JP6875481B2 - 認証方法、認証システム、およびプログラム - Google Patents
認証方法、認証システム、およびプログラム Download PDFInfo
- Publication number
- JP6875481B2 JP6875481B2 JP2019181666A JP2019181666A JP6875481B2 JP 6875481 B2 JP6875481 B2 JP 6875481B2 JP 2019181666 A JP2019181666 A JP 2019181666A JP 2019181666 A JP2019181666 A JP 2019181666A JP 6875481 B2 JP6875481 B2 JP 6875481B2
- Authority
- JP
- Japan
- Prior art keywords
- screen
- information
- transaction
- transition
- transition destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 38
- 230000007704 transition Effects 0.000 claims description 196
- 238000012795 verification Methods 0.000 claims description 41
- 230000005540 biological transmission Effects 0.000 claims description 23
- 238000003860 storage Methods 0.000 claims description 16
- 238000003825 pressing Methods 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 8
- 238000012790 confirmation Methods 0.000 description 63
- 238000012546 transfer Methods 0.000 description 38
- 238000012545 processing Methods 0.000 description 31
- 238000010586 diagram Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 8
- 230000004075 alteration Effects 0.000 description 4
- 238000009826 distribution Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- LDSJMFGYNFIFRK-UHFFFAOYSA-N 3-azaniumyl-2-hydroxy-4-phenylbutanoate Chemical compound OC(=O)C(O)C(N)CC1=CC=CC=C1 LDSJMFGYNFIFRK-UHFFFAOYSA-N 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Description
本発明は、認証方法、認証システム、およびプログラムに関する。
近年、インターネットバンキングの広がりやスマートフォンの普及とともに、インターネット上での送金取引が一層増えている。一方で、インターネットバンキングでの取引に対するサイバー攻撃も巧妙化している。昨今、特にインターネットバンキングでの送金処理時を狙ったマン・イン・ザ・ブラウザ(MITB;Man in the Browser)攻撃が増加してきている。MITB攻撃では、ユーザがブラウザからインターネットバンキングなどの特定のウェブ(Web)ページにアクセスしたとき等に、ブラウザに進入していたマルウェアが動作する。そしてマルウェアは、Webページの内容を改ざんすることによって、送金先口座を変更したり、ID(Identifier;識別子)やパスワードを盗み取ったりして不正なオンライン送金を図る。
このようなことから、従来のワンタイムパスワード(OTP;One Time Password)等を用いたログイン時の不正アクセスへの対策のみならず、送金処理時のサイバー攻撃への対策が一層求められている。
このようなことから、従来のワンタイムパスワード(OTP;One Time Password)等を用いたログイン時の不正アクセスへの対策のみならず、送金処理時のサイバー攻撃への対策が一層求められている。
MITB攻撃への対策として、独立したハードウェアを併用し、送金情報(例えば、送金先の口座番号や金額情報など)を入力するデバイスとは異なる別のデバイス(例えば、ソフトウェアトークンを有するスマートフォン、またはハードウェアトークン)で送金内容の確認を行う仕組みであるトランザクション署名(TS;Transaction Signing)を用いた認証方法がある(例えば、特許文献1)。
従来、トランザクション署名による認証方法においては、インターネットバンキングの取引実行時に、送金情報に対して署名が行われる。そしてユーザは、送金情報を入力したデバイスとは異なる他のデバイスでその送金情報を確認する。これにより、ユーザは、送金情報の改ざんの有無を認識することができ、送金取引を続行するか否かを選択することができる。
しかしながら、従来のトランザクション署名による認証方法では、送金情報以外の情報がマルウェアによって改ざんされた場合には、ユーザがそれを認識できずに被害に遭ってしまう場合がある。例えば、送金処理の処理完了画面や、送金処理の処理キャンセル画面に記載された文言がマルウェアによって改ざんされることによって、ユーザが、悪意のある不正なWebページに誘導されたり、フィッシング詐欺の被害にあったりする危険性がある。
しかしながら、従来のトランザクション署名による認証方法では、送金情報以外の情報がマルウェアによって改ざんされた場合には、ユーザがそれを認識できずに被害に遭ってしまう場合がある。例えば、送金処理の処理完了画面や、送金処理の処理キャンセル画面に記載された文言がマルウェアによって改ざんされることによって、ユーザが、悪意のある不正なWebページに誘導されたり、フィッシング詐欺の被害にあったりする危険性がある。
本発明は上記の点に鑑みてなされたものであり、情報が改ざんされていないか検知することができる認証方法、認証システム、およびプログラムを提供する。
本発明は上記の課題を解決するためになされたものであり、本発明の一態様としては、記憶部が、端末に表示する画面情報を記憶する記憶手段と、第1の送信部が、遷移元画面の内容を示す遷移元画面情報と、前記遷移元画面から遷移されうる画面である遷移先画面の内容を示す遷移先画面情報と、をともに前記端末へ送信する第1の送信手段と、第2の取得部が、前記端末によって前記遷移先画面情報の少なくとも一部に署名がなされた情報を示す署名後画面情報を、前記遷移元画面に対する肯定を示す応答とともに取得する第2の取得手段と、検証部が、前記署名後画面情報になされた署名の正常性の検証をする検証手段と、第2の送信部が、前記検証の結果を前記端末へ送信する第2の送信手段と、を有することを特徴とする認証方法である。
また、本発明の一態様としては、前記第1の送信部は、取引情報に応じた画面である遷移元画面の内容を示す遷移元画面情報と、前記遷移先画面情報と、を前記端末へ送信する。
また、本発明の一態様としては、前記署名後画面情報は、前記遷移元画面情報の少なくとも一部に署名がなされた情報を含む。
また、本発明の一態様としては、前記署名後画面情報は、前記取引情報の少なくとも一部に署名がなされた情報を含む。
また、本発明の一態様としては、前記遷移先画面情報は、前記遷移元画面において肯定を表す第1のボタンが押下された場合の遷移先画面に含まれる文言であるOK押下時文言、または前記遷移元画面において肯定を表さない第2のボタンが押下された場合の遷移先画面に含まれる文言であるNG押下時文言の少なくとも1つを含む。
また、本発明の一態様としては、前記遷移先画面情報は、前記取引情報に応じて、前記遷移先画面情報に、前記遷移元画面において肯定を表す第1のボタンが押下された場合の遷移先画面に含まれる文言であるOK押下時文言、前記遷移元画面において肯定を表さない第2のボタンが押下された場合の遷移先画面に含まれる文言であるNG押下時文言、またはその両方が含まれる。
また、本発明の一態様としては、前記遷移先画面情報に、OK押下時文言、NG押下時文言、またはその両方が含まれる。
また、本発明の一態様としては、前記第1の送信手段によって送信される前記遷移先画面情報は、前記遷移元画面から任意の回数遷移した後の遷移先画面までの情報を含む。
また、本発明の一態様としては、前記遷移先画面は、前記遷移先画面が改ざんされていないことを示す検証結果が前記端末によって受信されたことに応じて当該端末に表示される。
また、本発明の一態様としては、前記遷移先画面は、前記遷移先画面が改ざんされていないことを示す検証結果が前記端末によって受信されたことに応じて当該端末に表示される。
また、本発明の一態様としては、取引実行サーバと認証サーバからなる認証システムであって、前記取引実行サーバは、端末に表示する画面情報を記憶する記憶手段と、遷移元画面の内容を示す遷移元画面情報と、前記遷移元画面から遷移されうる画面である遷移先画面の内容を示す遷移先画面情報と、を前記認証サーバへ送信する第1の送信手段と、を有し、前記認証サーバは、前記遷移元画面情報と、前記遷移先画面情報と、を前記取引実行サーバから取得する第2の取得手段と、前記遷移元画面情報と、前記遷移先画面情報と、をともに端末へ送信する第2の送信手段と、前記端末によって前記遷移先画面情報の少なくとも一部に署名がなされた情報を示す署名後画面情報を、前記遷移元画面に対する肯定を示す応答とともに取得する第3の取得手段と、前記署名後画面情報になされた署名の正常性の検証をする検証手段と、前記検証の結果を前記端末へ送信する第3の送信手段と、を有することを特徴とする認証システムである。
