WO2020261426A1

WO2020261426A1 - 不正推定システム、不正推定方法、及びプログラム

Info

Publication number: WO2020261426A1
Application number: PCT/JP2019/025366
Authority: WO
Inventors: 恭輔友田
Original assignee: 楽天株式会社
Priority date: 2019-06-26
Filing date: 2019-06-26
Publication date: 2020-12-30
Also published as: JP6743319B1; TWI751590B; EP3955143A1; TW202105303A; EP3955143A4; JPWO2020261426A1; US20210264299A1

Abstract

不正推定システム（Ｓ）の記憶手段（１００ｃ）は、一のサービスにおけるユーザのユーザ情報と他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報との比較結果と、一のサービスにおける不正の有無と、の関係が学習された学習モデルを記憶する。比較結果取得手段（１０４ｃ）は、一のサービスにおける対象ユーザのユーザ情報と、他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報と、の比較結果を取得する。出力取得手段（１０５ｃ）は、比較結果に基づいて、学習モデルの出力を取得する。推定手段（１０６ｃ）は、学習モデルの出力に基づいて、対象ユーザの不正を推定する。

Description

不正推定システム、不正推定方法、及びプログラム

　本発明は、不正推定システム、不正推定方法、及びプログラムに関する。

　従来、インターネット等で提供されるサービスにおけるユーザの不正を推定する技術が検討されている。例えば、特許文献１には、不正とされたユーザを示すブラックリストを管理するシステムにおいて、新規登録するユーザのウェブサイトの閲覧履歴などの行動履歴を取得し、ブラックリスト内のユーザの行動履歴と比較して、新規登録するユーザの信用度を推定することが記載されている。

特開２０１８－０４５５７３号公報

　しかしながら、不正をするユーザの行動には種々の傾向があり、新規登録をするユーザが不正をするおそれがあったとしても、ブラックリスト内のユーザの行動履歴に似ているとは限らない。特許文献１の技術では、ブラックリスト内のユーザと似た行動をするユーザしか検出することができず、不正推定の精度を十分に高めることができなかった。

　本発明は上記課題に鑑みてなされたものであって、その目的は、推定精度を高めることが可能な不正推定システム、不正推定方法、及びプログラムを提供することである。

　上記課題を解決するために、本発明に係る不正推定システムは、一のサービスにおけるユーザのユーザ情報と他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報との比較結果と、前記一のサービスにおける不正の有無と、の関係が学習された学習モデルを記憶する記憶手段と、前記一のサービスにおける対象ユーザのユーザ情報と、前記他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報と、の比較結果を取得する比較結果取得手段と、前記比較結果に基づいて、前記学習モデルの出力を取得する出力取得手段と、前記学習モデルの出力に基づいて、前記対象ユーザの不正を推定する推定手段と、を含むことを特徴とする。

　本発明に係る不正推定方法は、一のサービスにおける対象ユーザのユーザ情報と、他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報と、の比較結果を取得する比較結果取得ステップと、前記比較結果に基づいて、前記一のサービスにおけるユーザのユーザ情報と前記他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報との比較結果と、前記一のサービスにおける不正の有無と、の関係が学習された学習モデルの出力を取得する出力取得ステップと、前記学習モデルの出力に基づいて、前記対象ユーザの不正を推定する推定ステップと、を含むことを特徴とする。

　本発明に係るプログラムは、一のサービスにおける対象ユーザのユーザ情報と、他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報と、の比較結果を取得する比較結果取得手段、前記比較結果に基づいて、前記一のサービスにおけるユーザのユーザ情報と前記他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報との比較結果と、前記一のサービスにおける不正の有無と、の関係が学習された学習モデルの出力を取得する出力取得手段、前記学習モデルの出力に基づいて、前記対象ユーザの不正を推定する推定手段、としてコンピュータを機能させる。

　本発明の一態様によれば、前記学習モデルには、複数の他のサービスにそれぞれ対応する複数の比較結果と、前記一のサービスにおける不正の有無と、の関係が学習されており、前記比較結果取得手段は、前記複数の他のサービスにそれぞれ対応する複数の比較結果を取得し、前記出力取得手段は、前記複数の比較結果に基づいて、前記学習モデルの出力を取得する、ことを特徴とする。

　本発明の一態様によれば、前記学習モデルには、前記一のサービスにおける利用状況と、前記一のサービスにおける不正の有無と、の関係も学習されており、前記不正推定システムは、前記対象ユーザによる前記一のサービスの利用状況を取得する利用状況取得手段を更に含み、前記出力取得手段は、前記対象ユーザによる利用状況に基づいて、前記学習モデルの出力を取得する、ことを特徴とする。

　本発明の一態様によれば、前記一のサービスでは、所定項目のユーザ情報に基づいて不正が推定され、前記利用状況は、前記所定項目に関する利用状況である、ことを特徴とする。

　本発明の一態様によれば、前記一のサービス及び前記他のサービスでは、複数項目のユーザ情報が登録され、前記学習モデルには、前記複数項目にそれぞれ対応する複数の比較結果と、前記一のサービスにおける不正の有無と、の関係が学習されており、前記比較結果取得手段は、前記複数項目にそれぞれ対応する複数の比較結果を取得し、前記出力取得手段は、前記複数の比較結果に基づいて、前記学習モデルの出力を取得する、ことを特徴とする。

　本発明の一態様によれば、前記他のサービスでは、所定項目のユーザ情報に基づいて不正が推定され、前記学習モデルには、前記所定項目のユーザ情報の比較結果と、前記一のサービスにおける不正の有無と、の関係が学習されており、前記比較結果取得手段は、前記所定項目の比較結果を取得する、ことを特徴とする。

　本発明の一態様によれば、前記他のサービスでは、第１項目のユーザ情報に基づいて不正が推定され、前記学習モデルには、第２項目のユーザ情報の比較結果と、前記一のサービスにおける不正の有無と、の関係が学習されており、前記比較結果取得手段は、前記第２項目の比較結果を取得する、ことを特徴とする。

　本発明の一態様によれば、前記他のサービスでは、前記一のサービスにおける対象ユーザのユーザ情報と、前記他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報と、が比較され、前記比較結果取得手段は、前記他のサービスから比較結果を取得する、ことを特徴とする。

　本発明の一態様によれば、前記不正推定システムは、前記対象ユーザによる前記一のサービスの利用要求を受け付ける受付手段を更に含み、前記推定手段は、前記対象ユーザにより前記一のサービスが利用される場合に、前記対象ユーザの不正を推定する、ことを特徴とする。

　本発明によれば、推定精度を高めることが可能となる。

本実施形態に係る不正推定システムの全体構成を示す図である。不正推定システムの処理の概要を示す説明図である。不正推定システムで実現される機能の一例を示す機能ブロック図である。サービスＡのユーザデータベースのデータ格納例を示す図である。サービスＡのブラックリストのデータ格納例を示す図である。サービスＢのユーザデータベースのデータ格納例を示す図である。サービスＢのブラックリストのデータ格納例を示す図である。サービスＣのユーザデータベースのデータ格納例を示す図である。サービスＣのブラックリストのデータ格納例を示す図である。利用状況データベースのデータ格納例を示す図である。教師データのデータ格納例を示す図である。不正推定システムにおいて実行される処理の一例を示すフロー図である。不正推定システムにおいて実行される処理の一例を示すフロー図である。

［１．不正推定システムの全体構成］
　以下、本発明に係る不正推定システムの実施形態の例を説明する。図１は、本実施形態に係る不正推定システムの全体構成を示す図である。図１に示すように、不正推定システムＳは、サービス提供システム１ａ～１ｃとユーザ端末２０とを含み、これらは、インターネットなどのネットワークＮに接続可能である。

　サービス提供システム１ａ～１ｃの各々は、ユーザにサービスを提供するためのシステムである。サービス提供システム１ａ～１ｃの各々は、任意の種類のサービスを提供可能であり、例えば、電子決済サービス、金融サービス、電子商取引サービス、保険サービス、通信サービス、宅配サービス、又は動画視聴サービス等がユーザに提供される。本実施形態では、サービス提供システム１ａ～１ｃが提供するサービスを、それぞれサービスＡ～Ｃと記載する。

　例えば、サービス提供システム１ａ～１ｃは、それぞれサーバ１０ａ～１０ｃを含む。なお、以降の説明では、サービス提供システム１ａ～１ｃを特に区別する必要のないときは、単にサービス提供システム１と記載する。同様に、サーバ１０ａ～１０ｃを特に区別する必要のないときは、単にサーバ１０と記載する。同様に、図１に示す制御部１１ａ～１１ｃ、記憶部１２ａ～１２ｃ、及び通信部１３ａ～１３ｃを特に区別する必要のないときは、末尾のアルファベットの符号を省略する。

　サーバ１０は、サーバコンピュータである。サーバ１０は、制御部１１、記憶部１２、及び通信部１３を含む。制御部１１は、少なくとも１つのプロセッサを含む。制御部１１は、記憶部１２に記憶されたプログラムやデータに従って処理を実行する。記憶部１２は、主記憶部及び補助記憶部を含む。例えば、主記憶部は、ＲＡＭなどの揮発性メモリであり、補助記憶部は、ＲＯＭ、ＥＥＰＲＯＭ、フラッシュメモリ、又はハードディスクなどの不揮発性メモリである。通信部１３は、有線通信又は無線通信用の通信インタフェースであり、ネットワークＮを介してデータ通信を行う。

