以下図面について、本発明の一実施の形態を詳述する。
(1)第1の実施の形態
(1−1)従来の自動取引システムの構成
第1の実施の形態による自動取引システムを説明するに際して、まず、従来の自動取引システムの構成について説明する。
図1は、従来の自動取引システムの構成例を示す。この自動取引システム1は、1又は複数台のATM2と、勘定系ホストコンピュータ3とがLAN(Local Area Network)又はWAN(Wide Area Network)などの広域のネットワーク4を介して接続されることにより構成されている。
ATM2は、利用者の操作に応じて現金の入出金等の取引を行う自動取引装置である。ATM2は、当該ATM2全体の動作制御を司るATM制御部10と、ATM2の前面パネルの表示ランプ制御や前面パネルの開閉検知を行うI/O制御部11と、ATM2の前面に設けられた入出金口内に投入された紙幣を計数して収納庫に搬送、保管し又は出金すべき紙幣を前記収納庫から取り出して入出金口内に搬送する紙幣処理部12と、ATM2での取引に必要なキャッシュカード等のカード媒体21から当該カード媒体21に記録されている情報を読み取るカードリーダ13と、暗証番号等を入力するためのテンキーを有し、入力された暗証番号等の情報を暗号化する機能を有する暗号化ピンパッド14と、取引明細書用のプリンタでなるレシートプリンタ15と、通帳用のプリンタでなる通帳プリンタ16と、ATM取引のログをプリントするジャーナルプリンタ17と、利用者の顔写真を撮影するセキュリティ用の監視カメラ18と、入出金等の取引に関する情報を表示し、利用者からの操作を受け付ける表示部19と、勘定系ホストコンピュータ3と通信を行う通信処理部20とを備えて構成される。
なおATM2は、入金された硬貨や出金する硬貨を取り扱う硬貨処理部(図示せず)を備えていてもよい。また以下においては、カード媒体21としてIC(Integrated Circuit Card)カードが使用される例について説明するものとする。このため以下においては、「カード媒体21」を「ICカード21」と呼ぶものとする。
図2に示すように、ATM制御部10のメモリ31の記憶領域は、プログラム領域32及びデータ領域33に区分されて管理される。そしてプログラム領域32には、ATM2の取引全体を制御するATMアプリケーションソフトウェア40と、I/O(Input/Output)制御部11、紙幣処理部12、カードリーダ13、暗号化ピンパッド14、レシートプリンタ15、通帳プリンタ16、ジャーナルプリンタ17、監視カメラ18及び表示部19をそれぞれ制御するためのソフトウェア(I/O制御部制御ソフトウェア41、紙幣処理部制御ソフトウェア42、カードリーダ制御ソフトウェア43、暗号化ピンパッド制御ソフトウェア44、レシートプリンタ制御ソフトウェア45、通帳プリンタ制御ソフトウェア46、ジャーナルプリンタ制御ソフトウェア47、監視カメラ制御ソフトウェア48及び通信処理ソフトウェア49)と、ソフトウェア環境等の設定ファイルでなるソフトウェア設定ファイル50とが格納される。
またデータ領域33には、ATM2での入出金取引に必要なデータが格納される。具体的には、カード番号60、取引データ62、ARQC(Authentication Request Cryptogram)63、取引可否データ64、ARPC(Authentication Response Cryptogram)65、ARPC検証結果66、取引検証結果67、紙幣処理部制御データ68及び入金計数金額69などがデータ領域33に格納される。
カード番号60は、ICカード21に記憶されている、銀行口座の番号又はクレジットカードの番号などの利用者の口座を特定する情報であり、カードリーダ13によりICカード21から取得され、ATM制御部10のメモリ31に記憶される。
取引データ62は、勘定系ホストコンピュータ3に送信する取引電文データである。取引データ62は、例えば、出金額又は入金額などの利用者からの入力に基づく取引に関する情報、特には取引金額に関する情報を含む。また、取引データ62は、カード番号60などの情報を含んでもよい。ARQC63は、勘定系ホストコンピュータ3に送信する取引データ62に対するメッセージ認証コード(MAC)であり、ICカード21で生成される。
取引可否データ64は、ATM2から送信された取引データ62に対して、勘定系ホストコンピュータ3が銀行口座残高や与信情報などを参照して、その取引を成立させて良いか否かを判断した結果のデータである。またARPC65は、取引可否データ64に対するメッセージ認証コードであり勘定系ホストコンピュータ3で生成される。勘定系ホストコンピュータ3は、「ATMスイッチ」、「ATMの上位装置」又はATM2の外部のコンピュータであることを意味する「外部コンピュータ」と呼ぶこともある。
ARPC検証結果66は、ICカード21内でARPC65のメッセージ認証コードを検証した結果を示すデータである。また取引検証結果67は、ICカード21内で生成される取引データに対するメッセージ認証コードであり、取引受入れの場合は「TC」が格納され、取引拒絶の場合は「AAC」が格納される。
紙幣処理部制御データ68は、ATM制御部10が紙幣処理部12(図1)に対して送信する、紙幣処理のためのコマンドデータであり、例えば、紙幣出金を指示する紙幣出金コマンド、入金計数を指示する紙幣計数コマンド、入金収納を指示する紙幣収納コマンドがある。入金計数金額69は、入金取引時において紙幣処理部12が、ATM2に投入された紙幣を計数した合計金額である。
一方、勘定系ホストコンピュータ3は、ATM2の利用者の口座や残高に関する情報などを記憶し管理する機能を有するコンピュータ装置であり、図3に示すように、勘定系ホストコンピュータ3全体の動作制御を司るCPU70と、メモリ71となどの情報処理資源を備えて構成される。
勘定系ホストコンピュータ3のメモリ71の記憶領域は、プログラム領域72及びデータ領域73に区分されて管理されており、プログラム領域72には、アプリケーション80、通信制御ソフトウェア81及び暗号処理ソフトウェア82が格納され、データ領域73には、取引データ83、ARQC84、取引可否データ85及びARPC86が格納される。
アプリケーション80は、勘定系ホストコンピュータ3全体の制御を行うソフトウェアである。また通信制御ソフトウェア81は、勘定系ホストコンピュータ3と各ATM2との間でのデータ通信を制御する機能を有するソフトウェアである。暗号処理ソフトウェア82は、ATM2から送信されてくるメッセージ認証コードであるARQC84を検証したり、ARPC86といった新たにメッセージ認証コードを生成したりする暗号処理機能を持つソフトウェアである。
また取引データ83は、ATM2から送信されてくる出金取引や入金取引のための取引電文データであり、図2の取引データ62と同じデータである。ARQC84は、取引データ83が改ざんされていないかを検証するためのメッセージ認証コードであり、ICカード21で生成される。このARQC84は、図2のARQC63と同じデータである。取引可否データ85は、勘定系ホストコンピュータ3が銀行口座残高や与信情報などを参照して、その取引を成立させても良いか否かを判断した結果を表すデータであり、図2の取引可否データ64と同じデータである。ARPC86は、取引可否データ85に対するメッセージ認証コードであり、勘定系ホストコンピュータ3で生成される。このARPC86も、図2のARPC65と同じデータである。
図4は、ICカード21の概略構成を示す。この図4からも明らかなように、ICカード21は、ICカード21全体の動作制御を司るCPU90と、メモリ91などの情報処理資源を備えて構成される。そしてICカード21のメモリ91の記憶領域は、プログラム領域92及びデータ領域93に区分されて管理されており、プログラム領域92には、アプリケーション100、通信制御ファームウェア101及び暗号処理ファームウェア102が格納され、データ領域93には、取引データ104、ARQC105、取引可否データ106、ARPC107、ARPC検証結果108及び取引検証結果109が格納される。
アプリケーション100は、ICカード21の全体制御を行うソフトウェアである。また通信制御ファームウェア101は、カードリーダ13(図1)との間でのデータ通信を制御する機能を有するソフトウェアである。暗号処理ファームウェア102は、ARQC105を生成したり、勘定系ホストコンピュータ3から送信されてくるARPC107を検証したりする暗号処理機能を持つソフトウェアである。
また取引データ104は、ATM2から送信されてきた出金取引又は入金取引のための取引電文データであり、図3の取引データ83と同じデータである。
ARQC105は、図2のARQC63及び図3のARQC84と同じデータであり、図2の取引データ62に対するメッセージ認証コードである。ARQC105は、勘定系ホストコンピュータ3で検証される。取引可否データ106は、勘定系ホストコンピュータ3が銀行口座残高や与信情報などを参照して、その取引を成立させて良いか否かを判断した判断結果を表すデータであり、図2の取引可否データ64及び図3の取引可否データ85と同じデータである。
ARPC107は、取引可否データ106に対するメッセージ認証コードであり、勘定系ホストコンピュータ3で生成され、図2のARPC65、図3のARPC86と同じデータである。取引検証結果109は、ARPC107をICカード21が検証した結果、ATM制御部10に紙幣出金コマンド送信を許可するために使われるデータである。また、取引検証結果109はICカード21がARPC107を検証してATM2での取引を承認したことを勘定系ホストコンピュータ3が検証するためにも使用される。取引検証結果109として、取引を承認した場合に「TC」が生成され、取引拒否の場合に「AAC」が生成される。
ICカード21には、そのICカード21の保有者の銀行口座番号やクレジットカード番号、あるいは、本人確認を行うための情報が記録されると共に、勘定系ホストコンピュータ3との間でATM取引に必要なメッセージ認証コードを生成したり検証したりする機能が搭載される。
次に、図5A及び図5Bを参照して、従来の自動取引システム1における出金取引処理の概略の流れについて説明する。
まず、ATM2の利用者によりICカード21(図1)がATM2の前面に設けられた図示しないカード挿入口に挿入されると、そのICカード21に記録されたカード番号等の必要な情報が当該ICカード21からカードリーダ13を経由してATM制御部10に送信される(S1)。
ATM制御部10は、かかるカード番号等の情報を受信すると(S2)、処理選択画面の表示指示を表示部19に送信する(S3)。また表示部19は、この表示指示に従って処理選択画面を表示する(S4)。かくしてATM2の利用者は、暗号化ピンパッド14を操作して取引種別として出金取引を選択し(S5)、この結果としてATM制御部10が出金取引の一連の処理を開始する(S6)。なお出金取引の選択は表示部19で選択できるようにしてもよい。
ATM制御部10は、出金取引の処理を開始すると、まず、暗証番号入力の表示指示を表示部19に送信する(S7)。また表示部19は、この表示指示に従って暗証番号入力画面を表示する(S8)。そしてATM2の利用者が暗号化ピンパッド14を操作して暗証番号を入力すると、この暗証番号が暗号化ピンパッド14からATM制御部10に送信され(S9)、この暗証番号に基づいてATM制御部10及び勘定系ホストコンピュータ3間で本人確認認証が行われる(S10)。
ATM2のATM制御部10は、かかる本人確認認証が成功すると出金金額入力の表示指示を表示部19に送信する(S11)。また表示部19は、かかる表示指示に従って出金金額入力画面を表示する(S12)。そしてATM2の利用者が暗号化ピンパッド14を用いて出金金額を入力すると、暗号化ピンパッド14は、出金額をATM制御部10に送信する(S13)。
ATM制御部10は、かかる出金取引における出金額を受信すると(S14)、出金取引に必要な取引データ62(図2)をカードリーダ13経由でICカード21に送信する(S15)。またICカード21は、かかる取引データ62を受信すると、これらをメモリ91(図4)に格納すると共に(S16)、取引データ62に対するメッセージ認証コードであるARQC105を生成し、生成したARQC認証コード105をATM制御部10に送信する(S17)。
ATM制御部10は、かかるARQC認証コード105を受信すると(S18)、受信した認証コードARQC105をARQC63(図2)としてメモリ31(図2)に格納すると共に、この認証コードARQC105を取引データ62(図2)と共に勘定系ホストコンピュータ3に送信する(S19)。
勘定系ホストコンピュータ3は、取引データ62及び認証コードARQC105を受信すると(S20)、これらをそれぞれ取引データ83(図3)及び認証コードARQC84(図3)としてメモリ71(図3)に格納する。また勘定系ホストコンピュータ3は、利用者の口座残高や与信情報を確認し、出金額、口座残高又は与信情報などに基づき出金取引の実施可否を検証した上で、取引可否データ85(図3)を生成すると共に、それに対応するメッセージ認証コードであるARPC86(図3)を生成する。そして勘定系ホストコンピュータ3は、生成した取引可否データ85及び認証コードARPC86をATM制御部10に返送する(S21)。
ATM制御部10は、勘定系ホストコンピュータ3から返送されてきた上述の取引可否データ85(図3)及び認証コードARPC86(図3)を受信すると(S22)、これらをそれぞれ取引可否データ64(図2)及び認証コードARPC65(図2)としてメモリ31(図2)に格納し、その後、ICカード21に認証コードARPC65(図2)及び取引可否データ64(図2)を送信する(S23)。
ICカード21は、この認証コードARPC65と取引可否データ64を受信すると、これをARPC107(図4)と取引可否データ106としてメモリ91(図4)に格納して、認証コードARPCに基づき取引可否データ106の正当性を検証し、その結果をARPC検証結果108(図4)としてメモリ91に格納する(S24)。またICカード21は、この後、このARPC検証結果108をATM制御部10に送信する(S25)。
ATM制御部10は、かかるARPC検証結果108を受信すると、受信したARPC検証結果108をARPC検証結果66(図2)としてメモリ31(図2)に格納する(S26)。またATM制御部10は、このARPC検証結果66の内容を参照して、取引が受け入れられていると判断した場合には、再度、ICカード21の要求に合う取引データ62(図2)を生成してICカード21に送信する(S27)。
ICカード21は、この取引データ62を受信すると(S28)、これを取引検証結果67(図2)としてメモリ31(図2)に格納する。ICカード21は、その検証結果のメッセージ認証コードとして取引検証結果109(図4)を生成し、生成した取引検証結果109をカードリーダ13経由でATM制御部10に送信する(S29)。
ATM制御部10は、この取引検証結果109を受信すると、これを取引検証結果67(図2)としてメモリ31(図2)に格納する(S30)。そしてATM制御部10は、この取引検証結果67が「AAC」であった場合には、取引不可のメッセージをATM2の表示部19(図1)に表示させる。
これに対してATM制御部10は、かかる取引検証結果67の値が正常「TC」であった場合には、取引受入と判断して出金すべき紙幣金種及びその枚数の情報を含む紙幣出金コマンドを生成し、生成した紙幣出金コマンドを紙幣処理部制御データ68(図2)としてメモリ31(図2)に格納すると共に(S31)、この紙幣出金コマンドを紙幣処理部12に送信する(S32)。
そして紙幣処理部12は、かかる紙幣出金コマンドを受信すると(S33)、受信した紙幣出金コマンドに基づいて、紙幣出金コマンドで指定された金種の紙幣をATM2内に設けられた金庫に囲われた紙幣を保管する収納庫から指定された枚数だけ取り出してATM2の前面に設けられた入出金口内に搬送する出金処理を行う(S34)。
この後、ATM制御部10は、カードリーダ13に対し、ICカード21の返却指示を送信する(S35)。カードリーダ13はカードの返却指示を受信すると(S36)、ICカード21をカード挿入口から排出し、利用者に返却する(S37)。
ATM制御部10は、レシートプリンタ15に対し、取引内容を含む明細書の印刷コマンドを送信する(S38)。そしてレシートプリンタ15は、明細書印刷コマンドを受信すると(S39)、明細書を印刷する(S40)。
以上が従来のATM出金取引処理の流れの一例である。
ここで、ATM制御部10のATMアプリケーションソフトウェア40(図2)にマルウェアが混入して、取引の裏付けのない不正な紙幣出金コマンドが紙幣処理部12に送信される処理は起こり得る。すなわちATM制御部10は、必ずICカード21の挿入や暗号化ピンパッド14の暗証番号入力操作等を経て、メモリ31(図2)に格納されている取引検証結果67(図2)に基づいて紙幣出金コマンドを生成するのが本来の処理の流れである。それを保障しているのがATMアプリケーションソフトウェア40の正当性である。
しかしながら、マルウェアの混入によりATMアプリケーションソフトウェア40の正当性が担保されないと、取引検証結果67に基づかずに不正な紙幣出金コマンドが紙幣処理部12に送信される。この場合、紙幣出金コマンド中の出金金額が改ざんされたり、そもそも取引とは全く関係のない紙幣出金コマンドが紙幣処理部12に送信され、紙幣の不正出金が行われる。
また、別の事例では、マルウェアの混入によりATMアプリケーションソフトウェア40の正当性が担保されないと、取引終了後に本来送信されるカード返却コマンドが送信されずICカード21がATM2内部に滞留し、利用者がICカード21を受け取ることが不可能となる。その後、利用者が立ち去った後に、犯罪者が暗号化ピンパッド14に通常入力されることのない組合せや桁数の番号を入力することにより、カード返却コマンドがカードリーダ13に送信され、利用者のICカード21を犯罪者が不正に搾取することが可能となる。
また、別の事例では、マルウェアの混入によりATMアプリケーションソフトウェア40の正当性が担保されないと、正当な取引を行うICカード21ではなく特別なカード情報を送信する不正カードを挿入することにより、カードデータ書込みコマンドがカードリーダ13に送信され、ATM制御部10のメモリ31のデータ領域33に保存されているカード番号60の情報を不正カードに書き込み、大量のカード情報を犯罪者が不正に搾取することが可能となる。
また、別の事例では、マルウェアの混入によりATMアプリケーションソフトウェア40の正当性が担保されないと、正当な取引を行うICカード21ではなく特別なカード情報を送信する不正カードを挿入したり、暗号化ピンパッド14に通常入力されることのない組合せや桁数の番号を入力することにより、プリンタ印字コマンドがレシートプリンタ15に送信され、ATM制御部10のメモリ31のデータ領域33に保存されているカード番号60の情報をレシートプリンタ15に印字させて大量のカード情報を犯罪者が不正に搾取することが可能となる。
加えて、ATMアプリケーションソフトウェア40や、図2に示す9種類のモジュール制御ソフトウェア(I/O制御部制御ソフトウェア41、紙幣処理部制御ソフトウェア42、カードリーダ制御ソフトウェア43、暗号化ピンパッド制御ソフトウェア44、レシートプリンタ制御ソフトウェア45、通帳プリンタ制御ソフトウェア46、ジャーナルプリンタ制御ソフトウェア47、監視カメラ制御ソフトウェア48及び通信処理ソフトウェア49)と、ソフトウェア環境のソフトウェア設定ファイル50の不正改ざんを防止するためのセキュリティ対策ソフトウェアとして、ウィルスの混入を検知するウィルスチェックソフトウェアや、ホワイトリスト型と呼ばれる、登録されたソフトウェア以外のソフトウェアの起動を防止するセキュリティ対策ソフトウェアが従来から存在するものの、全体制御部(ATM制御部10)が起動するときに、そのセキュリティ対策ソフトウェアの起動が妨げられて機能しないような不正改造が行われる場合もあり、これらの対策ソフトウェアだけでは万能ではない。
本実施の形態では、ATM2内の暗号化ピンパッド14、カードリーダ13、紙幣処理部12、レシートプリンタ15、追加で新たに実装するセキュリティ制御部112(図6)のいずれかが、ATM2内のモジュール動作を許可する動作許可署名を発行することにより、ATMアプリケーションソフトウェア40やモジュール制御ソフトウェアがマルウェアにより不正改ざんされた場合においても不正処理ができない自動取引システムを提案する。以下、このような本実施の形態の自動取引システムについて図6〜図11を参照して説明する。
(1−2)第1の実施の形態による自動取引装置の構成
図1との対応部分に同一符号を付して示す図6において、110は全体として本実施の形態による自動取引システムを示す。本自動取引システム110は、ATM111の紙幣処理部113、カードリーダ114、暗号化ピンパッド115及びレシートプリンタ116の機能が異なる点と、実際の取引において行われた処理の流れが正当な取引で行われる処理の流れと比較することにより、そのときの取引が正当な取引であるか否かを判定するセキュリティ制御部112が新たにATM111に追加されている点とを除いて図1〜図5Bについて上述した従来の自動取引システム1と同様に構成されている。
図7は、セキュリティ制御部112の概略構成を示す。セキュリティ制御部112は、通信監視部201、実処理フローリスト保持部202、正当処理フローリスト保持部203及び動作許可署名発行部204を備えて構成される。
通信監視部201は、ATM111内のATM制御部10と紙幣処理部113やカードリーダ114、暗号化ピンパッド115、レシートプリンタ116等との間の通信を監視する機能を有するモジュールである。なお、通信監視部201は、例えばハードウェア構成及びソフトウェア構成のいずれであってもよい。例えば通信監視部201がソフトウェア構成の場合、セキュリティ制御部112がCPU及びメモリ等の情報処理資源を有する構成とし、CPUがメモリに格納されたプログラムを実行することにより、通信監視部201が機能として具現化されるようにすればよい。動作許可署名発行部204についても同様である。
また実処理フローリスト保持部202は、かかる通信監視によって取得した、利用者との取引開始(図5AのステップS1)から図5BのステップS38までの一連の処理の内容をリスト(以下、これを実処理フローリスト205と呼ぶ)として保存しておくための記憶領域を有する記憶デバイス等のモジュールである。実際上、実処理フローリスト205には、利用者との取引開始から図5BのステップS38までの一連の処理において、ATM制御部10が紙幣処理部12、カードリーダ13、ICカード21、暗号化ピンパッド14、表示部19及びレシートプリンタ15などの各モジュールとの間で実際にやり取りされたコマンドや各種情報などを含む各信号の内容が、やり取りされた信号の順番で記録される。
さらに正当処理フローリスト保持部203は、図5A及び図5Bを用いて説明した正当な出金取引処理時における利用者との取引開始からステップS32の紙幣出金処理や、ステップS35のカード返却処理、又は、ステップS38の明細書印刷処理までの一連の処理の内容がそれぞれ記録されたリストでなる正当紙幣出金処理フローリスト206、正当カード返却処理フローリスト207、正当明細書印刷処理フローリスト208及び正当カードデータ書込み処理フローリスト209を保存しておくための記憶領域を有する記憶デバイス等のモジュールである。この場合、正当処理フローリスト保持部203は実処理フローリスト保持部202と同一の記憶デバイスであってもよい。
実際上、正当紙幣出金処理フローリスト206には、正当な出金取引処理時における利用者との取引開始からステップS32の紙幣出金処理までの一連の処理において、ATM制御部10が紙幣処理部12、ICカード21、暗号化ピンパッド14及び表示部19との間でやり取りするコマンドや各種情報などを含む各信号の内容が、やり取りされる信号の順番で予め記録されている。
また正当カード返却処理フローリスト207には、正当な出金取引処理時における利用者との取引開始からステップS35のカード返却処理までの一連の処理において、ATM制御部10が紙幣処理部12、カードリーダ13、ICカード21、暗号化ピンパッド14及び表示部19との間でやり取りされるコマンドや各種情報などを含む各信号の内容が、やり取りされる信号の順番で予め記録されている。
さらに正当明細書印刷処理フローリスト208には、正当な出金取引処理時における利用者との取引開始からステップS38の明細書印刷処理までの一連の処理において、ATM制御部10が紙幣処理部12、カードリーダ13、ICカード21、暗号化ピンパッド14、表示部19及びレシートプリンタ15との間でやり取りされるコマンドや各種情報などを含む各信号の内容が、やり取りされる信号の順番で予め記録されている。
さらに正当カードデータ書込み処理フローリスト209には、図示していないが、正当な処理時における処理開始からICカード21にカード番号等の情報を書き込むまでの一連の処理において、ATM制御部10がカードリーダ13との間でやり取りされるコマンドや各種情報などを含む各信号の内容が、やり取りされる信号の順番で予め記録されている。
さらに動作許可署名発行部204は、かかる実処理フローリスト205が正当処理フローリスト保持部203に保存されている処理内容に一致したときにのみ、モジュールの動作を許可する署名を発行する機能を有するモジュールである。
(1−3)本実施の形態の自動取引装置における出金取引処理の流れ
次に、図5A及び図5Bとの対応部分に同一符号を付した図8A及び図8Bを参照して、本実施の形態における出金取引処理の概略の流れについて説明する。
まず、ATM111の利用者によりICカード21が図示しないカード挿入口を介してカードリーダ114(図6)に挿入され、ATM制御部10がカードリーダ114を介してICカード21に記憶されているカード番号を取得する(S1,S2)。このときセキュリティ制御部112は、ICカード21からATM制御部10に送信された信号の内容を実処理フローリスト205(図7)の一部として実処理フローリスト保持部202に記録する(S51)。なお、かかる記録は実際にはセキュリティ制御部112の通信監視部201(図7)により行われるが、理解の容易化のため、以下においてもセキュリティ制御部112の処理として説明する。
この後、ATM111のATM制御部10は処理選択画面の表示指示を表示部19に送信し(S3)、この表示指示に従って表示部19が処理選択画面を表示する(S4)。かくしてATM111の利用者は取引内容として出金取引を選択し(S5)、この結果としてATM制御部10が出金取引の一連の処理を開始する(S6)。この際、セキュリティ制御部112は、このときATM制御部10及び表示部19間や、暗号化ピンパッド115及びATM制御部10間でやり取りされた信号(コマンドや情報)の内容をそれぞれ実処理フローリスト205の一部として実処理フローリスト保持部202に記録する(S52,S53)。
これ以降、ステップS7でATM制御部10が暗証番号入力の表示指示を表示部19に送信してから、ステップS32でATM制御部10が紙幣処理部113に紙幣出金コマンドを送信するまでの一連の処理において、ATM制御部10と他のモジュール(表示部19、暗号化ピンパッド115、ICカード21又は紙幣処理部113)との間でやり取りされた各信号(コマンドや情報)の内容をセキュリティ制御部112が実処理フローリスト205の一部として実処理フローリスト保持部202に記録する(S54〜S63)こと以外は、従来の処理の流れと同様である。ここで、セキュリティ制御部112が実処理フローリスト205の一部として記録する信号の内容として、カード番号情報、暗証番号桁数、暗号化ピンパッド115への入力桁数、取引データ、取引可否データ、検証結果及び処理手順などを含んでいてもよい。
そしてステップS32においてATM制御部10が紙幣出金コマンドを紙幣処理部113に送信すると、セキュリティ制御部112は、このときATM制御部10から紙幣処理部113に送信された信号(紙幣出金コマンド)の内容を実処理フローリスト205の一部として実処理フローリスト保持部202に記録する(S64)。
またセキュリティ制御部112は、これまでに実処理フローリスト保持部202に記録した実処理フローリスト205(図7)の内容と、正当処理フローリスト保持部203に保存されている正当紙幣出金処理フローリスト206の内容とを比較する。そしてセキュリティ制御部112は、これら実処理フローリスト205の内容と、正当紙幣出金処理フローリスト206の内容とが一致した場合にのみ動作許可署名を紙幣処理部113に送信する(S101)。なお、かかる比較及び動作許可署名の送信は実際にはセキュリティ制御部112の通信監視部201(図7)により行われるが、理解の容易化のため、以下においてもセキュリティ制御部112の処理として説明する。
そして紙幣処理部113は、ATM制御部10からの紙幣出金コマンドを受信し(S33)、かつ、セキュリティ制御部112からの動作許可署名を受信した場合にのみ(S102)、紙幣出金コマンドで指定された金種の紙幣を当該紙幣出金コマンドで指定された枚数だけ収納庫から取り出してATM111の前面に設けられた入金口内に搬送する出金処理を行う(S34)。
続いて、ATM制御部10は、カードリーダ114に対してカードの返却指示を送信する(S35)。この際、セキュリティ制御部112は、このときATM制御部10からカードリーダ114に送信された信号(カードの返却指示のコマンド)の内容をそれぞれ実処理フローリスト205の一部として実処理フローリスト保持部202に記録する(S65)。
またセキュリティ制御部112は、この後、ここまで記録した実処理フローリスト205(図7)の内容と、正当処理フローリスト保持部203に保存されている正当カード返却処理フローリスト207の内容とを比較し、これらが一致した場合にのみ動作許可署名をカードリーダ114に送信する(S103)。
カードリーダ114は、カードの返却指示を受信し(S36)、かつ、動作許可署名を受信した場合にのみ(S104)、カードリーダ114内にあるICカード21をカード挿入口から排出して利用者に返却する(S37)。
続いて、ATM制御部10は、レシートプリンタ116に対し、取引内容を含む明細書の印刷コマンドを送信する(S38)。この際、セキュリティ制御部112は、このときATM制御部10からレシートプリンタ116に送信された信号(印刷コマンド)の内容を実処理フローリスト205の一部として実処理フローリスト保持部202に記録する(S66)。
そしてセキュリティ制御部112は、この後、これまでに記録した実処理フローリスト205(図7)の内容と、正当処理フローリスト保持部203に保存された正当明細書印刷処理フローリスト208(図7)の内容とを比較し、これらが一致した場合にのみ動作許可署名をレシートプリンタ116に送信する(S105)。
そしてレシートプリンタ116は明細書印刷コマンドを受信し(S39)、かつ、かかる動作許可署名を受信した場合にのみ(S106)、取引内容を含む明細書を印刷する(S40)。
なお、セキュリティ制御部112の通信監視部201は、ステップS101、ステップS103、ステップS105において、実処理フローリスト205の内容と、正当紙幣出金処理フローリスト206、正当カード返却処理フローリスト207又は正当明細書印刷処理フローリスト208の内容とが一致しないときには、上述の動作許可署名を発行しないだけでなく、それまでに実処理フローリスト205に記録された内容を不正処理として保存する。
(1−4)第1の実施の形態による不正処理発生時の動作
ここで、ATM制御部10のATMアプリケーションソフトウェア40(図2)にマルウェアが混入して、取引の裏付けのない不正な紙幣出金コマンドが紙幣処理部113に送信される処理は起こり得る。しかしながら、紙幣出金コマンド中の出金金額が改ざんされたり、そもそも取引とは全く関係のない紙幣出金コマンドが紙幣処理部12に送信された場合、ここまで記録した実処理フローリスト205(図7)の内容と、正当紙幣出金処理フローリスト206の内容とが一致しないため、セキュリティ制御部112は紙幣処理部113に動作許可署名を送信しない。従って、この場合には紙幣処理部113による紙幣出金処理が行われず、不正な出金が行われることを防止することができる。
また、別の事例で、取引終了後に本来送信されるカード返却コマンドが送信されICカード21がATM111内部に滞留し、利用者が立ち去った後、犯罪者が暗号化ピンパッド115に通常入力されることのない組合せや桁数の番号を入力することにより、カード返却コマンドがカードリーダ114に送信されたとしても、セキュリティ制御部112がここまで記録した実処理フローリスト205(図7)の内容と、正当カード返却処理フローリスト207の内容とが一致しないため、セキュリティ制御部112はカードリーダ114に動作許可署名を送信しない。従って、この場合にはカードリーダ114によるカード返却処理が行われないため、利用者のICカード21が犯罪者に不正に搾取されることを防止することができる。
さらに、別の事例では、正当な取引を行うICカード21ではなく特別なカード情報を送信する不正カードを挿入することにより、ATM制御部10がATM制御部10のメモリ31のデータ領域33に保存されているカード番号60等の情報を不正カードに書き込むコマンドをカードリーダ114に送信したとしても、セキュリティ制御部112がここまで記録した実処理フローリスト205(図7)の内容と、正当カードデータ書込み処理フローリスト209の内容とが一致しないため、セキュリティ制御部112はカードリーダ114に動作許可署名を送信しない。従って、この場合にはカードリーダ114による不正カードへのカード番号60等の情報の書込み処理が行われず、利用者のICカード21の情報が犯罪者に不正に搾取されることを防止することができる。
さらに、別の事例では、正当な取引を行うICカード21ではなく特別なカード情報を送信する不正カードを挿入したり、暗号化ピンパッド115に通常入力されることのない組合せや桁数の番号を入力することにより、マルウェアがATM制御部10のメモリ31のデータ領域33に保存されているカード番号60等の情報をレシートプリンタ116に印字するようにコマンドを発行したとしても、セキュリティ制御部112がここまで記録した実処理フローリスト205(図7)の内容と、正当明細書印刷処理フローリスト208の内容とが一致しないため、セキュリティ制御部112はレシートプリンタ116に動作許可署名を送信しない。従って、この場合にはレシートプリンタ116による取引明細書の印刷処理が行われず、大量のカード情報が犯罪者に不正に搾取されることを防止することができる。
(1−5)本実施の形態の効果
以上のように本実施の形態の自動取引システム110では、取引が正当に行われたときのATM制御部10とICカード21や他のモジュール(表示部19、紙幣処理部113、カードリーダ114、暗号化ピンパッド115及びレシートプリンタ116)との間でやり取りされる各信号の内容が予め登録された正当紙幣出金処理フローリスト206などの各種正当処理フローリストを保持するセキュリティ制御部112をATM制御部10とは別個に設け、当該セキュリティ制御部112が取引時におけるATM制御部10と各モジュール(表示部19、紙幣処理部113、カードリーダ114、暗号化ピンパッド115及びレシートプリンタ116)との間でそれぞれやり取りされた信号の内容を実処理フローリスト205に順次記録する。
またセキュリティ制御部112は、ATM111が紙幣出金処理、カード返却処理又は印刷処理を実行する際や、ICカード21にデータを書き込む際、実処理フローリスト205の内容と、正当紙幣出金処理フローリスト206、正当カード返却処理フローリスト207、正当明細書印刷処理フローリスト208及び正当カードデータ書込み処理フローリスト209の内容とを比較し、これらが一致した場合にのみ紙幣出金処理や、カード返却処理、印刷処理及びICカード21へのデータ書込み処理の動作許可署名を対応するモジュールに出力する。そして、これらのモジュールは、セキュリティ制御部112からの動作許可署名を受信した場合にのみ紙幣出金処理、カード返却処理、印刷処理又はICカード21へのデータ書込み処理を実行する。
従って、本実施の形態によれば、不正な出金が行われたり、利用者のICカード21が犯罪者に不正に搾取されたり、利用者のICカード21の情報が犯罪者に不正に搾取されたり、大量のカード情報が犯罪者に不正に搾取されることを防止することができ、かくして信頼性の高い自動取引システムを実現できる。
(2)第2の実施の形態
(2−1)第2の実施の形態による取引システムの構成
図1との対応部分に同一符号を付して示す図9において、310は全体として第2の実施の形態による自動取引システムを示す。本自動取引システム310は、ATM311の紙幣処理部313、カードリーダ314、暗号化ピンパッド315及びレシートプリンタ316の機能が異なる点を除いて図1〜図5Bについて上述した従来の自動取引システム1と同様に構成されている。
図10は、本実施の形態のカードリーダ314の構成を示す。このカードリーダ314は、カードリーダ314全体の動作制御を司るカードリーダ制御部321と、カード挿入口に挿入されたICカード21を搬送し、当該ICカード21から情報を読み取るカードリーダ搬送・読取部322とに加え、通信監視部301、実処理フローリスト保持部302、正当処理フローリスト保持部303及び動作許可署名発行部304を備えて構成されている。
通信監視部301は、ATM311内のATM制御部10と、紙幣処理部313やカードリーダ314、暗号化ピンパッド315及びレシートプリンタ316等との間の通信を監視するモジュールである。
また実処理フローリスト保持部302は、かかる通信監視によって取得した、利用者との取引開始(図5AのステップS1)から図5BのステップS38までの一連の処理の内容を実処理フローリスト305として保存しておくための記憶領域を有するモジュールである。なお、この実処理フローリスト305は、第1の実施の形態の実処理フローリスト205と同様の内容を有するものである。
さらに正当処理フローリスト保持部303は、図5A及び図5Bを用いて説明した正当な出金取引処理時における利用者との取引開始からステップS32の紙幣出金処理、ステップS35のカード返却処理、ステップS38の明細書印刷処理までの一連の処理の内容が登録された正当紙幣出金処理フローリスト306、正当カード返却処理フローリスト307、正当明細書印刷処理フローリスト308及び正当カードデータ書込み処理フローリスト309を保存しておくための記憶領域を有するモジュールである。
なお、これら正当紙幣出金処理フローリスト306、正当カード返却処理フローリスト307、正当明細書印刷処理フローリスト308及び正当カードデータ書込み処理フローリスト309は、第1の実施の形態の正当紙幣出金処理フローリスト206、正当カード返却処理フローリスト207、正当明細書印刷処理フローリスト208及び正当カードデータ書込み処理フローリスト209と同様の内容を有するものである。
さらに動作許可署名発行部304は、かかる実処理フローリスト305が正当処理フローリスト保持部303に保存されている処理内容に一致したときにのみ、モジュールの動作を許可する署名を発行する機能を有するモジュールである。
(2−2)本実施の形態による自動取引装置における出金取引処理の流れ
次に、図5A及び図5Bとの対応部分に同一符号を付した図11A及び図11Bを参照して、本実施の形態における出金取引処理の概略の流れについて説明する。
まず、ATM311の利用者によりICカード21がATM311の前面に設けられた図示しないカード挿入口に挿入されると、そのICカード21に記録されたカード番号等の必要な情報が当該ICカード21からカードリーダ314を経由してATM制御部10に送信される(S1)。
このときカードリーダ314は、ICカード21からATM制御部10に送信された信号の内容を実処理フローリスト305(図10)の一部として記録する(S71)。なお、かかる記録は実際にはカードリーダ314の通信監視部301(図10)により行われるが、理解の容易化のため、以下においてもカードリーダ314の処理として説明する。
ATM制御部10は、かかるカード番号等の情報を受信すると(S2)、処理選択画面の表示指示を表示部19に送信する(S3)。また表示部19は、この表示指示に従って処理選択画面を表示する(S4)。かくしてATM311の利用者は、暗号化ピンパッド315を操作して取引種別として出金取引を選択し(S5)、この結果としてATM制御部10が出金取引の一連の処理を開始する(S6)。この際、カードリーダ314は、このときATM制御部10及び表示部19間や、暗号化ピンパッド315及びATM制御部10間でやり取りされた信号(コマンドや情報)の内容をそれぞれ実処理フローリスト305の一部として実処理フローリスト保持部302に記録する(S72,S73)。
これ以降、ステップS7でATM制御部10が暗証番号入力の表示指示を表示部19に送信してから(S7)、ステップS32でATM制御部10が紙幣処理部313に紙幣出金コマンドを送信するまでの一連の処理において、ATM制御部10と他のモジュール(表示部19、暗号化ピンパッド315、ICカード21又は紙幣処理部313)との間でやり取りされた各信号(コマンドや情報)の内容をカードリーダ314が実処理フローリスト305の一部として実処理フローリスト保持部302に記録する(S74〜S83)こと以外は、従来の処理の流れと同様である。なお、かかる記録は実際にはカードリーダ314の通信監視部301(図10)により行われるが、理解の容易化のため、以下においてもカードリーダ314の処理として説明する。またカードリーダ314が実処理フローリスト305の一部として記録する信号の内容として、カード番号情報、暗証番号桁数、暗号化ピンパッド315への入力桁数、取引データ、取引可否データ、検証結果及び処理手順などを含んでいてもよい。
そしてステップS32においてATM制御部10が紙幣出金コマンドを紙幣処理部313に送信すると、カードリーダ314の通信監視部301は、このときATM制御部10から紙幣処理部313に送信された信号(紙幣出金コマンド)の内容を実処理フローリスト305の一部として実処理フローリスト保持部302に記録する(S84)。
またカードリーダ314は、これまでに実処理フローリスト保持部302に記録した実処理フローリスト305(図10)の内容と、正当処理フローリスト保持部303に保存されている正当紙幣出金処理フローリスト306の内容とを比較する。そしてカードリーダ314は、これら実処理フローリスト305の内容と、正当紙幣出金処理フローリスト306の内容とが一致した場合にのみ動作許可署名を紙幣処理部313に送信する(S101)。なお、かかる比較及び動作許可署名の送信は実際にはカードリーダ314の通信監視部301(図10)により行われるが、理解の容易化のため、以下においてもカードリーダ314の処理として説明する。
そして紙幣処理部313は、ATM制御部10からの紙幣出金コマンドを受信し(S33)、かつ、カードリーダ314からの動作許可署名を受信した場合にのみ(S102)、紙幣出金コマンドで指定された金種の紙幣を当該紙幣出金コマンドで指定された枚数だけ収納庫から取り出してATM311の前面に設けられた入金口内に搬送する出金処理を行う(S34)。
続いて、ATM制御部10は、カードリーダ314に対してカードの返却指示を送信する(S35)。またカードリーダ314は、かかる返却指示を受信すると(S36)、これまでに実処理フローリスト保持部302に記録した実処理フローリスト305(図10)の内容と、正当処理フローリスト保持部303に保存されている正当カード返却処理フローリスト307の内容とを比較し、これらが一致した場合にのみ動作許可署名を生成する(S103)。
そしてカードリーダ314は、ICカード21の返却指示を受信し(S36)、かつ、かかる動作許可署名を生成した場合にのみ、ICカード21をカード挿入口から排出して利用者に返却する(S37)。
続いて、ATM制御部10は、レシートプリンタ316に対し、取引内容を含む明細書の印刷コマンドを送信する(S38)。この際、カードリーダ314は、このときATM制御部10からレシートプリンタ316に送信された信号(印刷コマンド)の内容を実処理フローリスト305の一部として実処理フローリスト保持部302に記録する(S86)。
そしてカードリーダ314は、この後、これまでに記録した実処理フローリスト305(図10)の内容と、正当処理フローリスト保持部303に保存された正当明細書印刷処理フローリスト308(図10)の内容とを比較し、これらが一致した場合にのみ動作許可署名をレシートプリンタ316に送信する(S105)。
そしてレシートプリンタ316は明細書印刷コマンドを受信し(S39)、かつ、かかる動作許可署名を受信した場合にのみ(S106)、取引内容を含む明細書を印刷する(S40)。
なお、カードリーダ314の通信監視部301は、ステップS101、ステップS103、ステップS105において、実処理フローリスト305の内容と、正当紙幣出金処理フローリスト306、正当カード返却処理フローリスト307又は正当明細書印刷処理フローリスト308の内容とが一致しないときには、上述の動作許可署名を発行しないだけでなく、それまでに実処理フローリスト305に記録された内容を不正処理として保存する。
(2−2)本実施の形態の動作及び効果
ここで、ATM制御部10のATMアプリケーションソフトウェア40(図2)にマルウェアが混入して、取引の裏付けのない不正な紙幣出金コマンドが紙幣処理部313に送信される処理や、正当な取引のタイミングとは異なるタイミングでカード返却コマンドが送信される処理や、カード番号60等の情報を不正カードに書き込むコマンドを送信する処理や、カード番号60等の情報をレシートプリンタ316に印字するようにコマンドを送信する処理が行われても、カードリーダ314は記録した実処理フローリスト305(図10)が、正当処理フローリスト保持部303に保存された正当紙幣出金処理フローリスト306、正当カード返却処理フローリスト307、正当カードデータ書込み処理フローリスト309又は正当明細書印刷処理フローリスト308と一致しないため、カードリーダ314が動作許可署名を生成することはなく、不正を防止することができる。従って、本実施の形態によれば、第1の実施の形態と同様、信頼性の高い自動取引システムを実現できる。
(3)第3の実施の形態
(3−1)本実施の形態による自動取引システムの構成
図1との対応部分に同一符号を付して示す図12は、第3の実施の形態による自動取引システム410を示す。本自動取引システム410は、ATM411のカードリーダ412の構成が異なる点を除いて図1について上述した従来の自動取引システム1と同様に構成されている。なお、図12においては、説明の明確化のため図1で説明した紙幣処理部12、レシートプリンタ15、通帳プリンタ16、ジャーナルプリンタ17及び監視カメラ18の図示を省略しているが、本実施の形態のATM411もこれらのモジュールを備えていることは言うまでもない。
図13は、本実施の形態のカードリーダ412の概略構成を示す。本実施の形態のカードリーダ412は、データバス420を介して相互に接続された通信監視部421、カードリーダ制御部422、リスト保持部423、コマンド実行権限保持部424、認証部425、リード/ライト部426、カード搬送部427及びカードロック機構428を備えて構成される。
通信監視部421は、ATM制御部10とのデータの送受信を滞りなく実行し、受信したデータをカードリーダ制御部422に受け渡したり、カードリーダ制御部422から渡されたデータをATM制御部10に送信する通信モジュールである。通信監視部421は、USB(Universal Serial Bus)規格やTCP/IP(Transmission Control Protocol / Internet Protocol)規格等に準拠した通信インタフェース429を介してATM制御部10と接続され、この通信インタフェースを介してATM制御部10との間でコマンドやその実行結果を送受する。
カードリーダ制御部422は、ATM制御部10から受信したコマンドを解析し、その内容に応じてコマンド実行権限保持部424、認証部425、リード/ライト部426、カード搬送部427及びカードロック機構428を単独又は相互に動作させ、その結果をATM制御部10に送信する機能を有するモジュールである。
なおカードリーダ412がATM制御部10から受信するコマンドの主なものとしては、ICカード21をカードリーダ412内に取り込むことを指示するコマンドであるカード取り込みコマンドと、カードリーダ412に取り込んだICカード21を当該カードリーダ412から排出すべきことを指示するコマンドであるカード排出コマンドと、カードリーダ412に取り込んだICカード21から情報を読み取ることを指示するカードデータ読み取りコマンドと、カードリーダ412に取り込んだICカード21に情報を書き込むことを指示するカードデータ書き込みコマンドと、後述する認証コマンドと、カードリーダ412に取り込んだICカード21が当該カードリーダ412から取り出せないようにロックすることを指示するカードロックコマンドと、そのロックを解除しICカード21をカードリーダ412から再び取り出せるように指示するカードロック解除コマンド等などがある。
リスト保持部423は、例えば半導体メモリから構成され、後述するコマンド−権限対応付けリスト430を保持するために利用される。またコマンド実行権限保持部424は、半導体メモリから構成され、後述するカードリーダ412のコマンド実行権限を保持するために利用される。
ここで、「コマンド実行権限」とは、ATM制御部10から与えられたコマンドを実行する権限を意味する。本実施の形態の場合、コマンド実行権限の種類として、「通常権限」及び「特別権限」などの2段階以上を権限が用意されている。「通常権限」は、ATM制御部10からのコマンドのうち、セキュリティ性の低い汎用コマンドのみ実行できる権限であり、「特別権限」は、ATM制御部10からのコマンドのうち、かかる汎用コマンドに加えて、セキュリティ性の高いコマンド(以下、これを特権コマンドと呼ぶ)についても実行できる権限である。
本実施の形態においては、ATM制御部10からカードリーダ412に与えられるすべてのコマンドについて、そのコマンドを実行するための権限が予め規定されており、各コマンドと、そのコマンドを実行するための権限とをそれぞれ対応付けたコマンド−権限対応付けリスト430がリスト保持部423に予め格納されている。
そしてカードリーダ制御部422がATM制御部10から与えられたコマンドを実行する際、そのコマンドに対応付けられているコマンド実行権限をコマンド−権限対応付けリスト430から取得する。そして、取得したコマンド実行権限と、コマンド実行権限保持部424に保持しているそのときカードリーダ412に付与されているコマンド実行権限とを比較し、カードリーダ412がそのコマンドを実行できるコマンド実行権限を保持している場合のみ、そのコマンドを実行する。
なお、本実施の形態においては、コマンド実行権限保持部424が、通電時のみデータを保持するRAM等の不揮発性メモリから構成されているものとする。またカードリーダ412への電源供給が停止し、その後、カードリーダ412への電源が再投入された場合、それ以前にコマンド実行権限保持部424が保持していたコマンド実行権限に関わりなく、「通常権限」のコマンド実行権限が強制的にコマンド実行権限保持部424に上書きされるものとする。このようにすることにより、電源の再投入直後に特権コマンドを実行することができなくなり、セキュリティ性を高めることが可能となる。
認証部425は、ATM制御部10からの認証コマンドを受信したことを契機として認証処理を行う。この「認証」は、認証部425と勘定系ホストコンピュータ3(図12)との間でのオンラインによる相互認証や、セキュリティトークンで発生させたワンタイムパスワードによるオフライン認証などが考えられる。なお、オンラインによる相互認証及びオフライン認証の各方式については特に限定しないが、代表的な例としてそれぞれ、チャレンジ・レスポンス認証方式や、時刻同期認証方式等を利用することができる。
かかる認証が正常に行われた場合、カードリーダ制御部422は、コマンド実行権限保持部424が保持しているコマンド実行権限を「通常権限」から「特別権限」に変更する。カードリーダ412のコマンド実行権限を「特別権限」に変更することにより、カードリーダ412がセキュリティ性の高いコマンドを実行できるようになる。
なおこれら認証の過程では、ATM制御部10及び通信処理部20(図12)が通信データの送受信には介在するものの、前述したチャレンジ・レスポンス認証やワンタイムパスワード認証といった認証処理そのものには一切介入しない。
リード/ライト部426は、カードリーダ412に取り込んだICカード21から情報を読み取ったり(データリード)又はそのICカード21に情報を書き込んだり(データライト)する機能を有するモジュールである。またカード搬送部427は、ATM411(図12)の前面部に設けられた図示しないカード挿入口に挿入されたICカード21をカードリーダ412内に取り込んだり、又は、カードリーダ412に取り込んだICカード21をカード挿入口から外部に排出する機能を有するモジュールである。
カードロック機構428は、カードリーダ412がICカード21の取り込み若しくは排出、又は、ICカード21へのデータリード若しくはデータライトなどのICカード21に対する処理中に何らかの異常を検知したときに、カードリーダ412内に取り込んだ状態にICカード21をロックし、ピンセットやペンチ等の物理的な手段でICカード21を取り出すことを困難にするため機構である。
近年、犯罪者が悪意によりカードリーダにカード詰まりを発生させる細工を施す事案が多発している。細工が施されたカードリーダに利用者がカードを挿入すると、カードリーダの中でカードが詰まり、利用者がATMにて返却操作をしても、返却されなくなってしまう。利用者がカードの返却を諦めて立ち去った後に、犯罪者が上述のような物理的な手段によりカードを不正に入手するのである。本機構はそのような事案の防止を目的として設置されている。
なお、本機構がICカード21をロックした後、ロックを解除させる場合は、カードリーダ412が自律的に行うのではなく、ATM制御部10からのカードロック解除コマンドの受信により動作する。近年犯罪がより高度化し、ATM制御部10にマルウェアを感染させ、意図しないコマンドをATMの各モジュールに送信することにより誤動作を誘発させ、現金の不正引き出し等、不正に利益を享受する犯罪が増加傾向にある。本傾向は、カードロック機構428によりICカード21をカードリーダ412内にロックすることで犯罪者によるICカード21の不正入手を防止しようとしても、犯罪者が、ATM制御部10をマルウェアに感染させて不正にカードロック解除コマンドをカードリーダ412に送信させることにより、ICカード21のロックが解除されてしまう新たな事案が発生し得ることを示唆している。
本実施の形態はそのような新たな事案の発生を防止するための一手段であり、コマンド−権限対応付けリスト430内のカードロック解除コマンドに特別権限を対応させておくことにより、上述の認証処理を行わない限り、不正なカードロック解除コマンドを受信したとしても、そのコマンドの実行を阻止することができ、セキュリティ性を維持することができる。
図14は、カードロック機構428の概略構成を示す。カードリーダ412は、上述のようにATM411(図12)の前面に配設されたカード挿入口440を備えており、当該カード挿入口440を介してICカード21が挿入又は排出される。挿入又は排出されるICカード21は、カード搬送部427(図13)を構成するモータ等の動力源を持つゴムローラ427Aを動力として、カード搬送路441に沿って搬送される。
カードロック機構428は、アーム部431Xと、アーム部431Xの一端側に一体形成された係合部431Yとから構成される可動部432を備えて構成される。可動部432は、アーム部431Xの長手方向の中央部から僅かに他端側の位置を支点433として、図示しないモータやソレノイド等のアクチュエータにより、図14において破線で示す待機位置から矢印xで示すロック方向又はこれと逆のロック解除方向に回転駆動させ得るようになされている。
可動部432の材質としては、ICカード21に使用される一般的な材質、すなわちプラスチック等の硬度と比べて合理的十分な硬度を持つ材質、すなわち鉄鋼等が使用される。可動部432の係合部431Yの先端には複数の鋭利な櫛歯431Aが設けられており、カードロック機構428が作動して可動部432が待機位置から矢印x方向に回転駆動したときに、かかる係合部431Yの櫛歯431AをICカード21に食い込ませることで当該ICカード21をカードリーダ412内にロックし得るようになされている。
カードリーダ412内に取り込まれているICカード21をカード挿入口440まで搬送する際、カード搬送部427のゴムローラ427Aを回転駆動するモータに異常な高負荷が発生したり、搬送すべりが発生するなど、何らかの搬送異常を検知した場合に、カードリーダ412はATM制御部10に対し、搬送異常が発生した旨の通知を行う。そして通知を受け取ったATM制御部10は、カードロックが必要か否かかの状況判断を行い、ロックが必要と判断した場合には、カードロックコマンドをカードリーダ412に送信する。
カードロックコマンドを受信したカードリーダ412は、カードロック機構428の可動部432を回転するアクチュエータを作動させる。そしてかかるアクチュエータが作動すると、可動部432の位置が待機位置から矢印x方向に勢いよく回転動作し、可動部432の係合部431Yの櫛歯431AがICカード21に食い込む。これにより、その後ICカード21を無理やりカードリーダ412から取り出そうとしても、櫛歯431Aの食い込みがより強くなり、ICカード21の取り出しが困難になる。
図15は、コマンド−権限対応付けリスト430の構成例を示す。この図15は、コマンド実行権限として、「通常権限」、「特別権限1(特権1)」及び「特別権限2(特権2)」の3段階のコマンド実行権限が用意されている場合の一例である。この例では、「通常権限」よりも「特別権限1(特権1)」の方が権限として強く、「特別権限1(特権1)」よりも「特別権限2(特権2)」の方が権限として強くなるものとしている。
図15の例では、例えば、「カード挿入コマンド」、「カード排出コマンド」、「データ読取りコマンド」については、カードリーダが「通常権限」、「特権1」及び「特権2」のうちのいずれのコマンド実行権限を保持している場合であっても実行が可能であるが、「データ書込みコマンド」については、「通常権限」では実行することができず、「特権1」又は「特権2」を保持している場合には実行することができる設定となっている。
原則として、セキュリティ性の低い汎用コマンドについては、「通常権限」を保持している場合であってもそのコマンドの実行を許可し、コマンドのセキュリティ性が高くなるにつれて、より強いコマンド実行権限を保持している場合でのみそのコマンドの実行を許可するように設計する。
図15の例では、上述のカードロック解除コマンドは、「通常権限」又は「特権1」を保持している場合では実行できず、「特権2」を保持している場合にのみ実行できるものとしており、カードロック解除コマンドをセキュリティ性の高いコマンドとして位置付けている。
「特権1認証コマンド」及び「特権2認証コマンド」は、それぞれの特別権限を取得し保持するためのコマンドである。これら認証コマンドは、上述のように相互認証やワンタイムパスワード認証等を伴うため、それら認証にパスしなければそのコマンド実行権限を取得し保持することはできない。
「特権1認証コマンド」自体はいずれのコマンド実行権限を保持している場合であっても実行可能だが、「特権2認証コマンド」はカードリーダに与えられた権限が「通常権限」である場合には実行できず、カードリーダに与えられた権限が「特権1」である場合に実行することができる設定となっている。すなわち、「通常権限」を保持している場合において「特権2」を取得するためには、まず「特権1認証コマンド」の実行により「特権1」を取得し、そのうえで「特権2認証コマンド」の実行により「特権2」を取得することが必要となる。
このように、コマンド実行権限に複数の段階を持たせ、コマンド−権限対応付けリスト430の内容を適切に設定しておくことで、より高次のコマンド実行権限を得るために2段階認証等を必要とさせることも可能である。
(3−2)第3の実施の形態によるカード排出コマンド実行処理
図16は、本実施の形態の自動取引システム410(図12)において、ATM411のカードリーダ412がカード排出コマンドを実行する際に、当該ATM411で実行される一連の処理(以下、これをカード排出コマンド実行処理と呼ぶ)の流れを示す。
本カード排出コマンド実行処理が実行される状況としては、ICカード21がカードリーダ412に詰まり、カードロック機構428によりロックされてしまったため、利用者がコールセンタにその旨の連絡を行い、連絡を受けた保守員が当該ICカード21が詰まったATM(以下、これを対象ATMと呼ぶ)411に到着し、ICカード21を取り出そうとしている状況を想定している。
そして、このカード排出コマンド実行処理は、勘定系ホストコンピュータ3から相互認証要求を対象ATM411に送信し、この相互認証要求を受信した対象ATM411のATM制御部10がカードリーダ412に認証要求コマンドを送信し、この認証要求コマンドをカードリーダ412の通信監視部421(図13)が受信したことを契機として開始される。
なお、最初に勘定系ホストコンピュータ3から相互認証要求を対象ATM411に送信するのは、対象ATM411のカードリーダ412をメンテナンスするために、当該カードリーダ412で特権コマンドを実行できるように特権を与えるためである。ここでは、対象となるATM(対象ATM)411が利用者の連絡により特定されているため、勘定系ホストコンピュータ3は、そのATM(対象ATM)411に対してのみ認証要求を送信する。すなわち、メンテナンス等の必要がないATM411には、犯罪防止のため、特権コマンドを実行をさせない。
そして、かかる相互認証コマンドを受信した対象ATM411のカードリーダ412の通信監視部421は、受信した相互認証コマンドを認証部425に転送し、この相互認証コマンドを受け取った認証部425が勘定系ホストコンピュータ3との間で相互認証を行う(S110)。
そして認証部425は、かかる相互認証が正常に行われたか否かを判断し(S111)、相互認証が正常に行われなかった場合には(S111:NO)、このカード排出コマンド実行処理を終了する。従って、この場合には、保守員は、カードリーダ412からICカード21を取り出すことができないため、勘定系ホストコンピュータ3から対象ATM411に対して、再度、相互認証要求を送信させるなどの対策を講じることとなる。
これに対して、かかる相互認証が正常に行われた場合(S111:YES)、カードリーダ412のカードリーダ制御部422がコマンド実行権限保持部424に保持されているコマンド実行権限を特別権限に変更する(S112)。
この後、保守員は、メンテナンス操作により、対象ATM411のATM制御部10からカードリーダ412にカードロック解除コマンドを送信させる。
そして、カードリーダ412の通信監視部421は、このカードロック解除コマンドを受信すると(S113)、当該カードロック解除コマンドをカードリーダ制御部422に転送する。またカードリーダ制御部422は、このカードロック解除コマンドを受け取ると、コマンド実行権限保持部424に保持されている自カードリーダ412に付与されたコマンド実行権限を確認し(S114)、自カードリーダ412に付与されたコマンド実行権限がカードロック解除コマンドを実行可能な権限であるか否かを判定する(S115)。
そしてコマンド実行権限保持部424に保持されたコマンド実行権限がカードロック解除コマンドを実行可能な権限でなかった場合(S115:NO)、カードリーダ制御部422は、カードロック解除コマンドを実行せずにカード排出コマンド実行処理が終了する。
これに対して、コマンド実行権限保持部424に保持されたコマンド実行権限がカードロック解除コマンドを実行可能な権限であった場合(S115:YES)、カードリーダ制御部422は、カードロック機構428を作動させて、ICカード21のロックを解除させる(S116)。かくして、この場合、保守員は、ピンセットで挟む等の物理手段によりICカード21の取り出し作業を行う。
続いて、カードリーダ制御部422は、コマンド実行権限を通常権限に戻すための条件が成立しているか否かを判断する(S117)。本実施の形態では、かかる「条件」を特に限定しないが、例えば特権コマンドを一定回数実行した、又は、特別権限を保持してから一定時間が経過したなど、特権コマンドの実行可能な回数や期間が有限となる合理的条件を適用することができる。
そしてカードリーダ制御部422は、コマンド実行権限を通常権限に復帰させるための条件が成立していない場合には(S117:NO)、ステップS114に戻り、この後、かかる条件が成立するまでステップS114〜ステップS117の処理を繰り返す。
これに対して、カードリーダ制御部422は、コマンド実行権限を通常権限に復帰させるための条件が成立している場合には(S117:YES)、コマンド実行権限保持部424に保持されているコマンド実行権限を「通常権限」に変更し(S118)、この後、このカード排出コマンド実行処理が終了する。
かかるコマンド実行権限を「通常権限」に変更した後は、再度、勘定系ホストコンピュータ3との間で相互認証を行わない限り特権コマンドを実行することができないため、特権コマンドの実行回数及び実行期間を有限とすることができ、セキュリティ性を高めることが可能となる。
(3−3)本実施の形態の動作及び効果
以上のように本実施の形態の自動取引システム410では、カードロック解除コマンドに特別権限を対応付け、勘定系ホストコンピュータ3からの相互認証要求に応じてカードリーダ412において認証処理を行い、認証できたときにのみカードリーダ412が自己の権限をカードロック解除コマンドを実行可能な特別権限に変更する。
従って、本実施の形態によれば、ATM制御部10がマルウェアを感染し、不正なカードロック解除コマンドをカードリーダ412に送信した場合においても、カードリーダ412がその不正なカードロック解除コマンドを実行するのを阻止することができ、かくして信頼性の高い自動取引システムを実現することができる。
(4)第4の実施の形態
(4−1)本実施の形態による自動取引システムの構成
図12との対応部分に同一符号を付して示す図17は、第4の実施の形態による自動取引システム510を示す。なお、図17においては、説明の明確化のため図1で説明した紙幣処理部12、レシートプリンタ15、通帳プリンタ16、ジャーナルプリンタ17及び監視カメラ18の図示を省略しているが、本実施の形態のATM511もこれらのモジュールを備えていることは言うまでもない。
上述した第3の実施の形態では、対象ATM411のカードリーダ412が特権コマンドを実行するためには、予め勘定系ホストコンピュータ3との間で相互認証を行う必要があり、そのためには図12のように対象ATM411がネットワーク4等を介して勘定系ホストコンピュータ3と接続されている必要があった。
これに対して、本実施の形態の自動取引システム510では、対象ATM511のカードリーダ512内部で利用者のICカード21がロックされた場合のメンテナンスにおいて、対象ATM511が勘定系ホストコンピュータ3と接続されている必要はなく、対象ATM511がスタンドアロン状態であっても構わない。
本実施の形態では、勘定系ホストコンピュータ3との相互認証の代わりに、カードリーダ512はセキュリティトークン513により認証を行う。すなわち、本自動取引システム510では、セキュリティトークン513にて発生させたワンタイムパスワード514を、保守員が対象ATM511に搭載されている暗号化ピンパッド14より入力し、カードリーダ512の認証部425にて、入力されたワンタイムパスワードが真正か否かを判断することにより認証を行うのである。
このため、第4の実施の形態の自動取引システム510では、勘定系ホストコンピュータ3やネットワーク4に障害が発生し、勘定系ホストコンピュータ3及び対象ATM511間の通信が遮断されている場合でも、本実施の形態の適用が可能である。
なお、セキュリティトークン513は保守員のみが所有することを前提としており、保守員がセキュリティトークン513の紛失や盗難に対し十分に注意することで、セキュリティを担保する。
本実施の形態によるカードリーダ512は、図13及び図14を参照して説明した第3の実施の形態のカードリーダ412と同じ構成を有するものであるため、ここでの説明は省略する。
(4−2)第4の実施の形態によるカード排出コマンド実行処理
図18は、本実施の形態の自動取引システム510において、対象ATM511のカードリーダ512がカード排出コマンドを実行する際、当該対象ATM512において行われるカード排出コマンド実行処理と呼ぶ)の流れを示す。
本カード排出コマンド実行処理が実行される状況は、第3の実施の形態と同様に、ICカード21がカードリーダ512に詰まり、カードロック機構428(図13)によりICカード21がロックされてしまったため、利用者がコールセンタにその旨の連絡を行い、連絡を受けた保守員が当該ICカード21が詰まったATM511に到着し、ICカード21を取り出そうとしている状況を想定している。
そして、このカード排出コマンド実行処理は、保守員が、所有のセキュリティトークン513にて発生させたワンタイムパスワード514を対象ATM511に搭載されている暗号化ピンパッド14(図17)より入力したことを契機として開始される。
なお、最初に保守員がセキュリティトークン513にて発生させたワンタイムパスワード514を対象ATM511に入力するのは、対象ATM511のカードリーダ512をメンテナンスするために、当該カードリーダ512で特権コマンドを実行できるように権限を与えるためである。
そして、かかる暗号化ピンパッド14を用いて保守員により入力されたワンタイムパスワード514は、対象ATM511のATM制御部10を介してカードリーダ512に相互認証コマンドと共に送信される。この相互認証コマンド及びワンタイムパスワード514を受信したカードリーダ512の通信監視部421(図13)は、受信したこれら相互認証コマンド及びワンタイムパスワード514を認証部425(図13)に転送し、これら相互認証コマンド及びワンタイムパスワード514を受け取った認証部425がカードリーダ制御部422と連携して、ワンタイムパスワード514が真正か否かを判定する(S120)。
そして認証部425は、入力されたワンタイムパスワード514が真正でないと判定した場合(S121:NO)、このカード排出コマンド実行処理を終了する。従って、この場合には、保守員は、カードリーダ512からICカード21を取り出すことができないため、再度、ワンタイムパスワード514を入力するなどの対策を講じることとなる。
これに対して、入力されたワンタイムパスワード514が真正であると判定された場合(S121:YES)、カードリーダ512において、図16について上述した第3の実施の形態のカード排出コマンド実行処理のステップS112〜ステップS118と同様にステップS122〜ステップS128が実行され、この後、このカード排出コマンド実行処理が終了する。
なおステップS128において、対象ATM511のカードリーダ512のコマンド実行権限を通常権限に変更した後は、再度セキュリティトークン513(図17)による認証を行わない限り特権コマンドを実行することが出来ないため、特権コマンドの実行回数及び実行期間を有限とすることができ、セキュリティ性を高めることが可能となる。
(4−3)本実施の形態の動作及び効果
以上のように本実施の形態の自動取引システム510では、カードロック解除コマンドに特別権限を対応付け、セキュリティトークン513を用いた認証処理をカードリーダ512において行い、認証できたときにのみカードリーダ512が自己の権限をカードロック解除コマンドを実行可能な特別権限に変更する。
従って、本実施の形態によれば、ATM制御部10がマルウェアを感染し、不正なカードロック解除コマンドをカードリーダ512に送信した場合においても、カードリーダ512がその不正なカードロック解除コマンドを実行するのを阻止することができ、かくして信頼性の高い自動取引システムを実現できる。
(5)第5の実施の形態
(5−1)従来のシンクライアント自動取引システムの構成
本実施の形態によるシンクライアント自動取引システムを説明するに際して、まず、従来のシンクライアント自動取引システムの構成について説明する。
なお、シンクライアント(Thin client)自動取引システムとは、ユーザが利用するクライアント端末である自動取引装置(以下、これをシンクライアントATMと呼ぶ)では必要最小限の処理を実行し、ほとんどの処理をサーバ(以下、これをシンクライアントサーバと呼ぶ)側に集中させた自動取引システムを指す。各シンクライアントATMは、自社のホストコンピュータ(以下、これを自社ホストと呼ぶ)を経由することなく、シンクライアントサーバを介して営業店内の他のシンクライアントATMと通信することが可能となる。
図19は、従来のシンクライアント自動取引システム610の構成例を示す。このシンクライアント自動取引システム610では、1又は複数台のシンクライアントATM611と、これらシンクライアントATM611と接続されたシンクライアントサーバ612とが1つの営業店613に設けられている。そしてシンクライアントサーバ612は、LAN又はWANなどのネットワーク614を介して自社ホスト615と接続され、さらに自社ホスト615は、LAN又はWAN等のネットワーク616を介して他社のホストコンピュータ(以下、これを他社ホストと呼ぶ)617と接続されている。
なお以下においては、1つ1つのシンクライアントATMを区別する必要がある場合には、これらにそれぞれ「611−1」、「611−2」、……、「611−n」といった異なる符号を付すものとし、1つ1つのシンクライアントATMを特に区別する必要がない場合には、シンクライアントATMに共通の符号「611」を付すものとする。同様に、各シンクライアントATM611にそれぞれ搭載された1つ1つのカードリーダを区別する必要がある場合には、これらにそれぞれ「611−1A」、「611−2A」、……「611−nA」といった異なる符号を付すものとし、1つ1つのカードリーダを特に区別する必要がない場合には、カードリーダに共通の符号「611A」を付すものとする。
次に、図20を参照して、かかる従来のシンクライアント自動取引システム610において悪意のある利用者により行われるキャッシング取引の一例について説明する。ここでは、かかる利用者が他社のクレジットカード等のカード618を用いて、複数のシンクライアントATM611においてキャッシング取引しようとしているものとする。
また、このときかかるカード618の発行元の他社のホストコンピュータ(他社ホスト617)が当該カード618の利用者又はその仲間からのDoS攻撃(Denial of Service attack)を受けて自社ホスト615と通信できない状態にあるものとする。なおDoS攻撃とは、攻撃対象となるサーバ等に、大量のパケットやデータを送信することにより、通信回線やサーバの処理能力をパンクさせたり、サーバ・アプリケーションの脆弱性を突き、サービス提供を困難にさせる不正な攻撃手法の一つである。
まず、かかる利用者が、1つのシンクライアントATM611−1の前面に設けられた図示しないカード挿入口に他社のカード618を挿入する(S130)。このときシンクライアントATM611−1のカードリーダ611−1Aは、挿入されたカード618に記録されているカード番号等の情報を読み取り、読み取った情報を同じシンクライアントATM611内部のATM制御部(図示せず)に送信する(S131)。
そして、シンクライアントATM611−1のATM制御部は、かかるカードリーダ611−1Aにより読み取られたカード番号を受信すると(S132)、必要な操作画面を表示部に表示させるなどして取引金額等の今回の取引に関連する必要な情報を取得し、取得した情報をステップS132で受信したカード番号と併せて取引関連情報として、そのシンクライアントATM611−1内部の通信処理部(図示せず)にシンクライアントサーバ612へ送信させる(S133)。
シンクライアントサーバ612は、かかる取引関連情報を受信すると(S134)、受信した取引関連情報を処理し、処理した取引関連情報を自社ホスト615に送信する(S135)。
自社ホスト615は、かかる取引関連情報を受信すると(S136)、受信した取引関連情報に基づいて、対応する他社ホスト617に問合せ電文を送信する(S137)。しかしながら、このとき他社ホスト617は、上述のようにDoS攻撃を受けており、このためかかる問合せ電文が処理されず応答不能となる(S138)。
このような他社ホスト617から応答がないキャッシング取引の場合、自社ホスト615は、通常、シンクライアントATM611から送信されてきた取引関連情報を基に、先行して見做しでキャッシング取引の許可(以下、これを見做し支払許可と呼ぶ)をシンクライアントサーバ612を経由してそのシンクライアントATM611−1に送信する(S139)。
そしてシンクライアントATM611−1は、かかる見做し支払許可を受信すると(S140)、利用者から要求された取引金額を出金する出金処理を実行する(S141)。なお、このとき出金可能な最大支払金額は、1日の支払限度額までである。その後、カード618は、カードリーダ611−1Aから排出されて利用者に返却される(S142)。
次に、かかる利用者は、同一又は他の営業店613(図19)に設置された他のシンクライアントATM611−2に移動し、ステップS130〜ステップS142で使用したカード618をそのシンクライアントATM611−2のカード挿入口に挿入する(S143)。
この結果、そのシンクライアントATM611−2において、ステップS131〜ステップS133について上述した処理と同じ処理が実行されて取引関連情報がシンクライアントサーバ612に送信され(S144〜S146)、この取引関連情報に基づいて、シンクライアントサーバ612及び自社ホスト615においてステップS134〜ステップS137について上述した処理と同じ処理が実行されて、自社ホスト615から他社ホスト617に問合せ電文が送信される(S147〜S150)。
しかしながら、このとき他社ホスト617は依然としてDoS攻撃を受けているため、問合せ電文が他社ホスト617で処理されず応答不能となる(S151)。この結果、ステップS139と同様に、自社ホスト615が見做し支払許可をシンクライアントサーバ612を介してそのシンクライアントATM611−2に送信する(S152)。
かくして、シンクライアントATM611−2は、かかる見做し支払許可を受信すると(S153)、ステップS141と同様に、利用者から要求された取引金額を出金する出金処理を実行する(S154)。またシンクライアントATM611−2は、この後、カード618を利用者に返却する(S155)。
悪意ある利用者は、シンクライアントATM611を順次他のシンクライアントATM611に移動しながら同じことを繰り返す。この結果、被害が拡大していくことになる。
(5−2)本実施の形態による自動取引システム
次に、上述した従来のシンクライアント自動取引システムの問題点を考慮して構築された本実施の形態によるシンクライアント自動取引システムについて説明する。
図19との対応部分に同一符号を付した図21は、本実施の形態によるシンクライアント自動取引システム620の概略構成を示す。このシンクライアント自動取引システム620では、1又は複数台のシンクライアントATM621と、これらシンクライアントATM621と接続されたシンクライアントサーバ622とが1つの営業店623に設けられている。そしてシンクライアントサーバ622はネットワーク614を介して自社ホスト615と接続され、さらに自社ホスト615はネットワーク616を介して他社ホスト617と接続されている。
なお以下においては、1つ1つのシンクライアントATMを区別する必要がある場合には、これらにそれぞれ「621−1」、「621−2」、……、「621−n」といった異なる符号を付すものとし、1つ1つのシンクライアントATMを特に区別する必要がない場合には、シンクライアントATMに共通の符号「621」を付すものとする。同様に、各シンクライアントATM621にそれぞれ搭載された1つ1つのカードリーダを区別する必要がある場合には、これらにそれぞれ「621−1A」、「621−2A」、……「621−nA」といった異なる符号を付すものとし、1つ1つのカードリーダを特に区別する必要がない場合には、カードリーダに共通の符号「621A」を付すものとする。
シンクライアントATM621は、図1との対応部分に同一符号を付した図22に示すように、図1について上述した第1の実施の形態のATM2と同様のハードウェア構成を有する。ただし、本実施の形態の場合、ATM制御部630がシンクライアントATM621の必要最低限の動作制御しか行わない点が第1の実施の形態のATM2と相違する。
またシンクライアントサーバ622は、図23に示すように、CPU640、メモリ641及び補助記憶装置642などの情報処理資源を備えた汎用のサーバ装置である。CPU640は、シンクライアントサーバ622全体の動作制御を司るプロセッサであり、メモリ641は、半導体メモリから構成され、CPU640のワークメモリとして利用される。
また補助記憶装置642は、例えばハードディスク装置やSSD(Solid State Drive)などの大容量の不揮発性記憶媒体から構成され、各種プログラムやデータを長期間保持するために利用される。シンクライアントサーバ622の起動時や必要時に必要なプログラムが補助記憶装置642からメモリ641に読み出され、読み出されたプログラムがCPU640により実行されることにより、シンクライアントサーバ622全体としての後述のような各種処理が実行される。
ここで本実施の形態のシンクライアント自動取引システム620(図21)と、図19について上述した従来のシンクライアント自動取引システム610との大きな違いは、本実施の形態のシンクライアントATM621に搭載されたカードリーダ621Aが、図24に示すデータベース(以下、これをカード情報データベースと呼ぶ)650を保持し、このカード情報データベース650に基づいてキャッシング取引の可否を自ら判断する点にある。
実際上、かかるカード情報データベース650には、それまでに本シンクライアント自動取引システム620においてキャッシング取引を行った利用者ごとのカード618のカード番号と、これらカード618についてそれぞれ予め設定されたキャッシング取引に対する支払の上限金額(以下、これを支払限度額と呼ぶ)と、これらカード618ごとの現在までのキャッシング取引で支払った総額(以下、これを現在支払済み額と呼ぶ)とがそれぞれ登録されている。なお、ここでは、予め定められた利用者に依存しないカード発行会社ごとの一律の支払限度額をカードリーダ621Aがそれぞれ記憶しているものとする。ただしカード618ごとの支払上限額がそれぞれそのカード618に記録されているようにしてもよい。
そして、カードリーダ621Aは、利用者がカード618を挿入してキャッシング取引を要求する操作を行った場合、カード情報データベース650を参照して、そのキャッシング取引を行った場合に現在支払い済み額がそのカード618について設定された支払限度額を超えるか否かを判定し、支払限度額以内である場合には、そのキャッシング取引を実行した後、取引結果を出金情報としてシンクライアントサーバ622に通知する。
またシンクライアントサーバ622は、かかる通知が与えられると、この出金情報をシンクライアントATM621以外の各シンクライアントATM621にそれぞれ送信する。そして、各シンクライアントATM621のカードリーダ621Aは、かかる出金情報が与えられると、その出金情報に基づいてカード情報データベース650におけるかかる利用者の現在支払済み額を更新する。
これに対して、カードリーダ621Aは、そのキャッシング取引を行った場合にその利用者に対する現在支払い済み額がそのカード618について設定された支払限度額を超えることになる場合にはそのキャッシング取引を実行せずに、カード618を利用者に返却する。これにより本シンクライアント自動取引システム620によれば、カード618ごとにそれぞれ設定された支払限度額を超えたキャッシング取引を行うことができず、悪意のある利用者によるキャッシング詐欺の被害拡大を未然に防止することができる。
図25は、このような機能を有する本実施の形態のシンクライアント自動取引システムにおいて、悪意のある利用者が図19について上述したキャッシング詐欺を行おうとした場合の処理の流れを示している。なお、この図25では、図面の複雑化を避けるため、シンクライアントATM621において正常にキャッシング取引が行われるとき実行される出金処理に関する一連の処理の流れについては省略している。
まず、かかる利用者が、シンクライアントATM621−1の前面に設けられた図示しないカード挿入口に他社のカード618を挿入する(S160)。このときシンクライアントATM621−1のカードリーダ621−1Aは、挿入されたカード618に記録されているカード番号等のカード情報を読み取り、読み取ったカード情報を同じシンクライアントATM621内部のATM制御部630(図22)に送信する(S161)。かくして、シンクライアントATM621−1のATM制御部630は、かかるカードリーダ621−1Aにより読み取られたカード番号を受信すると、必要な操作画面を表示部に表示させるなどして取引金額等の今回のキャッシング取引に関連する必要な情報を取得する。
またカードリーダ621−1Aは、ステップS161でカード618から読み取ったカード番号を自己が保持するカード情報データベース650上で検索する(S162)。
さらにカードリーダ621−1Aは、かかる検索によりその利用者のカード618のカード番号を検出した場合、カード情報データベース650を参照して、そのカード618に対する現在支払済み額と、そのカード618について設定された支払限度額とを比較し、今回要求された取引金額を支払った場合に現在支払済み額が支払限度額を超えるか否かを判定する(S163)。
そしてカードリーダ621−1Aは、ステップS163において、今回要求された取引金額を支払った場合にそのカード618に対する現在支払済み額が当該カード618の支払限度額を超えると判定した場合には、そのキャッシング取引を行わずにカード618を利用者に返却し(S164)、この後、この処理を終了する。
これに対して、カードリーダ621−1Aは、ステップS162の検索でそのとき挿入されたカード618のカード番号をカード情報データベース650上で検出できなかった場合や、ステップS163で今回要求された取引金額を支払ったとしてもそのカード618の現在支払済み額が未だ当該カード618の支払限度額以内であると判定した場合には、そのカード618のカード番号及び支払限度額などの情報をカード情報データベース650に登録する(S165)。
またカードリーダ621−1Aは、この後、そのカード618のカード番号及び支払限度額をカード情報データベース650に追加登録すると共に、そのとき要求された取引金額をこれらカード番号及び支払限度額と対応付けて現在支払済み額としてカード情報データベース650に登録する(S165)。そして、カードリーダ621−1Aは、この後、その利用者のカード番号、支払限度額及び現在支払済み額を暗号化した上で出金情報としてシンクライアントサーバ622に送信する(S166)。
シンクライアントサーバ622は、かかるシンクライアントATM621−1からの出金情報を受信すると(S167)、この出金情報を同じ営業店内の他のシンクライアントATM621−2〜621−nのカードリーダ621−2A〜621−nAにそれぞれ送信する(S168)。また、この出金情報を受信した各シンクライアントATM621−2〜621−nのカードリーダ621−2A〜621−nAは、この出金情報を復号化し、それぞれ自己が保持するカード情報データベース650に出金情報を登録する(S169)。
次に、かかる利用者は、同一営業店623(図21)に設置された他のシンクライアントATM621−2に移動し、ステップS160〜ステップS169で使用したカード618をそのシンクライアントATM621−2のカード挿入口に挿入する(S170)。
この結果、そのシンクライアントATM621−2のカードリーダ621−2Aにおいて、ステップS160〜ステップS166について上述した処理と同じ処理が実行されて出金情報がシンクライアントサーバ622に送信される(S170〜S176)。
そしてシンクライアントサーバ622は、かかる出金情報を受信すると(S177)、この出金情報を同じ営業店623内の他のシンクライアントATM621−1、621−2〜621−nのカードリーダ621−1A、621−2A〜621−nAにそれぞれ送信する(S178)。また、この出金情報を受信した各シンクライアントATM621−1、621−2〜621−nのカードリーダ621−1A、621−2A〜621−nAは、それぞれ自己が保持するカード情報データベース650にこの出金情報を登録する(S179)。
そして、この後、利用者がカード618をその営業店内のシンクライアントATM621に挿入する度に以上のステップS160〜ステップS169やステップS170〜ステップS179の処理が繰り返される。従って、悪意ある利用者が同一のカード618を利用してキャッシング詐欺を働こうとした場合においても、そのカード618について設定された支払上限額以上の金額が支払われることを未然に防止することが可能となる。
なお、上述のように図25では、図面の複雑化を避けるため、シンクライアントATM621において正常にキャッシング取引が行われるとき実行される出金処理に関する一連の処理の流れについては省略しているが、実際のキャッシング取引においては、図20のステップS140やステップS153においてシンクライアントATM611が自社ホスト615からの見做し支払許可を受信した後にそのシンクライアント自動取引システム610において図25のステップS162〜ステップS169や、ステップS172〜ステップS179の処理を実行するようにすればよい。
この場合、図25のステップS163やステップS173において、今回要求された取引金額を支払ったとしても現在支払済み額が支払限度額以下であるとの判定を得た場合には、ステップS165やステップS175で必要な情報をカード情報データベース650に追加登録するのと併せて、そのシンクライアントATM611が要求された金額を出金した上でカード返却を行うようにすればよい。
(5−3)本実施の形態の動作及び効果
以上のように本実施の形態のシンクライアント自動取引システム620では、キャッシング取引を行った各カード618について、その支払限度額及び現在支払済み額を各シンクライアントATM621のカードリーダ621Aにおいてカード情報データベース650に登録して管理する。
そして各シンクライアントATM621において、キャッシング取引を行う際には、今回要求された取引金額を支払った場合に現在支払済み額が支払限度額を超えるか否かをカードリーダ621Aにおいて判定し、肯定結果を得た場合には取引を中止する一方、否定結果を得た場合には、そのとき利用されたカード618のカード番号、支払限度額及び現在支払済み額を出金情報としてシンクライアントサーバ622を経由して他のシンクライアントATM621に転送し、この出金情報に基づいて他のシンクライアントATM621のカードリーダ621Aが自己が管理するカード情報データベース650を更新する。
従って、本シンクライアント自動取引システム620によれば、1つのシンクライアントATM621において実行されたキャッシング取引の情報を他のシンクライアントATM621と共有することができ、取引対象のシンクライアントATM621を変えたとしても同一のカード618を利用したキャッシング取引でそのカード618について設定された支払上限額以上の支払いが行われるのを未然に抑止することができる。かくするにつき、本実施の形態によれば、同一カード618を利用したキャッシング詐欺の被害の拡大を確実に抑制することができ、かくして信頼性の高いシンクライアント自動取引システムを実現することができる。
(6)他の実施の形態
なお上述の第5の実施の形態においては、第1〜第4の実施の形態の自動取引システム110,310,410,510や第5の実施の形態のシンクライアント自動取引システム620がそれぞれその実施の形態に特有の構成及び機能のみを有するようにした場合について述べたが、本発明はこれに限らず、例えば、第2〜第4の実施の形態の自動取引システム310,410,510や第5の実施の形態のシンクライアント自動取引システム620がそれぞれ第1の実施の形態に特有な構成及び機能を有していてもよい。また第1〜第4の実施の形態の自動取引システム110,310,410,510及び第5の実施の形態のシンクライアント自動取引システム620が、技術的な矛盾を生じない範囲において、それぞれ相互に他の実施の形態に特有の構成及び機能を有していてもよい。
また上述の第2の形態においては、カードリーダ314に通信監視部301、実処理フローリスト保持部302、正当処理フローリスト保持部303及び動作許可署名発行部304を設けるようにした場合について述べたが、本発明はこれに限らず、これら通信監視部301、実処理フローリスト保持部302、正当処理フローリスト保持部303及び動作許可署名発行部304をカードリーダ314以外の紙幣処理部313、暗号化ピンパッド315及びレシートプリンタ316のいずれかに設け、その紙幣処理部313、暗号化ピンパッド315又はレシートプリンタ316においてカードリーダ314と同様の処理を実行するようにしてもよい。
なお、レシートプリンタ316に通信監視部301、実処理フローリスト保持部302、正当処理フローリスト保持部303及び動作許可署名発行部304を設ける場合、正常処理フローリスト保持部303に、印刷する明細書のフォーマットや、単位時間当たりの印刷文字数等の正当印刷情報を保存しておき、ATM制御部10からの印刷要求をレシートプリンタ316が単独で正当であるか否かを判断し、正当である場合にのみATM制御部10からの印刷要求を受け付け、印刷処理を行うようにしてもよい。
また紙幣処理部313に通信監視部301、実処理フロー保存部304、正当処理フローリスト保存部305、動作許可署名発行部303を構成する場合、正常処理フローリスト保存部303に、単位時間当たりの出金限度枚数を保存しておき、ATM制御部10からの出金要求を紙幣処理部313が単独で正当であるか判断し、正当である場合にのみATM制御部10からの出金要求を受け付け、出金取引処理を行なってもよい。
さらに上述の第3及び第4の実施の形態においては、カードリーダ412,512を図13のように構成するようにした場合について述べたが、本発明はこれに限らず、この他種々の構成を広く適用することができる。
さらに上述の第3及び第4の実施の形態においては、カードロック機構428を図14のように構成するようにした場合について述べたが、本発明はこれに限らず、この他種々の構成を広くて適用することができる。
さらに上述の第5の実施の形態においては、本発明をシンクライアント自動取引システム620に適用するようにした場合について述べたが、本発明はこれに限らず、シンクライアント構成ではない通常の自動取引システムにも適用することができる。