP5514890B1/ja
Publication of JP2014115833A publication Critical patent/JP2014115833A/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】 ユーザビリティを著しく損なうことなく不正なログインを抑制する。
【解決手段】 実施形態に係るサーバ装置は、情報を記憶する情報記憶部と、ログイン認証に用いる値変換ルールを設定する設定部と、端末装置からのログイン画面の表示要求に応答してログイン認証用の情報を生成する情報生成部と、端末装置にログイン画面を表示させるためのログイン画面データを送信する送信部と、端末装置からログイン情報を受信する受信部と、受信したログイン情報に基づいてログインの許否を判定する判定部と、サーバ装置に対する不正ログインの状況を監視する監視部と、不正ログインの状況に応じて新たな値変換ルールの候補を選択する選択部とを備える。
【選択図】 図3

Description

本発明は、サーバ装置、及び、ログインの管理方法に関し、詳しくは、複数のクライアント端末と通信可能に接続されたサーバ装置、及び、これを用いたログインの管理方法に関する。
従来、この種のサーバ装置としては、インターネットなどのネットワークを介して接続されたクライアント端末のユーザに対して電子商取引などの様々なサービスを提供するサーバ装置が知られており、ユーザは、ユーザIDやパスワードを用いてサーバ装置にログインすることにより様々なサービスを利用することができる。例えば、電子商取引においてはクレジットカード情報などのユーザにとって秘匿性の高い情報が取り扱われることが多いこともあり、悪意のある第三者による不正ログインを防止する必要性がある。こうした不正ログインは、不正ログイン専用のプログラムツールを用いて行われることが多く、その対応策として、同一のIPアドレスからの連続的なログイン試行を制限するIPアドレス制限や画面上に表示された画像に含まれる文字列などをユーザが視認して入力する画像認証、ワンタイムパスワード生成装置によって発行される一時的に有効なパスワードを用いてログインする方法などが提案されている(例えば、特許文献1参照)。
特開2012−27530号公報
しかしながら、IPアドレス制限は、ボットネットなどを利用してIPアドレスにランダム性を持たせることによって回避される可能性があり、また、過剰に制限してしまうと通常のユーザによるログインまで制限してしまう恐れが生じる。また、前述した画像認証やワンタイムパスワード生成装置による認証を採用すると、画像に含まれる文字列を視認して入力する必要が生じたり、ワンタイムパスワード生成装置の携帯をユーザに強いることになり、ユーザビリティの低下に繋がってしまう。
本発明は、ユーザビリティを著しく損なうことなく不正なログインを抑制することを目的の一つとする。本発明の他の目的は、本明細書全体を参照することにより明らかとなる。
本発明の一実施形態に係るサーバ装置は、複数のクライアント端末と通信可能に接続されたサーバ装置であって、複数の値変換処理に関する情報を記憶する記憶手段と、前記複数の値変換処理に含まれる値変換処理を特定の値変換処理として設定する設定手段と、前記クライアント端末からの要求に応答して、前記特定の値変換処理の実行命令を前記クライアント端末に送信する送信手段と、前記クライアント端末から所定のパラメータ値に対する前記特定の値変換処理の処理結果を含むログイン要求を受信する受信手段と、当該受信した前記処理結果に少なくとも基づいて前記クライアント端末によるログインの許否を判定する判定手段と、所定の条件が成立したときに、前記記憶手段に記憶されている複数の値変換処理の中から新たな前記特定の値変換処理の候補を選択する選択手段と、を備える。
本発明の一実施形態に係る不正ログインの管理方法は、複数のクライアント端末と通信可能に接続され記憶手段を有するサーバ装置を用いた不正ログインの管理方法であって、(a)複数の値変換処理に関する情報を前記記憶手段に記憶し、前記複数の値変換処理に含まれる値変換処理を特定の値変換処理として設定し、(b)前記クライアント端末からの要求に応答して、前記特定の値変換処理の実行命令を前記クライアント端末に送信し、(c)前記クライアント端末から所定のパラメータ値に対する前記特定の値変換処理の処理結果を含むログイン要求を受信し、(d)当該受信した前記処理結果に少なくとも基づいて前記クライアント端末によるログインの許否を判定し、(e)所定の条件が成立したときに、前記記憶手段に記憶されている複数の値変換処理の中から新たな前記特定の値変換処理の候補を選択する。
本発明の様々な実施形態によって、ユーザビリティを著しく損なうことなく不正なログインを抑制することができる。
本発明の一実施形態に係るサーバ装置を含むシステムのネットワーク構成を概略的に示すブロック図。 一実施形態における端末装置のアーキテクチャを概略的に示すブロック図。 一実施形態に係るサーバ装置の機能を示すブロック図。 一実施形態における値変換ルール管理テーブルの一例を示す説明図。 一実施形態におけるトークン管理テーブルの具体例を示す説明図。 一実施形態におけるログイン処理を示すフロー図。 一実施形態におけるログイン画面データの一例を示す説明図。 一実施形態におけるログイン画面の一例を示す説明図。 一実施形態における値変換ルール選択処理を示すフロー図。
以下、適宜図面を参照し、本発明の様々な実施形態を説明する。なお、図面において共通する構成要素には同一の参照符号が付されている。
図1は、本発明の一実施形態としてのサーバ装置10−1、10−2(以下、「サーバ装置10」と総称することがある)を含む本発明の一実施形態としてのシステム100を概略的に示すブロック図である。図1に示すように、一実施形態におけるシステム100は、サーバ装置10−1、10−2を備え、インターネット等の通信網20を介して、通信機能を備える複数の端末装置30−1、30−2、・・・、30−N(以下、「端末装置30」と総称することがある)と通信可能に接続されている。
一実施形態におけるサーバ装置10は、図示のとおり、CPU11と、メインメモリ12と、ユーザI/F13と、通信I/F14と、外部メモリ15と、ディスクドライブ16とを含み、これらの各構成要素がバス17を介して互いに電気的に接続されている。CPU11は、外部メモリ15からオペレーティングシステムや様々なプログラムをメインメモリ12にロードし、ロードしたプログラムに含まれる命令を実行する。メインメモリ12は、CPU11が実行するプログラムを格納するために用いられ、例えば、DRAMによって構成される。