　ユーザ端末２０は、ユーザが操作するコンピュータである。例えば、ユーザ端末２０は、携帯電話機（スマートフォンを含む）、携帯情報端末（タブレット型コンピュータを含む）、又はパーソナルコンピュータ等である。本実施形態では、ユーザ端末２０は、制御部２１、記憶部２２、通信部２３、操作部２４、及び表示部２５を含む。制御部２１、記憶部２２、及び通信部２３の物理的構成は、それぞれ制御部１１、記憶部１２、及び通信部１３と同様であってよい。

　操作部２４は、入力デバイスであり、例えば、タッチパネルやマウス等のポインティングデバイス、キーボード、又はボタン等である。操作部２４は、ユーザによる操作内容を制御部２１に伝達する。表示部２５は、例えば、液晶表示部又は有機ＥＬ表示部等である。表示部２５は、制御部２１の指示に従って画像を表示する。

　なお、記憶部１２，２２に記憶されるものとして説明するプログラム及びデータは、ネットワークＮを介して供給されるようにしてもよい。また、上記説明した各コンピュータのハードウェア構成は、上記の例に限られず、種々のハードウェアを適用可能である。例えば、コンピュータ読み取り可能な情報記憶媒体を読み取る読取部（例えば、光ディスクドライブやメモリカードスロット）や外部機器とデータの入出力をするための入出力部（例えば、ＵＳＢポート）が含まれていてもよい。例えば、情報記憶媒体に記憶されたプログラムやデータが読取部や入出力部を介して、各コンピュータに供給されるようにしてもよい。

　また、サービス提供システム１の数は、任意であってよく、３つに限られない。例えば、２つのサービス提供システム１が存在してもよいし、４つ以上のサービス提供システムが存在してもよい。また例えば、１つのサービス提供システム１によって、複数のサービスが提供されてもよい。また、サービス提供システム１には、少なくとも１つのコンピュータが含まれていればよく、例えば、複数のサーバ１０が含まれていてもよいし、サーバコンピュータ以外のコンピュータが含まれていてもよい。また、図１では、ユーザ端末２０を１つだけ示したが、複数のユーザ端末２０が存在してもよい。

［２．不正推定システムの概要］
　本実施形態では、サービス提供システム１は、不正ユーザを示すブラックリストを管理する。

　不正ユーザは、実際に不正を働いたユーザを意味してもよいし、将来的に不正を働く恐れのあるユーザを意味してもよい。例えば、サービス規約に違反する行為をしたユーザ、法律に違反する行為をしたユーザ、又はこれらの恐れがあるユーザは、不正ユーザに相当する。また例えば、不正アクセス、クレジットカードの不正利用、他人のアカウントの乗っ取り、ハッキング、クラッキング、悪意のある投稿、意図的な大量のアクセス、又は他のユーザへの迷惑行為をしたユーザは、不正ユーザに相当する。

　ブラックリストは、不正ユーザに関するユーザ情報が格納されたリストである。別の言い方をすれば、ブラックリストは、不正ユーザを識別可能なデータである。ブラックリストに載った不正ユーザは、サービスの利用が制限される。例えば、ユーザＩＤ（ユーザアカウント）自体が停止すること、又は、サービスの一部の機能を使用不可にすることは、サービスの利用を制限することに相当する。なお、不正が推定された場合に、直ちにサービスの利用が制限される必要はなく、管理者の審査が行われた後にサービスの利用が制限されてもよいし、ユーザに対する追加の認証が行われた後にサービスの利用が制限されてもよい。

　ブラックリストは、サービスの管理者によって手動で編集されてもよいし、サービス提供システム１によりユーザの行動が解析されることによって自動的に編集されてもよい。また、ブラックリストに格納されるユーザ情報の項目（以降、ブラックリスト項目という。）は、全サービスで共通であってもよいが、本実施形態では、サービスに応じたブラックリスト項目が定められているものとする。

　例えば、サービスＡのブラックリスト項目は、ユーザ端末２０のＩＰアドレスと、ユーザ端末２０のデバイスＩＤと、の２つであり、サービスＡのブラックリストには、サービスＡにおける不正ユーザのＩＰアドレスとデバイスＩＤが格納される。サービス提供システム１ａは、サービスＡを利用しようとしているユーザのＩＰアドレス又はデバイスＩＤがブラックリストに格納されているか否かを判定する。サービス提供システム１ａは、ＩＰアドレス又はデバイスＩＤがブラックリストに格納されているユーザによるサービスＡの利用を制限する。なお、ＩＰアドレス又はデバイスＩＤの何れかがブラックリストに格納されていることではなく、これらの両方がブラックリストに格納されていることを条件として、サービスＡの利用が制限されてもよい。

　また例えば、サービスＢのブラックリスト項目は、ユーザの住所と、ユーザ端末２０のＩＰアドレスと、の２つであり、サービスＢのブラックリストには、サービスＢにおける不正ユーザの住所とデバイスＩＤが格納される。サービス提供システム１ｂは、サービスＢを利用しようとしているユーザの住所又はＩＰアドレスの何れかがブラックリストに格納されているか否かを判定する。サービス提供システム１ｂは、住所又はＩＰアドレスの何れかがブラックリストに格納されているユーザによるサービスＢの利用を制限する。なお、住所又はＩＰアドレスの何れかがブラックリストに格納されていることではなく、これらの両方がブラックリストに格納されていることを条件として、サービスＢの利用が制限されてもよい。

　また例えば、サービスＣのブラックリスト項目は、ユーザの名前と、ユーザのクレジットカードのカード番号と、の２つであり、サービスＣのブラックリストには、サービスＣにおける不正ユーザの名前とカード番号が格納される。サービス提供システム１ｃは、サービスＣを利用しようとしているユーザの名前又はカード番号の何れかがブラックリストに格納されているか否かを判定する。サービス提供システム１ｃは、名前又はカード番号の何れかがブラックリストに格納されているユーザによるサービスＣの利用を制限する。なお、名前又はカード番号の何れかがブラックリストに格納されていることではなく、これらの両方がブラックリストに格納されていることを条件として、サービスＣの利用が制限されてもよい。

　上記のように、サービス提供システム１は、自身のブラックリストに載っている不正ユーザによるサービスの利用を制限する。しかしながら、サービス提供システム１のブラックリストに載っていなかったとしても、不正を働くユーザは存在するので、自身のブラックリストを活用するだけでは、このようなユーザの不正を防止できないことがある。

　例えば、サービスＣにおける不正ユーザが、ブラックリストに格納されたカード番号とは別のカード番号を利用して不正を働く場合、当該別のカード番号は、サービスＣのブラックリストに載っていないので、不正を防止することができない。この点、不正ユーザは、他のサービスＡ，Ｂでも不正を働いていることがあり、サービスＣに登録した他の項目のユーザ情報（例えば、住所など）を、他のサービスＡ，Ｂに登録していることがある。このため、サービスＣを利用するユーザのユーザ情報が、他のサービスＡ，Ｂにおける不正ユーザのユーザ情報と一致していることを検出できれば、不正を未然に防止することができる。

　そこで、不正推定システムＳでは、あるサービス提供システム１のユーザが不正ユーザであるか否かを、他のサービス提供システム１のブラックリストを利用して推定するようにしている。本実施形態では、サービスＣを利用するユーザの不正を、サービスＡ，Ｂのブラックリストを利用して推定する場合を例に挙げて、不正推定システムＳの処理を説明する。

　図２は、不正推定システムＳの処理の概要を示す説明図である。図２に網掛けで示す項目は、ブラックリスト項目である。先述したように、サービスＡのブラックリスト項目はＩＰアドレスとデバイスＩＤであり、サービスＢのブラックリスト項目は住所とＩＰアドレスであり、サービスＣのブラックリスト項目は名前とカード番号である。

　図２に示すように、サービスＣを利用するユーザＵは、ユーザＩＤ、名前、住所、電話番号、生年月日、カード番号、ユーザ端末２０のＩＰアドレス、及びデバイスＩＤといった複数項目のユーザ情報を予め登録している。なお、本実施形態では、ユーザ登録時にユーザＵが自分でユーザＩＤを入力する場合を説明するが、ユーザＩＤは、サービス提供システム１ｃが自動的に割り当ててもよい。また、ユーザ登録は必須ではなく、サービスＣの利用時にその場で名前や住所などのユーザ情報を入力させてもよい。

　ユーザＵがサービスＣを利用する場合、サービス提供システム１ｃは、サービス提供システム１ａに対し、ユーザＵのＩＰアドレスとデバイスＩＤ（サービスＡのブラックリスト項目）の比較を依頼する。同様に、サービス提供システム１ｃは、サービス提供システム１ｂに対し、ユーザＵの住所とＩＰアドレス（サービスＢのブラックリスト項目）の比較を依頼する。即ち、サービス提供システム１ｃは、サービス提供システム１ａ，１ｂに対し、サービスＣを利用するユーザＵが、サービスＡ，Ｂにおける不正ユーザと同一人物であるか否かの判定を依頼する。

　サービス提供システム１ａは、自身のブラックリストに載った不正ユーザのＩＰアドレス及びデバイスＩＤを参照し、サービス提供システム１ｃから受信したＩＰアドレス及びデバイスＩＤと比較する。同様に、サービス提供システム１ｂは、自身のブラックリストに載った不正ユーザの住所及びＩＰアドレスを参照し、サービス提供システム１ｃから受信した住所及びＩＰアドレスと比較する。

　サービス提供システム１ａ，１ｂの各々は、サービス提供システム１ｃに対し、比較結果（ＩＰアドレス等のユーザ情報が一致しているか否か）を送信する。ユーザＵのユーザ情報と、サービスＡ，Ｂにおける不正ユーザのユーザ情報と、が一致していない場合には、ユーザＵは、サービスＡ，Ｂにおける不正ユーザとは異なる蓋然性が高い。一方、ユーザＵのユーザ情報と、サービスＡ，Ｂにおける不正ユーザのユーザ情報と、が一致している場合には、ユーザＵは、サービスＡ，Ｂにおける不正ユーザと同じである蓋然性が高い。

　この点、ユーザＵが、サービスＡ，Ｂの不正ユーザと同じである蓋然性が高かったとしても、サービスＣにおいて不正を働くとは限らない。例えば、各サービスＡ～Ｃは、それぞれ独自の観点で不正検知が行われており、サービスＣとは大きく異なる観点で不正検知が行われるサービスについては、比較結果をあまり信用できないことがある。サービス提供システム１ａ，１ｂからの比較結果をそのまま信用すると、サービスを制限する判定基準が厳しくなりすぎてしまい、サービスＣでは不正とされないユーザについても、サービスの利用が制限されてしまう可能性がある。

　そこで、サービス提供システム１ｃは、サービスＡ，Ｂからの比較結果と、サービスＣにおける不正の有無と、の関係を学習させた学習モデルを利用して、ユーザＵの不正を推定するようにしている。本実施形態では、不正の推定精度を更に高めるために、サービスＣにおける利用状況と不正の有無との関係も学習モデルに学習されている。

　学習モデルは、学習済みのモデルである。学習モデルは、学習器、分類器、又は分類学習器と呼ばれることもある。本実施形態では、ユーザＵが不正ユーザであるか否かを分類するための学習モデルが用いられる。機械学習自体は、公知の種々の手法を利用可能であり、例えば、ニューラルネットワーク、強化学習、又は深層学習といった手法を利用可能である。機械学習は、教師有り機械学習に限られず、半教師有り機械学習が用いられてもよいし、教師無し機械学習が用いられてもよい。

　例えば、学習モデルは、入力されたデータの特徴量を計算し、当該データに関する分類を行う。特徴量は、データの特徴を示す数値であり、例えば、ｎ（ｎは自然数）次元のベクトル、又は、ｎ個の要素からなる配列で示される。なお、学習モデルとは別に、特徴量を計算するためのアルゴリズムを用意してもよい。この場合、学習モデルは、特徴量を計算する必要がなく、当該アルゴリズムによって計算された特徴量が学習モデルに入力される。

　サービス提供システム１ｃは、サービスＣにおけるユーザＵの利用状況と、サービス提供システム１ａ，１ｂから取得した比較結果と、を示すデータを学習モデルに入力する。学習モデルは、当該データの特徴量を計算し、ユーザＵを不正又は正当の何れかに分類し、分類結果を出力する。サービス提供システム１ｃは、学習モデルからの出力に基づいて、ユーザＵの不正を推定する。

　サービス提供システム１ｃは、学習モデルからの出力が正当を示していれば、サービスＣにおいてユーザＵが不正ではないと推定し、サービスＣの利用を許可する。一方、サービス提供システム１ｃは、学習モデルからの出力が不正を示していれば、サービスＣにおいてユーザＵが不正であると推定し、サービスＣの利用を制限する。

　以上のように、本実施形態の不正推定システムＳは、学習モデルを利用して、サービスＣを利用するユーザＵの不正を推定することによって、不正の推定精度を高めるようにしている。以降、この技術の詳細を説明する。なお、以降の説明では、サービスＣにユーザ登録するユーザＵの符号を省略する。

［３．不正推定システムにおいて実現される機能］
　図３は、不正推定システムＳで実現される機能の一例を示す機能ブロック図である。本実施形態では、サービス提供システム１ａ，１ｂで実現される機能と、サービス提供システム１ｃで実現される機能と、が異なる場合を説明するが、後述する変形例のように、サービス提供システム１ａ～１ｃの各々は、同様の機能を有していてもよい。

［３－１．サービスＡにおいて実現される機能］
　図３に示すように、サービスＡのサービス提供システム１ａでは、データ記憶部１００ａと比較部１０１ａとが実現される。

[データ記憶部]
　データ記憶部１００ａは、記憶部１２ａを主として実現される。データ記憶部１００ａは、本実施形態で説明する処理を実行するために必要なデータを記憶する。ここでは、データ記憶部１００ａが記憶するデータの一例として、サービスＡのユーザデータベースＤＢ１ａと、サービスＡのブラックリストＢＬａと、について説明する。

　図４は、サービスＡのユーザデータベースＤＢ１ａのデータ格納例を示す図である。図４に示すように、ユーザデータベースＤＢ１ａは、サービスＡにユーザ登録したユーザのユーザ情報が格納されるデータベースである。例えば、ユーザデータベースＤＢ１ａには、ユーザを一意に識別するユーザＩＤと、ユーザ登録時にユーザが登録した登録情報と、が格納される。登録情報は、ユーザＩＤ以外のユーザ情報であり、例えば、ユーザの個人情報である。

　ユーザデータベースＤＢ１ａには、複数項目の各々のユーザ情報が格納される。項目とは、ユーザ情報の種類又は内容である。図４に示すように、本実施形態では、ユーザデータベースＤＢ１ａには、ユーザＩＤ、名前、住所、電話番号、生年月日、クレジットカードのカード番号、ユーザ端末２０のＩＰアドレス、及びユーザ端末２０のデバイスＩＤといった８項目のユーザ情報が格納される。

　なお、ユーザデータベースＤＢ１ａに格納されるユーザ情報は、図４の例に限られない。ユーザデータベースＤＢ１ａには、任意の項目のユーザ情報が格納されるようにすればよく、例えば、勤務先、役職、年齢、性別、ニックネーム、顔写真、ユーザ端末２０のＳＩＭ情報、パスワードや生体情報などの認証情報、メールアドレス、アクセス場所情報、又は、アクセス日時といった項目のユーザ情報が格納されていてもよい。

　図５は、サービスＡのブラックリストＢＬａのデータ格納例を示す図である。本実施形態では、ＩＰアドレスとデバイスＩＤの２項目がサービスＡのブラックリスト項目なので、サービスＡのブラックリストＢＬａには、サービスＡにおける不正ユーザのＩＰアドレスとデバイスＩＤが格納される。例えば、サービスＡの管理者は、自身の端末を操作し、不正ユーザのＩＰアドレスとデバイスＩＤをブラックリストＢＬａに登録する。

　また例えば、サービス提供システム１ａは、ユーザの行動を解析し、所定のルールに合致するユーザを不正ユーザとして推定し、当該不正ユーザのＩＰアドレスとデバイスＩＤをブラックリストＢＬａに登録する。ルールは、任意のルールを適用可能であり、例えば、決済金額、決済頻度、アクセス場所、又はアクセス時間に関するルールであってもよい。また例えば、サービス提供システム１ａは、ユーザの不正を検知する学習モデルを利用して不正ユーザを検出し、当該検出した不正ユーザのＩＰアドレスとデバイスＩＤをブラックリストＢＬａに登録してもよい。

　なお、ブラックリストＢＬａには、ブラックリスト項目以外の項目のユーザ情報が格納されてもよい。例えば、不正ユーザのＩＰアドレスとデバイスＩＤ以外の項目のユーザ情報（例えば、名前又は住所）がユーザデータベースＤＢ１ａから取得され、ブラックリスト項目であるＩＰアドレスとデバイスＩＤとともにブラックリストＢＬａに格納されていてもよい。

　また、図５では、ＩＰアドレスとデバイスＩＤが同じブラックリストＢＬａに格納されている場合を説明するが、これらは、別々のブラックリストＢＬａに格納されていてもよい。即ち、ＩＰアドレスのブラックリストＢＬａと、デバイスＩＤのブラックリストＢＬａと、が別々であってもよい。

［比較部］
　比較部１０１ａは、制御部１１ａを主として実現される。比較部１０１ａは、一のサービスにおける対象ユーザのユーザ情報と、他のサービスにおける不正ユーザのユーザ情報と、を比較する。

　一のサービスとは、対象ユーザが利用するサービスである。対象ユーザとは、不正の推定対象となるユーザである。別の言い方をすれば、対象ユーザは、後述する推定部１０６ｃの処理対象となるユーザである。他のサービスとは、一のサービス以外のサービスである。他のサービスには、一のサービスと同一人物がユーザ登録していることがある。

　本実施形態では、サービスＣにおけるユーザの不正が推定される場合を説明するので、サービスＣは一のサービスに相当し、サービスＡ，Ｂは他のサービスに相当する。このため、本実施形態でサービスＣを説明している箇所は、一のサービスと読み替えることができ、サービスＡ又はサービスＢを説明している箇所は、他のサービスと読み替えることができる。また、サービスＣにおいてユーザ登録をしようとしているユーザを説明している箇所は、対象ユーザと読み替えることができる。

　比較部１０１ａは、サービスＣにおける対象ユーザのユーザ情報と、サービスＡにおける不正ユーザのユーザ情報と、を比較する。サービスＡにおける不正ユーザは、サービスＡのブラックリストＢＬａに載っているユーザである。即ち、サービスＡにおける不正ユーザは、サービスＡのブラックリストＢＬａにＩＰアドレス又はデバイスＩＤが格納されたユーザである。

　なお、本実施形態では、サービスＡのブラックリスト項目であるＩＰアドレスとデバイスＩＤが比較される場合を説明するが、任意の項目のユーザ情報が比較されてよい。例えば、サービスＣのブラックリスト項目である名前とカード番号が比較されてもよいし、特にブラックリスト項目ではない他の項目のユーザ情報が比較されてもよい。

　また、本実施形態では、ＩＰアドレスとデバイスＩＤの２項目のユーザ情報が比較される場合を説明するが、比較されるユーザ情報の項目数は、任意であってよい。例えば、１項目のユーザ情報だけが比較されてもよいし、３項目以上のユーザ情報が比較されてもよい。更に、本実施形態では、サービスＡ，Ｂの各々で比較される項目数が同じ（２項目）である場合を説明するが、サービスによって比較される項目数やその種類が異なってもよい。

　例えば、比較部１０１ａは、サービスＣのサービス提供システム１ｃから、対象ユーザのＩＰアドレスとデバイスＩＤを取得する。比較部１０１ａは、ブラックリストＢＬａに基づいて、サービスＡにおける不正ユーザのＩＰアドレスとデバイスＩＤを取得する。

　比較部１０１ａは、サービスＣにおける対象ユーザのＩＰアドレス及びデバイスＩＤと、サービスＡにおける不正ユーザのＩＰアドレス及びデバイスＩＤと、を比較する。比較部１０１ａは、サービスＣのサービス提供システム１ｃに対し、比較結果を送信する。比較結果は、任意のデータ形式であってよく、ユーザ情報が一致することを示す値、又は、ユーザ情報が一致しないことを示す値の何れかとなる。本実施形態では、ＩＰアドレスとデバイスＩＤの２項目が比較されるので、これら２つの各々の比較結果が送信される。

　なお、本実施形態では、ＩＰアドレスとデバイスＩＤが比較されるので、比較部１０１ａがＩＰアドレスとデバイスＩＤの完全一致（同一）を判定する場合を説明するが、住所やメールアドレスなどの他のユーザ情報が比較される場合には、比較部１０１ａはユーザ情報の部分一致（類似）を判定してもよい。即ち、サービスＣの対象ユーザとサービスＡの不正ユーザとが同一人物であるか否かは、完全一致ではなく、部分一致によって推定されてもよい。部分一致としては、前方一致、中間一致、又は後方一致の何れが判定されてもよい。

［３－２．サービスＢにおいて実現される機能］
　図３に示すように、サービス提供システム１ｂでは、データ記憶部１００ｂと比較部１０１ｂとが実現される。

［データ記憶部］
　データ記憶部１００ｂは、記憶部１２ｂを主として実現される。データ記憶部１００ｂは、本実施形態で説明する処理を実行するために必要なデータを記憶する。ここでは、データ記憶部１００ｂが記憶するデータの一例として、サービスＢのユーザデータベースＤＢ１ｂと、サービスＢのブラックリストＢＬｂと、について説明する。

　図６は、サービスＢのユーザデータベースＤＢ１ｂのデータ格納例を示す図である。図６に示すように、サービスＢのユーザデータベースＤＢ１ｂは、サービスＢにユーザ登録したユーザのユーザ情報が格納されるデータベースである。本実施形態では、サービスＡのユーザデータベースＤＢ１ａに格納される項目と、サービスＢのユーザデータベースＤＢ１ｂに格納される項目と、が同じ場合を説明する。サービスＢのユーザデータベースＤＢ１ｂに格納される各項目の詳細は、サービスＡのユーザデータベースＤＢ１ａと同様のため、説明を省略する。

　本実施形態では、サービスごとに、独自のユーザＩＤが発行される。このため、同一人物であったとしても、サービスＡのユーザＩＤと、サービスＢのユーザＩＤと、は異なる。また、同一人物が複数のクレジットカードを利用する場合には、サービスＡのカード番号と、サービスＢのカード番号と、が異なることもある。他の項目についても同様に、同一人物であったとしても、サービスＡのユーザ情報と、サービスＢのユーザ情報と、が異なることもある。

　なお、サービスＡのユーザデータベースＤＢ１ａに格納される項目と、サービスＢのユーザデータベースＤＢ１ｂに格納される項目と、は異なっていてもよい。例えば、サービスＡのユーザデータベースＤＢ１ａには住所が格納されるが、サービスＢのユーザデータベースＤＢ１ｂには住所が格納されない、といったことがあってもよい。この点は、サービスＣについても同様であり、本実施形態では、サービスＣのユーザデータベースＤＢ１ｃに格納される項目と、サービスＡ，ＢのユーザデータベースＤＢ１ａ，ＤＢ１ｂに格納される項目と、が同じ場合を説明するが、これらの項目は、異なっていてもよい。各サービスには、ユーザ登録で必要な項目のユーザ情報が登録されるようにすればよい。

　図７は、サービスＢのブラックリストＢＬｂのデータ格納例を示す図である。図７に示すように、本実施形態では、住所及びＩＰアドレスの２項目がサービスＢのブラックリスト項目なので、サービスＢのブラックリストＢＬｂには、サービスＢにおける不正ユーザの住所及びＩＰアドレスが格納される。

　サービスＢのブラックリストＢＬｂは、ブラックリスト項目が異なるという点でサービスＡのブラックリストＢＬａとは異なり、他の点については同様のため、説明を省略する。サービスＡのブラックリストＢＬａの説明における「サービスＡ」、「サービス提供システム１ａ」、「ＩＰアドレス」、「デバイスＩＤ」、「ブラックリストＢＬａ」を、それぞれ「サービスＢ」、「サービス提供システム１ｂ」、「住所」、「ＩＰアドレス」、「ブラックリストＢＬｂ」と読み替えればよい。

［比較部］
　比較部１０１ｂは、制御部１１ｂを主として実現される。比較部１０１ｂは、サービスＣにおける対象ユーザのユーザ情報と、サービスＢにおける不正ユーザのユーザ情報と、を比較する。比較部１０１ｂの処理は、比較部１０１ａの処理と同様のため、説明を省略する。比較部１０１ａの説明における「サービスＡ」、「ＩＰアドレス」、「デバイスＩＤ」、「ユーザデータベースＤＢ１ａ」、「ブラックリストＢＬａ」を、それぞれ「サービスＢ」、「住所」、「ＩＰアドレス」、「ユーザデータベースＤＢ１ｂ」、「ブラックリストＢＬｂ」と読み替えればよい。

［３－３．サービスＣにおいて実現される機能］
　図３に示すように、サービス提供システム１ｃでは、データ記憶部１００ｃ、受付部１０２ｃ、利用状況取得部１０３ｃ、比較結果取得部１０４ｃ、出力取得部１０５ｃ、及び推定部１０６ｃが実現される。

［データ記憶部］
　データ記憶部１００ｃは、記憶部１２ｃを主として実現される。データ記憶部１００ｃは、本実施形態で説明する処理を実行するために必要なデータを記憶する。ここでは、データ記憶部１００ｃが記憶するデータの一例として、サービスＣのユーザデータベースＤＢ１ｃ、サービスＣのブラックリストＢＬｃ、利用状況データベースＤＢ２、教師データＤＴ、及び学習モデルＭについて説明する。

　図８は、サービスＣのユーザデータベースＤＢ１ｃのデータ格納例を示す図である。図８に示すように、サービスＣのユーザデータベースＤＢ１ｃは、サービスＣにユーザ登録したユーザのユーザ情報が格納されるデータベースである。本実施形態では、サービスＣのユーザデータベースＤＢ１ｃに格納される各項目の詳細は、サービスＡ，ＢのユーザデータベースＤＢ１ａ，ＤＢ１ｂと同様のため、説明を省略する。

　図９は、サービスＣのブラックリストＢＬｃのデータ格納例を示す図である。図９に示すように、本実施形態では、名前とカード番号がサービスＣのブラックリスト項目なので、サービスＣのブラックリストＢＬｃには、サービスＣにおける不正ユーザの名前とカード番号が格納される。

　サービスＣのブラックリストＢＬｃは、ブラックリスト項目が異なるという点でサービスＡのブラックリストＢＬａとは異なり、他の点については同様のため、説明を省略する。サービスＡのブラックリストＢＬａの説明における「サービスＡ」、「サービス提供システム１ａ」、「ＩＰアドレス」、「デバイスＩＤ」、「ブラックリストＢＬａ」を、それぞれ「サービスＣ」、「サービス提供システム１ｃ」、「名前」、「カード番号」、「ブラックリストＢＬｃ」と読み替えればよい。

　図１０は、利用状況データベースＤＢ２のデータ格納例を示す図である。図１０に示すように、利用状況データベースＤＢ２は、サービスＣにおけるユーザの利用状況が格納されたデータベースである。利用状況データベースＤＢ２には、全ユーザ（全期間）の利用状況が格納されてもよいし、一部のユーザ（一部の期間）の利用状況が格納されてもよい。

　利用状況は、ユーザによりサービスＣがどのように利用されたかを示す情報である。利用状況は、利用履歴又は利用内容ということもできる。利用状況には、サービスＣにおけるユーザの行動が表れる。利用状況としては、サービスＣの内容に応じた情報が格納されるようにすればよく、本実施形態では、サービスＣが電子商取引サービスである場合を説明する。このため、本実施形態では、利用状況は、商品の購入状況ということもできる。

　図１０に示すように、利用状況データベースＤＢ２には、取引を一意に識別する取引ＩＤ、ユーザＩＤ、店舗を一意に識別する店舗ＩＤ、商品を一意に識別する商品ＩＤ、商品の数量、取引額（支払額又は決済額）、及び取引日時といった情報が格納される。利用状況データベースＤＢ２は、ユーザがサービスＣを利用するたびに更新される。

　例えば、サービス提供システム１ｃは、サービスＣのオンラインショッピングモール上の店舗における商品の購入手続きが行われた場合に、取引ＩＤを発行し、購入手続きをしたユーザのユーザＩＤ、当該店舗の店舗ＩＤ、当該商品の商品ＩＤ、ユーザが指定した商品の数量、商品の単価と数量に応じた取引額、及び現在日時である取引日時が利用状況データベースＤＢ２に格納される。なお、利用状況データベースＤＢ２に格納される利用状況は、上記の例に限られない。ユーザによるサービスＣの利用状況を示す情報が格納されるようにすればよく、例えば、アクセス場所情報又は配送先といった情報が格納されてもよい。

　図１１は、教師データＤＴのデータ格納例を示す図である。教師データＤＴは、学習モデルの学習で利用されるデータである。別の言い方をすれば、教師データＤＴは、学習モデルのパラメータを調整するためのデータである。教師データＤＴは、学習データ又は訓練データと呼ばれることもある。教師データＤＴは、入力データと同じ形式のデータと、正解となる出力と、がペアになったデータである。

　本実施形態では、対象ユーザが不正であるか否かが分類されるので、出力は、不正を示す値、又は、正当を示す値の何れかとなる。例えば、教師データＤＴは、サービスＣの管理者により作成され、不正の有無は、管理者によって判断される。即ち、教師データＤＴの入力部分に相当するユーザが実際に不正をしたか否かが管理者によって判断され、教師データＤＴの出力部分の値が決定される。

　図１１に示すように、教師データＤＴには、サービスＣにおけるユーザの利用状況（例えば、取引額及び取引頻度）及びサービスＡ，Ｂにおける比較結果と、不正の有無を示す不正フラグと、のペアが格納されている。利用状況及び比較結果は入力（設問）であり、不正フラグは出力（回答）となる。

　不正フラグは、不正であるか否かを示す情報である。図１１のデータ格納例では、不正フラグが「１」であることは不正を意味し、不正フラグが「０」であることは正当を意味する。また、比較結果が「１」であることはユーザ情報が一致したことを意味し、比較結果が「０」であることはユーザ情報が一致しなかったことを意味する。

　また、データ記憶部１００ｃは、学習モデルＭのプログラム（アルゴリズム）やパラメータを記憶する。学習モデルＭは、教師データＤＴを学習済みである。学習処理自体は、ニューラルネットワーク等の教師有り機械学習で利用されている種々の手法を利用可能であり、教師データＤＴが示す入力と出力の関係が得られるように、学習モデルＭのパラメータが調整される。学習モデルＭは、入力されたデータの特徴量を計算し、分類結果を示す値を出力する。

　学習モデルＭは、ユーザを不正又は正当の何れかに分類するので、不正又は正当の何れかの値を出力する。なお、学習モデルＭは、分類の蓋然性（確度）を示すスコアを出力してもよい。この場合、学習モデルＭは、不正である蓋然性を示すスコアと、正当である蓋然性を示すスコアと、の少なくとも一方を出力してもよい。なお、学習モデルＭによる分類結果は、ラベルと呼ばれることもある。この場合、出力となるのは、ラベルを識別するラベルＩＤとなる。

　学習モデルＭは、サービスＣにおけるユーザのユーザ情報とサービスＡ，Ｂにおける不正ユーザのユーザ情報との比較結果と、サービスＣにおける不正の有無と、の関係が学習されている。本実施形態では、サービスＡ，Ｂの各々が他のサービスに相当し、他のサービスが複数存在するので、学習モデルＭには、複数の他のサービスにそれぞれ対応する複数の比較結果と、一のサービスにおける不正の有無と、の関係が学習されている。なお、学習モデルＭには、任意の数の他のサービスの比較結果が学習されていればよく、１つだけであってもよいし、３つ以上であってもよい。

　また、本実施形態では、サービスＣにおける利用状況と不正の有無との関係も教師データＤＴに示されているので、学習モデルＭには、サービスＣにおける利用状況と、サービスＣにおける不正の有無と、の関係も学習されている。また、本実施形態では、サービスＣ及びサービスＡ，Ｂでは、複数項目のユーザ情報が登録されており、学習モデルＭには、複数項目にそれぞれ対応する複数の比較結果と、サービスＣにおける不正の有無と、の関係が学習されている。なお、学習モデルＭには、任意の項目数の比較結果が学習されていればよく、１項目だけの比較結果が学習されていてもよいし、３紅毛以上の比較結果が学習されていてもよい。

　また、本実施形態では、サービスＡ，Ｂでは、所定項目（サービスＡ，
Ｂの各々のブラックリスト項目）のユーザ情報に基づいて不正が推定され、学習モデルＭには、所定項目のユーザ情報の比較結果と、サービスＣにおける不正の有無と、の関係が学習されている。即ち、学習モデルＭには、サービスＡ，Ｂにおけるブラックリスト項目の比較結果と、サービスＣにおける不正の有無と、の関係が学習されている。なお、以降の説明では、学習モデルＭの符号を省略する。

［受付部］
　受付部１０２ｃは、制御部１１ｃを主として実現される。受付部１０２ｃは、対象ユーザによるサービスＣの利用要求を受け付ける。利用要求は、サービスＣを利用するために送信される要求である。利用要求には、任意の情報が含まれてよく、例えば、対象ユーザに関する任意の項目のユーザ情報、又は、対象ユーザが利用したいサービスの内容などである。本実施形態では、サービスＣは、電子商取引サービスなので、利用要求には、対象ユーザが購入する商品に関する情報（例えば、商品ＩＤや数量）が含まれる。受付部１０２ｃは、ユーザ端末２０から、ユーザが操作部２４を利用して入力した情報を受信することによって、利用要求を受け付ける。

［利用状況取得部］
　利用状況取得部１０３ｃは、制御部１１ｃを主として実現される。利用状況取得部１０３ｃは、対象ユーザによるサービスＣの利用状況を取得する。本実施形態では、利用状況は、利用状況データベースＤＢ２に格納されているので、利用状況取得部１０３ｃは、データ記憶部１００ｃに記憶された利用状況データベースＤＢ２を参照し、利用状況を取得する。なお、利用状況に相当する情報は、利用要求にも含まれていることがあるので、利用状況取得部１０３ｃは、ユーザ端末２０から受信した利用要求を参照することによって、利用状況を取得してもよい。

　利用状況取得部１０３ｃが取得する利用状況は、任意の内容であってよいが、本実施形態では、サービスＣにおいて、ブラックリスト項目のユーザ情報に基づいて不正が推定されるので、利用状況は、ブラックリスト項目に関する利用状況である場合を説明する。ブラックリスト項目は、本発明に係る所定項目の一例である。このため、本実施形態でブラックリスト項目（例えば、サービスＡにおけるＩＰアドレス又はデバイスＩＤ、サービスＢにおける住所又はＩＰアドレス、サービスＣにおける名前又はカード番号）と記載した箇所は、所定項目と読み替えることができる。なお、後述する変形例におけるホワイトリスト項目が所定項目に相当してもよい。

　ブラックリスト項目に関する利用状況とは、ブラックリスト項目に関連する利用状況である。例えば、ブラックリスト項目がカード番号であれば、取引額や取引頻度といった決済に係る情報が利用状況となる。取引額は、取引１回あたりの金額である。取引頻度は、一定期間（例えば、１日～数か月程度）における取引の回数である。

　また例えば、ブラックリスト項目がユーザＩＤであれば、同一のユーザＩＤでログインした回数や頻度が利用状況となる。また例えば、ブラックリスト項目が名前であれば、同一の名前でサービスの申し込みをした回数や頻度が利用状況となる。他の項目についても同様に、項目に関する利用状況が取得されるようにすればよい。

［比較結果取得部］
　比較結果取得部１０４ｃは、制御部１１ｃを主として実現される。比較結果取得部１０４ｃは、サービスＣにおける対象ユーザのユーザ情報と、サービスＡ，Ｂにおける不正ユーザのユーザ情報と、の比較結果を取得する。本実施形態では、サービスＡ，Ｂの各々が他のサービスに相当し、他のサービスが複数存在するので、比較結果取得部１０４ｃは、複数の他のサービスにそれぞれ対応する複数の比較結果を取得する。

　また、本実施形態では、サービスＡ，Ｂにおける複数のブラックリスト項目が比較対象となるので、比較結果取得部１０４ｃは、複数項目にそれぞれ対応する複数の比較結果を取得する。比較結果取得部１０４ｃは、複数項目の各々の比較結果を取得する。例えば、サービスＡでは、ＩＰアドレスとデバイスＩＤがブラックリスト項目となっているので、比較結果取得部は、ＩＰアドレスとデバイスＩＤの各々の比較結果を取得する。また、サービスＢでは、住所とＩＰアドレスがブラックリスト項目となっているので、比較結果取得部は、住所とＩＰアドレスの各々の比較結果を取得する。

　本実施形態では、サービスＣにおいて比較処理が実行されるのではなく、サービスＡ，Ｂにおいて、サービスＣにおける対象ユーザのユーザ情報と、他のサービスにおける不正ユーザのユーザ情報と、が比較されるので、比較結果取得部１０４ｃは、サービスＡ，Ｂから比較結果を取得する。即ち、比較結果取得部１０４ｃが比較結果を取得するにあたり、ネットワークＮにおいて、サービスＡ，Ｂのカード番号が送信されない。比較結果取得部１０４ｃは、サービスＡ，Ｂごとに、当該サービスＡ，Ｂに対応する比較結果を取得する。

