WO2019160085A1 - 情報処理制御装置、情報通信装置、情報通信システム、端末、方法、プログラム、記録媒体 - Google Patents

情報処理制御装置、情報通信装置、情報通信システム、端末、方法、プログラム、記録媒体 Download PDF

Info

Publication number
WO2019160085A1
WO2019160085A1 PCT/JP2019/005574 JP2019005574W WO2019160085A1 WO 2019160085 A1 WO2019160085 A1 WO 2019160085A1 JP 2019005574 W JP2019005574 W JP 2019005574W WO 2019160085 A1 WO2019160085 A1 WO 2019160085A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
terminal
communication path
item
input
Prior art date
Application number
PCT/JP2019/005574
Other languages
English (en)
French (fr)
Inventor
濱辺 孝二郎
道臣 冨木田
洋志 澤田
英人 武内
Original Assignee
日本電気株式会社
株式会社エフエム東京
Tokyo Smartcast株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社, 株式会社エフエム東京, Tokyo Smartcast株式会社 filed Critical 日本電気株式会社
Publication of WO2019160085A1 publication Critical patent/WO2019160085A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data

Definitions

  • the present invention is based on the priority claim of Japanese patent application: Japanese Patent Application No. 2018-025714 (filed on Feb. 16, 2018), the entire contents of which are incorporated herein by reference. Shall.
  • the present invention relates to an information processing control device, an information communication device, an information communication system, a terminal, a method, a program, and a recording medium.
  • Man-in-the-Browser (MITB) by cyber attackers have become a new threat as ICT (Information Technology) for various transactions such as Internet banking is progressing.
  • ICT Information Technology
  • malware in the terminal falsifies data transmitted to and received from a server (for example, a Web server) in a browser.
  • a server for example, a Web server
  • an attack such as transferring money to an illegal money transfer destination is performed by detecting a login to Internet banking (online banking) by a user and replacing the transfer account number.
  • the transfer account number entered by the user is displayed on the user's terminal, there is no method for detecting that the user has been deceived.
  • a server such as a bank is correctly performing an authentication procedure from a legitimate terminal, it is impossible to detect impersonation even by authentication using a one-time password or an electronic certificate. It is known that the MITB attack cannot be prevented even with multipath routing effective for man-in-the-middle attacks.
  • Method 1 The transfer destination is falsified before encryption, and remittance is made to the attacker's account.
  • Method 2 The key of the authentication encryption is rewritten by the attacker, the attacker sends a transfer instruction in which the transfer destination is falsified, and the money is transferred to the attacker's account.
  • transaction authentication As a method for preventing an MITB attack, a “transaction authentication” mechanism is known in which transaction contents (transactions) are altered using a terminal other than a terminal such as a personal computer.
  • the account number of the remittance destination and the amount information of the remittance are displayed on the software token on the smartphone or the hardware token with a 2D code reading function, and the user can transfer the money visually. After confirming the information, you can choose whether to continue the transaction. By doing so, it is possible to prevent unauthorized remittance due to falsification of malware remittance information.
  • the visual confirmation of the user there is a risk that a confirmation mistake of the user occurs, for example, when the name is falsified and displayed in a transfer destination having a similar name. There may also be a risk that the user neglects visual confirmation.
  • the user can enter a transfer account number into the numeric keypad and generate a one-time password (one-time password for transaction authentication) linked to the account number in addition to time information.
  • a transfer account number into the numeric keypad and generate a one-time password (one-time password for transaction authentication) linked to the account number in addition to time information.
  • Patent Document 1 as an information communication device for ensuring security in information communication, a first communication unit that performs data communication via a first communication network and a second communication unit different from the first communication network are disclosed.
  • a second communication unit that performs data communication via the communication network of the first and second communication units, respectively, and matches the data received by each of the first and second communication units, and combines the first and second information from the same information source.
  • An information communication apparatus including a data matching unit that generates reception information is disclosed.
  • Patent Document 1 discloses, as an information terminal device, an input unit that generates input data in response to a user operation, and a third communication that performs data communication with the information communication device via the first communication network.
  • a fourth communication unit that performs data communication with the information communication device via the second communication network, and generates the first and second information by dividing the input data.
  • a configuration is disclosed that includes an input data dividing unit that transmits from the third communication unit to the information communication device and transmits the second information from the fourth communication unit to the information communication device.
  • Measures against cyber attacks such as the above-mentioned MITB attack are also required in various ICT systems (systems using ICT) such as information distribution, IoT control, plant control, disaster prevention, etc. in addition to financial transactions.
  • ICT systems systems using ICT
  • cyber attacks frequently occur from overseas or via overseas.
  • an object of the present invention is to provide an apparatus, system, method, program, and recording medium that can realize a secure ICT system (or use of ICT) against, for example, a cyber attack that alters input information from a terminal. There is.
  • the first terminal and the first terminal to which information of a predetermined item is input in duplicate or a part obtained by dividing the item and another part of information are respectively input.
  • the first information is transmitted via a first communication path to an information processing control device that performs collation related to the item based on the first information and the second information.
  • a communication device that receives the second information via a second communication path;
  • a one-way communication device that transmits the received second information to the information processing control device via at least one one-way communication path that constitutes the second communication path; Provided.
  • the first terminal and the first terminal to which information of a predetermined item is input in duplicate or a part obtained by dividing the item and another part of information are respectively input.
  • a receiving unit configured to receive first information from one of the two terminals and second information from the other of the first terminal and the second terminal via the first communication path and the second communication path, respectively; At least one of the path and the second communication path includes at least one unidirectional communication path, and includes the first information and the second information received via the first communication path and the second communication path.
  • An information processing control device comprising: a collation unit that collates the item based on the result and controls execution of processing corresponding to at least one of the first information and the second information based on a collation result Provided.
  • an information communication device and an information processing control device are provided, and information on a predetermined item is input redundantly or different from a part obtained by dividing the item.
  • the first information is transmitted to the information processing control device via the first communication path.
  • the information communication device receives the second information from the second terminal via the second communication path, and receives the received second information as at least one direction constituting the second communication path.
  • information on a predetermined item is input redundantly, or a part of the item and another part of the information are input to a plurality of terminals, respectively.
  • the first terminal and the first terminal to which information of a predetermined item is input in duplicate or a part obtained by dividing the item and another part of information are respectively input.
  • the first information is transmitted via a first communication path to an information processing control device that performs collation related to the item based on the first information and the second information.
  • the first terminal and the first terminal to which information of a predetermined item is input in duplicate or a part obtained by dividing the item and another part of information are respectively input.
  • At least one of the first and second communication paths includes at least one unidirectional communication path;
  • Based on the first information and the second information received via the first communication path and the second communication path, the item is collated, and based on the collation result, at least the first information and the second information
  • An information processing control method for controlling execution of processing corresponding to one is provided.
  • the first terminal and the first terminal to which information of a predetermined item is input in duplicate or a part obtained by dividing the item and another part of information are respectively input.
  • At least one of the first and second communication paths includes at least one unidirectional communication path;
  • Based on the first information and the second information received via the first communication path and the second communication path, the item is collated, and based on the collation result, at least the first information and the second information
  • a computer-readable recording medium for example, RAM (Random Access Memory), ROM (Read Only Memory), or EEPROM (Electrically Erasable and Programmable ROM)
  • RAM Random Access Memory
  • ROM Read Only Memory
  • EEPROM Electrically Erasable and Programmable ROM
  • HDD or HDD Non-transitory computer readable recording media such as (Hard Disk Drive), CD (Compact Disk), DVD (Digital Versatile Disk), etc.
  • Embodiment 1 of the present invention It is a figure explaining the account type
  • the first terminal 10A and the second terminal 10B may input the same input information, or may divide a part of the input information and the rest thereof.
  • the input information is transmitted from the first communication path 41 and the second communication path 42 to the information processing control device 31, respectively.
  • the information processing control device 31 receives the first information including the input information or a part of the input information from the first terminal 10A, and the first information including the remaining part of the input information or the input information from the second terminal 10B.
  • First and second communication units 32 and 33 that receive two pieces of information via first and second communication paths 41 and 42, respectively.
  • the second communication path 42 includes at least a one-way communication path 43 in the path from the second terminal 10B to the information processing control device 31.
  • the information processing control device 31 uses the collation unit 34 that collates the first information and the second information received via the first and second communication paths 41 and 42, and the input information based on the collation result in the collation unit 34.
  • a process execution control unit 36 that controls execution of the corresponding process is provided.
  • the collation unit 34 when both the first information and the second information include the input information, the collation unit 34 includes the input information included in the first information and the input information included in the second information. If they do not match, the input information may not be supplied to the process execution control unit 36, and if they match, the input information may be supplied to the process execution control unit 36. If the input information of the first information matches the second information, the collation unit 34 may further refer to registration information and supply the input information to the process execution control unit 36.
  • the collation unit 34 may include the input information of the first information and the input information of the second information.
  • the remaining information is synthesized (combined) to restore the input information, and it is confirmed whether or not the restored input information is registered in the storage unit 35 in advance as registration information.
  • the collation unit 34 supplies the restored input information to the process execution control unit 36 when the restored input information matches the registered information, and does not supply the input information to the process execution control unit 36 when they do not match. It may be.
  • the process execution control unit 36 may be configured to include a process execution unit (not shown) for executing the process, or the process execution control unit 36 and the process execution unit (not shown) are connected by communication. It is good also as a structure.
  • the information processing control device 31 is exemplified as a configuration in which the first communication unit 32, the second communication unit 33, the matching unit 34, and the process execution control unit 36 are provided in one unit.
  • these may be configured to be connected to each other via a network such as a LAN (Local Area Network) as a separate single device.
  • LAN Local Area Network
  • the information processing control device 31 may be configured as a plurality of server systems or the like (for example, a three-layer configuration of a presentation layer, an application layer, and a data layer, or a part thereof).
  • the three-layer presentation layer includes a Web server that receives an HTTP (Hypertext Transfer Protocol) request from a Web browser on the terminal and returns a response (HTTP reply) to the terminal. If the HTTP request is a process that involves the execution of an application, the Web server analyzes the input data, requests the application server of the application layer for the process, and returns the result (processing result) to the Web browser. To do.
  • HTTP Hypertext Transfer Protocol
  • the application server executes, for example, business logic in response to a processing request from a Web server, and if necessary, makes a data reference or update request to a data layer database server or the like (back-end server).
  • the database server or the like executes data reference / update processing from the application server and returns the processing result.
  • the first and second communication units 32 and 33 in FIG. 1A are implemented as Web servers
  • the collation unit 34 is implemented as an application server
  • the process execution control unit 36 is an application server or database server that performs business applications. It may be configured as a back-end server.
  • the information processing control device 31 may be mounted as a controller of a PLC (Programmable Logic Controller) or an IoT device.
  • the collation unit 34 receives the first information from the second terminal 10B.
  • the first information and the second information are partial information
  • the first information and the second information are combined and input based on the collation result with the registered information in the storage unit 35.
  • the process execution control unit 36 executes a process corresponding to the input information when there is a registration information that matches the synthesized information as a result of the collation by the collation unit 34. On the other hand, if not found, the process execution control unit 36 does not execute the process of the input information.
  • first terminal 10A and the second terminal 10B may be referred to as a main terminal and a sub terminal, respectively (conversely, the first terminal 10A and the second terminal 10B function as a sub terminal and a main terminal. May be good).
  • Example 1 When the item of information input to the terminal is, for example, a bank account number in a bank transfer of an institution (transfer of funds from a user account to a partner (transfer destination) account), the storage unit 35 in FIG. 1A
  • the registration data stored in the account information may be account information stored in a database of the account system.
  • the process may be a remittance process by transfer. Alternatively, the process may be an account opening process or the like according to an operation on the first terminal 10A.
  • the first information transmitted from the first terminal 10A may include all or part of the item (transfer destination account number) information (partial data).
  • the second information transmitted from the second terminal 10B includes all or a part of the item (transfer account number) (the remaining partial data obtained by removing the partial data from the transfer account number). Also good.
  • the collation unit 34 collates with account information registered in the storage unit 35, for example, and checks whether or not the restored transfer account number is registered.
  • the transfer holder name associated with the transfer account number matches the transfer account name transmitted from the first terminal 10A. Check if you want to. If the transfer holder name associated with the transfer account number matches the transfer destination name transmitted from the first terminal 10A, the process execution control unit 36 transfers the transfer from the user's account to the transfer destination. Move money for the amount. If the payee name holder associated with the payee account number does not match the payee name transmitted from the first terminal 10A, the transfer process in the process execution control unit 36 is not executed.
  • the first information transmitted from the first terminal 10A and the second information transmitted from the second terminal 10B are not part of the information of the above item (transfer account number), but the entire (transfer account number as a whole (for example, In the case of a bank, in the case of a 4-digit bank code, 3-digit store number, 7-digit account number, etc.), the collation unit 34 uses the first information (the entire bank account number) and the second information (the bank account) If the account numbers are the same, the process is not executed. Further, when the first information and the second information match, the account information is referenced to check whether or not the registered payee name and the payee name transmitted from the first terminal 10A match. You may do it.
  • the first and second information may be the name of the payee (or a part thereof) in addition to the transfer account number or a part thereof (partial data).
  • the process execution control unit 36 includes a plurality of business systems that execute and control the transfer process, and a back-end server system that performs a batch system process of a basic business such as data management and an accounting system. You may comprise as an information processing system which consists of these systems.
  • the information processing control device 31 is a control system, basic infrastructure such as electric power and gas, industrial equipment, a car (connected car) functioning as an ICT (Information and Communication Technology) terminal, an IoT equipment, an M2M (Machine to Machine) equipment, etc. There may be.
  • the first terminal 10A or the second terminal 10B may be a management center side terminal that controls a control target.
  • the item of information input to the terminal may be, for example, a command (command name, parameter) or the like.
  • the first information transmitted from the first terminal 10A is the command name of the command executed by the control system, the IoT device, etc.
  • the second information transmitted from the second terminal 10B is the command number of the command. Good.
  • the collation unit 34 searches the registered data for the command number received as the second information, and collates whether there is a match with the command name received as the first information.
  • the process execution control unit 36 includes a controller or a control system that controls the execution of commands based on the collation result in the collation unit 34.
  • the item of information input to the terminal may be, for example, a password, and the process may be a password registration process.
  • the first information transmitted from the first terminal 10A may be a password (all), and the second information transmitted from the second terminal 10B may be a password (all).
  • the process execution control unit 36 may be configured as an information processing system that controls execution of password registration or a controller of an IoT device.
  • the information processing control device 31 in FIG. 1A may be a device that distributes data to a distribution destination.
  • the item of information input to the first terminal 10A may be a data delivery destination name (or delivery destination number).
  • the item of information input to the second terminal 10B may be the same distribution destination name (or distribution destination number) as in the first terminal 10A.
  • the information input to the first terminal 10A may be a part obtained by dividing the item (data distribution destination name or distribution destination number).
  • the information input to the second terminal 10B may be the remainder obtained by dividing the above item (data distribution destination name or distribution destination number).
  • the storage unit 35 in FIG. 1A stores the correspondence between the delivery number and the data delivery destination name. Also good.
  • the item input to the first terminal 10A may be a data distribution destination name
  • the item input to the second terminal 10B may be a distribution destination number.
  • the verification unit 34 receives the first and second information transmitted from the first and second terminals 10A and 10B from the first and second communication units 32 and 33, respectively, and the registration data stored in the storage unit 35. From the second information (distribution destination number), the distribution destination name may be searched to check whether there is a match with the distribution destination name of the first information.
  • the process execution control unit 36 controls the execution of the distribution process to the distribution destination when they match as a result of the collation.
  • the first information may include input information input to the first terminal 10A
  • the second information may include an authentication code calculated from the input information input to the second terminal 10B.
  • the verification unit 34 may calculate the authentication code of the first information and verify whether it matches the authentication code transmitted as the second information.
  • the authentication code may be a MAC (Message Authentication Code) or the like.
  • the information processing control device 31 may be a biometric authentication device that performs face authentication or the like.
  • the first information transmitted from the first terminal 10 ⁇ / b> A may include a captured user's face image (fingerprint, palm print), or a portion obtained by dividing the image.
  • the second information transmitted from the second terminal 10 ⁇ / b> B may be the user's face image (fingerprint, palm print), or the remainder obtained by dividing the image. It is good also as a structure which divides
  • the information processing control device 31 When the information processing control device 31 receives the image of the first information transmitted from the first terminal 10A and the partial information of the second information transmitted from the second terminal 10B, the information processing control device 31 combines these to perform authentication. Alternatively, authentication is performed by checking whether the image of the first information matches the second information.
  • the first terminal 10A or the second terminal 10B may be a terminal on the authentication center side.
  • the information processing control device 31 may be a smartphone on the user side.
  • the first communication path 41 may be a dedicated line (private line). Alternatively, it may be a wide area network (WAN) such as the Internet. In the case of a wide area network such as the Internet, the first communication unit 32 with the first terminal 10A may be connected by a VPN (Virtual Private Network).
  • WAN wide area network
  • VPN Virtual Private Network
  • the second communication path 42 may include a wireless communication network (wireless access network), a mobile communication network (core network), and the like.
  • the second communication path 42 may include a dedicated line.
  • the one-way communication path 43 may include, for example, a broadcast wave from a broadcasting station.
  • the second communication unit 33 includes a tuner for receiving broadcast waves.
  • the broadcast wave is transmitted by encrypting the second information on the broadcast transmitting side, and the second information is acquired on the receiving side by decrypting the encrypted information.
  • the transmitting side includes only a light emitting element (LED), the receiving side includes only a light receiving element (photocell), and a data diode (“one” is connected between them). May be included).
  • the second communication path 42 may also include a dedicated line, and the one-way communication path 43 may include both a one-way gateway and a broadcast wave.
  • the first communication path 41 and the second communication path 42 may include unidirectional communication paths 43A and 43B, respectively.
  • the one-way communication paths 43A and 43B may include data diodes or broadcast waves.
  • the frequency may be different or the time-division transmission may be performed to broadcast from a common broadcast transmission station.
  • neither the first communication path 41 nor the second communication path 42 includes a one-way communication path. Also good.
  • FIG. 2A is a diagram illustrating the configuration of the second communication path 42 including the one-way communication path 43.
  • the first information from the first terminal 10A is transmitted to the information processing control device 31 via the first communication path 41, and the second information from the second terminal 10B is transmitted to the information communication device 20.
  • One form of the information communication system transmitted to the information processing control device 31 is illustrated.
  • the information from the second terminal 10B is transmitted via the one-way communication path 43 via the information communication apparatus (apparatus for performing the mediation service) 20 that relays communication on the second communication path 42. And transferred to the information processing control device 31.
  • the information communication apparatus apparatus for performing the mediation service
  • the information communication device 20 transmits information to the communication device 21 that performs communication (for example, bidirectional communication) with the second terminal 10B and the information processing control device 31 via the one-way communication path 43. 22 is provided.
  • the communication apparatus 21 may be a relay apparatus such as a router or a gateway.
  • the one-way communication device 22 may be configured as a broadcast transmitting station that is connected to the communication device 21 for communication.
  • the one-way communication device 22 functions as a control signal (downlink signal) transmission device for setting the IoT device in an IoT gateway connected to a plurality of IoT devices. You may do it.
  • the one-way communication device 22 may include a data diode.
  • FIG. 2B is a diagram illustrating a configuration in which the first communication path 41 and the second communication path 42 include unidirectional communication paths 43A and 43B, respectively.
  • the one-way communication devices 22A and 22B may be the same broadcast transmitting station.
  • the one-way communication paths 43A and 43B may be the same data diode.
  • the transmission of the first information and the second information may be performed with different frequencies (for example, frequency multiplexing) or by time division.
  • FIG. 3A is a diagram for explaining an application example to the Internet banking system as the above-described embodiment.
  • the first terminal 10A is a personal computer (PC), and the second terminal 10B is a smartphone.
  • the first communication path 41 is the Internet.
  • the second communication path 42 as the second path includes a radio access network 42A such as LTE (Long Term Evolution), a mobile network (core network) 42B, a dedicated line 42C, a communication device 21 (broadcast station), and a one-way communication device. 22 (broadcast transmitting station) and one-way communication path 43 (broadcast wave).
  • the billing system 30 includes the information processing control device 31 described with reference to FIG. 1A.
  • the communication device 21 and the one-way communication device 22 correspond to the communication device 21 and the one-way communication device 22 of the information communication device 20 described with reference to FIG. 2A.
  • a personal computer, a smartphone, a broadcast station, and a broadcast transmission station are referred to by reference numerals 10A, 10B, 21, and 22.
  • the user 50 logs in to the internet banking of the account system 30 from the browser of the personal computer (PC) 10A, which is the first terminal, selects account transfer, and payee account information (for example, item: payee account number, transfer) Enter the name of the recipient, the transfer amount, etc.).
  • the 1st information which is the information transmitted from personal computer (PC) 10A which is the 1st terminal contains a part of transfer account number (for example, high-order digit number), transfer name, transfer amount, etc.
