JP6680736B2 - ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別するシステム及び方法 - Google Patents

ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別するシステム及び方法 Download PDF

Info

Publication number
JP6680736B2
JP6680736B2 JP2017199010A JP2017199010A JP6680736B2 JP 6680736 B2 JP6680736 B2 JP 6680736B2 JP 2017199010 A JP2017199010 A JP 2017199010A JP 2017199010 A JP2017199010 A JP 2017199010A JP 6680736 B2 JP6680736 B2 JP 6680736B2
Authority
JP
Japan
Prior art keywords
threat
user device
cluster
clusters
threat level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017199010A
Other languages
English (en)
Other versions
JP2019036273A (ja
Inventor
エー. スクヴォルツォフ ウラジミール
エー. スクヴォルツォフ ウラジミール
ビー. コロチンスキー エフゲニー
ビー. コロチンスキー エフゲニー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of JP2019036273A publication Critical patent/JP2019036273A/ja
Application granted granted Critical
Publication of JP6680736B2 publication Critical patent/JP6680736B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/108Remote banking, e.g. home banking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Virology (AREA)
  • Power Engineering (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)

Description

本開示は、一般にコンピュータセキュリティの分野に関し、より具体的には、ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別するシステム及び方法に関する。
現在、銀行業務の領域は大幅に拡大している。ユーザ(銀行顧客)には、銀行とのやり取り(通信)の新しい可能性と、新しい支払い方法及び資金の移転が提示される。多数の支払いシステム、プラスチックカード、及び銀行サービス(銀行サービスはしばしばリモートバンキングサービスと呼ばれる)は、ユーザがコンピューティングデバイスによって様々な取引を行うことを可能にする。オンライン及びモバイルバンキングにより、プラスチックカードや銀行口座の詳細を使わずに通貨取引を行うことができる。
また、第三者によるアクセスに対してユーザのリソースを保護するために、様々なメカニズムが存在する。ユーザがオンラインバンキングを使用している場合、2段階認証などの方法がよく使用される。銀行サイトのブラウザで認証データ(第三者によるアクセスが可能となるログイン及びパスワードなど)を入力した後、銀行は、ユーザの携帯電話に、例えば追加の確認コードを含むメッセージを送信する。これらは、特別なフィールドに情報を入力する必要がある。
しかし、ユーザと銀行サービスとのやりとりに関する脆弱性を利用する攻撃は数多く存在する。これらは、ユーザの資金にアクセスするためにハッカーによって実行される。そのような攻撃は、しばしば詐欺と呼ばれる。例えば、フィッシングサイトを利用し、オンラインバンキングへのアクセスを可能にするログイン及びパスワードを得ることが可能である。モバイルデバイス用の悪意のあるソフトウェアにより、ユーザが認識していない確認を行って、ハッカーがトランザクションを実行することが可能になる。
不正行為からユーザを保護するために用いられる、ユーザデバイスのいわゆる「指紋」を使用するシステム及び方法が知られている。一般的に、ユーザは同じデバイスを使用する。そして、各デバイスは、銀行に知られている特定のソフトウェア及び属性のセットを含む。
デバイス上でソフトウェアセットが変更された場合、又はデバイス自体が変更された場合、不正行為が発生している可能性が高くなる。デバイス上で不正行為が行われた場合、そのデバイスは危険であるとみなされる。
しかし、同一のデバイスは異なる使用領域において、オンラインバンキングにアクセスするために、異なるセットのプログラム、ファームウェア、及びブラウザを使用する。デバイスの指紋を比較する既知のシステム及び方法は、危険なデバイスの数を特定するだけである。既知のシステム及び方法では、異なる特性(例:デバイスの使用領域やデバイスの領域ファームウェア)に依存して潜在的に危険なデバイスを識別することができない。さらに、そのようなデバイスの指紋が未知である場合(例:製造元の製品ラインの新しいデバイス)にデバイスを識別することもできない。さらに、セキュリティを確保するためのプログラムの開発に従事する企業の専門知識を利用していない(例:アンチウィルスソフトウェア)。
ユーザと銀行サービスとの安全な相互通信を保証するためのシステム及び方法が開示される。具体的には、ユーザと銀行サービスとの相互通信中おける潜在的に危険なデバイスを識別する。
例示的な一態様では、ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別する方法であって、取得ステップ、クラスタ生成ステップ、及びブロックステップを備え、前記取得ステップは、ユーザデバイスと銀行サービスとの間の通信を検出することに応答して、前記ユーザデバイスに関連するデジタル指紋を取得し、且つ、前記デジタル指紋が前記ユーザデバイスの少なくとも1つの特性を示し、前記クラスタ生成ステップは、前記ユーザデバイスの少なくとも1つの特性に基づいて、前記ユーザデバイスに関連する1又は複数のクラスタを生成し、且つ、各クラスタは対応する脅威度に関連付けられ、前記ブロックステップは、前記1又は複数のクラスタに基づいて、前記ユーザデバイスが脅威リスクであると判定されたことに応答して、前記通信中に前記ユーザデバイスと前記銀行サービスとの間で行われるトランザクションをブロックする、方法が提供される。
例示的な一態様では、データ取得ステップを備え、前記データ取得ステップは、前記ユーザデバイスに関する脅威の危険状態に関連するデータを取得する。
例示的な一態様では、脅威度算出ステップを備え、前記脅威度算出ステップは、前記1又は複数のクラスタ中のクラスタに対応する各脅威度を算出し、且つ、各脅威度は、脅威の危険状態の発生頻度に比例した数値を示す。
例示的な一態様では、前記ブロックステップにおいて、前記ユーザデバイスが脅威リスクであると判定することは、閾値を超える脅威度を有する少なくとも2つのクラスタにユーザデバイスが関連付けられていると判定することを含む。
例示的な一態様では、前記ブロックステップにおいて、前記ユーザデバイスが脅威リスクであると判定することは、第1脅威度判定ステップ、第2脅威度判定ステップ、及び閾値判定ステップを備え、第1脅威度判定ステップは、前記生成されたクラスタ中における第1クラスタの第1脅威度を判定し、第2脅威度判定ステップは、前記生成されたクラスタ中における第のクラスタの第2脅威度を判定し、前記閾値判定ステップは、第1脅威度と第2脅威度の平均が前記閾値を超えていると判定し、且つ、第1脅威度は個別に前記閾値を超えない。
例示的な一態様では、第1クラスタ及び第2クラスタは、前記ユーザデバイスの異なる特性のクラスタ化によって生成される。
例示的な一態様では、前記ブロックステップにおいて、前記ユーザデバイスが脅威リスクであると判定することは、第1脅威度及び関連する重み値の積と、第2脅威度及び関連する重み値の積と、の平均値が、前記閾値を超えると判定する。
例示的な一態様では、ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別するシステムであって、データベースを記憶する記憶装置と、ハードウェアプロセッサを備え、前記ハードウェアプロセッサは、ユーザデバイスと銀行サービスとの間の通信を検出することに応答して、前記ユーザデバイスに関連するデジタル指紋を取得し、且つ、前記デジタル指紋が前記ユーザデバイスの少なくとも1つの特性を示し、前記ユーザデバイスの少なくとも1つの特性に基づいて、前記ユーザデバイスに関連する1又は複数のクラスタを生成し、且つ、各クラスタは対応する脅威度に関連付けられ、前記1又は複数のクラスタに基づいて、前記ユーザデバイスが脅威リスクであると判定されたことに応答して、前記通信中に前記ユーザデバイスと前記銀行サービスとの間で行われるトランザクションをブロックする、ように構成される、システムが提供される。
例示的な一態様では、ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別するためのコンピュータ実行可能命令を含む非一時的なコンピュータ可読媒体であって、取得命令、クラスタ生成命令、及びブロック命令を備え、前記取得命令は、ユーザデバイスと銀行サービスとの間の通信を検出することに応答して、前記ユーザデバイスに関連するデジタル指紋を取得し、且つ、前記デジタル指紋が前記ユーザデバイスの少なくとも1つの特性を示し、前記クラスタ生成命令は、前記ユーザデバイスの少なくとも1つの特性に基づいて、前記ユーザデバイスに関連する1又は複数のクラスタを生成し、且つ、各クラスタは対応する脅威度に関連付けられ、前記ブロック命令は、前記1又は複数のクラスタに基づいて、前記ユーザデバイスが脅威リスクであると判定されたことに応答して、前記通信中に前記ユーザデバイスと前記銀行サービスとの間で行われるトランザクションをブロックする、媒体が提供される。
例示的な態様における上記の簡略化された概要は、本開示の基本的な理解を促進させるものである。かかる概要は、全ての企図された態様の広範な概観ではない。また、全ての側面の重要な要素又は必須の要素を特定することは意図するものでもなく、本開示の任意の又は全ての態様の範囲を説明するものでもない。その唯一の目的は、以下の開示におけるより詳細な説明の前置きとして、1又は複数の態様を簡略化した形で提示することである。前述の目的を達成するために、本開示の1つ以上の態様は、特許請求の範囲に記載され、例示的に指摘される特徴を含む。
添付の図面は、本明細書に組み込まれ、本明細書の一部を構成し、本開示の1つ以上の例示的な態様を示し、詳細な説明とともに、それらの原理及び実施形態を説明する役割を果たす。
例示的な態様による潜在的に危険なデバイスの識別のためのシステムを示すブロック図である。 例示的な態様による潜在的に危険なデバイスの識別方法を示すフローチャートである。 本発明を実施することができる汎用コンピュータシステムの一例を示す図である。
例示的な態様は、潜在的に危険なデバイスを識別するためのシステム、方法、及びコンピュータプログラム製品に関連してここで説明される。当業者であれば、以下の説明は例示的なものにすぎず、本発明を限定することを意図するものではないことを理解するであろう。他の態様は、本開示の恩恵を受ける当業者には容易に示唆されるであろう。添付の図面に例示されている例示的な態様の実装を詳細に説明する。同じ参照符号は、可能な限り図面全体及び以下の記載にわたって使用される。
図1は、例示的な態様による潜在的に危険なデバイスを識別するためのシステム100を示すブロック図である。システム100は、銀行サービス199へのオンラインアクセス中における潜在的に危険なデバイス190を識別するように構成される。
システム100は、取得モジュール110と、脅威度算出モジュール120と、分析モジュール130とを有するセキュリティサービス101を含むことができる。
本開示の文脈におけるデバイス190は、コンピューティングデバイス上に実装されるソフトウェア実行環境である。例えば、デバイス190は、銀行サービス199によって提供されるウェブサイトにアクセスするために、コンピュータ上で実行するウェブブラウザアプリケーションを含むことができる。別の例では、デバイス190は、銀行サービス199にアクセスするように構成されたモバイルデバイス(例:スマートフォン、タブレット)上で実行する銀行アプリケーションを含むことができる。
本明細書で言及されるように、潜在的に危険なデバイス(本明細書では脅威リスクとも呼ばれる)は、銀行サービス199(すなわち、オンラインバンキング)へのオンラインアクセス中の詐欺の確率が閾値より高いデバイス190である。例えば、システム100は、デバイス190を識別することができる。デバイス190は例えば、ルートアクセスを有するモバイルデバイス、スマートフォン、又はタブレットコンピュータや、ある領域の感染頻度の高いモバイルデバイス、スマートフォン、パーソナルコンピュータ、及びノートブックや、異なる領域の感染頻度の高いモバイルデバイス、スマートフォン、パーソナルコンピュータ、及びノートブックであり得る。また、潜在的に危険な状態とデバイス190のクラスタとの様々な組み合わせを含む。
一態様では、取得モジュール110は、デバイス190のデジタル指紋(インプレッションとも呼ばれる)を取得するように構成される。一般的な場合、指紋は、デバイス190の特性を含む。例えば、デバイス190の特性は、デバイス190の制御下で動作するオペレーティングシステムの識別子(例:バージョン番号、シリアル番号)を含むことができる。いくつかの態様では、デバイスに関連付けられた指紋は、例えば、デバイス190の地理的位置、又はデバイス190のファームウェアの地域特性(例:大陸/国/都市)を使用して、デバイスの地理的位置を示すことができる。いくつかの態様では、デバイスに関連付けられた指紋は、アカウント識別子(例:Microsoft(登録商標)、Google(登録商標)、又はApple(登録商標)アカウント識別子)を含むことができる。いくつかの態様では、デバイスに関連する指紋は、デバイス190(ソフトウェア実行環境)が仮想マシン又はエミュレータ内で実行されているかどうかに関する情報、ウェブブラウザアプリケーションバージョン、デバイス190のブラウザにインストールされたプラグイン、デバイス190にインストールされた脆弱なアプリケーションなどを含むことができる。
一態様では、取得モジュール110は、JavaScriptを(例えばデバイス190上のブラウザ内で)実行することにより、特性を取得するように構成されてもよい。かかるスクリプトは銀行サーバに格納され、デバイス190が銀行サーバにアクセスするときに実行される。さらに別の態様では、取得モジュール110は、セキュリティアプリケーション(例:アンチウィルスアプリケーション)を使用してデータを取得するように構成することができる。さらに別の態様では、取得モジュール110は、デバイス190上で動作するアプリケーションを使用して、デバイス190に関連付けられた特性を取得するように構成されてもよい。例えば、そのようなアプリケーションは、銀行サービス(例:アプリケーション「Sberbank−online」)199にアクセスするように構成される。そして、アンチウィルスアプリケーションの製造業者によって提供されるソフトウェア開発キット(SDK)(例:Kaspersky Mobile Security SDK)を使用する。
デバイス190の特性を取得することに加えて、取得モジュール110は、デバイス190の潜在的に危険な状態に関連するデータを取得するように構成されてもよい。「潜在的に危険な状態」という用語は、デバイス190を介したユーザと銀行サービス199との安全な相互通信が保証されない場合におけるデバイス190の状態を指す場合がある。このような状態の例を以下に示す。
一態様では、潜在的に危険な状態は、ルートアクセス可能なデバイス190上の存在であり、取得モジュール110は、デバイス190上のルートアクセスの存在に関する情報を取得する。アンチウィルスアプリケーションでさえ、ルートアクセス可能なデバイス190上の悪意のあるソフトウェアの活動を特定しないことがあることに言及すべきである。従って、かかる状態では、デバイス190を用いて、ユーザと銀行サービス199との安全な相互通信を保証することができない。
さらに別の態様では、潜在的に危険な状態は、デバイス190上の感染であり、取得モジュール110は、デバイス190上の感染の存在に関する情報を取得する。例えば、取得モジュールは、悪意のあるプログラムの活動を発見する。デバイス190の感染に関する情報は、ユーザが銀行サービス199にアクセスしたときと、ユーザがまだ銀行サービス199とやりとりしていない期間中に取得することができる。例えば、そのような情報は、バックグラウンドで動作する取得モジュール110のサービスによって取得されてもよい。
一態様では、取得モジュール110は、デバイス190から実行された銀行サービス199に対する攻撃に関する情報を、銀行又は外部組織から取得する。例えば、Kaspersky Laboratoriesから、Kaspersky Fraud Prevention、KFPを利用して特定された、銀行サービス199に対する攻撃に関する情報を受け取る。そのような場合、攻撃の存在事態も潜在的に危険な状態といえる。
さらに別の態様では、任意の他の既知の適切な方法により、取得モジュール110は、損害を受けているデバイス190に関する情報を、銀行又は外部組織から取得する。例えば、取得モジュール110は、攻撃ネットワーク又は侵害されたシステム上のデータをセキュリティネットワーク150から受信することができる。セキュリティネットワーク150は、新規又は過去の脅威に関連するデータ、アプリケーションの評判データ、ウェブサイトの評判データ、並びに検出された脅威及び疑わしい活動に関するその他のデータをコンパイルして提供するクラウドベースのサービスであってもよい。セキュリティネットワークの例として、KasperskyLabs(登録商標)が提供するKaspersky Security Network(KSN)を挙げることができる。
取得モジュール110により取得されたデバイス190に関するデータは、脅威度算出モジュール120に送信される。一態様では、取得モジュール110により取得されたデバイス190に関するデータは、データベース111に保存される。
脅威度算出モジュール120は、リモートサーバ(又はサーバの分散システム)上又はクラウドサービスとして動作していてもよい。そして、脅威度算出モジュール120は、取得モジュール110又はデータベース111から得られたデータに基づいて、脅威度を算出するように構成されている。
脅威度算出モジュール120は、脅威度(脅威要因)を算出する。脅威度は、数値として表すことができる。一般的な場合、潜在的に危険な状態の発生頻度に基づいて、脅威度が算出される。脅威度は、潜在的に危険な状態に遭遇する頻度が高いほど高くなる。一態様では、脅威度は、0(保証された安全デバイス)から1(悪意のあるデバイス)の範囲で算出される。
一態様では、脅威度算出モジュール120は、デバイス190の指紋を取得したときに得られた少なくとも1つのデバイス特性に基づいて、デバイス190のクラスタを作成する(クラスタ化を実行する)。一態様では、クラスタ化は、デバイス190の取得された特性のいくつかに基づいて行われる。従って、脅威度は、個々のデバイス190及びデバイス190のクラスタの両方について算出することができる。さらに、脅威度は、既知の潜在的に危険な状態(例:デバイス190上のルートアクセスの存在頻度)、及びそれらの組み合わせ(例:デバイス190上のルートアクセスの存在頻度と、デバイス190からの銀行サービスに対する攻撃の頻度と、の組み合わせ)のいずれについても個別に算出することができる。
上記を考慮すると、各デバイス190又はデバイス190のクラスタに対するいくつかの脅威度を算出することが可能である。クラスタの脅威度は、任意の既知の適切な方法によって算出することができる。一態様では、クラスタの脅威度は、クラスタに入る全てのデバイス190の脅威度の中心傾向(算術平均)の尺度の1つである。別の態様では、クラスタの脅威度は、脅威度の算術平均に係数を掛けたものとして算出される。かかる係数は、特定のデバイス190に対する既知のセキュリティ侵害が発生してからの経過時間が短いほど高くなる。
一態様では、脅威度算出モジュール120は、特定の地理的位置を示すデバイスに関連する特性、脅威リスクのより高い又はより低いレベルに関連する他の要因に基づいて、デバイス190に対する脅威度を判定することができる。例えば、中国で使用される中国向けのファームウェアを備えたデバイス190は、ルートアクセス及びインストールされる脆弱なアプリケーションに対する脅威度が高くなる。ここで、かかるルートアクセスは、製造業者によってファームウェアにデフォルトでインストールされる。また、ファームウェアには、プリインストールされた多くのアプリケーションが存在する。例えば、広告アプリケーション、上記のデバイスのデータを中国のサーバにコピーしてバックアップするアプリケーションがある。中国向けのファームウェアを搭載した同じデバイス190が米国で使用される場合、かかるデバイスは、脆弱なアプリケーションではなくルートアクセスの脅威度が高いことになる。これは、プリインストールされた脆弱なアプリケーションが中国のサーバに接続されておらず、その活動を明示していないためである。米国向けのファームウェアを搭載した同デバイスは、ルートアクセスやプレインストールされた脆弱なアプリケーションの脅威度が低い。これは、ファームウェアにルートアクセスとプリインストールされた脆弱なアプリケーションが含まれておらず、少数のユーザだけがデバイス190上で独立してルートアクセスを取得し、前述のアプリケーションをインストールするためである。
いくつかの態様では、脅威度算出モジュール120は、デバイス190の分析中に、比較的小さな脅威度を有するクラスタを無視することができる。例えば、脅威度算出モジュール120は、クラスタの脅威度よりも数倍(例:5倍)高い閾値に基づいてクラスタを無視してもよい。例えば、よく考慮された特定のアプリケーション(例:Google Chrome(登録商標))を含むデバイス190のクラスタは潜在的に危険ではない。そのようなクラスタリングはあまりにも一般化され、危険なデバイス190を識別することが困難であるので、かかるクラスタを考慮する意味はない。
脅威度算出モジュール120によってデバイス190に関して算出されたデータは、分析モジュール130に送られる。一態様では、脅威度算出モジュール120によって作成されたクラスタ及び算出された脅威度は、データベース111に保存される。
分析モジュール130は、リモートサーバ(又はサーバの分散システム)上又はクラウドサービスとして動作していてもよい。そして、分析モジュール130は、脅威度算出モジュール120から得られたデータ又はデータベース111から得られたデータに基づいて、脅潜在的に危険なデバイスを識別するように構成されている。
デバイス190及びデバイス190用に生成されたクラスタのうち、分析モジュール130は、潜在的に危険なデバイス190、特に、少なくとも1つの高い脅威度を有するデバイス190を識別する。一般的な場合、脅威度は、予め決定された閾値と比較される。統計データ、コンピュータセキュリティ専門家の関与、銀行から提供された過去の事故に関するデータ、又はセキュリティネットワーク150から取得したデータであって、侵害されたシステムに関するデータに基づいて、閾値を自動的に取得することができる。
一態様では、分析モジュール130は、潜在的に危険なデバイス190を識別する。ここで、かかるデバイス190は、閾値より大きい脅威度を有するデバイスの少なくとも2つのクラスタに対応する。また、各クラスタは、デバイスの異なる特性に基づいて生成される。従って、例えば、クラスタAは、閾値よりも高い脅威度#1を有する。ここで、クラスタAは、特性#1のクラスタ化によって得られる。同様に、クラスタBは、閾値よりも高い脅威度#2を有する。ここで、クラスタBは、特性#2のクラスタ化によって得られる。デバイス190は、クラスタAとクラスタBの両方に対応する。
別の態様では、分析モジュール130は、個別のクラスタの脅威度が十分な脅威リスクを示していなくても、複数のクラスタの脅威度に基づいて、複数のクラスタに関連付けられたデバイスを潜在的に危険なものとして識別することができる。そうするために、分析モジュール130は、各脅威度について、数値係数(重み)を指定してもよく、クラスタの脅威度の算術平均として潜在的に危険なデバイスを前記係数で乗算してもよい。例えば、クラスタAは、閾値よりも低い脅威度#1を有する。ここで、係数#1及びクラスタAは、特性#1のクラスタ化によって得られる。同様に、クラスタBは、閾値より低い脅威度#2を有する。ここで、係数#2及びクラスタBは、特性#2のクラスタ化によって得られる。デバイス190は、クラスタAとクラスタBの両方に対応する。この場合、クラスタA及びクラスタBの脅威度がそれぞれ閾値を超えない場合でも、式(1)に示す関係式に示すように、クラスタA及びクラスタBの双方に含まれる場合には、デバイスは潜在的に危険である可能性がある
{(脅威度_1×係数_1)+(脅威度_2×係数_2)}/2>閾値 (1)
脅威リスクを有するデバイス190の例としては、ルートアクセスを有するモバイルデバイス、スマートフォン、又はタブレットコンピュータが挙げられる。すなわち、分析モジュール130は、特定の製造業者の特定のモデルに関連するデバイス190のクラスタに、ルートアクセスを有するデバイス190が70%を含まれる場合には、工場からのデバイスにルートアクセスが存在するファームウェアがあることを示している可能性があると結論付けることができる。別の例では、脅威リスクを有するデバイスの例としては、特定領域における感染頻度の高いモバイルデバイス、スマートフォン、パーソナルコンピュータ、及びノートブックが挙げられる。この場合、分析モジュール130は、工場から出荷されたデバイス190は、埋め込み型の悪意のあるソフトウェアを含むファームウェアを有するか、又は、デバイス190はアンチウィルスアプリケーションがインストールされていない領域で使用されている可能性がある、と結論付けることができる。別の例では、脅威リスクを有するデバイスは、特定領域地における感染頻度の高いモバイルデバイス、スマートフォン、パーソナルコンピュータ、及びノートブックで構成されている場合がある。この場合、他のデバイス190と比べ、デバイス190が、よりも容易にデバイス190への不正アクセスを可能にする隠れた重大な脆弱性を有することを示していることが判明している。潜在的に危険な状態及びデバイス190のクラスタの他の組み合わせを、本開示の態様とともに使用することができることに留意されたい。
前述の内容により、製造業者又はデバイス190の特定のモデルに関係なく、潜在的に危険なデバイスのファミリを拡張することが可能になる。例えば、セキュリティネットワーク150からのデータに基づいて、特定の製造業者の全てのデバイス190であって、ルートアクセスが存在する特定領域のファームウェア及び銀行サービスを攻撃するアプリケーションを備えたデバイス190は、潜在的に危険なカテゴリに割り当てられる。
一般的には、上述の方法によって潜在的に危険なデバイス190を識別した後、分析モジュール130は、アクセスシステム及び/又は意思決定システムに通知する。一態様では、そのようなシステムは、銀行セキュリティサービス(銀行サービス199)として銀行側で実施される。潜在的に危険なデバイス190からの試み(例:システムに入る試み)は、必ずしも攻撃を示すものではないが、意思決定システムにおいて特別な方法で処理されるリスク要因となる可能性がある。特別な方法としては、例えば、ログインレベルの向上、2段階認証、限定された権限が挙げられる。
一態様では、分析モジュール130は、潜在的に危険なデバイス190と銀行サービス199との通信の間に実行されるトランザクションを、任意の適切な技術によってブロックすることができる。
さらに、脅威度により、特定のデバイス190(又は、どのクラスタが構成されるかに応じた特定の特性セットを有するデバイス190)から攻撃が実行される確率が、それらの特性を持たないデバイス190よりも高い(又はどれほど高いか)かどうかを評価することが可能になる。
図2は、例示的な態様による潜在的に危険なデバイスを識別するための方法200を示すフローチャートである。例示的な方法に関する以下の説明は、上述したシステム及び構成要素を参照することに留意されたい。
ステップ201において、取得モジュール110は、ユーザデバイス190のデジタル指紋を取得するために使用される。ここで、かかる指紋は、ユーザデバイスの少なくとも1つの特性を含む。いくつかの態様では、ユーザデバイスのデジタル指紋は、ユーザデバイス190と銀行サービス199との間の通信を検出することに応答して取得することができる。デバイス190の特性は、デバイスがその制御下で動作しているオペレーティングシステムの識別子、デバイスの位置、デバイスのファームウェアの領域特性を含むことができる。他の態様では、デバイス190の特性は、アカウント識別子(例:Google ID又はApple ID)、デバイスが仮想マシン又はエミュレータ内で動作しているかどうかの指示、ブラウザのバージョン、インストールされているプラグインデバイスのブラウザ、及びデバイスにインストールされている脆弱なアプリケーションが含まれる。
ステップ202において、取得モジュール110は、ユーザのデバイスの脅威リスク状態に関連するデータを取得する。一実施形態では、デバイス190上のルートアクセスの存在によって脅威リスク状態を示すことができる。さらに別の実施形態では、セキュリティネットワーク150からユーザデバイス190の脅威リスク状態に関する情報が取得される。取得モジュール110によってデバイス190について取得されたデータは、データベース111に保存されてもよい。
ステップ203において、脅威度算出モジュール120は、デバイス190の指紋の取得中に得られたデバイスの少なくとも1つの特性に基づいて、ユーザデバイス190に関連する1又は複数のクラスタを生成する。いくつかの態様では、脅威度算出モジュール120は、第1クラスタ及び第2クラスタを作成することができる。異なるクラスタは、ユーザデバイスの異なる特性のクラスタ化によって生成される。例えば、1つのクラスタは、それぞれのユーザデバイスにインストールされたファームウェアの領域特性に基づいて生成される。また、別のクラスタは、インストールされたウェブブラウザのバージョンに基づいて生成することができる。
ステップ204において、脅威度算出モジュール120は、ユーザデバイス190に関連するクラスタのそれぞれに関する脅威度を算出してもよい。いくつかの態様では、脅威度は、潜在的な脅威の危険状態の発生頻度に比例する数値量であってもよい。一変形形態では、脅威度算出モジュール120によって生成されたクラスタ及び算出された脅威度は、データベース111に保存される。
ステップ205において、分析モジュール130は、ユーザデバイスが、1又は複数の生成されたクラスタに基づいて、デバイスが脅威リスクであるかどうかを判定してもよい。一実施形態では、分析モジュール130は、潜在的に危険なデバイス190を識別することができる。かかるデバイス190は、閾値よりも高い脅威度を有する少なくとも2つの(デバイス190の)クラスタに対応する。また、各クラスタは、デバイスの異なる特性に基づいて生成される。一実施形態では、分析モジュール130は、(第1クラスタの)第1の脅威度が個別に閾値を超えていなくても、第1の脅威度と、(第2クラスタの)第2の脅威度と、の平均値が閾値を超えると判定してもよい。別の実施形態では、例えば式(1)に示されるように、第1脅威度及び関連する重み値の積と、第2脅威度及び関連する重み値の積と、の平均値が、閾値を超えると判定するようにしてもよい。
デバイス190が脅威であると判定された場合、ステップ206において、分析モジュール130は、銀行サービス199との通信中に、脅威リスクを有するデバイス190から実行されるトランザクションをブロックすることができる。デバイス190が脅威でないと判定された場合、フローはステップ201に戻り、そこでシステム100は所定のユーザデバイス190に関するデータを分析し、取得する。
図3は、本発明の例示的な態様における、ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別するシステム及び方法を実施し得る汎用的なコンピュータシステム20を示すブロック図である。コンピュータシステム20は、セキュリティサービス101が実行されている物理サーバと、例えば前述したユーザデバイス190とに対応することができることに留意されたい。
図示されるように、コンピュータシステム20(パーソナルコンピュータ又はサーバであってもよい)は、プロセッサ21、システムメモリ22及びプロセッサ21に関連するメモリを含む様々なシステム構成要素を接続するシステムバス23を含む。当業者には理解されるように、システムバス23は、バスメモリ又はバスメモリコントローラ、周辺バス、及び他のバスアーキテクチャと相互作用することができるローカルバスを含むことができる。システムメモリは、永久メモリ(ROM)24及びランダムアクセスメモリ(RAM)25を含むことができる。基本入出力システム(BIOS)26は、ROM24を使用してオペレーティングシステムをロードするとき等において、コンピュータシステム20の要素間で情報を転送するための基本手順を格納することができる。
コンピュータシステム20はまた、データの読み書きのためのハードディスク27、取り外し可能な磁気ディスク29の読み書きのための磁気ディスクドライブ28、及びCD−ROM、DVD−ROM、その他の光学メディア等の光学ディスク31の読み書きのための光学式ドライブ30を含む。ハードディスク27、磁気ディスクドライブ28、及び光学式ドライブ30は、ハードディスクインターフェース32、磁気ディスクインターフェース33、及び光学式のドライブインターフェース34それぞれを横切るシステムバス23と接続される。ドライブ及び対応するコンピュータ情報メディアは、コンピュータ命令、データ構造体、プログラムモジュール、及びコンピュータシステム20の他のデータを格納するための電源非依存のモジュールである。
例示的な態様では、ハードディスク27、取り外し可能な磁気ディスク29及び取り外し可能な光学ディスク31を使用するシステムを含む。これらのディスクは、システムバス23を介してコントローラ55に接続される。当業者は、コンピュータにより読み取り可能な形式でデータを格納することができる任意のタイプの媒体56を利用できることを理解であきるであろう。これらの一例として、SSD、フラッシュメモリカード、デジタルディスク、ランダムアクセスメモリ(RAM)が挙げられる。
コンピュータシステム20は、オペレーティングシステム35が格納され得るファイルシステム36と、追加のプログラムアプリケーション37と、他のプログラムモジュール38と、プログラムデータ39とを有する。コンピュータシステム20のユーザは、キーボード40、マウス42、又は当業者に知られている任意の他の入力デバイスを使用してコマンド及び情報を入力することができる。例えば、入力デバイスとして、マイクロホン、ジョイスティック、ゲームコントローラ、スキャナ等が挙げられるが、これらに限定されない。このような入力デバイスは、通常、シリアルポート46を介してコンピュータシステム20に接続され、シリアルポート46はシステムバスに接続される。ここで、当業者であれば、パラレルポート、ゲームポート、又はユニバーサルシリアルバス(USB)等を介する他の方法で接続することもできる点を理解すべきである。モニタ47又は他のタイプのディスプレイデバイスもまた、ビデオアダプタ48等のインターフェースを介してシステムバス23に接続することができる。モニタ47に加えて、パーソナルコンピュータは、ウドスピーカ、プリンタ等の他の周辺出力デバイス(図示せず)に接続されてもよい。
コンピュータシステム20は、1又は複数のリモートコンピュータ49とのネットワーク接続を通じて、ネットワーク環境で操作することができる。リモートコンピュータ(又はコンピュータ)49は、コンピュータシステム20の性質として説明した上述の要素のほとんど又は全てを有するローカルコンピュータ、ワークステーション又はサーバであってもよい。ルータ、ネットワークステーション、ピア接続の機器、又は他のネットワークノード等の他の機器もまた、かかるコンピュータネットワークで存在し得るものであるが、これらに限定されない。
ネットワーク接続は、ローカルエリアコンピュータネットワーク(LAN)50及びワイドエリアコンピュータネットワーク(WAN)を形成することができる。そのようなネットワークは、企業のコンピュータネットワーク及び社内ネットワークで利用され、それらはたいていにインターネットにアクセスすることができる。LAN又はWANネットワークにおいて、コンピュータシステム20は、ネットワークアダプタ又はネットワークインターフェース51と接続可能なローカルエリアネットワーク50に接続されている。ネットワークが用いられる時には、コンピュータシステム20は、インターネット等のワイドエリアコンピュータネットワークによる通信を実現するために、モデム54又は当業者に知られたその他のモジュールを使用することができる。内部又は外部の機器であるモデム54は、シリアルポート46によりシステムバス23と接続されてもよい。かかるネットワーク接続単なる例示であり、当業者は、通信モジュールを使用して1つのコンピュータによって別のコンピュータへの接続を確立する多くの周知の方法の非限定的な例であることを理解するであろう。
様々な実施形態において、ハードウェア、ソフトウェア、ファームウェア、又はこれらのあらゆる組み合わせにおいて、ここで説明されたシステム及びメソッドを実施し得る。ソフトウェアにおいて実装される場合は、メソッドは不揮発性コンピュータ可読メディアの1又は複数の指示又はコードとして保存され得る。コンピュータ可読メディアは、データストレージを含む。あくまでも例であり限定するものではないが、そのようなコンピュータ可読メディアは、RAM、ROM、EEPROM、CD−ROM、フラッシュメモリ、若しくは他のタイプの電気、磁気、光学式の記憶媒体、又はその他のメディアであってもよい。すなわち、これらによって指示又はデータ構造体という形で、要求されたプログラムコードを運ぶか又は保存することができ、汎用コンピュータのプロセッサによってアクセスすることができる。
様々な実施形態で、本開示のシステム及びメソッドが、モジュールとして実装され得る。ここで、用語「モジュール」は、実世界の機器、コンポーネント、又はハードウェアを用いて実装されたコンポーネント配置であり、例えばASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)、又はモジュールの機能を実行するマイクロプロセッサシステムや指示セット等の、ハードウェアとソフトウェアの組み合わせとして実装され得る。これらは、実行中にマイクロプロセッサシステムを特定の機器に変換する。モジュールは、ハードウェア単体により促進される一定の機能とハードウェア及びソフトウェアの組み合わせによって促進される他の機能という2つの組み合わせとして実施されてもよい。モジュールの少なくとも一部又は全部は、汎用コンピュータのプロセッサにおいて実行できる(図3において詳述したもの等)。従って、各モジュールは様々な適当な構成で実現することができて、ここに例示した特定の実装に限られるものではない。
なお、実施形態の通常の機能のうちの全てをここで開示しているわけではない。本開示のいずれの実施形態を開発する場合においてでも、開発者の具体的な目標を達成するためには多くの実施に係る特別な決定が必要であり、これらの具体的な目標は実施形態及び開発者ごとに異なることに留意されたし。そのような開発努力は、複雑で時間を要するものであるが、本開示の利益を享受し得る当業者にとってはエンジニアリングの日常であると理解されたい。
さらに、本明細書で使用される用語又は表現は、あくまでも説明のためであり、限定するものではない。つまり、関連技術の熟練の知識と組み合わせて、本明細書の用語又は表現は、ここに示される教示及び指針に照らして当業者によって解釈されるべきであると留意されたし。明示的な記載がない限り、明細書又は特許請求の範囲内における任意の用語に対して、珍しい又は特別な意味を帰することは意図されていない。本明細書で開示された様々な態様は、例示のために本明細書に言及した既知のモジュールの、現在及び将来の既知の均等物を包含する。さらに、態様及び用途を示し、説明してきたが、本明細書に開示された発明の概念から逸脱することなく、上述したよりも多くの改変が可能であることが、この開示の利益を有する当業者には明らかであろう。
本明細書で開示される様々な態様は、説明のために本明細書で言及される既知のモジュールの、現在及び将来の既知の均等物を包含する。さらに、実施形態及び適用が示されているが、本開示の利益を有する当業者には、本明細書に開示された発明の概念から逸脱することなく上記より多くの変更が可能であることが明らかであろう。

Claims (21)

  1. ユーザと銀行サービスとの相互通信中における危険なデバイスを識別する方法であって、
    取得ステップ、クラスタ生成ステップ、及びブロックステップを備え、
    前記取得ステップは、ユーザデバイスと銀行サービスとの間の通信を検出することに応答して、前記ユーザデバイスに関連するデジタル指紋を取得し、且つ、前記デジタル指紋が前記ユーザデバイスの少なくとも1つの特性を示し、
    前記クラスタ生成ステップは、デジタル指紋に基づいて、前記ユーザデバイスに関連する1又は複数のクラスタを生成し、且つ、前記1又は複数のクラスタの各クラスタは少なくとも1つの特性及び対応する脅威度に関連付けられ、
    前記ブロックステップは、前記1又は複数のクラスタに基づいて、前記ユーザデバイスが脅威リスクであると判定されたことに応答して、前記通信中に前記ユーザデバイスと前記銀行サービスとの間で行われるトランザクションをブロック
    前記ユーザデバイスが脅威リスクであるとの前記判定は、前記1又は複数のクラスタの所定量の脅威度が所定の閾値よりも大きい場合になされ、前記所定の閾値よりも大きい脅威度を有する少なくとも1つのクラスタは、地理的領域に関連付けられたデバイス、及び前記地理的領域と同じ地理的領域に位置する前記ユーザデバイスのファームウェアの特性を備える、方法。
  2. データ取得ステップを備え、
    前記データ取得ステップは、前記ユーザデバイスに関する脅威の危険状態に関連するデータを取得する、請求項1に記載の方法。
  3. 脅威度算出ステップを備え、
    前記脅威度算出ステップは、
    前記1又は複数のクラスタ中のクラスタに対応する各脅威度を算出し、且つ、各脅威度は、脅威の危険状態の発生頻度に比例した数値を示す、請求項1に記載の方法。
  4. 前記ブロックステップにおいて、前記ユーザデバイスが脅威リスクであると判定することは、
    閾値を超える脅威度を有する少なくとも2つのクラスタにユーザデバイスが関連付けられていると判定することを含む、請求項1に記載の方法。
  5. 前記ブロックステップにおいて、前記ユーザデバイスが脅威リスクであると判定することは、第1脅威度判定ステップ、第2脅威度判定ステップ、及び閾値判定ステップを備え、
    第1脅威度判定ステップは、前記生成された複数のクラスタの内の1つである第1クラスタの第1脅威度を判定し、
    第2脅威度判定ステップは、前記生成された複数のクラスタの内の他の1つである第2クラスタの第2脅威度を判定し、
    前記閾値判定ステップは、第1脅威度と第2脅威度の平均が前記閾値を超えていると判定し、且つ、第1脅威度は個別に前記閾値を超えない、請求項1に記載の方法。
  6. 第1クラスタ及び第2クラスタは、前記ユーザデバイスの異なる特性のクラスタ化によって生成される、請求項5に記載の方法。
  7. 前記ブロックステップにおいて、前記ユーザデバイスが脅威リスクであると判定することは、
    第1脅威度及び関連する重み値の積と、第2脅威度及び関連する重み値の積と、の平均値が、閾値を超えると判定することを含む、請求項1に記載の方法。
  8. ユーザと銀行サービスとの相互通信中における危険なデバイスを識別するシステムであって、
    データベースを記憶する記憶装置と、
    ハードウェアプロセッサを備え、
    前記ハードウェアプロセッサは、
    ユーザデバイスと銀行サービスとの間の通信を検出することに応答して、前記ユーザデバイスに関連するデジタル指紋を取得し、且つ、前記デジタル指紋が前記ユーザデバイスの少なくとも1つの特性を示し、
    デジタル指紋に基づいて、前記ユーザデバイスに関連する1又は複数のクラスタを生成し、且つ、前記1又は複数のクラスタの各クラスタは少なくとも1つの特性及び対応する脅威度に関連付けられ、
    前記1又は複数のクラスタに基づいて、前記ユーザデバイスが脅威リスクであると判定されたことに応答して、前記通信中に前記ユーザデバイスと前記銀行サービスとの間で行われるトランザクションをブロック
    前記ユーザデバイスが脅威リスクであるとの前記判定は、前記1又は複数のクラスタの所定量の脅威度が所定の閾値よりも大きい場合になされ、前記所定の閾値よりも大きい脅威度を有する少なくとも1つのクラスタは、地理的領域に関連付けられたデバイス、及び前記地理的領域と同じ地理的領域に位置する前記ユーザデバイスのファームウェアの特性を備えるように構成される、システム。
  9. 前記プロセッサは、
    前記生成されたクラスタ及び関連する脅威度を前記データベースに格納するように構成される、
    請求項8に記載にシステム。
  10. 前記プロセッサは、
    前記1又は複数のクラスタ中のクラスタに対応する各脅威度を算出し、且つ、各脅威度は、脅威の危険状態の発生頻度に比例した数値を示す、ように構成される請求項8に記載のシステム。
  11. 前記プロセッサは、
    閾値を超える脅威度を有する少なくとも2つのクラスタにユーザデバイスが関連付けられていると判定することによって、前記ユーザデバイスが脅威リスクであると判定する、請求項8に記載に記載のシステム。
  12. 前記プロセッサは、
    前記生成された複数のクラスタの内の1つである第1クラスタの第1脅威度を判定することと、
    前記生成された複数のクラスタの内の他の1つである第2クラスタの第2脅威度を判定することと、
    第1脅威度と第2脅威度の平均が前記閾値を超えていると判定し、且つ、第1脅威度は個別に前記閾値を超えないこととによって、前記ユーザデバイスが脅威リスクであると判定する、請求項8に記載のシステム。
  13. 第1クラスタ及び第2クラスタは、前記ユーザデバイスの異なる特性のクラスタ化によって生成される、
    請求項12に記載のシステム。
  14. 前記プロセッサは、第1脅威度及び関連する重み値の積と、第2脅威度及び関連する重み値の積と、の平均値が、前記閾値を超えると判定することによって、前記ユーザデバイスが脅威リスクであると判定する、請求項8に記載のシステム。
  15. ユーザと銀行サービスとの相互通信中における危険なデバイスを識別するためのコンピュータ実行可能命令を含む非一時的なコンピュータ可読媒体であって、
    取得命令、クラスタ生成命令、及びブロック命令を備え、
    前記取得命令は、ユーザデバイスと銀行サービスとの間の通信を検出することに応答して、前記ユーザデバイスに関連するデジタル指紋を取得し、且つ、前記デジタル指紋が前記ユーザデバイスの少なくとも1つの特性を示し、
    前記クラスタ生成命令は、デジタル指紋に基づいて、前記ユーザデバイスに関連する1又は複数のクラスタを生成し、且つ、前記1又は複数のクラスタの各クラスタは少なくとも1つの特性及び対応する脅威度に関連付けられ、
    前記ブロック命令は、前記1又は複数のクラスタに基づいて、前記ユーザデバイスが脅威リスクであると判定されたことに応答して、前記通信中に前記ユーザデバイスと前記銀行サービスとの間で行われるトランザクションをブロックし、
    前記ユーザデバイスが脅威リスクであるとの前記判定は、前記1又は複数のクラスタの所定量の脅威度が所定の閾値よりも大きい場合になされ、前記所定の閾値よりも大きい脅威度を有する少なくとも1つのクラスタは、地理的領域に関連付けられたデバイス、及び前記地理的領域と同じ地理的領域に位置する前記ユーザデバイスのファームウェアの特性を備える、媒体。
  16. データ取得命令を備え、
    前記データ取得命令は、前記ユーザデバイスに関する脅威の危険状態に関連するデータを取得する、請求項15に記載の媒体。
  17. 脅威度算出命令を備え、
    前記脅威度算出命令は、
    前記1又は複数のクラスタ中のクラスタに対応する各脅威度を算出し、且つ、各脅威度は、脅威の危険状態の発生頻度に比例した数値を示す、請求項15に記載の媒体。
  18. 前記ブロック命令において、前記ユーザデバイスが脅威リスクであると判定することは、
    閾値を超える脅威度を有する少なくとも2つのクラスタにユーザデバイスが関連付けられていると判定することを含む、請求項15に記載の媒体。
  19. 前記ブロック命令において、前記ユーザデバイスが脅威リスクであると判定することは、第1脅威度判定命令、第2脅威度判定命令、及び閾値判定命令を備え、
    第1脅威度判定命令は、前記生成された複数のクラスタの内の1つである第1クラスタの第1脅威度を判定し、
    第2脅威度判定命令は、前記生成された複数のクラスタの内の他の1つである第2クラスタの第2脅威度を判定し、
    前記閾値判定命令は、第1脅威度と第2脅威度の平均が前記閾値を超えていると判定し、且つ、第1脅威度は個別に前記閾値を超えない、請求項15に記載の媒体。
  20. 第1クラスタ及び第2クラスタは、前記ユーザデバイスの異なる特性のクラスタ化によって生成される、請求項19に記載の媒体。
  21. 前記ブロック命令において、前記ユーザデバイスが脅威リスクであると判定することは、
    第1脅威度及び関連する重み値の積と、第2脅威度及び関連する重み値の積と、の平均値が、閾値を超えると判定することを含む、請求項15に記載の媒体。
JP2017199010A 2017-08-10 2017-10-13 ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別するシステム及び方法 Active JP6680736B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2017128538 2017-08-10
RU2017128538A RU2666644C1 (ru) 2017-08-10 2017-08-10 Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами
US15/695,253 US10511974B2 (en) 2017-08-10 2017-09-05 System and method of identifying potentially dangerous devices during the interaction of a user with banking services
US15/695,253 2017-09-05

Publications (2)

Publication Number Publication Date
JP2019036273A JP2019036273A (ja) 2019-03-07
JP6680736B2 true JP6680736B2 (ja) 2020-04-15

Family

ID=63580443

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017199010A Active JP6680736B2 (ja) 2017-08-10 2017-10-13 ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別するシステム及び方法

Country Status (4)

Country Link
US (2) US10511974B2 (ja)
JP (1) JP6680736B2 (ja)
CN (1) CN109389400A (ja)
RU (1) RU2666644C1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109902176B (zh) * 2019-02-26 2021-07-13 北京微步在线科技有限公司 一种数据关联拓展方法及非暂时性的计算机指令存储介质
WO2021028971A1 (ja) * 2019-08-09 2021-02-18 日本電気株式会社 バックドア検査装置、システム、方法、及び非一時的なコンピュータ可読媒体
US11509677B2 (en) * 2020-05-05 2022-11-22 Uber Technologies, Inc. Automatically detecting vulnerability remediations and regressions
US11941129B2 (en) 2021-03-31 2024-03-26 Capital One Services, Llc Utilizing contact information for device risk assessment
CN117971555B (zh) * 2023-12-21 2024-10-01 北京天融信网络安全技术有限公司 数据安全备份方法及系统、电子设备、存储介质

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7854007B2 (en) * 2005-05-05 2010-12-14 Ironport Systems, Inc. Identifying threats in electronic messages
US8918883B1 (en) * 2005-06-15 2014-12-23 Tripwire, Inc. Prioritizing network security vulnerabilities using accessibility
US9071974B2 (en) * 2008-06-29 2015-06-30 Oceans Edge, Inc. Mobile telephone firewall and compliance enforcement system and method
US9471920B2 (en) 2009-05-15 2016-10-18 Idm Global, Inc. Transaction assessment and/or authentication
CN101593253B (zh) * 2009-06-22 2012-04-04 成都市华为赛门铁克科技有限公司 一种恶意程序判断方法及装置
US20150229664A1 (en) * 2014-02-13 2015-08-13 Trevor Tyler HAWTHORN Assessing security risks of users in a computing network
US9323928B2 (en) * 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
EP2584488B1 (en) * 2011-09-20 2016-02-10 Kaspersky Lab, ZAO System and method for detecting computer security threats based on verdicts of computer users
US8214904B1 (en) 2011-12-21 2012-07-03 Kaspersky Lab Zao System and method for detecting computer security threats based on verdicts of computer users
US8881273B2 (en) * 2011-12-02 2014-11-04 Uniloc Luxembourg, S.A. Device reputation management
IL219597A0 (en) * 2012-05-03 2012-10-31 Syndrome X Ltd Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention
US9191823B2 (en) * 2012-06-29 2015-11-17 GSMK Gesellschaft für sichere mobile Kommunikation mbH Mobile device and method to monitor a baseband processor in relation to the actions on an applicaton processor
US8990933B1 (en) * 2012-07-24 2015-03-24 Intuit Inc. Securing networks against spear phishing attacks
US9860278B2 (en) * 2013-01-30 2018-01-02 Nippon Telegraph And Telephone Corporation Log analyzing device, information processing method, and program
US10440046B2 (en) * 2015-09-25 2019-10-08 Intel Corporation Technologies for anonymous context attestation and threat analytics
US9106693B2 (en) 2013-03-15 2015-08-11 Juniper Networks, Inc. Attack detection and prevention using global device fingerprinting
US9245116B2 (en) * 2013-03-21 2016-01-26 General Electric Company Systems and methods for remote monitoring, security, diagnostics, and prognostics
RU2541123C1 (ru) 2013-06-06 2015-02-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ определения рейтинга электронных сообщений для борьбы со спамом
US20150002680A1 (en) * 2013-06-28 2015-01-01 Sonic Ip, Inc. System, method, and computer program product for receiving and executing test logic at user devices
KR20150007492A (ko) 2013-07-11 2015-01-21 삼성디스플레이 주식회사 디스플레이 장치 및 이를 구비하는 전자 기기
US9753796B2 (en) * 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US20150205965A1 (en) * 2014-01-22 2015-07-23 Lexisnexis, A Division Of Reed Elsevier Inc. Systems and methods for determining overall risk modification amounts
US10438206B2 (en) * 2014-05-27 2019-10-08 The Toronto-Dominion Bank Systems and methods for providing merchant fraud alerts
US9367685B2 (en) * 2014-09-30 2016-06-14 Juniper Networks, Inc. Dynamically optimizing performance of a security appliance
CN105141598B (zh) * 2015-08-14 2018-11-20 中国传媒大学 基于恶意域名检测的apt攻击检测方法及装置
US10387849B2 (en) * 2015-11-18 2019-08-20 International Business Machines Corporation System, method, and recording medium for a bi-directional feed between electronic calendar and credit-card authorization unit
US10192058B1 (en) * 2016-01-22 2019-01-29 Symantec Corporation System and method for determining an aggregate threat score
CA2960531C (en) * 2016-03-11 2019-06-25 The Toronto-Dominion Bank Application platform security enforcement in cross device and ownership structures
US10333965B2 (en) * 2016-09-12 2019-06-25 Qualcomm Incorporated Methods and systems for on-device real-time adaptive security based on external threat intelligence inputs
US10163329B1 (en) * 2017-06-24 2018-12-25 Vivint, Inc. Home alarm system

Also Published As

Publication number Publication date
US20200084632A1 (en) 2020-03-12
JP2019036273A (ja) 2019-03-07
US20190053053A1 (en) 2019-02-14
US11019494B2 (en) 2021-05-25
RU2666644C1 (ru) 2018-09-11
US10511974B2 (en) 2019-12-17
CN109389400A (zh) 2019-02-26

Similar Documents

Publication Publication Date Title
JP6680736B2 (ja) ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別するシステム及び方法
US11647039B2 (en) User and entity behavioral analysis with network topology enhancement
US11875342B2 (en) Security broker
US11757872B2 (en) Contextual and risk-based multi-factor authentication
US11546371B2 (en) System and method for determining actions to counter a cyber attack on computing devices based on attack vectors
US11757920B2 (en) User and entity behavioral analysis with network topology enhancements
US11962601B1 (en) Automatically prioritizing computing resource configurations for remediation
US9870464B1 (en) Compromised authentication information clearing house
EP3029593B1 (en) System and method of limiting the operation of trusted applications in the presence of suspicious programs
CN111552973B (zh) 对设备进行风险评估的方法、装置、电子设备及介质
US9185119B1 (en) Systems and methods for detecting malware using file clustering
US9824207B1 (en) Authentication information update based on fraud detection
US20180247055A1 (en) Methods for protecting a host device from untrusted applications by sandboxing
US20170134418A1 (en) System and method for a uniform measure and assessement of an institution's aggregate cyber security risk and of the institution's cybersecurity confidence index.
US20220255926A1 (en) Event-triggered reauthentication of at-risk and compromised systems and accounts
US20230388278A1 (en) Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation
CN109583177B (zh) 在用户与银行服务的交互期间识别新设备的系统和方法
EP3441930A1 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services
Mhlanga et al. Privacy and Security Matters Related To Use Of Mobile Devices and Social Media
JP2019192197A (ja) ユーザとバンキングサービスとのインタラクション中に新規デバイスを識別するシステムおよび方法
WO2024177817A1 (en) Using cross workloads signals to remediate password spraying attacks
Ollis Design vulnerabilities in android operating smartphones and their susceptibility to cyber-attacks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190422

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190910

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200110

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20200121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200317

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200319

R150 Certificate of patent or registration of utility model

Ref document number: 6680736

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250