JP6578659B2 - 取引システム及び取引方法 - Google Patents

取引システム及び取引方法 Download PDF

Info

Publication number
JP6578659B2
JP6578659B2 JP2015006480A JP2015006480A JP6578659B2 JP 6578659 B2 JP6578659 B2 JP 6578659B2 JP 2015006480 A JP2015006480 A JP 2015006480A JP 2015006480 A JP2015006480 A JP 2015006480A JP 6578659 B2 JP6578659 B2 JP 6578659B2
Authority
JP
Japan
Prior art keywords
transaction
terminal
server
information
image data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015006480A
Other languages
English (en)
Other versions
JP2016133863A (ja
Inventor
半田 富己男
富己男 半田
矢野 義博
義博 矢野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2015006480A priority Critical patent/JP6578659B2/ja
Publication of JP2016133863A publication Critical patent/JP2016133863A/ja
Application granted granted Critical
Publication of JP6578659B2 publication Critical patent/JP6578659B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

本発明は、不正取引を防止する技術に関する。
従来から、電子上の取引において、不正取引を防止するための技術が存在する。例えば、特許文献1には、パソコンなどの第1のユーザ端末に仮受付IDを表示させた後、携帯電話などの第2のユーザ端末により仮受付IDを送信させることにより、ログイン時の本人認証を強化する技術が開示されている。また、非特許文献1及び2は、オンライン・バンキングを行う際のセキュリティ上の脅威について開示している。例えば、非特許文献1には、インターネットを介したオンライン・バンキングにおいて、パソコンやスマートフォンなどの利用者端末内に密かに入り込んでいたマルウェア(ウイルス)が通信の状態をモニターし、ユーザがオンライン・バンキングを始めたことを察知すると、ブラウザの通信内容を盗取・改ざんする「Man−in−the−Browser攻撃」が開示されている。
特開2005−202806号公報
日本銀行金融研究所ホームページ、Discussion Paper No.2013−J−4、オンライン・バンキングに対するMan−in−the−Browser攻撃への対策 「取引認証」の安全性評価、鈴木雅貴・中山靖司・古原和邦、[平成25年8月26日検索]、インターネット<URL:http://www.imes.boj.or.jp/research/abstracts/japanese/13-J-04.html> 株式会社FFRIホームページ、セキュリティ・レポート Monthly Research 2012年7月、ブラウザへの新しい攻撃と新しい対策、大居司、[平成25年8月26日検索]、インターネット<URL:http://www.fourteenforty.jp/research/monthly_research.htm>
オンライン・バンキングに使用する利用者端末がウイルスに感染し、Man−in−the−Browser攻撃を受けた場合、Webブラウザが乗っ取られているため、オンライン・バンキングへのログイン時の本人認証を強化する対策では不正取引を防止することができないという課題がある。本発明は、不正取引を確実に検知することが可能な取引システムを提供することを主な課題とする。