  • the user logs in to the internet banking of the account system 30 from the smartphone 10B as the second terminal, and inputs the remaining information (for example, the lower digit number) of the transfer destination account number.
  • the second information transmitted from the smartphone 10B includes, for example, the remaining information (lower digit number) of the transfer account number (item).
  • the second information is transferred from the smartphone 10B via the wireless access network 42A and the mobile network 42B to the broadcast station 21 via the dedicated line 42C and broadcast from the broadcast transmitting station 22.
  • the second communication unit 33 of the information processing control device 31 has an antenna, a tuner and the like for receiving broadcasts.
  • a part (for example, upper digit) of information of an item (transfer account number) included in the first information from the first communication path 41 received by the first communication unit 32 (FIG. 1A), and the second communication unit 33 A part of the information (transfer account number) included in the second information received in the second information received in FIG. 1A (the remaining lower digits) is matched, and the information (transfer account number) of the item (transfer account number) ).
  • the account system 30 searches the account information in which the restored transfer destination account number is registered, and checks whether the name of the transfer destination matches the name of the transfer destination included in the first information, for example. In the account system 30, if the result of the comparison is a match, the transfer process to the transfer destination is performed, and if there is a mismatch, the transfer process is not performed.
  • the information of the items (transfer account numbers) included in the first information and the second information may be all of the transfer account numbers (all digits) instead of a part of the items.
  • the account system 30 checks whether the bank account number included in the first information from the personal computer 10A matches the bank account number included in the second information from the smartphone 10B. No transfer process is performed.
  • the transaction from the personal computer 10A and the smartphone 10B may be processing such as opening an account or registering a new bank account other than account transfer.
  • FIG. 3B is a diagram for explaining an example of transfer by ATM (Automated [automatic] Teller Machine) as the above-described embodiment.
  • the first terminal 10A is an ATM terminal
  • the second terminal 10B is a smartphone.
  • the first communication path consists of a dedicated line 41A.
  • the second communication path includes a radio access network 42A such as LTE, a mobile network 42B, a dedicated line 42C, a broadcast station 21, a broadcast transmission station 22, and a broadcast wave 43 as a one-way communication path.
  • the ATM, the smartphone, and the dedicated line as the first communication channel are the broadcasting station, the broadcasting transmitting station, the broadcasting wave, and the billing system, respectively, with reference numerals 10A, 10B, 41A, 21, 22, 43, and 30 respectively.
  • the user 50 selects the transfer at ATM 10A, and pays the bank account information (for example, item: deposit type, bank account number (for example, 4-digit bank code, 3-digit store (branch) number, 7-digit account). Number), transfer name, transfer amount, etc.).
  • the bank account information for example, item: deposit type, bank account number (for example, 4-digit bank code, 3-digit store (branch) number, 7-digit account). Number), transfer name, transfer amount, etc.).
  • the first information which is information transmitted from the ATM 10A, includes a part of information (for example, upper digit (upper half)) of the item (transfer account number) and other items (transfer name, transfer amount, etc.).
  • the 2nd information which is information transmitted from smart phone 10B contains information on a part (for example, a lower digit (lower half)) of information on an item (transfer account number).
  • the first information is input from the ATM 10A to the billing system 30 through the dedicated line 41A.
  • the second information is transferred from the smartphone 10B to the broadcasting station 21 via the wireless access network 42A and the mobile network 42B via the dedicated line 42C and broadcast from the broadcast transmitting station 22.
  • the billing system 30 receives the broadcast wave 43.
  • the billing system 30 includes the information processing control device 31 shown in FIG. 1A.
  • the transfer account information (part) included in the first information from the first communication path 41 received by the first communication unit 32 of the information processing control device 31, and the second communication unit 33 The transfer account information (remaining) included in the received second information is matched, and the transfer account number is restored.
  • the account system 30 searches for the account information registered in advance based on the restored transfer destination account number, acquires the name of the transfer destination corresponding to the transfer destination account number, and the name of the transfer destination is the first information. Check if it matches the name of the bank account included in. If they match, transfer processing to the transfer destination is performed. If they do not match, transfer processing is not performed.
  • the transfer destination account information included in the first information and the second information is not a part, and may be all (all digits) of the transfer destination account information.
  • FIG. 3C is a diagram illustrating an example of remittance (transfer) by a corporation as the above-described embodiment.
  • the first terminal 10A is a personal computer (PC) of a person in charge 50A in a corporation
  • the second terminal 10B is a personal computer of a person in charge 50B.
  • the first communication path 41 includes a dedicated line / Internet 41B
  • the second communication path 42 includes a dedicated line / Internet.
  • the communication device 21 is a broadcasting station
  • the one-way communication device 22 is a broadcast transmitting station
  • the one-way communication path 43 is a broadcast wave.
  • the “private line / Internet” means a dedicated line or the Internet.
  • the billing system 30 includes the information processing control device 31 shown in FIG. 1A. Transfer account information included in the first information (input information of the person in charge) received from the first communication path 41 received by the first communication unit 32, and the second information (input of the responsible person) received by the second communication unit 33 Information) is checked whether the bank account information included in the information matches. If they match, remittance processing by transfer is performed. If they do not match, remittance processing by transfer is not performed.
  • the person in charge 50A and the person in charge 50B may be the same person (that is, the same person may input the first and second information from the first terminal 10A and the second terminal 10B, respectively).
  • FIG. 4A is a diagram illustrating an example of a normal procedure of Internet banking described with reference to FIG. 3A.
  • the transfer account number is simply four digits for convenience of drawing.
  • the radio access network 42A and the mobile network 42B in FIG. 3A are omitted.
  • Step S1> The user 50 accesses the website of the account system 30 from the web browser of the personal computer that is the first terminal 10A, logs in to Internet banking, selects the transfer, and selects a part of the transfer account number (“12”). ), The name of the payee, and the transfer amount. Information about the user (transfer requester name), transfer source account number (withdrawal account number), etc., registered in advance in the account system 30 is displayed on the screen of the first terminal 10A and the user 50 confirms it. You may do it. The user 50 inputs the remainder (“34”) of the transfer destination account number from the smartphone that is the second terminal 10B.
  • the billing system 30 may be connected to a smartphone that is the second terminal 10B when a user logs in to Internet banking from the personal computer that is the first terminal 10A and receives an input of a part of the transfer account number, name, and amount. You may make it push-notify the reminder of the remaining input of some transfer account numbers.
  • the billing system 30 may transmit a push notification from the Internet or the like to the smartphone as the second terminal 10 ⁇ / b> B via the mobile network instead of the route including the one-way communication path 43.
  • the user 50 inputs the remaining part (34) of the transfer account number from the smartphone which is the second terminal 10B.
  • Step S2> Part of the bank account number, the name of the bank account, the bank transfer amount, etc. input to the first terminal 10A are transmitted as first information to the billing system 30 via the first communication path.
  • the remainder of the transfer account number input to the second terminal 10B is transmitted as the second information to the billing system 30 via the broadcast station 21 and the broadcast transmitting station 22.
  • ⁇ Step S3> In the accounting system 30, a part of the transfer account number from the personal computer that is the first terminal 10 ⁇ / b> A: 12 and a remaining part of the transfer account number from the smartphone that is the second terminal 10 ⁇ / b> B are combined: 34.
  • Remittance account number: 1234 is reconstructed, verified with the account information in the storage unit (database) 35, and the name registered for the transfer account number: 1234 is input to the first terminal 10A. Check if it matches the name. In this case, the name of the bank account number: 1234 registered as the account information: Ichiro Hanzomon matches the bank account name transmitted from the first terminal 10A.
  • step S3 the billing system 30 receives a part of the transfer destination account number from the personal computer that is the first terminal 10A: 12 and the transfer destination account number from the smartphone that is the second terminal 10B.
  • the transfer transaction may be invalidated when the time difference of 34 inputs is equal to or longer than a predetermined time.
  • Step S4> The account system 30 executes a transfer to a transfer account number: 1234 and a transfer destination name: Ichiro Hanzomon.
  • FIG. 4B is a diagram illustrating an example of an input screen of a smartphone that is the second terminal 10B.
  • You may make it log in to internet banking from the smart phone which is the 2nd terminal 10B, and may input the remainder of a transfer account number from the input screen of the site of the account system 30.
  • the user 50 presses (tap) the confirmation button when the transfer account number is correctly input based on a part of the transfer account number input on the personal computer and the remaining transfer account number input on the smartphone.
  • the billing system 30 may notify that the remaining transmission route of the transfer account number input on the pop-up screen passes through the broadcasting station 21 by the push notification. Based on this notification, the smartphone application transmits the remaining information of the input bank account number to the account system 30 via the broadcast station 21 once.
  • FIG. 5 is a diagram exemplifying an abnormal time at the time of internet banking described with reference to FIG. 4A.
  • Step S11> The browser of the personal computer that is the first terminal 10A is hijacked by malware, and the browser display is rewritten (MITB attack).
  • the user 50 accesses the website of the accounting system 30 from the browser of the personal computer, which is the first terminal 10A, logs in to the internet banking, selects the transfer, and is part of the transfer account number (“12”). (Ichiro Hanzomon), enter the transfer amount. Then, a part of the transfer account number is altered from “12” to “56”, and the name of the transfer account is altered from “Ichiro Hanzomon” to “xxx xxx” and transmitted to the billing system 30.
  • the malware Since the malware displays a part of the transfer account number: “12” and the name: “Ichiro Hanzomon” on the screen of the first terminal 10A, the user 50 is unaware of the falsification and the first terminal 10A. Select “Confirm” of the input information from the PC.
  • step S11 the user 50 inputs the remaining part of the transfer account number (“34”) from the smartphone that is the second terminal 10B.
  • the account system 30 is the second terminal 10B when the user 50 logs in to the internet banking, inputs a part of the bank account number, the bank name, the bank transfer amount, etc., and receives the information. You may make it push-notify the reminder of the remaining input of a part of transfer account number to a smart phone.
  • the user 50 inputs the remaining part (34) of the transfer account number from the smartphone which is the second terminal 10B.
  • Step S12 Part of the transfer destination account number falsified from the first terminal 10A, the name, and the transfer amount are transmitted to the billing system 30 via the first communication path. The remainder of the bank account number input to the second terminal 10B is transmitted to the billing system 30 via the broadcast station 21 and the broadcast transmitting station 22.
  • the verification unit 34 of the information processing control device 31 in FIG. 1A uses a part of the transfer destination account number from the personal computer that is the first terminal 10 ⁇ / b> A: 56 and the transfer from the smartphone that is the second terminal 10 ⁇ / b> B. The remaining part of the destination account number: 34 is combined to reconstruct the transfer destination account number: 5634.
  • the name registered with respect to the transfer account number: 5634 is checked against the account information registered in the storage unit (database) 35 of the information processing control device 31. It is verified whether or not it matches the name of the bank account sent from 10A. In this case, transfer account number: “5634” and name: “xxx xxx” are not registered in the account information.
  • Step S14> In the accounting system 30, the transfer process is stopped. That is, when input information is falsified by malware in the first terminal 10A, the processing of the input information is not executed.
  • FIG. 6 is a diagram illustrating an example of a normal procedure of Internet banking described with reference to FIG. 3A.
  • duplicate transfer account numbers are entered. That is, the user 50 inputs bank account information (all) from the personal computer that is the first terminal 10A, and the same bank account information (all) as the personal computer that is the first terminal 10A from the smartphone that is the second terminal 10B. Enter.
  • Step S21> The user 50 accesses the website of the accounting system 30 from the browser of the personal computer, which is the first terminal 10A, logs in to the internet banking, selects the transfer, and the name of the transfer account number (all) (1234), Enter the transfer amount.
  • the user 50 accesses the website of the account system 30 from the smart phone which is the second terminal 10B, logs in to Internet banking, and inputs the transfer account number (all) (1234).
  • Step S22> The transfer destination account number, name, and transfer amount input to the first terminal 10A are transmitted to the billing system 30 via the first communication path.
  • the transfer account number input to the second terminal 10 ⁇ / b> B is transmitted to the billing system 30 via the broadcast station 21 and the broadcast transmission station 22.
  • Step S23> In the accounting system 30, a check is made to see if the transfer destination account number: 1234 from the personal computer that is the first terminal 10 ⁇ / b> A matches the transfer destination account number: 1234 from the smartphone that is the second terminal 10 ⁇ / b> B. In step S23, the billing system 30 inputs the transfer account number: 1234 from the personal computer as the first terminal 10A and the transfer account number: 1234 from the smartphone as the second terminal 10B. If the time difference is equal to or longer than a predetermined time, the transfer transaction may be invalidated.
  • Step S24> When the transfer system account number from the personal computer that is the first terminal 10A matches the transfer destination account number from the smartphone that is the second terminal 10B, the billing system 30 receives the transfer account number: 1234, the name: Hanzomon Make a transfer to Ichiro. If they do not match, no transfer is performed.
  • the accounting system 30 stores the storage unit of the information processing control device 31 when the transfer account number from the personal computer that is the first terminal 10A matches the transfer account number from the smartphone that is the second terminal 10B. You may make it confirm with the account information of (database) 35, and the name registered with respect to transfer account number: 1234 may correspond with the transfer account name transmitted from 10 A of 1st terminals. In this case, the name of the bank account number: 1234 registered as the account information: Ichiro Hanzomon matches the bank account name transmitted from the first terminal 10A.
  • FIG. 7 is a diagram exemplifying a procedure in the case of receiving the Internet banking MITB attack described with reference to FIG.
  • the first terminal 10A is hijacked by a browser or malware of a personal computer.
  • the user 50 accesses the website of the accounting system 30 from the browser of the personal computer, which is the first terminal 10A, logs in to the internet banking, selects the transfer, the transfer account number: 1234, and the name: Ichiro Hanzomon, the transfer amount When entered, the transfer account number is altered from “1234” to “5678”, and the name of the payee is altered from “Ichiro Hanzomon” to “xxx xxx” and transmitted to the billing system 30.
  • the malware Since the malware displays the transfer account number: “1234” and the name: “Ichiro Hanzomon” on the screen of the first terminal 10A, the user 50 is not aware of the falsification, and the “confirm” (OK button) of the input information ) Is selected.
  • the user 50 accesses the website of the account system 30 from the smartphone which is the second terminal 10B, logs in to Internet banking, and inputs the bank account number (1234).
  • Step S32> The transfer destination account number (5678), name (xxx xxx), and transfer amount, which have been falsified from the first terminal 10A, are transmitted to the billing system 30 via the first communication path.
  • the transfer account number: 1234 input to the second terminal 10B is transmitted to the billing system 30 via the broadcast station 21 and the broadcast transmitting station 22.
  • the collation unit 34 checks whether or not the bank account number 5678 from the personal computer as the first terminal 10 ⁇ / b> A matches the bank account number 1234 from the smartphone as the second terminal 10 ⁇ / b> B ( Collate).
  • Step S34> In the accounting system 30, since the check results do not match, the transaction is invalidated and the transfer is stopped. That is, when input information is falsified by malware in the first terminal 10A, the processing of the input information is not executed.
  • FIG. 8A is a diagram illustrating an example of the billing system 30 in FIG. 4A.
  • a reception system 301 and a database system (DB system) 302 are provided.
  • the reception system 301 and the database system 302 may constitute the verification unit 34 in FIG. 1A.
  • FIG. 8B is a diagram for explaining a processing procedure when the billing system 30 is configured as shown in FIG. 8A.
  • Step S101> The user 50 inputs the first ID and password to the first terminal 10A.
  • the first ID also referred to as “main ID”
  • main ID is a withdrawal account number.
  • Step S102> The first ID and password are transmitted from the first terminal 10A to the acceptance system 301 of the billing system 30.
  • the acceptance system 301 of the billing system 30 performs authentication based on the first ID and password, and notifies the first terminal 10A of the authentication confirmation result.
  • Step S104> The user 50 inputs the transfer request information (including the first half (upper digit) of the transfer destination account information) to the first terminal 10A.
  • the first terminal 10 ⁇ / b> A transmits the transfer request information and the time information when the transfer request is input via the first communication path 41.
  • the transfer request information includes, for example, the first half (upper digit) of the transfer destination account information, the transfer destination name, and the transfer amount.
  • Step S106> The user 50 inputs a second ID (also referred to as “sub ID”) and a password to the second terminal 10B.
  • the second ID is a withdrawal account number.
  • Step S107> The user 50 inputs the transfer request information (including the latter half (lower digits) of the transfer destination account information) to the second terminal 10B.
  • the second terminal 10B receives the second ID, the password, the second half (lower digits) of the transfer account information, and the time information at the time of the second input of the transfer account information via the second communication path 42.
  • the data is transmitted to the acceptance system 301 of the billing system 30.
  • the reception system 301 the first ID (withdrawal account number) matches the second ID (withdrawal account number), the time information from the first terminal 10A, and the time from the second terminal 10B. It is checked whether the condition that the time difference from the information is within a certain range is satisfied. When the condition is satisfied, the reception system 301 combines the first half and the second half of the transfer destination account information, and transmits it to the database (DB) system 302 of the account system 30 together with the transfer destination name.
  • DB database
  • the DB system 302 collates the transfer account information with the registered account information.
  • Step S111> The DB system 302 notifies the reception system 301 of the verification confirmation result.
  • the DB system 302 transmits a transfer acceptance confirmation to the first terminal 10A.
  • the accepting system 301 transmits a transmission execution instruction by transfer to the transfer remittance system.
  • FIG. 9 is a diagram for explaining the processing procedure of the system of FIG. Referring to FIG. 9, collation processing and information transmission / reception in the DB system 302 of FIG. 8B are omitted. Steps S101 to S103 and S106 are the same as in FIG.
  • step S104 the user 50 inputs the transfer request information (including the transfer destination account information) to the first terminal 10A.
  • step S ⁇ b> 105 the first terminal 10 ⁇ / b> A transmits the transfer request information and the time information when the transfer request is input via the first communication path 41.
  • the transfer request information includes, for example, transfer destination account information, transfer destination name, and transfer amount.
  • step S107 the user 50 inputs the transfer request information (including the transfer destination account information) to the second terminal 10B.
  • step S ⁇ b> 108 the second terminal 10 ⁇ / b> B receives the second ID, password, transfer destination account information, and time information at the time of input of the transfer destination account information via the second communication path 42, the acceptance system of the billing system 30. 301.
  • step S109 the reception system 301 determines whether the first ID (withdrawal account number) matches the second ID (withdrawal account number), the time information from the first terminal 10A, and the second terminal. It is checked whether the condition that the time difference from the time information from 10B is within a certain range is satisfied, and if it is satisfied, the reception system 301 receives the transfer destination account information from the first terminal 10A and the transfer destination from the second terminal 10B. Check if the account information matches. If they match, the reception system 301 transmits a transfer acceptance confirmation to the first terminal 10A in step S112, and transmits a transmission execution instruction by transfer to the transfer remittance system in step S113.
  • FIG. 10A is a diagram illustrating an example of the ATM in FIG. 3B.
  • the system configuration in FIG. 10A is the same as that in FIG.
  • the user 50 inputs a part of the bank account information (bank account number, bank account name, etc.) to the ATM which is the first terminal 10A, and the input information is sent via a dedicated line. It is transmitted to the billing system 30.
  • the rest of the transfer account information is input by the user 50 to the smartphone that is the second terminal 10 ⁇ / b> B, and is transmitted to the billing system 30 via the broadcast wave that is the one-way communication path 43.
  • the user 50 does not input all the bank account information to the ATM, but inputs a part of the divided information and inputs the rest to the smartphone. You may divide transfer account information how.
  • the transfer account number may be divided, or one of the transfer account number and the transfer account name may be input to the ATM and the other to the smartphone.
  • the bank account number is divided into two (upper and lower digits)
  • the bank account name is split into two (for example, the first half of the name and the second half of the name)
  • the split combination is input to the ATM and the other to the smartphone. May be.
  • (transfer destination account number upper digit, first half of name) may be input to ATM
  • (transfer destination account number lower digit, second half of name) may be input to the smartphone.
  • the ATM which is the first terminal 10A encrypts a series of items such as a withdrawal account number, a personal identification number (a personal identification number registered by the user when opening an account at a financial institution), bank transfer information (partial), and a bank transfer amount. It is encrypted with a key (for example, a common key) and transmitted to the billing system 30. In the accounting system 30, the encrypted information transmitted from the ATM is decrypted with a decryption key (common key).
  • a decryption key common key
  • the withdrawal account number, password (smartphone password), and transfer destination information (remaining) are encrypted with an encryption key (for example, a common key) and transmitted to the account system 30.
  • an encryption key for example, a common key
  • the encrypted information transmitted from the ATM is decrypted with a decryption key (common key).
  • the password from the smartphone that is the second terminal 10B may be a password used on the smartphone.
  • the ATM may issue and display a transaction number, and the user may input and transmit it to the smartphone.
  • the distribution of the common key may use Diffie-Hellman key exchange.
  • the account system 30 integrates the transfer account information (account number, name) based on the withdrawal account number (and transaction number), and collates with the account number / account name registered in advance and succeeds in collation Then transfer the money. If the bank account number is tampered with, the name of the bank account cannot be handled. For this reason, even if the transfer is executed, a transfer remittance error occurs. Therefore, even if the transfer destination information input to the ATM by the user 50 is falsified, the transfer remittance to the attacker's account can be prevented.
  • the second terminal 10B is a smartphone compatible with near field communication technology (NFC)
  • NFC near field communication technology
  • the input information may be displayed on the ATM 10A and the user may press the confirmation button. If the smartphone as the second terminal 10B is contaminated by malware or the like, there is a risk of unauthorized remittance. In order to avoid this risk, the user 50 may check on the screen of the ATM that is the first terminal 10A.
  • the smartphone that is the second terminal 10B may set and input the input information to the ATM by short-range wireless communication with the ATM that is the first terminal 10A.
  • input information from the smartphone that is the second terminal 10B is displayed at the ATM that is the first terminal 10A, and the user 50 presses the confirmation button on the screen of the ATM that is the first terminal 10A. Also good.
  • FIG. 11A is a diagram for explaining a modification of the ATM of FIG. 10A.
  • the system configuration of FIG. 11A is the same as FIG. 3B.
  • part or all of the bank account information (bank account number, bank account name, etc.) is transmitted from both the ATM and the smartphone to the account system 30.
  • the transfer account number is not a part of the transfer account information, but is input to the ATM which is the first terminal 10A and transmitted to the account system 30 via the dedicated line.
  • the name of the transfer destination account, the transfer amount, etc. are input to the ATM and transmitted to the account system 30 via a dedicated line.
  • a withdrawal account number a personal identification number (a personal identification number registered by the user when opening an account at a financial institution), bank transfer information (bank account number (all), bank account name),
  • a series of items such as the transfer amount is encrypted with an encryption key (for example, a common key) and transmitted to the account system 30.
  • the encrypted information transmitted from the ATM is decrypted with a decryption key (common key).
  • the withdrawal account number, password, and transfer account number are encrypted with an encryption key (for example, a common key) and transmitted to the account system 30.
  • an encryption key for example, a common key
  • the encrypted information transmitted from the ATM is decrypted with a decryption key (common key).
  • the password from the smartphone that is the second terminal 10B may be a password used on the smartphone.
  • the ATM may issue and display a transaction number, and the user may input and transmit it to the smartphone.
