JPWO2018066426A1 - 偽ウェブページ判別装置、偽ウェブページ判別システム、偽ウェブページ判別方法及び偽ウェブページ判別プログラム - Google Patents

偽ウェブページ判別装置、偽ウェブページ判別システム、偽ウェブページ判別方法及び偽ウェブページ判別プログラム Download PDF

Info

Publication number
JPWO2018066426A1
JPWO2018066426A1 JP2018543857A JP2018543857A JPWO2018066426A1 JP WO2018066426 A1 JPWO2018066426 A1 JP WO2018066426A1 JP 2018543857 A JP2018543857 A JP 2018543857A JP 2018543857 A JP2018543857 A JP 2018543857A JP WO2018066426 A1 JPWO2018066426 A1 JP WO2018066426A1
Authority
JP
Japan
Prior art keywords
identification information
web page
window
address identification
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018543857A
Other languages
English (en)
Other versions
JP6754971B2 (ja
Inventor
浩光 高木
浩光 高木
創 渡邊
創 渡邊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Institute of Advanced Industrial Science and Technology AIST
Original Assignee
National Institute of Advanced Industrial Science and Technology AIST
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Institute of Advanced Industrial Science and Technology AIST filed Critical National Institute of Advanced Industrial Science and Technology AIST
Publication of JPWO2018066426A1 publication Critical patent/JPWO2018066426A1/ja
Application granted granted Critical
Publication of JP6754971B2 publication Critical patent/JP6754971B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • User Interface Of Digital Computer (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本発明は、中間者攻撃に対する脆弱性を解消した装置を提供することを目的とする。本発明は、表示されたウェブページを含む画面が映し出されたコンピュータのディスプレイを撮像するための撮像部3と、撮像画像から、上記ウェブページを表示しているブラウザウィンドウの表示領域を特定するウィンドウ特定情報を取得するウィンドウ特定情報取得部4と、取得されたウィンドウ特定情報を用いて、上記ウェブページのアドレス特定情報を取得するアドレス特定情報取得部8と、取得されたアドレス特定情報が真正なウェブサイトのウェブページを特定するものであるか否かを判別するアドレス特定情報判別部5と、アドレス特定情報が真正なウェブサイトのウェブページを特定するものであると判別された場合に上記ウィンドウ特定情報が偽造された画像から導出されたものであるか否かを判別する偽ウィンドウ判別部6を備えた偽ウェブページ判別装置1を提供する。

Description

本発明は、真正でない偽ウェブページを判別するための技術に関するものである。
パーソナルコンピュータ上のウェブブラウザにおいてパスワードを必要とせずにウェブサイトにログインできるようにする方式として、事前にログイン状態にした携帯電話を用いてウェブブラウザに表示されたQRコード(登録商標)を読み取り、当該QRコード(登録商標)に格納されたセッションID、すなわち、ウェブサイトのサーバがアクセス元の複数のウェブブラウザを区別して識別するために乱数を用いて生成した符号、を認証サーバへ送ることにより、認証サーバがユーザを識別するとともに、当該セッションIDで識別されるウェブブラウザのセッションを当該ユーザによりログインした状態とするという方式が知られている(特許文献1、2参照)。
またこれまでに、米国においても、QRコード(登録商標)を使った同様のログイン技術に関する特許出願がなされている(特許文献3参照)。
特開2005−78371号公報 特開2011−238036号公報 US2015/0089610A1
しかし、上記のログイン技術においては、例えば攻撃者が偽のウェブページ上に真正なウェブページからコピーしたQRコード(登録商標)等の識別子を表示した場合、ユーザが偽のウェブページであることに気づくことなく本識別子を撮像して認証手続きを進めると、偽のウェブサイトにログインしてしまうという問題が生じることになり、結果として、攻撃者に通信内容を傍受されたり通信内容を差し替えられるといった中間者攻撃を許すことになるという致命的な問題がある。
本発明は、上記のような問題を解決するためになされたもので、中間者攻撃に対する脆弱性を解消した装置、システム、方法およびプログラムを提供することを目的とする。
上記課題を解決するため、本発明は、表示されたウェブページを含む画面が映し出されたコンピュータのディスプレイを撮像するための撮像手段と、撮像手段により撮像された上記画面が映し出された画像から、上記ウェブページを表示しているブラウザウィンドウの表示領域を特定するウィンドウ特定情報を取得するウィンドウ特定情報取得手段と、ウィンドウ特定情報取得手段により取得されたウィンドウ特定情報を用いて、上記ウェブページのアドレス特定情報を取得するアドレス特定情報取得手段と、アドレス特定情報取得手段により取得されたアドレス特定情報が真正なウェブサイトのウェブページを特定するものであるか否かを判別するアドレス特定情報判別手段と、アドレス特定情報判別手段によりアドレス特定情報が真正なウェブサイトのウェブページを特定するものであると判別された場合に上記ウィンドウ特定情報が偽造された画像から導出されたものであるか否かを判別する偽ウィンドウ判別手段を備えた偽ウェブページ判別装置を提供する。
また、上記課題を解決するため、本発明は、相互に通信するサーバとユーザ端末を備え、上記ユーザ端末は、表示されたウェブページを含む画面が映し出されたコンピュータのディスプレイを撮像するための撮像手段と、撮像手段により撮像された上記画面が映し出された画像をサーバへ送信する画像送信手段とを含み、上記サーバは、画像送信手段により送信された画像を受信する画像受信手段と、画像受信手段により受信された画像から、上記ウェブページを表示しているブラウザウィンドウの表示領域を特定するウィンドウ特定情報を取得するウィンドウ特定情報取得手段と、ウィンドウ特定情報取得手段により取得されたウィンドウ特定情報を用いて、上記ウェブページのアドレス特定情報を取得するアドレス特定情報取得手段と、アドレス特定情報取得手段により取得されたアドレス特定情報が真正なウェブサイトのウェブページを特定するものであるか否かを判別するアドレス特定情報判別手段と、アドレス特定情報判別手段によりアドレス特定情報が真正なウェブサイトのウェブページを特定するものであると判別された場合に上記ウィンドウ特定情報が偽造された画像から導出されたものであるか否かを判別する偽ウィンドウ判別手段と、アドレス特定情報判別手段によりアドレス特定情報が真正なウェブサイトのウェブページを特定するものでないと判別された場合、若しくは、偽ウィンドウ判別手段により上記ウィンドウ特定情報が偽造された画像から導出されたものであると判別された場合にユーザ端末へ上記ブラウザウィンドウが表示中のウェブページは真正なものでないことを通知する通知手段とを含む偽ウェブページ判別システムを提供する。
また、上記課題を解決するため、本発明は、表示されたウェブページを含む画面が映し出されたコンピュータのディスプレイの画像から、上記ウェブページを表示しているブラウザウィンドウの表示領域を特定するウィンドウ特定情報を取得する第一のステップと、第一のステップで取得されたウィンドウ特定情報を用いて、上記ウェブページのアドレス特定情報を取得する第二のステップと、第二のステップで取得されたアドレス特定情報が真正なウェブサイトのウェブページを特定するものであるか否かを判別する第三のステップと、第三のステップにおいてアドレス特定情報が真正なウェブサイトのウェブページを特定するものであると判別された場合に上記ウィンドウ特定情報が偽造された画像から導出されたものであるか否かを判別する第四のステップとを有する偽ウェブページ判別方法を提供する。
また、上記課題を解決するため、本発明は、コンピュータに、表示されたウェブページを含む画面が映し出されたコンピュータのディスプレイの画像から、上記ウェブページを表示しているブラウザウィンドウの表示領域を特定するウィンドウ特定情報を取得させる第一の手順と、第一の手順で取得されたウィンドウ特定情報を用いて、上記ウェブページのアドレス特定情報を取得させる第二の手順と、第二の手順で取得されたアドレス特定情報が真正なウェブサイトのウェブページを特定するものであるか否かを判別させる第三の手順と、第三の手順においてアドレス特定情報が真正なウェブサイトのウェブページを特定するものであると判別された場合に上記ウィンドウ特定情報が偽造された画像から導出されたものであるか否かを判別させる第四の手順とを実行させる偽ウェブページ判別プログラムを提供する。
本発明によれば、中間者攻撃に対する脆弱性を解消した装置、システム、方法およびプログラムを提供することができる。
本発明の実施の形態1に係る偽ウェブページ判別装置の構成を示すブロック図である。 本発明の実施の形態1に係る偽ウェブページ判別方法を示すフローチャートである。 図2に示された偽ウェブページ判別方法を説明するための図である。 本発明の実施の形態1に係る偽ウェブページ判別装置の他の構成例を示すブロック図である。 本発明の実施の形態2に係る偽ウェブページ判別システムの構成を示すブロック図である。
以下において、本発明の実施の形態を図面を参照しつつ詳しく説明する。なお、図中同一符号は同一又は相当部分を示す。
以下の説明では、ウェブサイトとは一又は複数のウェブページからなるログイン対象を意味する。ここで、ウェブページとはウェブサイトのコンテンツ若しくはウェブブラウザに表示された一つのページを意味する。また、ウィンドウとはオペレーティングシステム(Operating System: OS)のグラフィカルユーザインターフェース (Graphical User Interface: GUI)としてのウィンドウを意味し、ブラウザのウィンドウに限られない。また、ブラウザウィンドウとは上記ウィンドウのうち、ウェブブラウザのものを意味する。また、アドレスとはブラウザウィンドウが表示中の場所を表す情報で、ドメイン名等とEVSSL組織名から構成されるものを意味する。ここで、ドメイン名等とはブラウザウィンドウが表示中のウェブページの場所を示すユニフォーム・リソース・ロケータ(Uniform Resource Locator :URL)中に含まれるドメイン名又はフリー・クオリファイド・ドメイン・ネーム(Fully Qualified Domain Name:FQDN)を意味し、EVSSL組織名とはブラウザウィンドウが表示中のウェブサイトのサーバに設定されているEVSSLサーバ証明書に記載された、当該ウェブサイトの運営者の組織名を表す文字列を意味する。
[実施の形態1]
図1は、本発明の実施の形態1に係る偽ウェブページ判別装置の構成を示すブロック図である。図1に示されるように、本発明の実施の形態1に係る偽ウェブページ判別装置1は、バス2と、いずれもバス2に接続された撮像部3、ウィンドウ特定情報取得部4、アドレス特定情報取得部8、ウィンドウ特定情報判別部5、偽ウィンドウ判別部6、及び記憶部7を備える。
なお、偽ウェブページ判別装置1の具体例の一つとしてスマートフォンを挙げられるが、これに限られるものでなく、携帯端末などに広く適用することができる。
ここで、撮像部3は、カメラなどにより外景を撮像し、得られた画像を記憶部7に保存する。また、ウィンドウ特定情報取得部4は、記憶部7に保存された上記画像の中から、パーソナルコンピュータ(Personal Computer :PC)等のディスプレイに表示されたウィンドウと呼ばれる表示領域を特定する情報(以下「ウィンドウ特定情報」という。)を取得し、アドレス特定情報取得部8は、ウィンドウ特定情報取得部4により取得されたウィンドウ特定情報を用いて、ブラウザウィンドウが表示中のウェブページのアドレスを特定する情報(以下「アドレス特定情報」という。)を取得する。
また、アドレス特定情報判別部5は、アドレス特定情報取得部8により取得されたアドレス特定情報が真正なウェブサイトのウェブページを特定するものであるか否かを判別する。また、偽ウィンドウ判別部6は、アドレス特定情報判別部8によりアドレス特定情報が真正なウェブサイトのウェブページを特定するものであると判別された場合には、当該ウィンドウ特定情報が偽造された画像に対応するものであるか否かを判別する。
なお、ウィンドウ特定情報取得部4、アドレス特定情報取得部8、アドレス特定情報判別部5、及び偽ウィンドウ判別部6の上記機能については、後に詳しく説明する。
また、記憶部7は、上記のように撮像部3で撮像された画像を保存すると共に、ウェブブラウザの種類に対応したブラウザウィンドウの枠及びアドレスバーその他のレイアウト様式などのデータを予め記憶する。
図2は、本発明の実施の形態1に係る偽ウェブページ判別方法を示すフローチャートである。なお、以下においては、図3を参照しつつ、図1に示された偽ウェブページ判別装置1を動作させることにより本方法を実現する場合について説明するが、本方法は偽ウェブページ判別装置1を使用した場合に限られず、より広く適用できることはいうまでもない。
図2に示されるように、ステップS1では、表示されたウェブページを含む画面が映し出されたコンピュータのディスプレイの画像から、上記ウェブページを表示しているブラウザウィンドウの表示領域を特定するウィンドウ特定情報を取得する。
具体的には、例えば、図1に示された偽ウェブページ判別装置1においては、撮像部3がユーザの操作に応じて、バーコードや図3に示されたQRコード(登録商標)Cなどの識別子が表示されたブラウザウィンドウを含むパーソナルコンピュータのディスプレイのその縁を含む全体画面W0を撮像する。なお、識別子とは、ウィンドウを特定するために付されたQRコード(登録商標)などの印を意味する。
また、上記ブラウザウィンドウは、識別子が表示されているものに限られず、識別子が表示されていないものであってもよい。
このとき、悪意の中間者により全体画面W0の写真が偽のウェブサイトに貼付された場合には、貼付された偽の全体画面W0の写真に対して段落[0022]以下の処理をしてしまい、当該ウェブサイトの真正性を正しく判断できないことになる。
そこで、撮像部3は、全体画面W0のみならず、全体画面W0の背景Bをも含めて撮像することとし、ユーザに対するリクエストを表示部(図示していない)に表示するなどしてユーザへ偽ウェブページ判別装置1を左右等に動かすよう指示しつつ、ユーザによる本動作中において、撮像画像をモニタリングする機能を有する。このとき、撮像部3は、被写体として手前に存在する全体画面W0を示す画像と、全体画面W0の奥に存在する背景Bを示す画像との間において、上記モニタリング中における各画素の遷移量が異なることを利用して、偽の全体画面W0の写真が撮像されているのではなく、現実のディスプレイの全体画面W0を含む画像が撮像されていることを確認する。より具体的には、撮像部3は、遷移量の異なる部分が存在しない場合に全体画面W0を含む画像を撮像できていないと判断し、ユーザに対し、より広範囲が撮像されるように偽ウェブページ判別装置1をパーソナルコンピュータのディスプレイからより遠くに離すよう指示する。
そして、ウィンドウ特定情報取得部4は、上記のような方法により撮像され記憶部7に保存された全体画面W0を示す画像をスキャンして、上記識別子が表示されている部分を検出する。
ウィンドウ特定情報取得部4は、さらに、全体画面W0中におけるウィンドウW1,W2及びQRコード(登録商標)Cの枠の包含関係又は上下関係を検知することにより、全体画面W0に含まれる複数のウィンドウW1,W2の中から、QRコード(登録商標)Cなどの識別子を表示しているウィンドウW2を識別する。なお、上記のブラウザウィンドウに識別子が表示されていない具体例においては、OSごとに異なるGUIのデザインを検知することにより、フォーカスされているウィンドウ、すなわち最前面に表示されているウィンドウをウィンドウW2として識別する。
また、ウィンドウ特定情報取得部4は、撮像部3により撮像された全体画面W0の画像に含まれるウィンドウの枠及びそれに付随するグラフィカルユーザインターフェース上のパーツのレイアウトを、記憶部7に予め記憶された、ブラウザの種類に応じて異なるブラウザウィンドウの枠及びそれに付随するアドレスバーその他のグラフィカルユーザインターフェース上のパーツのレイアウトと照合し、照合結果に応じて当該ウィンドウを表示しているブラウザの種類を決定する。
次に、ステップS2において、ステップS1で取得されたウィンドウ特定情報から、ウィンドウW2のブラウザウィンドウが表示中のウェブページのアドレス特定情報を取得する。
具体的には、ウィンドウW2のブラウザウィンドウが表示しているウェブページのインターネット上の場所を特定するアドレスを示すユニフォーム・リソース・ロケータ(Uniform Resource Locator :URL)を表示するためのアドレスバーA2のレイアウトはブラウザの種類毎に規定されているため、アドレス特定情報取得部8は、ステップS1で決定されたブラウザの種類に応じて記憶部7に予め記憶されたレイアウトと照合することにより、ウィンドウW2のアドレスバーA2を識別する。
そして、アドレス特定情報取得部8は、識別されたアドレスバーA2に表示されたURLを読み取ることにより、ウィンドウW2のブラウザウィンドウが表示しているウェブページのインターネット上の場所を特定するアドレス特定情報を取得する。
また、アドレスバーA2にEVSSL組織名が表示されている場合には、これも読み取ってアドレス特定情報に含めることとする。
次に、ステップS3において、ステップS2で取得されたアドレス特定情報が真正なウェブサイトのウェブページのアドレスを特定するものであるか否かを判別する。
具体的には、例えば、アドレス特定情報判別部8は、ステップS2で取得されたURLに含まれたドメイン名等又はEVSSL組織名を抽出し、抽出されたドメイン名等又はEVSSL組織名が予め記憶部7に記憶された限定的許容リスト、いわゆるホワイトリスト(Whitelist)に挙げられているもののいずれかと一致するか否かを判別する。
なお、抽出されたドメイン名等又はEVSSL組織名がホワイトリストに挙げられたいずれかのドメイン名等又はEVSSL組織名と一致すると判別された場合に限り、アドレス特定情報判別部8は、ステップS1で取得されたアドレス特定情報が真正なウェブサイトのウェブページのアドレスを特定するものであると判断することになる。
また他の例として、ドメイン名等及びEVSSL組織名を含むアドレス特定情報に対しデジタル署名を付与して、QRコード(登録商標)C等に埋め込むようにしてもよい。この場合には、アドレス特定情報判別部8は、専用の公開鍵を用いて上記デジタル署名の真正性を確認した上で、真正なデジタル署名が付されたアドレス特定情報を抽出し、抽出されたアドレス特定情報をアドレス特定情報取得部8により取得されたアドレス特定情報と照合することにより、アドレス特定情報取得部8により取得されたアドレス特定情報が真正なウェブサイトのウェブページのアドレスを特定するものであるか否かを判別する。
なお、アドレス特定情報判別部5は、照合の結果、抽出されたアドレス特定情報とアドレス特定情報取得部8により取得されたアドレス特定情報が一致すると判別された場合に限り、アドレス特定情報取得部8により取得されたアドレス特定情報が真正なウェブサイトのウェブページのアドレスを特定するものであると判断することになる。
ここで、悪意をもった攻撃者によるいわゆる中間者攻撃によって、上記の真正なウェブサイトのウェブページが表示されているブラウザウィンドウがそっくりそのままコピーされた画像が偽のウェブページに掲載された場合であっても、ステップS2において、ステップS1で取得されたアドレス特定情報が真正なウェブサイトのウェブページのアドレスを特定するものであると判別されてしまう点に留意しなければならない。
そこで、ステップS4において、ステップS3でアドレス特定情報が真正なウェブサイトのウェブページのアドレスを特定するものであると判別された場合には、ステップS1で取得されたウィンドウ特定情報が偽造された画像から導出されたものであるか否かを判別する。
具体的には、例えば、偽ウィンドウ判別部6は、ステップS1において識別子を含むものと識別されたウィンドウW2が別のウィンドウ上に表示されているか否かを判別する。ここで、「別のウィンドウ上に表示されている」とは、ウィンドウW2の表示領域の全部が別の一つのウィンドウの表示領域に包含されて表示されている場合を指すものであり、ウィンドウW2の表示領域の一部のみが別のウィンドウに重なっているにすぎない場合はこれに含まない。
なお、上記のブラウザウィンドウに識別子が表示されていない具体例においては、フォーカスされているウィンドウW2が別のウィンドウ上に表示されているか否かを判別する。
そして、偽ウィンドウ判別部6は、ウィンドウW2が別のウィンドウ上に表示されていないと判別された場合には、ステップS1で取得されたウィンドウ特定情報は偽造された画像から導出されたものでないと判断する。
一方、偽ウィンドウ判別部6は、ウィンドウW2が別のウィンドウ上に表示されていると判別された場合には、ステップS1で取得されたウィンドウ特定情報は偽造された画像に対応するものと判断し、ユーザに対して識別子を含む当該ウィンドウを全体画面W0内において移動させるよう要求した上で、ユーザに操作のやり直しを指示する。
以上が、図2に示された本発明の実施の形態1に係る偽ウェブページ判別方法の説明であるが、かかる方法をアルゴリズムで表したプログラムを、図4に示された構成を有する偽ウェブページ判別装置10において実行することによっても、図1に示された偽ウェブページ判別装置1と同様な作用効果を得ることができる。
ここで、偽ウェブページ判別装置10は、バス11と、それぞれバス11に接続された撮像部12、中央処理装置(Central Processing Unit :CPU)13、及び記憶部14を備える。そして、記憶部14は上記プログラムを格納し、CPU13は記憶部14に格納された本プログラムを読み出して実行する。なお、撮像部12は、図1に示された撮像部3と同様な機能を奏するものである。
以上のような本発明の実施の形態1に係る偽ウェブページ判別装置及び偽ウェブページ判別方法によれば、上記識別子が偽のウィンドウに表示されている場合や、上記識別子を含む真正なウィンドウのコピーが偽のウェブページに貼付されている場合を判別することができるため、中間者攻撃に対する脆弱性を解消することができる。
従って、本実施の形態1に係る偽ウェブページ判別装置や偽ウェブページ判別方法は、スマートフォン上で実行されるアプリケーションと共に、ソーシャル・ネットワーキング・サービスや電子商取引サイト、インターネットバンキング、電子政府などのログインを要する情報システムに適用することができる。
より具体的には、例えば、パーソナルコンピュータ(PC)でソーシャル・ネットワーキング・サービスや電子商取引サイト等を提供する際に、ユーザに対し、ログイン時にパスワードを入力させる替わりに、本実施の形態1に係る偽ウェブページ判別装置を搭載したスマートフォンで識別子を含むPC画面の全体を撮影させ、撮影された画面中の識別子が真正なウェブサイトのウェブページ上に表示されていると判別された場合に上記識別子に含まれるセッションIDを当該スマートフォンから認証サーバへ送信することによってログイン処理を実行すると共に、撮影された画面中の識別子が偽のウェブサイトのウェブページ上に表示されていると判別された場合にはログイン処理を中止することにより、パスワードを用いることなく安全に当該ログインを完了させることができる。
また、PCでインターネットバンキングや電子政府等のより厳格なユーザ認証を必要とするサービスを提供する際には、上記と同様に、ユーザに対し、ログイン時にパスワードを入力させる替わりに、本実施の形態1に係る偽ウェブページ判別装置を搭載したスマートフォンで識別子を含むPC画面全体を撮影させ、真正なウェブサイトのウェブページ上に表示されていると判別された場合において、スマートフォンでさらに別のユーザ認証処理を行うこととし、当該認証処理が成功した場合に限り、上記と同様のセッションIDの送信を行ってログイン処理を実行することにより、ログインをさらに安全に完了させるようにすることもできる。ここで、別のユーザ認証処理の方法としては、スマートフォンが備えている指紋認証その生体認証機能を用いる方法のほか、スマートフォンのNFC機能を用いてマイナンバーカードを読み取ることでユーザの本人確認を行う方法も考えられる。
なお、ウェブサイトのログインは通常、パスワード認証が用いられているが、弱いパスワードを使用する利用者が多い一方、他のウェブサイトで漏洩したパスワードが不正に用いられるというリスト型攻撃も流行していることから、パスワード認証に代わる認証法が求められており、ワンタイムパスワード生成トークンなどが用いられてきた。
しかし、この場合は専用のトークンを持ち歩く必要があり、使用する際にユーザが数字を読み取ってPC等へ入力する必要があるなど、煩雑な作業が必要で利便性を損なうものである。
これに比して、QRコード(登録商標)を用いたログイン方式は、パスワードを使用する必要がなく、広く普及しているスマートフォンを用いて簡単な操作でログインができる点が優れており、本発明の実施の形態1に係る偽ウェブページ判別装置及び偽ウェブページ判別方法を適用することによって、本方式が有する中間者攻撃に対する脆弱性も克服されるため、安全性と利便性の双方を実現できることになる。
なお、本発明の実施の形態1に係る偽ウェブページ判別装置及び偽ウェブページ判別方法は、パスワードを使用した通常のユーザ認証と併用することによって、いわゆる2要素認証を実現することもできる。
また、本発明の実施の形態1に係る偽ウェブページ判別装置及び偽ウェブページ判別方法は、PCのウェブブラウザにおいて安全なログインを実現する目的だけでなく、パスワードを入力する画面や、クレジットカード番号や個人情報を入力する画面において、ユーザが偽サイトでないかを確認する目的で利用することもできる。この場合は、撮影された画面中の識別子の表示されたウィンドウ又はフォーカスされたウィンドウが真正なウェブサイトを表示しているか否かをスマートフォン上に表示して、偽サイトでないかをユーザに伝えるものとされる。
[実施の形態2]
図5は、本発明の実施の形態2に係る偽ウェブページ判別システムの構成を示すブロック図である。図5に示されるように、実施の形態2に係る偽ウェブページ判別システムは、それぞれインターネット回線30に接続されたユーザ端末20とサーバ40からなるシステムとされる。
なお、図5においては、一つのサーバ40に対応してユーザ端末20は一つだけ図示されているが、一つのサーバ40に対してインターネット回線30に接続された複数のユーザ端末20が対応して動作するようにすることもできる。サーバ40は、インターネット回線30を介することによって、一つのユーザ端末20との間で行う動作を他のユーザ端末20との間においても同様に実現することができるからである。
また、ユーザ端末20は画像送信部22に接続された回線31、サーバ40は画像受信部42に接続された回線32によりそれぞれインターネット回線30に接続されるが、回線31,32は共に有線の他、無線であってもよい。
ここで、ユーザ端末20は相互接続された撮像部21と画像送信部22を含み、サーバ40はバス41と、それぞれバス41に接続された画像受信部42、ウィンドウ特定情報取得部43、アドレス特定情報取得部48、アドレス特定情報判別部44、偽ウィンドウ判別部45、通知部46、及び記憶部47を含む。
またそれぞれ、撮像部21は図1に示された撮像部3と、ウィンドウ特定情報取得部43は図1に示されたウィンドウ特定情報取得部4と、アドレス特定情報取得部48は図1に示されたアドレス特定情報取得部8と、アドレス特定情報判別部44は図1に示されたアドレス特定情報判別部5と、偽ウィンドウ判別部45は図1に示された偽ウィンドウ判別部6と、同様な構成及び機能を有する。
また、画像送信部22は、回線31,32及びインターネット回線30を介して撮像部21により撮像された画像を画像受信部42に送信し、画像受信部42は、受信した画像を記憶部47に保存する。
また、通知部46は、アドレス特定情報判別部44によりウィンドウ特定情報が真正なウィンドウを特定するものでないと判別された場合、若しくは、偽ウィンドウ判別部45により上記識別子を含むウィンドウがコピーされた画像からなるものであると判別された場合には、バス41、回線31,32及びインターネット回線31を介して、ユーザ端末20へ当該ウェブページは真正なものでないことを通知する。
上記のような構成及び機能を有する本発明の実施の形態2に係る偽ウェブページ判別システムは、図2に示された実施の形態1に係る偽ウェブページ判別方法におけるステップS1をユーザ端末20で実行し、ステップS2及びステップS3をサーバ40で実行するものであって、識別子を含むウィンドウが真正なウェブページに掲載されたものか否かの判別結果をサーバ40の通知部46からユーザ端末20へ通知するものである。
なお、かかる機能は、図2に示されたステップS1の手順をインターネット回線30に接続されたユーザ端末に処理させ、ステップS2からステップS4の手順をインターネット回線30に接続されたサーバに処理させるプログラムを生成し、本プログラムを当該サーバ、又は当該サーバ及びユーザ端末の双方に含まれるプロセッサで分担して実行することによっても、実現することができる。
以上より、本発明の実施の形態2に係る偽ウェブページ判別システムによれば、全体として上記実施の形態1に係る偽ウェブページ判別装置や偽ウェブページ判別方法と同様な効果を得ながら、各ユーザが直接手にするユーザ端末20の構成を大幅に簡素化することができる。
1 偽ウェブページ判別装置
3,12,21 撮像部
4,43 ウィンドウ特定情報取得部
5,44 アドレス特定情報判別部
6,45 偽ウィンドウ判別部
7,14,47 記憶部
8,48 アドレス特定情報取得部
13 CPU、20 ユーザ端末
22 画像送信部
40 サーバ
42 画像受信部
46 通知部
W0 全体画面
W1〜W2 ウィンドウ
A2 アドレスバー
B 背景
C QRコード(登録商標)

Claims (16)

  1. 表示されたウェブページを含む画面が映し出されたコンピュータのディスプレイを撮像するための撮像手段と、
    前記撮像手段により撮像された前記画面を示す画像から、前記ウェブページを表示しているブラウザウィンドウの表示領域を特定するウィンドウ特定情報を取得するウィンドウ特定情報取得手段と、
    前記ウィンドウ特定情報取得手段により取得された前記ウィンドウ特定情報を用いて、前記ウェブページのアドレス特定情報を取得するアドレス特定情報取得手段と、
    前記アドレス特定情報取得手段により取得されたアドレス特定情報が真正なウェブサイトのウェブページを特定するものであるか否かを判別するアドレス特定情報判別手段と、
    前記アドレス特定情報判別手段により前記アドレス特定情報が真正なウェブサイトのウェブページを特定するものであると判別された場合に前記ウィンドウ特定情報が偽造された画像から導出されたものであるか否かを判別する偽ウィンドウ判別手段を備えた偽ウェブページ判別装置。
  2. ブラウザの種類に対応した前記ブラウザウィンドウの各様式を予め記憶する記憶手段をさらに備え、
    前記ウィンドウ特定情報取得手段は、前記画像に示された前記画面の様式と前記記憶手段に記憶された前記各様式との照合結果に応じて、前記ウィンドウ特定情報を取得する請求項1に記載の偽ウェブページ判別装置。
  3. 前記撮像手段は、前記画面と共に前記画面の背景を撮像することにより、前記画面の全体が撮像されていることを確認する請求項1に記載の偽ウェブページ判別装置。
  4. 前記真正なウェブサイトのウェブページを特定する真正アドレス特定情報を予め記憶する記憶手段をさらに備え、
    前記アドレス特定情報判別手段は、前記アドレス特定情報と前記真正アドレス特定情報との照合結果に応じて、前記アドレス特定情報が前記真正なウェブサイトのウェブページを特定するものであるか否かを判別する請求項1に記載の偽ウェブページ判別装置。
  5. 前記ウェブページにはデジタル署名が付された前記アドレス特定情報を含む識別子が表示され、
    前記アドレス特定情報判別手段は、真正な前記デジタル署名が付された前記アドレス特定情報を抽出し、抽出された前記アドレス特定情報を前記アドレス特定情報取得手段により取得された前記アドレス特定情報と照合することにより、前記アドレス特定情報取得手段により取得された前記アドレス特定情報が真正なウィンドウを特定するものであるか否かを判別する請求項1に記載の偽ウェブページ判別装置。
  6. 相互に通信するサーバとユーザ端末を備え、
    前記ユーザ端末は、表示されたウェブページを含む画面が映し出されたコンピュータのディスプレイを撮像するための撮像手段と、
    前記撮像手段により撮像された前記画面を示す画像を前記サーバへ送信する画像送信手段とを含み、
    前記サーバは、前記画像送信手段により送信された画像を受信する画像受信手段と、
    前記画像受信手段により受信された画像から、前記ウェブページを表示しているブラウザウィンドウの表示領域を特定するウィンドウ特定情報を取得するウィンドウ特定情報取得手段と、
    前記ウィンドウ特定情報取得手段により取得された前記ウィンドウ特定情報を用いて、前記ウェブページのアドレス特定情報を取得するアドレス特定情報取得手段と、
    前記アドレス特定情報取得手段により取得された前記アドレス特定情報が真正なウェブサイトのウェブページを特定するものであるか否かを判別するアドレス特定情報判別手段と、
    前記アドレス特定情報判別手段により前記アドレス特定情報が真正なウェブサイトのウェブページを特定するものであると判別された場合に前記ウィンドウ特定情報が偽造された画像から導出されたものであるか否かを判別する偽ウィンドウ判別手段と、
    前記アドレス特定情報判別手段により前記アドレス特定情報が真正なウェブサイトのウェブページを特定するものでないと判別された場合、若しくは、前記偽ウィンドウ判別手段により前記ウィンドウ特定情報が偽造された画像から導出されたものであると判別された場合に前記ユーザ端末へ前記ブラウザウィンドウが表示中のウェブページは真正なものでないことを通知する通知手段とを含む偽ウェブページ判別システム。
  7. 前記サーバは、ブラウザの種類に対応した前記ブラウザウィンドウの各様式を予め記憶する記憶手段をさらに備え、
    前記ウィンドウ特定情報取得手段は、前記画像に示された前記画面の様式と前記記憶手段に記憶された前記各様式との照合結果に応じて、前記ウィンドウ特定情報を取得する請求項6に記載の偽ウェブページ判別システム。
  8. 前記撮像手段は、前記画面と共に前記画面の背景を撮像することにより、前記画面の全体が撮像されていることを確認する請求項6に記載の偽ウェブページ判別システム。
  9. 前記サーバは、前記真正なウェブサイトのウェブページを特定する真正アドレス特定情報を予め記憶する記憶手段をさらに備え、
    前記アドレス特定情報判別手段は、前記アドレス特定情報と前記真正アドレス特定情報との照合結果に応じて、前記アドレス特定情報が前記真正なウェブサイトのウェブページを特定するものであるか否かを判別する請求項6に記載の偽ウェブページ判別システム。
  10. 前記ウェブページにはデジタル署名が付された前記アドレス特定情報を含む識別子が表示され、
    前記アドレス特定情報判別手段は、真正な前記デジタル署名が付された前記アドレス特定情報を抽出し、抽出された前記アドレス特定情報を前記アドレス特定情報取得手段により取得された前記アドレス特定情報と照合することにより、前記アドレス特定情報取得手段により取得された前記アドレス特定情報が真正なウィンドウを特定するものであるか否かを判別する請求項6に記載の偽ウェブページ判別システム。
  11. 表示されたウェブページを含む画面が映し出されたコンピュータのディスプレイの画像から、前記ウェブページを表示しているブラウザウィンドウの表示領域を特定するウィンドウ特定情報を取得する第一のステップと、
    前記第一のステップで取得された前記ウィンドウ特定情報を用いて、前記ウェブページのアドレス特定情報を取得する第二のステップと、
    前記第二のステップで取得された前記アドレス特定情報が真正なウェブサイトのウェブページを特定するものであるか否かを判別する第三のステップと、
    前記第三のステップにおいて前記アドレス特定情報が真正なウェブサイトのウェブページを特定するものであると判別された場合に前記ウィンドウ特定情報が偽造された画像から導出されたものであるか否かを判別する第四のステップとを有する偽ウェブページ判別方法。
  12. 前記第一のステップでは、前記画像に示された前記画面の様式とブラウザの種類に対応した前記ブラウザウィンドウの各様式との照合結果に応じて、前記ウィンドウ特定情報を取得する請求項11に記載の偽ウェブページ判別方法。
  13. 前記第一のステップでは、前記画面と共に前記画面の背景を撮像することによって前記画面の全体が撮像されていることが確認された前記画像から前記ウィンドウ特定情報を取得する請求項11に記載の偽ウェブページ判別方法。
  14. 前記第二のステップでは、前記第一のステップで取得された前記アドレス特定情報と前記真正アドレス特定情報との照合結果に応じて、前記アドレス特定情報が前記真正なウェブサイトのウェブページを特定するものであるか否かを判別する請求項11に記載の偽ウェブページ判別方法。
  15. 前記ウェブページにはデジタル署名が付された前記アドレス特定情報を含む識別子が表示され、
    前記第二のステップでは、真正な前記デジタル署名が付された前記アドレス特定情報を抽出し、抽出された前記アドレス特定情報を前記第二のステップで取得された前記アドレス特定情報と照合することにより、前記第二のステップで取得された前記アドレス特定情報が真正なウィンドウを特定するものであるか否かを判別する請求項11に記載の偽ウェブページ判別方法。
  16. コンピュータに、表示されたウェブページを含む画面が映し出されたコンピュータのディスプレイの画像から、前記ウェブページを表示しているブラウザウィンドウの表示領域を特定するウィンドウ特定情報を取得させる第一の手順と、
    前記第一の手順で取得されたウィンドウ特定情報を用いて、前記ウェブページのアドレス特定情報を取得させる第二の手順と、
    前記第二の手順で取得された前記アドレス特定情報が真正なウェブサイトのウェブページを特定するものであるか否かを判別させる第三の手順と、
    前記第三の手順において前記アドレス特定情報が真正なウェブサイトのウェブページを特定するものであると判別された場合に前記ウィンドウ特定情報が偽造された画像から導出されたものであるか否かを判別させる第四の手順とを実行させる偽ウェブページ判別プログラム。
JP2018543857A 2016-10-07 2017-09-27 偽ウェブページ判別装置、偽ウェブページ判別システム、偽ウェブページ判別方法及び偽ウェブページ判別プログラム Active JP6754971B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016199075 2016-10-07
JP2016199075 2016-10-07
PCT/JP2017/034925 WO2018066426A1 (ja) 2016-10-07 2017-09-27 偽ウェブページ判別装置、偽ウェブページ判別システム、偽ウェブページ判別方法及び偽ウェブページ判別プログラム

Publications (2)

Publication Number Publication Date
JPWO2018066426A1 true JPWO2018066426A1 (ja) 2019-06-24
JP6754971B2 JP6754971B2 (ja) 2020-09-16

Family

ID=61831320

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018543857A Active JP6754971B2 (ja) 2016-10-07 2017-09-27 偽ウェブページ判別装置、偽ウェブページ判別システム、偽ウェブページ判別方法及び偽ウェブページ判別プログラム

Country Status (2)

Country Link
JP (1) JP6754971B2 (ja)
WO (1) WO2018066426A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3247084B1 (en) 2016-05-17 2019-02-27 Nolve Developments S.L. Server and method for providing secure access to web-based services
JP7429146B2 (ja) * 2020-03-31 2024-02-07 株式会社日本総合研究所 金融機関に対して口座情報を通報する通報システム及び方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009087226A (ja) * 2007-10-02 2009-04-23 Kddi Corp ウェブサイト判定装置およびウェブサイト判定プログラム
JP2010516007A (ja) * 2007-01-16 2010-05-13 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ不正行為を検出するための方法及び装置
JP2015088184A (ja) * 2013-09-27 2015-05-07 大日本印刷株式会社 取引システム及びプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010516007A (ja) * 2007-01-16 2010-05-13 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ不正行為を検出するための方法及び装置
JP2009087226A (ja) * 2007-10-02 2009-04-23 Kddi Corp ウェブサイト判定装置およびウェブサイト判定プログラム
JP2015088184A (ja) * 2013-09-27 2015-05-07 大日本印刷株式会社 取引システム及びプログラム

Also Published As

Publication number Publication date
JP6754971B2 (ja) 2020-09-16
WO2018066426A1 (ja) 2018-04-12

Similar Documents

Publication Publication Date Title
JP6653268B2 (ja) 異なるチャネル上で強力な認証イベントを伝えるシステム及び方法
EP3138265B1 (en) Enhanced security for registration of authentication devices
CN104468531B (zh) 敏感数据的授权方法、装置和系统
US10339366B2 (en) System and method for facial recognition
US20230262057A1 (en) Systems and methods for authenticating users within a computing or access control environment
US10735436B1 (en) Dynamic display capture to verify encoded visual codes and network address information
CN112819475A (zh) 信息处理方法、装置、电子设备、服务器及介质
US20090138950A1 (en) Two-factor anti-phishing authentication systems and methods
KR20210142180A (ko) 효율적인 챌린지-응답 인증을 위한 시스템 및 방법
EP4231219A1 (en) Authenticating a transaction
KR101940310B1 (ko) 웹 사이트 검증 장치 및 그 방법
KR101027228B1 (ko) 인터넷 보안을 위한 본인인증 장치, 그 방법 및 이를 기록한 기록매체
JP6754971B2 (ja) 偽ウェブページ判別装置、偽ウェブページ判別システム、偽ウェブページ判別方法及び偽ウェブページ判別プログラム
US9104856B2 (en) System and method for computer authentication with user modification of an image using a shared secret
CN112565172B (zh) 控制方法、信息处理设备以及信息处理系统
KR101654797B1 (ko) 피싱 대응 상호 작용 캡차 시스템
JP6488613B2 (ja) 取引システム及びプログラム
CN111200591A (zh) 多重人机验证方法、装置、设备和存储介质
JP4022781B1 (ja) パスワード管理装置、マルチログインシステム、Webサービスシステム、及びこれらの方法
Sun et al. Let Your Camera See for You: A Novel Two-Factor Authentication Method against Real-Time Phishing Attacks
KR101674314B1 (ko) Captcha를 이용한 일회성 보안 문자 인증 방법
US20240046709A1 (en) System and method for liveness verification
KR20220116483A (ko) 악성 프로그램 코드 주입으로부터의 보호를 위한 시스템 및 방법
Johansen et al. Offpad: Offline personal authenticating device: implementations and applications
JP2008176762A (ja) クライアント装置及びその方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200522

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200707

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200804

R150 Certificate of patent or registration of utility model

Ref document number: 6754971

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250