本発明の1つの観点は、取引に関する処理を実行するサーバと、前記取引に関する処理の実行を前記サーバに指示する第1の端末及び第2の端末とを備える取引システムであって、前記第1の端末は、前記取引の内容を入力するための取引画面を表示する表示制御手段と、前記取引画面への入力情報を前記サーバに送信する第1送信手段と、前記取引画面を示す画像データを前記第2の端末に送信する第2送信手段と、を備え、前記サーバは、前記第1の端末から受信した前記入力情報から取引情報抽出し、前記第2の端末に送信する第3送信手段を備え、前記第2の端末は、前記第1の端末から受信した画像データから抽出した取引情報と、前記サーバから受信した取引情報とを比較し、比較結果を表示する不正取引検知手段を備える。
上記の取引システムは、取引に関する処理を実行するサーバと、取引に関する処理の実行をサーバに指示する第1及び第2の端末とを備える。第1の端末では、取引の内容を入力するための取引画面が表示され、第1送信手段により取引画面への入力情報がサーバに送信され、第2送信手段により取引画面を示す画像データが第2の端末に送信される。さらに、サーバは、第1の端末から受信した入力情報から取引情報を抽出し、第2の端末へ送信する。そして、第2の端末は、第1の端末から受信した画像データから抽出した取引情報と、サーバから受信した取引情報とを比較し、比較結果を表示する。
上記の取引システムによれば、第1の端末からサーバへ送信される取引画面への入力情報が改ざんされた場合であっても、第2の端末は第1端末から直接送信される画像データから抽出した取引情報を利用することにより、改ざんの有無を検出することができる。
上記の取引システムの一態様では、前記第2送信手段は、入力が行われた前記取引画面をキャプチャした画像データを前記第2の端末に送信し、前記不正取引検知手段は、前記第1の端末から受信した画像データに対して文字認識処理を行って前記取引情報抽出する。この態様では、第1の端末がウイルスに感染した場合であっても、画像データにより、正しい取引情報を第2の端末へ送信することができる。
上記の取引システムの他の一態様では、前記第2送信手段は、前記取引画面への入力情報が埋め込まれた画像データを前記第2の端末へ送信し、前記不正取引検知手段は、前記第1の端末から受信した画像データに埋め込まれた入力情報から前記取引情報を抽出する。この態様では、端末がウイルスに感染した場合であっても、画像データに埋め込まれた入力情報により、正しい取引情報を第2の端末へ送信することができる。
上記の取引システムの他の一態様では、前記第2送信手段は、近距離無線通信により前記画像データを前記第2の端末へ送信する。これにより、1人の利用者が同じ場所で第1の端末と第2の端末を操作していることを確保して取引の安全を図る。
上記の取引システムの他の一態様では、前記不正取引検知手段は、前記第1の端末から受信した画像データから抽出した取引情報と前記サーバから受信した取引情報とが一致する場合に取引の実行を勧める表示を行い、前記第1の端末から受信した画像データから抽出した取引情報と前記サーバから受信した取引情報とが一致しない場合に取引の中止を勧める表示を行う。これにより、利用者は不正な取引を中止することが可能となる。
上記の取引システムの他の一態様では、前記第1の端末は、当該第1の端末の位置を示す情報を前記第2の端末に送信する位置情報送信手段をさらに備え、前記不正取引検知手段は、前記第1の端末の位置が前記第2の端末の位置から所定範囲内にある場合に限り、前記取引の実行を勧める表示を行う。これにより、1人の利用者が同じ場所で第1の端末と第2の端末を操作していることを確保して取引の安全を図る。
本発明の他の観点では、取引に関する処理を実行するサーバと、前記取引に関する処理の実行を前記サーバに指示する第1の端末及び第2の端末とを備える取引システムにより実行される取引方法は、前記第1の端末により、前記取引の内容を入力するための取引画面を表示する表示工程と、前記第1の端末により、前記取引画面への入力情報を前記サーバに送信する第1送信工程と、前記第1の端末により、前記取引画面を示す画像データを前記第2の端末に送信する第2送信工程と、前記サーバにより、前記第1送信工程で前記第1の端末から受信した前記入力情報から取引情報抽出し、前記第2の端末に送信する第3送信工程と、前記第2の端末により、前記第1の端末から受信した画像データから抽出した取引情報と、前記サーバから受信した取引情報とを比較し、比較結果を表示する不正取引検知工程と、を有する。この方法によれば、第1の端末からサーバへ送信される取引画面への入力情報が改ざんされた場合であっても、第2の端末は第1端末から直接送信される画像データから抽出した取引情報を利用することにより、改ざんの有無を検出することができる。