  • the portion (transfer destination (all) in FIG. 11A) transmitted by both the ATM and the smartphone is collated. If they match, the process proceeds to the next process. Even if the information input to the ATM or the smartphone is tampered with, it is possible to prevent remittance to the attacker's account. This is because if the information input to one of the ATM or the smartphone is falsified, the transfer destination account information transmitted from both the ATM and the smartphone becomes inconsistent, resulting in a transfer remittance error.
  • the account with the transfer destination account information registered in the database Information may be searched and it may be checked whether the name of the transfer destination corresponding to the transfer destination account information matches the name of the transfer destination transmitted from the ATM.
  • the transfer remittance process may be executed.
  • a transfer destination account number may be automatically input to an ATM using a smartphone near field communication (NFC).
  • NFC smartphone near field communication
  • the input information may be displayed by ATM and the user may press a confirmation button. If a smartphone is taken over, there is a risk of fraudulent remittance. In order to avoid this risk, the user 50 checks on the ATM screen. Or, using a smartphone ATM application, etc., enter the transfer account number, the transfer account name, and the transfer amount into the smartphone, and automatically input the transfer account number and transfer account name from the smartphone to the ATM.
  • the information may be transmitted to the billing system 30 via a smartphone, and further transmitted to the billing system 30 via a broadcast wave from a smartphone. Also in this case, the input information may be displayed by ATM, and the user may press the confirmation button.
  • the destination for example, bank C
  • the information message 71 for example, the remainder of the transfer account number
  • wireless access is performed.
  • the data is transmitted from the network, the mobile network, and the mediation service (relay device) to the destination bank C.
  • the destination for example, bank C
  • the destination for example, bank C
  • the destination for example, bank C
  • the destination for example, bank C
  • FIG. 12B is a diagram illustrating an example using broadcast waves according to the present embodiment.
  • the information message 71 (for example, the remainder of the transfer account number) from the smartphone that is the second terminal 10B is not given the final destination (bank C) by the user's smartphone 10B, for example, to the broadcast station 21 Sent.
  • identification information (ID) of the user of the broadcasting station 21 and a password are added.
  • the broadcast station 21 receives the information message from the smartphone, the broadcast station 21 performs authentication from the user identification information (ID) and password, and header information addressed to the bank registered in association with the user identification information (ID). And is transmitted from the broadcast transmitting station 22 to the bank.
  • information can be delivered economically and stably by using broadcast waves.
  • the broadcast wave is not used, as illustrated in FIG. 13A, it is necessary to install dedicated lines from the intermediary service (relay device) to many system installation sites (sites).
  • the intermediary service (relay device) and the base of each bank, which is a billing system are connected via the Internet (for example, VPN (Virtual Private Network)), it is difficult to transmit and receive information safely and stably. In some cases.
  • VPN Virtual Private Network
  • the system for receiving the broadcast wave is not limited to the bank.
  • the system for receiving the broadcast wave may be an IoT device.
  • IoT devices In the case of a large number of IoT devices distributed in a wide area, there is a great advantage in a system for remotely operating these IoT devices.
  • FIG. 14 is a diagram for explaining another embodiment of the present invention.
  • a one-way gateway (GW) 24A is used as a one-way communication path instead of a broadcast wave.
  • the user adds the user ID and password information of the mediation service 23 (relay device) from the smartphone that is the second terminal 10B, and sends the rest of the bank account information to the mediation service 23 (transfer account number).
  • An information message 71 including a part of information is input to a personal computer or ATM) is transmitted.
  • the mediation service 23 authenticates the user from the user ID and password information of the mediation service 23 transmitted from the smartphone that is the second terminal 10B. If the user ID and password information of the mediation service 23 are correct as a result of the authentication, the mediation service 23 refers to the registered user information 241 and sends an information message to the bank corresponding to the user ID of the mediation service 23. 72 (including the remainder of the transfer account number information) is generated. More specifically, the mediation service 23 corresponds to the user ID of the mediation service 23 in the destination information column of the information message 71 (including the rest of the transfer account number information) from the smartphone that is the second terminal 10B, for example.
  • the information message 72 is generated by changing to the bank C, and is transmitted to the bank C via the one-way gateway 24A and the leased line / Internet 44. Even if the information message from the smartphone serving as the second terminal 10B is wiretapped, the attacker 60 does not know the bank of the final destination (bank C). An information message is transmitted to a destination bank or the like via a one-way gateway 24A which is a one-way communication path. For this reason, there is no route to send back information.
  • FIG. 15 is obtained by adding steps A1-A4 related to the input information on the ATM side and steps B1-B7 related to the input information on the smartphone side in FIG. 10A.
  • FIG. 16 is a diagram for explaining the processing procedure of steps A1-A4 and B1-B7 of FIG.
  • Step A1> The user inputs the transfer information (part of the transfer account number, transfer name, transfer amount, etc.) to the ATM which is the first terminal 10A.
  • Step A2> In the ATM, which is the first terminal 10A, using the common key 1 issued by the bank, input information (withdrawal account number, user PIN, part of the transfer account number, transfer account name, transfer amount) Encrypt.
  • the common key 1 may be distributed using, for example, Diffie-Hellman key exchange.
  • Step A3> The ATM which is the first terminal 10A transmits a message with the bank as the destination.
  • the account system 30 receives a message from the ATM, which is the first terminal 10A, and uses the common key 1 to input information (withdrawal account number, user PIN, part of the transfer account number). , Transfer name, transfer amount).
  • Step B1> The user inputs the transfer information (remaining bank account number) to the smartphone that is the second terminal 10B.
  • Step B2> In the smart phone which is the second terminal 10B, the input information (remaining bank account number) is encrypted using the common key 2 issued by the bank.
  • the common key 2 For example, Diffie-Hellman key exchange may be used for the distribution of the common key 2 between the smartphone serving as the second terminal 10B and the bank.
  • Step B3> In the smart phone which is the second terminal 10B, the user ID and password registered by the user in advance and the bank destination are added and encrypted with the common key 3 issued from the broadcasting station 21 (broadcasting company). For example, Diffie-Hellman key exchange may be used for delivery of the common key 3 between the smartphone serving as the second terminal 10B and the broadcasting station 21 (broadcasting company).
  • Step B4> The smartphone that is the second terminal 10 ⁇ / b> B transmits a message addressed to the broadcast station 21.
  • the broadcasting station 21 decrypts the message using the common key 3 and performs authentication (identity confirmation) using the user ID and password. If the authentication is successful, a message is transmitted from the broadcast transmitting station 22 to the bank using a broadcast wave 43. By performing authentication using a password, information cannot be transmitted to the bank using broadcasting except for a user who has registered in advance with the broadcasting station 21 (broadcasting company).
  • the billing system 30 receives the message transmitted from the broadcast transmitting station 22 and decrypts the input information (remaining bank account number) using the common key 2.
  • the destination of the message from the smartphone is the broadcasting station 21, and at the broadcasting station 21, in step B5, A destination corresponding to the user ID transmitted from the smartphone that is the two terminal 10B may be added and transmitted to the destination by broadcast waves.
  • FIG. 17 is a diagram for explaining a modification of FIG. Steps B3 and B5 in FIG. 16 are corrected.
  • the smartphone serving as the second terminal 10B adds the broadcast station user ID and password registered in advance by the user, and encrypts with the common key 2 issued by the broadcast station (broadcasting company).
  • step B4 the smart phone which is the second terminal 10B adds the destination: broadcast station and transmits it.
  • Step B5-2 the broadcast station 21 / broadcast transmitting station 22 adds a destination (bank) corresponding to the broadcast station user ID and transmits it.
  • the embodiment may be used only when a transfer destination account is newly registered or when transfer is made to an unregistered account in order to reduce the burden on the user 50 and traffic. In this case, the traffic, load, etc. of the second communication path can be reduced.
  • both the first terminal 10A and the second terminal 10B, the ATM, and the smartphone display the transfer account number and the transfer account name (transfer account name). It may be. From the ATM that is the first terminal 10A, the transfer destination account number is transmitted from the first communication channel 41 to the billing system 30, and from the smartphone that is the second terminal 10B, the name of the transfer destination account is transmitted. May be.
  • FIG. 18 is a diagram illustrating still another embodiment of the present invention.
  • a one-way gateway 24B may be arranged at the entrance of the broadcasting station 21. With this configuration, information leakage from the broadcasting station 21 such as correspondence between the user ID and the destination can be prevented more reliably.
  • ⁇ Application example 1> The remittance from the corporation in FIG. 3C may be applied to overseas remittance (foreign remittance) by a financial institution. A large amount of financial damage is caused by foreign remittances. Compared to general users who need convenience, financial institutions may place more emphasis on safety. For this reason, transfer information is transmitted by a plurality of routes. As shown in FIG. 3C, foreign remittance information may be input by different persons for the first terminal 10A and the second terminal 10B, or the same person may You may input foreign remittance information (divided transfer account number etc.) from 1 terminal 10A and 2nd terminal 10B.
  • FIG. 19 is a diagram illustrating another application example.
  • the main operation terminal which is a terminal for controlling the plant control system 80 such as infrastructure such as electric power and gas, oil, and chemical
  • the sub-operation terminal is the second terminal 10B.
  • Information input to the main operation terminal (first terminal 10A) by the operator 50C includes a terminal ID, a command number (part), a command name, and the like.
  • Information input to the sub operation terminal (second terminal 10B) by the operator 50C includes a terminal ID, an identity verification ID, and a command number (remaining).
  • the first and second information from the main operation terminal (first terminal 10A) and the sub operation terminal (second terminal 10B) are part of information of items (for example, command numbers) input to these terminals. And the rest may be included.
  • the first information and the second information may include a command name and a command number as different items.
  • the first terminal 10A (main operation terminal) is connected to the plant control system 80 via the dedicated line / Internet 41B.
  • the second terminal 10B (sub-operation terminal) is connected to the plant control system 80 via the dedicated line / Internet 42D, the broadcast station 21, the broadcast transmitting station 22, and the broadcast wave 43.
  • the plant control system 80 includes the information processing control device 31 of FIG. 1A. In the plant control system 80, a part of the command number from the first terminal 10A and the rest of the command number from the second terminal 10B may be combined to generate one command number.
  • the plant control system 80 searches the comment name corresponding to the command number by referring to the storage unit (35 in FIG. 1A: table storing the correspondence between the command number and the command name) from the generated command number.
  • the plant control system 80 checks whether the command name matches the command name input to the first terminal 10A. If they match, the plant control system 80 executes the command.
  • the command name is divided and transmitted by the first terminal 10A (main operation terminal) and the second terminal 10B (sub operation terminal), and the command name is synthesized and restored by the plant control system 80, and the storage unit (FIG. 1A).
  • 35 a table storing the correspondence between command numbers and command names), the comment number corresponding to the command name is searched, and the first terminal 10A (main operation terminal) or the second terminal 10B (sub operation terminal) is searched. It may be checked whether it matches the command number transmitted from.
  • the operation is interrupted.
  • an attacker cannot perform an unauthorized operation unless both the first terminal 10A (main operation terminal) and the second terminal 10B (sub operation terminal) are taken over by malware.
  • the first terminal 10A (main operation terminal) and the second terminal 10B (sub operation terminal) may be integrated as one unit (however, they are electrically separated inside (no wireless connection exists) )).
  • the input to the main operation terminal and the sub operation terminal may be performed by different operators.
  • FIG. 20 is a diagram illustrating a data distribution service (also referred to as “data cast service”) as another application example.
  • a contractor information distribution source
  • Information (distribution destination information) input to the contractor's first terminal 10A is transmitted to the regional broadcasting station 81 via the dedicated line / Internet 41B as the first communication path.
  • Information (distribution destination information) input to the contractor's second terminal 10B is transmitted to the broadcast station 21 via the dedicated line 42C, broadcast at the broadcast transmitting station 22, and transmitted to the regional broadcast station 81. .
  • the regional broadcasting station 81 may be configured to include the information processing control device 31 of FIG. 1A.
  • the regional broadcasting station 81 collates the information transmitted from the first terminal 10A and the second terminal 10B of the contractor, determines the distribution destination, and distributes from the contractor from the broadcast transmitting station 82 corresponding to the distribution destination. Distribute information (content).
  • the regional broadcasting station 81 confirms that the delivery destination is within a predetermined range based on the information transmitted from the contractor. Broadcasters are required to take measures to prevent information distribution even if an attacker steals the contractor's identification information (ID) and password (PW).
  • ID identification information
  • PW password
  • the second information transmitted from the second terminal 10B may be the same distribution destination name (or distribution destination number) as the first information.
  • the first information transmitted from the first terminal 10A may be a part of the data distribution destination name (or distribution destination number).
  • the second information transmitted from the second terminal 10B may be the remainder obtained by dividing the data distribution destination name (or distribution destination number).
  • the collating unit 34 in FIG. 1A may combine the first and second information to restore the distribution destination name (or distribution destination number).
  • the storage unit (35 in FIG. 1A)
  • the correspondence between the number and the data delivery destination name may be stored.
  • the first information transmitted from the first terminal 10A may be a data distribution destination name
  • the second information transmitted from the second terminal 10B may be a distribution destination number.
  • the collation unit (34 in FIG. 1A) receives the first and second information from the first and second communication units (32 and 33 in FIG. 1A), respectively, and the storage unit (35 in FIG. 1A). ) From the registered data stored in the second information (distribution destination number), the distribution destination name may be searched to check whether there is a match with the distribution destination name of the first information.
  • a set of a plurality of names and codes may be prepared for the same delivery destination, and the name / code used each time may be changed.
  • the bank account information is divided, but the distribution destination information may be divided and input / transmitted. That is, with this configuration, it is possible to prevent the person in charge from negligence or intentional unauthorized distribution.
  • the person in charge 50A and the person in charge 50B input the delivery destination information to the contractor's first terminal 10A and second terminal 10B. The person in charge may perform it.
  • FIG. 21 is a diagram for explaining another application example.
  • the administrator is additionally registered in the IoT device 90.
  • the user inputs the password to the first terminal 10A (main operation terminal) and the second terminal 10B (sub operation terminal), and the first communication path is the dedicated line / Internet 41B, and the second communication path is the dedicated line /
  • the data is transmitted to the IoT device 90 via the Internet 42D, the broadcast station 21, the broadcast transmission station 22, and the broadcast wave 43.
  • the received passwords are compared with each other, and if they do not completely match, the registration is canceled in the IoT device 90.
  • the IoT device 90 may be configured to include the information processing control device 31 of FIG. 1A.
  • the command information (for example, command number) is divided, and the divided part and the rest are the first and second communication paths 41, 42.
  • the IoT device 90 includes the matching unit 34 of the information processing control device 31 of FIG. 1A described above.
  • the IoT device 90 combines a part of the divided command numbers and the rest transmitted from the first terminal 10A (main operation terminal) and the second terminal 10B (sub operation terminal) to restore the original command number. . Then, the IoT device 90 refers to the storage unit (35 in FIG.
  • the IoT device 90 It is good also as a structure controlled to perform.
  • the command name is divided and transmitted to the IoT device 90, and the command name is synthesized and restored by the IoT device 90 and stored. Section (35 in FIG.
  • 1A a table storing the correspondence between the command number and the command name), the comment number corresponding to the command name is searched, and the first terminal 10A (main operation terminal) or the second terminal 10B ( You may make it check whether it corresponds with the command number transmitted from the suboperation terminal.
  • the command name When transmitting a command to the IoT device 90, the command name may be transmitted from the first terminal 10A (main operation terminal) and the command number may be transmitted from the second terminal 10B (sub operation terminal).
  • a command name and a command number are transmitted from the first terminal 10A (main operation terminal) and the second terminal 10B (sub operation terminal), respectively, and when one of them is altered, it is recorded in the storage unit (35 in FIG. 1).
  • the command name and the command number may be determined so as not to correspond to the registered information (correspondence between the command number and the command name). For example, a different number may be assigned to each command.
  • the operator (user) 50D inputs command information to each of the first and second terminals 10A and 10B, and integrates them to collate (or collate with pre-registered information). Even if the information transmitted from the terminal is falsified, the suspicion of the falsification can be detected. For this reason, execution of an illegal command can be prevented more reliably.
  • the IoT device 90 is not limited to a camera or the like, and may be a drone, a vehicle IoT for automatic driving, or the like.
  • FIG. 22 is a diagram for explaining an embodiment of the present invention.
  • the second terminal 10B includes an HMAC calculation unit 101 that calculates HMAC (Hash-based Message Authentication Code), and a transmission unit 102 that transmits the calculated HMAC.
  • HMAC is one of message authentication codes (MAC), and is calculated based on a secret key (common key), a message (data), and a hash function.
  • the acceptance system 301 of the accounting system 30 includes a first information receiving unit 311, a second information receiving unit 312, a matching unit 313, an HMAC calculating unit 314 that calculates HMAC using the same algorithm and key as the HMAC calculating unit 101, An HMAC verification unit 315 is provided.
  • the first information receiving unit 311 receives the first information transmitted from the first terminal 10A via the dedicated line / Internet 41B as the first communication path.
  • the second information receiving unit 312 receives second information transmitted from the second terminal 10B via the second communication path (the dedicated line 42C, the broadcasting station 21, the broadcasting transmitting station 22, and the broadcasting wave 43).
  • the collation unit 313 collates whether the information of a predetermined item of the first information and the second information matches.
  • the HMAC calculation unit 314 calculates the HMAC of information on a predetermined item in the first information.
  • the HMAC verification unit 315 checks whether the HMAC from the second terminal 10B received as the second information matches the HMAC from the HMAC calculation unit 314.
  • FIG. 23 is a diagram for explaining the operation of the embodiment of FIG.
  • the user 50 inputs the first ID and the password to the first terminal 10A.
  • the first ID is, for example, a withdrawal account number.
  • Step S202> The first ID and password are transmitted from the first terminal 10A to the acceptance system 301 of the billing system 30.
  • the reception system 301 performs authentication based on the first ID and password, and notifies the authentication confirmation result.
  • Step S204> The user 50 inputs the transfer request information to the first terminal 10A.
  • the first terminal 10 ⁇ / b> A transmits the transfer request information and the time information when the transfer request is input via the first communication path 41.
  • the transfer request information includes transfer destination account information, transfer destination name, and transfer amount.
  • the HMAC calculation unit 314 of the reception system 301 calculates the HMAC of the transfer destination account information.
  • Step S207> The user 50 inputs the second ID and password to the second terminal 10B.
  • the second ID is a withdrawal account number.
  • Step S208> The user 50 inputs the transfer account number into the second terminal 10B.
  • the HMAC calculation unit 101 of the second terminal 10B calculates the HMAC of the transfer account number.
  • the transmission unit 102 of the second terminal 10B transmits the second ID, password, transfer account information, HMAC, and time information at the time of input of the transfer account information to the account system 30 via the second communication path 42. It transmits to the reception system 301.
  • the verification unit 313 of the reception system 301 confirms whether the first ID (withdrawal account number) from the first terminal 10A matches the second ID (withdrawal account number) from the second terminal 10B, and It is checked whether the condition that the time difference between the time information from the first terminal 10A and the time information from the second terminal 10B is within a certain range is satisfied.
  • the HMAC matching unit 315 checks whether the HMAC calculated by the HMAC calculation unit 314 matches the HMAC from the second terminal 10B.
  • Step S212> The first ID (withdrawal account number) from the first terminal 10A matches the second ID (withdrawal account number) from the second terminal 10B, and the time information from the first terminal 10A and the second terminal.
  • the reception system 301 confirms the transfer reception confirmation by the first terminal. Send to 10A.
  • Step S213 The accepting system 301 transmits a transfer remittance execution instruction to the remittance system.
  • a command number may be transmitted from the first terminal 10A, and the second terminal 10B may generate and transmit authentication information from the newly input command number.
  • authentication information is generated from the command number received from the first terminal 10A by using the same algorithm and key as those of the second terminal 10B, collated with the authentication information received from the second terminal, and falsified. You may make it confirm that there is no.
  • FIG. 24 is a diagram illustrating still another embodiment of the present invention.
  • the face image 51 of the user 50 is divided, and the partial image 51A that is one of the divided images is connected from the first terminal 10A to the Internet 41C that is the first communication path, and the other partial image 51B that is divided.
  • the authentication system 91 the partial image 51A received via the first communication path 41 and the partial image 51B received via the broadcast wave 43 are combined, and face authentication is performed based on the combined image.
  • the face image 51 may be captured and divided by one camera (not shown) of the first terminal 10A and the second terminal 10B, and the divided image may be transmitted to another terminal.
  • an authentication system 91 (authentication program) that performs face authentication may be mounted on a smartphone or the like.
  • the first terminal 10A and the second terminal 10B are, for example, communication terminals of the authentication center registered in the face image information database, and the face image 51 registered in the database or the like is the first terminal 10A and the second terminal 10B.
  • the divided images may be transmitted to other terminals, received by a destination smartphone or the like, and authenticated based on the synthesized image.
  • a fingerprint, a palm print, etc. may be used.
  • the same face image may be transmitted from the first terminal 10A and the second terminal 10B to the destination authentication system 91 via the first communication path 41 and the second communication path 42.
  • the image is not limited to a face image, fingerprint, palm print, or the like, and may be a predetermined two-dimensional image, for example, a two-dimensional code.
  • FIG. 25 is a diagram illustrating a configuration in which the information processing control device 31 of FIGS. 1A and 1B is realized by a computer device 400.
  • the computer device 400 includes a processor 401, a storage device 402, a display device 403, and a communication interface 404.
  • the storage device 402 includes a hard disk drive (Hard Disk Drive: HDD), a semiconductor memory (for example, a solid state drive (SSD)), a dynamic random access memory (Dynamic Random Access Memory: DRAM), and a static random access memory (Static).
  • HDD Hard Disk Drive
  • SSD solid state drive
  • DRAM Dynamic Random Access Memory
  • Static static random access memory
  • the communication interface 404 implements the functions of the first and second communication units 32 and 33 shown in FIGS. 1A and 1B.
  • the processor 401 implements the function of the information processing control device 31 of the above-described embodiment by executing a program stored in the storage device 402.
  • the information processing control device 31 of the above-described embodiment by executing a program stored in the storage device 402.
  • all information may be input to the ATM and the smartphone, and each of the ATM and the smartphone may transmit a part of the input information. If all information is input to the ATM and the smartphone, it is possible to avoid the trouble of inputting only a part of the account number.
  • the part to be input to each terminal may be designated from the system side. Moreover, you may make it change an input part each time.
  • the part to be transmitted from each terminal may be designated from the system side. You may change a transmission part each time.
  • the first terminal and the second terminal have been described as examples.
  • the terminal is not limited to two terminals, and the number of terminals for inputting information may be three or more.
  • Patent Document 1 above is incorporated herein by reference.
  • the embodiments and examples can be changed and adjusted based on the basic technical concept.
  • Various combinations or selections of various disclosed elements including each element of each claim, each element of each embodiment, each element of each drawing, etc. are possible within the scope of the claims of the present invention. . That is, the present invention of course includes various variations and modifications that could be made by those skilled in the art according to the entire disclosure including the claims and the technical idea.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本発明は、端末からの入力情報を改ざんするサイバー攻撃等に対してセキュアなICTシステム(又はICT利用)を実現可能とする。情報通信装置は、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末がそれぞれ送信する第1情報と第2情報のうち、前記第1情報は、第1通信路を介して前記第1情報と前記第2情報に基づき前記項目に関する照合を行う情報処理制御装置に送信され、前記第2情報を第2通信路を介して受け取り、前記第2情報を一方向性の通信路を介して前記情報処理制御装置に送信する。

Description

情報処理制御装置、情報通信装置、情報通信システム、端末、方法、プログラム、記録媒体
(関連出願についての記載)
 本発明は、日本国特許出願:特願2018-025714号(2018年2月16日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
 本発明は、情報処理制御装置、情報通信装置、情報通信システム、端末、方法、プログラム、記録媒体に関する。
 近時、インターネットバンキング等、各種取引等のICT(Information and Communication Technology)利用が進む中、サイバー攻撃者によるMan-in-the-Browser(MITB)と呼ばれる攻撃が新たな脅威となっている。
 よく知られているように、MITB攻撃は、端末の中でマルウェアがブラウザ内でサーバ(例えばWebサーバ)との間での送受信データを改ざんする。例えば、マルウェアが利用者によるインターネットバンキング(オンラインバンキング)等へのログインを検知し振込先口座番号を差し替えることで、不正の送金先へ振込送金するなどの攻撃が行われる。この場合、利用者の端末には、利用者が入力した振込先口座番号が表示されるため、利用者には騙されていることを見抜く方法が存在しない。また、銀行等のサーバ等からは正規の端末から正しく認証手続きを踏んでいるように見えるため、ワンタイムパスワードや電子証明書による認証でもなりすましを見破ることができない。そして、中間者攻撃(Man-in-the-Middle Attack)に有効なマルチパス・ルーティングでも、MITB攻撃を防止することはできないことが知られている。
 暗号化された振込指示等のメッセージが解読・改ざんされるリスクを十分小さくした場合であっても、例えば、以下の脅威が存在する。このため、スマートフォン等による多要素認証(二要素認証)では、被害の防止は保障されない。
手口1:暗号化の前に振込先等が改ざんされ、攻撃者の口座に送金が行われる。
手口2:認証暗号の鍵が攻撃者によって書き換えられ、攻撃者が振込先等を改ざんした振込指示を送信し、攻撃者の口座に送金が行われる。
 金融機関や法人の送金システム、税務会計等でも、上記と同様の脅威が存在する。さらに、電気、ガス等の基幹インフラや、プラント、交通情報システム、IoT(Internet of Things)機器等の制御等でも、同様な脅威が存在する。
 MITB攻撃を防ぐ方法として、取引内容(トランザクション)の改ざんを、パソコン等の端末とは別の端末を用いて確認する「トランザクション認証」の仕組みが知られている。
 トランザクション認証では、例えば、インターネットバンキングの取引実行時に、送金先の口座番号や送金の金額情報などをスマートフォン上のソフトウェアトークン又は二次元コード読み取り機能付きハードウェアトークンに表示し、利用者が目視で送金情報を確認したうえ、取引続行の可否を選択できる。このようにすることで、マルウェアの送金情報改ざんによる不正送金を未然に防止することが可能である。しかしながら、利用者の目視確認では、名義が似ている振込先に改ざんされて表示された場合など、利用者の確認ミスが発生するリスクがある。また利用者が目視確認を怠るというリスクもあり得る。
 例えば、テンキー付のトークンを使い、利用者がテンキーに振込先口座番号を入力することで時刻情報に加え、口座番号とも紐付いたワンタイムパスワード(トランザクション認証対応ワンタイムパスワード)を生成する手法等も知られている。
 しかし、この手法では、マルウェアが画面を差し替えて犯罪者の口座番号の入力を指示し、利用者が指示されるままに該口座番号を入力すれば、犯罪者の口座への送金を阻止することはできない。また、トークンに口座番号を入力し、確認コードを端末に入力する手間がかかる。さらに、利用者への仕組みの説明が容易でなく、金融機関が導入を躊躇する。
 なお、特許文献1には、情報通信におけるセキュリティを確保する情報通信装置として、第1の通信網を介してデータ通信する第1の通信部と、前記第1の通信網とは異なった第2の通信網を介してデータ通信する第2の通信部と、前記第1及び第2の通信部がそれぞれ受信したデータをマッチングし、同じ情報源からの第1及び第2情報を組み合わせて1つの受信情報を生成するデータマッチング部とを備えた情報通信装置が開示されている。また、特許文献1には、情報端末装置として、ユーザの操作に応答して入力データを生成する入力部と、前記第1の通信網を介して前記情報通信装置とデータ通信する第3の通信部と、前記第2の通信網を介して前記情報通信装置とデータ通信する第4の通信部と、前記入力データを分割して前記第1及び第2情報を生成し、当該第1情報を前記第3の通信部から前記情報通信装置へ送信し、当該第2情報を前記第4の通信部から前記情報通信装置へ送信する入力データ分割部とを備えた構成が開示されている。
特開2005-039677号公報
 上記したMITB攻撃等のサイバー攻撃は、金融取引等以外に、例えば情報配信、IoT制御、プラント制御、防災等、各種ICTシステム(ICTを利用したシステム)においてもその対策が必要とされる。さらに、海外から、あるいは海外を経由したサイバー攻撃も多発している。
 したがって、本発明の目的は、例えば端末からの入力情報を改ざんするサイバー攻撃等に対してセキュアなICTシステム(又はICT利用)を実現可能とする装置、システム、方法、プログラム、記録媒体を提供することにある。
 本発明の一つの形態によれば、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末がそれぞれ送信する第1情報と第2情報のうち、
 前記第1情報は、第1通信路を介して、前記第1情報と前記第2情報に基づき前記項目に関する照合を行う情報処理制御装置に送信され、
 前記第2情報を、第2通信路を介して、受け取る通信装置と、
 受け取った前記第2情報を、前記第2通信路を構成する少なくとも1つの一方向性の通信路を介して、前記情報処理制御装置に送信する一方向通信装置と、を備えた情報通信装置が提供される。
 本発明の一つの形態によれば、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末の一方から第1情報、前記第1端末と前記第2端末の他方から第2情報を、それぞれ第1通信路と第2通信路を介して、受け取る受付部を備え、前記第1通信路と前記第2通信路の少なくとも一方は、少なくとも1つの一方向性の通信路を含み、前記第1通信路と前記第2通信路を介して受け取った前記第1情報と前記第2情報に基づき前記項目に関して照合を行い、照合結果に基づき、前記第1情報と前記第2情報の少なくとも一方に対応した処理の実行を制御する照合部を備えた、ことを特徴とする情報処理制御装置が提供される。
 本発明の一つの形態によれば、情報通信装置と、情報処理制御装置と、を備え、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末がそれぞれ送信する第1情報と第2情報のうち、前記第1情報は、第1通信路を介して、前記情報処理制御装置に送信され、前記情報通信装置は、前記第2端末から前記第2情報を、第2通信路を介して受け取り、受け取った前記第2情報を、前記第2通信路を構成する少なくとも1つの一方向性の通信路を介して、前記情報処理制御装置に送信し、前記情報処理制御装置では、前記第1情報と前記第2情報に基づき前記項目に関し照合を行い、照合結果に基づき、前記第1情報と前記第2情報の少なくとも一方に対応した処理の実行を制御する情報通信システムが提供される。
 本発明の一つの形態によれば、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ複数の端末に入力され、それぞれに入力された情報を、情報処理制御装置に向けて送信する端末であって、前記入力された情報を一方向性の通信路を含む通信路を介して前記情報処理制御装置に送信する端末が提供される。
 本発明の一つの形態によれば、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末がそれぞれ送信する第1情報と第2情報のうち、
 前記第1情報は、第1通信路を介して、前記第1情報と前記第2情報に基づき前記項目に関する照合を行う情報処理制御装置に送信され、
 前記第2情報を、第2通信路を介して、受け取り、
 受け取った前記第2情報を、前記第2通信路を構成する少なくとも1つの一方向性の通信路を介して、前記情報処理制御装置に送信する情報通信方法が提供される。
 本発明の一つの形態によれば、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末の一方から第1情報、前記第1端末と前記第2端末の他方から第2情報を、それぞれ第1通信路と第2通信路を介して、受け取り、
 前記第1及び第2通信路の少なくとも一方は、少なくとも1つの一方向性の通信路を含み、
 前記第1通信路と前記第2通信路を介して受け取った前記第1情報と前記第2情報に基づき前記項目に関して照合を行い、照合結果に基づき、前記第1情報と前記第2情報の少なくとも一方に対応した処理の実行を制御する情報処理制御方法が提供される。
 本発明の一つの形態によれば、予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末の一方から第1情報、前記第1端末と前記第2端末の他方から第2情報を、それぞれ第1通信路と第2通信路を介して、受け取り、
 前記第1及び第2通信路の少なくとも一方は、少なくとも1つの一方向性の通信路を含み、
 前記第1通信路と前記第2通信路を介して受け取った前記第1情報と前記第2情報に基づき前記項目に関して照合を行い、照合結果に基づき、前記第1情報と前記第2情報の少なくとも一方に対応した処理の実行を制御する処理をコンピュータに実行させるプログラムが提供される。
 本発明によれば、上記プログラムを記憶したコンピュータ読み出し可能な記録媒体(例えばRAM(Random Access Memory)、ROM(Read Only Memory)、又は、EEPROM(Electrically Erasable and Programmable ROM)等の半導体ストレージや、HDD(Hard Disk Drive)、CD(Compact Disc)、DVD(Digital Versatile Disc)等の非一時的なコンピュータ読み出し可能な記録媒体(non-transitory computer readable recording medium))が提供される。
 本発明によれば、端末からの入力情報を改ざんするサイバー攻撃等に対してセキュアなICTシステム(又はICT利用)を実現可能としている。
本発明の一実施形態を説明する図である。 本発明の一実施形態を説明する図である。 本発明の一実施形態を説明する図である。 本発明の一実施形態を説明する図である。 本発明の一実施形態を説明する図である。 本発明の実施形態1を説明する図である。 本発明の実施形態2を説明する図である。 本発明の実施形態3を説明する図である。 本発明の実施形態1を説明する図である。 本発明の実施形態1を説明する図である。 本発明の実施形態1の別の例を説明する図である。 本発明の実施形態1の別の例を説明する図である。 本発明の実施形態1の別の例を説明する図である。 本発明の実施形態の勘定系システムを説明する図である。 本発明の実施形態の処理手順を説明する図である。 本発明の実施形態の処理手順を説明する図である。 本発明の実施形態2を説明する図である。 本発明の実施形態2を説明する図である。 本発明の実施形態2の別の例を説明する図である。 本発明の実施形態2の別の例を説明する図である。 比較例を説明する図である。 本発明の実施形態を説明する図である。 比較例を説明する図である。 本発明の実施形態を説明する図である。 本発明の別の実施形態を説明する図である。 本発明の実施形態2を説明する図である。 本発明の実施形態2における暗号化処理の一例を説明する図である。 本発明の実施形態2における暗号化処理の別の例を説明する図である。 本発明の別の実施形態を説明する図である。 応用例を説明する図である。 別の応用例を説明する図である。 さらに別の応用例を説明する図である。 本発明の別の実施形態を説明する図である。 図22の実施形態の処理手順を説明する図である。 本発明の別の実施形態を説明する図である。 本発明のさらに別の実施形態を説明する図である。
 本発明の実施形態について説明する。本発明の一形態によれば、図1Aを参照すると、第1端末10A、第2端末10Bは、同一の入力情報を入力するか、又は、前記入力情報を分割した一部とその残りをそれぞれ入力し、入力した情報をそれぞれ第1通信路41、第2通信路42から情報処理制御装置31に送信する。
 情報処理制御装置31は、第1端末10Aから、前記入力情報又は前記入力情報の一部を含む第1情報と、第2端末10Bから前記入力情報又は前記入力情報の残りの一部を含む第2情報とを、それぞれ、第1、第2通信路41、42を介して受け取る第1、第2通信部32、33を備えている。図1Aの形態では、第2通信路42は、第2端末10Bから情報処理制御装置31までの経路内に、少なくとも一方向通信路43を含む。
 情報処理制御装置31は、第1、第2通信路41、42経由で受け取った第1情報と第2情報を照合する照合部34と、照合部34での照合結果に基づき、前記入力情報に対応した処理の実行を制御する処理実行制御部36を備える。
 情報処理制御装置31において、前記第1情報と第2情報がともに前記入力情報を含む場合、照合部34は、前記第1情報に含まれる前記入力情報と前記第2情報に含まれる前記入力情報が一致するか否か確認し、不一致の場合、前記入力情報は処理実行制御部36に供給せず、一致の場合、前記入力情報を処理実行制御部36に供給するようにしてもよい。照合部34は、前記第1情報と前記第2情報の前記入力情報が一致の場合、さらに登録情報を参照して、前記入力情報を処理実行制御部36に供給するようにしてもよい。
 前記第1情報が前記入力情報の一部を含み、第2情報が前記入力情報の残りを含む場合、照合部34は、前記第1情報の前記入力情報と前記第2情報の前記入力情報の残りを合成(結合)して、前記入力情報を復元し、復元した入力情報が、記憶部35に予め登録情報として登録されているか否か確認する。照合部34は、復元した前記入力情報が登録情報と一致する場合、復元した前記入力情報を処理実行制御部36に供給し、不一致の場合、前記入力情報は処理実行制御部36に供給しないようにしてもよい。なお、処理実行制御部36は、処理を実行する処理実行部(不図示)を備えた構成としてもよいし、あるいは、処理実行制御部36と、処理実行部(不図示)とを通信接続する構成としてもよい。
 なお、図1Aでは、情報処理制御装置31は、第1通信部32、第2通信部33、照合部34、処理実行制御部36を1つのユニット内に備えた構成として例示されているが、これらは、各自が別々の単体装置として、例えばLAN(Local Area Network)等のネットワークを介して相互に接続する構成してもよいことは勿論である。
 また、情報処理制御装置31は、複数のサーバシステム等(例えばプレゼンテーション層、アプリケーション層、データ層の3階層構成、又はその一部)として構成してもよいことは勿論である。3階層構成のプレゼンテーション層は、端末上のWebブラウザからHTTP(Hypertext Transfer Protocol)リクエストを受信しその応答(HTTPリプライ)を端末に返却するWebサーバを備える。該HTTPリクエストがアプリケーションの実行を伴うような処理の場合には、Webサーバは、入力データを解析し、処理をアプリケーション層のアプリケーションサーバに要求し、その結果(処理結果)を、Webブラウザに返却する。アプリケーションサーバは、Webサーバからの処理要求に対して、例えば業務ロジックを実行し、必要であれば、データ層のデータベースサーバ等(バックエンドサーバ)に対して、データの参照や更新要求を行う。データベースサーバ等は、アプリケーションサーバからのデータの参照、更新処理を実行し、処理結果を返却する。この場合、図1Aの第1、第2通信部32、33をWebサーバとして実装し、照合部34をアプリケーションサーバとして実装し、処理実行制御部36を、業務アプリケーションを行うアプリケーションサーバ又はデータベースサーバ等のバックエンドサーバとして構成してもよい。
 また、後述される実施形態において、情報処理制御装置31を、PLC(Programmable Logic Controller)やIoT機器のコントローラとして実装するようにしてもよい。
 図1Aにおいて、第1端末10AのWebブラウザがマルウェアに乗っ取られ、第1情報が攻撃者により改ざんされた場合であっても、照合部34では、該第1情報と、第2端末10Bからの第2情報とを付き合わせ、その際、第1情報と第2情報が部分情報である場合、第1情報と第2情報を合成し、記憶部35の登録情報との照合結果に基づき、入力情報に対応した処理の実行を制御する。処理実行制御部36では、照合部34での照合の結果、登録情報のうち合成した情報に一致するものが存在する場合、入力情報に対応した処理を実行する。一方、見つからない場合、処理実行制御部36では入力情報の処理を実行しない。
 なお、第1端末10A、第2端末10Bは、それぞれ、主端末、副端末と称してもよい(その逆に、第1端末10A、第2端末10Bは、副端末、主端末として機能させてもよい)。
 次に、第1端末10A、第2端末10Bにそれぞれ入力される情報(項目)についていくつかの例を説明する(ただし、以下に制限されない)。
<例1>
 端末に入力される情報の項目が、例えば、金融機関の口座振込(利用者の口座から相手(振込先)の口座への資金移動)における振込先口座番号である場合、図1Aの記憶部35に記憶される登録データは、勘定系システムのデータベースに保管される口座情報であってもよい。また、処理は、振込による送金処理であってもよい。あるいは、処理は、第1端末10Aでの操作に応じて、口座開設処理等であってもよい。
 この場合、第1端末10Aから送信される第1情報は、項目(振込先口座番号)の情報の全て又はその一部(部分データ)を含むものであってもよい。
 第2端末10Bから送信される第2情報は、当該項目(振込先口座番号)の全て又はその一部(振込先口座番号から上記部分データを除いた残りの部分データ)を含むものであってもよい。
 照合部34では、第1情報と第2情報が、上記項目(振込先口座番号)の情報の部分データである場合、第1情報と第2情報を合成して、上記項目(振込先口座番号)の情報である振込先口座番号を復元する。
 照合部34では、例えば記憶部35に登録されている口座情報と照合し、復元した振込先口座番号が登録されているか否かをチェックする。
 そして、復元した振込先口座番号が登録されている場合、照合部34では、例えば、振込先口座番号に紐付けられた振込先名義人と、第1端末10Aから送信された振込先名が一致するかチェックする。そして、振込先口座番号に紐付けられた振込先名義人と、第1端末10Aから送信された振込先名が一致する場合、処理実行制御部36に、利用者の口座から振込先へ、振込金額分の資金を移動させる。振込先口座番号に紐付けられた振込先名義人と、第1端末10Aから送信された振込先名が一致しない場合、処理実行制御部36での振込処理は実行しない。
 第1端末10Aから送信される第1情報と第2端末10Bから送信される第2情報が、上記項目(振込先口座番号)の情報の一部でなく、全体(振込先口座番号全体(例えば銀行の場合、4桁の銀行コード・3桁の店番号・7桁の口座番号)など)である場合、照合部34では、第1情報(振込先口座番号全体)と第2情報(振込先口座番号全体)が一致するか比較し、不一致の場合、処理は実行しない。また、第1情報と第2情報が一致した場合、口座情報を参照して、登録されている振込先名義人と、第1端末10Aから送信された振込先名が一致するか否か照合するようにしてもよい。
 なお、第1、第2情報は、振込先口座番号又はその一部(部分データ)のほか、振込先名義(又はその一部)等であってもよい。
 特に制限されないが、処理実行制御部36は、振込処理の実行とその制御を行う業務システム、及び、データ管理、勘定系システム等の基幹業務のバッチ系処理等を行うバックエンドサーバシステム等、複数のシステムからなる情報処理システムとして構成してもよい。
<例2>
 情報処理制御装置31は、制御システム、電力、ガス等の基幹インフラ、産業機器、ICT(Information and Communication Technology)端末として機能する車(コネクテッドカー)、IoT機器、M2M(Machine to Machine)機器等であってもよい。第1端末10A又は第2端末10Bは、制御対象を制御する管理センター側の端末であってもよい。
 端末に入力される情報の項目は、例えば、コマンド(コマンド名、パラメータ)等であってもよい。
 第1端末10Aから送信される第1情報は、制御システム、IoT機器等で実行されるコマンドのコマンド名、第2端末10Bから送信される第2情報は、該コマンドのコマンド番号であってもよい。
 照合部34では、登録データから、第2情報として受信したコマンド番号を検索し、第1情報として受信したコマンド名と一致するものがあるか、照合する。
 処理実行制御部36は、照合部34での照合結果に基づき、コマンドの実行を制御するコントローラ、あるいはコントロールシステム等からなる。
<例3>
 端末に入力される情報の項目が、例えば、パスワードであり、処理は、パスワードの登録処理であってもよい。
 第1端末10Aから送信される第1情報は、パスワード(全て)、第2端末10Bから送信される第2情報は、パスワード(全て)であってもよい。
 処理実行制御部36は、パスワードの登録の実行を制御する情報処理システム、あるいは、IoT機器のコントローラ等として構成してもよい。
<例4>
 図1Aの情報処理制御装置31は、配信先へデータ配信を行う装置であってもよい。
 第1端末10Aに入力される情報の項目は、データの配信先名(又は配信先番号)であってもよい。第2端末10Bに入力される情報の項目は、第1端末10Aと同様、同一の配信先名(又は配信先番号)であってもよい。
 第1端末10Aに入力される情報は、上記項目(データの配信先名又は配信先番号)を分割した一部であってもよい。第2端末10Bに入力される情報は、上記項目(データの配信先名又は配信先番号)を分割した残りであってもよい。照合部34では、第1端末10A、第2端末10Bからそれぞれ送信される第1、第2情報(配信先名又は配信先番号の部分情報)を受信すると、これらを合成し、配信先名又は配信先番号を復元するようにしてもよい。
 第1、第2端末10A、10Bにそれぞれ入力する情報の一方が、配信先番号である場合、図1Aの記憶部35には、配信番号と、データの配信先名との対応を記憶してもよい。例えば第1端末10Aに入力される項目は、データの配信先名、第2端末10Bに入力される項目は、配信先番号であってもよい。照合部34では、第1、第2端末10A、10Bから送信された第1、第2情報を、第1、第2通信部32、33からそれぞれ受け取り、記憶部35に記憶されている登録データから第2情報(配信先番号)にて、配信先名を検索し、第1情報の配信先名と一致するものがあるか照合するようにしてもよい。
 処理実行制御部36は、照合の結果、一致する場合、配信先への配信処理の実行を制御する。
<例5>
 第1情報が、第1端末10Aに入力した入力情報を含み、第2情報は、第2端末10Bに重複して入力した入力情報から計算される認証コードを含むようにしてもよい。照合部34は、第1情報の認証コードを計算し、第2情報として送信された認証コードと一致するか照合するようにしてもよい。認証コードは、MAC(Message Authentication Code)等であってもよい。 
<例6>
 情報処理制御装置31は、顔認証等を行う生体認証装置であってもよい。この生体認証システムにおいて、第1端末10Aから送信される第1情報は、撮像された利用者の顔画像(指紋、掌紋)、又は該画像を分割した一部を含むようにしてもよい。第2端末10Bから送信される第2情報は、該利用者の顔画像(指紋、掌紋)、又は画像を分割した残りであってもよい。第1端末10A又は第2端末10Bの一方において、利用者を撮像した画像を分割し、分割した一方を、他の端末に送信する構成としてもよい。情報処理制御装置31は、第1端末10Aから送信された第1情報の画像と、第2端末10Bから送信された第2情報の部分情報を受信すると、これらを合成して認証を行う。あるいは、第1情報の画像と第2情報が一致するかチェックして認証を行う。なお、第1端末10A又は第2端末10Bは、認証センター側の端末であってもよい。情報処理制御装置31は、利用者側のスマートフォン等であってもよい。
 次に、通信路について説明する。
 第1通信路41は、専用回線(専用線)であってもよい。あるいは、インターネット等の広域ネットワーク(Wide Area Network:WAN)であってもよい。インターネット等の広域ネットワークの場合、第1端末10Aとの第1通信部32はVPN(Virtual Private Network)で接続してもよい。
 第2通信路42は、無線通信網(無線アクセス網)、携帯通信網(コアネットワーク)等を含んでもよい。第2通信路42は、専用線を含む構成としてもよい。
 第2通信路42の経路(宛先までの経路)において、一方向通信路43として、例えば放送局からの放送波を含んでもよい。この場合、第2通信部33(図1A参照)は、放送波を受信するためのチューナを含む。なお、放送波は、放送送信側で第2情報を暗号化して送信し、受信側では、暗号化された情報を復号することで、第2情報を取得する。
 あるいは、第2通信路42の経路において、送信側が発光素子(Light Emitting Diode:LED)だけを備え、受信側が受光素子(フォトセル)だけを備え、その間を光ファイバで接続したデータダイオード(「一方向ゲートウェイ」ともいう)を含んでもよい。
 第2通信路42も、専用回線を含み、さらに一方向通信路43として、一方向ゲートウェイ及び放送波の双方を含むようにしてもよい。
 また、図1Bに示すように、第1通信路41、第2通信路42がそれぞれ一方向通信路43A、43Bを含んでもよい。一方向通信路43A、43Bは、データダイオードを含んでもよいし、放送波を含んでもよい。一方向通信路43A、43Bが放送波を含む場合、周波数を異ならせるか、時間分割で送信することで、共通の放送送信所から放送するようにしてもよい。
 あるいは、図1Cに示すように、情報処理制御装置31で制御される処理(業務処理)等によっては、第1通信路41、第2通信路42のいずれも一方向通信路を含まない構成としてもよい。
 図2Aは、一方向通信路43を含む第2通信路42の構成を例示する図である。なお、図2Aには、第1端末10Aからの第1情報を、第1通信路41を介して情報処理制御装置31に送信し、第2端末10Bからの第2情報を、情報通信装置20を介して、情報処理制御装置31に送信する情報通信システムの一形態が例示されている。
 図2Aを参照すると、第2端末10Bからの情報は、第2通信路42上での通信の中継を行う情報通信装置(仲介サービスを行う装置)20を介して、一方向通信路43経由で、情報処理制御装置31に転送される。
 情報通信装置20は、第2端末10Bと通信(例えば双方向通信)を行う通信装置21と、情報処理制御装置31に対して、一方向通信路43経由で、情報を送信する一方向通信装置22を備えている。
 第2端末10Bが、スマートフォン等のモバイル端末であり、モバイル通信網等を介して情報通信装置20に接続する場合、通信装置21はルータ、ゲートウェイ等の中継装置であってもよい。
 一方向通信装置22は、通信装置21と通信接続する放送送信所として構成してもよい。例えば、情報処理制御装置31がIoT機器の場合、一方向通信装置22は、複数のIoT機器に接続するIoTゲートウェイにおいて、IoT機器の設定を行う制御信号(ダウンリンク信号)の送信装置として機能させるようにしてもよい。
 一方向通信装置22は、データダイオードを備えた構成としてもよい。
 図2Bは、第1通信路41、第2通信路42が、それぞれ、一方向通信路43A、43Bを含む構成を例示する図である。
 一方向通信路43A、43Bが放送波を含む場合、一方向通信装置22A、22Bは同一の放送送信所であってよい。あるいは、一方向通信路43A、43Bは同一のデータダイオードであってもよい。一方向通信路43A、43Bを共通とする場合、第1情報、第2の情報の伝送において、周波数を異ならせるか(例えば周波数多重)、あるいは時間分割で送信するようにしてもよい。
 図3Aは、上記した実施形態として、インターネットバンキングシステムへの適用例を説明する図である。第1端末10Aは、パソコン(Personal Computer:PC)、第2端末10Bはスマートフォンである。第1通信路41はインターネットである。第2の経路である第2通信路42は、LTE(Long Term Evolution)等の無線アクセス網42A、携帯網(コアネットワーク)42B、専用線42C、通信装置21(放送局)、一方向通信装置22(放送送信所)、一方向通信路43(放送波)を含む。勘定系システム30は、図1Aを参照して説明した情報処理制御装置31を含む。なお、通信装置21、一方向通信装置22は、図2Aを参照して説明した情報通信装置20の通信装置21、一方向通信装置22に対応する。図3Aの説明では、パソコン、スマートフォン、放送局、放送送信所は参照符号10A、10B、21、22にて参照される。
 利用者50は、第1端末であるパソコン(PC)10Aのブラウザから、勘定系システム30のインターネットバンキングにログインし、口座振込を選択し、振込先口座情報(例えば項目:振込先口座番号、振込先名義、振込金額等)を入力する。この場合、第1端末であるパソコン(PC)10Aから送信される情報である第1情報は、振込先口座番号の一部(例えば上位桁番号)、振込先名義、振込金額等を含む。第2端末であるスマートフォン10Bから、例えば勘定系システム30のインターネットバンキングにログインし、当該振込先口座番号の残り(例えば下位桁番号)の情報を入力する。スマートフォン10Bから送信される第2情報は、例えば当該振込先口座番号(項目)の残りの情報(下位桁番号)を含む。第2情報は、スマートフォン10Bから無線アクセス網42A、携帯網42Bを介して、専用線42Cにて放送局21に転送され、放送送信所22から放送される。
 勘定系システム30において、情報処理制御装置31の第2通信部33として、放送を受信するアンテナ、チューナ等を有する。第1通信部32(図1A)で受信した第1通信路41からの第1情報に含まれる項目(振込先口座番号)の情報の一部(例えば上位桁)と、第2通信部33(図1A参照)で受信した第2情報に含まれる項目(振込先口座番号)の情報の一部(残りの下位桁)をつき合わせ、該項目(振込先口座番号)の情報(振込先口座番号)を復元する。勘定系システム30では、復元した振込先口座番号が登録された口座情報を検索し、振込先の名義が、例えば第1情報に含まれる振込先の名義と一致するか照合する。勘定系システム30では、該照合の結果、一致した場合、振込先への振込処理を行い、不一致の場合、振込処理は行わない。
 なお、図3Aにおいて、第1情報、第2情報に含まれる項目(振込先口座番号)の情報が該項目の一部でなく、振込先口座番号の全て(全桁)であってもよい。この場合、勘定系システム30では、パソコン10Aからの第1情報に含まれる振込先口座番号と、スマートフォン10Bからの第2情報に含まれる振込先口座番号が一致するかチェックし、一致しない場合、振込処理は行わない。なお、パソコン10A、スマートフォン10Bからの取引は、口座振込以外に、口座開設や新たな振込先口座の登録等の処理であってもよい。
 図3Bは、上記した実施形態として、ATM(Automated [automatic] Teller Machine)での振り込みの例を説明する図である。第1端末10Aは、ATM端末、第2端末10Bはスマートフォンである。第1通信路は専用線41Aからなる。第2通信路は、LTE等の無線アクセス網42A、携帯網42B、専用線42C、放送局21、放送送信所22、一方向通信路としての放送波43を含む。図3Bでは、ATM、スマートフォン、第1通信路である専用線は、放送局、放送送信所、放送波、勘定系システムはそれぞれ参照符号10A、10B、41A、21、22、43、30とされている。利用者50は、ATM10Aにて、振込を選択し、振込先口座情報(例えば項目:預金種目、振込先口座番号(例えば4桁の銀行コード、3桁の店(支店)番号、7桁の口座番号)、振込先名義、振込金額等)を入力する。
 ATM10Aから送信される情報である第1情報は、項目(振込先口座番号)の情報の一部(例えば上位桁(上半分))や他の項目(振込先名義、振込金額等)を含む。スマートフォン10Bから送信される情報である第2情報は、項目(振込先口座番号)の情報の一部(例えば下位桁(下半分))の情報を含む。第1情報は、ATM10Aから専用線41Aにて、勘定系システム30に入力される。第2情報は、スマートフォン10Bから無線アクセス網42A、携帯網42Bを介して、専用線42Cにて、放送局21に転送され、放送送信所22から放送される。勘定系システム30は放送波43を受信する。
 勘定系システム30は、図1Aの情報処理制御装置31を備えている。勘定系システム30では、情報処理制御装置31の第1通信部32で受信した第1通信路41からの第1情報に含まれる振込先口座情報(の一部)と、第2通信部33で受信した第2情報に含まれる振込先口座情報(の残り)をつき合わせ、振込先口座番号を復元する。勘定系システム30では、復元した振込先口座番号に基づき予め登録されている口座情報を検索し、振込先口座番号に対応する振込先の名義を取得し、該振込先の名義が、第1情報に含まれる振込先の名義と一致するか照合する。一致した場合、振込先への振込処理を行い、不一致の場合、振込処理は行わない。第1情報、第2情報に含まれる振込先口座情報が一部でなく、振込先口座情報の全て(全桁)であってもよい。
 図3Cは、上記した実施形態として、法人による送金(振込)の例を説明する図である。第1端末10Aは、法人における担当者50Aのパソコン(PC)、第2端末10Bは責任者50Bのパソコンである。第1通信路41は、専用線/インターネット41B、第2通信路42は、専用線/インターネットを含む。通信装置21は放送局であり、一方向通信装置22は放送送信所であり、一方向通信路43は放送波である。なお、「専用線/インターネット」は、専用線又はインターネットという意味である。
 勘定系システム30は、図1Aの情報処理制御装置31を備えている。第1通信部32で受信した第1通信路41からの第1情報(担当者の入力情報)に含まれる振込先口座情報と、第2通信部33で受信した第2情報(責任者の入力情報)に含まれる振込先口座情報が一致するか照合する。一致した場合、振込による送金処理を行い、不一致の場合、振込による送金処理は行わない。なお、担当者50A、責任者50Bは同一人としてもよい(すなわち、同一人が第1端末10A、第2端末10Bから第1、第2情報をそれぞれ入力してもよい)。
 図4Aは、図3Aを参照して説明したインターネットバンキングの正常時の手順を例示する図である。なお、図4Aでは、単に、図面作成の都合で振込先口座番号を4桁としている。また、図4Aでは、図3Aの無線アクセス網42A、携帯網42Bは省略されている。
<ステップS1>
 利用者50は、第1端末10AであるパソコンのWebブラウザから勘定系システム30のWebサイトにアクセスし、インターネットバンキングにログインし、振込を選択して、振込先口座番号の一部(「12」)と振込先名義、振込金額を入力する。利用者(振込依頼人名)、振込元口座番号(出金口座番号)等について、勘定系システム30に予め登録されている情報を、第1端末10Aの画面に表示して利用者50が確認するようにしてもよい。利用者50は、第2端末10Bであるスマートフォンから、振込先口座番号の一部の残り(「34」)を入力する。あるいは、勘定系システム30は、第1端末10Aであるパソコンから利用者がインターネットバンキングにログインし振込口座番号の一部、名義、金額の入力を受信した時点で第2端末10Bであるスマートフォンに、振込先口座番号の一部の残りの入力の督促をプッシュ通知するようにしてもよい。その際に、勘定系システム30は、一方向通信路43を含む経路ではなく、インターネット等から携帯網を介して第2端末10Bであるスマートフォンにプッシュ通知を送信するようにしてもよい。利用者50は、第2端末10Bであるスマートフォンから、振込先口座番号の一部の残り(34)を入力する。
<ステップS2>
 第1端末10Aに入力された振込先口座番号の一部と振込先名義、振込金額等は第1情報として、第1通信路を介して勘定系システム30に送信される。第2端末10Bに入力された振込先口座番号の残りは、第2情報として、放送局21、放送送信所22を介して勘定系システム30に送信される。
 <ステップS3>
 勘定系システム30では、第1端末10Aであるパソコンからの振込先口座番号の一部:12と、第2端末10Bであるスマートフォンからの振込先口座番号の一部の残り:34を合成して振込先口座番号:1234を再構成し、記憶部(データベース)35の口座情報と照合し、振込先口座番号:1234に対して登録されている名義が、第1端末10Aに入力された振込先名義と一致するか否かを確認する。この場合、口座情報として登録されている振込先口座番号:1234の名義:半蔵門一郎は、第1端末10Aから送信された振込先名義と一致する。なお、ステップS3において、勘定系システム30は、第1端末10Aであるパソコンからの振込先口座番号の一部:12の入力時点と、第2端末10Bであるスマートフォンからの振込先口座番号の一部の残り:34の入力の時間差が、予め定められた所定時間以上である場合、振込トランザクションを無効化する構成としてもよい。
<ステップS4>
 勘定系システム30は、振込先口座番号:1234、振込先名義:半蔵門一郎への振込を実行する。
 図4Bは、第2端末10Bであるスマートフォンの入力画面の一例を示す図である。第2端末10Bであるスマートフォンからインターネットバンキングにログインし、勘定系システム30のサイトの入力画面から振込先口座番号の残りを入力するようにしてもよい。あるいは、第1端末10Aであるパソコンから送信された、振込先口座番号、振込先名義等を受信した勘定系システム30から、該スマートフォンにプッシュ通知し、該スマートフォンの表示画面に、ポップアップ画面を表示するようにしてもよい。利用者50は、パソコンに入力した振込先口座番号の一部と、スマートフォンに入力した振込先口座番号の残りに基づき、振込先口座番号が正しく入力されている場合、確認ボタンを押下(タップ)することで、振込先口座番号の残りが送信される。その際、勘定系システム30は上記プッシュ通知で、ポップアップ画面に入力された振込先口座番号の残りの送信ルートは、放送局21を経由することを通知するようにしてもよい。この通知に基づき、スマートフォンのアプリでは、入力された振込先口座番号の残りの情報を、一旦放送局21を経由して勘定系システム30に送信する。
 図5は、図4Aを参照して説明したインターネットバンキングの時の異常時を例示する図である。
<ステップS11>
 第1端末10Aであるパソコンのブラウザかマルウェアに乗っ取られており、ブラウザの表示が書き換えられる(MITB攻撃)。利用者50は、第1端末10Aであるパソコンのブラウザから勘定系システム30のWebサイトにアクセスしインターネットバンキングにログインし、振込を選択して振込先口座番号の一部(「12」)と名義(半蔵門一郎)、振込金額を入力する。すると、振込先口座番号の一部が「12」から「56」に改ざんされ、振込先名義が、「半蔵門一郎」から「xxx xxx」に改ざんされて、勘定系システム30に送信される。
 マルウェアは、第1端末10Aの画面には、振込先口座番号の一部:「12」、名義:「半蔵門一郎」を表示するため、利用者50は、改ざんには気がつかず、第1端末10Aであるパソコンから、入力情報の「確認」を選択する。
 また、ステップS11において、利用者50は、第2端末10Bであるスマートフォンから、振込先口座番号の一部の残り(「34」)を入力する。なお、勘定系システム30は、利用者50がインターネットバンキングにログインし振込先口座番号の一部、振込先名義、振込金額等を入力し、該情報を受信した時点で、第2端末10Bであるスマートフォンに、振込先口座番号の一部の残りの入力の督促をプッシュ通知するようにしてもよい。利用者50は、第2端末10Bであるスマートフォンから、振込先口座番号の一部の残り(34)を入力する。
<ステップS12>
 第1端末10Aから改ざんされた振込先口座番号の一部と名義、振込金額は、第1通信路を介して勘定系システム30に送信される。第2端末10Bに入力された振込先口座番号の残りは、放送局21、放送送信所22を介して勘定系システム30に送信される。
<ステップS13>
 勘定系システム30では、図1Aの情報処理制御装置31の照合部34が、第1端末10Aであるパソコンからの振込先口座番号の一部:56と、第2端末10Bであるスマートフォンからの振込先口座番号の一部の残り:34を合成して振込先口座番号:5634を再構成する。そして、勘定系システム30では、情報処理制御装置31の記憶部(データベース)35に登録されている口座情報と照合し、振込先口座番号:5634に対して登録されている名義が、第1端末10Aから送信された振込先名義と一致するか検証する。この場合、口座情報には、振込先口座番号:「5634」、名義:「xxx xxx」は、登録されていない。
 <ステップS14>
 勘定系システム30では、振込処理を中止する。すなわち、第1端末10Aにおいてマルウェアにより入力情報が改ざんされた場合、該入力情報の処理は実行されない。
 図6は、図3Aを参照して説明したインターネットバンキングの正常時の手順を例示する図である。この例では、振込口座番号を重複して入力する。すなわち、利用者50は、第1端末10Aであるパソコンから振込先口座情報(全)を入力し、第2端末10Bであるスマートフォンから第1端末10Aであるパソコンと同じ振込先口座情報(全)を入力する。
<ステップS21>
 利用者50は、第1端末10Aであるパソコンのブラウザから勘定系システム30のWebサイトにアクセスしてインターネットバンキングにログインし、振込を選択して振込先口座番号(全)(1234)と名義、振込金額を入力する。利用者50は、第2端末10Bであるスマートフォンから、勘定系システム30のWebサイトにアクセスしインターネットバンキングにログインし、振込先口座番号(全)(1234)を入力する。
<ステップS22>
 第1端末10Aに入力された振込先口座番号と名義、振込金額は、第1通信路を介して勘定系システム30に送信される。第2端末10Bに入力された振込先口座番号は、放送局21、放送送信所22を介して勘定系システム30に送信される。
<ステップS23>
 勘定系システム30では、第1端末10Aであるパソコンからの振込先口座番号:1234と、第2端末10Bであるスマートフォンからの振込先口座番号:1234とが一致するか照合する。なお、ステップS23において、勘定系システム30は、第1端末10Aであるパソコンからの振込先口座番号:1234の入力時点と、第2端末10Bであるスマートフォンからの振込先口座番号:1234の入力の時間差が、予め定められた所定時間以上である場合、振込トランザクションを無効化する構成としてもよい。
 <ステップS24>
 勘定系システム30は、第1端末10Aであるパソコンからの振込先口座番号と、第2端末10Bであるスマートフォンからの振込先口座番号とが一致した場合、振込先口座番号:1234、名義:半蔵門一郎への振込を実行する。不一致の場合、振込は実行しない。
