JP6840921B2 - フィッシング詐欺防止のためのwebページの検証装置、検証方法及びプログラム - Google Patents

フィッシング詐欺防止のためのwebページの検証装置、検証方法及びプログラム Download PDF

Info

Publication number
JP6840921B2
JP6840921B2 JP2017075366A JP2017075366A JP6840921B2 JP 6840921 B2 JP6840921 B2 JP 6840921B2 JP 2017075366 A JP2017075366 A JP 2017075366A JP 2017075366 A JP2017075366 A JP 2017075366A JP 6840921 B2 JP6840921 B2 JP 6840921B2
Authority
JP
Japan
Prior art keywords
information
verification
link information
user
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017075366A
Other languages
English (en)
Other versions
JP2018180685A (ja
Inventor
良樹 神谷
良樹 神谷
龍之介 前田
龍之介 前田
奈央 山谷
奈央 山谷
エンゲルバート健人 シュース
エンゲルバート健人 シュース
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Japan Research Institute Ltd
Original Assignee
Japan Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Research Institute Ltd filed Critical Japan Research Institute Ltd
Priority to JP2017075366A priority Critical patent/JP6840921B2/ja
Publication of JP2018180685A publication Critical patent/JP2018180685A/ja
Application granted granted Critical
Publication of JP6840921B2 publication Critical patent/JP6840921B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、フィッシング詐欺防止のための検証システムに関する。
近年、金融機関等からの正規のメールを偽装したメールを送信し、このメールに表示された偽のWEBサイトのアドレスにアクセスさせ、暗証番号やパスワード、クレジットカード番号などを詐取する不正行為(いわゆるフィッシング詐欺)が増加している。
このようなフィッシング詐欺を防止するために、サービスの提供者が、サービスの利用を希望する利用者に、ネットワークを利用する以外の郵便やファクシミリ、電話などの通信方法により、利用者が選択することにより利用者のみが知り得る少なくとも2つの合言葉を、申告させ、利用者が申告した合言葉の1つを電子メールに付加して、利用者に送信し、更に、メールに付されたURLの誘導先であるウエブサイトに、当該利用者が申告したもう1つの合言葉を表示させるシステムが開示されている(例えば、特許文献1)。
このようなシステムによれば、URLが組み込まれた電子メールを受信したときに、その誘導に従ってよいか否かの判断を容易に行うことができる。
特開2008−310473号公報
ところで、利用者であるユーザは、自ら合言葉を申告した場合でも、この合言葉自体も不正に取得され、不正行為を行うWEBサイトに誘導されてしまうのではないかと、疑心暗鬼になる場合もある。このため、検証前に、検証を行うサービス提供者(例えば、金融機関等)に対するユーザの信頼性を向上する必要がある。
そこで本発明では、上記のような課題に鑑み、WEBページのリンク情報へアクセスすることへのユーザの不安を軽減することが可能な検証システムを提供することを目的とする。
上記課題を解決するため、本発明の検証システムは、以下のような解決手段を提供する。
(1)ユーザ端末にネットワークを介して接続され、WEBページのリンク情報がサービス提供者の正規のものであることを検証する検証装置であって、ユーザと前記サービス提供者の間の複数の個別情報が互いに対応付けられている検証情報を記憶する記憶手段と、前記サービス提供者が送信する検証用WEBページのリンク先を示し、ある前記個別情報を含むリンク情報に対し、ある前記個別情報を、他の前記個別情報に置き換えた仮リンク情報を生成する仮リンク情報生成手段と、前記仮リンク情報生成手段が生成した前記仮リンク情報を、前記ユーザ端末に送信する仮リンク情報送信手段と、を備えることを特徴とする。
(2)上記(1)の構成において、前記リンク情報が示すリンク先の前記検証用WEBページに、前記ユーザ端末がアクセスした場合に、前記ユーザを検証する検証手段を備え、前記記憶手段は、互いに対応付けられている複数の前記個別情報が異なる複数種類の前記検証情報を記憶し、前記仮リンク情報生成手段は、前記リンク情報に含まれる前記個別情報が互いに異なる複数種類の前記リンク情報の複数種類の前記仮リンク情報を生成し、前記仮リンク情報送信手段は、前記仮リンク情報生成手段が生成した複数種類の前記仮リンク情報を前記ユーザ端末に送信し、前記検証手段は、複数種類の前記リンク情報のうち、所定の条件を満たす前記リンク情報が示すリンク先の前記検証用WEBページに、前記ユーザ端末がアクセスした場合に、前記ユーザを検証することを特徴とする。
(3)上記(1)又は(2)の構成において、前記仮リンク情報生成手段は、前記検証用WEBページの前記リンク情報が対応付けられ、他の前記個別情報を示す1又は複数の順列組合せの画像情報である前記仮リンク情報を生成し、前記仮リンク情報送信手段は、前記仮リンク情報とともに、前記検証用WEBページの前記リンク情報が対応付けられていないダミー画像情報を、前記ユーザ端末に送信することを特徴とする。
(4)上記(1)から(3)までのいずれかの構成において、前記仮リンク情報又は前記仮リンク情報を含む画面の所定の領域に、前記ユーザがマウスオーバさせたときに、前記個別情報を表示して確認させることを特徴とする。
(5)上記(1)から(3)までのいずれかの構成において、前記ユーザが仮想現実アプリケーションを起動し、前記仮リンク情報を含む画面を撮像したときに、前記個別情報を表示して確認させることを特徴とする。
(6)ユーザ端末にネットワークを介して接続され、WEBページのリンク情報がサービス提供者のものであることを検証する検証装置が実行する検証方法であって、ユーザを検証するための情報であり、複数の個別情報が互いに対応付けられている検証情報を記憶するステップと、ユーザを検証するための検証用WEBページのリンク先を示し、ある前記個別情報を含むリンク情報に対し、ある前記個別情報を、他の前記個別情報に置き換えた仮リンク情報を生成するステップと、仮リンク情報生成手段が生成した前記仮リンク情報を、前記ユーザ端末に送信するステップと、を含むことを特徴とする。
(7)上記(6)に記載の検証方法の各ステップをコンピュータに実行させることを特徴とするプログラム。
本発明によれば、WEBページのリンク情報へのアクセスすることへのユーザの不安を軽減することが可能な検証システムを提供できる。
本発明が適用される検証システムにおけるサービス提供者とユーザとの間の検証情報を設定する段階の概念を説明する図である。 本発明が適用される検証システムにおけるサービス提供者とユーザとの間を検証する段階の概念を説明する図である。 本発明の実施形態に係る検証システムにおける検証装置及びユーザ端末の機能構成を示す図である。 ユーザDBに格納されるデータを表形式で模式的に示す図である。 本発明の実施形態に係る検証装置が実行する検証処理フローを示す図である。 ユーザ端末に表示されるメッセージの表示例である。 ユーザ端末に表示される仮リンク情報の表示例である。 ユーザ端末に表示される仮リンク情報の応用表示例(1)である。 ユーザ端末に表示される仮リンク情報の応用表示例(2)である。 ユーザ端末に表示される仮リンク情報の応用表示例(3)である。
以下、添付図面を参照して、本発明を実施するための形態(以下、実施形態)について詳細に説明する。以降の図においては、実施形態の説明の全体を通して同じ要素には同じ番号又は符号を付している。また、機能構成の図において、機能ブロック間の矢印は、データの流れ方向、又は処理の流れ方向を表す。
(基本概念)
本発明の検証システムは、サービス提供者とユーザとの間を検証するためのシステムであって、例えば、サービス提供者として金融機関等が利用することで、詐欺を行おうとする不正者が金融機関等を偽装したメールを送信し、不正な手段により、ユーザの情報を取得する、いわゆるフィッシング詐欺からユーザを保護するためのシステムである。
図1は、本発明の一実施形態である検証システム1におけるユーザAとサービス提供者Bとの間の検証情報を設定する段階の概念を示す図である。ここで、「検証情報」とは、互いに相手を正規の者であるか否かを検証(認証)するための情報である。
検証システム1は、検証情報を設定するための検証装置10と、検証装置10とユーザAに操作されるユーザ端末20とがネットワークを介して接続される。検証システム1において、検証装置10は、例えば、金融機関等のインターネットを利用した金銭の取引を提供するサービス提供者Bに管理される。ユーザ端末20は、ユーザAにより操作される(所有又は所持される)端末である。
上記の検証システム1は、ユーザAの検証に先立ち、ユーザAとサービス提供者Bとが、例えば、SNS(Social Network Service)等により、メッセージのやり取りを行い、このやり取りされたメッセージの中から、検証に必要な検証情報を抽出して設定する。
検証装置10は、SNSやメールにて、ユーザ端末20に、検証情報の一部となる第1個別情報(例えば、合言葉1又は秘密の質問)を含むメッセージを送信する。また、検証装置10は、ユーザ端末20から、この第1個別情報を含むメッセージの応答として、検証情報の一部となる第2個別情報(例えば、合言葉1に対応する合言葉2又は秘密の質問に対する答え)を含むメッセージを受信する。
そして、検証装置10は、第1個別情報と第2個別情報との組み合わせを、ユーザAを検証するための検証情報として設定する。
これにより、ユーザAは、サービス提供者Bとメッセージを交わし、この交わしたメッセージの中から検証に必要な検証情報が設定される。よって、サービス提供者により指定された方法により、一方的に検証情報を入力するだけの場合に比べ、サービス提供者Bに対する信頼性が向上する。また、このようなコミュニケーションの中で設定された検証情報に対しても、サービス提供者Bから示されたものであるとの信頼性を向上できる。したがって、サービス提供者Bとユーザ間の信頼性を向上することが可能となる。
図2は、検証システム1において、設定された検証情報により、互いに相手を検証する段階の概念を示す図である。
検証システム1は、例えば、図1に示すように設定された検証情報(第1個別情報、第2個別情報)を利用して、互いに相手を検証する。
例えば、検証装置10は、ユーザAに検証用WEBページのリンク先を示し、ある個別情報(例えば、第2個別情報)を含むリンク情報に対し、ある個別情報を、他の個別情報(第1個別情報)に置き換えた仮リンク情報(仮リンク)を生成し、ユーザ端末20に送信する。
そして、検証装置10は、ユーザ端末20において、仮リンク情報の第1個別情報が第2個別情報に置き換えられたリンク情報が示す検証用WEBページに、ユーザ端末20がアクセスした場合に、そのユーザを正規の者として検証する(相互に相手を認証する)。
仮リンクの一部が第2個別情報に置き換えられて完成されたURLをクリックして表示される画面(検証用WEBページ)には、正規のサービス提供者がユーザに伝えたい情報が表示される。ここでシステムに対してユーザが適切に応答できなければ、仮リンク又は不完全なURLをクリックすることになり、その場合は、ページが存在しない等のエラー表示がされる。つまり、あらかじめ定めた個別情報をあらかじめ定めたルールに則って使うことによって完成されたURLが正規なURLであり、期待された情報が表示されたということは、URLの検証ができたこと、ユーザの検証ができたこと、あるいは、相互に認証ができたこと、のいずれかの意味をも持つことになる。
これにより、ユーザに、サービス提供者Bの検証を受けるために、仮リンク情報の第1個別情報を、第2個別情報に置き換えてリンク情報にしてからアクセスさせることができる。よって、検証のためにという理由で、一方的に示されたリンク情報へのアクセスが要求される場合に比べ、リンク情報への不安を軽減できる。詐欺を行おうとする者は、それらしいリンク情報を一方的に示し、ユーザがそのリンク情報にアクセスすることを求めることが常套手段である。したがって、上記のような仮リンク情報の第1個別情報が第2個別情報に置き換えられたリンク情報が示す検証用WEBページへアクセスすることでユーザの不安を軽減することが可能となる。
(機能構成)
図3は、本発明の実施形態に係る検証システム1における検証装置10及びユーザ端末20機能構成を示す図である。
(検証装置10の構成)
検証装置10は、検証依頼受信手段11と、メッセージ送信手段12と、メッセージ受信手段13と、検証情報設定手段14と、仮リンク情報生成手段15と、仮リンク情報送信手段16と、検証手段17と、ユーザデータベース(以下、ユーザDB)100と、を備える。
検証依頼受信手段11は、ユーザ端末20から、検証(認証)を依頼する検証依頼情報を受信する。検証依頼情報は、例えば、検証システム1を管理する金融機関等の正規のホームページにおける金銭取引や、SNSにおけるメッセージ等において、ユーザが正規のユーザであることの検証を依頼する場合に、ユーザ端末20から送信される情報である。このような検証依頼情報には、検証を依頼することを示す情報に、ユーザを識別するユーザ識別情報等が対応付けられている。
メッセージ送信手段12は、SNSやメールにおいて、検証依頼情報を送信してきたユーザ端末20に、ユーザを検証するための検証情報の一部となる第1個別情報を含むメッセージを送信する。
メッセージ受信手段13は、SNSやメールにおいて、検証依頼情報を送信してきたユーザ端末20から、検証情報の一部となる第2個別情報を含むメッセージを受信する。また、メッセージ受信手段13は、ユーザ端末20に記憶されたユーザに関連するユーザ情報を含む第2個別情報を含むメッセージを受信する。具体的には、ユーザ端末20は、インストールされている、メッセージをやり取りするアプリケーション(以下、アプリとも言う。)と、その他のアプリと、が連携し、その他のアプリ(例えば、ユーザのライフログを計測記憶するアプリ)で計測し記憶された値(例えば、日ごとに計測されるユーザの歩数)を、ユーザに関連するユーザ情報として、メッセージをやり取りするアプリにより読み込み、第2個別情報として、メッセージに含め、検証装置10に送信する。
検証情報設定手段14は、第1個別情報と第2個別情報との組み合わせを検証情報として設定し、ユーザDB100に記憶する。また、検証情報設定手段14は、ユーザを検証するたびに、検証情報に設定する。すなわち、検証依頼受信手段11が検証依頼情報をするごと(ユーザが検証を行うWEBページへアクセスすることを要望するごと)に、メッセージ送信手段12はユーザ端末20に第1個別情報を含むメッセージを送信し、メッセージ受信手段13はユーザ端末20から第2個別情報を含むメッセージを受信し、検証情報設定手段14は第1個別情報と第2個別情報との組み合わせを検証情報として設定する。
図4は、ユーザDB100に格納されるデータを表形式で模式的に示す図である。ユーザDB100は、ユーザを識別する1つのユーザ識別情報であるユーザIDに、メールアドレスと、検証情報設定手段14が設定した検証情報(第1個別情報、第2個別情報)と、が対応付けられている。また、ユーザDB100は、互いに対応付けられている複数の個別情報(第1個別情報、第2個別情報)が異なる複数種類の検証情報が、それぞれ使用可能な所定条件に対応付けられて記憶されている。このようなユーザDB100は、ユーザを検証するための情報であり、複数の個別情報が互いに対応付けられている検証情報を記憶する記憶手段の一例として機能する。
検証情報は、互いに対応する複数の情報である第1個別情報及び第2個別情報を含む。図4に示すように、第1個別情報及び第2個別情報は、一方が検証システム1を管理するサービス提供者からユーザに対する問(例えば、「すきな動物」等)であり、他方がユーザ自身しか知り得ない問に対する回答(例えば、「犬」等)であってもよい。
また、第1個別情報及び第2個別情報は、一方が検証システム1を管理するサービス提供者から、ユーザ(ユーザ端末20)に対する問(例えば、「今日の歩数」等)であり、他方が、問に対する回答であり、ユーザ端末20で計測した値(例えば、「8954」等)であってもよい。
また、第1個別情報及び第2個別情報は、互いに対応する合言葉であってもよい。本実施形態において、合言葉とは、組み合わせることで1つの意味をなすもの(例えば、熟語等)であってもよいし、サービス提供者とユーザが認識していれば、互いに何ら関係の無い言葉であってもよい。また、第1個別情報及び第2個別情報は、互いに組み合わせることで、1つの意味をなすもの(例えば、WEBページのURL(Uniform Resource Locator)等)であってもよい。
図3に戻って、仮リンク情報生成手段15は、検証用WEBページのリンク先を示し、ある個別情報(例えば、図4に示す第2個別情報)を含むリンク情報に対し、ある個別情報を、他の個別情報(例えば、図4に示す第1個別情報)に置き換えた仮リンク情報を生成する。具体的には、図4に示す例によれば、例えば、検証用WEBページのリンク先を示し、第2個別情報(「犬」)を含むリンク情報が「www.a-ank.service.announce/user-001(犬).htm」であった場合、仮リンク情報生成手段15は、仮リンク情報「www.a-bank.service.announce/user-001(すきな動物).htm」を生成する。
また、仮リンク情報生成手段15は、リンク情報に含まれる個別情報が互いに異なる複数種類のリンク情報の複数種類の仮リンク情報を生成してもよい。具体的には、図4に示す例によれば、例えば、ユーザID「sato01」に対して、第1個別情報「すきな動物」を含む仮リンク情報と、第1個別情報「今日の歩数」を含む仮リンク情報と、を生成する。
また、仮リンク情報生成手段15は、更に、検証用WEBページのリンク情報が対応付けられ、第2個別情報を示す画像情報(図4に示す例では、例えば、「犬」の画像)である仮リンク情報を生成してもよい。
また、仮リンク情報生成手段15は、更に、第2個別情報を、ユーザ端末20において、第1個別情報に関連する態様で表示するための補助表示情報を生成してもよい。補助表示情報は、例えば、仮リンク情報の第1個別情報に対応付けられ、ユーザ端末20においてポップアップウィンドウにおいて、第2個別情報を表示するためのスクリプトである。
仮リンク情報送信手段16は、仮リンク情報生成手段15が生成した仮リンク情報を、ユーザ端末20に送信する。また、仮リンク情報送信手段16は、仮リンク情報生成手段15が複数種類の仮リンク情報を生成した場合、これらの複数種類の仮リンク情報をユーザ端末20に送信してもよい。また、仮リンク情報送信手段16は、仮リンク情報生成手段15が第2個別情報を示す画像情報である仮リンク情報を生成した場合、この仮リンク情報とともに、検証用WEBページのリンク情報が対応付けられていないダミー画像情報を、ユーザ端末20に送信してもよい。また、仮リンク情報送信手段16は、仮リンク情報生成手段15が補助表示情報を生成した場合、仮リンク情報とともに、補助表示情報を、ユーザ端末20に送信してもよい。
検証手段17は、リンク情報が示すリンク先の検証用WEBページに、ユーザ端末20がアクセスした場合に、ユーザを検証する。また、検証手段17は、ユーザDB100の検証情報を参照して、複数種類のリンク情報のうち、所定の条件を満たすリンク情報が示すリンク先の検証用WEBページに、ユーザ端末20がアクセスした場合に、ユーザを検証する。具体的には、図4に示す例によれば、例えば、ユーザID「sato01」が、第2個別情報「犬」を含むリンク情報が示すリンク先の検証用WEBページにアクセスした時間が、0:00〜11:59の間であれば、所定の条件を満たすと判断し、ユーザを検証する。一方、検証手段17は、ユーザID「sato01」が、第2個別情報「犬」を含むリンク情報が示すリンク先の検証用WEBページにアクセスした時間が、0:00〜11:59の間でなければ、所定の条件を満たさないと判断し、ユーザを正規ユーザとみなさない。
(ユーザ端末20の構成)
ユーザ端末20は、各ユーザに適した機器(例えば、携帯端末、スマートフォン、タブレット端末、パーソナルコンピュータ、ゲーム機器、ネットワークに接続可能なテレビ等の情報家電)で構成されている。ユーザ端末20は、上記のような機器そのものであってもよいし、上記の複数の機器と家庭内等のローカルネットワークを介して、情報交信可能な制御機器であってもよい。また、ユーザ端末20は、店舗に設置され、ユーザが操作可能なATM(automatic teller machine)であってもよい。
ユーザ端末20は、ユーザ端末送受信手段21と、ユーザ端末制御手段22と、ユーザ端末入出力手段23と、を備える。ユーザ端末送受信手段21は、ユーザ端末制御手段22の制御により、検証装置10に検証依頼情報を送信し、検証装置10からメールにて検証情報を受信する。ユーザ端末入出力手段23は、表示画面やマイク等の出力手段を備え、キーボードやマウス等の入力手段を備える。あるいはタッチパネルのような入力手段と出力手段を兼ね備えた装置である。
ユーザ端末制御手段22は、ユーザ端末入出力手段23におけるユーザの操作に基づき、ユーザ端末送受信手段21により、第1個別情報を含むメッセージを検証装置10から受信し、第2個別情報を含むメッセージを検証装置10に送信する。また、ユーザ端末制御手段22は、ユーザ端末入出力手段23におけるユーザの操作に基づき、ユーザ端末送受信手段21により、第1個別情報を含む仮リンク情報を受信し、仮リンク情報の第1個別情報を第2個別情報に置き換えたリンク情報が示すリンク先の検証用WEBページにアクセスする。
上記の本システムの機能構成は、あくまで一例であり、一つの機能ブロック(データベース及び機能処理部)を分割したり、複数の機能ブロックをまとめて一つの機能ブロックとして構成したりしてもよい。各機能処理部は、装置に内蔵されたCPU(Central Processing Unit)が、ROM(Read Only Memory)、フラッシュメモリ、SSD(Solid State Drive)、ハードディスク等の記憶装置に格納されたコンピュータ・プログラムを読み出し、CPUにより実行されたコンピュータ・プログラムによって実現される。すなわち、各機能処理部は、このコンピュータ・プログラムが、記憶装置に格納されたデータベース(DB;Data Base)やメモリ上の記憶領域からテーブル等の必要なデータを読み書きし、場合によっては、関連するハードウェア(例えば、入出力装置、表示装置、通信インターフェース装置)を制御することによって実現される。また、本発明の実施形態におけるデータベース(DB)は、商用データベースであってよいが、単なるテーブルやファイルの集合体をも意味し、データベースの内部構造自体は問わないものとする。
(処理フロー)
以降の処理フロー図(フローチャート)においては、各ステップの入力と出力の関係を損なわない限り、各ステップの処理順序を入れ替えてもよい。図5は、本発明の実施形態に係る検証装置10が実行する検証処理フローを示す図である。このような検証処理フローは、検証装置10が実行する検証情報設定方法であり、検証装置10が実行する検証方法を示すものである。
以下、図5の処理フローを図6〜図8を参照しながら説明する。
ステップS1において、検証依頼受信手段11は、ユーザ端末20から、検証を依頼する検証依頼情報を受信する。
ステップS2において、メッセージ送信手段12は、SNSやメールにおいて、ステップS1で検証依頼情報を送信してきたユーザ端末20に、ユーザを検証するための検証情報の一部となる第1個別情報を含むメッセージを送信する。
ステップS3において、メッセージ受信手段13は、SNSやメールにおいて、ステップS1で検証依頼情報を送信してきたユーザ端末20から、検証情報の一部となる第2個別情報を含むメッセージを受信する。
ステップS4において、検証情報設定手段14は、ステップS2で送信した第1個別情報と、ステップS3で受信した第2個別情報との組み合わせを検証情報として設定し、ユーザDB100に記憶する。
図6は、ユーザ端末20に表示される合言葉に関するメッセージの表示例である。検証装置10におけるステップS2及びステップS3の処理により、ユーザ端末20のユーザ端末制御手段22は、図6に示すような画面を表示する。図6(a)に示す例では、検証装置10のステップS2の処理により、第1個別情報24aを含むメッセージが画面24に表示されている。また、検証装置10においてステップS3の処理が行われるとともに、第2個別情報24bを含むメッセージが画面24に表示されている。
なお、検証情報設定手段14は、検証するたびに、検証情報を変更可能に設定することができる。これにより、例えば、ユーザが検証するたびに、検証情報をそのつど変えることが可能となり、不正な手段により検証情報が取得されるリスクが低減し、検証の信頼性が更に向上する。図6(b)に示す例では、合言葉である第1個別情報、第2個別情報を変更するためのメッセージが画面24′に表示されている。