本発明の他の観点は、取引に関する処理を実行するサーバと、前記取引に関する処理の実行を前記サーバに指示する第1の端末及び第2の端末とを備える取引システムであって、前記第1の端末は、前記取引の内容を入力するための取引画面を表示する表示制御手段と、前記取引画面への入力情報を前記サーバに送信する第1送信手段と、前記取引画面を示す画像データを前記第2の端末に送信する第2送信手段と、を備え、前記サーバは、前記第1の端末から受信した前記入力情報から取引情報抽出し、前記第2の端末に送信する第3送信手段を備え、前記第2の端末は、前記第1の端末から受信した画像データから抽出した取引情報と、前記サーバから受信した取引情報とを比較し、前記第1の端末から受信した前記画像データから抽出した取引情報と前記サーバから受信した取引情報とが一致しない場合に、取引を中止する旨の指示を前記サーバに送信する。
上記の取引システムは、取引に関する処理を実行するサーバと、取引に関する処理の実行をサーバに指示する第1及び第2の端末とを備える。第1の端末では、取引の内容を入力するための取引画面が表示され、第1送信手段により取引画面への入力情報がサーバに送信され、第2送信手段により取引画面を示す画像データが第2の端末に送信される。さらに、サーバは、第1の端末から受信した入力情報から取引情報を抽出し、第2の端末へ送信する。そして、第2の端末は、第1の端末から受信した入力画像データから抽出した取引情報と、サーバから受信した取引情報とを比較し、両者が一致しない場合に、取引を中止する旨の指示をサーバに送信する。
上記の取引システムによれば、第1の端末からサーバへ送信される取引画面への入力情報が改ざんされた場合には取引が中止されるので、よりセキュリティを高めることができる。
本発明の他の観点は、取引に関する処理を実行するサーバと、前記取引に関する処理の実行を前記サーバに指示する第1の端末及び第2の端末とを備える取引システムにより実行される取引方法であって、前記第1の端末により、前記取引の内容を入力するための取引画面を表示する表示工程と、前記第1の端末により、前記取引画面への入力情報を前記サーバに送信する第1送信工程と、前記第1の端末により、前記取引画面を示す画像データを前記第2の端末に送信する第2送信工程と、前記サーバにより、前記第1送信工程で前記第1の端末から受信した前記入力情報から取引情報抽出し、前記第2の端末に送信する第3送信工程と、前記第2の端末により、前記第1の端末から受信した画像データから抽出した取引情報と、前記サーバから受信した取引情報とを比較し、前記第1の端末から受信した前記画像データから抽出した取引情報と前記サーバから受信した取引情報とが一致しない場合に、取引を中止する旨の指示を前記サーバに送信する取引中止工程と、を有する。
上記の取引方法によれば、第1の端末からサーバへ送信される取引画面への入力情報が改ざんされた場合には取引が中止されるので、よりセキュリティを高めることができる。
本発明に係る取引システムによれば、取引画面等を表示する端末がウィルスなどに感染した場合であっても、取引画面の入力情報に基づき取引内容の改ざんの有無を的確に判定し、不正取引を確実に防止することができる。
実施形態に係る取引システムの構成を示す。 サービス提供者サーバのブロック図を示す。 利用者端末のブロック図を示す。 第1実施形態における処理手順を示すフローチャートである。 ログイン画面の表示例を示す。 取引画面の表示例を示す。 キャプチャ指示画面の表示例を示す。 取引内容確認画面の表示例を示す。 振込完了画面の表示例である。 第2実施形態における処理手順を示すフローチャートである。 第4実施形態の変形例による追加画像の例を示す。 変形例に係る取引システムの構成を示す。
以下、図面を参照しながら、本発明を実施するのに好適な実施形態について説明する。以下に述べる取引システムは、インターネットを利用したオンライン・バンキングなどの電子取引を行う際に、取引内容の改ざんを好適に防ぐことが可能なシステムである。
[第1実施形態]
(取引システムの構成)
図1は、本実施形態に係る取引システムの構成を示す。取引システムは、銀行等のサービス提供者が管理するサービス提供者サーバ1と、上述のサービスの提供を受ける利用者が使用する利用者端末3A、3Bとを有する。利用者端末3Aは例えばPCなどであり、利用者が取引の指示を入力するために使用される。一方、利用者端末3Bは例えばスマートフォンなどであり、利用者が利用者端末3Aにより入力した取引内容に対して改ざんが行われていないかをチェックするために使用される。サービス提供者サーバ1と利用者端末3A、3Bとは、インターネットなどの通信網2を介してデータ通信を行う。また、図1の例では、サービス提供者サーバ1と利用者端末3Aとの間の通信内容を改ざんして不正取引を実行しようとする攻撃者サーバ4が通信網2に接続されている。
攻撃者サーバ4は、利用者端末3Aが攻撃者サーバ4により制御可能なマルウェア(ウイルス)に感染した場合に、当該マルウェアを介して、利用者端末3AがWebブラウザで表示する内容や入力された内容を盗取したり、改ざんしたりする。例えば、攻撃者サーバ4は、利用者端末3AがWebブラウザにより表示する取引内容を指定する画面(「取引画面」とも呼ぶ。)での入力内容を改ざんしてサービス提供者サーバ1に送信し、サービス提供者サーバ1からの応答内容も改ざんが無かったように書き換える。これにより、攻撃者サーバ4は、利用者端末3Aの利用者が気づかないように取引内容を改ざんしようとする。このように、攻撃者サーバ4は、所謂Man−in−the−Browser攻撃を実行する。本実施形態に係る取引システムは、後述するように、このような攻撃者サーバ4の取引内容の改ざんによる不正取引を防止する。
図2は、サービス提供者サーバ1のブロック図である。サービス提供者サーバ1は、ディスプレイなどの表示部11と、キーボードなどの入力部12と、記憶部13と、データ通信を行う通信部14と、制御部15とを備える。これらの各要素は、バスライン10を介して相互に接続されている。
記憶部13は、ハードディスク又はROMやRAMといったメモリによって構成される。記憶部13は、ログインIDやパスワードなどのユーザ認証に必要な情報その他のユーザ情報をデータベース化して記憶する。また、記憶部13は、サービス提供者サーバ1がWebサーバとして機能するために必要なプログラムや、利用者端末3Aが表示する取引画面などの各画面の表示情報を生成するのに必要な情報を記憶する。
制御部15は、図示しないCPU(Central Processing Unit)、ROM(Read Only Memory)及びRAM(Random Access Memory)などを備え、サービス提供者サーバ1内の各構成要素に対して種々の制御を行う。
図3(A)は、利用者端末3Aのブロック図である。利用者端末3Aは、ディスプレイなどの表示部31と、キーボードなどの入力部32と、記憶部33と、データ通信を行う通信部34と、制御部35とを備える。これらの各要素は、バスライン30を介して相互に接続されている。
記憶部33は、ハードディスク又はROMやRAMといったメモリによって構成される。記憶部33は、制御部35が実行する各プログラムを記憶する。例えば、記憶部33は、サービス提供者サーバ1から受信したHTMLファイル等に基づき所定のWebページを表示するWebブラウザ(ビューア)を起動するためのプログラムを記憶する。
さらに、記憶部33は、サービス提供者サーバ1と協働して動作し、取引内容の改ざんの有無を判定するためのプログラム(「エージェントプログラム」とも呼ぶ。)を記憶する。エージェントプログラムは、例えば、利用者端末3Aの起動時、又は、Webブラウザが起動したタイミング若しくは利用者端末3Aが取引画面をWebブラウザにより表示したタイミングで起動される。
また、記憶部33は、エージェントプログラムに基づき利用者端末3Aが利用者端末3Bに送信するデータを暗号化するための公開鍵(暗号鍵)を予め記憶している。
通信部34は、通信網2を通じてサービス提供者サーバ1と通信を行う。また、通信部34は、Bluetooth(登録商標)などの近距離無線通信により、利用者端末3Bと通信を行う。
制御部35は、図示しないCPU、ROM及びRAMなどを備え、利用者端末3A内の各構成要素に対して種々の制御を行う。制御部35は、記憶部33に記憶された各プログラムを実行することで、所定の処理を行う。例えば、制御部35は、エージェントプログラムを実行することで、取引内容が入力された状態の取引画面を示す画像データ(「キャプチャ画像データIm」とも呼ぶ。)を生成し、記憶部33が記憶する公開鍵により暗号化して利用者端末3Bに送信する。制御部35は、本発明における表示制御手段、第1送信手段及び第2送信手段として機能する。
図3(B)は、利用者端末3Bのブロック図である。利用者端末3Bは、ディスプレイなどの表示部41と、ディスプレイ上に設けられたタッチパネルなどの入力部42と、記憶部43と、データ通信を行う通信部44と、制御部45とを備える。これらの各要素は、バスライン40を介して相互に接続されている。
記憶部43は、ハードディスク又はROMやRAMといったメモリによって構成される。記憶部43は、制御部45が実行する各プログラムを記憶する。また、記憶部43は、利用者端末3Aから送信される暗号化データを復号するための秘密鍵(復号鍵)を記憶している。
制御部45は、秘密鍵を使用して、利用者端末3Aから送信された暗号化キャプチャ画像データImを復号する。また、制御部45は、記憶部43に記憶された文字認識プログラムを実行し、キャプチャ画像データImから取引情報を抽出する。さらに、制御部45は、利用者端末3Aからサービス提供者サーバ1へ送信された取引画面の入力情報に含まれる取引情報をサービス提供者サーバ1から受信し、キャプチャ画像データIMから抽出された取引情報と比較して比較結果を表示部41に表示する。制御部45は、本発明における不正取引検知手段として機能する。
通信部44は、通信網2を通じてサービス提供者サーバ1と通信を行う。また、通信部44は、Bluetooth(登録商標)などの近距離無線通信により、利用者端末Aと通信を行う。
(処理フロー)
次に、本実施形態における取引システムの処理について説明する。概略的には、利用者端末3Bは、エージェントプログラムに基づき利用者端末3Aから送信されたキャプチャ画像データImを参照することで、Webブラウザの機能に基づき送信された取引内容を示す入力情報が改ざんされていないか確認を行う。これにより、利用者端末3AのWebブラウザがウイルスに乗っ取られた場合であっても、不正取引を確実に防止する。
図4は、本実施形態における取引システムが実行する処理手順を示すフローチャートである。なお、図4では、利用者端末3Aについて、Webブラウザの機能に基づく処理と、エージェントプログラムに基づく処理とを分けて記載している。
まず、利用者端末3Aは、サービス提供者サーバ1から受信した表示情報に基づき、ログイン画面をWebブラウザにより表示し、ログインIDやパスワード等のログイン情報の入力を受け付ける(ステップS101)。ログイン画面の表示例については、図5を参照して後述する。そして、利用者端末3は、ログイン画面にて入力されたログイン情報をサービス提供者サーバ1へ送信する。
次に、サービス提供者サーバ1は、利用者端末3から受信したログイン情報に基づき、利用者の識別及び認証を行う(ステップS102)。例えば、サービス提供者サーバ1は、ログイン情報に含まれるログインIDによりログイン情報の送信元の利用者を識別すると共に、ログインIDと共に受信したパスワードにより利用者の認証を行う。そして、サービス提供者サーバ1は、利用者の認証が成功しなかった場合(ステップS103;No)、処理を終了する。
サービス提供者サーバ1は、利用者の認証が成功した場合(ステップS103;Yes)、取引画面の表示情報を利用者端末3Aに送信する(ステップS104)。なお、取引画面の表示例については、図6を参照して後述する。そして、利用者端末3Aは、サービス提供者サーバ1から表示情報を受信し、取引画面をWebブラウザにより表示すると共に、取引内容を指定する入力を受け付ける(ステップS105)。
次に、利用者端末3Aは、エージェントプログラムに基づき、取引内容を指定する入力がされた取引画面を示すキャプチャ画像データImの生成指示を受け付け、キャプチャ画像データImを生成する(ステップS106)。例えば、利用者端末3Aは、エージェントプログラムに基づき、キャプチャ画像データImの生成を指示するためのボタンを有するウィンドウを表示し、当該ボタンが押下されたことを検知した場合に、キャプチャ画像データImを生成し、記憶部33に保存する。このウィンドウの表示例については、図7を参照して後述する。他の例では、利用者端末3Aは、画面キャプチャを指示するための所定のキーボードでのキー入力を検知した場合に、表示中の取引画面を示すキャプチャ画像データImを記憶部33に保存する。
次に、利用者端末3Aは、エージェントプログラムに基づき、キャプチャ画像データImを記憶部33に記憶された公開鍵により暗号化し、暗号化されたキャプチャ画像データImを近距離無線通信により利用者端末3Bに送信する(ステップS107)。
利用者端末3Bは、暗号化されたキャプチャ画像データImを受信し、記憶部13に予め記憶された秘密鍵により復号する(ステップS108)。これにより、利用者端末3Bは、キャプチャ画像データImを取得する。次に、利用者端末3Bは、文字認識により、キャプチャ画像データImに表示された取引内容を示す情報(「取引情報Ia」とも呼ぶ。)を抽出する(ステップS109)。例えば、利用者端末3Bは、取引情報Iaとして、取引画面で入力された銀行名及び支店名、口座番号、振込金額などの各項目を表す文字列を文字認識により抽出する。
次に、利用者端末3Aは、Webブラウザの機能に基づき、取引画面において入力された取引内容を示す入力情報の送信指示を検知し、当該入力情報の送信を行う(ステップS110)。例えば、利用者端末3Aは、取引画面上に設けられた所定の送信ボタンがマウス操作などにより選択され押下された場合、取引画面の入力情報を送信する。この場合、利用者端末3Aは、HTTP(Hyper Text Transfer Protocol)のPOSTメソッドにより、上述の入力情報を送信する。なお、ステップS110の通信は、例えばSSL(Secure Socekt Layer)による暗号通信により暗号化される。
次に、サービス提供者サーバ1は、利用者端末3Aから取引画面の入力情報を受信し、入力情報から取引内容を示す情報(「取引情報Ib」とも呼ぶ。)を抽出する(ステップS111)。ここで、サービス提供者サーバ1は、取引情報Ibとして、取引情報Iaと同様に、銀行名及び支店名、口座番号、振込金額などの各項目を表す文字列を抽出する。
次に、利用者端末3Bは、利用者の操作に基づいて、サービス提供者サーバ1に取引内容の問い合わせを行う(ステップS112)。これに対し、サービス提供者サーバ1は、ステップS111で抽出した取引情報Ibを利用者端末3Bへ送信し、利用者端末3Bは取引情報Ibを取得する(ステップS113)。そして、利用者端末3Bは、利用者端末3Aから取得した取引情報Iaと、サービス提供者サーバ1から取得した取引情報Ibとが同じ内容を示すか否か、即ち両者が一致するか否かを判定する(ステップS114)。これにより、サービス提供者サーバ1は、HTTPのPOSTメソッドにより送信された取引画面の入力情報の改ざんの有無を判定する。
取引情報Iaと取引情報Ibとが異なる内容を示す場合(ステップS114;No)、利用者端末3Bは、サービス提供者サーバ1がステップS111で受信した取引画面の入力情報が改ざんされている可能性があると判断し、取引中止を促す確認画面を表示する(ステップS115)。利用者が利用者端末3Bを操作してサービス提供者サーバ1に取引中止を指示すると、サービス提供者サーバ1は取引を中止する(ステップS116)。こうして、利用者は不正取引を防止することができる。
一方、取引情報Iaと取引情報Ibとが同じ内容を示す場合(ステップS114;Yes)、利用者端末3Bは、サービス提供者サーバ1がステップS111で受信した取引画面の入力情報は改ざんされていないと判断し、取引実行を促す確認画面を表示する(ステップS117)。利用者が利用者端末3Bを操作してサービス提供者サーバ1に取引実行を指示すると、サービス提供者サーバ1は、ステップS111で受信した取引情報Ibが示す取引を実行する(ステップS118)。
(改ざんがあった場合)
次に、利用者端末3Aからサービス提供者サーバ1へ送信される取引画面の入力情報が改ざんされる場合、即ちMan−in−the−Browser攻撃があった場合について説明する。具体的には、利用者端末3Aが攻撃者サーバ4により制御されるウイルスに感染し、Webブラウザによる表示内容やWebブラウザで表示中の取引画面への入力が盗取、改ざん可能な状態にあるものとする。