また、本発明の一態様としては、コンピュータに、端末に表示する画面情報を記憶する記憶手段と、遷移元画面の内容を示す遷移元画面情報と、前記遷移元画面から遷移されうる画面である遷移先画面の内容を示す遷移先画面情報と、をともに前記端末へ送信する第1の送信手段と、前記端末によって前記遷移先画面情報の少なくとも一部に署名がなされた情報を示す署名後画面情報を、前記遷移元画面に対する肯定を示す応答とともに取得する第2の取得手段と、前記署名後画面情報になされた署名の正常性の検証をする検証手段と、前記検証の結果を前記端末へ送信する第2の送信手段と、を実行させるためのプログラムである。
本発明によれば、情報が改ざんされていないか検知することができる。
(第1の実施形態)
以下、本発明の第1の実施形態について、図面を参照しながら説明する。
以下、本発明の第1の実施形態について、図面を参照しながら説明する。
(認証システムの構成)
図1は、第1の実施形態に係る認証システム1の構成を示す概略図である。第1の実施形態に係る認証システム1は、金融機関が提供するインターネットバンキングサービスにおける認証処理を行うシステムである。なお、本実施形態においては、一例として、インターネットバンキングサービスを例にして説明するが、これに限られるものではない。例えば、認証システム1は、株式のオンライントレードサービスにおける認証処理を行うシステムであってもよいし、または、自治体等が提供する公共サービスの各種手続きにおける認証処理を行うシステムであってもよい。
図1は、第1の実施形態に係る認証システム1の構成を示す概略図である。第1の実施形態に係る認証システム1は、金融機関が提供するインターネットバンキングサービスにおける認証処理を行うシステムである。なお、本実施形態においては、一例として、インターネットバンキングサービスを例にして説明するが、これに限られるものではない。例えば、認証システム1は、株式のオンライントレードサービスにおける認証処理を行うシステムであってもよいし、または、自治体等が提供する公共サービスの各種手続きにおける認証処理を行うシステムであってもよい。
第1の実施形態に係る認証システム1は、PC(Personal Computer;パーソナルコンピュータ)10と、インターネットバンキングサーバ20(取引実行サーバ)と、認証サーバ30と、スマートフォン40と、を含んで構成される。PC10およびスマートフォン40は、インターネットバンキングサービスを利用するユーザが使用する端末である。また、インターネットバンキングサーバ20は、金融機関によって管理されるサーバである。また、認証サーバ30は、金融機関によって管理されるか、または認証処理を金融機関に代わって代行する認証サービス提供業者等によって管理されるサーバである。
なお、インターネットバンキングサーバ20(取引実行サーバ)と認証サーバ30とは、本実施形態のように別々の装置ではなく、1つの装置であっても構わない。
なお、インターネットバンキングサーバ20(取引実行サーバ)と認証サーバ30とは、本実施形態のように別々の装置ではなく、1つの装置であっても構わない。
第1の実施形態に係る認証システム1は、認証方法の1つであるトランザクション署名を行うことができる。トランザクション署名とは、インターネットバンキングサービスなどにおいて、送金などの取引情報(トランザクション)の内容(例えば、送金先の口座番号や金額など)を署名し、トランザクションの内容が改ざんされていないかをサーバ側で確認することできる仕組みである。
認証システム1は、インターネットバンキングサービスでの取引実行時に、取引情報に対して署名(トランザクション署名)を行う。そしてユーザは、取引情報を入力した第1の端末(PC10)とは異なる第2の端末(スマートフォン40)でその取引情報を確認することによって、取引情報の改ざんの有無を認識することができ、送金などの取引を続行するか否かを選択することができる。
認証システム1は、インターネットバンキングサービスでの取引実行時に、取引情報に対して署名(トランザクション署名)を行う。そしてユーザは、取引情報を入力した第1の端末(PC10)とは異なる第2の端末(スマートフォン40)でその取引情報を確認することによって、取引情報の改ざんの有無を認識することができ、送金などの取引を続行するか否かを選択することができる。
なお、本実施形態においては、ユーザが取引情報を入力する第1の端末(PC10)とユーザが取引情報の内容を確認する第2の端末(スマートフォン40)とは、それぞれ別の端末装置であるものとしたが、これに限られない。例えば、ユーザが取引情報を入力する端末とユーザが取引情報の内容を確認する端末とが同じ端末(例えば、スマートフォン)であってもよい。その場合、例えば、ユーザが、スマートフォンに備えられたブラウザでインターネットバンキングサービスのWebページにアクセスして取引情報を入力し、当該スマートフォンに備えられたインターネットバンキングサービス用のアプリケーションで取引情報の内容を確認するような構成であってもよい。
PC10とインターネットバンキングサーバ20とは、インターネット51を含む通信回線50を介して接続されている。PC10を使用するユーザは、PC10にインストールされたブラウザによって、インターネットバンキングサーバ20が公開するインターネットバンキングサービスのWebページにアクセスする。PC10を使用するユーザは、ブラウザに表示されたWebページからインターネットバンキングサービスにログインし、ユーザ自身の銀行口座の預金残高や入出金履歴を確認したり、送金手続などを行ったりすることができる。
なお、PC10は、公衆網であるインターネット51を介して通信を行うため、各種のサイバー攻撃を受ける可能性がある。例えば、PC10が、PC10にインストールされたブラウザにインターネット51を介してマルウェアが侵入して不正に改ざんされたWebページの内容をブラウザに表示させるMITB攻撃を受ける可能性がある。
インターネットバンキングサーバ20と認証サーバ30とは、専用線60によって接続されている。インターネットバンキングサーバ20は、PC10において入力され送信された取引情報を受信すると、当該取引情報と当該取引情報が入力された際のログイン情報に基づくユーザ情報とを認証サーバ30へ送信する。
なお、本実施形態においては、インターネットバンキングサーバ20と認証サーバ30とは、専用線60によって接続されているものとしたが、これに限られない。例えば、インターネットバンキングサーバ20と認証サーバ30とは、専用線、LAN(Local Area Network;構内通信網)、インターネット、またはそれらの組み合わせによって接続されてもよい。
なお、本実施形態においては、インターネットバンキングサーバ20と認証サーバ30とは、専用線60によって接続されているものとしたが、これに限られない。例えば、インターネットバンキングサーバ20と認証サーバ30とは、専用線、LAN(Local Area Network;構内通信網)、インターネット、またはそれらの組み合わせによって接続されてもよい。
認証サーバ30とスマートフォン40とは、通信ネットワーク70を介して接続されている。なお、通信ネットワーク70は、例えば、インターネットおよび携帯電話網を含んで構成される。
認証サーバ30は、インターネットバンキングサーバ20から取引情報とユーザ情報とを受信すると、当該ユーザ情報に対応するスマートフォン40へ、取引情報の確認を依頼するためのプッシュ通知を行う。なお、このプッシュ通知は、例えば、ジー・シー・エム(GCM;Google Cloud Messaging)や、エー・ピー・エヌ・エス(APNS;Apple Push Notification Service)のようなプッシュ配信サービスを用いて行われる。
認証サーバ30は、インターネットバンキングサーバ20から取引情報とユーザ情報とを受信すると、当該ユーザ情報に対応するスマートフォン40へ、取引情報の確認を依頼するためのプッシュ通知を行う。なお、このプッシュ通知は、例えば、ジー・シー・エム(GCM;Google Cloud Messaging)や、エー・ピー・エヌ・エス(APNS;Apple Push Notification Service)のようなプッシュ配信サービスを用いて行われる。
スマートフォン40がプッシュ通知を受信することにより、ユーザは取引情報(例えば、振込先や振込金額などの送金情報)の確認依頼が来ていることを認識することができる。取引情報の確認依頼の内容には、例えば、「アプリを起動して送金情報を確認してください」といった情報が含まれる。プッシュ通知を認識したユーザは、スマートフォン40にインストールされたインターネットバンキングサービス用のアプリケーション(アプリ)を起動する。起動されたインターネットバンキングサービス用のアプリには、取引情報が表示される。
ユーザは、スマートフォン40にインストールされたインターネットバンキングサービス用のアプリに表示された取引情報と、PC10にインストールされたブラウザに表示されたインターネットバンキングサービスのWebページから入力した取引情報とが一致しているか否かを確認する。ユーザは、この両者の取引情報が一致しているか否かに基づいて、例えばマルウェア等による取引情報の改ざんの有無を認識することができ、送金処理などの処理続行の可否を選択することができる。
(トランザクション署名による認証処理)
上述したトランザクション署名による認証処理について、図2を用いてさらに詳しく説明する。
図2は、本発明の第1の実施形態に係る認証システム1が行うトランザクション署名による認証処理の概要を示す概略図である。まず、PC10のディスプレイにブラウザによって表示された振込情報入力画面d01において、ユーザは取引情報(送金情報)を入力する。図2において左側に図示する振込情報入力画面d01は、取引情報の入力画面の一例である。
ユーザは、振込情報入力画面d01において、取引情報、例えば、振込先口座番号、受取人名、振込金額、および振込人名を入力する。なお取引情報には、その他、振込先金融機関名および金融機関コード、振込先金融機関の支店名および支店コード、振込人の電話番号、および暗証番号などが含まれていてもよい。
上述したトランザクション署名による認証処理について、図2を用いてさらに詳しく説明する。
図2は、本発明の第1の実施形態に係る認証システム1が行うトランザクション署名による認証処理の概要を示す概略図である。まず、PC10のディスプレイにブラウザによって表示された振込情報入力画面d01において、ユーザは取引情報(送金情報)を入力する。図2において左側に図示する振込情報入力画面d01は、取引情報の入力画面の一例である。
ユーザは、振込情報入力画面d01において、取引情報、例えば、振込先口座番号、受取人名、振込金額、および振込人名を入力する。なお取引情報には、その他、振込先金融機関名および金融機関コード、振込先金融機関の支店名および支店コード、振込人の電話番号、および暗証番号などが含まれていてもよい。
ユーザが振込情報入力画面d01において各種の取引情報を入力し、振込情報入力画面d01の下部に配置された振込実行ボタンを押下すると、入力された取引情報およびユーザ情報(例えば、ユーザID)がインターネット51を含む通信回線50を介してインターネットバンキングサーバ20へ送信される(図2:S001)。なお、取引情報およびユーザ情報は、例えば、ティ・エル・エス(TLS;Transport Layer Security)によって暗号化されて送信される。
インターネットバンキングサーバ20は、取引情報およびユーザ情報を受信すると、当該取引情報および当該ユーザ情報に基づいて後述するトランザクション画面d02を示すデータを生成する。トランザクション画面d02の生成において用いられる、トランザクション画面d02のひな形を示すデータ(例えば、トランザクション画面d02に記載された文言や、トランザクション画面d02の画面レイアウト等の情報を含むフォーマットを示すデータ)は、予めインターネットバンキングサーバ20の記憶部(図示せず)において記憶されている。インターネットバンキングサーバ20は、生成したトランザクション画面d02を示すデータおよびユーザ情報を、認証サーバ30へ送信する(図2:S002)。
なお、本実施形態においては、インターネットバンキングサーバ20がトランザクション画面d02を示すデータを生成するものとしたが、これに限られない。例えば、認証サーバ30がインターネットバンキングサーバ20から取引情報およびユーザ情報を取得して、認証サーバ30がトランザクション画面d02を生成するようにしてもよい。
認証サーバ30は、トランザクション画面d02を示すデータおよびユーザ情報を受信すると、当該ユーザ情報が示すユーザに対応付けられたプッシュ通知先(例えば、当該ユーザのスマートフォンに対応付けられたメールアドレス)を示すデータを取得する。ユーザを特定する識別子(例えば、ユーザID)とプッシュ通知先を示すデータとが対応付けられたデータは、予め認証サーバ30が備える記憶部(図示せず)に記憶されている。認証サーバ30は、トランザクション画面d02を示すデータを、取得したプッシュ通知先へ、プッシュ配信により送信する(図2:S003)。
なお、本実施形態においては、ユーザを特定する識別子とプッシュ通知先を示すデータとが対応付けられたデータは、認証サーバ30が備える記憶部に記憶されているものとしたが、これに限られない。例えば、ユーザを特定する識別子とプッシュ通知先を示すデータとが対応付けられたデータは、インターネットバンキングサーバ20が備える記憶部に予め記憶されており、認証サーバ30は、プッシュ通知先を示すデータをインターネットバンキングサーバ20から取得するようにしてもよい。
スマートフォン40は、プッシュ配信を受信すると、プッシュ配信に含まれるデータに基づくトランザクション画面d02を、自らのスマートフォン40のディスプレイに表示する。トランザクション画面d02の一例を以下に示す。
図3は、第1の実施形態に係る認証システム1のスマートフォン40において表示されるトランザクション画面d02の一例を示す図である。図示するように、トランザクション画面d02には、取引情報(例えば、「お振込申請日時 2016年01月01日 12時00分00秒」・・・、など)と、当該取引情報の内容の確認を依頼する文言(例えば、「以下のお振込を受け付けました。お振込情報を確認し、正しい場合は、最下部の「OK」ボタンを押してください・・・、など」)と、が含まれる。
図3は、第1の実施形態に係る認証システム1のスマートフォン40において表示されるトランザクション画面d02の一例を示す図である。図示するように、トランザクション画面d02には、取引情報(例えば、「お振込申請日時 2016年01月01日 12時00分00秒」・・・、など)と、当該取引情報の内容の確認を依頼する文言(例えば、「以下のお振込を受け付けました。お振込情報を確認し、正しい場合は、最下部の「OK」ボタンを押してください・・・、など」)と、が含まれる。
ユーザは、PC10において入力した取引情報とトランザクション画面d02に表示された取引情報とが一致しているかを確認する。ユーザは、これら両者の取引情報が一致している場合には、正しく取引の処理がなされる(すなわち、正しい振込先へ正しく送金される)と判断することができる。ユーザは、正しく取引の処理がなされると判断した場合、例えば、肯定することを表す処理実行ボタン(第1のボタン、例えば、図3に示す「OK」ボタン、または「振込実行」ボタンなど)を押下する。また、ユーザは、これら両者の取引情報が一致していない場合には、取引情報が改ざんされ不正な送金が行われる可能性があると判断することができる。ユーザは、不正な送金が行われる可能性があると判断した場合、肯定することを表さない処理中止ボタン(第2のボタン、例えば、図3に示す「キャンセル」ボタン、「振込中止」ボタン、または「戻る」ボタンなど)を押下する。
再び図2に戻って説明する。
ユーザによってOKボタン、またはキャンセルボタンが押下されると、スマートフォン40は、取引情報等(例えば、振込先口座番号、受取人名、および振込金額等)を示すデータをトランザクション署名対象のデータとしてトランザクション署名を生成する。トランザクション署名は、例えば、端末(スマートフォン40)固有のシード値や時刻情報等を入力パラメータとしてハッシュ値を計算することによってなされる。
スマートフォン40は、OKボタンまたはキャンセルボタンが押下されたことを示す確認結果情報に、上記において生成したトランザクション署名を添付し、認証サーバ30へ送信する(図2:S004)。
ユーザによってOKボタン、またはキャンセルボタンが押下されると、スマートフォン40は、取引情報等(例えば、振込先口座番号、受取人名、および振込金額等)を示すデータをトランザクション署名対象のデータとしてトランザクション署名を生成する。トランザクション署名は、例えば、端末(スマートフォン40)固有のシード値や時刻情報等を入力パラメータとしてハッシュ値を計算することによってなされる。
スマートフォン40は、OKボタンまたはキャンセルボタンが押下されたことを示す確認結果情報に、上記において生成したトランザクション署名を添付し、認証サーバ30へ送信する(図2:S004)。
認証サーバ30は、確認結果情報およびトランザクション署名を受信すると、トランザクション署名の検証を行う。認証サーバ30は、確認結果情報がスマートフォン40から送信された情報であるか否かの検証結果を示すデータ、および確認結果情報(OKボタンが押下されたか、キャンセルボタンが押下されたか)を、インターネットバンキングサーバ20へ送信する(図2:S005)。
インターネットバンキングサーバ20は、上記の検証結果を示すデータと確認結果情報を受信する。当該検証結果を示すデータがスマートフォン40から送信された情報であることを示すデータであり、かつOKボタンが押下された(取引情報が正しいことをユーザが確認した)ことを確認結果情報が示している場合には、インターネットバンキングサーバ20は、取引実行(送金処理の実行)の確定をユーザに促すための取引実行確定画面(図示せず)を生成する。
また、当該検証結果を示すデータがスマートフォン40から送信された情報であることを示すデータであり、かつキャンセルボタンが押下された(送金情報が正しくないことをユーザが確認した)ことを確認結果情報が示している場合には、インターネットバンキングサーバ20は、例えば、送金処理の処理実行を中止し取引のやり直しをユーザに促すための取引実行中止画面(図示せず)を生成する。
また、当該検証結果を示すデータがスマートフォン40から送信された情報であることを示すデータであり、かつキャンセルボタンが押下された(送金情報が正しくないことをユーザが確認した)ことを確認結果情報が示している場合には、インターネットバンキングサーバ20は、例えば、送金処理の処理実行を中止し取引のやり直しをユーザに促すための取引実行中止画面(図示せず)を生成する。
また、当該検証結果を示すデータがスマートフォン40から送信された情報ではないことを示すデータである場合には、インターネットバンキングサーバ20は、例えば、送金処理の処理実行を中止し取引のやり直しをユーザに促すための取引実行中止画面(図示せず)を生成する。
インターネットバンキングサーバ20は、生成した取引実行確定画面を示すデータ、または取引実行中止画面を示すデータを、PC10へ送信する(図2:S006)。
なお、取引実行確定画面を示すデータ、または取引実行中止画面を示すデータは、インターネットバンキングサーバ20からPC10へプッシュ配信されるようにしてもよいし、インターネットバンキングサーバ20からPC10へ電子メール等によって通知(リクエスト)が行われ、当該通知に基づいて送信されるようにしてもよい。
なお、取引実行確定画面を示すデータ、または取引実行中止画面を示すデータは、インターネットバンキングサーバ20からPC10へプッシュ配信されるようにしてもよいし、インターネットバンキングサーバ20からPC10へ電子メール等によって通知(リクエスト)が行われ、当該通知に基づいて送信されるようにしてもよい。
以上、従来のトランザクション署名による認証方法について説明したが、従来の認証方法では上述したように、例えば、取引情報以外の情報がマルウェアによって改ざんされた場合には、ユーザがそれを認識できずに被害に遭ってしまう場合があるという課題がある。
例えば、取引実行確定画面、取引実行中止画面、送金処理が完了したことを示す送金完了画面(図示せず)、または送金中止の処理が完了したことを示す送金中止完了画面(図示せず)に含まれる文言がマルウェアによって改ざんされることによって、ユーザが、不正なWebページに誘導されたり、フィッシング詐欺の被害にあったりする可能性がある。
以下に、上記のような課題を解決する本発明の認証方法について説明する。
例えば、取引実行確定画面、取引実行中止画面、送金処理が完了したことを示す送金完了画面(図示せず)、または送金中止の処理が完了したことを示す送金中止完了画面(図示せず)に含まれる文言がマルウェアによって改ざんされることによって、ユーザが、不正なWebページに誘導されたり、フィッシング詐欺の被害にあったりする可能性がある。
以下に、上記のような課題を解決する本発明の認証方法について説明する。
(認証システムの動作)
以下に、認証システムの動作について、図面を参照しながら説明する。
図4は、第1の実施形態に係る認証システム1の動作の一例を示すシーケンス図である。
本シーケンス図は、PC10を使用するユーザが、インターネットバンキングサーバ20によって提供されるインターネットバンキングサービスのWebページにアクセスおよびログインし、PC10においてブラウザに取引情報の入力画面(振込情報入力画面)が表示された状態から始まる動作の一例を示す。
以下に、認証システムの動作について、図面を参照しながら説明する。
図4は、第1の実施形態に係る認証システム1の動作の一例を示すシーケンス図である。
本シーケンス図は、PC10を使用するユーザが、インターネットバンキングサーバ20によって提供されるインターネットバンキングサービスのWebページにアクセスおよびログインし、PC10においてブラウザに取引情報の入力画面(振込情報入力画面)が表示された状態から始まる動作の一例を示す。
ユーザは、PC10のブラウザに表示された振込情報入力画面において、取引情報を入力する(図4:S101)。取引情報とは、例えば、送金情報(振込先金融機関名、振込先口座番号、受取人名、振込人名、および振込金額など)である。
ユーザによって取引情報が入力され、取引情報入力画面内に表示される取引実行ボタンが押下されると、PC10は、当該取引情報を示す取引データおよびユーザ情報を、インターネットバンキングサーバ20へ送信する(図4:S102)。
インターネットバンキングサーバ20は、取引データおよびユーザ情報を受信すると(第1の取得手段)、当該取引データに基づく各種画面情報を、自らのインターネットバンキングサーバ20が備える記憶部(記憶手段、図示せず)から取得する。
この各種画面情報とは、例えば、ユーザに取引内容の確認を依頼するための文言である取引情報確認依頼文言、取引内容を表示しユーザに取引内容を確認させるための取引情報確認画面を示す情報(遷移元画面情報)、取引情報確認画面においてユーザにより取引内容が正しいと確認されOKボタンが押下された際に遷移する遷移先画面にて表示される文言であるOK押下時文言(遷移先画面情報)、および取引情報確認画面においてユーザにより取引内容が不正である(改ざんされている)と確認されキャンセルボタンが押下された際に遷移する遷移先画面にて表示される文言であるNG押下時文言(遷移先画面情報)などである。
この各種画面情報とは、例えば、ユーザに取引内容の確認を依頼するための文言である取引情報確認依頼文言、取引内容を表示しユーザに取引内容を確認させるための取引情報確認画面を示す情報(遷移元画面情報)、取引情報確認画面においてユーザにより取引内容が正しいと確認されOKボタンが押下された際に遷移する遷移先画面にて表示される文言であるOK押下時文言(遷移先画面情報)、および取引情報確認画面においてユーザにより取引内容が不正である(改ざんされている)と確認されキャンセルボタンが押下された際に遷移する遷移先画面にて表示される文言であるNG押下時文言(遷移先画面情報)などである。
遷移先画面情報は、OK押下時文言またはNG押下時文言の少なくとも1つを含む。 なお、遷移先画面情報が、OK押下時文言のみを含むか、NG押下時文言のみを含むか、またはその両方を含むかについては、例えば、取引情報の内容に応じて決定されるようにしてもよい。
インターネットバンキングサーバ20は、ユーザ情報、取引データ、および各種画面情報(例えば、取引情報確認依頼文言を示すデータ、取引情報確認画面を示すデータ、および取引情報確認画面からの遷移先である遷移先画面を示す情報(OK押下時文言およびNG押下時文言))を、認証サーバ30へ送信する(第1の送信手段、図4:S103)。
認証サーバ30は、インターネットバンキングサーバ20から送信されたユーザ情報、取引データ、および各種画面情報を受信すると、受信したユーザ情報に対応するスマートフォン40へ、受信した取引情報確認依頼文言を示すデータに基づくメッセージをプッシュ通知する(図4:S104)。なお、プッシュ通知は上述したように、例えば、GCMやAPNSのようなプッシュ配信サービスを用いて行われる。
なお、当該ユーザ情報が示すユーザを識別する識別子(例えば、ユーザID)とプッシュ通知先(例えば、当該ユーザのスマートフォンに対応付けられたメールアドレス)を示すデータとが対応付けられたデータは、例えば、予め認証サーバ30が備える記憶部(図示せず)に記憶されている。認証サーバ30は、受信したユーザ情報が示すユーザに対応付けられたプッシュ通知先を示すデータを記憶部から読み出し、当該プッシュ通知先へプッシュ通知を行う。
また、認証サーバ30は、スマートフォン40へのプッシュ通知の処理結果(処理が正常に完了したか否か)を示すデータと、対象の取引を識別するための識別子(例えば、取引ID)とをインターネットバンキングサーバ20へ送信する(図4:S105)。
認証サーバ30から受信したデータに基づく処理結果が正常に処理完了したことを示している場合には、インターネットバンキングサーバ20は、PC10において入力された取引内容をスマートフォン40においてユーザに確認させるための取引内容確認依頼画面(図示せず)を示すデータを生成し、PC10へ送信する(図4:S106)。取引内容確認依頼画面には、例えば、「登録されているスマートフォンへ通知を送りました。通知された内容に従って、取引内容を確認してください。」といった文言が記載されている。
また、認証サーバ30から受信したデータに基づく処理結果が正常に処理完了しなかったことを示している場合(例えば、プッシュ通知の送信に失敗した場合等)には、インターネットバンキングサーバ20は、スマートフォン40へのプッシュ通知が正常に行われなかったことをユーザへ伝えるためのプッシュ通知失敗通知画面(図示せず)を生成し、PC10へ送信する。プッシュ通知失敗通知画面には、例えば、「登録されたスマートフォンへ通知を試みましたが、正しく通知が行われませんでした。登録したスマートフォンの登録内容を確認してください。」といった文言が記載されている。
PC10は、インターネットバンキングサーバ20から取引内容確認依頼画面を示すデータに基づく画面、またはプッシュ通知失敗通知画面を示すデータに基づく画面をブラウザにより表示する(図4:S107)。
スマートフォン40は、上記(図4:S104)において認証サーバ30からプッシュ通知を受信すると、当該プッシュ通知に含まれる取引情報確認依頼文言に基づく確認依頼メッセージを自らのスマートフォン40の表示部(図示せず)に表示する。確認依頼メッセージには、例えば、「インターネットバンキングのアプリを起動して、取引内容の確認をしてください」といったような文言が含まれる。ユーザは、この確認依頼メッセージの内容に従って、インターネットバンキングのアプリケーションを起動させる(図4:S108)。
スマートフォン40においてインターネットバンキングのアプリケーションが起動され、例えば、ユーザによるアプリケーションの操作に基づき、取引情報を確認することユーザが許諾したことを示すリクエスト情報が、スマートフォン40から認証サーバ30へ送信される(図4:S109)。
認証サーバ30は、スマートフォン40から当該リクエスト情報を受信すると、ユーザ情報、取引データ、各種画面情報を含むデータを、スマートフォン40へ送信する(図4:S110)。各種画面情報を含むデータには、取引情報確認画面(遷移元画面)を示すデータ、および取引情報確認画面からの遷移先である遷移先画面を示す情報(OK押下時文言およびNG押下時文言)が含まれる。
スマートフォン40は、認証サーバ30から受信したユーザ情報と、取引データと、取引情報確認画面を示すデータと、に基づく取引情報確認画面をインターネットバンキングのアプリケーションによって表示する(図4:S111)。取引情報確認画面とは、例えば、図5に示すトランザクション画面d03である。
図5は、第1の実施形態に係る認証システム1のスマートフォン40において表示されるトランザクション画面d03の一例を示す図である。図示するように、トランザクション画面d03(遷移元画面)には、取引情報(送金情報)と、当該取引情報の内容確認をユーザへ依頼する文言と、が含まれる。ユーザは、PC10において入力した取引情報とトランザクション画面d03に表示された取引情報とが一致しているかを確認し、これら両者の取引情報が一致している場合には、正しい振込先へ正しく送金されることが確認できたことによりOKボタンを押下する。また、ユーザは、これら両者の取引情報が一致していない場合には、取引情報が改ざんされ不正な送金が行われる可能性があることを認識したことによりキャンセルボタンを押下する。
なお、トランザクション画面d03には、例えば、図5に図示するトランザクション画面d03の下部に配置されているような、「お振込先口座番号下2桁:」と記載された手入力項目名の文言および手入力欄(例えば、テキストボックス)が含まれていてもよい。このように、取引内容に関する情報やユーザ本人以外にはあまり知られていないような情報を入力させるための手入力項目がトランザクション画面d03に含められることにより、PC10において取引情報を入力したユーザとスマートフォン40で取引情報を確認したユーザとが同一人物であるか否かを、認証システム1はより確実に判定することが可能になる。
スマートフォン40が認証サーバ30から受信したデータには、上述したように、取引情報確認画面からの遷移先である遷移先画面を示す情報も含まれる。例えば、スマートフォン40が認証サーバ30から受信したデータには、図6に示す遷移先画面を示す情報が含まれる。
遷移先画面を示す情報はスマートフォン40によって受信されるものの、当該情報に基づく遷移先画面(例えば、図6)は、図4のS111の時点ではまだスマートフォン40において表示されることはない。
遷移先画面を示す情報はスマートフォン40によって受信されるものの、当該情報に基づく遷移先画面(例えば、図6)は、図4のS111の時点ではまだスマートフォン40において表示されることはない。
図6は、第1の実施形態に係る認証システム1のスマートフォン40において表示される遷移先画面d04の一例を示す図である。図6に示す遷移先画面d04(OK押下時画面)は、図5に示したトランザクション画面d03の下部に配置された「OK」ボタンが押下された場合に、スマートフォン40においてインターネットバンキングのアプリによって表示されうる画面である。図示するように、遷移先画面d04(OK押下時画面)には、PC10において取引を完了(確定)させる操作をユーザに促すための文言であるOK押下時文言が含まれる。すなわち、図6に例示した遷移先画面04においては、OK押下時文言は「[ご注意]取引の手続きはまだ完了しておりません。インターネットバンキングの画面に戻り、お振込を完了してください。」という文言である。
図6に例示した遷移先画面d04において点線で示した画面領域は、後述するトランザクション署名の処理において署名対象とされる領域である署名対象領域ar01である。 なお、遷移先画面d04において署名対象とする領域(部分)は任意で定めることができる。
なお、上述したように、遷移先画面d04は、図4のS111の時点ではまだスマートフォン40において表示されることはない。
なお、上述したように、遷移先画面d04は、図4のS111の時点ではまだスマートフォン40において表示されることはない。
再び図4に戻って説明する。
スマートフォン40は、認証サーバ30から受信したユーザ情報、取引データ、および取引情報確認画面を示すデータに基づく取引情報確認画面(例えば、図5に示すトランザクション画面d03)をインターネットバンキングのアプリによって表示する。ユーザは、スマートフォン40によって取引情報確認画面を確認する。ユーザは、当該取引情報確認画面において表示された取引情報と、PC10において入力した取引情報(すなわち、図4:S101において入力された取引情報)と、が一致していることを確認したならば、取引情報確認画面に配置された「OK」ボタンを押下する。また、ユーザは、当該取引情報確認画面において表示された取引情報と、PC10において入力した取引情報と、が一致していないことを確認したならば、取引情報確認画面に配置された「キャンセル」ボタンを押下する。なお、ここではユーザによって「OK」ボタンが押下されたものとして、以下に説明する。
スマートフォン40は、認証サーバ30から受信したユーザ情報、取引データ、および取引情報確認画面を示すデータに基づく取引情報確認画面(例えば、図5に示すトランザクション画面d03)をインターネットバンキングのアプリによって表示する。ユーザは、スマートフォン40によって取引情報確認画面を確認する。ユーザは、当該取引情報確認画面において表示された取引情報と、PC10において入力した取引情報(すなわち、図4:S101において入力された取引情報)と、が一致していることを確認したならば、取引情報確認画面に配置された「OK」ボタンを押下する。また、ユーザは、当該取引情報確認画面において表示された取引情報と、PC10において入力した取引情報と、が一致していないことを確認したならば、取引情報確認画面に配置された「キャンセル」ボタンを押下する。なお、ここではユーザによって「OK」ボタンが押下されたものとして、以下に説明する。
ユーザによって「OK」ボタンが押下されると、スマートフォン40は、図6に示した遷移先画面d04に含まれる署名対象領域ar01に含まれる文言(OK押下時文言)を示すデータを署名対象のデータとしてトランザクション署名(署名後画面情報)を生成する(第2の取得手段、図4:S111)。上述したように、トランザクション署名は、例えば、端末(スマートフォン40)固有のシード値や時刻情報等を入力パラメータとしてハッシュ値を計算することにより生成される。
スマートフォン40は、OK押下時文言に、上記において生成したトランザクション署名を添付し、認証サーバ30へ送信する(図2:S112)。
認証サーバ30は、OKボタンが押下されたことを示す確認結果情報およびトランザクション署名を受信すると、トランザクション署名の検証を行う(図4:S113)。これにより、スマートフォン40が署名対象としたOK押下時文言を示す情報と、認証サーバ30が(図4:S110において)スマートフォン40へ送信したOK押下時文言を示す情報とが一致しているか否か(不正に改ざんされていないか)の検証がなされる(正常性の検証をする検証手段)。
なお、認証サーバ30が、OKボタンが押下されたことを示す確認結果情報を受信し、かつ、スマートフォン40が署名対象としたOK押下時文言を示す情報と認証サーバ30がスマートフォン40へ送信したOK押下時文言を示す情報とが一致している(改ざんされていない)ものとして、以下に説明する。
なお、認証サーバ30が、OKボタンが押下されたことを示す確認結果情報を受信し、かつ、スマートフォン40が署名対象としたOK押下時文言を示す情報と認証サーバ30がスマートフォン40へ送信したOK押下時文言を示す情報とが一致している(改ざんされていない)ものとして、以下に説明する。
認証サーバ30は、検証結果を示すデータである署名検証結果データ、すなわち、不正な改ざんが行われていないことを示すデータを、スマートフォン40へ送信する(第2の送信手段、図4:S114)。なお、署名検証結果データは、例えば、不正な改ざんが行われていないことが検証された場合は値が「0」であり、不正な改ざんが行われていると検証された場合は値が「1」であるようなデータである。
スマートフォン40は、認証サーバ30から署名検証結果データ、すなわち、不正な改ざんが行われていないことを示すデータを受信すると、署名検証結果データの値に応じた遷移先画面(ここでは、図6に示した遷移先画面d04(OK押下時画面))をインターネットバンキングのアプリにより表示する(図4:S115)。
以上説明したように、認証サーバ30は、図4のS110において、予め遷移先画面を示す情報(例えば、OK押下時文言、およびNG押下時文言)も含めて送信する。そして、スマートフォン40は、遷移先画面を示す情報をトランザクション署名対象としてトランザクション署名を行い、図4のS112において、認証サーバ30へ返送する。これにより、認証サーバ30は、遷移先画面が不正に改ざんされていないかを検証することができる。そして、認証サーバ30は、図4のS114において、検証結果を示すデータをスマートフォン40へ送信する。スマートフォン40は、遷移先画面が不正に改ざんされていないことを示す検証結果を受信した場合には、図4のS110において受信したデータに基づく遷移先画面を表示する。
これにより、第1の実施形態に係る認証システム1は、不正に改ざんされた遷移先画面がスマートフォン40において表示されることを防ぐことができる。
これにより、第1の実施形態に係る認証システム1は、不正に改ざんされた遷移先画面がスマートフォン40において表示されることを防ぐことができる。
ユーザは、スマートフォン40において表示されたOK押下時画面(例えば、図6に示した遷移先画面d04)を確認し、PC10に表示されたインターネットバンキングサービスのWebページにおいて、取引を完了(確定)させるための操作を行う(図4:S116)。例えば、ユーザは、インターネットバンキングサービスのWebページ内に配置された「取引完了」ボタンを押下することにより、取引を完了(確定)させる。
PC10において、ユーザにより取引を完了(確定)させるための操作が行われると、取引完了指示があったことを示す取引完了指示データが、PC10からインターネットバンキングサーバ20へ送信される(図4:S117)。なお、取引完了指示データとともに、取引を識別する取引ID、ユーザを識別するユーザIDを含む情報等も、PC10からインターネットバンキングサーバ20へ併せて送信される。
インターネットバンキングサーバ20は、PC10から取引完了指示データ、および取引IDを受信すると、取引IDに基づいて、署名検証結果の要求を示す認証要求データを認証サーバ30へ送信する(図4:S118)。
認証サーバ30は、インターネットバンキングサーバ20から認証要求データを受信すると、当該認証要求データに対応する署名検証結果を示すデータを取得する(図4:S119)。
認証サーバ30は、当該署名検証結果を示すデータを、インターネットバンキングサーバ20へ送信する(図4:S120)。なお、ここでは署名検証結果が正常であったものとして、以下に説明する。
インターネットバンキングサーバ20は、認証サーバ30から正しく認証が行われたことを示す認証結果データを受信すると、取引(送金)を処理完了(確定)させる処理を実行する(図4:S121)。
インターネットバンキングサーバ20は、取引を処理完了させると、取引が完了したことをユーザに通知するための画面を示す取引完了画面を示す取引完了画面データをPC10へ送信する(図4:S122)。
PC10は、インターネットバンキングサーバ20から取引完了画面データを受信すると、当該取引完了画面データに基づく取引完了画面をブラウザに表示させる(図4:S123)。取引完了画面には、例えば、「振込が完了しました。」といった文言が記載されている。これにより、ユーザは、取引が完了したことを確認することができる。
以上で、図4に示すシーケンス図の説明を終了する。
以上で、図4に示すシーケンス図の説明を終了する。
上述したように、第1の実施形態に係る認証システム1は、認証サーバからユーザの端末へ遷移元画面を示す情報を送信する際に、予め遷移先画面を示す情報も含めて送信する。そして、ユーザの端末は、遷移先画面を示す情報に対してトランザクション署名を行い、認証サーバへ返送する。認証サーバは、トランザクション署名の検証を行い、検証結果をユーザの端末へ送信する。ユーザの端末は、遷移先画面が不正に改ざんされていないことを示す検証結果を受信した場合には、遷移先画面を表示する。これにより、第1の実施形態に係る認証システム1は、不正に改ざんされた遷移先画面がユーザの端末において表示されることを防ぐことができる。
以上、説明したように、第1の実施形態に係る認証システム1は、情報が改ざんされていないか検知することができる。
(第2の実施形態)
第1の実施形態に係る認証システム1においては、認証サーバ30が、遷移先画面(例えば、図6に示したようなOK押下時画面)を示す情報を、予めスマートフォン40へ送信した。そして、スマートフォン40は、遷移先画面を示す情報(例えば、OK押下時文言)に対しトランザクション署名を生成した。スマートフォン40は、遷移先画面を示す情報を、生成したトランザクション署名とともに、認証サーバ30へ返送した。そして、認証サーバ30は、受信したトランザクション署名を検証し、その検証結果をスマートフォン40へ送信することによって、不正に改ざんされた遷移先画面がスマートフォン40において表示されることを防ぐことができた。
第1の実施形態に係る認証システム1においては、認証サーバ30が、遷移先画面(例えば、図6に示したようなOK押下時画面)を示す情報を、予めスマートフォン40へ送信した。そして、スマートフォン40は、遷移先画面を示す情報(例えば、OK押下時文言)に対しトランザクション署名を生成した。スマートフォン40は、遷移先画面を示す情報を、生成したトランザクション署名とともに、認証サーバ30へ返送した。そして、認証サーバ30は、受信したトランザクション署名を検証し、その検証結果をスマートフォン40へ送信することによって、不正に改ざんされた遷移先画面がスマートフォン40において表示されることを防ぐことができた。
しかしながら、第1の実施形態に係る認証システム1では、遷移先画面が改ざんされた場合には、それを検知することができるが、遷移元画面が改ざんされた場合については検知することができない。
第2の実施形態に係る認証システム1は、遷移元画面が改ざんされた場合にも、それを検知して表示させないようにすることができる。なお、第2の実施形態に係る認証システム1のシステム構成や基本的な動作は第2の実施形態に係る認証システム1と同様であるため、説明を省略する。
第2の実施形態に係る認証システム1は、遷移元画面が改ざんされた場合にも、それを検知して表示させないようにすることができる。なお、第2の実施形態に係る認証システム1のシステム構成や基本的な動作は第2の実施形態に係る認証システム1と同様であるため、説明を省略する。
図7は、第2の実施形態に係る認証システム1のスマートフォン40において表示されるトランザクション画面d03の一例を示す図である。図示するように、トランザクション画面d03(遷移元画面)には、第1の実施形態に係る認証システム1の場合と同様に、取引情報(送金情報)と、当該取引情報の内容確認をユーザへ依頼する文言と、が含まれる。
図7に例示したトランザクション画面d03(遷移元画面)において点線で示した画面領域は、トランザクション署名の処理において署名対象とされる領域である署名対象領域ar02である。
なお、トランザクション画面d03(遷移元画面)において、署名対象とする領域は任意で定めることができる。
図7に例示したトランザクション画面d03(遷移元画面)において点線で示した画面領域は、トランザクション署名の処理において署名対象とされる領域である署名対象領域ar02である。
なお、トランザクション画面d03(遷移元画面)において、署名対象とする領域は任意で定めることができる。
第1の実施形態に係る認証システム1と同様に、第2の実施形態に係る認証システム1のスマートフォン40は、図4のS110において、認証サーバ30から受信したユーザ情報、取引データ、および取引情報確認画面を示すデータに基づく取引情報確認画面(例えば、図7に示すトランザクション画面d03)をインターネットバンキングのアプリケーションによって表示する。ユーザは、スマートフォン40によって取引情報確認画面を確認する。ユーザは、当該取引情報確認画面において表示された取引情報と、PC10において入力した取引情報(すなわち、図4:S101において入力された取引情報)と、が一致していることを確認したならば、取引情報確認画面に配置された「OK」ボタンを押下する。また、ユーザは、当該取引情報確認画面において表示された取引情報と、PC10において入力した取引情報と、が一致していないことを確認したならば、取引情報確認画面に配置された「キャンセル」ボタンを押下する。なお、ここではユーザによって「OK」ボタンが押下されたものとして、以下に説明する。
第1の実施形態に係る認証システム1と同様に、ユーザによって「OK」ボタンが押下されると、スマートフォン40は、図6に示した遷移先画面d04に含まれる署名対象領域ar01に含まれる文言(OK押下時文言)を示すデータを署名対象のデータとしてトランザクション署名を生成する(図4:S111)。上述したように、トランザクション署名は、例えば、端末(スマートフォン40)固有のシード値や時刻情報等を入力パラメータとしてハッシュ値を計算することにより生成される。
さらに、第2の実施形態に係る認証システム1では、ユーザによって「OK」ボタンが押下されると、スマートフォン40は、図7に示した遷移元画面d03に含まれる署名対象領域ar02に含まれる文言を示すデータをトランザクション署名対象のデータとしてトランザクション署名を生成する(図4:S111)。
スマートフォン40は、OKボタンが押下されたことを示す確認結果情報、および上記において生成したトランザクション署名を、認証サーバ30へ送信する(図2:S112)。
認証サーバ30は、OKボタンが押下されたことを示す確認結果情報、およびトランザクション署名を受信すると、トランザクション署名の検証を行う(図4:S113)。 これにより、スマートフォン40が署名対象としたOK押下時文言を示す情報と、認証サーバ30が(図4:S110において)スマートフォン40へ送信したOK押下時文言を示す情報とが一致しているか否か(不正に改ざんされていない)の検証がなされる。
さらに、第2の実施形態に係る認証システム1では、認証サーバ30は、受信した署名対象領域ar02に含まれる文言(すなわち、送信元画面に含まれる文言)を示す情報がスマートフォン40から送信された情報であるか否かの検証を行う。また、認証サーバ30は、受信した署名対象領域ar02に含まれる文言を示す情報と、自らの認証サーバ30が(図4:S110において)スマートフォン40へ送信した署名対象領域ar02に含まれる文言を示す情報とが一致しているか否か(不正に改ざんされていないか)についての検証を行う。
以上、説明したように、第2の実施形態に係る認証システム1において、ユーザの端末は、遷移先画面を示す情報に対してトランザクション署名を生成するだけでなく、遷移元画面を示す情報に対してもトランザクション署名を生成し、それぞれ認証サーバへ返送する。認証サーバは、トランザクション署名の検証を行い、検証結果をユーザの端末へ送信する。
これにより、ユーザの端末は、遷移先画面が不正に改ざんされていないかどうかだけではなく、遷移元画面が不正に改ざんされていないかどうかについても認識することができる。
これにより、第2の実施形態に係る認証システム1は、例えば、遷移元画面に含まれる文言が改ざんされ、遷移元画面から悪意のあるWebサイト等へ誘導するリンクが記載されたような場合であっても、改ざんされたことを検知することができる。
これにより、ユーザの端末は、遷移先画面が不正に改ざんされていないかどうかだけではなく、遷移元画面が不正に改ざんされていないかどうかについても認識することができる。
これにより、第2の実施形態に係る認証システム1は、例えば、遷移元画面に含まれる文言が改ざんされ、遷移元画面から悪意のあるWebサイト等へ誘導するリンクが記載されたような場合であっても、改ざんされたことを検知することができる。
なお、図7に示した遷移元画面d03に含まれる署名対象領域ar02に含まれる情報のように、署名対象とする情報は、取引情報をユーザへ依頼するための文言(例えば、図7における「以下のお振込を受け付けました。お振込情報を確認し、正しい場合は、最下部の「OK」ボタンを押してください。」という文言)だけでなく、取引情報そのもの(例えば、図7における「お振込申請日時 2016年01月01日 12時00分00秒」などの文言)であってもよい。
また、例えば、トランザクション画面d03(遷移元画面)において「OK」ボタンが押下された場合に、スマートフォン40にインストールされたインターネットバンキングのアプリケーションが、認証サーバとの通信を行う前に確認メッセージを表示するようにしてもよい。
図8は、第2の実施形態に係る認証システム1のスマートフォン40において表示される確認画面d05の一例を示す図である。図示するように、確認画面d05は、図7に示したトランザクション画面d03の前面に重ねてメッセージボックスを表示させたようなユーザーインターフェースの画面になっている。
図8は、第2の実施形態に係る認証システム1のスマートフォン40において表示される確認画面d05の一例を示す図である。図示するように、確認画面d05は、図7に示したトランザクション画面d03の前面に重ねてメッセージボックスを表示させたようなユーザーインターフェースの画面になっている。
第2の実施形態に係る認証システム1が、遷移先画面(例えば、OK押下時画面)を示す情報、および遷移元画面(トランザクション画面)を示す情報に対してトランザクション署名を生成するだけでなく、遷移元画面においてボタン(例えば、「OK」ボタン)が押下された場合に表示されるメッセージボックスに含まれる文言に対してもトランザクション署名を生成するようにしてもよい。
例えば、図8に例示した確認画面d05において点線で示した画面領域は、トランザクション署名の処理において署名対象とされる領域である署名対象領域ar03である。 第2の実施形態に係る認証システム1が、署名対象領域ar03に含まれる文言(図8においては、「本アプリにてお取引は完了しません。「OK」を押した後、お取引画面にてお取引を継続してください。」という文言)に対してもトランザクション署名を生成するようにしてもよい。なお、確認画面d05において、署名対象とする領域は任意である。
例えば、図8に例示した確認画面d05において点線で示した画面領域は、トランザクション署名の処理において署名対象とされる領域である署名対象領域ar03である。 第2の実施形態に係る認証システム1が、署名対象領域ar03に含まれる文言(図8においては、「本アプリにてお取引は完了しません。「OK」を押した後、お取引画面にてお取引を継続してください。」という文言)に対してもトランザクション署名を生成するようにしてもよい。なお、確認画面d05において、署名対象とする領域は任意である。
これにより、ユーザの端末は、遷移先画面および遷移元画面が不正に改ざんされていないかどうかについてだけではなく、遷移元画面においてボタンが押下された際に表示される確認画面に含まれる文言が不正に改ざんされていないかどうかについても認識することができる。
これにより、第2の実施形態に係る認証システム1は、例えば、確認画面に含まれる文言が改ざんされ、悪意のあるWebサイト等へ誘導するリンクが確認画面のメッセージに記載されたような場合であっても、改ざんされたことを検知することができる。
これにより、第2の実施形態に係る認証システム1は、例えば、確認画面に含まれる文言が改ざんされ、悪意のあるWebサイト等へ誘導するリンクが確認画面のメッセージに記載されたような場合であっても、改ざんされたことを検知することができる。
以上、説明したように、第2の実施形態に係る認証システム1は、情報が改ざんされていないか検知することができる。
(第3の実施形態)
第1の実施形態に係る認証システム1においては、認証サーバ30が、遷移元画面から直接遷移することができる遷移先画面(例えば、図6に示したようなOK押下時画面)を示す情報を、予めスマートフォン40へ送信した。スマートフォン40は、遷移元画面から直接遷移することができる遷移先画面を示す情報(例えば、OK押下時文言)に対しトランザクション署名を生成した。そして、スマートフォン40は、OKボタンが押下されたことを示す確認結果情報と生成したトランザクション署名とを、認証サーバ30へ送信した。認証サーバ30は、受信したトランザクション署名を検証し、その検証結果をスマートフォン40へ送信することによって、不正に改ざんされた遷移先画面がスマートフォン40において表示されることを防ぐことができた。
第1の実施形態に係る認証システム1においては、認証サーバ30が、遷移元画面から直接遷移することができる遷移先画面(例えば、図6に示したようなOK押下時画面)を示す情報を、予めスマートフォン40へ送信した。スマートフォン40は、遷移元画面から直接遷移することができる遷移先画面を示す情報(例えば、OK押下時文言)に対しトランザクション署名を生成した。そして、スマートフォン40は、OKボタンが押下されたことを示す確認結果情報と生成したトランザクション署名とを、認証サーバ30へ送信した。認証サーバ30は、受信したトランザクション署名を検証し、その検証結果をスマートフォン40へ送信することによって、不正に改ざんされた遷移先画面がスマートフォン40において表示されることを防ぐことができた。
ところで、画面遷移が複数回にわたって行われるようなWebページである場合、すなわち、遷移先画面から更にまた遷移する遷移先画面が存在するような場合においては、第1の実施形態に係る認証システム1では、常に1つ先の遷移先画面の情報を予め認証サーバ30からスマートフォン40へ送信するようにし、画面遷移する度に1つ先の遷移先画面を示す情報について署名および署名の検証をその都度行えばよい。これにより、画面遷移が複数回にわたって行われるようなWebページであっても、全ての遷移先画面について改ざんの防止を図ることが可能になる。
しかしながら、上述した方法では、画面遷移をする度に署名および署名の検証の処理が行われることになり、認証サーバ30やスマートフォン40における処理のコストが増大したり、処理速度が低下したりする可能性がある。したがって、例えば、認証システム1が、1つ先の遷移先画面の情報だけでなく、遷移しうる画面(すなわち、任意の回数遷移することによって遷移しうる全ての遷移先画面)を示す情報を予め認証サーバ30からスマートフォン40へまとめて送信するようにしてもよい。
そして、スマートフォン40は、遷移しうる画面それぞれを示す情報に対するトランザクション署名の生成を全て一度にまとめて行う。スマートフォン40は、遷移しうる画面それぞれを示す情報と、遷移しうる画面それぞれを示す情報に対するトランザクション署名と、を認証サーバ30へまとめて送信する。そして、認証サーバ30は、遷移しうる画面それぞれに対応する署名の検証を一度にまとめて行う。
これにより、認証サーバ30やスマートフォン40における処理のコストを削減したり、処理速度の低下を抑制したりできることがある。
これにより、認証サーバ30やスマートフォン40における処理のコストを削減したり、処理速度の低下を抑制したりできることがある。
なお、第1の実施形態に係る認証システム1のように常に1つ先の遷移先画面の情報にのみトランザクション署名を行う場合と、第3の実施形態に係る認証システム1のように遷移しうる画面それぞれに対応するトランザクション署名を一度にまとめて行う場合と、において、どちらの方法のほうが、認証サーバ30やスマートフォン40における処理のコストをより削減したり、処理速度の低下をより抑制したりすることができるかは、例えば、Webページの画面遷移の構成に依存する。
例えば、1つの画面から遷移しうる遷移先画面の数が多いようなWebページの構成である場合(すなわち、画面遷移の分岐の数が多い場合)には、遷移回数が多くなるにつれて遷移先画面の数が膨大になっていくため、第1の実施形態に係る認証システム1のように常に1つ先の遷移先画面の情報にのみトランザクション署名を行うほうが、トランザクション署名を生成する処理の回数を削減でき効率的である。
一方、例えば、ある1つの画面から遷移しうる遷移先画面の数が少ないようなWebページの構成である場合には、第3の実施形態に係る認証システム1のように遷移しうる画面それぞれに対応するトランザクション署名を一度にまとめて行ったほうが効率的であることがある。
一方、例えば、ある1つの画面から遷移しうる遷移先画面の数が少ないようなWebページの構成である場合には、第3の実施形態に係る認証システム1のように遷移しうる画面それぞれに対応するトランザクション署名を一度にまとめて行ったほうが効率的であることがある。
なお、認証サーバ30からスマートフォン40へ遷移しうる全ての遷移先画面が一度にまとめて送信されるのではなく、遷移元画面から任意の回数遷移した後の遷移先画面までの情報がまとめて送信されるようにしてもよい。
以上、説明したように、第3の実施形態に係る認証システム1は、情報が改ざんされていないか検知することができる。
以上、この発明の実施形態について詳しく説明してきたが、具体的な構成は上述のものに限られることはなく、この発明の要旨を逸脱しない範囲内において様々な設計変更等をすることが可能である。
なお、上述した実施形態における認証システム1の一部又は全部をコンピュータで実現するようにしてもよい。その場合、この制御機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって実現してもよい。
なお、ここでいう「コンピュータシステム」とは、認証システム1に内蔵されたコンピュータシステムであって、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信回線のように、短時間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでもよい。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよい。
また、上述した実施形態における認証システム1を、LSI(Large Scale Integration)等の集積回路として実現してもよい。認証システム1の各機能ブロックは個別にプロセッサ化してもよいし、一部、または全部を集積してプロセッサ化してもよい。また、集積回路化の手法はLSIに限らず専用回路、または汎用プロセッサで実現してもよい。また、半導体技術の進歩によりLSIに代替する集積回路化の技術が出現した場合、当該技術による集積回路を用いてもよい。
1・・・認証システム、10・・・PC、20・・・インターネットバンキングサーバ、30・・・認証サーバ、40・・・スマートフォン、50・・・通信回線、51・・・インターネット、60・・・専用線、70・・・通信ネットワーク、ar01・・・署名対象領域、ar02・・・署名対象領域、ar03・・・署名対象領域、d01・・・振込情報入力画面、d02・・・トランザクション画面、d03・・・トランザクション画面、d04・・・遷移先画面、d05・・・確認画面
Claims (11)
- 記憶部が、端末に表示する画面情報を記憶する記憶手段と、
第1の送信部が、遷移元画面の内容を示す遷移元画面情報と、前記遷移元画面から遷移されうる画面である遷移先画面の内容を示す遷移先画面情報と、をともに前記端末へ送信する第1の送信手段と、
第2の取得部が、前記端末によって前記遷移先画面情報の少なくとも一部に署名がなされた情報を示す署名後画面情報を、前記遷移元画面に対する肯定を示す応答とともに取得する第2の取得手段と、
検証部が、前記署名後画面情報になされた署名の正常性の検証をする検証手段と、
第2の送信部が、前記検証の結果を前記端末へ送信する第2の送信手段と、
を有することを特徴とする認証方法。 - 前記第1の送信部は、取引情報に応じた画面である遷移元画面の内容を示す遷移元画面情報と、前記遷移先画面情報と、を前記端末へ送信する
請求項1に記載の認証方法。 - 前記署名後画面情報は、前記遷移元画面情報の少なくとも一部に署名がなされた情報を含む
ことを特徴とする請求項1または請求項2に記載の認証方法。 - 前記署名後画面情報は、前記取引情報の少なくとも一部に署名がなされた情報を含む
ことを特徴とする請求項2に記載の認証方法。 - 前記遷移先画面情報は、前記遷移元画面において肯定を表す第1のボタンが押下された場合の遷移先画面に含まれる文言であるOK押下時文言、または前記遷移元画面において肯定を表さない第2のボタンが押下された場合の遷移先画面に含まれる文言であるNG押下時文言の少なくとも1つを含む
ことを特徴とする請求項1または請求項2に記載の認証方法。 - 前記遷移先画面情報は、前記取引情報に応じて、前記遷移先画面情報に、前記遷移元画面において肯定を表す第1のボタンが押下された場合の遷移先画面に含まれる文言であるOK押下時文言、前記遷移元画面において肯定を表さない第2のボタンが押下された場合の遷移先画面に含まれる文言であるNG押下時文言、またはその両方が含まれる
ことを特徴とする請求項2に記載の認証方法。 - 前記遷移先画面情報に、OK押下時文言、NG押下時文言、またはその両方が含まれる
ことを特徴とする請求項5に記載の認証方法。 - 前記第1の送信手段によって送信される前記遷移先画面情報は、前記遷移元画面から任意の回数遷移した後の遷移先画面までの情報を含む
ことを特徴とする請求項1または請求項2に記載の認証方法。 - 前記遷移先画面は、前記遷移先画面が改ざんされていないことを示す検証結果が前記端末によって受信されたことに応じて当該端末に表示される
ことを特徴とする請求項1から請求項8のうちいずれか1項に記載の認証方法。 - 取引実行サーバと認証サーバからなる認証システムであって、
前記取引実行サーバは、
端末に表示する画面情報を記憶する記憶手段と、
遷移元画面の内容を示す遷移元画面情報と、前記遷移元画面から遷移されうる画面である遷移先画面の内容を示す遷移先画面情報と、を前記認証サーバへ送信する第1の送信手段と、
を有し、
前記認証サーバは、
前記遷移元画面情報と、前記遷移先画面情報と、を前記取引実行サーバから取得する第2の取得手段と、
前記遷移元画面情報と、前記遷移先画面情報と、をともに端末へ送信する第2の送信手段と、
前記端末によって前記遷移先画面情報の少なくとも一部に署名がなされた情報を示す署名後画面情報を、前記遷移元画面に対する肯定を示す応答とともに取得する第3の取得手段と、
前記署名後画面情報になされた署名の正常性の検証をする検証手段と、
前記検証の結果を前記端末へ送信する第3の送信手段と、
を有することを特徴とする認証システム。 - コンピュータに、
端末に表示する画面情報を記憶する記憶手段と、
遷移元画面の内容を示す遷移元画面情報と、前記遷移元画面から遷移されうる画面である遷移先画面の内容を示す遷移先画面情報と、をともに前記端末へ送信する第1の送信手段と、
前記端末によって前記遷移先画面情報の少なくとも一部に署名がなされた情報を示す署名後画面情報を、前記遷移元画面に対する肯定を示す応答とともに取得する第2の取得手段と、
前記署名後画面情報になされた署名の正常性の検証をする検証手段と、
前記検証の結果を前記端末へ送信する第2の送信手段と、
を実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019181666A JP6875481B2 (ja) | 2019-10-01 | 2019-10-01 | 認証方法、認証システム、およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019181666A JP6875481B2 (ja) | 2019-10-01 | 2019-10-01 | 認証方法、認証システム、およびプログラム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016013644A Division JP6599253B2 (ja) | 2016-01-27 | 2016-01-27 | 認証方法、認証システム、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020004452A JP2020004452A (ja) | 2020-01-09 |
| JP6875481B2 true JP6875481B2 (ja) | 2021-05-26 |
Family
ID=69100294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019181666A Active JP6875481B2 (ja) | 2019-10-01 | 2019-10-01 | 認証方法、認証システム、およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6875481B2 (ja) |
-
2019
- 2019-10-01 JP JP2019181666A patent/JP6875481B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020004452A (ja) | 2020-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2332089B1 (en) | Authorization of server operations | |
| US8930273B2 (en) | System and method for generating a dynamic card value | |
| JP6021923B2 (ja) | オンライン取引のための安全な認証方法およびシステム | |
| US9577999B1 (en) | Enhanced security for registration of authentication devices | |
| JP2006294035A (ja) | 移動装置を用いる認証サービスのための方法及び装置 | |
| JP2007328381A (ja) | ネットバンキングにおける認証システム及び方法 | |
| EP3118760B1 (en) | Authentication information management system, authentication information management device, program, recording medium, and authentication information management method | |
| JP2011204169A (ja) | 認証システム、認証装置、認証方法および認証プログラム | |
| JP2022171928A (ja) | 端末装置、認証サーバ、端末装置の制御方法、認証方法及びプログラム | |
| JP6378870B2 (ja) | 認証システム、認証方法および認証プログラム | |
| JP6875481B2 (ja) | 認証方法、認証システム、およびプログラム | |
| JP6599253B2 (ja) | 認証方法、認証システム、およびプログラム | |
| JP5919497B2 (ja) | ユーザ認証システム | |
| JP2005065035A (ja) | Icカードを利用した代理者認証システム | |
| JP6454493B2 (ja) | 認証システム、認証方法および認証プログラム | |
| JP7000207B2 (ja) | 署名システム | |
| CN107491967B (zh) | 一种网络支付输入密码的方法及系统 | |
| JP2015038691A (ja) | 行動パターン認証による振込処理システムおよび方法 | |
| KR102289732B1 (ko) | 해외 거주고객 추가 인증 방법 | |
| JP6718698B2 (ja) | 不正取引検知方法、不正取引検知システム、不正取引検知装置、およびプログラム | |
| JP2023507568A (ja) | 悪意のあるプログラムコード注入に対する保護のためのシステム及び方法 | |
| TWI436289B (zh) | 具有供用戶確認交易資料之一次性密碼認證方法 | |
| TWM575156U (zh) | 視訊驗證提供系統 | |
| TW201120749A (en) | Method and system for updating, and computer system | |
| JP2016212781A (ja) | 認証サーバ、認証システム、認証方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191001 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200804 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201001 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210326 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210422 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6875481 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE Ref document number: 6875481 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |