JP6488613B2 - Trading system and program - Google Patents

Trading system and program Download PDF

Info

Publication number
JP6488613B2
JP6488613B2 JP2014198140A JP2014198140A JP6488613B2 JP 6488613 B2 JP6488613 B2 JP 6488613B2 JP 2014198140 A JP2014198140 A JP 2014198140A JP 2014198140 A JP2014198140 A JP 2014198140A JP 6488613 B2 JP6488613 B2 JP 6488613B2
Authority
JP
Japan
Prior art keywords
transaction
server
image data
transmission control
control means
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014198140A
Other languages
Japanese (ja)
Other versions
JP2015088184A (en
Inventor
半田 富己男
富己男 半田
矢野 義博
義博 矢野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2014198140A priority Critical patent/JP6488613B2/en
Publication of JP2015088184A publication Critical patent/JP2015088184A/en
Application granted granted Critical
Publication of JP6488613B2 publication Critical patent/JP6488613B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

本発明は、不正取引を防止する技術に関する。   The present invention relates to a technique for preventing illegal transactions.

従来から、電子上の取引において、不正取引を防止するための技術が存在する。例えば、特許文献1には、パソコンなどの第1のユーザ端末に仮受付IDを表示させた後、携帯電話などの第2のユーザ端末により仮受付IDを送信させることにより、ログイン時の本人認証を強化する技術が開示されている。また、非特許文献1及び2は、オンライン・バンキングを行う際のセキュリティ上の脅威について開示している。例えば、非特許文献1には、インターネットを介したオンライン・バンキングにおいて、パソコンやスマートフォンなどの利用者端末内に密かに入り込んでいたマルウェア(ウイルス)が通信の状態をモニターし、ユーザがオンライン・バンキングを始めたことを察知すると、ブラウザの通信内容を盗取・改ざんする「Man−in−the−Browser攻撃」が開示されている。   2. Description of the Related Art Conventionally, there is a technique for preventing illegal transactions in electronic transactions. For example, in Patent Document 1, after a temporary reception ID is displayed on a first user terminal such as a personal computer, a temporary reception ID is transmitted by a second user terminal such as a mobile phone, thereby authenticating the user at the time of login. A technique for strengthening is disclosed. Non-Patent Documents 1 and 2 disclose security threats when performing online banking. For example, in Non-Patent Document 1, in online banking via the Internet, malware (virus) that has secretly entered a user terminal such as a personal computer or smartphone monitors the communication status, and the user performs online banking. When it is detected that the browser has started, a “Man-in-the-Browser attack” that steals and alters the communication content of the browser is disclosed.

特開2005−202806号公報JP-A-2005-202806

日本銀行金融研究所ホームページ、Discussion Paper No.2013−J−4、オンライン・バンキングに対するMan−in−the−Browser攻撃への対策 「取引認証」の安全性評価、鈴木雅貴・中山靖司・古原和邦、[平成25年8月26日検索]、インターネット<URL:http://www.imes.boj.or.jp/research/abstracts/japanese/13-J-04.html>Bank of Japan Financial Research Institute homepage, Discussion Paper No. 2013-J-4, Measures against Man-in-the-Browser Attack against Online Banking Safety Evaluation of “Transaction Authentication”, Masataka Suzuki, Junji Nakayama, Kunikuni Furuhara, [Search on August 26, 2013] Internet <URL: http://www.imes.boj.or.jp/research/abstracts/japanese/13-J-04.html> 株式会社FFRIホームページ、セキュリティ・レポート Monthly Research 2012年7月、ブラウザへの新しい攻撃と新しい対策、大居司、[平成25年8月26日検索]、インターネット<URL:http://www.fourteenforty.jp/research/monthly_research.htm>FFRI website, security report Monthly Research July 2012, new attacks on browsers and new countermeasures, Tsukasa Oi, [searched on August 26, 2013], Internet <URL: http: //www.fourteenforty .jp / research / monthly_research.htm> CRYPTRECホームページ、2008年度版リストガイド(メッセージ認証コード)、独立行政法人情報通信研究機構・独立行政法人情報処理推進機構、[平成25年8月26日検索]、インターネット<URL:http://www.cryptrec.go.jp/report/c08_listguide2008_mac_v7.pdf>CRYPTREC home page, 2008 list guide (message authentication code), National Institute of Information and Communications Technology, Information Processing Promotion Organization, [Search August 26, 2013], Internet <URL: http: // www .cryptrec.go.jp / report / c08_listguide2008_mac_v7.pdf>

オンライン・バンキングに使用する利用者端末がウイルスに感染し、Man−in−the−Browser攻撃を受けた場合、Webブラウザが乗っ取られているため、オンライン・バンキングへのログイン時の本人認証を強化する対策では不正取引を防止することができないという課題がある。そこで、本発明は、不正取引を好適に検知することが可能な取引システム及びプログラムを提供することを主な課題とする。   When a user terminal used for online banking is infected with a virus and is subjected to a Man-in-the-Browser attack, the web browser is hijacked, so that authentication of the user at login to online banking is strengthened. There is a problem that the countermeasures cannot prevent fraudulent transactions. Then, this invention makes it a main subject to provide the transaction system and program which can detect an unauthorized transaction suitably.

本発明の1つの観点は、取引に関する処理を実行するサーバと、前記取引に関する処理の実行を前記サーバに指示する端末とを備える取引システムであって、前記端末は、前記取引の内容を入力するための取引画面を表示する表示制御手段と、前記取引画面において入力された取引内容を示す入力情報を前記サーバに送信する第1送信制御手段と、取引内容が入力された後の前記取引画面の画像データを前記サーバに送信する第2送信制御手段と、を備え、前記サーバは、前記第1送信制御手段から受信した前記入力情報が示す取引内容と、前記第2送信制御手段から受信した前記画像データから抽出された取引内容とが異なる場合、前記取引に関する処理の実行を中止する不正取引検知手段を有する。
One aspect of the present invention is a transaction system including a server that executes a process related to a transaction and a terminal that instructs the server to execute the process related to the transaction. The terminal inputs the content of the transaction. Display control means for displaying a transaction screen , first transmission control means for transmitting input information indicating the transaction content input on the transaction screen to the server, and the transaction screen after the transaction content is input . Second transmission control means for transmitting image data to the server, and the server includes transaction details indicated by the input information received from the first transmission control means, and the received from the second transmission control means. If the transaction content extracted from the image data is different, an unauthorized transaction detection means for stopping execution of the process related to the transaction is provided.

上記の取引システムは、取引に関する処理を実行するサーバと、取引に関する処理の実行をサーバに指示する端末とを備える。端末では、取引の内容を入力するための取引画面が表示され、第1送信制御手段により取引画面において入力された取引内容を示す入力情報がサーバに送信される。また、第2送信制御手段により、取引内容が入力された後の取引画面の画像データがサーバに送信される。そして、サーバは、第1送信制御手段から受信した入力情報が示す取引内容と、第2送信制御手段から受信した画像データから抽出された取引内容とが異なる場合、取引に関する処理の実行を中止する。
The transaction system includes a server that executes a process related to a transaction and a terminal that instructs the server to execute the process related to the transaction. At the terminal, a transaction screen for inputting transaction details is displayed, and input information indicating transaction details input on the transaction screen is transmitted to the server by the first transmission control means. Moreover, the image data of the transaction screen after the transaction content is input is transmitted to the server by the second transmission control means. When the transaction content indicated by the input information received from the first transmission control unit is different from the transaction content extracted from the image data received from the second transmission control unit, the server stops execution of the process related to the transaction. .

上記の取引システムによれば、端末がウイルスに感染した場合であっても、サーバは、端末が送信する取引画面の入力情報に基づき、取引内容の改ざんの有無を的確に判定し、当該オンライン取引がMan−in−the−Browser攻撃を受けていることを検知することにより、不正取引を防止することができる。   According to the above transaction system, even if the terminal is infected with a virus, the server accurately determines whether or not the transaction content has been tampered with based on the input information on the transaction screen transmitted by the terminal, and the online transaction. By detecting that is under a Man-in-the-Browser attack, unauthorized transactions can be prevented.

好適な例では、前記端末は、表示用の第1プログラムと、前記第1プログラムとは異なる第2プログラムとを記憶する記憶部を有し、前記第1プログラムにより前記表示制御手段及び前記第1送信制御手段が構成され、前記第2プログラムにより前記第2送信制御手段が構成される。他の好適な例では、前記端末は、第3プログラムを記憶する記憶部を有し、前記第3プログラムにより、前記表示制御手段、前記第1送信制御手段、及び、前記第2送信制御手段が構成される。   In a preferred example, the terminal includes a storage unit that stores a first program for display and a second program different from the first program, and the display control unit and the first program are executed by the first program. Transmission control means is configured, and the second transmission control means is configured by the second program. In another preferred example, the terminal includes a storage unit that stores a third program, and the display control unit, the first transmission control unit, and the second transmission control unit are operated by the third program. Composed.

上記の取引システムの一態様では、前記第2送信制御手段は、取引内容が入力された後の前記取引画面をキャプチャした画像データを前記サーバに送信し、前記不正取引検知手段は、前記第2送信制御手段から受信した画像データに対して文字認識処理を行うことで、前記取引内容を認識する。この態様では、端末がウイルスに感染した場合であっても、画像データにより、正しい取引内容を示す情報をサーバへ送信することができる。
In one aspect of the transaction system, the second transmission control unit transmits image data capturing the transaction screen after transaction details are input to the server, and the fraudulent transaction detection unit includes the second transaction detection unit. The transaction content is recognized by performing a character recognition process on the image data received from the transmission control means. In this aspect, even if the terminal is infected with a virus, information indicating the correct transaction content can be transmitted to the server by image data.

上記の取引システムの他の一態様では、前記第2送信制御手段は、前記取引画面に対して入力された文字データが埋め込まれた前記画像データを、前記入力に基づく情報として前記サーバへ送信し、前記不正取引検知手段は、前記第2送信制御手段から受信した画像データから抽出した前記文字データに基づいて前記取引内容を認識する。この態様では、端末がウイルスに感染した場合であっても、画像データに埋め込まれた文字データにより、正しい取引内容を示す情報をサーバへ送信することができる。   In another aspect of the transaction system, the second transmission control unit transmits the image data in which the character data input to the transaction screen is embedded to the server as information based on the input. The fraudulent transaction detection unit recognizes the transaction content based on the character data extracted from the image data received from the second transmission control unit. In this aspect, even when the terminal is infected with a virus, information indicating the correct transaction content can be transmitted to the server by the character data embedded in the image data.

上記の取引システムの他の一態様では、前記端末の記憶部は、暗号化を行うおよび/またはメッセージ認証コードを付けるための暗号鍵を記憶し、前記サーバは、前記暗号鍵により暗号化されたデータの復号および/または前記メッセージ認証コードの検証を実施するための復号鍵を記憶する記憶部を有し、前記第2送信制御手段は、前記暗号鍵により前記画像データを暗号化および/または前記画像データにメッセージ認証コードを付けて送信し、前記不正取引検知手段は、前記第2送信制御手段から受信した前記画像データを前記復号鍵により復号および/または前記画像データに付された前記メッセージ認証コードの検証を実施する。なお、上記の暗号鍵及び復号鍵は、同一であってもよく、異なっていてもよい。この態様により、端末は、第2送信制御手段が送信する情報を安全にサーバに送信することができる。
In another aspect of the transaction system, the storage unit of the terminal stores an encryption key for performing encryption and / or attaching a message authentication code, and the server is encrypted with the encryption key . a storage unit that stores a decryption key for carrying out the decoding and / or verification of the message authentication code data, the second transmission control means, encryption and / or the said image data by the encryption key sending with the message authentication code to the image data, the trafficking detecting means, decoding and / or the message authenticator attached to the image data of the image data received from the second transmission control means by said decryption key Perform code verification. Note that the above encryption key and decryption key may be the same or different. According to this aspect, the terminal can safely transmit the information transmitted by the second transmission control means to the server.

上記取引システムの他の一態様では、前記端末の記憶部は、取引に関する処理の実行を前記サーバに指示する他の端末が記憶する暗号鍵と異なる暗号鍵を記憶し、前記サーバの記憶部は、前記端末ごとに異なる復号鍵を記憶する。この態様により、ある端末に記憶された暗号鍵が盗取された場合であっても、他の端末による取引の安全に影響が生じるのを好適に抑制することができる。   In another aspect of the transaction system, the storage unit of the terminal stores an encryption key that is different from an encryption key stored in another terminal that instructs the server to execute processing related to the transaction, and the storage unit of the server A different decryption key is stored for each terminal. According to this aspect, even when an encryption key stored in a certain terminal is stolen, it is possible to suitably suppress the influence on the safety of transactions by other terminals.

上記取引システムの他の一態様では、前記第2送信制御手段は、前記画像データに加えて前回の取引に関する情報を送信し、前記不正取引検知手段は、前記第2送信制御手段から受信した前記画像データ前記前回の取引に関する情報に基づき、不正取引であるか否かの判定を行う。この態様により、第1及び第2送信制御手段が送信する入力に基づく情報が共に改ざんされた場合であっても、サーバは、不正取引を好適に検知することができる。
In another aspect of the transaction system, the second transmission control unit transmits information related to the previous transaction in addition to the image data , and the fraudulent transaction detection unit receives the information received from the second transmission control unit. based on the information on transactions of the image data preceding, it is determined whether a fraudulent transaction. According to this aspect, even if the information based on the inputs transmitted by the first and second transmission control means is both altered, the server can preferably detect the illegal transaction.

上記取引システムの他の一態様では、前記第2送信制御手段は、前記画像データに加えて所定の文字列を送信し、前記不正取引検知手段は、前記第2送信制御手段から受信した前記画像データ前記所定の文字列に基づき、不正取引であるか否かの判定を行う。この態様により、第1及び第2送信制御手段が送信する入力に基づく情報が共に改ざんされた場合であっても、サーバは、不正取引を検知することができる。
In another aspect of the transaction system, the second transmission control unit transmits a predetermined character string in addition to the image data , and the illegal transaction detection unit receives the image received from the second transmission control unit. based on the data and the predetermined character string, it is determined whether a fraudulent transaction. According to this aspect, even when information based on the inputs transmitted by the first and second transmission control means is both altered, the server can detect an illegal transaction.

本発明の他の観点では、コンピュータを有する端末により実行されるプログラムは、取引の内容を入力するための取引画面を表示する表示制御手段、前記取引画面において入力された取引内容を示す入力情報を、取引に関する処理を実行するサーバに送信する第1送信制御手段、取引内容が入力された後の前記取引画面の画像データを前記サーバに送信する第2送信制御手段として前記コンピュータを機能させる。
In another aspect of the present invention, a program executed by a terminal having a computer includes display control means for displaying a transaction screen for inputting transaction details, and input information indicating transaction details input on the transaction screen. The computer is caused to function as first transmission control means for transmitting to a server that executes processing relating to transactions, and second transmission control means for transmitting image data of the transaction screen after transaction details are input to the server.

本発明のさらに他の観点では、コンピュータを有し、取引の内容を入力するための取引画面を表示するとともに、前記取引画面において入力された取引内容を示す入力情報を、取引に関する処理を実行するサーバに送信する端末により実行されるプログラムは、取引内容が入力された後の前記取引画面の画像データを前記サーバに送信する送信制御手段として前記コンピュータを機能させる。 In still another aspect of the present invention, the computer has a computer and displays a transaction screen for inputting transaction details, and executes processing related to the transaction with input information indicating the transaction details input on the transaction screen. The program executed by the terminal that transmits to the server causes the computer to function as a transmission control unit that transmits image data of the transaction screen after the transaction content is input to the server.

上記のプログラムをコンピュータにインストールして機能させることで、本発明に係る端末を構成させることができる。   The terminal according to the present invention can be configured by installing the above-described program in a computer and causing it to function.

本発明のさらに他の観点では、プログラムは、上記いずれか記載のサーバとしてコンピュータを機能させる。このプログラムをコンピュータにインストールして機能させることで、本発明に係るサーバを構成させることができる。   In still another aspect of the present invention, a program causes a computer to function as any one of the servers described above. By installing this program in a computer and causing it to function, the server according to the present invention can be configured.

本発明に係る取引システムによれば、取引画面等を表示する端末がウィルスなどに感染した場合であっても、サーバは、端末が送信する取引画面の入力情報に基づき、取引内容の改ざんの有無を的確に判定し、不正取引を好適に防止することができる。   According to the transaction system according to the present invention, even if the terminal displaying the transaction screen is infected with a virus or the like, the server may or may not tamper with the transaction contents based on the input information on the transaction screen transmitted by the terminal. Can be accurately determined, and illegal transactions can be suitably prevented.

実施形態に係る取引システムの構成を示す。The structure of the transaction system which concerns on embodiment is shown. サービス提供者サーバのブロック図を示す。The block diagram of a service provider server is shown. 利用者端末のブロック図を示す。The block diagram of a user terminal is shown. 第1実施形態における処理手順を示すフローチャートである。It is a flowchart which shows the process sequence in 1st Embodiment. 取引画面の入力情報を改ざんする攻撃があった場合の処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process when there exists an attack which falsifies the input information of a transaction screen. ログイン画面の表示例を示す。A display example of the login screen is shown. 取引画面の表示例を示す。The example of a display of a transaction screen is shown. キャプチャ画像データの例を示す。An example of captured image data is shown. 取引内容確認画面の表示例を示す。A display example of the transaction content confirmation screen is shown. 振込完了画面の表示例である。It is a display example of a transfer completion screen. 第2実施形態における処理手順を示すフローチャートである。It is a flowchart which shows the process sequence in 2nd Embodiment. 第3実施形態における処理手順を示すフローチャートである。It is a flowchart which shows the process sequence in 3rd Embodiment. 第3実施形態の変形例による追加画像の例を示す。The example of the additional image by the modification of 3rd Embodiment is shown. 変形例に係る取引システムの構成を示す。The structure of the transaction system which concerns on a modification is shown.

以下、図面を参照しながら、本発明を実施するのに好適な実施形態について説明する。以下に述べる取引システムは、インターネットを利用したオンライン・バンキングなどの電子取引を行う際に、取引内容の改ざんを好適に防ぐことが可能なシステムである。   Hereinafter, preferred embodiments for carrying out the present invention will be described with reference to the drawings. The transaction system described below is a system that can suitably prevent tampering of transaction contents when performing electronic transactions such as online banking using the Internet.

[第1実施形態]
(取引システムの構成)
図1は、本実施形態に係る取引システムの構成を示す。取引システムは、銀行等のサービス提供者が管理するサービス提供者サーバ1と、上述のサービスの提供を受ける利用者が使用する利用者端末3とを有する。サービス提供者サーバ1と利用者端末3とは、インターネットなどの通信網2を介してデータ通信を行う。また、図1の例では、サービス提供者サーバ1と利用者端末3との間の通信内容を改ざんして不正取引を実行しようとする攻撃者サーバ4が通信網2に接続されている。
[First Embodiment]
(Structure of transaction system)
FIG. 1 shows a configuration of a transaction system according to the present embodiment. The transaction system includes a service provider server 1 managed by a service provider such as a bank, and a user terminal 3 used by a user who receives the above service. The service provider server 1 and the user terminal 3 perform data communication via a communication network 2 such as the Internet. In the example of FIG. 1, an attacker server 4 that attempts to execute unauthorized transactions by altering the communication content between the service provider server 1 and the user terminal 3 is connected to the communication network 2.

攻撃者サーバ4は、利用者端末3が攻撃者サーバ4により制御可能なマルウェア(ウイルス)に感染した場合に、当該マルウェアを介して利用者端末3をコントロールし、利用者端末3の利用者がWebブラウザで表示する内容や入力された内容を盗取したり、当該マルウェアが利用者端末3から盗取し攻撃者サーバ4へ送信したデータを受信したりする。例えば、利用者端末3に感染したマルウェアは、利用者端末3がWebブラウザにより表示する取引内容を指定する画面(「取引画面」とも呼ぶ。)での入力内容を改ざんしてサービス提供者サーバ1に送信し、サービス提供者サーバ1からの応答内容も改ざんが無かったように書き換える。これにより、攻撃者は、利用者端末3の利用者が気づかないように取引内容を改ざんしようとする。このように、利用者端末3に感染したマルウェアは、所謂Man−in−the−Browser攻撃を実行する。本実施形態に係る取引システムは、後述するように、このような利用者端末3に感染したマルウェアが取引内容を改ざんすることによる不正取引を防止する。   When the user terminal 3 is infected with malware (virus) that can be controlled by the attacker server 4, the attacker server 4 controls the user terminal 3 via the malware, and the user of the user terminal 3 The content displayed by the Web browser or the input content is stolen, or the data the malware steals from the user terminal 3 and transmits to the attacker server 4 is received. For example, the malware infected with the user terminal 3 falsifies the input content on the screen (also referred to as “transaction screen”) for specifying the transaction content displayed by the user terminal 3 by the Web browser, and the service provider server 1. The response content from the service provider server 1 is also rewritten so that it has not been tampered with. Thereby, the attacker tries to tamper with the transaction contents so that the user of the user terminal 3 does not notice. As described above, the malware infected with the user terminal 3 executes a so-called Man-in-the-Browser attack. As will be described later, the transaction system according to the present embodiment prevents unauthorized transactions caused by malware infected by such user terminals 3 altering transaction contents.

図2は、サービス提供者サーバ1のブロック図である。サービス提供者サーバ1は、ディスプレイなどの表示部11と、キーボードなどの入力部12と、記憶部13と、データ通信を行う通信部14と、制御部15とを備える。これらの各要素は、バスライン10を介して相互に接続されている。   FIG. 2 is a block diagram of the service provider server 1. The service provider server 1 includes a display unit 11 such as a display, an input unit 12 such as a keyboard, a storage unit 13, a communication unit 14 that performs data communication, and a control unit 15. Each of these elements is connected to each other via a bus line 10.

記憶部13は、ハードディスク又はROMやRAMといったメモリによって構成される。記憶部13は、ログインIDやパスワードなどのユーザ認証に必要な情報その他のユーザ情報をデータベース化して記憶する。また、記憶部13は、サービス提供者サーバ1がWebサーバとして機能するために必要なプログラムや、利用者端末3が表示する取引画面などの各画面の表示情報を生成するのに必要な情報を記憶する。また、記憶部13は、利用者端末3が所定の公開鍵により暗号化したデータを復号するための秘密鍵(復号鍵)を記憶する。   The storage unit 13 is configured by a hard disk or a memory such as a ROM or a RAM. The storage unit 13 stores information necessary for user authentication such as a login ID and a password and other user information in a database. The storage unit 13 also stores information necessary for generating display information for each screen such as a program necessary for the service provider server 1 to function as a Web server and a transaction screen displayed by the user terminal 3. Remember. The storage unit 13 stores a secret key (decryption key) for decrypting data encrypted by the user terminal 3 with a predetermined public key.

制御部15は、図示しないCPU(Central Processing Unit)、ROM(Read Only Memory)及びRAM(Random Access Memory)などを備え、サービス提供者サーバ1内の各構成要素に対して種々の制御を行う。そして、制御部15は、本発明における「不正取引検知手段」として機能する。   The control unit 15 includes a CPU (Central Processing Unit), a ROM (Read Only Memory), a RAM (Random Access Memory), and the like (not shown), and performs various controls on each component in the service provider server 1. And the control part 15 functions as a "illegal transaction detection means" in this invention.

図3は、利用者端末3のブロック図である。利用者端末3は、ディスプレイなどの表示部31と、キーボードなどの入力部32と、記憶部33と、データ通信を行う通信部34と、制御部35とを備える。これらの各要素は、バスライン30を介して相互に接続されている。   FIG. 3 is a block diagram of the user terminal 3. The user terminal 3 includes a display unit 31 such as a display, an input unit 32 such as a keyboard, a storage unit 33, a communication unit 34 that performs data communication, and a control unit 35. These elements are connected to each other via a bus line 30.

記憶部33は、ハードディスク又はROMやRAMといったメモリによって構成される。記憶部33は、制御部15が実行する各プログラムを記憶する。例えば、記憶部33は、サービス提供者サーバ1から受信したHTMLファイル等に基づき所定のWebページを表示するWebブラウザ(ビューア)を起動するためのプログラムを記憶する。上述のプログラムは、本発明における「第1プログラム」の一例である。   The storage unit 33 is configured by a hard disk or a memory such as a ROM or a RAM. The storage unit 33 stores each program executed by the control unit 15. For example, the storage unit 33 stores a program for starting a Web browser (viewer) that displays a predetermined Web page based on an HTML file or the like received from the service provider server 1. The above-described program is an example of the “first program” in the present invention.

さらに、記憶部33は、サービス提供者サーバ1と協働して動作し、取引内容の改ざんの有無を判定するためのプログラム(「エージェントプログラム」とも呼ぶ。)を記憶する。エージェントプログラムは、例えば、利用者端末3の起動時、又は、Webブラウザが起動したタイミング若しくは利用者端末3が取引画面をWebブラウザにより表示したタイミングで起動される。エージェントプログラムは、本発明における「第2プログラム」の一例である。また、記憶部33は、エージェントプログラムに基づき利用者端末3がサービス提供者サーバ1に送信するデータを暗号化するための公開鍵(暗号鍵)を、エージェントプログラムと共に予め記憶している。   Further, the storage unit 33 operates in cooperation with the service provider server 1 and stores a program (also referred to as “agent program”) for determining whether or not the transaction content has been tampered with. The agent program is activated, for example, when the user terminal 3 is activated, when the web browser is activated, or when the user terminal 3 displays a transaction screen using the web browser. The agent program is an example of the “second program” in the present invention. The storage unit 33 stores in advance a public key (encryption key) for encrypting data transmitted from the user terminal 3 to the service provider server 1 based on the agent program, together with the agent program.

制御部35は、図示しないCPU、ROM及びRAMなどを備え、利用者端末3内の各構成要素に対して種々の制御を行う。制御部35は、記憶部33に記憶された各プログラムを実行することで、所定の処理を行う。例えば、制御部35は、エージェントプログラムを実行することで、取引内容が入力された状態の取引画面を示す画像データ(「キャプチャ画像データIm」とも呼ぶ。)を生成し、記憶部33が記憶する公開鍵により暗号化してサービス提供者サーバ1に送信する。そして、制御部35は、本発明における「表示制御手段」、「第1送信制御手段」及び「第2送信制御手段」として機能する。   The control unit 35 includes a CPU, a ROM, a RAM, and the like (not shown), and performs various controls on each component in the user terminal 3. The control unit 35 performs predetermined processing by executing each program stored in the storage unit 33. For example, the control unit 35 executes the agent program to generate image data (also referred to as “capture image data Im”) indicating the transaction screen in which the transaction content is input, and the storage unit 33 stores the image data. It is encrypted with the public key and transmitted to the service provider server 1. The control unit 35 functions as “display control means”, “first transmission control means”, and “second transmission control means” in the present invention.

(処理フロー)
次に、本実施形態における取引システムの処理について説明する。概略的には、サービス提供者サーバ1は、エージェントプログラムに基づき利用者端末3から送信されたキャプチャ画像データImを参照することで、Webブラウザの機能に基づき送信された取引内容を示す入力情報が改ざんされていないか確認を行う。これにより、利用者端末3のWebブラウザがウイルスに乗っ取られた場合であっても、不正取引を好適に防止する。
(Processing flow)
Next, processing of the transaction system in the present embodiment will be described. Schematically, the service provider server 1 refers to the captured image data Im transmitted from the user terminal 3 based on the agent program, so that input information indicating the transaction content transmitted based on the function of the Web browser is obtained. Check if it has been tampered with. Thereby, even if it is a case where the web browser of the user terminal 3 is taken over by a virus, an unauthorized transaction is prevented suitably.

(1)処理概要
図4は、本実施形態における取引システムが実行する処理手順を示すフローチャートである。図4及び後述する図5では、Webブラウザの機能に基づき利用者端末3が実行する処理と、エージェントプログラムに基づき利用者端末3が実行する処理とを分けて記載している。
(1) Process Overview FIG. 4 is a flowchart showing a process procedure executed by the transaction system in the present embodiment. In FIG. 4 and FIG. 5 described later, the process executed by the user terminal 3 based on the function of the Web browser and the process executed by the user terminal 3 based on the agent program are described separately.

まず、利用者端末3は、サービス提供者サーバ1から受信した表示情報に基づき、ログイン画面をWebブラウザにより表示し、ログインIDやパスワード等のログイン情報の入力を受け付ける(ステップS101)。ログイン画面の表示例については、図6を参照して後述する。そして、利用者端末3は、ログイン画面にて入力されたログイン情報をサービス提供者サーバ1へ送信する。   First, based on the display information received from the service provider server 1, the user terminal 3 displays a login screen with a Web browser and accepts input of login information such as a login ID and password (step S101). A display example of the login screen will be described later with reference to FIG. Then, the user terminal 3 transmits the login information input on the login screen to the service provider server 1.

次に、サービス提供者サーバ1は、利用者端末3から受信したログイン情報に基づき、利用者の識別及び認証を行う(ステップS102)。例えば、サービス提供者サーバ1は、ログイン情報に含まれるログインIDによりログイン情報の送信元の利用者を識別すると共に、ログインIDと共に受信したパスワードにより利用者の認証を行う。そして、サービス提供者サーバ1は、利用者の認証ができなかった場合(ステップS103;No)、フローチャートの処理を終了する。   Next, the service provider server 1 identifies and authenticates the user based on the login information received from the user terminal 3 (step S102). For example, the service provider server 1 identifies the user of the login information transmission source by the login ID included in the login information, and authenticates the user by the password received together with the login ID. And service provider server 1 complete | finishes the process of a flowchart, when a user cannot be authenticated (step S103; No).

そして、サービス提供者サーバ1は、利用者の認証ができた場合(ステップS103;Yes)、取引画面の表示情報を利用者端末3に送信する(ステップS104)。なお、取引画面の表示例については、図7を参照して後述する。そして、利用者端末3は、サービス提供者サーバ1から表示情報を受信し、取引画面をWebブラウザにより表示すると共に、ユーザによる取引内容を指定する入力、及び、取引実行の指示を受け付ける(ステップS105)。   And the service provider server 1 transmits the display information of a transaction screen to the user terminal 3, when a user can be authenticated (step S103; Yes) (step S104). A display example of the transaction screen will be described later with reference to FIG. Then, the user terminal 3 receives the display information from the service provider server 1, displays the transaction screen by the Web browser, receives an input for specifying the transaction details by the user, and an instruction to execute the transaction (step S105). ).

取引実行の指示を受け付けると、利用者端末3は、エージェントプログラムに基づき、キャプチャ画像データImを生成し(ステップS107)、記憶部33に保存する。なお、キャプチャ画像データImの例については図8を参照して後述する。   Upon receiving the transaction execution instruction, the user terminal 3 generates capture image data Im based on the agent program (step S107) and stores it in the storage unit 33. An example of the captured image data Im will be described later with reference to FIG.

次に、利用者端末3は、エージェントプログラムに基づき、キャプチャ画像データImを記憶部33に記憶された公開鍵により暗号化する(ステップS108)。そして、利用者端末3は、暗号化したキャプチャ画像データImをサービス提供者サーバ1に送信する。サービス提供者サーバ1は、暗号化したキャプチャ画像データImを受信し、記憶部13に予め記憶された秘密鍵により復号する(ステップS109)。これにより、サービス提供者サーバ1は、キャプチャ画像データImを取得する。そして、サービス提供者サーバ1は、文字認識により、キャプチャ画像データImに表示された取引内容を示す情報(「取引情報Ia」とも呼ぶ。)を抽出する(ステップS110)。例えば、サービス提供者サーバ1は、取引情報Iaとして、取引画面で入力された銀行名及び支店名、口座番号、振込金額などの各項目を表す文字列を文字認識により抽出する。 Next, the user terminal 3 encrypts the captured image data Im using the public key stored in the storage unit 33 based on the agent program (step S108). Then, the user terminal 3 transmits the encrypted captured image data Im to the service provider server 1. The service provider server 1 receives the encrypted captured image data Im and decrypts it with a secret key stored in advance in the storage unit 13 (step S109). Thereby, the service provider server 1 acquires the captured image data Im. And the service provider server 1 extracts the information (it is also called "transaction information Ia") which shows the transaction content displayed on the capture image data Im by character recognition (step S110). For example, the service provider server 1 extracts, as the transaction information Ia, a character string representing each item such as a bank name and a branch name, an account number, and a transfer amount input on the transaction screen by character recognition.

次に、利用者端末3は、Webブラウザの機能に基づき、取引画面において入力された取引内容を示す入力情報の送信を行う(ステップS111)。この場合、利用者端末3は、HTTP(Hyper Text Transfer Protocol)のPOSTメソッドにより、上述の入力情報を送信する。なお、ステップS111での通信は、例えばSSL(Secure Socekt Layer)による暗号通信により暗号化される。   Next, the user terminal 3 transmits input information indicating transaction details input on the transaction screen based on the function of the Web browser (step S111). In this case, the user terminal 3 transmits the above input information by the POST method of HTTP (Hyper Text Transfer Protocol). Note that the communication in step S111 is encrypted by, for example, encrypted communication using SSL (Secure Socket Layer).

次に、サービス提供者サーバ1は、利用者端末3から取引画面の入力情報を受信し、入力情報から取引内容を示す情報(「取引情報Ib」とも呼ぶ。)を抽出する(ステップS112)。ここで、サービス提供者サーバ1は、取引情報Ibとして、取引情報Iaと同様、銀行名及び支店名、口座番号、振込金額などの各項目を表す文字列を抽出する。   Next, the service provider server 1 receives the transaction screen input information from the user terminal 3, and extracts information indicating transaction details (also referred to as "transaction information Ib") from the input information (step S112). Here, the service provider server 1 extracts, as the transaction information Ib, a character string representing each item such as a bank name, a branch name, an account number, and a transfer amount, like the transaction information Ia.

そして、サービス提供者サーバ1は、取引情報Iaと取引情報Ibとが同じ内容を示すか否か判定する(ステップS113)。これにより、サービス提供者サーバ1は、HTTPのPOSTメソッドにより送信された取引画面の入力情報の改ざんの有無を判定する。そして、取引情報Iaと取引情報Ibとが同じ内容を示す場合(ステップS113;Yes)、サービス提供者サーバ1は、ステップS112で受信した取引画面の入力情報は改ざんされていないと判断し、取引内容確認画面の表示情報を利用者端末3に送信する(ステップS114)。一方、取引情報Iaと取引情報Ibとが異なる内容を示す場合(ステップS113;No)、サービス提供者サーバ1は、ステップS112で受信した取引画面の入力情報が改ざんされている可能性があると判断し、取引を完了させることなくフローチャートの処理を終了する。これにより、サービス提供者サーバ1は、不正取引を防止することができる。   And the service provider server 1 determines whether the transaction information Ia and the transaction information Ib show the same content (step S113). As a result, the service provider server 1 determines whether or not the input information on the transaction screen transmitted by the HTTP POST method has been tampered with. If the transaction information Ia and the transaction information Ib indicate the same content (step S113; Yes), the service provider server 1 determines that the input information on the transaction screen received in step S112 has not been tampered with, and the transaction The display information of the content confirmation screen is transmitted to the user terminal 3 (step S114). On the other hand, when the transaction information Ia and the transaction information Ib indicate different contents (step S113; No), the service provider server 1 may have altered the transaction screen input information received in step S112. Judgment is made and the process of the flowchart is terminated without completing the transaction. Thereby, the service provider server 1 can prevent an unauthorized transaction.

そして、サービス提供者サーバ1が取引内容確認画面の情報を利用者端末3に送信した後、利用者端末3は、受信した表示情報に基づき、取引内容確認画面を表示する(ステップS115)。その後、利用者端末3は、ユーザ操作に基づき、取引実行の確認を検知し、取引実行の確認を示す情報をサービス提供者サーバ1に送信する(ステップS116)。そして、利用者端末3は、上述の指示情報を受信し、ステップS112で受信した取引情報Ibが示す取引を実行する(ステップS117)。   Then, after the service provider server 1 transmits information on the transaction content confirmation screen to the user terminal 3, the user terminal 3 displays a transaction content confirmation screen based on the received display information (step S115). Thereafter, the user terminal 3 detects a transaction execution confirmation based on the user operation, and transmits information indicating the transaction execution confirmation to the service provider server 1 (step S116). And user terminal 3 receives the above-mentioned directions information, and performs the transaction which transaction information Ib received at Step S112 shows (Step S117).

(変形例)
サービス提供者サーバ1が提供する取引内容確認画面の情報は必要に応じて、非表示として処理を行っても良い。つまり、ステップS113;Yesの後に、ステップS117の処理へ移行することでも良い。このような処理を行うことで、利用者に対し、従来と変わらないオンライン・バンキングにおける振込処理を提供することが可能となる。また、攻撃者からも、取引内容の改ざん確認処理をしていることを秘匿することができるため、さらなる不正取引を好適に防止することができる。但し、本変形例においてステップS113;Noに処理が進んだ場合は、取引が失敗した旨をユーザに表示することとなる。
(Modification)
The information on the transaction content confirmation screen provided by the service provider server 1 may be processed as hidden if necessary. That is, after step S113; Yes, the process may proceed to step S117. By performing such processing, it is possible to provide the user with transfer processing in online banking that is not different from the conventional one. Further, since it is possible to conceal that the transaction content has been tampered with from the attacker, it is possible to suitably prevent further unauthorized transactions. However, if the process proceeds to step S113; No in this modification, a message indicating that the transaction has failed is displayed to the user.

(2)改ざんがあった場合
図5は、Webブラウザの機能に基づき送信される取引画面の入力情報が改ざんされる場合、即ちMan−in−the−Browser攻撃があった場合の処理の流れを示すフローチャートである。図5に示す例では、利用者端末3が攻撃者サーバ4により制御されるウイルスに感染し、Webブラウザによる表示内容やWebブラウザで表示中の取引画面への入力が盗取、改ざん可能な状態にあるものとする。なお、図5では、便宜上、図4に示すフローチャートと同一処理が行われるステップの表示を一部省略している。
(2) Case of Tampering FIG. 5 shows the flow of processing when the input information on the transaction screen transmitted based on the function of the Web browser is tampered, that is, when there is a Man-in-the-Browser attack. It is a flowchart to show. In the example shown in FIG. 5, the user terminal 3 is infected with a virus controlled by the attacker server 4, and the contents displayed on the Web browser and the input to the transaction screen displayed on the Web browser can be stolen and altered. It shall be in In FIG. 5, for the sake of convenience, part of the display of the steps in which the same processing as that in the flowchart shown in FIG. 4 is performed is omitted.

まず、ステップS107において、利用者端末3は、キャプチャ画像データImを生成し、ステップS108において、キャプチャ画像データImを公開鍵により暗号化して送信する。なお、この場合、利用者端末3は、Webブラウザのプログラムとは別のエージェントプログラムによりステップS107及びステップS108を実行するため、ウイルス感染による影響を受けることなくキャプチャ画像データImを生成し、送信する。これにより、サービス提供者サーバ1は、ステップS110で取引情報Iaを取得する。   First, in step S107, the user terminal 3 generates captured image data Im, and in step S108, the captured image data Im is encrypted with a public key and transmitted. In this case, since the user terminal 3 executes steps S107 and S108 by an agent program different from the Web browser program, the user terminal 3 generates and transmits the captured image data Im without being affected by the virus infection. . Thereby, the service provider server 1 acquires the transaction information Ia at step S110.

その後、ステップS111において、利用者端末3は、Webブラウザの機能に基づき、取引画面の入力情報を送信する。この場合、ステップS201において、攻撃者サーバ4は、利用者端末3が感染したウイルスを制御することで、取引画面の入力情報の改ざんを行い、改ざん後の入力情報をサービス提供者サーバ1へ送信する。なお、ステップS111で利用者端末3がSSL等による暗号通信を行う場合であっても、攻撃者サーバ4は、暗号化前の入力情報を改ざんした後、改ざんした入力情報を暗号化して利用者端末3に送信する。従って、この場合、Webブラウザの機能により送信する取引画面の入力情報は、暗号化通信を行うか否かに関わらず改ざんされる。   Thereafter, in step S111, the user terminal 3 transmits the input information of the transaction screen based on the function of the Web browser. In this case, in step S201, the attacker server 4 controls the virus infected by the user terminal 3, thereby falsifying the input information on the transaction screen, and transmits the falsified input information to the service provider server 1. To do. Even in the case where the user terminal 3 performs encrypted communication using SSL or the like in step S111, the attacker server 4 falsifies the input information before encryption and then encrypts the input information before encryption. Transmit to terminal 3. Therefore, in this case, the input information on the transaction screen transmitted by the function of the Web browser is falsified regardless of whether or not encrypted communication is performed.

そして、サービス提供者サーバ1は、ステップS112で、受信した入力情報から取引情報Ibを抽出する。この場合、ステップS201で攻撃者サーバ4により入力情報が改ざんされているため、取引情報Ibは、攻撃者サーバ4により書き換えられた不正な取引内容を示すことになる。   Then, in step S112, the service provider server 1 extracts the transaction information Ib from the received input information. In this case, since the input information has been falsified by the attacker server 4 in step S201, the transaction information Ib indicates the illegal transaction content rewritten by the attacker server 4.

次に、ステップS113で、サービス提供者サーバ1は、取引情報Iaと取引情報Ibとの内容が一致するか否か判定し、取引情報Iaと取引情報Ibとが同じ内容ではないと判断する。従って、この場合、サービス提供者サーバ1は、取引を完了することなくフローチャートの処理を終了する。   Next, in step S113, the service provider server 1 determines whether or not the contents of the transaction information Ia and the transaction information Ib match, and determines that the transaction information Ia and the transaction information Ib are not the same contents. Therefore, in this case, the service provider server 1 ends the process of the flowchart without completing the transaction.

以上のように、利用者端末3がウイルスに感染し、Webブラウザの機能に基づき送信された通信データが改ざんされた場合であっても、サービス提供者サーバ1は、エージェントプログラムにより利用者端末3が送信したキャプチャ画像データImに基づき改ざんを検知し、不正取引の実行を確実に防ぐことができる。   As described above, even when the user terminal 3 is infected with a virus and the communication data transmitted based on the function of the Web browser is falsified, the service provider server 1 uses the agent program to the user terminal 3. The tampering can be detected based on the captured image data Im transmitted by, and the illegal transaction can be surely prevented.

(表示画面例)
次に、図4及び図5のフローチャートの処理に関連する利用者端末3の表示画面例について、図6〜図10を参照して説明する。図6〜図10は、オンライン・バンキングにより振込を行う例を示す。
(Display screen example)
Next, display screen examples of the user terminal 3 relating to the processing of the flowcharts of FIGS. 4 and 5 will be described with reference to FIGS. 6 to 10 show an example in which the transfer is performed by online banking.

図6は、ステップS101で利用者端末3がWebブラウザにより表示したログイン画面の表示例を示す。図6に示すように、利用者端末3は、ログイン画面上に、ログインIDを入力するためのログインID入力欄50と、パスワードを入力するためのパスワード入力欄51と、ログインボタン52とを表示している。そして、利用者端末3は、ログインボタン53がマウスのクリック操作等により選択されたことを検知した場合、ログインID入力欄50に入力されたログインIDとパスワード入力欄51に入力されたパスワードとを含むログイン情報をサービス提供者サーバ1へ送信する。   FIG. 6 shows a display example of a login screen displayed by the user terminal 3 using a Web browser in step S101. As shown in FIG. 6, the user terminal 3 displays a login ID input field 50 for inputting a login ID, a password input field 51 for inputting a password, and a login button 52 on the login screen. doing. When the user terminal 3 detects that the login button 53 has been selected by a mouse click operation or the like, the user terminal 3 uses the login ID input in the login ID input field 50 and the password input in the password input field 51. The login information including it is transmitted to the service provider server 1.

図7は、ステップS105で利用者端末3がWebブラウザにより表示した取引画面の表示例を示す。利用者端末3は、図7に示す取引画面上に、振込先の銀行名、支店名、口座番号をそれぞれ指定するための振込先指定欄54〜56と、振込金額を指定するための振込金額指定欄57と、振込実行ボタン58とを表示している。   FIG. 7 shows a display example of the transaction screen displayed by the user terminal 3 using the web browser in step S105. On the transaction screen shown in FIG. 7, the user terminal 3 includes transfer destination designation fields 54 to 56 for designating the bank name, branch name, and account number of the transfer destination, and the transfer amount for designating the transfer amount. A designation field 57 and a transfer execution button 58 are displayed.

利用者端末3のユーザは、図7の取引画面において、各指定欄54〜57に振込先や振込金額に関する情報を取引画面上で入力した後、振込実行ボタン58を押下する。この時、図7の画面をエージェントプログラムがキャプチャ(ディスプレイ等に表示されている画面を取り込んで画像データとして保存する処理)し、そのキャプチャ画像データImを生成し、公開鍵により暗号化してサービス提供者サーバ1に送信する。図8は、キャプチャ画像データImの例を示す。キャプチャ画像データImは、図7に示す取引画面をキャプチャした画像であり、図7に示す取引画面と同一となる。   On the transaction screen of FIG. 7, the user of the user terminal 3 presses the transfer execution button 58 after inputting information on the transfer destination and the transfer amount in the respective designation fields 54 to 57 on the transaction screen. At this time, the agent program captures the screen of FIG. 7 (processing to capture the screen displayed on the display etc. and save it as image data), generates the captured image data Im, encrypts it with the public key, and provides the service To server 1. FIG. 8 shows an example of the captured image data Im. The captured image data Im is an image obtained by capturing the transaction screen shown in FIG. 7, and is the same as the transaction screen shown in FIG.

また、ユーザにより振込実行ボタン58が選択されると、利用者端末3は、ステップS111において、振込先指定欄54〜56及び振込金額指定欄57に入力された情報をHTTPのPOSTメソッドによりサービス提供者サーバ1へ送信する。   When the transfer execution button 58 is selected by the user, the user terminal 3 provides the information input in the transfer destination designation fields 54 to 56 and the transfer amount designation field 57 in step S111 using the HTTP POST method. To server 1.

図9は、ステップS115で利用者端末3が表示する取引内容確認画面の表示例を示す。図9に示すように、利用者端末3は、取引内容確認画面上に、取引内容である振込先及び振込金額を表示すると共に、取引実行を最終確認するための確認ボタン61と、取引実行を中止するための中止ボタン62とを表示する。そして、利用者端末3は、確認ボタン61が選択されたことを検知した場合、ステップS116により、取引実行を指示する情報をサービス提供者サーバ1に送信し、サービス提供者サーバ1が取引の実行を行う。その後、利用者端末3は、サービス提供者サーバ1から取引完了に関する表示情報を受信し、取引が完了した旨の画面をWebブラウザにより表示する。図10は、振込完了画面の表示例である。図10の例では、利用者端末3は、実行された振込の取引に対してサービス提供者サーバ1が割り振った受付番号を表示している。   FIG. 9 shows a display example of the transaction content confirmation screen displayed by the user terminal 3 in step S115. As shown in FIG. 9, the user terminal 3 displays the transfer destination and the transfer amount, which are the transaction details, on the transaction content confirmation screen, and the confirmation button 61 for final confirmation of the transaction execution and the transaction execution. A cancel button 62 for canceling is displayed. If the user terminal 3 detects that the confirmation button 61 has been selected, in step S116, the user terminal 3 transmits information instructing transaction execution to the service provider server 1, and the service provider server 1 executes the transaction. I do. Thereafter, the user terminal 3 receives display information related to transaction completion from the service provider server 1 and displays a screen indicating that the transaction is completed by a Web browser. FIG. 10 is a display example of a transfer completion screen. In the example of FIG. 10, the user terminal 3 displays the reception number assigned by the service provider server 1 for the executed transfer transaction.

ここで、Man−in−the−Browser攻撃があった場合について補足説明する。攻撃者サーバ4は、利用者端末3が感染したウイルスを制御することで、図7に示す取引画面の振込先や振込金額を不正に書き換えた情報をサービス提供者サーバ1に送信する。さらに、攻撃者サーバ4は、取引が正常に行われたと偽装するため、改ざん前の振込先や振込金額を示す取引内容確認画面等を生成し、利用者端末3のWebブラウザに表示させる。この場合であっても、サービス提供者サーバ1は、キャプチャ画像データImを参照することで、改ざんの有無を的確に判定し、不正取引の実行を防止することができる。このように、サービス提供者サーバ1は、オンライン取引がMan−in−the−Browser攻撃を受けていることを検知することにより、不正取引を防止することができる。   Here, a supplementary description will be given of a case where a Man-in-the-Browser attack has occurred. The attacker server 4 controls the virus infected by the user terminal 3, thereby transmitting to the service provider server 1 information obtained by illegally rewriting the transfer destination and transfer amount on the transaction screen shown in FIG. 7. Furthermore, since the attacker server 4 disguises that the transaction has been normally performed, the attacker server 4 generates a transaction content confirmation screen indicating the transfer destination and the transfer amount before tampering, and displays the screen on the Web browser of the user terminal 3. Even in this case, the service provider server 1 can accurately determine the presence / absence of tampering by referring to the captured image data Im, and can prevent unauthorized transactions. In this way, the service provider server 1 can prevent unauthorized transactions by detecting that online transactions are subject to a Man-in-the-Browser attack.

[第2実施形態]
上述の第1実施形態では、利用者端末3はWebブラウザとエージェントプログラムにより取引に関する処理を実行している。これに対し、第2実施形態では、1つのプログラム(以下、便宜上「統合プログラム」と呼ぶ。)により取引に関する処理を実行する。統合プログラムの一例はオンライン・バンキングなどの電子取引用のプログラムにWebブラウザ機能を組み込んだプログラムである。統合プログラムは、取引内容入力表示機能と、画面情報取得送信機能とを有する。なお、統合プログラムは、本発明における「第3プログラム」の一例である。
[Second Embodiment]
In the first embodiment described above, the user terminal 3 executes processing related to transactions using a Web browser and an agent program. On the other hand, in the second embodiment, processing related to transactions is executed by one program (hereinafter referred to as “integrated program” for convenience). An example of the integrated program is a program in which a Web browser function is incorporated into a program for electronic transactions such as online banking. The integrated program has a transaction content input / display function and a screen information acquisition / transmission function. The integrated program is an example of the “third program” in the present invention.

図11は、第2実施形態による処理手順を示すフローチャートである。図4と比較すると理解されるように、第2実施形態では、統合プログラムの取引内容入力表示機能が第1実施形態におけるWebブラウザと同一の処理を実行し、画面情報取得送信機能が第1実施形態におけるエージェントプログラムと同一の処理を実行する。即ち、第2実施形態において、利用者端末3により実行される処理は第1実施形態と同様である。また、第2実施形態においてサービス提供者サーバ2が実行する処理も第1実施形態と同様である。これにより、第2実施形態においても第1実施形態と同様に攻撃者サーバによる入力情報の改ざんを検知し、不正取引を防止することができる。   FIG. 11 is a flowchart illustrating a processing procedure according to the second embodiment. As understood from comparison with FIG. 4, in the second embodiment, the transaction content input / display function of the integrated program executes the same processing as the Web browser in the first embodiment, and the screen information acquisition / transmission function is the first embodiment. The same processing as the agent program in the embodiment is executed. That is, in the second embodiment, the process executed by the user terminal 3 is the same as that in the first embodiment. The processing executed by the service provider server 2 in the second embodiment is the same as that in the first embodiment. Thereby, also in 2nd Embodiment, the alteration of the input information by an attacker server can be detected similarly to 1st Embodiment, and an unauthorized transaction can be prevented.

[第3実施形態]
上記の第1及び第2実施形態では、利用者端末3が取引画面のキャプチャ画像をサービス提供者サーバ1へ送信し、サービス提供者サーバ1はキャプチャ画像から文字認識により取引内容を示す情報(取引情報Ia)を抽出している。これに代えて、第3実施形態では、利用者端末3は、取引画面に対して入力されたテキスト(文字データ)を取引画面のキャプチャ画像データに埋め込んでサービス提供者サーバ1へ送信する。サービス提供者サーバ1は、キャプチャ画像データに埋め込まれている文字データを抽出し、取引内容を示す取引情報Iaとして使用する。これ以外の点は、第3実施形態は基本的に第1及び第2実施形態と同様である。
[Third Embodiment]
In said 1st and 2nd embodiment, the user terminal 3 transmits the capture image of a transaction screen to the service provider server 1, and the service provider server 1 is information (transaction) which shows transaction content by character recognition from a capture image. Information Ia) is extracted. Instead, in the third embodiment, the user terminal 3 embeds text (character data) input to the transaction screen in the captured image data of the transaction screen and transmits it to the service provider server 1. The service provider server 1 extracts character data embedded in the captured image data, and uses it as transaction information Ia indicating transaction details. Except for this point, the third embodiment is basically the same as the first and second embodiments.

図12は、第3実施形態による処理手順を示すフローチャートである。なお、図12は、第2実施形態と同様に、利用者端末3上で統合プログラムが動作する場合を示している。   FIG. 12 is a flowchart illustrating a processing procedure according to the third embodiment. FIG. 12 shows a case where the integrated program operates on the user terminal 3 as in the second embodiment.

図11と比較すると理解されるように、第3実施形態では、ステップS105x、S107xが追加され、ステップS110がステップS110xに置換されている。これ以外は、図12に示す第3実施形態の処理は図11に示す第2実施形態の処理と同様である。   As understood from comparison with FIG. 11, in the third embodiment, steps S105x and S107x are added, and step S110 is replaced with step S110x. Except for this, the processing of the third embodiment shown in FIG. 12 is the same as the processing of the second embodiment shown in FIG.

具体的には、ステップS105において、利用者端末3の取引内容入力表示機能が取引画面に対する利用者の入力及び取引実行の入力を受け取ると(ステップS105)、画像情報取得送信機能は入力されたテキストを取得する(ステップS105x)。次に、画像情報取得送信機能は、キャプチャ画像データImを生成し(ステップS107)、さらにステップS105xで取得したテキストをそのキャプチャ画像データImに埋め込む(ステップS107x)。そして、画像情報取得送信機能は、キャプチャ画像データImを公開鍵により暗号化してサービス提供者サーバ1へ送信する(ステップS108)。   Specifically, in step S105, when the transaction content input / display function of the user terminal 3 receives the user's input and the transaction execution input on the transaction screen (step S105), the image information acquisition / transmission function receives the input text. Is acquired (step S105x). Next, the image information acquisition / transmission function generates capture image data Im (step S107), and further embeds the text acquired in step S105x in the capture image data Im (step S107x). Then, the image information acquisition / transmission function encrypts the captured image data Im with the public key and transmits it to the service provider server 1 (step S108).

サービス提供者サーバ1は、暗号化したキャプチャ画像データImを受信し、秘密鍵により復号する(ステップS109)。次に、サービス提供者サーバ1は、キャプチャ画像に埋め込まれているテキストを抽出し(ステップS110x)、これを取引情報Iaとして以後の処理を行う。即ち、サービス提供者サーバ1は、このテキストを取引情報Iaとして、ステップS113において取引情報Ibとの一致判定を行う。ステップS112以降の処理は第1及び第2実施形態と同様であるので説明を省略する。   The service provider server 1 receives the encrypted captured image data Im and decrypts it with the secret key (step S109). Next, the service provider server 1 extracts the text embedded in the captured image (step S110x), and performs the subsequent processing using this as transaction information Ia. That is, the service provider server 1 uses this text as transaction information Ia, and performs a match determination with the transaction information Ib in step S113. Since the processing after step S112 is the same as in the first and second embodiments, the description thereof is omitted.

このように、第3実施形態では、取引画面に対して入力されたテキストをキャプチャ画像データに埋め込んで送信し、サービス提供者サーバ1はキャプチャ画像データからこのテキストを抽出して内容の一致判定を行うので、第1及び第2実施形態のように、サービス提供者サーバ1側でキャプチャ画像データに対する文字認識を行う必要が無い。   As described above, in the third embodiment, the text input to the transaction screen is embedded in the captured image data and transmitted, and the service provider server 1 extracts the text from the captured image data and determines whether the contents match. Therefore, unlike the first and second embodiments, there is no need to perform character recognition on the captured image data on the service provider server 1 side.

なお、図12は第3実施形態を第2実施形態と同様に統合プログラムを利用する場合に適用した例を示しているが、第3実施形態を第1実施形態と同様にWebブラウザ及びエージェントプログラムを利用する場合に適用することもできる。   FIG. 12 shows an example in which the third embodiment is applied to the case where an integrated program is used as in the second embodiment. However, the third embodiment is similar to the first embodiment in the Web browser and the agent program. It can also be applied when using.

キャプチャ画像データにテキストを埋め込む手法としては、各種の既知の手法を適用することができる。例えば、ステガノグラフィ―、電子透かしなどの技術を利用することができる。電子透かしは、知覚可能型であっても知覚困難型であってもよい。また、例えば特許第5359650号公報に記載されるように、画像フォーマットの隙間にテキスト情報を埋め込む手法を適用してもよい。   As a technique for embedding text in captured image data, various known techniques can be applied. For example, techniques such as steganography and digital watermarking can be used. The digital watermark may be perceptible or difficult to perceive. Further, for example, as described in Japanese Patent No. 5359650, a method of embedding text information in a gap between image formats may be applied.

また、変形例として、キャプチャ画像データに対して、テキストの内容に相当する画像を追加してもよい。例えば、「25円」というテキストを図13に示すように矩形と円とを用いた画像により表現し、この画像をキャプチャ画像内に描画してもよい。   As a modification, an image corresponding to the text content may be added to the captured image data. For example, the text “25 yen” may be represented by an image using a rectangle and a circle as shown in FIG. 13, and this image may be drawn in the captured image.

[キャプチャ画像データImが改ざんされた場合の対策]
図5に示す例と同様に、利用者端末3が攻撃者サーバ4により制御されるウイルスに感染し、Webブラウザによる表示内容やWebブラウザで表示中の取引画面への入力が盗取、改ざん可能な状態にある場合、攻撃者が仕込んだウイルスによってキャプチャ画像データImが改ざんされる可能性がある。
[Countermeasures when the captured image data Im is falsified]
Similar to the example shown in FIG. 5, the user terminal 3 is infected with a virus controlled by the attacker server 4, and the content displayed on the Web browser and the input to the transaction screen displayed on the Web browser can be stolen and altered. In such a state, there is a possibility that the captured image data Im is falsified by a virus prepared by the attacker.

これに対する対策として、取引システムは、例えば上述の非特許文献3等に記載されたメッセージ認証コードを使った対策を実行するとよい。この具体例について以下説明する。まず、サービス提供者サーバ1の記憶部13と利用者端末3の記憶部33とは、共通の鍵を事前に記憶しておく。そして、利用者端末3は、ステップS108での公開鍵でのキャプチャ画像データImの暗号化に加えて、又はこれに代えて、上述の鍵及びキャプチャ画像データImから所定のアルゴリズムを用いてメッセージ認証コードを生成し、生成したメッセージ認証コードをキャプチャ画像データImに付してサービス提供者サーバ1に送信する。サービス提供者サーバ1は、受信したキャプチャ画像データImと記憶部13が記憶する上述の共通の鍵とから所定のアルゴリズムを用いてメッセージ認証コードを生成し、利用者端末3から受信したメッセージ認証コードと同一であるか否か判定する。そして、サービス提供者サーバ1は、メッセージ認証コードが同一でないと判断した場合、キャプチャ画像データImが改ざんされたと判断し、取引を実行することなくフローチャートの処理を終了する。このように、メッセージ認証コードを用いることで、取引システムは、攻撃者が仕込んだウイルスによってキャプチャ画像データImが改ざんされた場合であっても、不正取引を的確に検知し、その実行を好適に防ぐことができる。   As a countermeasure against this, for example, the transaction system may execute a countermeasure using a message authentication code described in Non-Patent Document 3 described above. This specific example will be described below. First, the storage unit 13 of the service provider server 1 and the storage unit 33 of the user terminal 3 store a common key in advance. Then, in addition to or instead of encrypting the captured image data Im with the public key in step S108, the user terminal 3 performs message authentication using a predetermined algorithm from the above-described key and the captured image data Im. A code is generated, and the generated message authentication code is attached to the captured image data Im and transmitted to the service provider server 1. The service provider server 1 generates a message authentication code from the received captured image data Im and the common key stored in the storage unit 13 using a predetermined algorithm, and receives the message authentication code received from the user terminal 3. It is determined whether or not the same. When the service provider server 1 determines that the message authentication codes are not the same, the service provider server 1 determines that the captured image data Im has been tampered with, and ends the process of the flowchart without executing the transaction. In this way, by using the message authentication code, the transaction system can accurately detect unauthorized transactions even if the captured image data Im has been tampered with by a virus prepared by an attacker, and suitably execute the transaction. Can be prevented.

[公開鍵が盗まれた場合の対策]
公開鍵が盗取された場合、攻撃者サーバ4は、ウイルスにより不正な取引内容を示すキャプチャ画像データImを作成し、盗取した公開鍵により暗号化してサービス提供者サーバ1に送信することで、サービス提供者サーバ1に不正取引を実行させることが可能となる。以上を勘案し、公開鍵が攻撃者サーバ4に盗取された場合の対策について説明する。
[Countermeasures when the public key is stolen]
When the public key is stolen, the attacker server 4 creates the captured image data Im indicating the illegal transaction content by the virus, encrypts it with the stolen public key, and transmits it to the service provider server 1. It becomes possible to cause the service provider server 1 to execute unauthorized transactions. Considering the above, a countermeasure when the public key is stolen by the attacker server 4 will be described.

第1の例では、取引システムは、利用者ごとに異なる公開鍵と秘密鍵とのペアを使用する。具体的には、利用者端末3は、他の利用者が使用する利用者端末が記憶する公開鍵とは異なる公開鍵を記憶し、サービス提供者サーバ1は、各利用者端末が記憶する公開鍵に対応する秘密鍵をそれぞれ記憶する。そして、図4のステップS109では、サービス提供者サーバ1は、ステップS102で識別した利用者に対応する秘密鍵を用いて、暗号化されたキャプチャ画像データImを復号する。第1の例によれば、ある利用者端末の公開鍵が盗取された場合であっても、他の利用者端末の取引には影響が生じないため、取引システムは、公開鍵が盗み出された場合の被害の拡大を好適に抑制することができる。   In the first example, the transaction system uses a public / private key pair that is different for each user. Specifically, the user terminal 3 stores a public key different from the public key stored in the user terminal used by other users, and the service provider server 1 stores the public key stored in each user terminal. Each secret key corresponding to the key is stored. In step S109 in FIG. 4, the service provider server 1 decrypts the encrypted captured image data Im using the secret key corresponding to the user identified in step S102. According to the first example, even if the public key of a certain user terminal is stolen, there is no effect on the transaction of other user terminals. The expansion of damage in the case of failure can be suitably suppressed.

第2の例では、第1の例に代えて、又はこれに加えて、利用者端末3は、ステップS107において、エージェントプログラムに基づき、キャプチャ画像データImに加えて、前回実行した取引内容を示す情報(「前回取引情報」とも呼ぶ。)を公開鍵により暗号化してサービス提供者サーバ1に送信する。そして、サービス提供者サーバ1は、秘密鍵によりキャプチャ画像データIm及び前回取引情報を復号した後、復号した前回取引情報が正しいか否か判定する。この場合、サービス提供者サーバ1は、各利用者の前回取引情報を記憶部13に記憶しておき、復号した前回取引情報と、記憶部13に記憶された対象の前回取引情報とが一致しない場合、取引を完了することなくフローチャートの処理を終了する。   In the second example, instead of or in addition to the first example, in step S107, the user terminal 3 shows the content of the transaction executed last time in addition to the captured image data Im based on the agent program. Information (also referred to as “previous transaction information”) is encrypted with the public key and transmitted to the service provider server 1. The service provider server 1 decrypts the captured image data Im and the previous transaction information with the secret key, and then determines whether the decrypted previous transaction information is correct. In this case, the service provider server 1 stores the previous transaction information of each user in the storage unit 13, and the decrypted previous transaction information does not match the target previous transaction information stored in the storage unit 13. In the case, the process of the flowchart is terminated without completing the transaction.

第2の例によれば、取引システムは、公開鍵が攻撃者サーバ4に盗取された場合であっても、不正取引の実行を好適に抑制することができる。   According to the 2nd example, even if it is a case where a public key is stolen by the attacker server 4, the transaction system can suppress appropriately execution of an unauthorized transaction.

なお、第2の例において、利用者端末3は、前回取引情報に代えて、所定の文字列をキャプチャ画像データImと共に暗号化してもよい。この場合、所定の文字列は、例えばサービス提供者サーバ1を管理する銀行等から配布されたUSBメモリなどの外部機器が記憶する固有の識別番号であってもよく、利用者に予め配布された乱数表の数字であってもよい。この場合、利用者端末3は、エージェントプログラムに基づき、利用者端末3に接続された外部機器から上述の識別番号を読み取ってもよく、乱数表の数字の入力をユーザから受け付けてもよい。この例であっても、取引システムは、公開鍵が攻撃者サーバ4に盗取された場合に、不正取引の実行を好適に抑制することができる。   In the second example, the user terminal 3 may encrypt a predetermined character string together with the captured image data Im instead of the previous transaction information. In this case, the predetermined character string may be a unique identification number stored in an external device such as a USB memory distributed from a bank or the like that manages the service provider server 1, and is distributed in advance to the user. It may be a number in the random number table. In this case, the user terminal 3 may read the above-described identification number from an external device connected to the user terminal 3 based on the agent program, or may accept an input of a number in the random number table from the user. Even in this example, when the public key is stolen by the attacker server 4, the transaction system can suitably suppress the execution of the illegal transaction.

ここで、エージェントプログラムが改ざんされた場合について補足説明する。この場合、利用者端末3は、エージェントプログラムに基づくステップS107及びステップS108の処理を正常に実行することができず、暗号化したキャプチャ画像データImをサービス提供者サーバ1に送信することができない。従って、この場合、サービス提供者サーバ1は、ステップS109で受信すべきキャプチャ画像データImを取得することができないため、処理を中断する。従って、この場合、不正取引は実行されない。   Here, a supplementary description will be given of a case where the agent program has been tampered with. In this case, the user terminal 3 cannot normally execute the processing of step S107 and step S108 based on the agent program, and cannot transmit the encrypted captured image data Im to the service provider server 1. Therefore, in this case, since the service provider server 1 cannot acquire the captured image data Im to be received in step S109, the service provider server 1 interrupts the processing. Therefore, in this case, fraudulent transactions are not executed.

[エージェントプログラムの例]
上記のエージェントプログラムは、実際には以下のように実現することができる。1つの方法は、エージェントプログラムを、クライアント側スクリプト(代表的には、JavaScript(登録商標))とし、銀行のオンライン・バンキングのWebページのHTMLソースに含めておく。利用者が利用者端末3のWebブラウザで銀行のオンライン・バンキングのWebサイトにアクセスした際に、エージェントプログラムは、オンライン・バンキングのWebページのHTMLソースとともに利用者端末3にダウンロードされる。このエージェントプログラムは、前述のように、利用者が利用者端末3のWebページ(図7)の「振込実行」ボタン58を押し下げたときに、そのWebページの画面をキャプチャし、キャプチャ画像データを生成する。
[Example of agent program]
The above agent program can actually be realized as follows. In one method, the agent program is a client-side script (typically JavaScript (registered trademark)), and is included in the HTML source of the online banking web page of the bank. When the user accesses the bank's online banking website using the web browser of the user terminal 3, the agent program is downloaded to the user terminal 3 together with the HTML source of the online banking web page. As described above, this agent program captures the screen of the Web page when the user depresses the “execute transfer” button 58 on the Web page of the user terminal 3 (FIG. 7), and captures the captured image data. Generate.

2つ目の方法は、エージェントプログラムを、利用者端末3に予め組み込まれたアプリケーションプログラムとする。このプログラムは、常駐アプリケーションとして画面表示されない形態で起動されており、Webブラウザが図7のような取引画面を表示したことを検知すると、取引画面をキャプチャしてキャプチャ画像データを生成する。   In the second method, the agent program is an application program preinstalled in the user terminal 3. This program is started as a resident application in a form that is not displayed on the screen. When the Web browser detects that the transaction screen as shown in FIG. 7 is displayed, the transaction screen is captured to generate captured image data.

[変形例]
次に、本実施形態の変形例について説明する。以下の変形例は、任意に組み合わせて上述の実施形態に適用してもよい。
[Modification]
Next, a modification of this embodiment will be described. The following modifications may be applied in any combination to the above-described embodiment.

(変形例1)
図1に示す取引システムの構成は、一例であり、本発明が適用可能な構成は、これに限定されない。例えば、サービス提供者サーバ1は、複数のサーバから構成されていてもよい。
(Modification 1)
The configuration of the transaction system shown in FIG. 1 is an example, and the configuration to which the present invention is applicable is not limited to this. For example, the service provider server 1 may be composed of a plurality of servers.

図14は、変形例に係る取引システムの概略構成を示す。図14の例では、サービス提供者サーバ1は、図4のステップS102及びステップS103でのユーザ認証を行うサービス提供者認証サーバ1Aと、ユーザ認証以後の取引に関する処理を行うサービス提供者取引サーバ1Bとの2台のサーバにより構成される。そして、サービス提供者認証サーバ1Aとサービス提供者取引サーバ1Bとは、割り当てられた処理を実行するのに必要なデータの授受を必要に応じて行う。また、図14の例では、利用者端末3は、ノート型PCに代えて、スマートフォンにより実現されている。そして、図14の構成例であっても、利用者端末3は、ユーザ操作に基づきキャプチャ画像データImをサービス提供者取引サーバ1Bに送信する。これにより、サービス提供者取引サーバ1Bは、好適に取引内容の改ざんの有無を判定することができる。   FIG. 14 shows a schematic configuration of a transaction system according to a modification. In the example of FIG. 14, the service provider server 1 includes a service provider authentication server 1A that performs user authentication in steps S102 and S103 in FIG. 4, and a service provider transaction server 1B that performs processing related to transactions after user authentication. And two servers. Then, the service provider authentication server 1A and the service provider transaction server 1B perform transmission / reception of data necessary for executing the assigned processing as necessary. In the example of FIG. 14, the user terminal 3 is realized by a smartphone instead of the notebook PC. And even if it is a structural example of FIG. 14, the user terminal 3 transmits capture image data Im to the service provider transaction server 1B based on user operation. Thereby, the service provider transaction server 1B can suitably determine whether or not the transaction content has been tampered with.

(変形例2)
図4の説明では、利用者端末3とサービス提供者サーバ1とは、公開鍵暗号方式により暗号化してキャプチャ画像データImの授受を行った。これに代えて、利用者端末3とサービス提供者サーバ1とは、共通鍵暗号方式によりキャプチャ画像データImを暗号化してキャプチャ画像データImの授受を行ってもよい。この場合、利用者端末3とサービス提供者サーバ1は、それぞれ、図4のフローチャートの実行前に、予め共通鍵を記憶しておく。このように、暗号化と復号に同一の(共通の)鍵を用いる場合であっても、本発明は好適に適用される。
(Modification 2)
In the description of FIG. 4, the user terminal 3 and the service provider server 1 exchange the captured image data Im by encrypting with the public key cryptosystem. Instead of this, the user terminal 3 and the service provider server 1 may encrypt the captured image data Im by a common key encryption method and exchange the captured image data Im. In this case, the user terminal 3 and the service provider server 1 each store a common key in advance before executing the flowchart of FIG. Thus, the present invention is preferably applied even when the same (common) key is used for encryption and decryption.

(変形例3)
図4の説明では、利用者端末3は、ステップS108において、取引情報Iaを生成するのに必要なキャプチャ画像データImをサービス提供者サーバ1に送信した。これに代えて、利用者端末3は、キャプチャ画像データImの代わりに、取引画面でのキーボードによる入力の記録を暗号化してサービス提供者サーバ1に送信してもよい。この場合、例えば、サービス提供者サーバ1は、暗号化されたキーボードの入力記録情報を復号して得られたキーボード入力記録文字列に基づき取引情報Iaを生成する。
(Modification 3)
In the description of FIG. 4, the user terminal 3 transmits the captured image data Im necessary for generating the transaction information Ia to the service provider server 1 in step S108. Instead of this, the user terminal 3 may encrypt the record of the input by the keyboard on the transaction screen and transmit it to the service provider server 1 instead of the captured image data Im. In this case, for example, the service provider server 1 generates transaction information Ia based on the keyboard input record character string obtained by decrypting the encrypted keyboard input record information.

(変形例4)
サービス提供者サーバ1は、図4のステップS113で取引情報Iaと取引情報Ibとが同じ内容であるか否かを判定することなく、取引情報Iaを参照して取引を実行してもよい。即ち、サービス提供者サーバ1は、この場合、取引情報Ibよりも取引情報Iaが信頼できる情報であるとみなし、取引情報Iaが示す取引を実行する。なお、この場合、サービス提供者サーバ1は、ステップS113に加え、ステップS112の取引情報Ibの抽出処理についても実行しなくともよい。
(Modification 4)
The service provider server 1 may execute the transaction with reference to the transaction information Ia without determining whether or not the transaction information Ia and the transaction information Ib have the same contents in step S113 in FIG. That is, in this case, the service provider server 1 regards the transaction information Ia as more reliable information than the transaction information Ib, and executes the transaction indicated by the transaction information Ia. In this case, the service provider server 1 may not execute the transaction information Ib extraction process in step S112 in addition to step S113.

(変形例5)
上記の実施例では、取引情報Ia、Ibが同じ内容かどうかを判断する処理は、サービス提供者サーバが行っているが、必ずしもその必要はなく、別サーバが行ってもよい。攻撃者は、サービス提供者サーバも監視している場合があり、取引情報Ia、Ibを改ざんする可能性がある。そのような場合には、別サーバを設け、取引情報Iaはキャプチャ後、別サーバへ送信されるようにする。また、取引情報Ibはサービス提供者サーバを経由してその別サーバへ送信される。別サーバは、取引情報IaとIbの同一性を判定し、判定結果をサービス提供者サーバ側へ送信すればよい。このようにすることで、攻撃者が取引情報Ibの内容を改ざんしたとしても、取引情報Iaの改ざんは防止することができ、不正取引を好適に防止することができる。
(Modification 5)
In the above embodiment, the process of determining whether the transaction information Ia and Ib have the same content is performed by the service provider server, but it is not always necessary and may be performed by another server. The attacker may also monitor the service provider server and may tamper with the transaction information Ia and Ib. In such a case, a separate server is provided so that the transaction information Ia is transmitted to the separate server after capture. Further, the transaction information Ib is transmitted to the other server via the service provider server. The separate server may determine the identity of the transaction information Ia and Ib and transmit the determination result to the service provider server side. By doing in this way, even if an attacker alters the contents of the transaction information Ib, the transaction information Ia can be prevented from being falsified, and illegal transactions can be suitably prevented.

1…サービス提供者サーバ
2…通信網
3…利用者端末
4…攻撃者サーバ
DESCRIPTION OF SYMBOLS 1 ... Service provider server 2 ... Communication network 3 ... User terminal 4 ... Attacker server

Claims (12)

取引に関する処理を実行するサーバと、前記取引に関する処理の実行を前記サーバに指示する端末とを備える取引システムであって、
前記端末は、
前記取引の内容を入力するための取引画面を表示する表示制御手段と、
前記取引画面において入力された取引内容を示す入力情報を前記サーバに送信する第1送信制御手段と、
取引内容が入力された後の前記取引画面の画像データを前記サーバに送信する第2送信制御手段と、
を備え、
前記サーバは、
前記第1送信制御手段から受信した前記入力情報が示す取引内容と、前記第2送信制御手段から受信した前記画像データから抽出された取引内容とが異なる場合、前記取引に関する処理の実行を中止する不正取引検知手段を有することを特徴とする取引システム。
A transaction system comprising a server that executes a process related to a transaction, and a terminal that instructs the server to execute the process related to the transaction,
The terminal
Display control means for displaying a transaction screen for inputting the details of the transaction;
First transmission control means for transmitting input information indicating transaction details input on the transaction screen to the server;
Second transmission control means for transmitting image data of the transaction screen after transaction details are input to the server;
With
The server
If the transaction content indicated by the input information received from the first transmission control means is different from the transaction content extracted from the image data received from the second transmission control means, the execution of the processing related to the transaction is stopped. A transaction system comprising illegal transaction detection means.
前記端末は、表示用の第1プログラムと、前記第1プログラムとは異なる第2プログラムとを記憶する記憶部を有し、
前記第1プログラムにより前記表示制御手段及び前記第1送信制御手段が構成され、前記第2プログラムにより前記第2送信制御手段が構成されることを特徴とする請求項1に記載の取引システム。
The terminal includes a storage unit that stores a first program for display and a second program different from the first program,
The transaction system according to claim 1, wherein the display control unit and the first transmission control unit are configured by the first program, and the second transmission control unit is configured by the second program.
前記端末は、第3プログラムを記憶する記憶部を有し、
前記第3プログラムにより、前記表示制御手段、前記第1送信制御手段、及び、前記第2送信制御手段が構成されることを特徴とする請求項1に記載の取引システム。
The terminal includes a storage unit that stores a third program,
The transaction system according to claim 1, wherein the display control unit, the first transmission control unit, and the second transmission control unit are configured by the third program.
前記第2送信制御手段は、取引内容が入力された後の前記取引画面をキャプチャした画像データを前記サーバに送信し、
前記不正取引検知手段は、前記第2送信制御手段から受信した画像データに対して文字認識処理を行うことで、前記取引内容を認識することを特徴とする請求項1〜3のいずれか一項に記載の取引システム。
The second transmission control means transmits image data obtained by capturing the transaction screen after transaction details are input to the server,
The said unauthorized transaction detection means recognizes the said transaction content by performing a character recognition process with respect to the image data received from the said 2nd transmission control means, The any one of Claims 1-3 characterized by the above-mentioned. The trading system described in.
前記第2送信制御手段は、前記取引画面に対して入力された文字データが埋め込まれた画像データを前記サーバへ送信し、
前記不正取引検知手段は、前記第2送信制御手段から受信した画像データから抽出した前記文字データに基づいて前記取引内容を認識することを特徴とする請求項1〜3のいずれか一項に記載の取引システム。
The second transmission control means transmits image data in which character data input to the transaction screen is embedded to the server,
The said unauthorized transaction detection means recognizes the said transaction content based on the said character data extracted from the image data received from the said 2nd transmission control means, The Claim 1 characterized by the above-mentioned. Trading system.
前記端末の記憶部は、暗号化を行うおよび/またはメッセージ認証コードを付けるための暗号鍵を記憶し、
前記サーバは、前記暗号鍵により暗号化されたデータの復号および/または前記メッセージ認証コードの検証を実施するための復号鍵を記憶する記憶部を有し、
前記第2送信制御手段は、前記暗号鍵により前記画像データを暗号化および/または前記画像データにメッセージ認証コードを付けて送信し、
前記不正取引検知手段は、前記第2送信制御手段から受信した前記画像データを前記復号鍵により復号および/または前記画像データに付された前記メッセージ認証コードの検証を実施することを特徴とする請求項1乃至5のいずれか一項に記載の取引システム。
The storage unit of the terminal stores an encryption key for performing encryption and / or attaching a message authentication code,
The server includes a storage unit that stores a decryption key for decrypting data encrypted with the encryption key and / or verifying the message authentication code,
The second transmission control means encrypts the image data with the encryption key and / or transmits the image data with a message authentication code,
The unauthorized transaction detection means decrypts the image data received from the second transmission control means with the decryption key and / or verifies the message authentication code attached to the image data. Item 6. The transaction system according to any one of Items 1 to 5.
前記端末の記憶部は、取引に関する処理の実行を前記サーバに指示する他の端末が記憶する暗号鍵と異なる暗号鍵を記憶し、
前記サーバの記憶部は、前記端末ごとに異なる復号鍵を記憶することを特徴とする請求項6に記載の取引システム。
The storage unit of the terminal stores an encryption key different from an encryption key stored in another terminal that instructs the server to execute a process related to a transaction,
The transaction system according to claim 6, wherein the storage unit of the server stores a different decryption key for each terminal.
前記第2送信制御手段は、前記画像データに加えて前回の取引に関する情報を送信し、
前記不正取引検知手段は、前記第2送信制御手段から受信した前記画像データと前記前回の取引に関する情報に基づき、不正取引であるか否かの判定を行うことを特徴とする請求項1〜7のいずれか一項に記載の取引システム。
The second transmission control means transmits information related to the previous transaction in addition to the image data,
8. The fraudulent transaction detection means determines whether the fraudulent transaction is based on the image data received from the second transmission control means and information related to the previous transaction. The transaction system according to any one of the above.
前記第2送信制御手段は、前記画像データに加えて所定の文字列を送信し、
前記不正取引検知手段は、前記第2送信制御手段から受信した前記画像データと前記所定の文字列に基づき、不正取引であるか否かの判定を行うことを特徴とする請求項1〜7のいずれか一項に記載の取引システム。
The second transmission control means transmits a predetermined character string in addition to the image data,
8. The fraudulent transaction detection unit determines whether the fraudulent transaction is based on the image data received from the second transmission control unit and the predetermined character string. The transaction system according to any one of the above.
コンピュータを有する端末により実行されるプログラムであって、
取引の内容を入力するための取引画面を表示する表示制御手段、
前記取引画面において入力された取引内容を示す入力情報を、取引に関する処理を実行するサーバに送信する第1送信制御手段、
取引内容が入力された後の前記取引画面の画像データを前記サーバに送信する第2送信制御手段として前記コンピュータを機能させることを特徴とするプログラム。
A program executed by a terminal having a computer,
Display control means for displaying a transaction screen for inputting the details of the transaction;
First transmission control means for transmitting input information indicating transaction details input on the transaction screen to a server that executes processing relating to the transaction ;
A program that causes the computer to function as second transmission control means for transmitting image data of the transaction screen after transaction details are input to the server.
コンピュータを有し、取引の内容を入力するための取引画面を表示するとともに、前記取引画面において入力された取引内容を示す入力情報を、取引に関する処理を実行するサーバに送信する端末により実行されるプログラムであって、
取引内容が入力された後の前記取引画面の画像データを前記サーバに送信する送信制御手段として前記コンピュータを機能させることを特徴とするプログラム。
It is executed by a terminal that has a computer and displays a transaction screen for inputting transaction details and transmits input information indicating transaction details input on the transaction screen to a server that executes processing relating to the transaction A program,
A program for causing the computer to function as transmission control means for transmitting image data of the transaction screen after transaction details are input to the server.
請求項1〜9のいずれか一項に記載のサーバとしてコンピュータを機能させることを特徴とするプログラム。   A program that causes a computer to function as the server according to any one of claims 1 to 9.
JP2014198140A 2013-09-27 2014-09-29 Trading system and program Active JP6488613B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014198140A JP6488613B2 (en) 2013-09-27 2014-09-29 Trading system and program

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2013201906 2013-09-27
JP2013201906 2013-09-27
JP2014198140A JP6488613B2 (en) 2013-09-27 2014-09-29 Trading system and program

Publications (2)

Publication Number Publication Date
JP2015088184A JP2015088184A (en) 2015-05-07
JP6488613B2 true JP6488613B2 (en) 2019-03-27

Family

ID=53050818

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014198140A Active JP6488613B2 (en) 2013-09-27 2014-09-29 Trading system and program

Country Status (1)

Country Link
JP (1) JP6488613B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6385887B2 (en) * 2015-05-13 2018-09-05 日本電信電話株式会社 Authentication server, authentication system, authentication method and program
WO2018066426A1 (en) * 2016-10-07 2018-04-12 国立研究開発法人産業技術総合研究所 Fake web page determination device, fake web page determination system, fake web page determination method, and fake web page determination program
RU2634174C1 (en) * 2016-10-10 2017-10-24 Акционерное общество "Лаборатория Касперского" System and method of bank transaction execution

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005216226A (en) * 2004-02-02 2005-08-11 Seiko Epson Corp Credit card processing control method, program, credit card processing apparatus, pos terminal and pos system
US8869238B2 (en) * 2008-02-06 2014-10-21 Ca, Inc. Authentication using a turing test to block automated attacks
US20110276484A1 (en) * 2010-05-04 2011-11-10 Gregory A. Pearson, Inc. Identity verification systems
US10402898B2 (en) * 2011-05-04 2019-09-03 Paypal, Inc. Image-based financial processing

Also Published As

Publication number Publication date
JP2015088184A (en) 2015-05-07

Similar Documents

Publication Publication Date Title
EP3709567B1 (en) Electronic signature authentication system on the basis of biometric information and electronic signature authentication method thereof
USRE46158E1 (en) Methods and systems to detect attacks on internet transactions
US12106300B2 (en) Secure in-line payments
EP2191610B1 (en) Software based multi-channel polymorphic data obfuscation
EP1906293A2 (en) Method of accessing web-pages
US20040003248A1 (en) Protection of web pages using digital signatures
CN104519042A (en) Detecting and preventing man-in-the-middle attacks on encrypted connection
KR20130107188A (en) Server and method for authentication using sound code
JP4637773B2 (en) Personal information protection program and terminal
JP4781922B2 (en) Link information verification method, system, apparatus, and program
JP6488613B2 (en) Trading system and program
CN101594354B (en) Method and system for improving account transfer safety
CN103200179A (en) Website certification, deployment and identification method
KR101498120B1 (en) Digital certificate system for cloud-computing environment and method thereof
JP6578659B2 (en) Transaction system and transaction method
JPWO2018066426A1 (en) Fake web page discrimination device, fake web page discrimination system, fake web page discrimination method and fake web page discrimination program
KR20130007226A (en) Finantial transaction information certification system and method using 2 dimensional barcode
KR101152610B1 (en) The Method of Virtual Keyboard
WO2011060738A1 (en) Method for confirming data in cpu card
CN105635322A (en) Authentication system and authentication method for verifying website authenticity based on image signature
JP2008176709A (en) PASSWORD MANAGEMENT DEVICE, MULTI-LOGIN SYSTEM, Web SERVICE SYSTEM, AND METHODS THEREFOR
JP6460679B2 (en) Authentication system, authentication method, and authentication program
KR20140047058A (en) Digital certificate system for cloud-computing environment and providing method thereof
AU2013100799A4 (en) Secure in-line payments for rich internet applications
CN114830092A (en) System and method for protecting against malicious program code injection

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170727

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180711

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180807

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181003

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181030

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190211

R150 Certificate of patent or registration of utility model

Ref document number: 6488613

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150