 なお、勘定系システム30は、第1端末10Aであるパソコンからの振込先口座番号と、第2端末10Bであるスマートフォンからの振込先口座番号とが一致した場合、情報処理制御装置31の記憶部(データベース)35の口座情報と照合し、振込先口座番号:1234に対して登録されている名義が、第1端末10Aから送信された振込先名義と一致するか確認するようにしてもよい。この場合、口座情報として登録されている振込先口座番号:1234の名義:半蔵門一郎は、第1端末10Aから送信された振込先名義と一致する。
 図7は、図5を参照して説明したインターネットバンキングのMITB攻撃を受けた場合の手順を例示する図である。
<ステップS31>
 第1端末10Aであるパソコンのブラウザかマルウェアに乗っ取られている。利用者50は、第1端末10Aであるパソコンのブラウザから勘定系システム30のWebサイトにアクセスしインターネットバンキングにログインし振込を選択して振込先口座番号:1234と名義:半蔵門一郎、振込金額を入力すると、振込先口座番号が「1234」から「5678」に改ざんされ、振込先名義が、「半蔵門一郎」から「xxx xxx」に改ざんされて、勘定系システム30に送信されている。マルウェアは、第1端末10Aの画面には、振込先口座番号:「1234」、名義:「半蔵門一郎」を表示するため、利用者50は改ざんに気がつかず、入力情報の「確認」(OKボタン)を選択する。利用者50は、第2端末10Bであるスマートフォンから、勘定系システム30のWebサイトにアクセスしインターネットバンキングにログインし、振込先口座番号(1234)を入力する。
 <ステップS32>
 第1端末10Aから改ざんされた振込先口座番号(5678)と名義(xxx xxx)、振込金額は、第1通信路を介して勘定系システム30に送信される。第2端末10Bに入力された振込先口座番号:1234は、放送局21、放送送信所22を介して勘定系システム30に送信される。
 <ステップS33>
 勘定系システム30では、照合部34が、第1端末10Aであるパソコンからの振込先口座番号:5678と、第2端末10Bであるスマートフォンからの振込先口座番号:1234とが一致するかチェック(照合)する。
 <ステップS34>
 勘定系システム30では、チェックの結果が不一致であるため、トランザクションを無効化し、振込は中止する。すなわち、第1端末10Aにおいてマルウェアにより入力情報が改ざんされた場合、該入力情報の処理は実行されない。
 図8Aは、図4Aの勘定系システム30の一例を説明する図である。受付システム301と、データベースシステム(DBシステム)302を備えている。受付システム301と、データベースシステム302は、図1Aの照合部34を構成してもよい。
 図8Bは、勘定系システム30を図8Aの構成とした場合における処理手順を説明する図である。
<ステップS101>
 利用者50は、第1端末10Aに、第1のIDとパスワードを入力する。ここで、第1のID(「主ID」ともいう)は、出金口座番号である。
<ステップS102>
 第1のID、パスワードは、第1端末10Aから勘定系システム30の受付システム301に送信される。
<ステップS103>
 勘定系システム30の受付システム301は、第1のIDとパスワードに基づき認証を行い、認証確認結果を第1端末10Aに通知する。
<ステップS104>
 利用者50は、振込要求情報(振込先口座情報の前半(上位桁)を含む)を、第1端末10Aに入力する。
<ステップS105>
 第1端末10Aは、振込要求情報と、振込要求入力時の時刻情報を、第1通信路41を介して送信する。振込要求情報は、例えば、振込先口座情報の前半(上位桁)、振込先名義、振込金額を含む。
<ステップS106>
 利用者50は、第2のID(「副ID」ともいう)とパスワードを、第2端末10Bに入力する。第2のIDは、出金口座番号である。
<ステップS107>
 利用者50は、振込要求情報(振込先口座情報の後半(下位桁)を含む)を第2端末10Bに入力する。
<ステップS108>
 第2端末10Bは、第2のIDと、パスワードと、振込先口座情報の後半(下位桁)と、振込先口座情報の後半の入力時の時刻情報を、第2通信路42を介して、勘定系システム30の受付システム301に送信する。
<ステップS109>
 受付システム301では、第1のID(出金口座番号)と第2のID(出金口座番号)が一致するか、及び、第1端末10Aからの時刻情報と、第2端末10Bからの時刻情報との時刻差が一定範囲内であるという条件が成り立つかチェックする。該条件が成り立つ場合、受付システム301は、振込先口座情報の前半と後半を合成し、振込先名義とともに、勘定系システム30のデータベース(DB)システム302に送信する。
<ステップS110>
 DBシステム302は、振込先口座情報と登録口座情報とを照合する。
<ステップS111>
 DBシステム302は、照合確認結果を受付システム301に通知する。
<ステップS112>
 DBシステム302は、振込受付確認を、第1端末10Aに送信する。
<ステップS113>
 受付システム301は、振込による送信実行指示を振込送金システムに送信する。
 図9は、図6のシステムの処理手順を説明する図である。図9を参照すると、図8BのDBシステム302での照合処理、情報の送受信が省略されている。ステップS101~S103、及びS106は、図8Bと同一であるため説明は省略する。
 図9において、ステップS104では、利用者50は、振込要求情報(振込先口座情報を含む)を第1端末10Aに入力する。
 ステップS105では、第1端末10Aは、振込要求情報と、振込要求入力時の時刻情報を第1通信路41を介して送信する。振込要求情報は、例えば、振込先口座情報、振込先名義、振込金額を含む。
 ステップS107では、利用者50は、振込要求情報(振込先口座情報を含む)を第2端末10Bに入力する。
 ステップS108では、第2端末10Bは、第2のID、パスワード、振込先口座情報、振込先口座情報の入力時の時刻情報を、第2通信路42を介して、勘定系システム30の受付システム301に送信する。
 ステップS109では、受付システム301は、第1のID(出金口座番号)と第2のID(出金口座番号)が一致するか、及び、第1端末10Aからの時刻情報と、第2端末10Bからの時刻情報との時刻差が一定範囲内であるという条件が成り立つかチェックし、成り立つ場合、受付システム301は、第1端末10Aからの振込先口座情報と第2端末10Bからの振込先口座情報が一致するかチェックする。一致する場合、受付システム301は、ステップS112において、振込受付確認を第1端末10Aに送信し、ステップS113において、振込による送信実行指示を振込送金システムに送信する。
 図10Aは、図3BのATMの一例を説明する図である。なお、図10Aのシステム構成は、図3Bと同一であるため、システムの説明は省略する。
 図10Aの例では、利用者50は、振込先口座情報(振込先口座番号、振込先口座名義など)の一部を第1端末10AであるATMに入力し、該入力情報は専用線経由で勘定系システム30に送信される。振込先口座情報の残りは利用者50により第2端末10Bであるスマートフォンに入力され、一方向通信路43である放送波を介して勘定系システム30に送信される。本実施形態において、利用者50は、振込先口座情報の全てをATMに入力せずに、分割した一部を入力し、残りをスマートフォンに入力する。振込先口座情報は、どのように分割してもよい。例えば振込先口座番号のみを分割してもよいし、振込先口座番号と振込先口座名義の一方をATM、他方をスマートフォンに入力してもよい。あるいは、振込先口座番号を二つに分割し(上位桁、下位桁)、振込先口座名義を二つに分割し(例えば名義前半、名義後半)、分割した組み合わせをATM、他方をスマートフォンに入力してもよい。例えば(振込先口座番号上位桁、名義前半)をATM、(振込先口座番号下位桁、名義後半)をスマートフォンに入力してもよい。
 第1端末10AであるATMからは、出金口座番号、暗証番号(利用者が金融機関の口座開設時に登録した暗証番号)、振込先情報(一部)、振込金額等の一連の項目を暗号鍵(例えば共通鍵)で暗号化して、勘定系システム30に送信する。勘定系システム30では、ATMから送信された暗号化された情報を復号鍵(共通鍵)で復号する。
 第2端末10Bであるスマートフォンからは、出金口座番号、パスワード(スマホパスワード)、振込先情報(残り)を暗号鍵(例えば共通鍵)で暗号化して、勘定系システム30に送信する。勘定系システム30では、ATMから送信された暗号化された情報を復号鍵(共通鍵)で復号する。第2端末10Bであるスマートフォンからのパスワードは、スマートフォンで使うパスワードであってもよい。あるいは、ATMが取引番号を発行・表示し、スマートフォンに利用者が入力して送信するようにしてもよい。共通鍵の配信は、Diffie-Hellman鍵交換を用いてもよい。
 勘定系システム30では、出金口座番号(及び取引番号)に基づいて振込先口座情報(口座番号、名義)を統合し、事前に登録されている口座番号・口座名義と照合し、照合に成功したら振込を実行する。振込先口座番号が改ざんされると、振込先名義と対応がとれない。このため、たとえ振込を実行しても、振込送金エラーとなる。したがって、利用者50がATMに入力した振込先情報等が改ざんされても、攻撃者の口座への振込送金等を防止することができる。
 なお、図10Bに示すように、第2端末10Bが、近距離無線通信技術(Near Field Communication:NFC)対応のスマートフォンの場合、スマートフォンのアプリにより、振込先口座番号の一部を、ATM10Aに自動入力する構成としてもよい。自動入力の場合は、ATM10Aで入力情報を表示し、利用者が確認ボタンを押すようにしてもよい。第2端末10Bであるスマートフォンがマルウェア等によって汚染されると、不正送金のリスクが有る。このリスクを回避するため、利用者50は、第1端末10AであるATMの画面で確認する構成としてもよい。
 あるいは、第2端末10Bであるスマートフォンは、第1端末10AであるATMとの近距離無線通信にて、入力情報をATMに設定入力するようにしてもよい。第2端末10Bであるスマートフォンのアプリで振込先口座番号と振込先口座名義、振込金額を入力し、振込先口座番号と振込先口座名義を分割し、分割した情報の一方の情報を、第1端末10AであるATMに自動入力し、該ATMから、第1通信路である専用線41A経由で、勘定系システム30に送信し、分割した情報の残りを、第2端末10Bであるスマートフォンから、第2通信路である無線アクセス網42A、携帯網42B、放送局21、放送送信所22、放送波43経由で、勘定系システム30に送信するようにしてもよい。この場合も、第1端末10AであるATMにて、第2端末10Bであるスマートフォンからの入力情報を表示し、利用者50が第1端末10AであるATMの画面で確認ボタンを押すようにしてもよい。
 図11Aは、図10AのATMの変形例を説明する図である。図11Aのシステム構成は、図3Bと同一である。図11Aの例では、振込先口座情報(振込先口座番号、振込先口座名義など)の一部又は全てをATMとスマートフォンの両方からそれぞれ勘定系システム30に送信される。例えば振込先口座情報のうち、振込先口座番号は、一部ではなく、全てを第1端末10AであるATMに入力し、専用線経由で勘定系システム30に送信され、振込先口座情報(全て)は第2端末10Bであるスマートフォンに入力され、一方向通信路43である放送波を介して勘定系システム30に送信される。振込先口座名義、振込金額等は、ATMに入力し、専用線経由で勘定系システム30に送信される。
 第1端末10AであるATMからは、出金口座番号、暗証番号(利用者が金融機関の口座開設時に登録した暗証番号)、振込先情報(振込先口座番号(全て)、振込先名義)、振込金額等の一連の項目を暗号鍵(例えば共通鍵)で暗号化して、勘定系システム30に送信する。勘定系システム30では、ATMから送信された暗号化された情報を復号鍵(共通鍵)で復号する。
 第2端末10Bであるスマートフォンからは、出金口座番号、パスワード、振込先口座番号(全て)を暗号鍵(例えば共通鍵)で暗号化して、勘定系システム30に送信する。勘定系システム30では、ATMから送信された暗号化された情報を復号鍵(共通鍵)で復号する。第2端末10Bであるスマートフォンからのパスワードは、スマートフォンで使うパスワードであってもよい。あるいは、ATMが取引番号を発行・表示し、スマートフォンに利用者が入力して送信するようにしてもよい。
 勘定系システム30では、出金口座番号(及び取引番号)が相互に一致する振込先口座情報のうち、ATMとスマートフォンの両方で送信された部分(図11Aでは、振込先(全て))を照合し、一致していれば、次の処理に進む。ATM又はスマートフォンに入力した情報が改ざんされても、攻撃者の口座への送金を防止することが可能である。これは、ATM又はスマートフォンの一方に入力した情報が改ざんされると、ATMとスマートフォンの両方から送信される振込先口座情報が不一致となり、振込送金エラーとなるためである。
 勘定系システム30では、第1端末10AであるATMと第2端末10Bであるスマートフォンの両方から送信される振込先口座情報が互いに一致する場合、当該振込先口座情報をデータベースに登録されている口座情報を検索し、振込先口座情報に対応する振込先名義が、ATMから送信された振込先名義と一致するかチェックするようにしてもよい。勘定系システム30では、振込先口座情報に対応する振込先名義が、ATMから送信された振込先名義と一致する場合、振込送金処理を実行するようにしてもよい。
 なお、図11Bに示すように、スマートフォンの近距離無線通信技術(Near Field Communication:NFC)により、振込先口座番号をATMに自動入力する構成としてもよい。自動入力の場合は、ATMで入力情報を表示し、利用者が確認ボタンを押すようにしてもよい。スマートフォンが乗っ取られると、不正送金のリスクが有る。このリスクを回避するため、利用者50はATMの画面で確認する。あるいは、スマートフォンのATMのアプリ等を用いて、振込先口座番号と振込先口座名義、振込金額をスマートフォンに入力し、振込先口座番号と振込先口座名義をスマートフォンからATMに自動入力し、専用線経由で勘定系システム30に送信し、さらにスマートフォンから放送波経由でも勘定系システム30に送信するようにしてもよい。この場合も、ATMで入力情報を表示し、利用者が確認ボタンを押すようにしてもよい。
 以下では、放送波を用いる利点について説明する。放送波を用いない場合、図12Aに示すように、第2端末10Bであるスマートフォンからの情報メッセージ71(例えば振込先口座番号の残り)には宛先(例えば銀行C)が付加されて、無線アクセス網、携帯網、仲介サービス(中継装置)から、宛先の銀行Cに送信される。この場合、情報メッセージ71に付加された宛先(例えば銀行C)が知られて、攻撃者60により攻撃されやすい。また盗み取った情報を、インターネット回線等を介して攻撃者60に送り返すルートもあり得る。
 図12Bは、本実施形態により放送波を用いる例を説明する図である。第2端末10Bであるスマートフォンからの情報メッセージ71(例えば振込先口座番号の残り)には、最終的な宛先(銀行C)を利用者のスマートフォン10Bでは付与せず、例えば、放送局21宛てに送信される。情報メッセージ71には、放送局21の利用者の識別情報(ID)とパスワードが付加される。放送局21では、スマートフォンからの情報メッセージを受信すると、利用者の識別情報(ID)とパスワードから認証を行い、利用者の識別情報(ID)に対応付けて登録されている銀行宛にヘッダ情報を書き換えて、放送送信所22から銀行宛に送信する。スマートフォンからの情報メッセージを盗聴等しても攻撃者には宛先の銀行等は分からない。また宛先の銀行等には、一方向通信路である放送波で情報メッセージが送信される。このため、情報を送り返すルートもない。
 また、本実施形態によれば、放送波を用いることで、経済的かつ安定的に情報を届けることができる。放送波を用いない場合、図13Aに例示するように、多数のシステム設置拠点(site)に対して、仲介サービス(中継装置)から専用線をそれぞれ設置する必要がある。また、仲介サービス(中継装置)と勘定系システムである各銀行の拠点をインターネット(例えばVPN(Virtual Private Network))で接続する場合、安全、安定的に情報を送信、受信することが困難である場合もある。
 これに対して、放送波を用いる場合、図13Bに示すように、専用線に比べて経済的に、インターネットに比べると安定的に情報を届けることが可能である。図13Bにおいて、放送波を受信するシステムは、銀行に制限されるものでない。例えば後述するように、IoT機器であってもよい。広域に分布する多数のIoT機器である場合、これらのIoT機器を遠隔操作するシステム等において、大きな利点がある。
 図14は、本発明の別の実施形態を説明する図である。本実施形態では、一方向通信路として、放送波のかわりに、一方向ゲートウェイ(GW)24Aを用いている。利用者は、第2端末10Bであるスマートフォンから、仲介サービス23(中継装置)の利用者IDとパスワード情報を付加して、仲介サービス23宛てに、振込先口座番号情報の残り(振込先口座番号情報の一部はパソコン又はATMに入力)を含む情報メッセージ71を送信する。
 仲介サービス23では、第2端末10Bであるスマートフォンから送信される仲介サービス23の利用者IDとパスワード情報から利用者を認証する。認証の結果、仲介サービス23の利用者IDとパスワード情報が正しい場合、仲介サービス23は、登録利用者情報241を参照して、仲介サービス23の利用者IDに対応した銀行を宛先とする情報メッセージ72(振込先口座番号情報の残りを含む)を生成する。より詳しくは、仲介サービス23は、例えば、第2端末10Bであるスマートフォンからの情報メッセージ71(振込先口座番号情報の残りを含む)の宛先情報欄を、仲介サービス23の利用者IDに対応した銀行C宛に変更して情報メッセージ72を生成し、一方向ゲートウェイ24A、専用線/インターネット44を介して、銀行Cに送信する。第2端末10Bであるスマートフォンからの情報メッセージを盗聴等しても攻撃者60には、最終の宛先(銀行C)の銀行は分からない。また宛先の銀行等には、一方向通信路である一方向ゲートウェイ24Aを介して情報メッセージが送信される。このため、情報を送り返すルートもない。
 次に、図10Aに例示したATMの例の具体的な手順について説明する。図15は、図10AにおけるATM側の入力情報に関するステップA1-A4、スマートフォン側の入力情報に関するステップB1-B7を付加したものである。図16は、図15のステップA1-A4、B1-B7の処理手順を説明する図である。
<ステップA1>
 利用者は、第1端末10AであるATMに、振込情報(振込先口座番号の一部、振込先名義、振込金額等)を入力する。
<ステップA2>
 第1端末10AであるATMでは、銀行から発行された共通鍵1を用いて入力情報(出金口座番号、利用者の暗証番号、振込先口座番号の一部、振込先名義、振込金額)を暗号化する。なお、共通鍵1の配信は、例えばDiffie-Hellman鍵交換を用いてもよい。
<ステップA3>
 第1端末10AであるATMでは、銀行を宛先として付加したメッセージを送信する。
<ステップA4>
 勘定系システム30(銀行)では、第1端末10AであるATMからのメッセージを受信し、共通鍵1を用いて入力情報(出金口座番号、利用者の暗証番号、振込先口座番号の一部、振込先名義、振込金額)を復号する。
<ステップB1>
 利用者は、第2端末10Bであるスマートフォンに、振込情報(振込先口座番号の残り)を入力する。
<ステップB2>
 第2端末10Bであるスマートフォンでは、銀行から発行された共通鍵2を用いて入力情報(振込先口座番号の残り)を暗号化する。第2端末10Bであるスマートフォンと銀行間での共通鍵2の配送は、例えばDiffie-Hellman鍵交換を用いてもよい。
<ステップB3>
 第2端末10Bであるスマートフォンでは、利用者が予め登録した利用者ID、パスワードと、銀行宛先を付加して、放送局21(放送事業者)から発行された共通鍵3で暗号化する。第2端末10Bであるスマートフォンと放送局21(放送事業者)間での共通鍵3の配送は、例えばDiffie-Hellman鍵交換を用いてもよい。
<ステップB4>
 第2端末10Bであるスマートフォンは放送局21を宛先とするメッセージを送信する。
<ステップB5、B6>
 放送局21では、共通鍵3を用いて、メッセージを復号し、利用者IDとパスワードを用いて認証(本人確認)を行う。認証が行えた場合、放送送信所22から、銀行宛に放送波43にてメッセージを送信する。パスワードを用いて認証を行うことで、予め放送局21(放送事業者)に登録した利用者以外、放送を利用して情報を銀行宛に送信することはできない。
<ステップB7>
 勘定系システム30(銀行)では、放送送信所22から送信されたメッセージを受信し、共通鍵2を用いて入力情報(振込先口座番号の残り)を復号する。
 なお、第2端末10Bであるスマートフォンから送信されるメッセージの宛先(銀行)情報を隠ぺいするために、該スマートフォンからのメッセージの宛先を、放送局21とし、放送局21において、ステップB5で、第2端末10Bであるスマートフォンから送信された利用者IDに対応した宛先を付加し、放送波で宛先に送信するようにしてもよい。
 図17は、図16の変形例を説明する図である。図16のステップB3、B5が修正されている。ステップB3-2では、第2端末10Bであるスマートフォンでは、利用者が予め登録した放送局利用者IDとパスワードを付加し放送局(放送事業者)から発行された共通鍵2で暗号化する。
 ステップB4では、第2端末10Bであるスマートフォンは、宛先:放送局を付加して送信する。
 ステップB5-2では、放送局21/放送送信所22は、放送局利用者IDに対応した宛先(銀行)を付加して送信する。
 振込手続き等において、利用者50の手間及びトラヒックの軽減のために、振込先口座の新規登録時、及び、未登録口座への振込時のみ、実施形態を利用するようにしてもよい。この場合、第2通信路のトラヒックや負荷等を軽減することができる。
 利用者50の使いやすさを改善するための手法として、第1端末10A、第2端末10BであるATM、スマートフォン共に、振込先口座番号と振込先口座の名義(振込先名義)を表示するようにしてもよい。第1端末10AであるATMからは、振込先口座番号を第1通信路41から勘定系システム30に向けて送信し、第2端末10Bであるスマートフォンからは、振込先口座名義を送信するようにしてもよい。
 図18は、本発明のさらに別の実施形態を説明する図である。図18に示すように、放送局21の入口に一方向ゲートウェイ24Bを配置するようにしてもよい。かかる構成により、利用者IDと宛先の対応等、放送局21からの情報漏えいを、より確実に防止することができる。
<応用例1>
 図3Cの法人からの送金において、金融機関による海外送金(外国送金)に適用してもよい。多額の金融被害は、外国送金で発生している。利便性が求められる一般利用者に比べて、金融機関は、安全性をより重視する可能性がある。このため、振込情報を複数のルートで送信する。なお、外国送金の情報入力は、図3Cに示すように、第1端末10A及び第2端末10Bに対してそれぞれ別々の担当者が入力してもよいし、あるいは、同一の担当者が、第1端末10A及び第2端末10Bから外国送金情報(分割した振込先口座番号等)を入力してもよい。
<応用例2>
 図19は、別の応用例を例示する図である。この応用例では、電力、ガス等のインフラ、石油、化学等のプラント制御システム80の制御を行う端末である主操作端末を第1端末10Aとし、副操作端末を第2端末10Bとする。操作者50Cにより主操作端末(第1端末10A)に入力される情報は、端末ID、コマンド番号(一部)、コマンド名等を含む。操作者50Cにより副操作端末(第2端末10B)に入力される情報は、端末ID、本人確認ID、コマンド番号(残り)を含む。この場合、主操作端末(第1端末10A)、副操作端末(第2端末10B)からの第1、第2情報は、これらの端末に入力された項目(例えばコマンド番号)の情報の一部とその残りを含むようにしてもよい。あるいは、第1、第2情報は、異なる項目として、コマンド名と、コマンド番号をそれぞれ含むようにしてもよい。
 第1端末10A(主操作端末)は専用線/インターネット41Bを介してプラント制御システム80に接続する。第2端末10B(副操作端末)は、専用線/インターネット42D、放送局21、放送送信所22、放送波43を介してプラント制御システム80に接続する。
 プラント制御システム80は、図1Aの情報処理制御装置31を備えている。プラント制御システム80では、第1端末10Aからのコマンド番号の一部と、第2端末10Bからのコマンド番号の残りを合成し、1つのコマンド番号を生成するようにしてもよい。
 プラント制御システム80では、生成したコマンド番号から、記憶部(図1Aの35:コマンド番号とコマンド名の対応を記憶したテーブル)を参照して、コマンド番号に対応するコメント名を検索する。
 プラント制御システム80は、コマンド番号に対応するコマンド名が検索できた場合、当該コマンド名と、第1端末10Aに入力されたコマンド名が一致するかチェックする。一致する場合、プラント制御システム80は、該コマンドを実行する。なお、第1端末10A(主操作端末)と第2端末10B(副操作端末)でコマンド名を分割して送信し、プラント制御システム80でコマンド名を合成して復元し、記憶部(図1Aの35:コマンド番号とコマンド名の対応を記憶したテーブル)を参照して、コマンド名に対応するコメント番号を検索し、第1端末10A(主操作端末)又は第2端末10B(副操作端末)から送信されたコマンド番号と一致するかチェックするようにしてもよい。
 プラント制御システム80において、コマンド番号とコマンド名が事前登録されたコマンド情報と完全一致しなければ、操作を中断する。図19において、攻撃者は、第1端末10A(主操作端末)と第2端末10B(副操作端末)の両方をマルウェアによって乗っ取らないと、不正操作を行うことはできない。第1端末10A(主操作端末)と第2端末10B(副操作端末)は1つのユニットとして一体化されてもよい(ただし、内部では、電気的に分離される(無線接続も存在しない状態とされる))。なお、主操作端末と副操作端末への入力は異なる操作者が行うようにしてもよい。
<応用例3>
 図20は、別の応用例としてデータ配信サービス(「データキャストサービス」とも称せられる)を例示する図である。この応用例では、放送事業者の契約者(情報配信元)は、契約で定められた範囲内で配信先を指定する。契約者の第1端末10Aに入力された情報(配信先情報)は、第1通信路である専用線/インターネット41Bを介して地域別放送局81に送信される。契約者の第2端末10Bに入力された情報(配信先情報)は、専用線42Cを介して、放送局21に送信され、放送送信所22で放送され、地域別放送局81に送信される。
 地域別放送局81は、図1Aの情報処理制御装置31を備えた構成としてもよい。地域別放送局81は、契約者の第1端末10A、第2端末10Bから送信された情報を照合して、配信先を決定し、配信先に対応した放送送信所82から契約者からの配信情報(コンテンツ)を配信する。
 地域別放送局81は、配信先が契約者から送信された情報に基づき、配信先が定められた範囲内であることを確認する。放送事業者は、攻撃者が契約者の識別情報(ID)とパスワード(PW)を盗み取っても情報配信ができないように対策を講じることが求められる。図20において、第1端末10Aから送信された第1情報(配信先情報)と第2端末10Bから送信された第2情報(配信先情報)との照合部(図1Aの34)での照合結果に基づき、地域別放送局81から情報配信が行われる。このため、第1情報(配信先情報)が改ざんされた場合には、情報配信は行われない。攻撃者が第1端末10A(主操作端末)の識別情報(ID)とパスワードを盗み取っても、配信先を自由に指定して情報配信できないような設定とされる。
 また、全国等、広い範囲に情報配信できる契約を行っていない契約者が全国等、広い範囲に情報配信を行うなどの不正な情報配信リスクを軽減することが求められるが、図20の構成では、不正な情報配信リスクを軽減可能としている。
 第2端末10Bから送信される第2情報は、第1情報と同一の配信先名(又は配信先番号)であってもよい。
 第1端末10Aから送信される第1情報は、データの配信先名(又は配信先番号)を分割した一部であってもよい。第2端末10Bから送信される第2情報は、データの配信先名(又は配信先番号)を分割した残りであってもよい。地域別放送局81において、照合部(図1Aの34)では、第1、第2情報を合成し、配信先名(又は配信先番号)を復元するようにしてもよい。
 第1、第2端末10A、10Bからそれぞれ送信される第1、第2情報の一方が、配信先番号である場合、地域別放送局81において、記憶部(図1Aの35)には、配信番号と、データの配信先名との対応を記憶してもよい。例えば第1端末10Aから送信される第1情報は、データの配信先名、第2端末10Bから送信される第2情報は、配信先番号であってもよい。
 地域別放送局81において、照合部(図1Aの34)では、第1、第2情報を第1、第2通信部(図1Aの32、33)からそれぞれ受け取り、記憶部(図1Aの35)に記憶されている登録データから第2情報(配信先番号)にて、配信先名を検索し、第1情報の配信先名と一致するものがあるか照合するようにしてもよい。
 なお、図20において、同一の配信先に対して、複数の名称とコードのセットを用意し、毎回利用する名称・コードを変更するなどしてもよい。前記実施形態では、振込先口座情報を分割したが、配信先情報を分割して入力・送信するようにしてもよい。すなわち、かかる構成により、担当者の過失や故意による不正な配信を防止することができる。なお、図20では、契約者の第1端末10A、第2端末10Bへの配信先情報の入力を担当者50A、責任者50Bが行っているが、契約者側の業務形態等によっては、同一担当者が行うようにしてもよい。
<応用例4>
 図21は、別の応用例を説明する図である。IoT機器90における管理者の追加登録を行う。利用者はパスワードを、第1端末10A(主操作端末)、第2端末10B(副操作端末)に入力し、第1通信路である専用線/インターネット41B、第2通信路である専用線/インターネット42D、放送局21、放送送信所22、放送波43を介して、IoT機器90に送信する。
 IoT機器90において、受信したパスワードを相互に照合して、完全一致しない場合、IoT機器90において登録を中止する。IoT機器90は、図1Aの情報処理制御装置31を備えた構成としてもよい。
 第1端末10A(主操作端末)、第2端末10B(副操作端末)において、コマンド情報(例えばコマンド番号)を分割し、分割した一部と、残りを第1、第2通信路41、42からIoT機器90に送信するようにしてもよい(ただし、2分割に制限されるものでない)。IoT機器90は、前述した図1Aの情報処理制御装置31の照合部34を備えている。IoT機器90は、第1端末10A(主操作端末)と第2端末10B(副操作端末)から送信された、分割されたコマンド番号の一部と残りを合成して元のコマンド番号を復元する。そして、IoT機器90は、コマンド番号とコマンド名との対応を記録した記憶部(図1Aの35)を参照して、元のコマンド番号に対応して登録されているコマンド名を取得し、該コマンド名が第1端末10A(主操作端末)又は第2端末10B(副操作端末)から送信されたコマンド名と一致するか照合し、コマンド名が一致する場合、IoT機器90において、該コマンドを実行するように制御する構成としてもよい。あるいは、第1端末10A(主操作端末)、第2端末10B(副操作端末)において、コマンド名を分割してIoT機器90に送信し、IoT機器90でコマンド名を合成して復元し、記憶部(図1Aの35:コマンド番号とコマンド名の対応を記憶したテーブル)を参照して、コマンド名に対応するコメント番号を検索し、第1端末10A(主操作端末)又は第2端末10B(副操作端末)から送信されたコマンド番号と一致するかチェックするようにしてもよい。
 図21において、攻撃者は、第1端末10A(主操作端末)と第2端末10B(副操作端末)の両方を、マルウェア等によって乗っ取らない限り、不正な登録を行うことはできない(第1端末10A(主操作端末)と第2端末10B(副操作端末)の一方をマルウェア等で乗っ取ったとしても不正な登録はできない)。
 IoT機器90へのコマンド送信時、第1端末10A(主操作端末)からコマンド名、第2端末10B(副操作端末)からコマンド番号をそれぞれ送信するようにしてもよい。第1端末10A(主操作端末)、第2端末10B(副操作端末)より、それぞれ、コマンド名とコマンド番号を送信し、一方が改ざんされたら、記憶部(図1の35)に記録されている登録情報(コマンド番号とコマンド名の対応)と対応がとれないように、コマンド名とコマンド番号を定めるようにしてもよい。例えば、コマンドごとに異なる番号を付与する構成としてもよい。
 操作者(利用者)50Dは、コマンド情報を、第1、第2端末10A、10Bの各々に入力し、それを統合して照合(又は事前に登録された情報と照合)するため、一方の端末から送信された情報が改ざんされても、該改ざんの疑いを検知することができる。このため、不正なコマンドの実行をより確実に阻止することができる。なお、IoT機器90はカメラ等に制限されるものでなく、例えば、ドローンや、自動運転用のVehicle IoT等であってもよい。
 図22は、本発明の実施形態を説明する図である。第2端末10Bは、HMAC(Hash-based Message Authentication Code)を計算するHMAC計算部101と、計算されたHMACを送信する送信部102を備えている。HMACは、メッセージ認証符号(MAC; Message Authentication Code)の一つであり、秘密鍵(共通鍵)とメッセージ(データ)とハッシュ関数をもとに計算される。勘定系システム30の受付システム301は、第1情報受信部311、第2情報受信部312、照合部313、HMAC計算部101と同一のアルゴリズムと鍵を用いてHMACを計算するHMAC計算部314、HMAC照合部315を備えている。第1情報受信部311は、第1端末10Aから、第1通信路である専用線/インターネット41Bを介して送信される第1情報を受信する。第2情報受信部312は、第2端末10Bから、第2通信路(専用線42C、放送局21、放送送信所22、放送波43)を介して送信される第2情報を受信する。照合部313は、第1情報と第2情報のうち予め定められた項目の情報が一致するか照合する。HMAC計算部314は、第1情報のうち予め定められた項目の情報のHMACを計算する。HMAC照合部315は、第2情報として受信した第2端末10BからのHMACと、HMAC計算部314からのHMACが一致するかチェックする。
 図23は、図22の実施形態の動作を説明する図である。
<ステップS201>
 利用者50は、第1端末10Aに第1のIDと、パスワードを入力する。第1のIDは例えば出金口座番号である。
<ステップS202>
 第1のIDとパスワードは、第1端末10Aから勘定系システム30の受付システム301に送信される。
<ステップS203>
 受付システム301は、第1のIDとパスワードに基づき認証を行い、認証確認結果を通知する。
<ステップS204>
 利用者50は、振込要求情報を第1端末10Aに入力する。
<ステップS205>
 第1端末10Aは、振込要求情報と、振込要求入力時の時刻情報を第1通信路41を介して送信する。振込要求情報は、振込先口座情報、振込先名義、振込金額を含む。
<ステップS206>
 受付システム301のHMAC計算部314は、振込先口座情報のHMACを計算する。
<ステップS207>
 利用者50は、第2のIDとパスワードを第2端末10Bに入力する。第2のIDは、出金口座番号である。
<ステップS208>
 利用者50は、振込先口座番号を第2端末10Bに入力する。
<ステップS209>
 第2端末10BのHMAC計算部101は振込先口座番号のHMACを計算する。
<ステップS210>
 第2端末10Bの送信部102は、第2のID、パスワード、振込先口座情報、HMAC、振込先口座情報の入力時の時刻情報を、第2通信路42を介して、勘定系システム30の受付システム301に送信する。
<ステップS211>
 受付システム301の照合部313は、第1端末10Aからの第1のID(出金口座番号)と第2端末10Bからの第2のID(出金口座番号)が一致するか、及び、第1端末10Aからの時刻情報と第2端末10Bからの時刻情報との時刻差が一定範囲内であるという条件が成り立つかチェックする。HMAC照合部315は、HMAC計算部314で計算したHMACと、第2端末10BからのHMACが一致するかチェックする。
<ステップS212>
 第1端末10Aからの第1のID(出金口座番号)と第2端末10Bからの第2のID(出金口座番号)とが一致し、第1端末10Aからの時刻情報と第2端末10Bからの時刻情報との時刻差が一定範囲内であり、HMAC計算部314で計算したHMACと、第2端末10BからのHMACが一致する場合、受付システム301は、振込受付確認を第1端末10Aに送信する。
<ステップS213>
 受付システム301は、振込送金実行指示を送金システムに送信する。
 プラント制御システム等への適用において、第1端末10Aよりコマンド番号を送信し、第2端末10Bは、改めて入力したコマンド番号から、認証情報を生成して送信するようにしてもよい。プラント制御システム80側では、第1端末10Aから受信したコマンド番号より、第2端末10Bと同一のアルゴリズムと鍵を用いて認証情報を生成し、第2端末から受信した認証情報と照合し、改ざんがないことを確認するようにしてもよい。
 図24は、本発明のさらに別の実施形態を説明する図である。図24には、顔認証において、利用者50の顔画像51を分割し、分割した一方である部分画像51Aを第1端末10Aから第1通信路であるインターネット41C、分割した他方の部分画像51Bを第2端末10Bから専用線42C、放送局21、放送送信所22、放送波43を含む第2通信路を介して、認証を行う認証システム91(認証プログラム)に送信する構成が開示されている。認証システム91では、第1通信路41を介して受信した部分画像51Aと、放送波43を介して受信した部分画像51Bとを合成し、合成した画像に基づき、顔認証を行うようにしてもよい。この場合、第1端末10A、第2端末10Bの一方のカメラ(不図示)で顔画像51を撮像して分割し、分割した画像を他の端末に送信するようにしてもよい。
 あるいは、顔認証を行う認証システム91(認証プログラム)を、スマートフォン等に実装してもよい。この場合、第1端末10A、第2端末10Bを、例えば顔画像情報データベースに登録した認証センターの通信端末とし、該データベース等に登録されている顔画像51を第1端末10A、第2端末10Bの一方で分割し、分割した画像を他の端末に送信し、宛先のスマートフォン等でこれらを受信し、合成した画像に基づき、認証を行うようにしてもよい。なお、顔画像以外に、指紋、掌紋等であってもよい。図24において、同一の顔画像を、第1端末10A、第2端末10Bから第1通信路41、第2通信路42を介して宛先の認証システム91に送信するようにしてよい。なお、画像は、顔画像、指紋、掌紋等に制限されるものでなく、所定の2次元画像、例えば2次元コード等であってもよい。
 図25は、図1A、図1Bの情報処理制御装置31をコンピュータ装置400で実現した構成を例示する図である。図25を参照すると、コンピュータ装置400は、プロセッサ401、記憶装置402、表示装置403、通信インタフェース404を備える。記憶装置402は、ハードディスクドライブ(Hard Disk Drive:HDD)、半導体メモリ(例えば、ソリッドステートドライブ(Solid State Drive:SSD)、ダイナミックランダムアクセスメモリ(Dynamic Random Access Memory:DRAM)、スタティックランダムアクセスメモリ(Static Random Access Memory:SRAM)、読み出し専用のリードオンリメモリ(Read Only Memory:ROM)、電気的に消去及びプログラム可能なリードオンリメモリ(Electrically Erasable Programmable Read-Only Memory))、コンパクトディスク(Compact Disc:CD)、デジタルバーサタイルディスク(Digital Versatile Disc:DVD)等のいずれか、又は複数の組み合わせから構成され、プロセッサ401で実行されるプログラムを格納する。通信インタフェース404は、図1A、図1Bの第1、第2通信部32、33の機能を実現する。プロセッサ401は、記憶装置402に格納されてプログラムを実行することで、前記した実施形態の情報処理制御装置31の機能を実現する。また、図2A、図2Bの情報通信装置20、20A、20Bの各装置において、その機能の少なくとも一部を、図25のコンピュータ装置400で実現してもよいことは勿論である。
 前記実施形態では、振込先口座情報等の分割入力においては、統合する際に、勘定系システムにおいて、ATM側から通知される情報の一部と、スマートフォン側から通知される情報の他の部分を統合するか、ATMとスマートフォンに全ての情報入力を行って、その両方から全ての情報送信を行う例が示されている。
 さらなる変形例として、ATMとスマートフォンに全ての情報入力を行って、ATMとスマートフォンが各々、入力情報の一部を送信してもよい。ATMとスマートフォンに全ての情報入力を行うことにすれば、口座番号の一部だけ入力する煩雑さを回避することができる。
 振込先口座情報の分割入力において、各端末に入力する部分を、システム側から指定するようにしてもよい。また、入力部分を、その都度変更するようにしてもよい。
 同一の入力情報を第1、第2端末から、重複入力する場合において、各端末から送信する部分をシステム側から指定するようにしてもよい。送信部分を、その都度変更してもよい。
 上記実施形態では、第1端末、第2端末を例に説明したが、端末は、2つの端末に制限されるものでなく、情報を入力する端末の数を3つ以上にしてもよい。
 なお、上記の特許文献1の開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
10A 第1端末(パソコン、ATM、主端末、主操作端末)
10B 第2端末(スマートフォン、副端末、副操作端末)
20、20A、20B 情報通信装置
21、21A、21B、23 通信装置(放送局、仲介サービス)
22、22A、22B 一方向通信装置(放送送信所)
23 仲介サービス
24A、24B 一方向ゲートウェイ
30 勘定系システム
31 情報処理制御装置
32 第1通信部
33 第2通信部
34 照合部
35 記憶部(データベース)
36 処理実行制御部
41 第1通信路
41A 専用線
41B 専用線/インターネット
41C インターネット
42 第2通信路
42A 無線アクセス網
42B 携帯網
42C 専用線
42D 専用線/インターネット
43、43A、43B 一方向通信路
44 専用線/インターネット
50 利用者
50A 担当者
50B 責任者
50C、50D 操作者
51 顔画像
51A、51B 部分画像
60 攻撃者
71、72 情報メッセージ
80 プラント制御システム 
81 地域別放送局
82 放送送信所
90 IoT機器(IoTデバイス)
91 認証システム
101 HMAC計算部
102 送信部
241 登録利用者情報
301 受付システム
302 DBシステム
311 第1情報受信部
312 第2情報受信部
313 照合部
314 HMAC計算部
315 HMAC照合部
400 コンピュータ装置
401 プロセッサ
402 記憶装置
403 表示装置
404 通信インタフェース

Claims (19)

  1.  予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末がそれぞれ送信する第1情報と第2情報のうち、
     前記第1情報は、第1通信路を介して、前記第1情報と前記第2情報に基づき前記項目に関する照合を行う情報処理制御装置に送信され、
     前記第2情報を、第2通信路を介して、受け取る通信装置と、
     受け取った前記第2情報を、前記第2通信路を構成する少なくとも1つの一方向性の通信路を介して、前記情報処理制御装置に送信する一方向通信装置と、
     を備えた、ことを特徴とする情報通信装置。
  2.  前記第1情報と前記第2情報が、前記項目を分割した一部と別の一部の情報をそれぞれ含み、
     前記第1情報と前記第2情報にそれぞれ含まれる前記項目を分割した一部と別の一部の情報は、前記情報処理制御装置にて合成され登録情報と照合される、ことを特徴とする請求項1に記載の情報通信装置。
  3.  前記第1情報と前記第2情報が、前記第1端末と前記第2端末に重複して入力される前記項目の情報を含み、前記第1情報の前記項目の情報と前記第2情報の前記項目の情報とは、前記情報処理制御装置にて互いに一致するか照合される、ことを特徴とする請求項1に記載の情報通信装置。
  4.  前記第2情報は、前記重複して入力される前記項目の情報の認証コードを含む、ことを特徴とする請求項3に記載の情報通信装置。
  5.  前記第1情報と前記第2情報は、前記情報処理制御装置において、照合に用いる複数の異なる項目の情報を含む、ことを特徴とする請求項1乃至4のいずれか1項に記載の情報通信装置。
  6.  予め定められた前記項目は、
     コマンド名とコマンド番号、
     データの配信先名称と配信先番号、
     振込先名義と振込先口座番号、
     のいずれかを含む、ことを特徴とする請求項5に記載の情報通信装置。
  7.  前記一方向性の通信路は、
     放送局からの放送波、及び、
     一方向性のゲートウェイの
     一方または両方を含む、ことを特徴とする請求項1乃至6のいずれか1項に記載の情報通信装置。
  8.  前記第1端末と前記第2端末の少なくとも一方から前記情報通信装置を宛先とする前記第1情報と前記第2情報の少なくとも一方を受け、前記第1情報と前記第2情報の少なくとも一方の宛先を、前記情報処理制御装置に設定した上で、前記情報処理制御装置に対して、前記一方向性の通信路を介して送信する前記一方向通信装置を備えた、ことを特徴とする請求項1乃至7のいずれか1項に記載の情報通信装置。
  9.  予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末の一方から第1情報、前記第1端末と前記第2端末の他方から第2情報を、それぞれ第1通信路と第2通信路を介して、受け取る受付部を備え、
     前記第1通信路と前記第2通信路の少なくとも一方は、少なくとも1つの一方向性の通信路を含み、
     前記第1通信路と前記第2通信路を介して受け取った前記第1情報と前記第2情報に基づき前記項目に関して照合を行い、照合結果に基づき、前記第1情報と前記第2情報の少なくとも一方に対応した処理の実行を制御する照合部を備えた、ことを特徴とする情報処理制御装置。
  10.  前記第1情報と前記第2情報が、前記項目を分割した一部と別の一部の情報をそれぞれ含み、
     前記照合部は、前記第1情報と前記第2情報にそれぞれ含まれる前記項目を分割した一部と別の一部の情報とから合成した情報を登録情報と照合する、ことを特徴とする請求項9に記載の情報処理制御装置。
  11.  前記第1情報と前記第2情報が、前記第1端末と前記第2端末に重複して入力される前記項目の情報を含み、
     前記照合部は、前記第1情報の前記項目の情報と前記第2情報の前記項目の情報とが一致するか照合する、ことを特徴とする請求項9に記載の情報処理制御装置。
  12.  前記第1端末と前記第2端末に前記項目の情報が重複して入力され、
     前記第1情報は、前記項目の情報を含み、
     前記第2情報は、重複して入力された前記項目の情報から生成される認証コードを含み、
     前記照合部は、前記第1端末から送信された前記第1情報を受信すると、前記第1情報に含まれる前記項目の情報の認証コードを生成し、
     前記第2情報に含まれる、前記第2端末から受信した前記認証コードを、生成した認証コードと照合する、ことを特徴とする請求項11に記載の情報処理制御装置。
  13.  前記一方向性の通信路は、
     放送局からの放送波、及び、
     一方向性のゲートウェイ
     の一方または両方を含む、ことを特徴とする請求項9乃至12のいずれか1項に記載の情報処理制御装置。
  14.  情報通信装置と、
     情報処理制御装置と、
     を備え、
     予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末がそれぞれ送信する第1情報と第2情報のうち、
     前記第1情報は、第1通信路を介して、前記情報処理制御装置に送信され、
     前記情報通信装置は、前記第2端末から前記第2情報を、第2通信路を介して、受け取り、受け取った前記第2情報を、前記の第2通信路を構成する少なくとも1つの一方向性の通信路を介して、前記情報処理制御装置に送信し、
     前記情報処理制御装置では、前記第1情報と前記第2情報に基づき、前記項目に関し照合を行い、照合結果に基づき、前記第1情報と前記第2情報の少なくとも一方に対応した処理の実行を制御する、ことを特徴とする情報通信システム。
  15.  予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ複数の端末に入力され、それぞれに入力された情報を、情報処理制御装置に向けて送信する端末であって、前記入力された情報を一方向性の通信路を含む通信路を介して前記情報処理制御装置に送信する、ことを特徴とする端末。
  16.  予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末がそれぞれ送信する第1情報と第2情報のうち、
     前記第1情報は、第1通信路を介して、前記第1情報と前記第2情報に基づき前記項目に関する照合を行う情報処理制御装置に送信され、
     前記第2情報を、第2通信路を介して、受け取り、
     受け取った前記第2情報を、前記第2通信路を構成する少なくとも1つの一方向性の通信路を介して前記情報処理制御装置に送信する、ことを特徴とする情報通信方法。
  17.  予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末の一方から第1情報、前記第1端末と前記第2端末の他方から第2情報を、それぞれ第1通信路と第2通信路を介して、受け取り、
     前記第1通信路と前記第2通信路の少なくとも一方は、少なくとも1つの一方向性の通信路を含み、
     前記第1通信路と前記第2通信路を介して受け取った前記第1情報と前記第2情報に基づき前記項目に関して照合を行い、照合結果に基づき、前記第1情報と前記第2情報の少なくとも一方に対応した処理の実行を制御する、ことを特徴とする情報処理制御方法。
  18.  予め定められた項目の情報が重複して入力されるか又は前記項目を分割した一部と別の一部の情報がそれぞれ入力される第1端末と第2端末の一方から第1情報、前記第1端末と前記第2端末の他方から第2情報を、それぞれ第1通信路と第2通信路を介して、受け取り、
     前記第1通信路と前記第2通信路の少なくとも一方は、少なくとも1つの一方向性の通信路を含み、
     前記第1通信路と前記第2通信路を介して受け取った前記第1情報と前記第2情報に基づき前記項目に関して照合を行い、照合結果に基づき、前記第1情報と前記第2情報の少なくとも一方に対応した処理の実行を制御する処理をコンピュータに実行させるプログラム。
  19.  請求項18のプログラムを記載した記録媒体。
PCT/JP2019/005574 2018-02-16 2019-02-15 情報処理制御装置、情報通信装置、情報通信システム、端末、方法、プログラム、記録媒体 WO2019160085A1 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018025714 2018-02-16
JP2018-025714 2018-02-16

Publications (1)

Publication Number Publication Date
WO2019160085A1 true WO2019160085A1 (ja) 2019-08-22

Family

ID=67618670

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2019/005574 WO2019160085A1 (ja) 2018-02-16 2019-02-15 情報処理制御装置、情報通信装置、情報通信システム、端末、方法、プログラム、記録媒体

Country Status (1)

Country Link
WO (1) WO2019160085A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021089510A (ja) * 2019-12-03 2021-06-10 株式会社 みずほ銀行 外為被仕向送金システム、外為被仕向送金方法及び外為被仕向送金プログラム
JP7388588B1 (ja) * 2023-04-12 2023-11-29 富士電機株式会社 認証システム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08288940A (ja) * 1994-12-13 1996-11-01 Mitsubishi Corp 暗号鍵システム
JP2003008873A (ja) * 2001-06-21 2003-01-10 Nippon Telegr & Teleph Corp <Ntt> 電子鍵管理方法、及びその装置
JP2003209569A (ja) * 2002-01-11 2003-07-25 Kddi Corp 通信内容の秘匿性向上のための経路分散装置
JP2014060587A (ja) * 2012-09-18 2014-04-03 Sharp Corp 端末装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08288940A (ja) * 1994-12-13 1996-11-01 Mitsubishi Corp 暗号鍵システム
JP2003008873A (ja) * 2001-06-21 2003-01-10 Nippon Telegr & Teleph Corp <Ntt> 電子鍵管理方法、及びその装置
JP2003209569A (ja) * 2002-01-11 2003-07-25 Kddi Corp 通信内容の秘匿性向上のための経路分散装置
JP2014060587A (ja) * 2012-09-18 2014-04-03 Sharp Corp 端末装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021089510A (ja) * 2019-12-03 2021-06-10 株式会社 みずほ銀行 外為被仕向送金システム、外為被仕向送金方法及び外為被仕向送金プログラム
JP7388588B1 (ja) * 2023-04-12 2023-11-29 富士電機株式会社 認証システム

Similar Documents

Publication Publication Date Title
US11729150B2 (en) Key pair infrastructure for secure messaging
EP3438902B1 (en) System for issuing public certificate on basis of block chain, and method for issuing public certificate on basis of block chain by using same
US12081531B2 (en) Secure communications using loop-based authentication flow
US10885501B2 (en) Accredited certificate issuance system based on block chain and accredited certificate issuance method based on block chain using same, and accredited certificate authentication system based on block chain and accredited certificate authentication method based on block chain using same
CN1615632B (zh) 用于支持对有线和无线客户端的服务器端认证的方法、装置和系统
US8763097B2 (en) System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
CN103503408B (zh) 用于提供访问凭证的系统和方法
CN113691560B (zh) 数据传送方法、控制数据使用的方法以及密码设备
US8640255B2 (en) Authorization of server operations
US7457848B2 (en) Over-network resource distribution system and mutual authentication system
EP3345372B1 (en) Secure key management and peer-to-peer transmission system with a controlled, double-tier cryptographic key structure and corresponding method thereof
CN111444273B (zh) 一种基于区块链的数据授权方法以及装置
CN102804680A (zh) 共享注册系统的多因素认证
EP2368339A2 (en) Secure transaction authentication
WO2017018829A1 (ko) 인증장치 및 방법, 그리고 이에 적용되는 컴퓨터 프로그램 및 기록매체
US8990887B2 (en) Secure mechanisms to enable mobile device communication with a security panel
CN104012131A (zh) 用于执行空中身份配备的设备和方法
WO2019160085A1 (ja) 情報処理制御装置、情報通信装置、情報通信システム、端末、方法、プログラム、記録媒体
JP2011118789A (ja) 通信装置および処理システム
JP6723422B1 (ja) 認証システム
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
CN117396866A (zh) 授权交易托管服务
CN113347004A (zh) 一种电力行业加密方法
KR102705620B1 (ko) 사용자 2차 인증 방법
KR20180048219A (ko) 셀 브로드캐스팅 서비스를 활용한 온라인 정보보안 시스템

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19754251

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19754251

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: JP