ユーザI/F13は、例えば、オペレータの入力を受け付けるキーボードやマウス等の情報入力装置と、CPU11の演算結果を出力する液晶ディスプレイ等の情報出力装置とを含む。通信I/F14は、ハードウェア、ファームウェア、又はTCP/IPドライバやPPPドライバ等の通信用ソフトウェア又はこれらの組み合わせとして実装され、通信網20を介して端末装置30と通信可能に構成される。
外部メモリ15は、例えば磁気ディスクドライブで構成され、様々なプログラムが記憶される。また、外部メモリ15には、各種データも記憶され得る。外部メモリ15に記憶され得る各種データは、サーバ装置10と通信可能に接続される、サーバ装置10とは物理的に別体のデータベースサーバに格納されてもよい。ディスクドライブ16は、CD−ROM、DVD−ROM、DVD−R等の各種の記憶メディアに格納されたデータを読み込み、又は、これらの記憶メディアにデータを書き込む。例えば、記憶メディアに格納されたアプリケーションやデータは、ディスクドライブ16により読み込まれ、外部メモリ15にインストールされる。
一実施形態において、サーバ装置10は、端末装置30とHTTPによる通信を行うウェブサーバとして機能し、階層構造の複数のウェブページから成るウェブサイトを管理すると共に端末装置30に対して様々なサービスを提供する。端末装置30は、ウェブページを表示するためのHTMLデータをサーバ装置10から取得し、取得したHTMLデータを解析して、当該ウェブページを端末装置30のユーザに提示することができる。外部メモリ15には、このウェブページを表示するためのHTMLデータも記憶される。HTMLデータは、HTML等のマークアップ言語で記述されたHTML文書から成り、このHTML文書には、様々な画像が関連付けられる。また、HTML文書には、ActionScriptやJavaScript(登録商標)等のスクリプト言語等で記述されたプログラムが埋め込まれ得る。
外部メモリ15には、端末装置30においてブラウザソフトウェア以外の実行環境上で実行されるアプリケーションも格納され得る。このアプリケーションには、プログラムや当該プログラム実行時に参照される画像データ等の各種データを含めることができる。プログラムは、例えば、Objective−C、Java(登録商標)等のオブジェクト指向プログラミング言語で作成される。作成されたプログラムは、各種データとともに、アプリケーションソフトウェアとして外部メモリ15に記憶される。外部メモリ15に記憶されたアプリケーションソフトウェアは、配信要求に応じて、端末装置30に配信される。サーバ装置10から配信されたアプリケーションソフトウェアは、端末装置30において、CPU31の制御に従って通信I/F34を介して受信され、受信されたプログラムが外部メモリ35に送信され記憶される。このアプリケーションソフトウェアは、プレイヤによる端末装置30の操作に応じて起動され、端末装置30に実装されたNgCore(商標)やAndroid(商標)等のプラットフォーム上で実行される。
このように、サーバ装置10は、サービスを提供するウェブサイトを管理し、当該ウェブサイトを構成するウェブページを端末装置30からの要求に応じて配信する。また、サーバ装置10は、このようなブラウザを介したサービスとは代替的に、又は、ブラウザを介したサービスに加えて、端末装置30で実行されるアプリケーションとの通信に基づいてサービスを提供することができる。サーバ装置10は、いずれの態様でサービスを提供するにしても、各ユーザを識別する識別情報ごとにサービスの提供に必要なデータを記憶することができる。サーバ装置10により提供されるサービスとしては、オンラインゲーム、ソーシャルネットワーキングサービス(SNS)、電子商取引、または、音楽、電子書籍、若しくは、動画などのデジタルコンテンツの配信などを挙げることができるが、これらには限られない。
端末装置30は、一実施形態において、サーバ装置10から取得したウェブページをウェブブラウザ上で表示することができる任意の情報処理装置であり、例えば、携帯電話機、スマートフォン、ゲーム用コンソール、パーソナルコンピュータ、タッチパッド、及び電子書籍リーダーを含むがこれらには限られない。また、端末装置30は、アプリケーションを実行するためのアプリケーション実行環境を実装した任意の情報処理装置でもあり得る。
端末装置30のアーキテクチャについて図2を参照して説明する。図2は、端末装置30のアーキテクチャを概念的に示すブロック図である。端末装置30は、図示のとおり、CPU31と、メインメモリ32と、ユーザI/F33と、通信I/F34と、外部メモリ35と、を含み、これらの各構成要素がバス36を介して互いに電気的に接続されている。
CPU31は、外部メモリ35からオペレーティングシステム等の様々なプログラムをメインメモリ32にロードし、ロードしたプログラムに含まれる命令を実行する。メインメモリ32は、CPU31が実行するプログラムを格納するために用いられ、例えば、DRAMによって構成される。
ユーザI/F33は、例えば、ユーザの入力を受け付けるタッチパネル、キーボード、ボタンやマウス等の情報入力装置と、CPU31の演算結果を出力する液晶ディスプレイ等の情報出力装置とを含む。通信I/F34は、ハードウェア、ファームウェア、又は、TCP/IPドライバやPPPドライバ等の通信用ソフトウェア又はこれらの組み合わせとして実装され、通信網20を介してサーバ装置10と通信可能に構成される。
外部メモリ35は、例えば磁気ディスクドライブやフラッシュメモリ等により構成され、オペレーティングシステム等の様々なプログラムを記憶する。また、外部メモリ35は、サーバ装置10から通信I/F34を介してアプリケーションを受信した場合には、この受信したアプリケーションを記憶する。
このようなアーキテクチャを有する端末装置30は、例えば、HTML形式のファイル(HTMLデータ)を解釈して画面表示するためのブラウザソフトウェアを備えており、このブラウザソフトウェアの機能によりサーバ装置10から取得したHTMLデータを解釈して、受信したHTMLデータに対応するウェブページを表示することができる。また、端末装置30は、ブラウザソフトウェアに組み込まれるプラグインソフト(例えば、アドビシステムズ社から提供されているFlash Player)を備えており、HTMLデータに埋め込まれたSWF形式のファイルをサーバ装置10から取得し、当該SWF形式のファイルをブラウザソフトウェア及びプラグインソフトを用いて実行することができる。
次に、図1に示した各構成要素によって実現されるサーバ装置10の機能について説明する。図3は、本発明の一実施形態に係るサーバ装置10の機能を示すブロック図である。この実施形態に係るサーバ装置10は、図に示すように、情報を記憶する情報記憶部51と、ログイン認証に用いる値変換ルールを設定する設定部52と、端末装置30からのログイン画面の表示要求に応答してログイン認証用の情報を生成する情報生成部53と、端末装置30にログイン画面を表示させるためのログイン画面データを送信する送信部54と、端末装置30からログイン情報を受信する受信部55と、受信したログイン情報に基づいてログインの許否を判定する判定部56と、サーバ装置10に対する不正ログインの状況を監視する監視部57と、不正ログインの状況に応じて新たな値変換ルールの候補を選択する選択部58とを備える。これらの機能は、CPU11やメインメモリ12、外部メモリ15に記憶されている各種プログラムやテーブルなどが協働して動作することにより実現される。なお、上述した機能は、一実施形態に係るサーバ装置10におけるログインの管理に関連する機能であり、これらの機能の他に、サーバ装置10によって提供されるサービスを実現するための各種の機能を有する。
情報記憶部51は、ログイン認証に用いる複数の値変換ルールに関する情報を管理する値変換ルール管理テーブル51aと、ログイン認証用の情報としてのトークンを管理するトークン管理テーブル51bとを備える。値変換ルール管理テーブル51aの一例を図4に示す。値変換ルール管理テーブル51aは、図示するように、値変換ルールを識別する値変換ルールIDに対応付けて、この値変換ルールが属するグループを識別するグループIDと、この値変換ルールの名称である値変換ルール名等の情報を記憶する。トークン管理テーブル51bの具体例を図5に示す。トークン管理テーブル51bは、図示するように、端末装置30を識別する端末IDに対応付けて、情報生成部53によって生成したトークンを記憶する。図5に例示するように、端末IDとトークンは、共に、複数の英数字がランダムに配置された文字列として構成される。
次に、こうして構成された本発明の一実施形態としてのサーバ装置10の動作について説明する。まず、端末装置30によるログインに関する動作について説明し、次に、不正ログインの状況に応じた値変換ルールの選択に関する動作について説明する。図6は、サーバ装置10により実行されるログイン処理の一例を示すフロー図である。このログイン処理は、端末装置30からサーバ装置10のログイン画面の表示要求があったときに実行される。具体的には、一実施形態においては、端末装置30のWebブラウザやアプリケーションからサーバ装置10が提供するサービスのログイン画面のURLを指定したHTTPリクエストを受信したときに実行される。ログイン処理では、まず、ログイン画面の表示要求の送信元の端末装置30を識別する端末IDとログイン認証に用いる認証用情報としてのトークンを発行しトークン管理テーブル51bに記憶する(ステップS102)。端末IDとトークンは、前述したように、複数の英数字がランダムに配置された文字列として構成されており、こうしたランダムな文字列は、乱数生成アルゴリズムを実装したCGI(Common Gateway Interface)などを用いて生成することができる。端末IDは、一実施形態においては、HTTPにおけるクライアントとしての端末装置30を識別する情報であり、サーバ装置10と端末装置30とのHTTPによる通信の際にクッキーとしてやり取りされる情報である。また、一実施形態においては、端末IDとトークンとは別々のアルゴリズムを用いて生成することにより、相互に関連性を持たせないようにした。これは、相互に関連性を持たせると、一方の情報が悪意のある第三者に知られた場合に、もう一方の情報についても知られてしまう可能性が高くなることに基づく。
端末IDとトークンを発行すると、次に、発行したトークンの値を変換する(ステップS104)。一実施形態においては、発行したトークンの値を、設定部52によって設定されている値変換ルール(特定の値変換ルール)に基づいて変換した場合に元のトークンとなるように変換する。具体的に説明すると、例えば、設定されている値変換ルールが「文字列の順序を逆順にする」というルールである場合、順序を逆順にすると発行したトークンの値となるように、発行したトークンの値の順序を逆順にする(例えば、発行したトークンの値が「ABC」の場合、この値の順序を逆順にした「CBA」の順序をさらに逆順にすると元の発行したトークンの値「ABC」となる)。他の例で説明すると、例えば、設定されている値変換ルールが「文字列の順序を右方向に1つシフトする」というルールである場合、順序を右方向に1つシフトすると発行したトークンの値となるように、発行したトークンの値の順序を左方向に1つシフトする(例えば、発行したトークンの値が「ABC」の場合、この値の順序を左方向に1つスライドした「BCA」の順序を右方向に1つスライドすると元の発行したトークンの値「ABC」となる)。このように、設定部52によって設定されている値変換ルールに基づいて変換した場合に元のトークンとなるように(言い換えると、設定されている値変換ルールとは逆方向の変換ルールで)トークンの値を変換する。こうした文字列の変換は、文字列操作用の関数などを実装したCGIなどを用いて行なうことができる。なお、上述した値変換ルールは例示であり、これら以外の値変換ルールであっても構わないのは勿論である。
続いて、値を変換したトークン及び設定されている値変換ルールに基づく処理の実行命令を埋め込んだログイン画面データを端末装置30に送信する(ステップS106)。図7は、サーバ装置10から端末装置30に送信されるログイン画面データ60の一部の一例であり、図8は、ログイン画面データ60を読み込んだ端末装置30のWebブラウザなどによって表示されるログイン画面70の一例である。この例のログイン画面データ60は、図示するように、HTMLデータとして構成され、JavaScript(登録商標)により記述されたスクリプト・セクション62と、ユーザによる入力項目などを定義するフォーム・セクション64とを含む。値を変換したトークンは、スクリプト・セクション62の「var token = “cdrQ8daWr349fP”」と記述されている部分に埋め込まれている。また、スクリプト・セクション62の「form.token.value = token.split(“”).reverse().join(“”);」と記述されている部分は、設定されている値変換ルールに基づく処理の実行命令を定義しており、図7の例では、トークンの文字列の順序を逆順にする処理の実行命令を定義している。即ち、ステップS104で変換されたトークンは、このスクリプト・セクション62に定義されている処理が端末装置30において実行されることによって、ステップS102で発行された元のトークンの値に戻されることになる。フォーム・セクション64は、図7に例示するログイン画面70における入力項目であるユーザID入力欄71およびパスワード入力欄72やログインボタン73などを定義し、<input type=“hidden” name =“token” value=“”/>と記述されている部分では、トークンをログイン画面70には表示されない隠し項目として定義している。隠し項目として定義されているトークンは、ログイン画面70には表示されないが、ユーザID入力欄71やパスワード入力欄72に入力される値と共に、サーバ装置10に送信される情報である。
こうしたログイン画面データを端末装置30が受信すると、端末装置30のWebブラウザなどによってログイン画面データが解析されログイン画面70が表示される。端末装置30のユーザがログイン画面70のユーザID入力欄71とパスワード入力欄72にユーザIDとパスワードをそれぞれ入力し、ログインボタン73を押下すると、ログイン画面データ60のスクリプト・セクション62に定義されているトークンを変換する処理が実行され、入力されたユーザIDとパスワードと共に、この変換されたトークンがサーバ装置10に送信される。
端末装置30がユーザID、パスワード、および、変換されたトークンを送信すると、サーバ装置10はこれらの情報を受信し(ステップS108)、まず、受信した変換されたトークンの値に基づく認証を行なう(ステップS110)。具体的には、端末装置30の端末IDに対応するトークンをトークン管理テーブル51bから取得して端末装置30から受信した変換されたトークンと比較し、これらのトークンの値が一致する場合には認証OKと判断し、これらのトークンの値が異なる場合には認証NGと判断する。前述したように、トークン管理テーブル51bで管理されているトークンは、ステップS102で発行された元のトークンであり、端末装置30が送信するトークンは、設定されている値変換ルールに基づいて変換した場合に元のトークンとなるように一旦ステップS104で変換され、その後、ログイン画面データ60のスクリプト・セクション62で定義された実行命令に応じて端末装置30によって変換されたものである。従って、上述した手順通りの動作をしていれば、トークン管理テーブル51bで管理されているトークンの値と端末装置30から受信するトークンの値とは一致し、認証OKと判断される。
ここで、悪意のある第三者がサーバ装置10への不正ログインを試みる場合について考える。不正ログイン専用のプログラムツールは、一般に、一実施形態におけるサーバ装置10のログイン画面70のようなログイン画面のHTMLデータに基づいて、ユーザIDやパスワードなどのログインに必要なログイン情報のサーバ装置への送信方法を解析することにより、ユーザの操作を完全に再現することなくログイン情報を送信することを可能とする(例えば、ログイン画面を介することなくログイン情報を送信することができる)。これにより、例えば、一組のユーザIDとパスワードを用いて多数のサイトにログインを試行したり、あるいは、1つのサイトに対して膨大な数のユーザIDとパスワードとの組み合わせを用いたログインを試行したりすることができるようになり、その結果、ユーザIDとパスワードとが正しい組み合わせとなったときに不正なログインを可能としてしまう。ログイン情報の送信方法の解析は、HTMLデータを構成するタグなどの文字列の正規表現を用いた検索などを実行することによって行なわれ、例えば、ログイン画面データ60の場合には、フォーム・セクション62の<input type=“hidden” name =“token” value=“”/>との記載に基づき、隠し項目「token」が必要なログイン情報の一つとして含まれると解析され、スクリプト・セクション62の「var token = “cdrQ8daWr349fP”」との記載に基づき、隠し項目「token」の値が「cdrQ8daWr349fP」であると解析される。しかし、一実施形態におけるサーバ装置10では、ログイン画面データ60に埋め込まれているトークンは、元のトークンの文字列を変換したものであり、そのままサーバ装置10へ送信すると、トークン管理テーブル51bで管理されているトークンの値と一致しない(上述した例では、プログラムツールから送信されるトークンの値は「cdrQ8daWr349fP」であり、トークン管理テーブル51bで管理されているトークンの値は「Pf943rWad8Qrdc」である)。この場合、認証NGと判断され、ログイン処理は強制終了される(ステップS116)。
トークンの値に基づく認証によって認証OKと判断された場合には、次に、ユーザIDとパスワードに基づく認証が行なわれる(ステップS112)。ユーザIDとパスワードに基づく認証は、例えば、サーバ装置10が提供するサービスのユーザがユーザ登録する際などに入力したユーザIDとパスワードとの組み合わせを情報記憶部51が有する図示しないテーブルなどに記憶しておき、この記憶したユーザIDとパスワードとの組み合わせと照合することによって行なうことができる。こうしたユーザIDとパスワードに基づく認証は、一般的な処理であるからこれ以上の詳細な説明は省略する。ユーザIDとパスワードに基づく認証の結果、認証NGと判断された場合には、ステップS106に戻り、再度ログイン画面データ60を送信し、認証OKと判断された場合には、ログイン後の画面(例えば、提供するサービスのトップ画面など)の画面データを端末装置30に送信し(ステップS114)、ログイン処理を終了する。
以上、サーバ装置10における端末装置30によるログインに関する動作について説明した。次に、サーバ装置10における不正ログインの状況に応じた値変換ルールの選択に関する動作について説明する。図9は、サーバ装置10によって実行される値変換ルール選択処理の一例を示すフロー図である。この値変換ルール選択処理は、監視部57によって、不正ログインを検出したときに実行される。監視部57による不正ログインの検出は、サーバ装置10に対する様々なアクセスを監視することにより行われ、例えば、前述したログイン処理においてトークンに基づいて認証NGとなった回数、前述したログイン処理においてユーザIDとパスワードに基づいて認証NGとなった回数、アクセス権限のないファイルへのアクセス試行回数、HTTPリクエストに対するエラー回数等を監視することにより行われ、これらの不正なアクセスを示すパラメータが予め定めた閾値を超えたときに、監視部57が不正ログインとして検出する。また、こうしたパラメータを通信の種類や通信の相手毎に管理することもできる。こうした不正ログインの検出処理は、当業者にとって一般的な処理であるから、これ以上の詳細な説明は省略する。
値変換ルール選択処理では、まず、監視部58によって検出された不正ログインの状況を取得する(ステップS202)。一実施形態では、不正ログインの状況は、レベル1とレベル2の2段階のレベルとして検出される。例えば、トークンに基づいて認証NGとなった単位時間当たりの回数が閾値を超えたときにレベル1として検出され、ユーザIDとパスワードに基づいて認証NGとなった単位時間当たりの回数が閾値を超えたときにレベル2として検出される。また、例えば、HTTPリクエストに対する単位時間当たりのエラー回数が第1の閾値を超えたときにレベル1として検出され、第1の閾値よりも大きい第2の閾値を超えたときにレベル2として検出される。このように、不正なアクセスを示すパラメータの種類に応じて不正ログインの状況を示すレベルを設定したり、不正なアクセスを示すパラメータの値の大きさに応じて不正ログインの状況を示すレベルを設定することができる。なお、こうしたレベルの設定方法は、ここに例示したものに限られないのは勿論である。
不正ログインの状況を取得すると、次に、不正ログインの状況のレベルに応じて新たな値変換ルールを選択する(ステップS204−S208)。不正ログインの状況がレベル1である場合には、現在設定されている値変換ルールが属するグループと同一のグループに属する値変換ルールの中から新たに設定する値変換ルールの候補を選択する(ステップS206)。前述したように、情報記憶部51の値変換ルール管理テーブル51aにおいて各値変換ルールが属するグループが管理されており、このグループに基づいて各値変換ルールのグループが判断される。一実施形態においては、現在設定されている値変換ルールが属するグループと同一のグループに属する複数の値変換ルールの中からランダムに1つの値変換ルールを選択する。こうしたランダムな選択は、乱数値等を用いて行うことができる。なお、同一のグループに属する複数の値変換ルールの中から1つの値変換ルールを選択する方法はその他の方法であってもよく、例えば、同一グループ内の複数の値変換ルールに予め順序を設定しておき、この設定されている順序に従って値変換ルールを選択するようにしてもよい。この場合、値変換ルール管理テーブル51aにおいて、値変換ルールの順序を管理すればよい。
一方、不正ログインの状況がレベル2である場合には、現在設定されている値変換ルールが属するグループとは異なるグループに属する値変換ルールの中から新たに設定する値変換ルールの候補を選択する(ステップS208)。一実施形態においては、現在設定されている値変換ルールが属するグループとは異なるグループに属する複数の値変換ルールの中からランダムに1つの値変換ルールを選択する。なお、前述した同一のグループに属する値変換ルールを選択する場合と同様に、異なるグループに属する値変換ルールの選択も様々な方法で行うことができ、例えば、グループに対して予め順序を設定しておき、この設定されている順序に従って次のグループを特定し、この特定したグループに属する複数の値変換処理の中から1つの値変換ルールを選択するようにしてもよい。
こうして新たに設定する値変換ルールの候補を選択すると、選択した値変換ルールを設定部52によって新たな値変換ルールとして設定し(ステップS210)、この値変換ルール選択処理を終了する。設定部52による値変換ルールの設定は、例えば、値変換ルール管理テーブル51aにおいて現在設定されている値変換ルールを識別可能な情報を管理することによって行うことができる。こうして設定部52によって新たな値変換ルールが設定されると、前述したログイン処理におけるトークンの変換処理(図6のステップS104)やログイン画面データの送信処理(図6のステップS106)が新たな値変換ルールに対応する処理となる。即ち、図6のステップS104においては新たに設定された値変換ルールに基づいて変換した場合に元のトークンとなるような値変換処理がなされ、図6のステップS106においては新たに設定された値変換ルールに基づく処理の実行命令を埋め込んだログイン画面データが端末装置30に送信される。こうした値変換ルールの切り替えに応じた処理の変更は、予め各値変換ルールに対応するプログラムを準備しておき、新たに設定された値変換ルールに対応するプログラムが実行されるようにする処理を実装したCGIなどを用いて行なうことができる。
このように、一実施形態におけるサーバ装置10では、値変換ルール選択処理によって、ログイン認証に用いられる値変換ルールが、不正ログインの状況に応じて同一グループ内の値変換ルールへの切替が行われたり、異なるグループに属する値変換ルールへの切替(即ち、グループの切替)が行われたりする。例えば、同一のグループに属する複数の値変換ルールを切り替えて用いるうちに、これらの値変換ルールが解析されてしまった場合、グループを切り替えて他の値変換ルールが選択されるようになり、不正なログインをより困難とすることができる。
また、システム100は、上述したログイン処理や値変換ルール選択処理を、サーバ装置10−1とサーバ装置10−2の各々において独立して実行するから、サーバ装置10−1とサーバ装置10−2とでは、設定されている値変換ルールや選択される値変換ルール(値変換ルール管理テーブル51aで管理する値変換ルールの内容)を異なるようにすることができ、一方のログイン画面におけるログイン情報の送信方法が解析されてしまった場合に、他方のログイン画面に対する不正ログインが可能となるのを防止することができる。例えば、同一の事業者が、サーバ装置10−1とサーバ装置10−2とを異なるサービスを提供するサーバとして運用する場合、一方のサービスに対する不正ログインが可能となっても、他方のサービスに対する不正ログインが可能となるのを防止することができる。
以上説明した本発明の一実施形態におけるサーバ装置10によれば、端末装置30からサーバ装置10のログイン画面の表示要求があったときに、この端末装置30に対してトークンを発行すると共に、設定されている値変換ルールに基づいて変換した場合に元のトークンとなるように発行したトークンを変換し、この変換したトークンと設定されている値変換ルールに基づく処理の実行命令とを含むログイン画面データを端末装置30に送信し、端末装置30からログイン情報の一部として変換されたトークンを受信すると、このトークンに基づく認証を行なう。したがって、ログイン画面データに含まれる文字列を検索して解析する一般的な不正ログイン用のプログラムツールなどによる不正ログインを抑制することができる。さらに、端末装置30のユーザはこうしたログイン判定の仕組みを意識する必要がないから、ユーザビリティを著しく損なうことがない。また、不正ログインの状況に応じて値変換ルールを切り替えるから、不正ログインをより一層抑制することができる。
一実施形態のサーバ装置10では、端末装置30に対してトークンを発行すると共に、設定されている値変換ルールに基づいて変換した場合に元のトークンとなるように変換したトークンをログイン画面データに埋め込んだが、発行したトークンを変換することなく、そのままログイン画面データに埋め込むものとしても良い。この場合、端末装置30からは元のトークンが設定されている値変換ルールに基づいて変換された値が送信されるから、ステップS110のトークンの値に基づく認証の際には、受信したトークンの値と、発行したトークンを設定されている値変換ルールに基づいて変換した値とを比較すれば良い。この態様であっても、不正ログイン用のプログラムツール等からは発行したトークンがそのまま送信されるから、トークンに基づく認証で検出することができ、不正ログインを抑制することができる。
一実施形態のサーバ装置10では、変換したトークンと設定されている値変換ルールに基づく処理の実行命令とを含むログイン画面データを端末装置30に送信するものとしたが、設定されている値変換ルールに基づく処理の実行命令のみを送信してもよい。この場合、トークンに代えて、端末装置30側のパラメータ(例えば、ログイン画面に入力されるユーザID等)を値変換ルールに基づく処理で変換させて変換前後のパラメータを受信し、変換後のパラメータ値と、変換前のパラメータ値を設定されている値変換ルールに基づく処理で変換した値とを比較することによりログインの許否を判定すればよい。
一実施形態のサーバ装置10では、トークンを複数の英数字がランダムに配置された文字列として構成したが、文字列でなくても構わない。例えば、トークンを数値とする場合には、値変換処理としては、文字列操作ではなく適当な演算処理などを適用することもできる。
一実施形態のサーバ装置10では、図9に例示した値変換ルール選択処理において、選択した値変換ルールを設定部52によって新たな値変換ルールとして設定したが、さらに、選択部58によってサーバ装置10のユーザI/F13としての情報出力装置に選択した値変換ルールを表示させるようにしても良い。こうすれば、サーバ装置10の管理者に選択した新たな値変換ルールの候補を通知することができる。また、選択した値変換ルールの設定部52による設定を行わず、情報出力装置への表示のみを行うものとしても差し支えない。この場合、選択した値変換ルールの設定部52による設定は、管理者等によるユーザI/F13を介した入力操作に応答して行うようにすれば良い。
一実施形態のサーバ装置10では、値変換ルール管理テーブル51aにおいて、値変換ルールの属するグループを管理するものとしたが、必ずしも値変換ルールをグループで管理する必要はない。この場合、値変換ルール管理テーブル51aで管理されている値変換ルールの中からランダム又は予め設定されている順序で値変換ルールの切替を行ってもよいし、その他の方法(例えば、値変換ルールと不正アクセスの状況(レベル)とを対応付けておき、検出された不正アクセスの状況(レベル)に対応する値変換ルールの中から選択する等)で値変換ルールの切替を行ってもよいのは勿論である。
一実施形態のサーバ装置10では、監視部57によって不正ログインを検出したときに新たな値変換ルールの候補を選択するものとしたが、新たな値変換ルールの候補の選択を行う契機はこれに限定されない。例えば、ログイン処理においてトークンに基づいて認証NGが発生する都度、新たな値変換ルールの候補を選択するものとしてもよいし、定期的に(例えば、1週間毎、1ヶ月毎等)新たな値変換ルールの候補を選択するものとしてもよい。また、上述したログイン処理を実行する都度(例えば、ステップS106にてログイン画面データを送信する都度)、新たな値変換ルールの候補を選択する(即ち、端末装置30からのログインの都度に値変換ルールを切り替える)ものとしても構わない。この場合、ログイン処理を実行する都度、同一のグループに属する値変換ルールの中から新たに設定する値変換ルールの候補を選択し、不正ログインを検出したときに、異なるグループに属する値変換ルールの中から新たに設定する値変換ルールの候補を選択する(グループを切り替える)ようにすることもできる。
一実施形態のシステム100では、サーバ装置10−1とサーバ装置10−2とを備えるものとしたが、サーバ装置10の数は2つより多くても構わないのは勿論である。また、サーバ装置10が備える監視部57を図示しない他のサーバ装置やファイヤウォール、プロキシサーバ等に備える等、各種のシステム構成を採用することができるのは勿論である。
本明細書で説明された処理及び手順は、実施形態中で明示的に説明されたもの以外にも、ソフトウェア、ハードウェアまたはこれらの任意の組み合わせによって実現される。より具体的には、本明細書で説明される処理及び手順は、集積回路、揮発性メモリ、不揮発性メモリ、磁気ディスク、光ストレージ等の媒体に、当該処理に相当するロジックを実装することによって実現される。また、本明細書で説明される処理及び手順は、それらの処理・手順をコンピュータプログラムとして実装し、各種のコンピュータに実行させることが可能である。
本明細書中で説明される処理及び手順が単一の装置、ソフトウェア、コンポーネント、モジュールによって実行される旨が説明されたとしても、そのような処理または手順は複数の装置、複数のソフトウェア、複数のコンポーネント、及び/又は複数のモジュールによって実行され得る。また、本明細書中で説明されるデータ、テーブル、又はデータベースが単一のメモリに格納される旨説明されたとしても、そのようなデータ、テーブル、又はデータベースは、単一の装置に備えられた複数のメモリまたは複数の装置に分散して配置された複数のメモリに分散して格納され得る。さらに、本明細書において説明されるソフトウェアおよびハードウェアの要素は、それらをより少ない構成要素に統合して、またはより多い構成要素に分解することによって実現することも可能である。
本明細書において、発明の構成要素が単数もしくは複数のいずれか一方として説明された場合、又は、単数もしくは複数のいずれとも限定せずに説明された場合であっても、文脈上別に解すべき場合を除き、当該構成要素は単数又は複数のいずれであってもよい。
10 サーバ装置
20 通信網
30 端末装置
51 情報記憶部
52 設定部
53 情報生成部
54 送信部
55 受信部
56 判定部
57 監視部
58 選択部
60 ログイン画面データ
70 ログイン画面
100 システム

Claims (8)

  1. 複数のクライアント端末と通信可能に接続されたサーバ装置であって、
    複数の値変換処理に関する情報を記憶する記憶手段と、
    前記複数の値変換処理に含まれる値変換処理を特定の値変換処理として設定する設定手段と、
    前記クライアント端末からの要求に応答して、前記特定の値変換処理の実行命令を前記クライアント端末に送信する送信手段と、
    前記クライアント端末から所定のパラメータ値に対する前記特定の値変換処理の処理結果を含むログイン要求を受信する受信手段と、
    当該受信した前記処理結果に少なくとも基づいて前記クライアント端末によるログインの許否を判定する判定手段と、
    所定の条件が成立したときに、前記記憶手段に記憶されている複数の値変換処理の中から新たな前記特定の値変換処理の候補を選択する選択手段と、
    不正ログインの状況を監視する監視手段と、
    を備え
    前記記憶手段は、前記複数の値変換処理に関する情報の1つとして、当該値変換処理が属するグループを記憶する手段であり、
    前記選択手段は、前記不正ログインの状況が第1の状況である場合には、現在の前記特定の値変換処理が属するグループと同一のグループに属する値変換処理の中から新たな前記特定の値変換処理の候補を選択し、前記不正ログインの状況が第2の状況である場合には、現在の前記特定の値変換処理が属するグループとは異なるグループに属する値変換処理の中から新たな前記特定の値変換処理の候補を選択する手段である
    サーバ装置。
  2. 前記選択手段は、前記選択した新たな前記特定の値変換処理の候補に関する情報を管理者用表示装置に表示させる手段である請求項1記載のサーバ装置。
  3. 前記設定手段は、前記選択手段によって選択された新たな前記特定の値変換処理の候補を前記特定の値変換処理として設定する手段である請求項1又は2記載のサーバ装置。
  4. 前記選択手段は、前記所定の条件として、前記送信手段によって前記特定の値変換処理の実行命令を送信する都度に、新たな前記特定の値変換処理の候補を選択する手段である請求項1ないし3いずれか記載のサーバ装置。
  5. 前記送信手段は、ログインページを前記クライアント端末に表示させるための情報であって、前記所定のパラメータの値と、前記特定の値変換処理の実行命令とを含むログインページ情報を当該クライアント端末に送信する手段である請求項1ないしいずれか記載のサーバ装置。
  6. 請求項記載のサーバ装置であって、
    前記クライアント端末からの要求に応答して、当該クライアント端末に対する認証用情報を生成し、当該認証用情報に基づいて、前記特定の値変換処理によって当該認証用情報となるような変換前認証用情報を生成する情報生成手段を備え、
    前記送信手段は、前記変換前認証用情報を前記所定のパラメータの値として前記クライアント端末に送信する手段であり、
    前記判定手段は、前記受信した前記処理結果と前記認証用情報との比較に少なくとも基づいて、前記クライアント端末によるログインの許否を判定する手段である、
    サーバ装置。
  7. 請求項5又は6記載のサーバ装置であって、
    前記所定のパラメータは、文字列を値とするパラメータであり、
    前記値変換処理は、文字列を操作する処理である、
    サーバ装置。
  8. 複数のクライアント端末と通信可能に接続され記憶手段を有するサーバ装置を用いたログインの管理方法であって、
    (a)複数の値変換処理に関する情報を前記記憶手段に記憶し、
    (b)前記複数の値変換処理に含まれる値変換処理を特定の値変換処理として設定し、
    (c)前記クライアント端末からの要求に応答して、前記特定の値変換処理の実行命令を前記クライアント端末に送信し、
    (d)前記クライアント端末から所定のパラメータ値に対する前記特定の値変換処理の処理結果を含むログイン要求を受信し、
    (e)当該受信した前記処理結果に少なくとも基づいて前記クライアント端末によるログインの許否を判定し、
    (f)所定の条件が成立したときに、前記記憶手段に記憶されている複数の値変換処理の中から新たな前記特定の値変換処理の候補を選択し、
    (g)不正ログインの状況を監視し、
    前記記憶するステップ(a)は、前記複数の値変換処理に関する情報の1つとして、当該値変換処理が属するグループを記憶し
    前記選択するステップ(f)は、前記不正ログインの状況が第1の状況である場合には、現在の前記特定の値変換処理が属するグループと同一のグループに属する値変換処理の中から新たな前記特定の値変換処理の候補を選択し、前記不正ログインの状況が第2の状況である場合には、現在の前記特定の値変換処理が属するグループとは異なるグループに属する値変換処理の中から新たな前記特定の値変換処理の候補を選択する、
    ログインの管理方法。
JP2012269597A 2012-12-10 2012-12-10 連続的な不正アクセスを防止する方法 Expired - Fee Related JP5514890B1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012269597A JP5514890B1 (ja) 2012-12-10 2012-12-10 連続的な不正アクセスを防止する方法
US14/080,576 US8966604B2 (en) 2012-12-10 2013-11-14 Method of preventing sequential unauthorized logins

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012269597A JP5514890B1 (ja) 2012-12-10 2012-12-10 連続的な不正アクセスを防止する方法

Publications (2)

Publication Number Publication Date
JP5514890B1 true JP5514890B1 (ja) 2014-06-04
JP2014115833A JP2014115833A (ja) 2014-06-26

Family

ID=50882553

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012269597A Expired - Fee Related JP5514890B1 (ja) 2012-12-10 2012-12-10 連続的な不正アクセスを防止する方法

Country Status (2)

Country Link
US (1) US8966604B2 (ja)
JP (1) JP5514890B1 (ja)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10015153B1 (en) * 2013-12-23 2018-07-03 EMC IP Holding Company LLC Security using velocity metrics identifying authentication performance for a set of devices
EP3435266A4 (en) * 2016-03-23 2019-01-30 Nec Corporation INFORMATION PROCESSING SYSTEM, INFORMATION PROCESSING DEVICE, AUTHENTICATION METHOD AND RECORDING MEDIUM
JP2018067854A (ja) 2016-10-21 2018-04-26 株式会社プラットフィールド 情報通信システム
EP3800913A1 (en) * 2017-02-22 2021-04-07 Telefonaktiebolaget LM Ericsson (publ) Authentication of a client
KR102573482B1 (ko) * 2017-07-26 2023-08-31 프린스톤 아이덴티티, 인크. 생체 보안 시스템 및 방법
US11258783B2 (en) 2019-06-10 2022-02-22 Microsoft Technology Licensing, Llc Authentication with random noise symbols and pattern recognition
US11736472B2 (en) 2019-06-10 2023-08-22 Microsoft Technology Licensing, Llc Authentication with well-distributed random noise symbols
US11240227B2 (en) 2019-06-10 2022-02-01 Microsoft Technology Licensing, Llc Partial pattern recognition in a stream of symbols
US11496457B2 (en) 2019-06-10 2022-11-08 Microsoft Technology Licensing, Llc Partial pattern recognition in a stream of symbols
US11178135B2 (en) * 2019-06-10 2021-11-16 Microsoft Technology Licensing, Llc Partial pattern recognition in a stream of symbols
US11514149B2 (en) 2019-06-10 2022-11-29 Microsoft Technology Licensing, Llc Pattern matching for authentication with random noise symbols and pattern recognition
US11394551B2 (en) 2019-07-17 2022-07-19 Microsoft Technology Licensing, Llc Secure authentication using puncturing
US11133962B2 (en) 2019-08-03 2021-09-28 Microsoft Technology Licensing, Llc Device synchronization with noise symbols and pattern recognition
US11477216B2 (en) * 2020-05-04 2022-10-18 Microsoft Technology Licensing, Llc Detection of abnormal entities based on syntactic grouping of strings
KR102654652B1 (ko) * 2023-09-08 2024-04-04 헤드리스 주식회사 스마트 qr코드 관리시스템

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001326632A (ja) * 2000-05-17 2001-11-22 Fujitsu Ltd 分散グループ管理システムおよび方法
JP2002269479A (ja) * 2001-03-09 2002-09-20 Sony Corp 情報処理装置および方法、記録媒体、並びにプログラム
US7603431B2 (en) * 2002-01-08 2009-10-13 Bottomline Technologies (De) Inc. Secure transport gateway for message queuing and transport over an open network
JP4444604B2 (ja) * 2003-09-09 2010-03-31 株式会社エヌ・ティ・ティ・データ アクセス制御装置ならびにそのプログラム
WO2007089503A2 (en) * 2006-01-26 2007-08-09 Imprivata, Inc. Systems and methods for multi-factor authentication
JP2007317091A (ja) * 2006-05-29 2007-12-06 Nippon Telegr & Teleph Corp <Ntt> ワンタイムパスワード生成システムおよびワンタイムパスワード生成方法、ワンタイムパスワード生成装置、制御サーバおよびその制御方法
JP5094440B2 (ja) * 2008-01-18 2012-12-12 日立オムロンターミナルソリューションズ株式会社 システム管理装置、およびセキュリティシステム
JP2012027530A (ja) 2010-07-20 2012-02-09 Dainippon Printing Co Ltd ワンタイムパスワード生成装置、サーバー装置、認証システム、方法、プログラム、記録媒体

Also Published As

Publication number Publication date
US20140165175A1 (en) 2014-06-12
US8966604B2 (en) 2015-02-24
JP2014115833A (ja) 2014-06-26

Similar Documents

Publication Publication Date Title
JP5514890B1 (ja) 連続的な不正アクセスを防止する方法
US10223524B1 (en) Compromised authentication information clearing house
EP3522446B1 (en) System and method for credentialed access to a remote server
US8973099B2 (en) Integrating account selectors with passive authentication protocols
US9288213B2 (en) System and service providing apparatus
US8887264B2 (en) Multi-identity access control tunnel relay object
US10176318B1 (en) Authentication information update based on fraud detection
US11714693B2 (en) Data driven API conversion
US9225744B1 (en) Constrained credentialed impersonation
Ferry et al. Security evaluation of the OAuth 2.0 framework
US11770385B2 (en) Systems and methods for malicious client detection through property analysis
US20130185645A1 (en) Determining repeat website users via browser uniqueness tracking
EP3827362A1 (en) Web browser incorporating social and community features
JP5753302B1 (ja) ウェブページへのアクセスを警告するためのプログラム、方法、及びシステム
Li et al. Your code is my code: Exploiting a common weakness in OAuth 2.0 implementations
Sharif Web attacks analysis and mitigation techniques
JP5326035B1 (ja) サーバ装置
JP5735687B1 (ja) ログインを警告するためのプログラム、方法、及びシステム
JP2015011659A (ja) 通信装置、アクセス制御方法およびプログラム
JP2014086079A (ja) サーバ装置
JP2010224867A (ja) 認証装置及びプログラム
US20140173698A1 (en) Software publisher and device authentication using customizable multimedia
JP2012203764A (ja) ユーザ情報管理装置

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140311

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140331

R150 Certificate of patent or registration of utility model

Ref document number: 5514890

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees