WO2017191719A1

WO2017191719A1 - サービス提供システム、サービス提供方法、照合装置、照合方法及びコンピュータプログラム

Info

Publication number: WO2017191719A1
Application number: PCT/JP2017/013192
Authority: WO
Inventors: 敦好島津
Original assignee: 株式会社カウリス
Priority date: 2016-05-03
Filing date: 2017-03-30
Publication date: 2017-11-09
Also published as: JP6347557B2; JP2017201466A; TWI718291B; TW201741920A; US20190149540A1

Abstract

不正アクセスであるとの可能性がある情報をブラックリストとしてデータベース化し、同様の不正アクセスを効率的に検出することが可能なシステムを実現する。　ユーザに対して所定のサービスを提供するサービス提供システムにおいて、サービスを提供するサーバ部と、正規のユーザか否かを判断する認証サーバ部と、を備え、サーバ部は、ユーザの情報を認証サーバ部に提供し、正規のユーザであると判断したユーザにサービスの提供を実行するサービス提供手段と、ユーザのサーバ部に対する動作の情報を、照合装置に送信する送信手段と、を含み、認証サーバ部は、ユーザの情報に基づきユーザが正規のユーザか否か判断する判断手段と、照合装置から、ユーザが正規のユーザではない指標を受信する受信手段と、を含むことを特徴とする。

Description

サービス提供システム、サービス提供方法、照合装置、照合方法及びコンピュータプログラム

　本発明は、ユーザに対して所定のサービスを提供するサービス提供システム・提供方法に関する。また、当該サービス提供システムがユーザの認証に利用する照合装置・照合方法に関する。さらに、これら装置に関連するコンピュータプログラムに関する。

　従来、インターネットなどのネットワーク上でユーザに対して種々のサービスを提供するＷｅｂサイト（サービス提供システム）が知られている。

　このＷｅｂサイトを利用したいユーザは、与えられているＩＤとパスワートを用いて、Ｗｅｂサイトにアクセス・ログインを行い、Ｗｅｂサイトを利用して所望のサービスを受けることができる。

　例えば、ショッピングモールのＷｅｂサイトを利用するユーザは、ＩＤとパスワードを利用してそのＷｅｂサイトにログインし、そのＷｅｂサイトが提供する各ページを移動し、所望の商品を見つけることができたページで商品の購入を実行することができる。

　従来のＷｅｂサイトにおいては、正規のユーザのみが利用可能にするために、ＩＤとパスワードが利用される場合が多い。このＩＤとパスワードとを利用することによって、いわゆる悪意の侵入者を排除することができ、円滑なサービスの利用を図ることができると考えられている。

　＜悪意のアクセス＞
　しかし、近年、悪意のある第三者が不正な手段を用いて他人のＩＤとパスワードとを入手する事件が報告されている。このように悪意のある第三者が（正規のユーザである）他人のＩＤとパスワードを用いて、Ｗｅｂサイトにログインした場合、そのＩＤとパスワードだけでは、そのログイン者が、正規のユーザか、悪意のある第三者かを区別することは困難である。

　そこで、近年、正規のユーザが実行するログイン以降の動作の情報を記録しておき、ホワイトリストとしてデータベース化しておく仕組みが知られている。ここで、記録する動作の情報としては、例えば、下記のような情報が好ましい。

　・ＯＳ
　・ブラウザ
　・言語
　・ＩＰアドレス（アクセスを実行しているユーザの地理的な位置を表す）
　・時間（アクセスした時刻）
これらの情報を記録し、いわゆるホワイトリスト（ＷｈｉｔｅＬｉｓｔ）としてデータベースを構築しておけば、ログインしてきたユーザがいつもと異なる動作をとっていることを検知することが可能である。このように、いつもと異なる動作をとるユーザに対しては、悪意のある第三者ではないことを確認するため、追加認証を実行することが好ましい。例えば、ユーザの携帯電話やスマートホン等に対して、「現在貴方のＩＤを用いて以下のＷｅｂサイトへのアクセスが行われています。このアクセスは貴方自身によるものですか。そうでない場合は、ＮＯボタンを押下（タッチ）してください」というメッセージを送り、「ＮＯボタン」が押された（タッチされた）場合は、正規のユーザではなく、悪意のある第三者がアクセスしていると判断することができる。そして、直ちに当該ユーザのアクセスを切断する処理をとることができる。

　例えば、いつもとは別の場所（ＩＰアドレス）からアクセスされた場合や、いつもとは異なるパソコン（ＯＳ、ブラウザ）からアクセスされた場合等が挙げられる。このような場合に、追加認証が実行されて、正規のユーザか否かが確認される（本人確認とも呼ばれる）。
　また、ホワイトリストは、当該正規のユーザによる過去の数１０回程度のアクセスに基づき構築される場合が多いが、より少ない場合もあり（数回）、またより多い場合（数１００回）もある。さらに、ホワイトリストは、正規のユーザがアクセスする度に新しい情報と置き換えられ、更新されるように構成される場合もある。

　先行特許文献
　例えば、下記特許文献１には、ホワイトリストと、ブラックリストとを用いて、コンテンツの情報を検索する装置が開示されている。両リストを用いることによって、プライバシーが保護されると同文献には記載されている。

　また、例えば、下記特許文献２には、ホワイトリストと、ブラックリストとを用いて、Ｗｅｂサイトへのアクセスを制御するアクセス制御システムが開示されている。

特開２０１２－１５９９３９号公報特開２０１１－３１３２号公報

　このように、従来のＷｅｂサイトにおいては、正規のユーザのアクセスの動作の情報をホワイトリストとして記録しておき、このホワイトリストと大きく異なる動作をとるユーザに対しては適宜追加認証を行っていた。

　しかし、悪意のある第三者は、当然巧妙に正規のユーザ本人になりすましているので、それを見破ることは一般に困難であることもある。したがって、セキュリティ担当者の経験則によって対処している場合も多い。例えば、金融機関のＷｅｂサイトにおける預金口座からの引き出し限度額一杯の預金の引き出しは、悪意のある第三者である可能性が高い等の経験則に頼り、悪意のある第三者を発見している場合もある。

　さらに、ＩＤやパスワードは、複数のＷｅｂサイトに対して、共通のＩＤとパスワードが用いられる場合も多い。この場合、１組のＩＤ及びパスワードが不正に悪意のある第三者に取得されてしまった場合、複数のＷｅｂサイトに対して連続して不正なアクセスが実行されてしまう場合も散見される。
　このような場合、ある一つのＷｅｂサイトへの不正アクセスが検出された場合に、その情報を他のＷｅｂサイトの事業者に提供することが、上述した共通のＩＤとパスワードを利用することによる連続した不正アクセスを防ぐために効果的であると考えられる。

　しかし、そのような仕組みは未だ十分には実現されていない。例えば、そのような不正アクセスに関する情報としてどのような情報が有効か確定したルールが構築されていない。また、不正アクセスであるとの認定手法が世の中において十分に確立されたているとは言い難い。さらに、例えばあるＩＰアドレスが、不正アクセスに用いられたとしても、当該ＩＰアドレスが常に不正アクセスに用いられるわけではない。

　本発明は、かかる課題に鑑みなされたものであり、その目的は、不正アクセスであるとの可能性がある情報をブラックリストとしてデータベース化し、同様の不正アクセスを効率的に検出することが可能なシステムを実現することである。さらに、そのシステムを実現するための関連する装置、方法、コンピュータプログラムを提供することも本発明の目的である。

　（１）本発明は、上記課題を解決するために、ユーザに対して所定のサービスを提供するサービス提供システムにおいて、前記ユーザに対して所定のサービスを提供するサーバ部と、前記ユーザが正規のユーザか否かを判断する認証サーバ部と、を備え、前記サーバ部は、前記ユーザの情報を前記認証サーバ部に提供し、前記認証サーバ部が正規のユーザであると判断した前記ユーザに対して前記所定のサービスの提供を実行するサービス提供手段と、前記ユーザの前記サーバ部に対する動作の情報を、外部の照合装置に送信する送信手段と、を含み、前記認証サーバ部は、前記ユーザの情報を前記サーバ部から受信し、前記ユーザが正規のユーザか否か判断する判断手段と、前記外部の照合装置から、前記ユーザが正規のユーザではない指標を受信する受信手段と、を含み、前記ユーザが正規のユーザではない指標を取得することができることを特徴とするサービス提供システムである。

　（２）また、本発明は、（１）記載のサービス提供システムにおいて、前記認証サーバ部は、さらに、前記受信手段が受信した前記指標に基づき、前記ユーザが正規のユーザではない確率が所定の閾値以上であると判断される場合に、前記サーバ部に対して、前記ユーザに対して正規のユーザであるか否か確認する確認処理を実行する指示を出す確認指示手段、を含み、前記サーバ部の前記サービス提供手段は、前記確認処理を実行する指示を受信した場合に、前記ユーザに対して確認処理を実行することを特徴とするサービス提供システムである。

　（３）また、本発明は、（１）または（２）記載のサービス提供システムにおいて、前記サービス提供手段が、前記確認処理の結果、前記ユーザが正規のユーザではないと判断した場合に、前記送信手段は、前記外部の照合装置に対して、前記ユーザが正規のユーザではない旨を送信することを特徴とするサービス提供システムである。

　（４）本発明は、上記課題を解決するために、ユーザの動作の情報に基づき、前記ユーザが正規のユーザではない指標を求める照合装置において、外部のサービス提供システムから、ユーザの動作の情報を受信する通信手段と、正規のユーザではないと判断された前記ユーザの動作の情報を記録したブラックリストデータベースと、前記受信手段が受信した前記ユーザの動作の情報と、前記ブラックリストデータベース中のデータを比較し、その近似の程度から、前記ユーザが正規のユーザではない指標を算出して送信するブラックリスト指標算出手段と、を含むことを特徴とする照合装置である。

　（５）また、本発明は、上記（４）記載の照合装置において、前記通信手段は、前記ユーザが正規のユーザではない指標を外部に送信することを特徴とする照合装置である。

　（６）また、本発明は、上記（４）または（５）記載の照合装置において、前記正規のユーザでない指標は、正規のユーザではない確率であることを特徴とする照合装置である。

　（７）また、本発明は、上記（４）から（６）のいずれか１項に記載の照合装置において、正規の前記ユーザの動作の情報を記録したホワイトリストデータベースと、前記受信手段が受信した前記ユーザの動作の情報が、前記ホワイトリストデータベース中のレコードに該当しないと判断された場合に、前記ブラックリストデータベースは、前記受信した前記ユーザの動作の情報を、前記ブラックリストデータベースに登録することを特徴とする照合装置である。

　（８）また、本発明は、上記（４）から（７）のいずれか１項に記載の照合装置において、前記受信手段が、前記ユーザが正規のユーザではない旨を受信した場合に、前記ブラックリストデータベースは、前記ブラックリストデータベース中の前記ユーザの動作の情報に、ブラック確定フラグを立たせることを特徴とする照合装置である。

　（９）また、本発明は、上記（８）記載の照合装置において、前記ブラックリスト指標算出手段は、前記受信手段が受信した前記ユーザの動作の情報と、前記ブラックリスト中のレコードとを比較し、その近似の程度の高い前記ブラックリスト中のレコードの前記ブラック確定フラグが立っている場合は、前記ユーザが正規のユーザでない指標をより高く算出して送信することを特徴とする照合装置である。

　（１０）本発明は、上記課題を解決するために、ユーザに対して所定のサービスを提供するサーバ部と、前記ユーザが正規のユーザか否かを判断する認証サーバ部と、を備えたサービス提供システムを用いて、前記ユーザに対して所定のサービスを提供するサービス提供方法において、前記サーバ部が、前記ユーザの情報を前記認証サーバ部に提供し、前記認証サーバ部が正規のユーザであると判断した前記ユーザに対して前記所定のサービスの提供を実行するサービス提供ステップと、前記サーバ部が、前記ユーザの前記サーバ部に対する動作の情報を、外部の照合装置に送信する送信ステップと、前記認証サーバ部が、前記ユーザの情報を前記サーバ部から受信し、前記ユーザが正規のユーザか否か判断する判断ステップと、前記認証サーバ部が、前記外部の照合装置から、前記ユーザが正規のユーザではない指標を受信する受信ステップと、を含むサービス提供方法である。

　（１１）本発明は、上記課題を解決するために、ユーザの動作の情報に基づき、前記ユーザが正規のユーザではない指標を求める照合方法において、前記ユーザの動作の情報を受信する通信ステップと、正規のユーザではないと判断された前記ユーザの動作の情報をブラックリストデータベースに記録するステップと、前記通信ステップにおいて受信した前記ユーザの動作の情報と、前記ブラックリストデータベース中のデータを比較し、その近似の程度から、前記ユーザが正規のユーザではない指標を算出して送信するブラックリスト指標算出ステップと、を含むことを特徴とする照合方法である。

　（１２）本発明は、上記課題を解決するために、コンピュータを、ユーザに対して所定のサービスを提供するサーバ部と、前記ユーザが正規のユーザか否かを判断する認証サーバ部と、を備えたサービス提供システムとして動作させるコンピュータプログラムにおいて、前記コンピュータに、前記サーバ部として、前記ユーザの情報を前記認証サーバ部に提供し、前記認証サーバ部が正規のユーザであると判断した前記ユーザに対して前記所定のサービスの提供を実行するサービス提供手順と、前記サーバ部として、前記ユーザの前記サーバ部に対する動作の情報を、外部の照合装置に送信する送信手順と、前記認証サーバ部として、前記ユーザの情報を前記サーバ部から受信し、前記ユーザが正規のユーザか否か判断する判断手順と、前記認証サーバ部として、前記外部の照合装置から、前記ユーザが正規のユーザではない指標を受信する受信手順と、を実行させることを特徴とするコンピュータプログラムである。

　（１３）本発明は、上記課題を解決するために、コンピュータを、ユーザの動作の情報に基づき、前記ユーザが正規のユーザではない指標を求める照合装置として動作させるコンピュータプログラムにおいて、前記コンピュータに、前記ユーザの動作の情報を受信する通信手順と、正規のユーザではないと判断された前記ユーザの動作の情報をブラックリストデータベースに記録する手順と、前記通信手順において受信した前記ユーザの動作の情報と、前記ブラックリストデータベース中のデータを比較し、その近似の程度から、前記ユーザが正規のユーザではない指標を算出して送信するブラックリスト指標算出手順と、を実行させることを特徴とするコンピュータプログラムである。

　このように、本発明によれば、ブラックリストデータベースを構築し、これに基づき、正規のユーザではない指標を提供しているので、正規のユーザではないと判断されたユーザによるアクセスをより効率的に検出することが可能となる。

本実施形態に係るＷｅｂサイト１０の構成の概要を説明する説明図である。本実施形態に係るホワイトリストデータベースの記録例と、ブラックリストデータベースの記録例を示す説明図である。本実施形態におけるＷｅｂサイト１０によるサービスの提供が行われる場合の処理の流れを示す全体構成図である。照合サーバ３４の構成ブロック図である。本実施形態に係るシステム全体の動作の流れを示すタイムチャートである。照合サーバ３４の動作を表すフローチャートである。照合サーバ３４の動作を表すフローチャートである。

　以下、本発明の好適な実施形態を図面に基づき説明する。

　第１．基本的考え方
　図１には、所定のサービス（例えばショッピングモール）をインターネット等のネットワークを介して提供するためのＷｅｂサイトの構成の概要を説明する説明図である。同図は、いわゆるサイトマップと呼ばれる図の１種である。

　以下、図１に示すＷｅｂサイト１０が、例えばショッピングモールを構成するものとして説明を行う。Ｗｅｂサイト１０は、まずＴｏｐページ１２を備えており、そのＴｏｐページからログインページ１４、商品ページ１６、会社概要ページ１８にリンクが張られており、移動することができる。ログインページ１４において、ユーザがそのＩＤとパスワードとを用いてログインをした後は、会員情報ページ２０、購入ページ２２、送金・ポイント交換ページ２４に移動することができる。
　このようなＷｅｂサイト１０において、ユーザは、例えば下記のような動作を実行する。

　（１）ユーザの動作及びホワイトリスト、ブラックリスト
　ショッピングモールを利用しようとするユーザは、まずＴｏｐページ１２にアクセスし、次に、商品ページ１６に移動して購入したい商品を閲覧する。購入したい商品が決定したユーザはログインページ１４に移動してＩＤとパスワードとを入力してログインする。その後、ユーザは購入ページ２２に移動して、商品購入手続きを実行する。ユーザは商品を購入した後、送金・ポイント交換ページ２４に移動し、これまでにたまったポイントと、そのポイントで交換可能な商品を確認してから、ログオフして、Ｗｅｂサイト１０の利用を終える。

　本実施形態においては、ユーザがこのような動作を実行した場合に、Ｗｅｂサイト１０は、このユーザの動作を記録しておき、ホワイトリストデータベースを構築している。記録されるユーザの動作としては、ページ遷移（ページ間の移動）の他、ユーザが用いているブラウザから取得できるユーザのＩＰアドレスや、使用している端末の種類、使用しているＯＳ、等が挙げられる。これらの動作を記録し、ホワイトリストデータベースを構築することにより、その「ユーザらしさ」をデータベース化することができる。

　このようなホワイトリストデータベースによれば、そのユーザの動作を、これまでのそのユーザの動作と比較照合することができ、ユーザがこれまでと同様の動作を実行しているのか、それとも、これまでにはない動作をしているか、を知ることが可能である。
　そして、Ｗｅｂサイト１０内におけるユーザのページ遷移等において、これまでのそのユーザとは異なる動作が検出された場合は、それに基づきホワイトリストデータベースではなく、いわゆるブラックリストデータベースに登録することもできる。ブラックリストデータベースは、正規のユーザではない恐れのある動作の情報を記録するデータベースである。その結果、ユーザに対して追加認証（リスクベース認証：Risk Based Authentication）を実行する等の対処をとることも可能である。そのユーザになりすました悪意のある第三者によるアクセスをブロックできる場合もある。
　この場合、悪意のある第三者とは、人間が自らキーボード等を用いてアクセスを実行している場合もあれば、また、コンピュータ等が機械的にそのユーザになりすましてアクセスを実行している場合もある。

　（２）ブラックリスト
　本実施形態において特徴的なことは、正規のユーザらしさをホワイトリストデータベースとして構築したことに加えて、このホワイトリストデータベースから外れた動作をブラックリストデータベースとしてデータベース化したことである。このようにデータベース化することによって、不正な「なりすまし」の動作の情報を保存、蓄積及び比較することができ、悪意のある第三者によるなりすまし等の不正なアクセスをより効率的に検知し、さらに排除できる可能性を向上させることができる。
　ここで、「外れた」とは、基本的には、その動作が、既存のホワイトリストデータベースに登録されているレコードとは近似しないデータを備えていることを言う。また、単にデータが近似している／近似していないだけでなく、特定のＩＰアドレスからのアクセスが１日１００回以上発生した場合等を「外れた」とみなす場合に含めてもよい。

　（３）ホワイトリストとブラックリストの内容
　本実施形態で構築するホワイトリストデータベースと、ブラックリストデータベースの内容の例を説明する。両者は記録する内容としてはほぼ同様である。ただし、ブラックリストデータベースには、後述するように、ホワイトリストデータベースにはないブラック確定フラグが各レコードに設けられている。次に述べる図２では、ブラック確定フラグについては省略して示されていない。ブラック確定フラグに関しては、後にその動作や機能を詳述する。

　図２には、正規のユーザの動作の情報を記録したホワイトリストデータベースの記録例と、その正規のユーザになりすました悪意のある第三者の動作の情報を記録したブラックリストデータベースの記録例を示す説明図が示されている。
　同図に示すように、ホワイトリストデータベース（およびブラックリストデータベース）に記録される内容は、５種類に分けられる。第１の種類の情報は、ユーザ情報であり、主としてＩＤとパスワードである。このユーザ情報は、動作の主体であるユーザ３０を特定する情報である。

　このユーザ情報は、ホワイトリストデータベースにもブラックリストデータベースにも記録されるが、ともにハッシュ化されたＩＤ、および、ハッシュ化されたパスワードが記録される。これは、データの量をコンパクトにして比較演算等を容易にするためであり、また、個人を完全に特定されてしまうことを防止し、個人情報の漏洩の可能性を減少させるためである。
　第２の種類の情報は、端末情報であり、ユーザがＷｅｂサイト１０にアクセスした際に用いた端末の情報であり、用いられる端末の種類とＯＳの種類等が記録される。また、使用言語に関する情報も記録される。第３の種類の情報は、ユーザが使用しているブラウザの情報である。このブラウザの情報も、使用する端末毎に記録される。使用するブラウザが複数種類ある場合も、複数のブラウザの情報が記録される。

　第４の種類の情報は、ユーザのＩＰアドレスである。このＩＰアドレスからユーザの位置を知ることができる。第５の種類の情報は、ページ遷移である。この情報は、図２に示すように、リファラーＵＲＬや、Ｗｅｂサイト１０上でどのようなページを閲覧したかを示す情報である。例えば、図２の例では、ホワイトリストデータベースの正規のユーザは、ログインした後、購入履歴ページで購入履歴を確認した後、ポイント確認ページを閲覧して利用可能なポイントを確認している。なお、ブラックリストデータベースの正規のユーザになりすました悪意のある第三者は、ログイン後、すぐにポイント交換ページに行き、ポイント交換をしようとしている。このように、Ｗｅｂサイト１０で閲覧するページが、正規のユーザとなりすました悪意のある第三者とでは大きく異なることが、経験的に知られている。

　さらに、ページ遷移の情報においては、Ｗｅｂサイト１０に滞在した時間も記録される。一般に正規のユーザと比較して、悪意のある第三者はＷｅｂサイト１０に滞在する時間が短いことが知られている。このような時間の情報としては、さらに、閲覧した各ページにおいて滞在した時間も記録しておくことが好ましい。

　なお、悪意のある第三者としては、人間である場合もあるし、正規のユーザになりすました機械（コンピュータ）である場合もある。このようなコンピュータが正規のユーザになりすましている場合は、Ｗｅｂサイト１０全体の滞在時間も、各ページに滞在する時間も非常に短い場合が多く、滞在時間に基づいて人間と区別することができる場合もある。また、文字入力のスピードが異常に早いことでも人間と区別することが可能な場合もある。

　図２に示す例では、理解を容易にするために、端末情報や、ブラウザの情報等において、正規のユーザと悪意のある第三者の動作が大きく異なる例を示したが、いずれか１種類の情報が大きく異なる場合においてもホワイトリストデータベースから「外れ」ていると判断してもよい。なお、このような判断基準は、さまざまな基準を用いてよい。このようにして、Ｗｅｂサイト１０にアクセスしてきたユーザ（になりすました第三者）の動作と、ホワイトリストデータベースに登録された動作の情報と、を比較して、ホワイトリストデータベースに登録されているデータと比べて「外れている」と判断された場合は、その動作の上記情報は、ブラックリストデータベースに登録される。

　ブラックリストデータベースが構築されている場合、ユーザ３０の動作の情報をそのブラックリストデータベース中の情報と比較して近似していれば、効率的に、当該ユーザが悪意のある第三者によるなりすましの確率が高いと判断することができる。

　ここで説明した記録内容は、一例であり、もっと多種多様な種類の情報を記録してもよい。また、ここで説明した記録内容は、標準的な例を示したものであり、より少ない種類の情報を用いてホワイトリストデータベースやブラックリストデータベースを構成してもよい。
　第２．本実施形態の具体的な構成
　（１）本実施形態におけるシステムの全体構成
　図３には、本実施形態におけるＷｅｂサイト１０によるサービスの提供が行われる処理の流れを示す全体構成図が示されている。同図に示すように、ユーザ３０と、事業者システム３２と、照合サーバ３４と、を備える構成上で本サービスの提供が行われる。これらの各構成は、インターネット等の通信ネットワークを介して相互に接続されており、情報や指示、メッセージ、後述するなりすまし確率等を相互に（または一方向で）送受信することができる。

　（２）ユーザ
　ユーザ３０は、Ｗｅｂサイト１０（例えばショッピングモール）にアクセスするユーザ３０であり、パソコンや携帯端末からＷｅｂサイト１０にアクセスする。ここでは、ユーザ３０が使用するパソコンや携帯端末を便宜上「ユーザ」３０と呼ぶ。
　ユーザ３０は、Ｗｅｂサイト１０にアクセスすると、ログインページにおいてＩＤとパスワードとを用いてログインを試みる。この動作は、図３中（１）で示されている。

　（３）事業者システム
　この事業者システム３２は、Ｗｅｂサイト１０を実現しているシステムであり、例えばショッピングモールを運営する事業者のシステムである。事業者システム３２は、Ｗｅｂサーバ３２ａと、認証サーバ３２ｂと、から構成されている。

　事業者システム３２は、請求の範囲のサービス提供システムの好適な一例に相当する。

　（３－１）Ｗｅｂサーバ
　Ｗｅｂサーバ３２ａは、Ｗｅｂサイト１０を提供するＷｅｂサーバである。当該Ｗｅｂサイト１０は、その動作は例えばＨＴＭＬ（Hyper Text Markup Language）によって記述されている。Ｗｅｂサーバ３２ａは、請求の範囲のサーバ部の好適な一例に相当する。
　本実施形態におけるＷｅｂサーバ３２ａは、大別して２種類の機能（手段）を備えている。それぞれが、それらの機能を記述するプログラムと、そのプログラムを実行するＷｅｂサーバ３２ａのＣＰＵ（又はプロセッサ）と、から各機能が実現されている。

　サービス提供機能
　まず、Ｗｅｂサーバ３２ａは、ユーザ３０にＷｅｂサイトのサービスを提供するためのサービス提供機能を備えている。この機能は、通常のＷｅｂサイトを提供する機能であり、Ｗｅｂサーバ３２ａのＣＰＵ等がＷｅｂサーバプログラムを実行することによって実現されている。そのＷｅｂサイト１０の具体的な構成・機能は、例えばＨＴＭＬ等で記述されていてよい。また、このサービス提供機能は、ユーザ３０が入力したＩＤとパスワードとを認証サーバ３２ｂに送信する機能も含んでいる（図３中、（２）で示される）。

　また、このサービス提供機能は、ユーザ３０に対して追加認証の処理を実行した場合に、次に述べる送信機能に対して、その結果の送信を指示する。
　このサービス提供機能は、請求の範囲のサービス提供手段の好適な一例に相当する。

　送信機能
　また、本実施形態におけるＷｅｂサーバ３２ａは、ユーザ３０がＷｅｂサイト１０に対して実行した動作の情報を、外部の照合サーバ３４に送信する送信機能を備えている。この送信機能による送信の動作は、図３中（３）で示されている。

　この送信機能は、例えば、Ｗｅｂサイト１０の構成・機能を記述する上記ＨＴＭＬ中に所定のプログラムを記述しておくことによって実現することが好ましい。また、例えば、送信の機能を記述したＪａｖａＳｃｒｉｐｔ（登録商標）を、このＨＴＭＬファイル中に埋め込んで、送信機能を実現することも好適である。

　また、送信機能は、サービス提供機能から、追加認証を実行した結果の送信を指示された場合、追加認証の結果を、外部の照合サーバ３４に送信する。特に、サービス提供機能が追加認証の結果、ユーザ３０が正規のユーザではないと判断した場合に、照合サーバ３４に対して、ユーザが正規のユーザではない旨を送信する。

　この送信機能は、請求の範囲の送信手段の好適な一例に相当する。

　このように、Ｗｅｂサーバ３２ａは、ユーザ３０へのサービスを提供することや、ユーザの認証に関する処理を行うサービス提供機能（サービス提供手段）と、照合サーバ３４に対して所定の情報やメッセージを送信する送信機能（送信手段）と、を備えている。

　したがって、外部の照合サーバ３４は、Ｗｅｂサーバ３２ａが送信機能を用いて送信してきたユーザ３０の動作の情報に基づいてホワイトリストデータベースや、ブラックリストデータベースを構築することができる。

　（３－２）認証サーバ
　認証サーバ３２ｂは、ユーザ３０の認証動作や、認証動作の実行を判断する。この認証サーバ３２ｂは、請求の範囲の認証サーバ部の好適な一例に相当する。

　本実施形態における認証サーバ３２ｂは、大別して３種類の機能（手段）を備えている。それぞれが、それらの機能を記述するプログラムと、そのプログラムを実行する認証サーバ３２ｂのＣＰＵ（又はプロセッサ）と、から各機能が実現されている。

　判断機能
　まず、認証サーバ３２ｂは、Ｗｅｂサーバ３２ａから送信されてきたユーザ３０のＩＤとパスワードに基づき、そのユーザ３０が正規のユーザであるか否かを判断し、その判断結果（認証結果）をＷｅｂサーバ３２ａに返す機能（判断手段）を備えている。この動作は、図３中、（６）で表されている。この判断機能は、判断処理を実行するプログラムと、このプログラムを実行する認証サーバ３２ｂのＣＰＵ（又はプロセッサ）とから構成されている。そして、Ｗｅｂサーバ３２ａは、認証サーバ３２ｂの認証結果に基づき、ユーザ３０のログインを認める、又は、拒否する等の動作を実行する。
　この判断機能は、請求の範囲の判断手段の好適な一例に相当する。
　さらに、認証サーバ３２ｂの判断機能は、Ｗｅｂサーバ３２ａから受信した上記ＩＤをハッシュ化し、このハッシュ化ＩＤを、外部の照合サーバ３４に送信する機能を含んでいる。この動作は、図３中、（４）で示される。この結果、照合サーバ３４は、当該ＩＤと、Ｗｅｂサーバ３２ａから提供されたユーザの動作情報と、に基づいて、正規のユーザの動作の情報を記録したホワイトリストデータベース等を構築することができる。

　受信機能
　また、認証サーバ３２ｂは、外部の照合サーバ３４から、ユーザの動作情報に基づく、ユーザ３０が悪意のある第三者によるなりすましである確率（「なりすまし確率」と称する）を適宜受信する機能を備えている。この受信の動作は、図３中、（５）で示されている。この受信機能は、照合サーバ３４との通信のための通信インターフェースと、通信インターフェースを制御するためのプログラムと、そのプログラムを実行する認証サーバ３２ｂのＰＣＵ（又はプロセッサ）とから実現されている。

　ここで、「なりすまし確率」とは、要するに、ユーザ３０が正規のユーザではない確率、すなわち正規のユーザになりすました悪意のある第三者や、正規のユーザになりすました機械（コンピュータ、ロボット等）である確率である。
　なお、本実施形態では、「確率」を用いているが、確率を示すような指標であれば同様に利用することができる。例えば、確率（０～１の実数）の代わりに０～２５５の数値で正規のユーザではない程度を示してもよい。また、正規のユーザではない程度を「大」「中」「小」で表すような指標を利用してもよい。その他、正規のユーザではない程度を示す指標であればどのような指標でも利用することができる。

　確認指示機能
　認証サーバ３２ｂは、受信機能が受信したなりすまし確率に基づいて、そのユーザ３０に追加認証が必要かどうかを判断する。そして、追加認証が必要であると判断される場合は、認証サーバ３２ｂは、追加認証の指示をＷｅｂサーバ３２ａに送信する確認指示機能を備えている。この追加認証の指示は、図３中、（７）で示されている。この確認指示機能も、なりすまし確率と所定の閾値とを比較し、塚認証が必要か否かを判断するプログラムと、そのプログラムを実行するＣＰＵ等と、から構成される。

　また、この確認指示機能は、請求の範囲の確認指示手段の好適な一例に相当する。そして、追加認証の指示は、請求の範囲の確認処理を実行する指示の好適な一例に相当する。

　Ｗｅｂサーバ３２ａのサービス提供機能は、追加認証の指示を受信した場合、ユーザ３０に対して追加認証を実行する。追加認証は、種々の方法を利用することができる。正規のユーザ３０の携帯端末に、「現在貴方のＩＤを用いてＷｅｂサイト１０へのアクセスが行われています。このアクセスが貴方によるものでない場合は、不正のボタンを押下（又はタッチ）してください」等のメッセージを送信する。これに対して不正のボタンが押下（又はタッチ）された場合は、現在Ｗｅｂサイト１０にアクセスしているのは悪意のある第三者によるなりすましであると判断することができ、アクセスを切断することができる。

　（３－３）照合サーバ
　照合サーバ３４は、Ｗｅｂサーバ３２ａが送信してくるユーザ３０の動作の情報を受信し、記録することによって、ホワイトリストデータベースを構築する。本実施形態において特徴的なことは、ユーザ３０の動作の情報が、ホワイトリストデータベース中のレコードとは近似していない場合（近似するレコードがない場合）に、悪意のある第三者によるなりすましの可能性があると判断し、その動作の情報をブラックリストデータベースに登録することである。

　照合サーバ３４は、これらホワイトリストデータベースと、ブラックリストデータベースを用いて、Ｗｅｂサーバ３２ａが送信してくるユーザ３０の動作の情報（図３中（３））に基づき、そのユーザ３０が正規のユーザではない確率を算出し、認証サーバ３２ｂに送信する（図３中（５）で示される）。照合サーバ３４は、請求の範囲の照合装置の好適な一例に相当する。

　（３－３ａ）照合サーバ３４の構成
　照合サーバ３４の構成ブロック図が図４に示されている。照合サーバ３４は、通信手段３４ａと、ホワイトリストデータベース３４ｂと、ブラックリストデータベース３４ｃと、確率算出手段３４ｄと、を備えている。

　通信手段
　通信手段３４ａは、事業者システム３２との間で情報や指示の送受信を行う手段であり、インターネット等の通信ネットワークを介して、図３で示すように、Ｗｅｂサーバ３２ａが送信してくるユーザ３０の動作の情報を受信し（図３の（３））、図４における他の手段、ホワイトリストデータベース３４ｂと、ブラックリストデータベース３４ｃと、確率算出手段３４ｄと、に受信した情報を提供する。
　通信手段は３４ａは、請求の範囲の通信手段の好適な一例に相当する。
　また、通信手段３４ａは、確率算出手段３４ｄが算出したなりすまし確率を、認証サーバ３２ｂに送信する（図３の（５））。さらに、通信手段３４ａは、認証サーバ３２ｂから当該ユーザ３０に対する追加認証の結果を受信する（図３の（４））。

　なお、この通信手段３４ａは、通信ネットワークとの通信インターフェースと、照合サーバ３４中のＣＰＵが実行する所定の通信プログラムと、から構成される。ＣＰＵは、この通信プログラムを実行することによって、通信インターフェースを制御することによって、通信手段３４ａを実現している。

　ホワイトリストデータベース
　ホワイトリストデータベース３４ｂは、正規のユーザ３０の動作の情報を記録したデータベースであり、例えば、正規のユーザ３０の１回～１０００回程度のアクセスに基づき、１～１０００程度の動作の情報（レコード）を記録するデータベースである。このホワイトリストデータベース３４ｂは、具体的には、ハードディスク等の記憶手段と、通信手段３４ａが受信したユーザ３０の動作の情報を記憶手段に記録するプログラムと、そのプログラムを実行する（照合サーバ３４内の）ＣＰＵ等とから構成される。この結果、ホワイトリストデータベース３４ｂには、図２で示すような正規のユーザ３０の動作の種々の情報が記録されていく。この記録は１人のユーザ３０毎に１～１０００アクセス程度の情報（レコード）が記憶される。例えば１人当たり１０～３０レコード程度が好ましい。本実施形態では、１人当たり最新の２０レコードが記憶されている例を説明するが、何個記録してもよい。レコードとは、原則として、ユーザ３０がＷｅｂサイト１０にアクセスを開始してから、ログオフするまでの一連の動作の情報であり、図２で説明したように、使用したブラウザの情報等も含むデータである。しかし、ユーザ３０の動作それぞれをレコードとして記録してもよい。ブラックリストデータベース３４ｃ中のレコードも同様の概念である。

　ホワイトリストデータベース３４ｂは、ユーザ３０の動作の情報をホワイトリストデータベース３４ｂ中の該当するユーザ３０の既存の情報と比較し、両者が近似しないことに基づき「ユーザ３０の動作に該当しない」と判断される場合は、これをブラックリストデータベース３４ｃに送り、ブラックリストデータベース３４ｃに記憶させる。この判断も、上記プログラムが実行する。なお、近似する／近似しないの判断は、必ずしもアクセス開始からアクセス終了までの一連の動作で比較しなくてもよい。すなわち一部の情報のみで比較し、近似する／近似しないの判断を行ってもよい。すなわち、ユーザ３０のアクセスの途中でリアルタイムに判断してもよい。

　ブラックリストデータベース
　ブラックリストデータベース３４ｃは、Ｗｅｂサーバ３２ａから送信されてきたユーザ３０の動作の情報であって、ホワイトリストデータベース３４ｂ中のレコードと近似せず、いわゆる「外れた」情報であった場合に、その動作の情報を記録したデータベースである。
　このブラックリストデータベース３４ｃは、具体的には、ハードディスク等の記憶手段と、ホワイトリストデータベース３４ｂ（のプログラム）が、ホワイトリストデータベース３４ｂ中のレコードと近似しないと判断して、ブラックリストデータベース３４ｃに送ってきた動作の情報を上記ハードディスク等の記憶手段に記録するプログラムと、そのプログラムを実行する（照合サーバ３４内の）ＣＰＵ等とから構成される。

　上述したように、照合サーバ３４のホワイトリストデータベース３４ｂは、正規のユーザ３０の動作の情報を記録している。ホワイトリストデータベース３４ｂは、Ｗｅｂサーバ３２ａが送信したユーザ３０の動作の情報と、ホワイトリストデータベース３４ｂ中の情報とを比較し、近似せず、外れていると判断した場合は、その動作の情報をブラックリストデータベース３４ｃに送信する。ブラックリストデータベース３４ｃは、この送信されてきた動作の情報を記憶するデータベースである。

　このように、ブラックリストデータベース３４ｃは、ホワイトリストデータベース３４ｂと同様に、ユーザ３０の動作の情報を記録するデータベースであるため、その記憶項目は、ホワイトリストデータベース３４ｂとほぼ同様であることは、図２で説明した通りである。ただし、ブラックリストデータベース３４ｃには、ホワイトリストデータベース３４ｂにはない特有のフラグ「ブラック確定フラグ」が各レコードに設けられている。このフラグは、各動作の情報が正規のユーザ３０ではない者による動作の情報であるということが確定した場合に「１」となるフラグである。

　ここで、ブラック確定フラグが「１」になるとは、請求の範囲において、ブラック確定フラグが立つことの好適な一例に相当する。
　ブラックリストデータベース３４ｃに、新たにホワイトリストデータベース３４ｂ中の動作の情報とは「外れた」動作の情報が記録された際には、その動作の情報のブラック確定フラグは「０」である。このブラック確定フラグが「０」であるとは、ブラック確定フラグが立っていない状態の一例である。

　その後、Ｗｅｂサーバ３２ａが実行する追加認証処理によって、その動作の情報が、正規のユーザ３０による動作ではないことが確定した場合に、当該動作の情報のレコードのブラック確定フラグが「１」に設定される（ブラック確定フラグが立つ）。このブラック確定フラグを「１」に設定する等の動作も、上記プログラムが実行する。また、このブラック確定フラグの値は、確率算出手段３４ｄが実行する確率の計算に利用される。

　確率算出手段
　確率算出手段３４ｄは、Ｗｅｂサーバ３２ａが送信してくるユーザ３０の動作の情報に基づき、その動作の情報が正規のユーザによるものではない確率であるなりすまし確率を算出して認証サーバ３２ｂに送信する（図３の（５）に相当する）。

　確率算出手段３４ｄは、確率算出手段３４ｄが実行する算出動作を記述したプログラムと、このプログラムを実行する照合サーバ３４のＣＰＵと、から構成される。
　また、確率算出手段３４ｄは、請求の範囲のブラックリスト指標算出手段の好適な一例に相当する。また、なりすまし確率は、請求の範囲の「正規のユーザではない指標」の好適な一例に相当する。
　本実施形態では、なりすまし確率と呼ぶ確率を算出しているが、正規のユーザではない程度を表す指標であれば、単なる「高い」「低い」との指標でもよい。また、確率を、０から１０の整数で表し、１１段階で表してもよい。これらも請求の範囲の指標の好適な一例に相当する。

　確率算出手段３４ｄは、まず、Ｗｅｂサーバ３２ａが送信してくるユーザ３０の動作の情報がブラックリストデータベース３４ｃに記載されているレコードに近似しているか否かに基づき、その近似の程度に応じてなりすまし確率を算出する。近似の程度が高ければ、なりすまし確率は高くなり、近似の程度が低ければ、なりすまし確率は低く算出される。このように、近似するレコードとの近似の程度に応じて、そのレコードに該当する確率を算出する数学的手法は、従来から種々知られているので、そのような計算手法を適宜利用すればよい。簡便には、レコード（動作の情報）を構成する種々の要素の差分の２乗値を積算した合計値をポイントとして算出し、かかるポイント値が小さいほど確率が高くなる（１に近づく）ように確率を計算してもよい。

　また、この近似しているか否かの判断は、動作の情報が送信されてくる度に実行してよい。すなわち、比較は、一部の要素のみの比較でもよい。例えば、ページ遷移が２回程度の場合でも、ブラックリストデータベース３４ｃ中のレコード（ページ遷移が多く記録されている場合もある）と比較してよい。この結果、ユーザ３０の動作に対してリアルタイムになりすまし確率を算出することができる。

　また、Ｗｅｂサーバ３２ａが送信してくるユーザ３０の動作の情報と最も近似していると判断されたブラックリストデータベース３４ｃ中のレコード（群）のブラック確定フラグが「１」であれば、同様の近似の程度でも、なりすまし確定フラグが「０」の場合と比較して、求めるなりすまし確率をより高く補正して算出することも好適である。正規のユーザ３０の動作の情報ではないとの判断が確定されているレコードと近似している場合は、正規のユーザ３０でない確率が高いと考えられるからである。

　本実施形態における確率算出手段３４ｄは、このようにブラックリストデータベース３４ｃ中の情報に基づき、ユーザ３０のなりすまし確率を算出する。
　なお、ブラックリストデータベース３４ｃ中にユーザ３０の動作の情報と近似するレコードがない場合は、原則として、低い値のなりすまし確率を算出し、送信する。なお、ブラックリストデータベース３４ｃ中にユーザ３０の動作の情報と近似するレコードがない場合は、当該情報をホワイトリストデータベース３４ｂ中のレコードと比較し、近似するレコードの有無およびその近似度に基づき、なりすまし確率を算出してもよい。この場合、当該動作の情報と近似するレコードが、ホワイトリストデータベース３４ｂ中に存在する場合は、正規のユーザ３０ではない確率（なりすまし確率）は、低く補正して算出される。他方、当該動作の情報と近似するレコードが、ホワイトリストデータベース３４ｂ中に存在しない場合は、なりすまし確率はやや高く補正して算出してもよい。この場合、なりすまし確率の算出の対象となった当該動作の情報は、ブラックリストデータベース３４ｃに新たに登録されることになる。

　第３．動作
　次に、本実施形態におけるシステムの動作の流れを図に基づき説明する。

　図５には、図３で示したシステム全体の動作の流れを示すタイムチャートが示されている。なお、図５のタイムチャートにおいて、上から下に向かって時間が経過するものとする。

　まず、ユーザ３０がＷｅｂサイト１０に対してアクセスする。すると、ユーザ３０がアクセスに利用するブラウザの情報が、Ｗｅｂサイト１０を提供するＷｅｂサーバ３２ａに対して送信される。この動作が図５中、ブラウザ情報の送信４０として示されている。

　次に、事業者システム３２中のＷｅｂサーバ３２ａは、送信されてきたブラウザ情報を受信し、これを照合サーバ３４に送信する。この動作は、図５中、ブラウザ情報の送信４２として示されている。照合サーバ３４においては、通信手段３４ａがこのブラウザ情報を受信し、ホワイトリストデータベース３４ｂ等の他の構成に対してブラウザ情報を送信する。

　次に、ユーザ３０は、ログインページ１４に移行し、ＩＤとパスワードとを入力する。これは、図５中、ＩＤ・パスワード送信４４として示されている。すると、Ｗｅｂサーバ３２ａは、送信されてきたＩＤ・パスワードを受信し、認証するために認証サーバ３２ｂに送信する（図３中（２））。認証サーバ３２ｂは、このＩＤとパスワードとを利用してユーザ３０の認証を行うとと共に、それらをハッシュ化して、ハッシュ化したＩＤとハッシュ化したパスワードとを、照合サーバ３４に送信する。

　この送信動作は、図５中、ハッシュ化されたＩＤ・パスワードの送信４６として示されている。照合サーバ３４においては、通信手段３４ａがこのハッシュ化されたＩＤ・パスワード情報を受信し、ホワイトリストデータベース３４ｂ等の他の構成に対してハッシュ化されたＩＤ・パスワードを送信する。これによって、ホワイトリストデータベース３４ｂ、ブラックリストデータベース３４ｃ等において、ハッシュ化されたＩＤ・パスワードを記録することができる。

　本実施形態では、ハッシュ化されたＩＤとハッシュ化されたパスワードとの送信４６（図５参照）は、認証サーバ３２ｂが実行しているが、Ｗｅｂサーバ３２ａが実行してもよい。
　照合サーバ３４は、送信されてきたハッシュ化されたＩＤおよびパスワードと、ブラウザ情報とから、当該ユーザ３０が正規のユーザではない「なりすまし確率」を求め、事業者システム３２の認証サーバ３２ｂに送信する。なりすまし確率の算出は、確率算出手段３４ｄが実行し、なりすまし確率の送信は、通信手段３４ａが実行する。この送信は、図５中、なりすまし確率の送信４８で示されている。

　認証サーバ３２ｂは、送信されてきたなりすまし確率を受信する。そして、このなりすまし確率に基づき、ユーザ３０に対して追加認証を実行するか否かを決定する。認証サーバ３２ｂが追加認証を実行することを決定しない場合は、認証が成功裏に完了したことをＷｅｂサーバ３２ａに送信する（図３中（６））。認証が成功したことが伝えられたＷｅｂサーバ３２ａはユーザに対してログイン許可のメッセージを送信する。これは、図５中、ログイン許可５０で示されている。

　なお、ここでは、認証サーバ３２ｂが、ハッシュ化されていないＩＤとパスワードと（図３中（２）で示される）に基づく認証を実行し、正規のユーザである認証が成功裏に完了していることを前提としている。もちろん、このＩＤとパスワードによる認証が失敗すれば、ログインが許可されない。

　ログインしたユーザ３０は、Ｗｅｂサイト１０内で所望のページの閲覧を開始し、適宜閲覧ページの移動を行う。これは図５中、ページ移動５２で示されている。このページ移動は、Ｗｅｂサーバ３２ａに送信されユーザ３０は所望のページに移動することが可能である。さらに、Ｗｅｂサーバ３２ａは、このようなページ移動を含むユーザの動作の情報全般を、照合サーバ３４に送信する。これが、図５中、ページ遷移情報の送信５４として示されている。ページ遷移情報の送信５４と記されているが、ユーザ３０の動作の情報の全般を意味する。

　照合サーバ３４においては、このページ遷移情報（ユーザ３０の動作の情報）をホワイトリストデータベース３４ｂに適宜記録する。ホワイトリストデータベース３４ｂと近似していない場合は、ブラックリストデータベース３４ｃに適宜記録する場合もある。ここで、このページ遷移情報（ユーザ３０の動作の情報）は、ホワイトリストデータベース３４ｂやブラックリストデータベース３４ｃ中のレコードと比較され、近似度が求められる。近似度に基づき、正規のユーザではない確率であるなりすまし確率が算出される。

　この算出は、確率算出手段３４ｄによって実行される。なりすまし確率の詳細な算出動作等については、次の図６（および図７）のフローチャートに基づき説明する。算出されたなりすまし確率は、認証サーバ３２ｂに対して送信される。これが図５中、なりすまし確率の送信５６として示されている。

　認証サーバ３２ｂは、送信されてきたなりすまし確率を受信し、この確率に基づき、追加認証を実行するべきか判断する。例えば、このなりすまし確率と所定の閾値とを比較し、なりすまし確率のほうが小さい場合に、追加認証を実行すると判断してもよい。その判断の結果、なりすまし確率が所定の閾値より小さく、追加認証を実行すべきである判断した場合は、認証サーバ３２ｂは、Ｗｅｂサーバ３２ａに対して追加認証を実行する指示を送信する。追加認証の指示は、図３では、（７）で示されている。なお、認証サーバ３２ｂが追加認証の実行をしないと判断した場合は、認証サーバ３２ｂは、Ｗｅｂサーバ３２ａに対して特に指示を行わない（送信しない）。

　この追加認証の指示を受信したＷｅｂサーバ３２ａは、ユーザ３０に対して追加認証を実行する。この動作は、図５中、追加認証５８として示されている。追加認証５８は種々の態様で実行することができる。例えば、ユーザ３０に対してユーザ３０であれば答えられる追加の質問をすることも好適である。また、ユーザ３０が所持している携帯端末に所定のメールを送信し、そのメール中の符号・数字をＷｅｂ画面上で入力させることも好適である。また、ユーザ３０の所持している携帯端末にメールを送信し、「現在このＷｅｂサイト１０にアクセスしていないのであればメールを返信してください」等のメッセージを送ることも好適である。その他、種々の追加認証５８を実行してよい。

　このような追加認証５８に失敗した（認証処理が正常に完了しなかった）場合、Ｗｅｂサーバ３２ａは、追加認証に失敗したことを認証サーバ３２ｂに送信する。この送信処理が、図５中、不正確認６０で示されている。

　認証サーバ３２ｂは、不正確認６０を受信した場合、同旨を、照合サーバ３４に送信する。これが、図５中、不正確認６２として示されている。また、認証サーバ３２ｂは、強制ログオフの指示をＷｅｂサーバ３２ａに送信する。このログオフの指示は、図５中、強制ログオフ６４で示されている。Ｗｅｂサーバ３２ａは、この強制ログオフ６４を受信すると、当該ユーザ３０を強制的にログオフし、接続を解除する。

　なお、ここで、強制ログオフ６４の指示は出さないように構成してもよい。この場合、Ｗｅｂサーバ３２ａが、不正確認６０を送信した後、特に外部から指示が無くとも自発的に、ユーザ３０をログオフするように構成してもよい。

　照合サーバ３４は、不正確認６２を受信すると、内部のブラックリストデータベース３４ｃ中の該当するレコードのブラック確定フラグを「１」に設定する（フラグをたてる）。

　ユーザ３０が正規のユーザ３０である場合
　なお、図５においては、追加認証５８に失敗し、ユーザ３０が正規のユーザではないことが確認された（不正確認６０）場合の動作について説明した。しかし、ユーザ３０が正規のユーザであって、たまたまいつもとは異なる場所から、異なる携帯端末でアクセスしたかもしれない。この場合は、ユーザ３０は正規のユーザであるので、追加認証５８は成功（認証処理が正常に完了）するため、図５における不正確認６０や不正確認６２は送信されない。この場合は、いずれユーザ３０がログオフし、Ｗｅｂサーバ３２ａが、そのログオフを受信した場合に、当該ログオフを照合サーバ３４に送信する。照合サーバ３４は、そのログオフを受信すると、一連の動作が終了したと判断して、ユーザ３０のそれまでの動作の情報をホワイトリストデータベース３４ｂ等に１レコードとして記録する。

　ホワイトリストデータベース３４ｂや、ブラックリストデータベース３４ｃにおける１レコードとは、原則として、ユーザ３０のＷｅｂサイト１０に対する１セッションの動作の情報であり、アクセスからログインが実行され～各ページを閲覧して～ログオフするまでの動作の情報である。但し、ユーザ３０のｌ動作毎に、１レコードとして取り扱ってもよい。

　以上、図５のタイムチャートを用いて説明した動作によって、該当するブラックリストデータベース３４ｃ中の動作の情報のレコードを、正規のユーザではない者の動作の情報であると明確に認定することができ、今後は、当該レコードの動作の情報に近似した動作の情報が検出された場合は、なりすまし確率を高く算出することができ、正規のユーザではない者のアクセスであることをより正確に認識できることが期待される。

　照合サーバ３４の動作
　次に、照合サーバ３４の動作を図６、図７のフローチャートに基づき説明する。このフローチャートにおいては、特に、ホワイトリストデータベース３４ｂと、ブラックリストデータベース３４ｃと、の構築動作と、なりすまし確率の算出の動作と、を中心に説明し、それ以外のデータの送受信等は図３や図５等で既に説明しているのでその詳細な説明は省略する。

　また、図６において、ＢＬＤＢは、ブラックリストデータベースを表し、ＷＬＤＢは、ホワイトリストデータベースを意味する。

　まず、ステップＳ１において、照合サーバ３４の通信手段３４ａが、アクセスしてきたユーザ３０が使用しているブラウザの情報を受信する。受信したブラウザ情報は、ホワイトリストデータベース３４ｂ等の記録内容となり得る情報であり、ホワイトリストデータベース３４ｂ、ブラックリストデータベース３４ｃ等において適宜利用されうる。また、確率算出手段３４ｄにおいても、既存のデータベース中のレコードとの近似の程度（近似度）の算出等に利用される。

　ステップＳ２において、照合サーバ３４の通信手段３４ａが、ハッシュ化されたＩＤおよびハッシュ化されたパスワードを、受信する。受信したＩＤおよびパスワードは、照合サーバ３４中の他の手段に対して出力され、他の手段（ホワイトリストデータベース３４ｂ等）が必要に応じて、適宜この（ハッシュ化された）ＩＤおよびパスワードを利用する。

　ステップＳ３において、受信したＩＤおよびパスワードで特定されるレコードであって、且つ近似したレコードが、ブラックリストデータベース３４ｃに存在するか否か判定される。この判定はブラックリストデータベース３４ｃが行い、その結果、該当するレコードが存在すれば、ステップＳ４に移行し、該当するレコードがブラックリストデータベース３４ｃ中に存在しない場合は、図７のステップＳ１０に移行する。

　ステップＳ４において、確率算出手段３４ｄは、受信したＩＤおよびパスワードに該当し、且つ、データが近似しているブラックリストデータベース３４ｃ中のレコードに基づき、なりすまし確率を算出する。ここで、近似しているレコードは１個または２個以上存在していてもよい。そして、以下のような算出基準に基づいて確率が算出される。以下のような基準に基づいていれば、どのような算出手法でもよい。

　・近似しているその近似度が高いほど（似ているほど）、なりすまし確率もより高く算出される。
　・近似しているレコードが多いほど、なりすまし確率もより高く算出される。
　・近似しているレコードのブラック確定フラグが「１」である場合には、なりすまし確率もより高く補正されて算出される。
　このような算出基準でなりすまし確率が算出される。確率算出手段３４ｄは、算出したなりすまし確率を、通信手段３４ａに送信する。通信手段３４ａは、所定のネットワークを介して、事業者システム３２の認証サーバ３２ｂに対して、なりすまし確率を送信する。

　ステップＳ４においては、なりすまし確率の送信と並行して、ブラックリストデータベース３４ｃが、当該ＩＤとパスワード、およびブラウザ情報に係る新しいレコードを記録する。

　ステップＳ５において、照合サーバ３４の通信手段３４ａが、ユーザ３０の動作情報の受信を行う。ここで、動作情報とは、例えば図５におけるページ遷移情報の送信５４等のユーザ３０の動作の情報全般である。
　通信手段３４ａは、受信した動作情報を、照合サーバ３４中の他の手段に対して出力し、他の手段（ホワイトリストデータベース３４ｂ等）が必要に応じて、適宜この動作情報を利用する。

　ステップＳ６において、ブラックリストデータベース３４ｃは、動作情報を、上記ステップＳ４において作成した新しいレコードに加えていく。また、確率算出手段３４ｄは、受信した動作情報も含めて、なりすまし確率を算出する。そして、通信手段３４ａがなりすまし確率を認証サーバ３２ｂに対して送信する。

　本実施形態において特徴的なことは、ユーザ３０の動作に基づき、このようにリアルタイムになりすまし確率を算出し、認証サーバ３２ｂに提供していることである。その結果、そのユーザ３０の動作に基づき、迅速に、ユーザ３０が正規のユーザであるか否かの判断材料（なりすまし確率）を提供しているので、認証サーバ３２ｂは、追加認証を実行すべきか否かをリアルタイムに判断することができる。その結果、正規のユーザではない者のアクセスを迅速に遮断することができ、不正な行為をより確実に防止することが可能である。

　ステップＳ７においては、通信手段３４ａが、不正確認（図５中の不正確認６２）を受信したか否かが判定される。不正確認を受信した場合は、ステップＳ９に移行し、受信していない場合は、ステップＳ８に移行する。
　ステップＳ８においては、通信手段３４ａが、ログオフを受信したか否かを判定する。このログオフは、ユーザ３０が通常どおりの動作を実行し、正規のユーザではないと決定できなかった（確定できなかった）場合であることを意味する。この判定の結果、ログオフが受信された場合は、それまでのユーザ３０の動作の情報を、ブラックリストデータベース３４ｃに１レコードとして記録する。ここで記録される動作の情報（１レコード）は、ユーザ３０のＷｅｂサイト１０に対する１セッションの動作の情報であり、アクセスからログインが実行され～各ページを閲覧して～ログオフするまでの動作の情報である。このレコードのブラック確定フラグは「０」に設定される。このようにして、照合サーバ３４は、１セッションの動作を終了し、再びユーザ３０がＷｅｂサイト１０にアクセスすることを待つことになる。

　他方、ステップＳ８において、通信手段３４ａが、ログオフを受信していない場合は、当該ユーザ３０によるＷｅｂサイトへのアクセスが続行されていることになり、再びステップＳ５に戻って、ユーザ３０の動作の情報の受信の処理を続行する。

　ステップＳ９においては、照合サーバ３４が不正確認６２（図５参照）を受信し、通信手段３４ａが不正確認６２を、照合サーバ３４内の他の手段に提供する。この不正確認６２の受信によって、当該ユーザ３０が正規のユーザ３０ではないことが確定したと判断される。そのため、ブラックリストデータベース３４ｃは、ブラックリストデータベース３４ｃ中の当該ユーザの動作の情報（レコード）に対してブラック確定フラグを「１」に設定する。このフラグを「１」に設定することによって、再び、当該ユーザ３０の動作情報と近似した動作を実行するユーザ３０が現れた場合、それに対するなりすまし確率を高く算出することができる。

　ステップＳ９の後は、再び他のユーザ３０がＷｅｂサイト１０にアクセスすることを待つことになる。
　図７のステップＳ１０においては、当該ユーザ３０の動作の情報に該当するレコードが、ホワイトリストデータベース３４ｂ中に記録されているか否か判定される。この判定は、ホワイトリストデータベース３４ｂが実行する。

　判定の結果、ユーザ３０の動作の情報がホワイトリストデータベース３４ｂ中に記録されていない場合、および、ホワイトリストデータベース３４ｂ中に記録されているが、当該ユーザ３０のレコード数が２０個未満である場合は、ユーザ３０に関する動作の情報の蓄積が不十分と判断し、ステップＳ１３に移行する。レコード数が２０個以上ある場合は、ステップＳ１１に移行する。

　本実施形態におけるホワイトリストデータベース３４ｂは、ユーザ３０の動作の情報を記録していくが、そのレコードとして最近の２０個のデータを記録するように構成している。２０個未満の場合は、ステップＳ１３に移行し、ユーザ３０の動作の情報の蓄積を行う。

　ステップＳ１１においては、ユーザ３０に該当するレコードが２０個あるので、ユーザ３０の動作の情報と、ホワイトリストデータベース３４ｂ中の動作の情報とを比較し、近似しているか否かの判定を実行する。その結果、いずれかのレコードと近似していれば、ホワイトリストデータベース３４ｂへの記録を行うために、ステップＳ１３に移行する。

　ステップＳ１２においては、ユーザ３０の動作の情報が、ホワイトリストデータベース３４ｂ中の既存のレコードと近似していなかったので、いわゆる「外れ」のデータであると判断し、ブラックリストデータベース３４ｃへの記録を行う。この処理は、ブラックリストデータベース３４ｃが実行する。この記録に際して、ブラック確定フラグの初期値は「０」に設定してある。

　このホワイトリストデータベース３４ｂ中の既存のレコードと近似していないことは、請求の範囲において、ホワイトリストデータベース中のレコードに「該当しない」ことの好適な一例に相当する。
　また、同一のＩＰアドレスから１日に数１００回のアクセスがあった場合等も、ここでいう「該当しない」の一例に加えてもよい。その他、請求の範囲における「該当しない」場合として、不正のアクセスと推定される場合全般を含めてもよい。

　本実施形態において特徴的なことは、ブラックリストデータベース３４ｃを設けて、不正なアクセスをより効率的に判断していることである。このブラックリストデータベース３４ｃの構築のために、ホワイトリストデータベース３４ｂを用いており、その中のレコードから外れている動作の情報の場合に、ブラックリストデータベース３４ｃ中に記録するように構成している。本実施形態では、主としてホワイトリストデータベース３４ｂを用いているが、その他の手法で、すなわちホワイトリストデータベース３４ｂを用いることなく、ブラックリストデータベース３４ｃに登録すべき動作の情報を決定してもよい。例えば、短時間に集中して同一ＩＤによるアクセスがあった場合等も、不正アクセスである可能性が高いと判断してブラックリストデータベース３４ｃに登録してもよい。

　ステップＳ１２以降の動作は、ブラックリストデータベース３４ｃへの記録であるので、図６におけるステップＳ５に移行する。ステップＳ５以降の動作はすでに説明した通りである。
　他方、ステップＳ１３以降の処理では、ユーザ３０の動作の情報が、ホワイトリストデータベース３４ｂに記録される。この記録の動作は、ホワイトリストデータベース３４ｂが実行する。本実施形態では、所定の１人のユーザ３０に対する動作の情報（レコード）の記録数を、２０個と設定している。例えば、そのユーザ３０の動作の情報（レコード）が２０個未満の場合は、そのまま新たに動作の情報を追加で記録していく。しかし、既にそのユーザ３０の動作の情報（レコード）が２０個記録されている場合は、新しい動作の情報を記憶するとともに、古いレコードを削除していく。このような動作によって、常に最新の動作の情報の２０個のレコードのみがホワイトリストデータベース３４ｂ中に記録されている。

　ステップＳ１４において、通信手段３４ａが、動作の情報の受信を行う。通信手段３４ａは、この動作の情報を、照合サーバ３４中の他の手段に提供する。
　ステップＳ１５において、ホワイトリストデータベース３４ｂが、提供された上記動作の情報を、そのユーザ３０の動作の情報としてホワイトリストデータベース３４ｂ中に記録していく。

　なお、ブラックリストデータベース３４ｃへ記録を行う場合は、なりすまし確率を計算して、認証サーバ３２ｂに送信している（ステップＳ４等）。
　しかし、ステップＳ１５のように、ホワイトリストデータベース３４ｂに記録している場合は、原則として、「０」の値のなりすまし確率を認証サーバ３２ｂに送信する。すなわち、ホワイトリストデータベース３４ｂに記録する場合とは、ユーザ３０の動作の情報が、ホワイトリストデータベース３４ｂ中の正規のユーザ３０と考えられる動作の情報と近似している場合であり、なりすまし確率としては「０」が妥当と考えられるからである。

　ただし、ステップ１５のように、ホワイトリストデータベース３４ｂに記録する場合でも、既存のホワイトリストデータベース３４ｂ中のレコードとの近似度が計算されるので、その近似度に基づき、なりすまし確率を算出してもよい。

　ステップＳ１６においては、通信手段３４ａが、ログオフを受信したか否かが判定される。判定は通信手段３４ａが実行する。この判定の結果、ログオフが受信された場合は、それまでのユーザ３０の動作の情報が、ホワイトリストデータベース３４ｂ中に記録される。そして、他のユーザ３０がＷｅｂサイト１０にアクセスすることを待機することになる。
　他方、ステップＳ１６において、ログオフが受信されない場合は、ステップＳ１４に移行して、そのユーザ３０の動作の情報を受信する動作を続行することになる。

　以上述べたように、本実施形態によれば、照合サーバ３４は、事業者システム３２との間でデータの送受信を行い、内部のホワイトリストデータベース３４ｂや、ブラックリストデータベース３４ｃを構築する。さらに、照合サーバ３４は、その内部の確率算出手段３４ｄが、原則として、ブラックリストデータベース３４ｃに基づき、なりすまし確率を算出し、認証サーバ３２ｂに送信する。

　また、本実施形態においては、事業者システム３２が１個の場合を説明したが、事業者システム３２が複数個あってもよい。この場合は、その複数の事業者システム３２が、照合サーバ３４を共用することができる。

　効果
　以上のような動作によって、本実施形態によれば、ホワイトリストデータベース３４ｂだけでなく、正規のユーザ３０ではない可能性のあるユーザ３０の動作の情報を記録したブラックリストデータベース３４ｃをも構築することができる。
　さらに、照合サーバ３４を、複数の事業者システム３２から共用して利用すれば、ブラックリストデータベース３４ｃの共用を図ることができる。その結果、ある事業者のＷｅｂサイト１０において正規のユーザ３０の動作の情報ではないとしてブラックリストデータベース３４ｃに記録された情報は、他の事業者からも利用することができ、悪意のある第三者の不正なアクセスを未然に防止できる可能性を向上させることができる。

　特に、近年では、悪意のある第三者が入手した一組のＩＤとパスワードを用いて、複数のＷｅｂサイトへの不正アクセスが連続して行われる例が数多くみられる。このような連続した不正アクセスに対して、本実施形態における照合サーバ３４は特に有用な対抗手段となり得る。また、本実施形態では、単にユーザ３０のＩＤだけではなく、ユーザ３０の動作の情報を記録してブラックリストデータベース３４ｃ、ホワイトリストデータベース３４ｂを構築しているので、より効率的に、悪意のある第三者によるアクセスを検出することができる。また、動作の情報を記録しているので、ユーザ３０の動作毎にリアルタイムになりすまし確率を求めることもでき、より迅速に悪意のある第三者によるアクセスを検出できることが期待される。

　第４．変形例
　（１）上述した実施形態では、確率算出手段３４ｄは、正規のユーザではない確率を算出した。この確率値は０～１の実数値である。しかし、「確率」の代わりに、正規のユーザではない程度を示す指標を利用することも好適である。上記確率も、当該指標の好適な一例であるが、他の指標を用いてもよい。例えば、このような指標として、ブラックリストデータベース３４ｃ中のデータとの近似度を採用してもよい。この場合、近似の程度が高ければ高いほど、正規のユーザではない程度も高まると考えられる。そこで、このような近似度を指標として用いることも好適である。その他、正規のユーザではない程度を示す指標であれば、どのような指標を算出して利用してもよい。

　（２）上述した実施形態では、照合サーバ３４が、Ｗｅｂサーバ３２ａとは離隔した場所に位置する例を説明した。しかし、照合サーバ３４は、Ｗｅｂサーバ３２ａや認証サーバ３２ｂから接続できる場所であればどこに位置してもよく、Ｗｅｂサーバ３２ａと同様の位置に配置されていてもよい。例えば、事業者システム３２内に位置してもよい。

　また、上述した実施形態では、認証サーバ３２ｂは、Ｗｅｂサーバ３２ａと同一サイトに位置する例を説明した。しかし、認証サーバ３２ｂは、Ｗｅｂサーバ３２ａや照合サーバ３４から接続できる場所であればどこに位置してもよく、Ｗｅｂサーバ３２ａから離隔した位置に配置されていてもよい。例えば、事業者システム３２の外部に位置してもよい。

　（３）上述した実施形態では、ホワイトリストデータベース３４ｂ中の同一のユーザの動作の情報（レコード）の記録数は例えば２０個と設定されているが、より少ない数でもよいし、また、多くてもかまわない。また、状況に応じて登録数を動的に調整するように構成してもよい。
　（４）上述した実施形態では、照合サーバ３４は、なりすまし確率を事業者システム３２に送信しているが、このなりすまし確率とともに、なりすまし確率の計算の主な要因となった最も近似しているブラックリストデータベース３４ｃ中の情報も送信するように構成してもよい。

　このように構成すれば、事業者システム３２側において、どのような不正のアクセスがあったのかを知ることができ、セキュリティの確保に資することができる場合もある。但し、たとえ不正のアクセスのデータであっても、国によっては個人情報保護の対象になる場合や、その他の保護の対象になる場合もあるので、そのような場合には該当する情報の提供は慎重にするべきである。
　（５）上述した実施形態では、ユーザ３０の動作の情報がホワイトリストデータベース３４ｂに記録される場合は、なりすまし確率として「０」を送信しているが、ホワイトリストデータベース３４ｂ中のレコードとの近似度に応じてなりすまし確率を算出して、「０」以外の値のなりすまし確率を送信してもよい。

　（６）上述した実施形態では、ブラックリストデータベース３４ｃ中のレコード数は制限を設けていないが、比較照合の演算速度等を考慮して、数に制限を設けてもよい。その場合は、例えば、古いレコードから削除していく等の処理を行ってもよい。
　（７）上述した実施形態では、ホワイトリストデータベース３４ｂ中のデータは実際のアクセスに基づき記録していったが、人為的に予め典型的な正規のデータを記録しておいてもよい。また、ブラックリストデータベース３４ｃ中に、予め判明している不正なアクセスの例を人為的に記憶させておいてもよい。

　（８）上述した実施形態では、ホワイトリストデータベース３４ｂ中のデータは、新しいアクセスの度に更新され、古いデータは削除されていくが、人為的に固定したレコードを指定しておいてもよい。アクセスの頻度が低いユーザを考慮したものである。
　（９）また、ホワイトリストデータベース３４ｂ、ブラックリストデータベース３４ｃのレコードは人為的な手段、または他の手段で適宜チューニングを施してもよく、また、人の手によって、あまり重要でないレコードを削除してもよい。種々の人為的な作業を施してもよい。

　（１０）上記実施形態では、ハッシュ化されたＩＤと、ハッシュ化されたパスワードとが、ホワイトリストデータベース３４ｂ、ブラックリストデータベース３４ｃに記録されるが、ハッシュ化されないデータを用いてもよく、また所定の暗号化が施されたＩＤとパスワードを利用してもよい。

　以上、本発明の実施形態について詳細に説明したが、前述した実施形態において、プログラムと、そのプログラムを実行するＣＰＵ等とから種々の機能・手段が実現されている。ここで、上述した種々のプログラムは、請求の範囲のコンピュータプログラムの好適な一例に相当する。

　また、本発明の実施形態について詳細に説明したが、前述した実施形態は、本発明を実施するにあたっての具体例を示したに過ぎない。本発明の技術的範囲は、前記実施形態に限定されるものではない。本発明は、その趣旨を逸脱しない範囲において種々の変更が可能であり、それらも本発明の技術的範囲に含まれる。

　１０　Ｗｅｂサイト
　１２　Ｔｏｐページ
　１４　ログインページ
　１６　商品ページ
　１８　会社概要ページ
　２０　会員情報ページ
　２２　購入ページ
　２４　送金・ポイント交換ページ
　３０　ユーザ
　３２　事業者システム
　３２ａ　Ｗｅｂサーバ
　３２ｂ　認証サーバ
　３４　照合サーバ
　３４ａ　通信手段
　３４ｂ　ホワイトリストデータベース
　３４ｃ　ブラックリストデータベース
　３４ｄ　確率算出手段
　４０　ブラウザ情報の送信
　４２　ブラウザ情報の送信
　４４　ＩＤ・パスワードの送信
　４６　ハッシュ化されたＩＤ・パスワードの送信
　４８　なりすまし確率の送信
　５０　ログイン許可の送信
　５２　ページ移動の送信
　５４　ページ遷移情報の送信
　５６　なりすまし確率の送信
　５８　追加認証
　６０　不正確認
　６２　不正確認
　６４　強制ログオフ
　ＢＬＤＢ　ブラックリストデータベース
　ＷＬＤＢ　ホワイトリストデータベース

Claims

　ユーザに対して所定のサービスを提供するサービス提供システムにおいて、
　前記ユーザに対して所定のサービスを提供するサーバ部と、
　前記ユーザが正規のユーザか否かを判断する認証サーバ部と、
を備え、
　前記サーバ部は、
　前記ユーザの情報を前記認証サーバ部に提供し、前記認証サーバ部が正規のユーザであると判断した前記ユーザに対して前記所定のサービスの提供を実行するサービス提供手段と、
　前記ユーザの前記サーバ部に対する動作の情報を、外部の照合装置に送信する送信手段と、
　を含み、
　前記認証サーバ部は、
　前記ユーザの情報を前記サーバ部から受信し、前記ユーザが正規のユーザか否か判断する判断手段と、
　前記外部の照合装置から、前記ユーザが正規のユーザではない指標を受信する受信手段と、
　を含み、前記ユーザが正規のユーザではない指標を取得することができることを特徴とするサービス提供システム。
　請求項１記載のサービス提供システムにおいて、前記認証サーバ部は、さらに、
　前記受信手段が受信した前記指標に基づき、前記ユーザが正規のユーザではない確率が所定の閾値以上であると判断される場合に、前記サーバ部に対して、前記ユーザに対して正規のユーザであるか否か確認する確認処理を実行する指示を出す確認指示手段、
　を含み、
　前記サーバ部の前記サービス提供手段は、前記確認処理を実行する指示を受信した場合に、前記ユーザに対して確認処理を実行することを特徴とするサービス提供システム。
　請求項１または２記載のサービス提供システムにおいて、
　前記サービス提供手段が、前記確認処理の結果、前記ユーザが正規のユーザではないと判断した場合に、前記送信手段は、前記外部の照合装置に対して、前記ユーザが正規のユーザではない旨を送信することを特徴とするサービス提供システム。
　ユーザの動作の情報に基づき、前記ユーザが正規のユーザではない指標を求める照合装置において、
　外部のサービス提供システムから、ユーザの動作の情報を受信する通信手段と、
　正規のユーザではないと判断された前記ユーザの動作の情報を記録したブラックリストデータベースと、
　前記受信手段が受信した前記ユーザの動作の情報と、前記ブラックリストデータベース中のデータを比較し、その近似の程度から、前記ユーザが正規のユーザではない指標を算出して送信するブラックリスト指標算出手段と、
　を含むことを特徴とする照合装置。
　請求項４記載の照合装置において、
　前記通信手段は、前記ユーザが正規のユーザではない指標を外部に送信することを特徴とする照合装置。
　請求項４または５記載の照合装置において、
　前記正規のユーザでない指標は、正規のユーザではない確率であることを特徴とする照合装置。
　請求項４から６のいずれか１項に記載の照合装置において、
　正規の前記ユーザの動作の情報を記録したホワイトリストデータベースと、
　前記受信手段が受信した前記ユーザの動作の情報が、前記ホワイトリストデータベース中のレコードに該当しないと判断された場合に、前記ブラックリストデータベースは、前記受信した前記ユーザの動作の情報を、前記ブラックリストデータベースに登録する
ことを特徴とする照合装置。
　請求項４から７のいずれか１項に記載の照合装置において、
　前記受信手段が、前記ユーザが正規のユーザではない旨を受信した場合に、前記ブラックリストデータベースは、前記ブラックリストデータベース中の前記ユーザの動作の情報に、ブラック確定フラグを立たせることを特徴とする照合装置。
　請求項８記載の照合装置において、
　前記ブラックリスト指標算出手段は、前記受信手段が受信した前記ユーザの動作の情報と、前記ブラックリスト中のレコードとを比較し、その近似の程度の高い前記ブラックリスト中のレコードの前記ブラック確定フラグが立っている場合は、前記ユーザが正規のユーザでない指標をより高く算出して送信することを特徴とする照合装置。
　ユーザに対して所定のサービスを提供するサーバ部と、前記ユーザが正規のユーザか否かを判断する認証サーバ部と、を備えたサービス提供システムを用いて、前記ユーザに対して所定のサービスを提供するサービス提供方法において、
　前記サーバ部が、前記ユーザの情報を前記認証サーバ部に提供し、前記認証サーバ部が正規のユーザであると判断した前記ユーザに対して前記所定のサービスの提供を実行するサービス提供ステップと、
　前記サーバ部が、前記ユーザの前記サーバ部に対する動作の情報を、外部の照合装置に送信する送信ステップと、
　前記認証サーバ部が、前記ユーザの情報を前記サーバ部から受信し、前記ユーザが正規のユーザか否か判断する判断ステップと、
　前記認証サーバ部が、前記外部の照合装置から、前記ユーザが正規のユーザではない指標を受信する受信ステップと、
　を含むサービス提供方法。
　ユーザの動作の情報に基づき、前記ユーザが正規のユーザではない指標を求める照合方法において、
　前記ユーザの動作の情報を受信する通信ステップと、
　正規のユーザではないと判断された前記ユーザの動作の情報をブラックリストデータベースに記録するステップと、
　前記通信ステップにおいて受信した前記ユーザの動作の情報と、前記ブラックリストデータベース中のデータを比較し、その近似の程度から、前記ユーザが正規のユーザではない指標を算出して送信するブラックリスト指標算出ステップと、
　を含むことを特徴とする照合方法。
　コンピュータを、ユーザに対して所定のサービスを提供するサーバ部と、前記ユーザが正規のユーザか否かを判断する認証サーバ部と、を備えたサービス提供システムとして動作させるコンピュータプログラムにおいて、前記コンピュータに、
　前記サーバ部として、前記ユーザの情報を前記認証サーバ部に提供し、前記認証サーバ部が正規のユーザであると判断した前記ユーザに対して前記所定のサービスの提供を実行するサービス提供手順と、
　前記サーバ部として、前記ユーザの前記サーバ部に対する動作の情報を、外部の照合装置に送信する送信手順と、
　前記認証サーバ部として、前記ユーザの情報を前記サーバ部から受信し、前記ユーザが正規のユーザか否か判断する判断手順と、
　前記認証サーバ部として、前記外部の照合装置から、前記ユーザが正規のユーザではない指標を受信する受信手順と、
　を実行させることを特徴とするコンピュータプログラム。
　コンピュータを、ユーザの動作の情報に基づき、前記ユーザが正規のユーザではない指標を求める照合装置として動作させるコンピュータプログラムにおいて、前記コンピュータに、
　前記ユーザの動作の情報を受信する通信手順と、
　正規のユーザではないと判断された前記ユーザの動作の情報をブラックリストデータベースに記録する手順と、
　前記通信手順において受信した前記ユーザの動作の情報と、前記ブラックリストデータベース中のデータを比較し、その近似の程度から、前記ユーザが正規のユーザではない指標を算出して送信するブラックリスト指標算出手順と、
　を実行させることを特徴とするコンピュータプログラム。