JP6438011B2 - 不正検知ネットワークシステム及び、不正検知方法 - Google Patents

不正検知ネットワークシステム及び、不正検知方法 Download PDF

Info

Publication number
JP6438011B2
JP6438011B2 JP2016514755A JP2016514755A JP6438011B2 JP 6438011 B2 JP6438011 B2 JP 6438011B2 JP 2016514755 A JP2016514755 A JP 2016514755A JP 2016514755 A JP2016514755 A JP 2016514755A JP 6438011 B2 JP6438011 B2 JP 6438011B2
Authority
JP
Japan
Prior art keywords
fraud detection
user terminal
server device
script
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016514755A
Other languages
English (en)
Other versions
JPWO2015162985A1 (ja
Inventor
元昭 山村
元昭 山村
雅太 西田
雅太 西田
和男 川守田
和男 川守田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Securebrain Corp
Original Assignee
Hitachi Systems Ltd
Securebrain Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd, Securebrain Corp filed Critical Hitachi Systems Ltd
Publication of JPWO2015162985A1 publication Critical patent/JPWO2015162985A1/ja
Application granted granted Critical
Publication of JP6438011B2 publication Critical patent/JP6438011B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response

Description

本発明は、不正検知サーバ装置がユーザ端末装置における正規コンテンツの改ざんを検知するシステム及び方法に関し、特にマルウェアがウェブコンテンツ情報を書き換えてユーザ端末装置のウェブブラウザ処理手段に不正な動作を行わせることを検知するための不正検知技術に係る。
インターネットバンキングなど高度なセキュリティが要求されるサービスの提供が進む中で、マルウェアによる攻撃方法も多様化している。従来のマルウェアでは、ユーザ端末装置がマルウェアに感染すると、ログイン時に入力されるIDやパスワードが読み取られてユーザが意図しない送金などに悪用される例がある。この場合、毎回パスワードが変更されるワンタイムパスワードを導入したり、通信を暗号化することで被害を防止する対策がとられている。
また、通常のIDとパスワードによる第1の認証を行って通信セッションを確立した後に、さらに第2の認証を行って不正なアクセスを防止する方法も多く採用されている。第2認証の多くは、予めユーザに付与された乱数表から任意のいくつかの答えだけを問う形式であるため、乱数表全体を入手しないと不正なアクセスに成功しない。そこで、銀行サイトに酷似する画面に誘導して、乱数表の全ての答えを入力させるフィッシングと呼ばれる手法もある。
フィッシングの場合はアクセスする先が偽のサイトであるため、ユーザの注意や、セキュリティ対策ソフトによる検知が比較的容易である。
そこで最近では、例えばブラウザのプロセスに入り込むことで第1認証の成功後に、SSLの暗号通信が復号された後の平文を改ざんし、偽の第2認証画面を表示し、ユーザが気がつかないうちに必要な情報を窃取したり、あるいはユーザが意図しない操作を行ってしまう攻撃方法が現れている。この攻撃はMan In The Browser(MITB)攻撃と呼ばれており、正規のサイトに接続された状態で不正動作が行われるためユーザやウイルス検知ソフトによる発見が困難な問題がある。
例えば、特許文献1には、ウェブサイトへの外部送出を傍受し、ウェブサイトに関連するトランザクションフィンガープリントに照らし合わせて、ユーザー入力が外部送出を行ったか否かを決定するマン・イン・ザ・ブラウザ攻撃を検出する方法が開示されている。
また、非特許文献1には、このようなMITB攻撃への対策としてセキュアモジュールを端末側にインストールすることでマルウェアによる介入を防御するソフトウェア(株式会社FFRI製「Limosa」)が開示されている。本ソフトウェアでは、ユーザーが対象サイトにアクセスし、ログインする際にサイトからセキュアモジュールがダウンロードされ、自動的にブラウザに適用されるとしている。
特開2010−182293号公報
「FFRI Limosa 製品概要」インターネットURL:http://www.ffri.jp/products/limosa/index.htm 2014年3月13日検索
上記のようなMITB攻撃を行うマルウェアは正規のウェブサイトと接続した状態でウェブブラウザを乗っ取るため、従来の認証方法では対応できない。
また、上記非特許文献1の方法ではセキュアモジュールをユーザ端末装置にインストールする必要がある。
本発明は上記従来技術の有する問題点に鑑みて創出されたものであり、不正動作を行うマルウェアの挙動を効率的に検知すると共に、導入が容易で攻撃を受けにくい不正検知ネットワークシステム及び不正検知方法を提供することを目的とする。
本発明は上記課題を解決するため、本発明は次のような不正検知ネットワークシステムを提供する。
すなわち本発明は、予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、ネットワークに接続された不正検知サーバ装置がユーザ端末装置における不正動作を検知する不正検知ネットワークシステムを提供する。
本システムにおいて、ウェブサーバ装置に、サービスの提供に用いるウェブコンテンツ情報と、不正検知サーバ装置を呼び出しするための呼出スプリクトとを記憶する記憶手段と、ウェブコンテンツ情報に、呼出スクリプトを含めてユーザ端末装置に送信するコンテンツ送信手段とを備える。
また、ユーザ端末装置に、ウェブコンテンツ情報を受信するコンテンツ受信手段と、ウェブコンテンツを表示し、ユーザからの情報入力を受理すると共に、呼出スクリプトを実行するウェブブラウザ処理手段と、不正検知サーバ装置との通信を行う不正検知サーバ通信手段とを備える。
ユーザ端末装置は、呼出スクリプトに基づいて不正検知サーバから不正検知スクリプトを取得し、不正検知スクリプトに基づいてウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を不正検知サーバ装置に送信する。そして、不正検知サーバ装置から受信する不正検知結果に基づいて所定の不正対策動作を行う。
不正検知サーバ装置は、呼出スクリプトに対応する不正検知スクリプトを記憶する不正検知スクリプト記憶手段と、ユーザ端末装置との通信を行うユーザ端末通信手段と、不正検知スクリプトによる検索結果について不正動作の有無を検知する不正検知手段とを備えたことを特徴とする。
ウェブブラウザ処理手段が、不正検知スクリプトに基づいてユーザから認証に係る情報の入力を受理しないようにウェブコンテンツを変更する構成でもよい。
検知対象データが、マークアップ言語におけるタグとタグの属性情報であってもよい。また、検知対象データが、認証処理に係るテキストであってもよい。
ウェブサーバ装置の認証手段とユーザ端末装置の認証手段との間で第1の認証処理を行った後に、ウェブサーバ装置と、ユーザ端末装置との間で通信セッションを確立し、ウェブサーバ装置からユーザ端末装置に対して呼出スクリプトを含むウェブコンテンツ情報を送信する構成でもよい。
不正検知サーバ装置において、ユーザ端末装置から受信した検索結果、又は不正検知手段による検知結果、の少なくともいずれかをログ記録手段が記録を行う構成でもよい。
上記のウェブサーバ装置において、呼出スクリプトを難読化する難読化手段を備え、コンテンツ送信手段が、ウェブコンテンツ情報に、難読化された呼出スクリプトを含めて送信する構成でもよい。
本発明は次のような不正検知ネットワークシステムを提供することもできる。
すなわち、予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、該ネットワークに接続された不正検知サーバ装置が該ユーザ端末装置における不正動作を検知する不正検知ネットワークシステムであって、該ウェブサーバ装置に、サービスの提供に用いるウェブコンテンツ情報と、不正検知スクリプトとを記憶する記憶手段と、該ウェブコンテンツ情報に、該不正検知スクリプトを含めて該ユーザ端末装置に送信するコンテンツ送信手段とを備える。
また、ユーザ端末装置に、該ウェブコンテンツ情報を受信するコンテンツ受信手段と、該ウェブコンテンツを表示し、ユーザからの情報入力を受理すると共に、該不正検知スクリプトを実行するウェブブラウザ処理手段と、該不正検知サーバ装置との通信を行う不正検知サーバ通信手段とを備え、該不正検知スクリプトに基づいて該ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を該不正検知サーバ装置に送信すると共に、該不正検知サーバ装置から受信する不正検知結果に基づいて所定の不正対策動作を行い、該不正検知サーバ装置は、該ユーザ端末装置との通信を行うユーザ端末通信手段と、該不正検知スクリプトによる検索結果について不正動作の有無を検知する不正検知手段とを備えたことを特徴とする。
さらに本発明は、次のような不正検知方法を提供することもできる。
すなわち、予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、ネットワークに接続された不正検知サーバ装置がユーザ端末装置における不正動作を検知する不正検知ネットワークシステムにおける不正検知方法を提供する。
本方法において、次の各ステップを有する。
(S1)ウェブサーバ装置のコンテンツ送信手段が、サービスの提供に用いるウェブコンテンツ情報に、不正検知サーバ装置を呼び出しするための呼出スプリクトを含めてユーザ端末装置に送信するコンテンツ送信ステップ、
(S2)ユーザ端末装置において、コンテンツ受信手段が、ウェブコンテンツ情報を受信するコンテンツ受信ステップ、
(S3)ウェブブラウザ処理手段が、呼出スクリプトに基づいて不正検知サーバから不正検知スクリプトを取得する不正検知スクリプト取得ステップ、
(S4)不正検知スクリプトに基づいてウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を不正検知サーバ装置に送信する検索結果送信ステップ、
(S5)不正検知サーバ装置において、不正検知手段が、検索結果について不正動作の有無を検知し、ユーザ端末装置に不正検知結果を送信する不正検知ステップ、
(S6)ユーザ端末装置のウェブブラウザ処理手段が、不正検知結果に基づいて所定の不正対策動作を行う不正対策動作ステップ。
不正検知スクリプト取得ステップ(S3)の後に、ウェブブラウザ処理手段が、不正検知スクリプトに基づいてユーザから認証に係る情報の入力を受理しないようにウェブコンテンツを変更してもよい。
コンテンツ送信ステップ(S1)の前に、ウェブサーバ装置と、ユーザ端末装置との間でセキュアな通信を確立するセキュア通信確立ステップ(S01)と、ウェブサーバ装置の認証手段とユーザ端末装置の認証手段との間で第1の認証処理を行う第1認証ステップ(S02)とを有する構成でもよい。
検索結果送信ステップ(S4)又は不正検知ステップ(S5)の後に、不正検知サーバ装置のログ記録手段が、ユーザ端末装置から受信した検索結果、又は不正検知手段による検知結果、の少なくともいずれかを記録するログ記録ステップ(S41)を有する構成でもよい。
コンテンツ送信ステップ(S1)の前に、ウェブサーバ装置の難読化手段が、呼出スクリプトを難読化する難読化ステップ(S03)を有する構成でもよい。
本発明は、次のような不正検知ネットワークシステムにおける不正検知方法を提供することもできる。
本方法では、ウェブサーバ装置のコンテンツ送信手段が、サービスの提供に用いるウェブコンテンツ情報に、不正検知スプリクトを含めて該ユーザ端末装置に送信するコンテンツ送信ステップ、該ユーザ端末装置において、コンテンツ受信手段が、該ウェブコンテンツ情報を受信するコンテンツ受信ステップ、ウェブブラウザ処理手段が、該不正検知スクリプトに基づいて該ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を該不正検知サーバ装置に送信する検索結果送信ステップ、該不正検知サーバ装置において、不正検知手段が、該検索結果について不正動作の有無を検知し、該ユーザ端末装置に不正検知結果を送信する不正検知ステップ、該ユーザ端末装置のウェブブラウザ処理手段が、該不正検知結果に基づいて所定の不正対策動作を行う不正対策動作ステップの各ステップを少なくとも有することを特徴とする。
本発明は以上の構成をとることによって、不正動作を行うマルウェアの挙動を効率的に検知すると共に、導入が容易で動作を妨げにくい不正検知ネットワークシステム及び不正検知方法を提供することができる。特に、ウェブコンテンツ情報に呼出スクリプトを含めて送信するだけで初期の導入が可能であり、難読化されたスクリプトを用いることで検知を難しくすることができる点で従来技術に比して効果を奏する。
本発明における不正検知ネットワークシステムの全体図である。 本発明の不正検知方法のフローチャートである。 本発明に係るウェブサーバ装置のブロック図である。 本発明に係るユーザ端末装置のブロック図である。 本発明に係る不正検知サーバ装置のブロック図である。 本発明の不正検知方法における第1段階の処理説明図である。 本発明の不正検知方法における第2段階の処理説明図である。 本発明の不正検知方法における第3段階の処理説明図である。 本発明の不正検知方法における第4段階の処理説明図である。 本発明の不正検知方法の別実施例のフローチャートである。 本発明の不正検知方法の別実施例の処理説明図である。
以下、本発明の実施形態を図面を用いて説明する。本発明は以下の実施例に限定されず請求項記載の範囲で適宜実施することができる。
図1は、本発明における不正検知ネットワークシステム(1)の全体図である。本システムは、公知のインターネットバンキングや、オンライン証券システムを始めとする特に高いセキュリティが要求されるサービスを提供するシステムに適用可能である。
このようなシステムにおいては、予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行う方法が公知である。例えば、インターネットバンキングにおいて契約者ごとに縦横5列の乱数表を配付しておき、乱数表から2つの数字を問う認証方法が用いられている。また、ペットの名前、母親の旧姓など予めユーザが設定した質問とその答えの組み合わせから、いくつかの質問を提示して正解を求める認証方法も知られている。
本発明では、マルウェアが正規の画面を改変して本来問われていない正解を不正に取得することを防止する技術を提供する。
本システム(1)は、インターネット(2)等のネットワークに接続されたウェブサーバ(10)と、ユーザ端末(20)、不正検知サーバ(30)とから構成され、周知のようにウェブサーバ(10)は多数のユーザ端末(20)からのアクセスを受けてインターネットバンキング等のウェブを用いたサービスを提供する。
本発明が対象とするMITB攻撃では、ウェブサーバ(10)とユーザ端末(20)との通信が確立した中で、ウェブサーバ(10)から受信したウェブコンテンツの内容を書き換えてウェブブラウザで表示させ、ユーザに本来と異なる情報を入力させる。ユーザからは正しい接続先のウェブサーバからの質問と区別がつかないため答えてはならない情報を提供してしまう問題がある。入力された情報は、マルウェアによってインターネットで接続された不正サーバ(40)に送信される結果となる。
図2は本発明に係る不正検知方法のフローチャート、図3はウェブサーバ(10)のブロック図、図4はユーザ端末(20)のブロック図、図5は不正検知サーバ(30)のブロック図である。以下、図面を参照しながら説明する。
ウェブサーバ(10)はコンピュータを用いた公知のサーバ装置であって、CPU(10)においてコンピュータプログラムによって実現されるウェブサーバ処理部(100)と、難読化処理部(101)、第1認証部(102)、第2認証部(103)を備えている。また、インターネット(2)との通信を行うネットワークインタフェースである通信部(11)、ハードディスクやメモリで提供される記憶部(12)を備えている。その他の周知の構成については省略する。
記憶部(12)にはサービスを提供するためのコンテンツ情報(120)と、本発明に係る呼出スクリプト(121)が格納されている。
ユーザ端末(20)もコンピュータを用いた周知の端末装置であって、CPU(20)においてコンピュータプログラムによって実現されるウェブブラウザ部(200)、不正検知サーバ通信部(201)、第1認証部(202)、第2認証部(203)を備えている。インターネット(2)との通信を行う通信部(21)の他、入力手段として例えばキーボード・マウス(22)や画面表示を行うモニタ(23)を接続している。
さらに不正検知サーバ(30)も公知のサーバ装置であって、CPU(30)にはユーザ端末通信部(300)、不正検知処理部(301)、ログ記録部(302)が実装され、インターネット(2)との通信を行う通信部(31)と、不正検知スクリプト(320)及び検知データベース(321)を格納した記憶部(32)を接続している。
本発明の実施において必須ではないが、一般的にはSSL通信などのセキュアな通信をウェブサーバ(10)とユーザ端末(20)との間で確立(S01)した後、第1認証(S02)処理として、ウェブサーバの第1認証部(102)がIDとパスワードを促す画面をユーザ端末(20)に送信し、ユーザが入力した認証情報を第1認証部(202)が返信する。
従来の一般的な手順では、第1認証に続いて第2認証を行ってサービスの提供を開始する。本発明では、ウェブサーバ(10)のウェブサーバ処理部(100)が第2認証の入力を行うための画面表示を行う情報、すなわちマークアップ言語で記述されたコンテンツ情報(120)をユーザ端末(20)に送信する際に、JavaScript(登録商標)で記述された呼出スクリプト(121)を含めて送信する(コンテンツ送信ステップ:S1)。
図6は本発明の第1段階の情報の流れを示しており、コンテンツ情報(120)に呼出スクリプト(121)を内在させたウェブコンテンツ(122)がユーザ端末(20)に送信(f1)される状態を表す。
ユーザ端末(20)においてコンテンツを受信(S2)すると、ウェブコンテンツ(122)から呼出スクリプト(121)を読み出してウェブブラウザ部(200)が実行処理する。周知のようにJavaScriptの実行はほとんど全てのウェブブラウザアプリケーションが標準で可能である。なお、本発明のスクリプト言語はJavaScriptに限定されず、ユーザ端末のブラウザが実行可能で、かつユーザ端末のブラウザ上で実行可能なプログラムであれば任意に適用できる。
図7は本発明の第2段階の情報の流れを示す。呼出スクリプトには不正検知サーバ(30)のアドレスと、読み出すべき情報が規定されており、それに従ってユーザ端末(20)からアクセス(f2)が行われる。
このアクセスに対して不正検知サーバ(30)のユーザ端末通信部(300)は、記憶部(32)から呼出スクリプト(121)が指定する不正検知スクリプト(320)を読み出してユーザ端末(20)の不正検知サーバ通信部(201)に返信(f3)する(不正検知スクリプト取得ステップ:S3) 。
ここで本発明の特徴として、不正検知スクリプトは、単にユーザ端末(20)が受信したウェブコンテンツ(122)の内容を検索し、必要な情報を抽出するだけの処理を行うものであり、ウイルス探索などを行うものでない点が挙げられる。
すなわち、従来のようにウイルス探索を目的とした実行ファイルを送信する場合、ファイルの送信自体や、その後の探索に多くの時間が必要である。また、例えばActive X(登録商標)コントロールによりウイルス探索を行おうとすると、その挙動自体をマルウェアが探知しやすく、探索を阻止されやすい欠点がある。さらに、Active Xコントロールはウェブブラウザへのプラグインのインストールなどが必要で、実行環境が限定される問題もある。
本発明は、不正検知スクリプトの受信だけであって通常のサービスにおける通信と判別しにくい利点があり、また小容量のスクリプトの通信の後、簡単な検索処理を行うだけであるため、高速化が図られる。実際、本発明の処理を導入しても、第2認証までの処理時間は一瞬で完了するため、ユーザが処理を意識することはない。
ウェブブラウザ部(200)では不正検知スクリプトに従って、ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を不正検知サーバ装置に送信する(検索結果送信ステップ:S4)。図8は本発明の第3段階の情報の流れを示す。
ユーザ端末(20)において不正検知スクリプトが検索する例として、ウェブコンテンツ(122)のHTML言語におけるinputタグやformタグが挙げられる。MITB攻撃では、ウェブサーバ(10)とユーザ端末(20)がSSLによってセキュアな通信を行っていても、復号されてユーザ端末(20)上でウェブブラウザで表示を行う直前にコンテンツの書き換えが行われる。そこで、この書き換えが行われていないかどうかを確認するために、HTMLコンテンツに係る情報を検索する。
具体的にはウェブコンテンツ(122)に含まれるinputタグやformタグの数を抽出することもできる。本来2つの数字だけを入力させるはずなのに、書き換えによって15個の入力欄が設けられている場合を発見することができる。また、inputタグのname情報などの属性情報に何が含まれているかを抽出することも有効である。
本発明ではこの情報が正しいかどうかをユーザ端末(20)がその場で判定するものではなく、不正検知スクリプト(320)はあくまでもこれらの情報を検索して不正検知サーバ(30)に送信する役割を担う。図8における検知情報の送信(f4)では、ウェブブラウザ部(200)が、不正検知スクリプト(320)で指定されているタグの数や名前の情報をAPIサーバ(303)に送信(S4)する。
検索されるウェブコンテンツ情報に含まれる検知対象データとしては、タグに限らずHTMLコンテンツ内の任意の文字列でもよい。例えば、マルウェアによる偽画面を警告する表示が含まれている場合に、マルウェアがその警告画面自体を表示しないように書き換えることがある。そのような改変に対応するために、当該警告画面に係るテキストや画像、ウインドウ操作のタグなどが存在するかどうかを検索することもできる。
検知情報の送信時には、検索した値自体を送信してもよいし、例えばハッシュ関数を用いて所定の計算を行った後の値を送信してもよい。
図9は本発明の第4段階の情報の流れを示す。
不正検知サーバ(30)のユーザ端末通信部(300)が指定された情報を受信(f4)すると、不正検知処理部(301)が検知データベース(321)を参照しながら正しいウェブサイトの情報と一致するかどうかを照合する。上記実施例に則して言えば、inputタグやformタグの数が変わっていないか、タグのnameなどの属性値に加除修正されたものがないか、テキストや画像のリンク、操作タグの変更がないか、などを照合する。明らかなように、これらの照合はコンピュータの処理としては負荷が非常に小さく、照合処理自体も短時間で終了する。
このように不正検知ステップ(S5)では、マルウェアによって不正動作が行われていないかどうかを検知し、ユーザ端末(20)の不正検知サーバ通信部(201)に対して判定結果を送信(f5)する。
不正検知サーバ(30)からの判定結果によって、ウェブブラウザ部(200)は不正対策動作(S6)を行う。すなわち、ウェブコンテンツ(122)の書き換えなどが認められた場合には、不正検知スクリプト(320)がユーザ端末(20)からの情報の送信を禁止(f6)し、ユーザに対して警告表示などを行ってもよい。あるいは、ウェブサーバ(10)に対してユーザのアカウントを一時的に無効化するための信号を送信してもよい。本発明では不正対策動作については限定しない。
一方、判定結果が問題無しであれば、通常通りの第2認証処理(S7)に進み、サービスを開始(S8)すればよい。
本発明の別実施例におけるフローチャートを図10に示す。
本実施例では、呼出スクリプト(121)をウェブコンテンツ(122)に含める際に、難読化処理部(101)で難読化処理(S03)を行う。JavaScriptの難読化処理は公知であり、スクリプトの内容を分かりにくくする技術であれば適宜適用することができる。難読化によってマルウェアが呼出スクリプトの存在や内容を察知しにくくすることができる。なお、難読化処理はコンテンツ送信ステップ(S1)よりも前に行えばよい。例えばコンテンツの準備時に予め行っておけばよい。
また同時に、第1認証や第2認証の画面や、その他のサービス画面にはそもそもスクリプトが含まれていることが一般的であり、この一般的なスクリプトと、呼出スクリプトを合わせて難読化することにより、さらにマルウェアが操作を行いにくくする効果もある。例えば、スクリプトが含まれていることは察知できても、本来の部分と呼出スクリプトの部分を切り分けることは悪意者側では困難である。必要なスクリプトが削除されることで本来期待される動作が行えなくなり、正しくウェブアプリケーションがブラウザ上で動作しなくなることが期待される。従って、この難読化処理(S03)は本発明との組み合わせにおいて特に有効に作用する。
上記実施例では、難読化処理(S03)を呼出スクリプト(121)に対して行ったが、不正検知スクリプトに対して行ってもよい。すなわち上記と同様の難読化処理部を不正検知サーバ(30)に備え、不正検知スクリプトを難読化することもできる。
この場合においても、不正検知スクリプトを送信するたびに難読化するだけでなく、不正検知スクリプトの準備時に予め行っておいてもよい。
不正結果送信ステップ(S4)又は不正検知ステップ(S5)の後で、不正検知サーバ(30)のログ記録部(302)がユーザ端末(20)から受信した検索結果、又は不正検知処理部(301)による検知結果、の少なくともいずれかを記録することもできる(ログ記録ステップ:S41)。
収集するログの情報としては、判定結果として検索したウェブコンテンツの識別番号、判定結果、ユーザ端末(20)のIPアドレス、ウェブブラウザのUser-Agent情報、アクセス日時などが挙げられる。
また、検索したコンテンツ自体を記録してもよく、その場合は改変された後のHTMLコンテンツを記録して、マルウェアの解析に用いることができる。
難読化処理(S03)の処理と前後して、ウェブブラウザ部(200)がユーザからの入力を一時的に停止することもできる。すなわち、マルウェアによってはユーザが入力すると同時に不正サーバ(40)に対して情報を送信する恐れがあるため、呼出スクリプト(121)に入力を停止する処理を含めておき、いかなるフォームにも入力を受け付けないようにすることで、情報の流出を回避することができる。
さらに上記では不正検知サーバ(30)とウェブサーバ(20)とを分散させているため、呼出スクリプト(121)が呼び出す不正検知サーバ(30)のアドレスやドメイン名がウェブサーバ(20)と異なる。特にドメイン名が明らかにウェブサーバ(20)の運営者の物と異なるとマルウェアによって察知されやすくなるため、不正検知サーバ(30)のドメイン又はサブドメインをウェブサーバ(20)と同じドメイン内となるようにDNS(Domain Name Server)の登録を行うことが好ましい。ウェブサーバ(20)と不正検知サーバ(30)が同一ドメインとなることで、上記した難読化処理(S03)と合わせて、本発明の不正検知方法による挙動がさらに分かりにくくなる。
本発明において、上記呼出スクリプトに代えて、不正検知スクリプトをウェブコンテンツ(122)に含める構成でもよい。すなわち、図11に示すように、上記と同様の不正検知ネットワークシステムにおいて、ウェブサーバ(10)は、サービスの提供に用いるウェブコンテンツ(122)と共に、呼出スクリプトに代えて不正検知スクリプト(322)を記憶する。
不正検知スクリプト(322)が含められたウェブコンテンツ(122)はユーザ端末(20)のウェブブラウザ部(200)に送られ、ウェブコンテンツを表示し、ユーザからの情報入力を受理すると共に、不正検知スクリプト(322)を実行する。
以降の処理は上記実施例と同様であり、ウェブブラウザ部(200)が、不正検知スクリプト(320)で指定されているタグの数や名前の情報をAPIサーバ(303)に送信する。
不正検知サーバ(30)のユーザ端末通信部(300)が指定された情報を受信すると、不正検知処理部(301)が検知データベース(321)を参照しながら正しいウェブサイトの情報と一致するかどうかを照合する。
不正検知サーバ(30)からの判定結果によって、ウェブブラウザ部(200)は不正対策動作を行う。
以上に述べたように、本発明はMITB攻撃の対策としてウェブコンテンツの改ざんを簡便に検知する技術である。登録されたマルウェアやその挙動のリストを持つブラックリスト方式ではなく、正規のウェブコンテンツにおける必要な条件をホワイトリストとして有することで、新規のマルウェアに対しても柔軟に対応することができる。
スクリプトを追加することで本発明は実施できるため、ユーザ端末装置におけるクライアントソフトのインストールが不要であり、しかも高速な処理が実現できる。また、不正検知サーバ装置がログ情報を収集することで、被害を受けた顧客の情報や、判定結果、異常コンテンツの収集が可能であり、被害の拡大防止にも寄与する。
1 不正検知ネットワークシステム
2 インターネット
10 ウェブサーバ
20 ユーザ端末
30 不正検知サーバ
40 不正サーバ

Claims (16)

  1. 予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、該ネットワークに接続された不正検知サーバ装置が該ユーザ端末装置における不正動作を検知する不正検知ネットワークシステムであって、
    該ウェブサーバ装置に、
    サービスの提供に用いるウェブコンテンツ情報と、不正検知サーバ装置を呼び出しするための呼出スクリプトとを記憶する記憶手段と、
    該ユーザ端末装置との間でセキュアな通信を確立した後に、該ウェブコンテンツ情報に該呼出スクリプトを含めて該ユーザ端末装置に送信するコンテンツ送信手段と
    を備えると共に、
    該ユーザ端末装置に、
    該ウェブサーバ装置との間でセキュアな通信を確立した後に、該呼出スクリプトを含む該ウェブコンテンツ情報を受信するコンテンツ受信手段と、
    該ウェブコンテンツ情報を表示し、ユーザからの情報入力を受理すると共に、該呼出スクリプトを実行するウェブブラウザ処理手段と、
    該不正検知サーバ装置との通信を行う不正検知サーバ通信手段とを備え、
    該呼出スクリプトに基づいて該不正検知サーバ装置から不正検知スクリプトを取得し、該不正検知スクリプトに基づいて該ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を該不正検知サーバ装置に送信すると共に、該不正検知サーバ装置から受信する不正検知結果に基づいて所定の不正対策動作を行い、
    該不正検知サーバ装置は、
    該呼出スクリプトに対応する不正検知スクリプトを記憶する不正検知スクリプト記憶手段と、
    該ユーザ端末装置との通信を行うユーザ端末通信手段と、
    該不正検知スクリプトによる検索結果について不正動作の有無を検知する不正検知手段と
    を備えたことを特徴とする不正検知ネットワークシステム。
  2. 前記ウェブブラウザ処理手段が、前記不正検知スクリプトに基づいてユーザから認証に係る情報の入力を受理しないように該ウェブコンテンツ情報を変更する
    請求項1に記載の不正検知ネットワークシステム。
  3. 前記検知対象データが、マークアップ言語におけるタグとタグの属性情報である
    請求項1又は2に記載の不正検知ネットワークシステム。
  4. 前記検知対象データが、前記認証処理に係るテキストである
    請求項1ないし3のいずれかに記載の不正検知ネットワークシステム。
  5. 前記ウェブサーバ装置と前記ユーザ端末装置の認証手段との間でセキュアな通信を確立した後に、
    該ウェブサーバ装置の認証手段と前記ユーザ端末装置の認証手段との間で第1の認証処理を行い、
    該ウェブサーバ装置から該ユーザ端末装置に対して前記呼出スクリプトを含むウェブコンテンツ情報を送信する
    請求項1ないし4のいずれかに記載の不正検知ネットワークシステム。
  6. 前記不正検知サーバ装置において、前記ユーザ端末装置から受信した検索結果、又は前記不正検知手段による検知結果、の少なくともいずれかをログ記録手段が記録を行う
    請求項1ないし5のいずれかに記載の不正検知ネットワークシステム。
  7. 前記ウェブサーバ装置において、前記呼出スクリプトを難読化する難読化手段を備え、
    前記コンテンツ送信手段が、前記ウェブコンテンツ情報に、難読化された該呼出スクリプトを含めて送信する
    請求項1ないし6のいずれかに記載の不正検知ネットワークシステム。
  8. 予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、該ネットワークに接続された不正検知サーバ装置が該ユーザ端末装置における不正動作を検知する不正検知ネットワークシステムであって、
    該ウェブサーバ装置に、
    サービスの提供に用いるウェブコンテンツ情報と、不正検知スクリプトとを記憶する記憶手段と、
    該ユーザ端末装置との間でセキュアな通信を確立した後に、該ウェブコンテンツ情報に該不正検知スクリプトを含めて該ユーザ端末装置に送信するコンテンツ送信手段と
    を備えると共に、
    該ユーザ端末装置に、
    該ウェブサーバ装置との間でセキュアな通信を確立した後に、該不正検知サーバ装置を呼び出しするための呼出スクリプトを含む該ウェブコンテンツ情報を受信するコンテンツ受信手段と、
    該ウェブコンテンツ情報を表示し、ユーザからの情報入力を受理すると共に、該不正検知スクリプトを実行するウェブブラウザ処理手段と、
    該不正検知サーバ装置との通信を行う不正検知サーバ通信手段とを備え、
    該不正検知スクリプトに基づいて該ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を該不正検知サーバ装置に送信すると共に、該不正検知サーバ装置から受信する不正検知結果に基づいて所定の不正対策動作を行い、
    該不正検知サーバ装置は、
    該ユーザ端末装置との通信を行うユーザ端末通信手段と、
    該不正検知スクリプトによる検索結果について不正動作の有無を検知する不正検知手段と
    を備えたことを特徴とする不正検知ネットワークシステム。
  9. 予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、該ネットワークに接続された不正検知サーバ装置が該ユーザ端末装置における不正動作を検知する不正検知ネットワークシステムにおける不正検知方法であって、
    該ウェブサーバ装置のコンテンツ送信手段が、該ユーザ端末装置との間でセキュアな通信を確立した後に、サービスの提供に用いるウェブコンテンツ情報に不正検知サーバ装置を呼び出しするための呼出スクリプトを含めて該ユーザ端末装置に送信するコンテンツ送信ステップ、
    該ユーザ端末装置において、
    コンテンツ受信手段が、該ウェブサーバ装置との間でセキュアな通信を確立した後に、該呼出スクリプトを含む該ウェブコンテンツ情報を受信するコンテンツ受信ステップ、
    ウェブブラウザ処理手段が、該呼出スクリプトに基づいて該不正検知サーバ装置から不正検知スクリプトを取得する不正検知スクリプト取得ステップ、
    該不正検知スクリプトに基づいて該ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を該不正検知サーバ装置に送信する検索結果送信ステップ、
    該不正検知サーバ装置において、
    不正検知手段が、該検索結果について不正動作の有無を検知し、該ユーザ端末装置に不正検知結果を送信する不正検知ステップ、
    該ユーザ端末装置のウェブブラウザ処理手段が、該不正検知結果に基づいて所定の不正対策動作を行う不正対策動作ステップ
    の各ステップを少なくとも有することを特徴とする不正検知方法。
  10. 前記不正検知スクリプト取得ステップの後に、
    前記ウェブブラウザ処理手段が、前記不正検知スクリプトに基づいてユーザから認証に係る情報の入力を受理しないように前記ウェブコンテンツ情報を変更する
    請求項9に記載の不正検知方法。
  11. 前記検知対象データが、マークアップ言語におけるタグとタグの属性情報である
    請求項9又は10に記載の不正検知方法。
  12. 前記検知対象データが、前記認証処理に係るテキストである
    請求項9ないし11のいずれかに記載の不正検知方法。
  13. 前記コンテンツ送信ステップの前に、
    前記ウェブサーバ装置と、前記ユーザ端末装置との間でセキュアな通信を確立するセキュア通信確立ステップと、
    該ウェブサーバ装置の認証手段と該ユーザ端末装置の認証手段との間で第1の認証処理を行う第1認証ステップとを有する
    請求項9ないし12のいずれかに記載の不正検知方法。
  14. 前記検索結果送信ステップ又は前記不正検知ステップの後に、
    前記不正検知サーバ装置のログ記録手段が、前記ユーザ端末装置から受信した検索結果、又は前記不正検知手段による検知結果、の少なくともいずれかを記録するログ記録ステップを有する
    請求項9ないし13のいずれかに記載の不正検知方法。
  15. 前記コンテンツ送信ステップの前に、
    前記ウェブサーバ装置の難読化手段が、前記呼出スクリプトを難読化する難読化ステップを有する
    請求項9ないし14のいずれかに記載の不正検知方法。
  16. 予めユーザ毎に割当てられた複数の問題とその正解との組み合わせから、ウェブサーバ装置がランダムに選択された問題を送信し、ネットワークで接続されたユーザ端末装置から正解を返信させることにより認証処理を行った後にサービスを提供すると共に、該ネットワークに接続された不正検知サーバ装置が該ユーザ端末装置における不正動作を検知する不正検知ネットワークシステムにおける不正検知方法であって、
    該ウェブサーバ装置のコンテンツ送信手段が、該ユーザ端末装置との間でセキュアな通信を確立した後に、サービスの提供に用いるウェブコンテンツ情報に不正検知スクリプトを含めて該ユーザ端末装置に送信するコンテンツ送信ステップ、
    該ユーザ端末装置において、
    コンテンツ受信手段が、該ウェブサーバ装置との間でセキュアな通信を確立した後に、該不正検知サーバ装置を呼び出しするための呼出スクリプトを含む該ウェブコンテンツ情報を受信するコンテンツ受信ステップ、
    ウェブブラウザ処理手段が、該不正検知スクリプトに基づいて該ウェブコンテンツ情報に含まれる検知対象データを検索し、その検索結果を該不正検知サーバ装置に送信する検索結果送信ステップ、
    該不正検知サーバ装置において、
    不正検知手段が、該検索結果について不正動作の有無を検知し、該ユーザ端末装置に不正検知結果を送信する不正検知ステップ、
    該ユーザ端末装置のウェブブラウザ処理手段が、該不正検知結果に基づいて所定の不正対策動作を行う不正対策動作ステップ
    の各ステップを少なくとも有することを特徴とする不正検知方法。
JP2016514755A 2014-04-25 2015-02-20 不正検知ネットワークシステム及び、不正検知方法 Active JP6438011B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014090901 2014-04-25
JP2014090901 2014-04-25
PCT/JP2015/054707 WO2015162985A1 (ja) 2014-04-25 2015-02-20 不正検知ネットワークシステム及び、不正検知方法

Publications (2)

Publication Number Publication Date
JPWO2015162985A1 JPWO2015162985A1 (ja) 2017-04-13
JP6438011B2 true JP6438011B2 (ja) 2018-12-12

Family

ID=54332158

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016514755A Active JP6438011B2 (ja) 2014-04-25 2015-02-20 不正検知ネットワークシステム及び、不正検知方法

Country Status (5)

Country Link
US (1) US10469531B2 (ja)
EP (1) EP3136277B1 (ja)
JP (1) JP6438011B2 (ja)
CA (1) CA2946695C (ja)
WO (1) WO2015162985A1 (ja)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10970394B2 (en) 2017-11-21 2021-04-06 Biocatch Ltd. System, device, and method of detecting vishing attacks
US11223619B2 (en) 2010-11-29 2022-01-11 Biocatch Ltd. Device, system, and method of user authentication based on user-specific characteristics of task performance
US9626677B2 (en) * 2010-11-29 2017-04-18 Biocatch Ltd. Identification of computerized bots, and identification of automated cyber-attack modules
US9848009B2 (en) * 2010-11-29 2017-12-19 Biocatch Ltd. Identification of computerized bots and automated cyber-attack modules
US10069837B2 (en) 2015-07-09 2018-09-04 Biocatch Ltd. Detection of proxy server
US10897482B2 (en) 2010-11-29 2021-01-19 Biocatch Ltd. Method, device, and system of back-coloring, forward-coloring, and fraud detection
US10164985B2 (en) 2010-11-29 2018-12-25 Biocatch Ltd. Device, system, and method of recovery and resetting of user authentication factor
US10917431B2 (en) 2010-11-29 2021-02-09 Biocatch Ltd. System, method, and device of authenticating a user based on selfie image or selfie video
US10262324B2 (en) 2010-11-29 2019-04-16 Biocatch Ltd. System, device, and method of differentiating among users based on user-specific page navigation sequence
US11269977B2 (en) 2010-11-29 2022-03-08 Biocatch Ltd. System, apparatus, and method of collecting and processing data in electronic devices
US10949757B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. System, device, and method of detecting user identity based on motor-control loop model
US10949514B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. Device, system, and method of differentiating among users based on detection of hardware components
US20190158535A1 (en) * 2017-11-21 2019-05-23 Biocatch Ltd. Device, System, and Method of Detecting Vishing Attacks
US10728761B2 (en) 2010-11-29 2020-07-28 Biocatch Ltd. Method, device, and system of detecting a lie of a user who inputs data
US9483292B2 (en) 2010-11-29 2016-11-01 Biocatch Ltd. Method, device, and system of differentiating between virtual machine and non-virtualized device
US11210674B2 (en) 2010-11-29 2021-12-28 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US10776476B2 (en) 2010-11-29 2020-09-15 Biocatch Ltd. System, device, and method of visual login
US10685355B2 (en) 2016-12-04 2020-06-16 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US10621585B2 (en) 2010-11-29 2020-04-14 Biocatch Ltd. Contextual mapping of web-pages, and generation of fraud-relatedness score-values
US10474815B2 (en) 2010-11-29 2019-11-12 Biocatch Ltd. System, device, and method of detecting malicious automatic script and code injection
US10083439B2 (en) 2010-11-29 2018-09-25 Biocatch Ltd. Device, system, and method of differentiating over multiple accounts between legitimate user and cyber-attacker
US10834590B2 (en) 2010-11-29 2020-11-10 Biocatch Ltd. Method, device, and system of differentiating between a cyber-attacker and a legitimate user
US10298614B2 (en) * 2010-11-29 2019-05-21 Biocatch Ltd. System, device, and method of generating and managing behavioral biometric cookies
US10747305B2 (en) 2010-11-29 2020-08-18 Biocatch Ltd. Method, system, and device of authenticating identity of a user of an electronic device
US10055560B2 (en) 2010-11-29 2018-08-21 Biocatch Ltd. Device, method, and system of detecting multiple users accessing the same account
US10476873B2 (en) 2010-11-29 2019-11-12 Biocatch Ltd. Device, system, and method of password-less user authentication and password-less detection of user identity
US10586036B2 (en) 2010-11-29 2020-03-10 Biocatch Ltd. System, device, and method of recovery and resetting of user authentication factor
US10404729B2 (en) 2010-11-29 2019-09-03 Biocatch Ltd. Device, method, and system of generating fraud-alerts for cyber-attacks
US10032010B2 (en) 2010-11-29 2018-07-24 Biocatch Ltd. System, device, and method of visual login and stochastic cryptography
US10069852B2 (en) 2010-11-29 2018-09-04 Biocatch Ltd. Detection of computerized bots and automated cyber-attack modules
US10395018B2 (en) 2010-11-29 2019-08-27 Biocatch Ltd. System, method, and device of detecting identity of a user and authenticating a user
US10037421B2 (en) 2010-11-29 2018-07-31 Biocatch Ltd. Device, system, and method of three-dimensional spatial user authentication
GB2539705B (en) 2015-06-25 2017-10-25 Aimbrain Solutions Ltd Conditional behavioural biometrics
GB201522315D0 (en) * 2015-12-17 2016-02-03 Irdeto Bv Securing webpages, webapps and applications
JP6732799B2 (ja) * 2015-12-25 2020-07-29 パナソニックセミコンダクターソリューションズ株式会社 不正メッセージ検知装置、不正メッセージ検知装置を備える電子制御装置、不正メッセージ検知方法、及び不正メッセージ検知プログラム
US11587063B1 (en) * 2016-07-06 2023-02-21 United Services Automobile Association (Usaa) Automated proximity fraud account lock systems and methods
GB2552032B (en) 2016-07-08 2019-05-22 Aimbrain Solutions Ltd Step-up authentication
US10198122B2 (en) 2016-09-30 2019-02-05 Biocatch Ltd. System, device, and method of estimating force applied to a touch surface
US10579784B2 (en) 2016-11-02 2020-03-03 Biocatch Ltd. System, device, and method of secure utilization of fingerprints for user authentication
US11194909B2 (en) * 2017-06-21 2021-12-07 Palo Alto Networks, Inc. Logical identification of malicious threats across a plurality of end-point devices
US10397262B2 (en) 2017-07-20 2019-08-27 Biocatch Ltd. Device, system, and method of detecting overlay malware
US20190130404A1 (en) * 2017-10-26 2019-05-02 Mastercard International Incorporated Systems and methods for identifying a data compromise source
US11019090B1 (en) * 2018-02-20 2021-05-25 United Services Automobile Association (Usaa) Systems and methods for detecting fraudulent requests on client accounts
KR20200034020A (ko) 2018-09-12 2020-03-31 삼성전자주식회사 전자 장치 및 그의 제어 방법
CN111131370B (zh) * 2018-11-01 2022-09-27 百度在线网络技术(北京)有限公司 用于检测服务调用是否正确的方法、装置和系统
JP6992850B2 (ja) * 2020-07-09 2022-01-13 ブラザー工業株式会社 画像処理装置、及び通信装置
KR102483848B1 (ko) * 2021-01-08 2023-02-07 주식회사 우아한형제들 로그인 강화 장치 및 방법
US11606353B2 (en) 2021-07-22 2023-03-14 Biocatch Ltd. System, device, and method of generating and utilizing one-time passwords

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7197534B2 (en) * 1998-09-01 2007-03-27 Big Fix, Inc. Method and apparatus for inspecting the properties of a computer
KR100684986B1 (ko) * 1999-12-31 2007-02-22 주식회사 잉카인터넷 온라인상에서의 실시간 유해 정보 차단 시스템 및 방법
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US20110238855A1 (en) * 2000-09-25 2011-09-29 Yevgeny Korsunsky Processing data flows with a data flow processor
JP3593979B2 (ja) * 2001-01-11 2004-11-24 富士ゼロックス株式会社 利用権制御を伴うサーバおよびクライアントならびにサービス提供方法および利用権証明方法
JP2002342281A (ja) * 2001-05-14 2002-11-29 Nippon Telegr & Teleph Corp <Ntt> 対話形式本人認証システムとその方法、及びこの方法の実行プログラムとこの実行プログラムの記録媒体
WO2005088901A1 (en) * 2004-03-16 2005-09-22 Queue Global Information Systems Corp. System and method for authenticating a user of an account
CA2487787A1 (en) * 2004-03-16 2005-09-16 Queue Global Information Systems Corp. System and method for authenticating a user of an account
US8650080B2 (en) * 2006-04-10 2014-02-11 International Business Machines Corporation User-browser interaction-based fraud detection system
US7721091B2 (en) * 2006-05-12 2010-05-18 International Business Machines Corporation Method for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages
CN101039177A (zh) * 2007-04-27 2007-09-19 珠海金山软件股份有限公司 一种在线查毒的装置和方法
US7827311B2 (en) * 2007-05-09 2010-11-02 Symantec Corporation Client side protection against drive-by pharming via referrer checking
US8713680B2 (en) * 2007-07-10 2014-04-29 Samsung Electronics Co., Ltd. Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program
US9686288B2 (en) * 2008-01-25 2017-06-20 Ntt Docomo, Inc. Method and apparatus for constructing security policies for web content instrumentation against browser-based attacks
US8667583B2 (en) * 2008-09-22 2014-03-04 Microsoft Corporation Collecting and analyzing malware data
US8225401B2 (en) * 2008-12-18 2012-07-17 Symantec Corporation Methods and systems for detecting man-in-the-browser attacks
JP5440973B2 (ja) * 2009-02-23 2014-03-12 独立行政法人情報通信研究機構 コンピュータ検査システム、コンピュータ検査方法
JP2010282293A (ja) 2009-06-02 2010-12-16 Fujitsu Ltd 電子機器
US8661257B2 (en) * 2010-05-18 2014-02-25 Nokia Corporation Generic bootstrapping architecture usage with Web applications and Web pages
JP2012025064A (ja) * 2010-07-26 2012-02-09 Canon Inc 印刷装置、印刷装置の制御方法、及び、プログラム
AU2011200413B1 (en) * 2011-02-01 2011-09-15 Symbiotic Technologies Pty Ltd Methods and Systems to Detect Attacks on Internet Transactions
AU2012312319B2 (en) * 2011-09-21 2016-03-31 Sunstone Information Defense, Inc Methods and apparatus for validating communications in an open architecture system
WO2013069758A1 (ja) * 2011-11-10 2013-05-16 株式会社セキュアブレイン 不正アプリケーション検知システム及び、方法
JP5900058B2 (ja) * 2012-03-16 2016-04-06 富士通株式会社 認証プログラム、情報処理装置、認証システム、及びユーザ端末
US9021553B1 (en) * 2012-03-30 2015-04-28 Emc Corporation Methods and apparatus for fraud detection and remediation in knowledge-based authentication
US20130325591A1 (en) * 2012-06-01 2013-12-05 Airpush, Inc. Methods and systems for click-fraud detection in online advertising
GB2513494B (en) * 2012-08-23 2015-07-29 Vzinternet Ltd Data verification
US9544329B2 (en) * 2014-03-18 2017-01-10 Shape Security, Inc. Client/server security by an intermediary executing instructions received from a server and rendering client application instructions
US9516107B2 (en) * 2014-06-05 2016-12-06 Dropbox, Inc. Secure local server for synchronized online content management system

Also Published As

Publication number Publication date
US20170048272A1 (en) 2017-02-16
CA2946695A1 (en) 2015-10-29
CA2946695C (en) 2021-05-04
EP3136277A1 (en) 2017-03-01
US10469531B2 (en) 2019-11-05
WO2015162985A1 (ja) 2015-10-29
EP3136277A4 (en) 2017-12-20
JPWO2015162985A1 (ja) 2017-04-13
EP3136277B1 (en) 2020-04-08

Similar Documents

Publication Publication Date Title
JP6438011B2 (ja) 不正検知ネットワークシステム及び、不正検知方法
EP3219068B1 (en) Method of identifying and counteracting internet attacks
JP4405248B2 (ja) 通信中継装置、通信中継方法及びプログラム
US20160036849A1 (en) Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies
USRE46158E1 (en) Methods and systems to detect attacks on internet transactions
KR101672791B1 (ko) 모바일 웹 애플리케이션 환경에서의 취약점 탐지 방법 및 시스템
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
JP2013520719A (ja) ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム
KR101429304B1 (ko) 신뢰되지 않는 기계에 기밀 정보를 입력하기 위한 컴퓨터 구현 방법
CN108259619A (zh) 网络请求防护方法及网络通信系统
US20180302437A1 (en) Methods of identifying and counteracting internet attacks
CN109818906B (zh) 一种设备指纹信息处理方法、装置及服务器
JP5656266B2 (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
CN108028843A (zh) 被动式web应用防火墙
JP5661290B2 (ja) 情報処理装置及び方法
JP6623128B2 (ja) ログ分析システム、ログ分析方法及びログ分析装置
JP6488613B2 (ja) 取引システム及びプログラム
JP5743822B2 (ja) 情報漏洩防止装置及び制限情報生成装置
Saračević et al. Some specific examples of attacks on information systems and smart cities applications
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
JP7013297B2 (ja) 不正検知装置、不正検知ネットワークシステム、及び不正検知方法
JP4979127B2 (ja) アカウント情報漏洩防止サービスシステム
KR101857060B1 (ko) 웹사이트 수집 정보 기반 파밍 방지 방법 및 그 프로그램
JP6499461B2 (ja) 情報処理装置

Legal Events

Date Code Title Description
A529 Written submission of copy of amendment under article 34 pct

Free format text: JAPANESE INTERMEDIATE CODE: A5211

Effective date: 20161019

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20161021

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180828

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181023

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181106

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181115

R150 Certificate of patent or registration of utility model

Ref document number: 6438011

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250