［出力取得部］
　出力取得部１０５ｃは、制御部１１ｃを主として実現される。出力取得部１０５ｃは、比較結果取得部１０４ｃが取得した比較結果に基づいて、学習モデルの出力を取得する。本実施形態では、サービスＡ，Ｂの各々が他のサービスに相当し、他のサービスが複数存在するので、出力取得部１０５ｃは、複数の比較結果に基づいて、学習モデルの出力を取得する。更に、本実施形態では、サービスＣにおける利用状況も利用されるので、出力取得部は、対象ユーザによる利用状況に基づいて、学習モデルの出力を取得する。

　例えば、出力取得部１０５ｃは、利用状況取得部１０３ｃが取得した利用状況と、比較結果取得部１０４ｃが取得した複数の比較結果の各々と、を示す入力データを学習モデルに入力する。入力データは、図１１に示す教師データＤＴの入力部分と同様の形式となる。学習モデルは、入力データの特徴量を計算し、入力データを不正又は正当の何れかを示す分類結果を出力する。出力取得部１０５ｃは、当該出力された分類結果を取得する。

［推定部］
　推定部１０６ｃは、制御部１１ｃを主として実現される。推定部１０６ｃは、学習モデルの出力に基づいて、対象ユーザの不正を推定する。推定とは、対象ユーザが不正ユーザであるか否かを判定又は決定することである。推定部１０６ｃによる推定結果が、不正ユーザであるか否かの最終結果となってもよいし、その後に管理者による判断にゆだねられてもよい。推定部１０６ｃは、学習モデルの出力を参照し、不正を示す分類結果であれば対象ユーザが不正である推定し、正当を示す分類結果であれば対象ユーザが正当であると推定する。

　本実施形態では、ユーザがサービスを利用する際に不正が推定されるので、対象ユーザは、ユーザ登録済みのユーザ、又は、サービスの利用時にその場でユーザ情報を入力したユーザとなる。なお、ユーザ登録は、サービスＣの利用を開始するために、サービスＣにユーザ情報を登録することである。ユーザ登録は、利用登録又はサービス登録といわれることもある。

　推定部１０６ｃは、対象ユーザによりサービスＣが利用される場合に、対象ユーザの不正を推定する。サービスＣが利用される場合とは、利用要求が受け付けられた時点、又は、その後の任意の時点である。例えば、推定部１０６ｃは、ユーザ登録が完了した後に、対象ユーザの不正を推定する。なお、推定部１０６ｃは、ユーザ登録が完了する前に、対象ユーザの不正を推定してもよい。

［４．不正推定システムにおいて実行される処理］
　図１２及び図１３は、不正推定システムＳにおいて実行される処理の一例を示すフロー図である。図１２及び図１３に示す処理は、制御部１１，２１が、それぞれ記憶部１２，２２に記憶されたプログラムに従って動作することによって実行される。下記に説明する処理は、図３に示す機能ブロックにより実行される処理の一例である。

　図１２に示すように、まず、ユーザ端末２０においては、制御部２１は、サービス提供システム１ｃに対し、サービスＣの利用画面のアクセス要求を送信する（Ｓ１）。利用画面は、サービスＣを利用するための画面であり、例えば、商品を購入するための商品ページである。アクセス要求は、利用画面のＵＲＬが選択された場合などの任意のタイミングで送信される。

　サービス提供システム１ｃにおいては、アクセス要求を受信すると、制御部１１ｃは、ユーザ端末２０に対し、利用画面の表示データを送信する（Ｓ２）。表示データは、任意のデータ形式であってよく、例えば、ＨＴＭＬデータである。利用画面の表示データは、記憶部１２ｃに予め記憶されているものとする。

　ユーザ端末２０においては、表示データを受信すると、制御部２１は、表示データに基づいて、利用画面を表示部２５に表示させる（Ｓ３）。Ｓ３において利用画面が表示されると、ユーザは、操作部２４を操作して、サービスＣの利用内容を入力する。例えば、ユーザは、商品ページに表示された商品の数量を指定する。なお、ユーザは、予めサービスＣにログインしており、ユーザ端末２０にユーザＩＤが記憶されているものとする。ユーザ登録をせずにサービスＣを利用可能とする場合には、この段階でユーザは自身のユーザ情報を入力する。

　制御部２１は、サービス提供システム１ｃに対し、利用要求を送信する（Ｓ４）。利用要求には、ユーザが入力した商品の数量などの情報と、ユーザＩＤなどのユーザ情報と、が含まれているものとする。利用要求は、商品を購入するためのボタンが選択された場合等に送信されるようにすればよい。

　サービス提供システム１ｃにおいては、利用要求を受信すると、制御部１１ｃは、ユーザデータベースＤＢ１ｃを参照してユーザの名前及びカード番号を取得し、これらがサービスＣのブラックリストＢＬｃに格納されているか否かを判定する（Ｓ５）。Ｓ５においては、制御部１１ｃは、ユーザの名前とカード番号をクエリとし、サービスＣのブラックリストＢＬｃ内を検索する。なお、ユーザが銀行振込等の他の決済を選択した場合には、カード番号は参照されなくてもよい。また、Ｓ５における判定は、Ｓ２においてアクセス要求を受信した時点で実行されてもよい。

　名前又はカード番号がブラックリストＢＬｃに格納されていると判定された場合（Ｓ５；Ｙ）、制御部１１ｃは、ユーザが不正であると推定し、サービスの利用を制限する（Ｓ６）。Ｓ６においては、制御部１１ｃは、サービスの利用を拒否し、ユーザにサービスを利用させないように制限する。この場合、ユーザ端末２０に、「このカード番号ではサービスを利用できません」といったメッセージが表示されてもよい。他にも例えば、制御部１１ｃは、サービスの利用を保留とし、サービスＣの管理者に対し、ユーザ登録を許可するか否かを問い合わせる通知を送信してもよい。この場合、サービスＣの管理者による許可が得られた場合には、ユーザ登録が許可される。

　一方、カード番号がブラックリストＢＬｃに格納されていると判定されない場合（Ｓ５；Ｎ）、図１３に移り、制御部１１ｃは、ユーザデータベースＤＢ１ｃに基づいて、サービス提供システム１ａ，１ｂの各々に対し、ユーザ情報の比較処理を依頼する（Ｓ７）。比較処理の依頼は、所定形式のデータが送信されることによって行われるようにすればよく、比較対象となる項目のユーザ情報が含まれるものとする。制御部１１ｃは、サービス提供システム１ａに対し、利用要求をしたユーザのＩＰアドレスとデバイスＩＤを送信し、サービス提供システム１ｂに対し、利用要求をしたユーザの住所とＩＰアドレスを送信する。なお、どのサービス提供システム１に対し、どの項目のユーザ情報を送信するかを特定する情報は、記憶部１２ｃに予め記憶されているものとする。

　サービス提供システム１ａにおいては、ＩＰアドレスとデバイスＩＤを受信すると、制御部１１ａは、サービスＡのブラックリストＢＬａを参照し（Ｓ８）、受信したＩＰアドレス及びデバイスＩＤの各々と、ブラックリストＢＬａのＩＰアドレス及びデバイスＩＤの各々と、を比較する（Ｓ９）。Ｓ９においては、制御部１１ａは、これらが一致するか否かを判定する。

　制御部１１ａは、サービス提供システム１ｃに対し、Ｓ９における比較結果を送信する（Ｓ１０）。Ｓ１０においては、制御部１１ａは、Ｓ９の処理結果に基づいて、ＩＰアドレス及びデバイスＩＤの各々について、一致していることを示す比較結果、又は、一致していないことを示す比較結果を送信する。即ち、制御部１１ａは、ＩＰアドレス及びデバイスＩＤの各々が一致する不正ユーザが存在するか否かを示す比較結果を送信する。

　一方、サービス提供システム１ｂにおいては、住所とＩＰアドレスを受信すると、制御部１１ｂは、サービスＢのブラックリストＢＬｂを参照し（Ｓ１１）、受信した住所及びＩＰアドレスの各々と、ブラックリストＢＬｂの住所及びＩＰアドレスの各々と、を比較する（Ｓ１２）。Ｓ１２においては、制御部１１ｂは、これらが一致するか否かを判定する。

　制御部１１ｂは、サービス提供システム１ｃに対し、Ｓ１２における比較結果を送信する（Ｓ１３）。Ｓ１３においては、制御部１１ａは、Ｓ１２の処理結果に基づいて、住所及びＩＰアドレスの各々について、一致していることを示す比較結果、又は、一致していないことを示す比較結果を送信する。即ち、制御部１１ｂは、住所及びＩＰアドレスの各々が一致する不正ユーザが存在するか否かを示す比較結果を送信する。

　サービス提供システム１ｃにおいては、サービス提供システム１ａ，１ｂの各々から比較結果を受信すると（Ｓ１４）、制御部１１ｃは、利用状況データベースＤＢ２に基づいて利用状況を取得し、受信した比較結果とともに学習モデルに入力し、学習モデルの出力を取得する（Ｓ１５）。Ｓ１５においては、制御部１１ｃは、ユーザ端末２０から受信した利用要求と、利用状況データベースＤＢ２と、に基づいて、ユーザの取引額と取引頻度などの利用状況を取得する。制御部１１ｃは、取得した利用状況と受信した比較結果とを含む入力データを学習モデルに入力し、学習モデルからの出力を取得する。

　制御部１１ｃは、学習モデルの出力が不正ユーザを示しているか否かを判定する（Ｓ１６）。不正ユーザを示していると判定された場合（Ｓ１６；Ｙ）、ユーザが不正であると推定され、Ｓ６の処理に移行し、サービスの利用が制限される。一方、学習モデルの出力が正当ユーザを示していると判定された場合（Ｓ１６；Ｎ）、制御部１１ｃは、サービスの利用を許可し（Ｓ１７）、本処理は終了する。Ｓ１７においては、ユーザが正当であると推定され、ユーザに対してサービスが提供される。

　本実施形態の不正推定システムＳによれば、サービスＣにおける対象ユーザのユーザ情報と、サービスＡ，Ｂにおける不正ユーザのユーザ情報と、の比較結果に基づいて、学習モデルの出力を取得して対象ユーザの不正を推定することによって、不正を推定する精度を高めることができる。不正を推定する精度を高めることにより、サービスＣにおいて不正ユーザが不正を働くことを防止し、サービスＣにおけるセキュリティを高めることができる。例えば、対象ユーザの名前又はカード番号がサービスＣのブラックリストＢＬｃに格納されていなかったとしても、サービスＡ，Ｂにおいて不正ユーザとして登録されていれば、対象ユーザの不正を推定できるので、サービスＣにおける不正ユーザの不正を未然に防止することができる。また例えば、サービスＣとサービスＡ，Ｂとの関係が総合的に学習された学習モデルを利用することによって、過度に厳しいセキュリティになってしまうことを防止することができる。

　また、不正推定システムＳは、複数のサービスＡ，Ｂにそれぞれ対応する複数の比較結果に基づいて、学習モデルの出力を取得して対象ユーザの不正を推定することによって、ユーザの不正を推定する精度を効果的に高めることができ、サービスＣにおけるセキュリティをより向上させることができる。例えば、単一の他のサービスのブラックリストを利用するのではなく、複数の他のサービスのブラックリストＢＬａ，ＢＬｂを利用することによって、特定の他のサービスで対象ユーザが不正を働いていなかったとしても、別の他のサービスで対象ユーザが不正を働いていた場合に、対象ユーザの不正を推定することができる。更に、サービスＡ，ＢによってサービスＣとの関係が異なるので、サービスＡ，Ｂを総合的に学習された学習モデルを考慮することによって、不正を推定する精度を高めつつ、過度に厳しいセキュリティになってしまうことを効果的に防止することができる。

　また、不正推定システムＳは、サービスＣにおける利用状況と、サービスＡ，Ｂにおける不正の有無と、の関係も学習モデルに学習されており、対象ユーザによる利用状況に基づいて、学習モデルの出力を取得することによって、ユーザの不正を推定する精度を効果的に高めることができ、サービスＣにおけるセキュリティをより向上させることができる。

　また、不正推定システムＳは、サービスＣのブラックリスト項目に関する利用状況に基づいて学習モデルの出力を取得し、サービスＣにとってより重要な利用状況を考慮することによって、ユーザの不正を推定する精度を効果的に高めることができ、サービスＣにおけるセキュリティをより向上させることができる。

　また、不正推定システムＳは、複数項目にそれぞれ対応する複数の比較結果と、サービスＣにおける不正の有無と、の関係が学習モデルに学習されており、複数項目にそれぞれ対応する複数の比較結果に基づいて、学習モデルの出力を取得し、より多面的な観点で不正を推定することによって、ユーザの不正を推定する精度を効果的に高めることができ、サービスＣにおけるセキュリティをより向上させることができる。

　また、不正推定システムＳは、サービスＡ，Ｂのブラックリスト項目のユーザ情報の比較結果と、サービスＣにおける不正の有無と、の関係が学習モデルに学習されており、サービスＡ，Ｂのブラックリスト項目の比較結果を取得することによって、ユーザの不正を推定する精度を効果的に高めることができ、サービスＣにおけるセキュリティをより向上させることができる。

　また、サービス提供システム１ａ，１ｂにおいてユーザ情報の比較処理が実行され、サービス提供システム１ｃがサービス提供システム１ａ，１ｂから比較結果を取得することによって、サービスＡ，Ｂのユーザ情報がネットワークＮに送信されないので、サービスＡ，Ｂの個人情報が流出することを防止することができる。更に、サービス提供システム１ｃが比較処理を実行しないので、サービス提供システム１ｃの処理負荷を軽減することもできる。

　また、不正推定システムＳは、サービスＣが利用される場合に、対象ユーザの不正を推定することによって、不正ユーザがサービスを利用することを防止できる。

［５．変形例］
　なお、本発明は、以上に説明した実施の形態に限定されるものではない。本発明の趣旨を逸脱しない範囲で、適宜変更可能である。

　（１）例えば、実施形態では、サービスＡ，Ｂのブラックリスト項目が比較される場合を説明したが、サービスＡ，Ｂのブラックリスト項目以外の項目が比較されてもよい。例えば、サービスＣのブラックリスト項目であって、サービスＡ，Ｂのブラックリスト項目ではない項目が比較されてもよい。他にも例えば、サービスＡ～Ｃの何れのブラックリスト項目でもない項目が比較されてもよい。

　実施形態で説明したように、サービスＡ，Ｂでは、ＩＰアドレス等のブラックリスト項目のユーザ情報に基づいて不正が推定されている。ブラックリスト項目は、変形例（１）の発明に係る第１項目に相当する。学習モデルには、第２項目のユーザ情報の比較結果と、サービスＣにおける不正の有無と、の関係が学習されている。第２項目は、第１項目とは異なる項目であり、サービスＡ，Ｂのブラックリスト項目ではない項目である。例えば、第２項目は、カード番号や電話番号などである。本変形例では、カード番号が第２項目に相当する場合を説明する。

　本変形例では、サービスＡのブラックリスト項目ではないカード番号が比較対象となるので、比較部１０１ａは、ユーザデータベースＤＢ１ａを参照して、不正ユーザのカード番号を取得する。比較部１０１ａは、ブラックリストＢＬａに格納されたＩＰアドレス又はデバイスＩＤに関連付けられたカード番号を取得することになる。なお、ブラックリストＢＬａに不正ユーザの他の項目のユーザ情報も格納しておく場合には、比較部１０１ａは、ブラックリストＢＬａを参照して不正ユーザのカード番号を取得すればよい。サービスＢの比較部１０１ｂについても同様に、ユーザデータベースＤＢ１ｂを参照して不正ユーザのカード番号を取得すればよい。比較処理自体は、実施形態と同様のため、説明を省略する。

　比較結果取得部１０４ｃは、カード番号の比較結果を取得する。比較結果の取得方法自体は、実施形態と同様である。推定部１０６ｃの処理についても実施形態と同様である。

　変形例（１）によれば、サービスＣにおける対象ユーザのカード番号と、カード番号がブラックリスト項目ではないサービスＡ，Ｂにおける不正ユーザのカード番号と、の比較結果に基づいて、対象ユーザの不正を推定することによって、不正を推定する精度を効果的に高めることができ、サービスＣにおけるセキュリティをより向上させることができる。例えば、対象ユーザのカード番号がサービスＣのブラックリストＢＬｃに格納されていなかったとしても、サービスＡ，Ｂの不正ユーザが当該カード番号を登録していれば、サービスＡ，ＢのブラックリストＢＬａ，ＢＬｂを利用して対象ユーザの不正を推定できるので、サービスＣにおける不正ユーザの不正を未然に防止することができる。

　（２）また例えば、実施形態では、サービスＡ，Ｂにおける不正ユーザのユーザ情報を利用して、サービスＣにおける対象ユーザの不正が推定される場合を説明したが、サービスＡ，Ｂにおける正当ユーザのユーザ情報を利用して、サービスＣにおける対象ユーザの不正が推定されてもよい。本変形例では、サービス提供システム１では、ブラックリストではなく、ホワイトリストが用意されている。

　ホワイトリストは、正当ユーザに関するユーザ情報が格納されたリストである。別の言い方をすれば、ホワイトリストは、正当ユーザを識別可能な情報が格納されたリストである。ホワイトリストに載った正当ユーザは、サービスの利用が制限されない。

　ホワイトリストは、サービスの管理者によって手動で編集されてもよいし、サービス提供システム１がユーザの行動を解析することによって自動的に編集されてもよい。また、ホワイトリストに格納されるユーザ情報の項目（以降、ホワイトリスト項目という。）は、全サービスで共通であってもよいが、本実施形態では、サービスに応じたホワイトリスト項目が定められているものとする。

　本変形例の学習モデルは、サービスＣにおけるユーザのユーザ情報とサービスＡ，Ｂにおける正当ユーザのユーザ情報との比較結果と、サービスＣにおける不正の有無と、の関係が学習されている。教師データＤＴは、これらの関係のペアを示すデータとなる。学習方法自体は、実施形態で説明した通りである、「不正ユーザ」の記載を「正当ユーザ」と読み替えればよい。

　本変形例の比較結果取得部１０４ｃは、サービスＣにおける対象ユーザのユーザ情報と、サービスＡ，Ｂにおける正当ユーザのユーザ情報と、の比較結果を取得する。比較結果は、正当ユーザのユーザ情報と一致することを示す値、又は、正当ユーザのユーザ情報と一致しないことを示す値の何れかとなる。出力取得部１０５ｃの処理及び推定部１０６ｃの処理についても実施形態で説明した通りであり、「不正ユーザ」の記載を「正当ユーザ」と読み替えればよい。

　変形例（２）によれば、サービスＡ，Ｂにおけるホワイトリストを利用し、サービスＣにおける対象ユーザの不正を推定することによって、ユーザの不正を推定する精度を高めることができ、サービスＣにおけるセキュリティをより向上させることができる。

　なお、比較結果取得部１０４ｃは、他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報との比較結果を取得すればよく、これらの何れか一方の比較結果だけを取得してもよいし、これらの両方の比較結果を取得してもよい。即ち、他のサービスにおけるブラックリスト及びホワイトリストの少なくとも一方が利用されて対象ユーザの不正が推定されるようにすればよい。

　（３）また例えば、上記変形例を組み合わせてもよい。

　また例えば、サービスごとにユーザデータベースＤＢ１ａ～ＤＢ１ｃが用意されている場合を説明したが、全サービスで共通のユーザデータベースが用意されていてもよい。また例えば、ブラックリスト項目は、任意の項目を設定可能であり、サービスにおいて不正を働く際に利用される蓋然性が高い項目がブラックリスト項目として設定されていてもよい。また例えば、他のサービスの数は、２つに限られず、１つだけであってもよいし、３つ以上であってもよい。

　また例えば、ユーザ情報の比較結果だけではなく、サービスＣの利用状況が学習モデルに学習されている場合を説明したが、サービスＣの利用状況は特に学習モデルに学習されていなくてもよい。この場合、サービスＣの利用状況が用いられずに対象ユーザの不正が推定されることになる。また例えば、サービスの利用時における不正が推定される場合を説明したが、他の任意のタイミングにおける不正が推定されてよい。例えば、ユーザが特にサービスを利用する場合でなくてもよく、サービスＣの管理者が指定したタイミングで不正が推定されてもよい。

　また例えば、サービス提供システム１ｃが多数のサービスと提携している場合には、他のサービスの中には、比較対象となる項目が登録されていないこともある。このため、サービス提供システム１ｃは、比較対象となる項目が登録されているサービスを特定し、当該特定したサービスのサービス提供システム１に対し、比較処理を依頼してもよい。この場合、どのサービスにどの項目のユーザ情報が登録されているかを示す情報が、サービス提供システム１ｃに登録されているものとする。

　また例えば、サービスＣにおける対象ユーザの不正を推定する場面を例に挙げたが、サービスＡにおける対象ユーザの不正が推定されてもよい。この場合、サービス提供システム１ａは、実施形態で説明したサービス提供システム１ｃと同様の機能を有し、サービス提供システム１ｃは、サービス提供システム１ａ，１ｂの比較部１０１ａ，１０１ｂと同様の機能を有する。例えば、サービス提供システム１ａは、サービスＡのユーザ登録をする対象ユーザのユーザ情報を、サービス提供システム１ｂ，１ｃに送信し、サービス提供システム１ｂ，１ｃから比較結果を取得する。サービス提供システム１ａは、学習モデルに比較結果を入力して対象ユーザの不正を推定する。

　また例えば、サービスＢにおける対象ユーザの不正が推定されてもよい。この場合、サービス提供システム１ｂは、実施形態で説明したサービス提供システム１ｃと同様の機能を有し、サービス提供システム１ｃは、サービス提供システム１ａ，１ｂの比較部１０１ａ，１０１ｂと同様の機能を有する。例えば、サービス提供システム１ｂは、サービスＢのユーザ登録をする対象ユーザのユーザ情報を、サービス提供システム１ａ，１ｃに送信し、サービス提供システム１ａ，１ｃから比較結果を取得する。サービス提供システム１ｂは、学習モデルに比較結果を入力して対象ユーザの不正を推定する。

　また例えば、全てのサービス提供システム１が同じ機能を有してもよい。また例えば、ブラックリスト項目がサービスごとに定められている場合を説明したが、ブラックリスト項目は、複数のサービスで共通であってもよい。例えば、サービスＡ－Ｃの全てのブラックリスト項目がカード番号であってもよい。この場合、比較部１０１ａ，１０１ｂは、特にユーザデータベースＤＢ１ａ，ＤＢ１ｂを参照せず、ブラックリストを参照して、比較対象のユーザ情報を取得すればよい。また例えば、不正推定システムＳにサービス提供システム１ａ，１ｂが含まれている場合を説明したが、サービス提供システム１ａ，１ｂは、不正推定システムＳの外部のシステムであってもよい。

　また例えば、主な機能がサーバ１０で実現される場合を説明したが、各機能は、複数のコンピュータで分担されてもよい。例えば、サーバ１０及びユーザ端末２０の各々で機能が分担されてもよい。また例えば、不正推定システムＳが複数のサーバコンピュータを含む場合には、これら複数のサーバコンピュータで機能が分担されてもよい。また例えば、データ記憶部１００ａ～１００ｃで記憶されるものとして説明したデータは、サーバ１０以外のコンピュータによって記憶されてもよい。

Claims

　一のサービスにおけるユーザのユーザ情報と他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報との比較結果と、前記一のサービスにおける不正の有無と、の関係が学習された学習モデルを記憶する記憶手段と、
　前記一のサービスにおける対象ユーザのユーザ情報と、前記他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報と、の比較結果を取得する比較結果取得手段と、
　前記比較結果に基づいて、前記学習モデルの出力を取得する出力取得手段と、
　前記学習モデルの出力に基づいて、前記対象ユーザの不正を推定する推定手段と、
　を含むことを特徴とする不正推定システム。
　前記学習モデルには、複数の他のサービスにそれぞれ対応する複数の比較結果と、前記一のサービスにおける不正の有無と、の関係が学習されており、
　前記比較結果取得手段は、前記複数の他のサービスにそれぞれ対応する複数の比較結果を取得し、
　前記出力取得手段は、前記複数の比較結果に基づいて、前記学習モデルの出力を取得する、
　ことを特徴とする請求項１に記載の不正推定システム。
　前記学習モデルには、前記一のサービスにおける利用状況と、前記一のサービスにおける不正の有無と、の関係も学習されており、
　前記不正推定システムは、前記対象ユーザによる前記一のサービスの利用状況を取得する利用状況取得手段を更に含み、
　前記出力取得手段は、前記対象ユーザによる利用状況に基づいて、前記学習モデルの出力を取得する、
　ことを特徴とする請求項１又は２に記載の不正推定システム。
　前記一のサービスでは、所定項目のユーザ情報に基づいて不正が推定され、
　前記利用状況は、前記所定項目に関する利用状況である、
　ことを特徴とする請求項３に記載の不正推定システム。
　前記一のサービス及び前記他のサービスでは、複数項目のユーザ情報が登録され、
　前記学習モデルには、前記複数項目にそれぞれ対応する複数の比較結果と、前記一のサービスにおける不正の有無と、の関係が学習されており、
　前記比較結果取得手段は、前記複数項目にそれぞれ対応する複数の比較結果を取得し、
　前記出力取得手段は、前記複数の比較結果に基づいて、前記学習モデルの出力を取得する、
　ことを特徴とする請求項１～４の何れかに記載の不正推定システム。
　前記他のサービスでは、所定項目のユーザ情報に基づいて不正が推定され、
　前記学習モデルには、前記所定項目のユーザ情報の比較結果と、前記一のサービスにおける不正の有無と、の関係が学習されており、
　前記比較結果取得手段は、前記所定項目の比較結果を取得する、
　ことを特徴とする請求項１～５の何れかに記載の不正推定システム。
　前記他のサービスでは、第１項目のユーザ情報に基づいて不正が推定され、
　前記学習モデルには、第２項目のユーザ情報の比較結果と、前記一のサービスにおける不正の有無と、の関係が学習されており、
　前記比較結果取得手段は、前記第２項目の比較結果を取得する、
　ことを特徴とする請求項１～６の何れかに記載の不正推定システム。
　前記他のサービスでは、前記一のサービスにおける対象ユーザのユーザ情報と、前記他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報と、が比較され、
　前記比較結果取得手段は、前記他のサービスから比較結果を取得する、
　ことを特徴とする請求項１～７の何れかに記載の不正推定システム。
　前記不正推定システムは、前記対象ユーザによる前記一のサービスの利用要求を受け付ける受付手段を更に含み、
　前記推定手段は、前記対象ユーザにより前記一のサービスが利用される場合に、前記対象ユーザの不正を推定する、
　ことを特徴とする請求項１～８の何れかに記載の不正推定システム。
　一のサービスにおける対象ユーザのユーザ情報と、他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報と、の比較結果を取得する比較結果取得ステップと、
　前記比較結果に基づいて、前記一のサービスにおけるユーザのユーザ情報と前記他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報との比較結果と、前記一のサービスにおける不正の有無と、の関係が学習された学習モデルの出力を取得する出力取得ステップと、
　前記学習モデルの出力に基づいて、前記対象ユーザの不正を推定する推定ステップと、
　を含むことを特徴とする不正推定方法。
　一のサービスにおける対象ユーザのユーザ情報と、他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報と、の比較結果を取得する比較結果取得手段、
　前記比較結果に基づいて、前記一のサービスにおけるユーザのユーザ情報と前記他のサービスにおける不正ユーザ又は正当ユーザのユーザ情報との比較結果と、前記一のサービスにおける不正の有無と、の関係が学習された学習モデルの出力を取得する出力取得手段、
　前記学習モデルの出力に基づいて、前記対象ユーザの不正を推定する推定手段、
　としてコンピュータを機能させるためのプログラム。