図5に戻って、ステップS5において、仮リンク情報生成手段15は、ユーザを検証するための検証用WEBページのリンク先を示し、第2個別情報を含むリンク情報に対し、第2個別情報を、第1個別情報に置き換えた仮リンク情報を生成する。また、仮リンク情報生成手段15は、更に、第2個別情報を、ユーザ端末20において、第1個別情報に関連する態様で表示するための補助表示情報を生成する。
ステップS6において、仮リンク情報送信手段16は、ステップS5で仮リンク情報生成手段15が生成した仮リンク情報を、ユーザ端末20に送信する。また、仮リンク情報送信手段16は、ステップS5で仮リンク情報生成手段15が生成した補助表示情報を、ユーザ端末20に送信する。
図7は、ユーザ端末20に表示される仮リンク情報の表示例である。検証装置10におけるステップS6の処理により、ユーザ端末20のユーザ端末制御手段22は、図7に示すような画面24を表示する。図7に示す例では、検証装置10のステップS6の処理により、ステップS5の処理において仮リンク情報生成手段15が生成した第2個別情報24bを含むリンク情報に対し、第2個別情報24bを、第1個別情報24aに置き換えた仮リンク情報24cが画面24に表示されている。また、検証装置10のステップS6の処理により、ステップS5の処理において仮リンク情報生成手段15が生成した補助表示情報に基づき、第1個別情報24aに対応付けられたポップアップウィンドウ24dにおいて、第2個別情報24bがユーザ端末入出力手段23に表示されている。例えば、ユーザは、仮リンク情報24cの第1個別情報24aの部分を、第2個別情報24bに変更することで、検証用WEBページのリンク先を示すリンク情報を得ることができる。
図8は、ユーザ端末20に表示される仮リンク情報の応用表示例(1)である。ステップS5において、仮リンク情報生成手段15が、更に、検証用WEBページのリンク情報が対応付けられ、第2個別情報24bを示す画像情報である仮リンク情報を生成する。そして、ステップS6において、仮リンク情報送信手段16が、更に、第2個別情報24bを示す画像情報である仮リンク情報とともに、検証用WEBページのリンク情報が対応付けられていないダミー画像情報を、ユーザ端末20に送信した場合、図8に示すような画面24を表示する。この場合、ユーザ端末制御手段22には、第2個別情報24bを含むリンク情報に対し、第2個別情報24bを、第1個別情報24aに置き換えた仮リンク情報24cとともに、検証用WEBページのリンク情報が対応付けられ(リンクされ)、第2個別情報24bを示す真の画像情報(選択可能なボタン)24eと、複数のダミー画像情報24fが表示されている。例えば、ユーザは、ユーザ端末入出力手段23において、画像情報(選択可能なボタン)24eを選択操作することで、検証用WEBページを表示させることができる。なお、真の画像情報の選択は、1つではなく、複数の画像の順列組合せで行ってもよい。
図5に戻って、ステップS7において、検証手段17は、リンク情報が示すリンク先の検証用WEBページに、ユーザ端末20がアクセスした場合に、ユーザを検証する。
図9は、ユーザ端末20に表示される仮リンク情報の応用表示例(2)である。この表示画面では、仮リンク情報(URL)に隠し合言葉1である(???)(符号25で示す)が含まれている。ユーザは、この(???)の表示領域にマウスを移動させると(マウスオーバすると)、隠し合言葉1に対応する合言葉2である「川」が吹き出しで表示される。ユーザは、この吹き出しを確認し、「???」を「川」と置き換えることで、合言葉が完成し、正規のURLにアクセスできる(検証成立)。当然、「???」と表示されたままのURLをクリックしても検証がなされず、したがってURL先の情報はなにも表示されない(検証不成立)。しかし、ユーザが合言葉「川」を確認したあと、所定の操作をすると、システム側で「???」を「川」に自動的に変更するので、そのURLをクリックするとURL先の情報が表示される。ここで、上記の所定の操作をする代わりに、ユーザが「???」を手動で「川」に変更してもよい。なお、実際には、この例のような単純な合言葉でなく、ユーザのみが知る言葉の組み合わせ、つまり合言葉であることさえ他人には悟られない言葉の組み合わせを合言葉とすることが望ましい。
また、図9の画面で所定の操作をすると(例えば、特定のキー2つを同時に押す、など)、画面上のなにもない位置に、符号26で示すような所定の画像又は矩形領域(隠し領域)が表示され、ユーザがこの画像の上にマウスオーバすると、又はCTRLキーを押したままでマウスを符号26の領域に移動すると、合言葉2の「川」が表示されるようにしてもよい。更に別の所定の操作、例えば、CTRLキーを押したままで符号26の領域に表示された画像をクリックすると、「???」(第1の個別情報)が「川」(第2の個別情報)に置き換えられたURLが完成され、完成されたURLにアクセスできるようにしてもよい。すなわち、仮リンク情報上又は仮リンク情報を含む画面の所定の領域に、ユーザがマウスをマウスオーバさせたときなどに、合言葉を表示して確認させ、確認後、仮リンクを実リンク情報(正規のURL)に置き換えた先にアクセス可能となる。このようにすることで、合言葉を非表示にした暗号化ができる。
図10は、ユーザ端末20に表示される仮リンク情報の応用表示例(3)である。このケースでは、ユーザ端末20Aとユーザ端末20Bの2つの端末を用いる。ユーザ端末20Aの画面27aには、仮リンク情報28が表示されているものとする。ここで、ユーザがユーザ端末20Aの専用のアプリを起動し、この画面の仮リンク情報28のURL部分、又は画面の一部若しくは画面の全体を、ユーザ端末20Bの内蔵カメラで撮像すると、専用アプリは、画面27aに表示された仮リンク情報28の文字列を抽出し、ユーザ端末20Bの識別子(すなわちユーザの識別子)と合せて解析し、その仮リンク情報28に対し、そのユーザの固有情報として対応付けられた合言葉2(「川」)を画面27bに表示する。ここで、専用アプリは、AR(Augmented Reality:拡張現実)の機能を有し、仮リンク情報28又は画面27aの一部若しくは画面全体は、「ARマーカー」として機能する。ARマーカーとは、画像認識型AR(Augmented Reality:拡張現実)システムにおいて、付加情報を表示する位置を指定するための標識となる、決まったパターンの画像のことである。AR専用アプリは、あらかじめ定めたARマーカーが認識された場合、あらかじめ定めた出力(動画、音声、静止画など)を現実の画像に重畳して表示する。すなわち、ユーザが仮想現実アプリケーションを起動し、仮リンク情報を含む画面を撮像したときに、合言葉を表示して確認させることができるので、メールや画面の情報が正規なものであるかどうかを判定することができる。
また、図示するように、ユーザの合言葉2を「しゃべる」キャラクターの画像29を表示してもよい。このキャラクター画像29は、ユーザに関連する人や物の画像、例えば、家族やペットの画像であってもよい。あるいはキャラクター画像自体が合言葉2として機能するようにしてもよい。例えば、「川」を文字で表示する代わりに、そのユーザが「川」を連想させるような画像(釣り道具やよく釣る魚など)を表示するようにしてもよい。更に所定の操作をすると、「川」が仮リンク情報28に埋め込まれ、正規のURLに置き換えられるようにしてもよい。例えば、ARアプリを起動中の端末に表示された画像29をタップすると、サーバに画像29を選択したことの情報が送信され、サーバは、画像29の情報を基に、完成されたURLのページを表示するようにしてもよい。このとき、ユーザ端末20Bからサーバに送信される情報は、URLの一部であってもよいし、URLの全部であってもよい。あるいは、ユーザ端末20Bから送信される情報をキーに目的のURLを確定できるようにしてもよい。
このようにすることで、仮リンク情報28に含まれた合言葉を、他人から悟られないように暗号化することができる。このようにして、仮リンク情報28に正しい合言葉を入れることで、そのURLが正規のものであるとの検証がなされ、URL先の情報が表示されるのは図9の場合と同様である。
(実施形態の効果)
本実施形態によれば、検証装置としての検証装置10は、ユーザ端末20とネットワークを介して接続され、ユーザとサービス提供者を互いに検証するための検証情報を設定し、メッセージ送信手段12と、メッセージ受信手段13と、検証情報設定手段14と、を備える。メッセージ送信手段12は、ユーザ端末20に、検証情報の一部となる第1個別情報(例えば合言葉1)を含むメッセージを送信する。メッセージ受信手段13は、ユーザ端末20から、検証情報の一部となる第2個別情報(合言葉1に対応する合言葉2)を含むメッセージを受信する。検証情報設定手段14は、第1個別情報と第2個別情報との組み合わせを検証情報として設定する。
これにより、ユーザは、金融機関等のサービス提供者とメッセージを交わし、この交わしたメッセージの中から検証に必要な検証情報が設定される。よって、サービス提供者により指定された方法により、一方的に検証情報を入力するだけの場合に比べ、サービス提供者に対する信頼性が向上する。また、このようなコミュニケーションの中で設定された検証情報に対しても、サービス提供者から示されたものであるとの信頼性を向上できる。また、メッセージの、例えば合言葉の部分を非表示にして暗号化することができる。したがって、検証前に、サービス提供者に対するユーザの信頼性を向上することが可能となる。
また、検証装置10の検証情報設定手段14は、ユーザを検証するたびに、検証情報を変更可能に設定する。これにより、例えば、検証のたびに、検証情報をそのつど変えることが可能となり、不正な手段によりこの検証情報が取得されるリスクが低減し、検証の信頼性が向上する。
また、検証装置10のメッセージ受信手段13は、ユーザ端末20に記憶されたユーザに関連するユーザ情報を含む第2個別情報を含むメッセージを受信する。これにより、第2個別情報がよりユーザの個人的な情報となり、検証を行う前に、サービス提供者(例えば、金融機関等)に対するユーザの信頼性をより向上することが可能となる。
検証装置10の仮リンク情報生成手段15は、ユーザに検証用WEBページのリンク先を示し、第2個別情報を含むリンク情報に対し、第2個別情報を、第1個別情報に置き換えた仮リンク情報を生成する。仮リンク情報送信手段16は、仮リンク情報生成手段15が生成した仮リンク情報を、ユーザ端末20に送信する。検証手段17は、リンク情報が示すリンク先の検証用WEBページに、ユーザ端末20がアクセスした場合に、ユーザを正規のユーザであると判断する。
これにより、一方的に示されたリンク情報へのアクセスが要求される場合に比べ、WEBページのリンク情報へアクセスすることへのユーザの不安を軽減することが可能となる。
また、検証装置10の仮リンク情報生成手段15は、リンク情報に含まれる個別情報が互いに異なる複数種類のリンク情報の複数種類の仮リンク情報を生成する。仮リンク情報送信手段16は、仮リンク情報生成手段15が生成した複数種類の仮リンク情報をユーザ端末20に送信する。検証手段17は、複数種類のリンク情報のうち、所定の条件を満たすリンク情報が示すリンク先の検証用WEBページに、ユーザ端末20がアクセスした場合に、ユーザを検証する。これにより、リンク情報を所定の条件(例えば、時間的な条件等)に応じて変化させることが可能となり、不正な手段によりこの検証情報が取得されるリスクが低減し、検証における安全性が向上する。
また、検証装置10の仮リンク情報生成手段15は、検証用WEBページのリンク情報が対応付けられ、第2個別情報を示す画像情報である仮リンク情報を生成する。仮リンク情報送信手段16は、仮リンク情報とともに、検証用WEBページのリンク情報が対応付けられていないダミー画像情報を、ユーザ端末20に送信する。これにより、ユーザは、自ら決めた第2個別情報を示す画像情報を選択することで、検証用WEBページにアクセスすることが可能となるので、ユーザの利便性が向上する。
以上、実施形態を用いて本発明を説明したが、本発明の技術的範囲は上記実施形態に記載の範囲には限定されないことは言うまでもない。上記実施形態に、多様な変更又は改良を加えることが可能であることが当業者に明らかである。また、そのような変更又は改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
1 検証システム
10 検証装置
11 検証依頼受信手段
12 メッセージ送信手段
13 メッセージ受信手段
14 検証情報設定手段
15 仮リンク情報生成手段
16 仮リンク情報送信手段
17 検証手段
20 ユーザ端末
21 ユーザ端末送受信手段
22 ユーザ端末制御手段
23 ユーザ端末入出力手段
24 ユーザ端末画面
24a 第1個別情報
24b 第2個別情報
24c 仮リンク情報
24d ポップアップウィンドウ
24e 真の画像情報
24f ダミー画像情報
25 隠し合言葉1
26 隠し領域
27a ユーザ端末20Aの画面
27b ユーザ端末20Bの画面
28 仮リンク情報
29 キャラクター画像
100 ユーザDB

Claims (7)

  1. ユーザ端末にネットワークを介して接続され、WEBページのリンク情報がサービス提供者の正規のものであることを検証する検証装置であって、
    ユーザと前記サービス提供者の間の複数の個別情報が互いに対応付けられている検証情報を記憶する記憶手段と、
    前記サービス提供者が送信する検証用WEBページのリンク先を示し、ある前記個別情報を含むリンク情報に対し、ある前記個別情報を、他の前記個別情報に置き換えた仮リンク情報を生成する仮リンク情報生成手段と、
    前記仮リンク情報生成手段が生成した前記仮リンク情報を、前記ユーザ端末に送信する仮リンク情報送信手段と、
    を備えることを特徴とする検証装置。
  2. 前記リンク情報が示すリンク先の前記検証用WEBページに、前記ユーザ端末がアクセスした場合に、前記ユーザを検証する検証手段を備え、
    前記記憶手段は、互いに対応付けられている複数の前記個別情報が異なる複数種類の前記検証情報を記憶し、
    前記仮リンク情報生成手段は、前記リンク情報に含まれる前記個別情報が互いに異なる複数種類の前記リンク情報の複数種類の前記仮リンク情報を生成し、
    前記仮リンク情報送信手段は、前記仮リンク情報生成手段が生成した複数種類の前記仮リンク情報を前記ユーザ端末に送信し、
    前記検証手段は、複数種類の前記リンク情報のうち、所定の条件を満たす前記リンク情報が示すリンク先の前記検証用WEBページに、前記ユーザ端末がアクセスした場合に、前記ユーザを検証することを特徴とする請求項1に記載の検証装置。
  3. 前記仮リンク情報生成手段は、前記検証用WEBページの前記リンク情報が対応付けられ、他の前記個別情報を示す1又は複数の順列組合せの画像情報である前記仮リンク情報を生成し、
    前記仮リンク情報送信手段は、前記仮リンク情報とともに、前記検証用WEBページの前記リンク情報が対応付けられていないダミー画像情報を、前記ユーザ端末に送信することを特徴とする請求項1又は2に記載の検証装置。
  4. 前記仮リンク情報又は前記仮リンク情報を含む画面の所定の領域に、前記ユーザがマウスをマウスオーバさせたときに、前記個別情報を表示して確認させることを特徴とする請求項1から3までのいずれか1項に記載に検証装置。
  5. 前記ユーザが仮想現実アプリケーションを起動し、前記仮リンク情報を含む画面を撮像したときに、前記個別情報を表示して確認させることを特徴とする請求項1から3までのいずれか1項に記載に検証装置。
  6. ユーザ端末にネットワークを介して接続され、WEBページのリンク情報がサービス提供者のものであることを検証する検証装置が実行する検証方法であって、
    ユーザを検証するための情報であり、複数の個別情報が互いに対応付けられている検証情報を記憶するステップと、
    ユーザを検証するための検証用WEBページのリンク先を示し、ある前記個別情報を含むリンク情報に対し、ある前記個別情報を、他の前記個別情報に置き換えた仮リンク情報を生成するステップと、
    仮リンク情報生成手段が生成した前記仮リンク情報を、前記ユーザ端末に送信するステップと、
    を含むことを特徴とする検証方法。
  7. 請求項6に記載の検証方法の各ステップをコンピュータに実行させることを特徴とするプログラム。
JP2017075366A 2017-04-05 2017-04-05 フィッシング詐欺防止のためのwebページの検証装置、検証方法及びプログラム Active JP6840921B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017075366A JP6840921B2 (ja) 2017-04-05 2017-04-05 フィッシング詐欺防止のためのwebページの検証装置、検証方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017075366A JP6840921B2 (ja) 2017-04-05 2017-04-05 フィッシング詐欺防止のためのwebページの検証装置、検証方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2018180685A JP2018180685A (ja) 2018-11-15
JP6840921B2 true JP6840921B2 (ja) 2021-03-10

Family

ID=64275495

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017075366A Active JP6840921B2 (ja) 2017-04-05 2017-04-05 フィッシング詐欺防止のためのwebページの検証装置、検証方法及びプログラム

Country Status (1)

Country Link
JP (1) JP6840921B2 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1713227B1 (en) * 2005-04-11 2009-06-17 AXSionics AG System and Method for providing user's security when setting-up a connection over insecure networks
JP2010271766A (ja) * 2009-05-19 2010-12-02 Hitachi Software Eng Co Ltd ログイン認証システム
JP6411037B2 (ja) * 2014-03-07 2018-10-24 株式会社日本総合研究所 本人認証システムおよび現金出納システム
JP2016099684A (ja) * 2014-11-18 2016-05-30 インターマン株式会社 ライフログを利用した本人確認方法および本人確認装置

Also Published As

Publication number Publication date
JP2018180685A (ja) 2018-11-15

Similar Documents

Publication Publication Date Title
US20210319091A1 (en) Multiple device credential sharing
KR102141836B1 (ko) 이중 인증
EP1946514B1 (en) System and method for conducting secure transactions
US20200304541A1 (en) Identity Verification and Verifying Device
JP5777804B2 (ja) ウェブベースのセキュリティ認証システム及び方法
JP5462021B2 (ja) 認証システム、認証方法および認証プログラム
KR20100121620A (ko) 캡차 광고
US20130106916A1 (en) Drag and drop human authentication
CN106878244B (zh) 一种真实性证明信息提供方法及装置
Stanislav Two-factor authentication
JP2016051329A (ja) コンテンツ管理装置及びその制御方法
KR101027228B1 (ko) 인터넷 보안을 위한 본인인증 장치, 그 방법 및 이를 기록한 기록매체
US10778434B2 (en) Smart login method using messenger service and apparatus thereof
JP2012094031A (ja) 情報入力方法、情報入力システム、情報入力装置及びコンピュータプログラム
JPWO2010050406A1 (ja) サービス提供システム
KR20090038744A (ko) 통합 인증 서비스 방법 및 시스템
JP2007011756A (ja) 認証方法およびシステム
JP6840921B2 (ja) フィッシング詐欺防止のためのwebページの検証装置、検証方法及びプログラム
KR20200091138A (ko) 개인 도메인 네임을 이용한 인증 방법 및 시스템
JP6980961B2 (ja) フィッシング詐欺防止のための合言葉の検証装置、検証方法及びプログラム
WO2015186372A1 (ja) 取引システム、取引方法、ならびに、情報記録媒体
JP2012003411A (ja) ログインシール管理システム及び管理サーバ
JP6378727B2 (ja) メッセージ送信方法、メッセージ送信用プログラム、及びメッセージ送信装置
JP2005182212A (ja) 情報処理方法、情報処理システム、プログラムおよび記録媒体
JP4889418B2 (ja) 秘密情報受渡方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210121

R150 Certificate of patent or registration of utility model

Ref document number: 6840921

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250