まず、ステップS106において、利用者端末3Aは、キャプチャ画像データImを生成し、ステップS107において、キャプチャ画像データImを公開鍵により暗号化して利用者端末3Bへ送信する。この場合、利用者端末3Aは、Webブラウザのプログラムとは別のエージェントプログラムによりステップS106及びステップS107を実行するため、ウイルス感染による影響を受けることなくキャプチャ画像データImを生成し、送信する。これにより、利用者端末3Bは、ステップS110で改ざんされていない取引情報Iaを取得する。
その後、ステップS110において、利用者端末3Aは、Webブラウザの機能に基づき、取引画面の入力情報をサービス提供者サーバ1へ送信する。このとき、攻撃者サーバ4は、利用者端末3Aが感染したウイルスを制御することで、取引画面の入力情報の改ざんを行い、改ざん後の入力情報をサービス提供者サーバ1へ送信する。なお、利用者端末3AがSSL等による暗号通信を行う場合であっても、攻撃者サーバ4は、暗号化前の入力情報を改ざんした後、改ざんした入力情報を暗号化してサービス提供者サーバ1に送信する。従って、Webブラウザの機能により送信する取引画面の入力情報は、暗号化通信を行うか否かに関わらず改ざんされる。
そして、サービス提供者サーバ1は、ステップS111で、受信した入力情報から取引情報Ibを抽出する。この場合、攻撃者サーバ4により入力情報が改ざんされているため、取引情報Ibは、攻撃者サーバ4により書き換えられた不正な取引内容を示すことになる。
次に、ステップS114で、利用者端末3Bは、取引情報Iaと取引情報Ibとを比較し、取引情報Iaと取引情報Ibとが同じ内容ではないと判断する。従って、利用者端末3Bは、取引の中止を促す確認画面を表示する。
以上のように、利用者端末3Aがウイルスに感染し、サービス提供者サーバ1へ送信された通信データが改ざんされた場合であっても、利用者端末3Bは、利用者端末3Aが送信したキャプチャ画像データImに基づき改ざんを検知し、不正取引の実行を確実に防ぐことができる。
(表示画面例)
次に、図4のフローチャートの処理に関連する利用者端末3A、3Bの表示画面例について、図5〜図9を参照して説明する。図5〜図9は、オンライン・バンキングにより振込を行う例を示す。
図5は、ステップS101で利用者端末3AがWebブラウザにより表示したログイン画面の表示例を示す。図5に示すように、利用者端末3Aは、ログイン画面上に、ログインIDを入力するためのログインID入力欄50と、パスワードを入力するためのパスワード入力欄51と、ログインボタン52とを表示している。利用者端末3Aは、ログインボタン52がマウスのクリック操作等により選択されたことを検知した場合、ログインID入力欄50に入力されたログインIDとパスワード入力欄51に入力されたパスワードとを含むログイン情報をサービス提供者サーバ1へ送信する。
図6は、ステップS105で利用者端末3AがWebブラウザにより表示した取引画面の表示例を示す。また、図7は、エージェントプログラムにより利用者端末3Aが表示する画面(「キャプチャ指示画面」とも呼ぶ。)の表示例を示す。
利用者端末3Aは、図6に示す取引画面上に、振込先の銀行名、支店名、口座番号をそれぞれ指定するための振込先指定欄54〜56と、振込金額を指定するための振込金額指定欄57と、振込実行ボタン58とを表示している。また、利用者端末3Aは、図6に示す取引画面と共に、エージェントプログラムに基づき、キャプチャ画像データImの生成及び送信を利用者が指示するための図7に示すキャプチャ指示画面を表示する。
従って、利用者端末3の利用者は、まず、各指定欄54〜57に振込先や振込金額に関する情報を取引画面上で入力した後、図7に示すキャプチャ指示画面上のキャプチャ実行ボタン60を選択する。そして、利用者端末3Aは、キャプチャ実行ボタン60の選択を検知し、図6の取引画面を示すキャプチャ画像データImを生成し、公開鍵により暗号化して利用者端末3Bに送信する。
次に、利用者端末3Aの利用者は、図6に示す取引画面の振込実行ボタン58をクリック操作等により選択する。これにより、利用者端末3Aは、ステップS110において、振込先指定欄54〜56及び振込金額指定欄57に入力された情報をHTTPのPOSTメソッドによりサービス提供者サーバ1へ送信する。
図8(A)は、ステップS117で利用者端末3Bが表示する取引実行を促す確認画面の表示例を示す。図8(A)に示すように、利用者端末3Bは、取引実行を促す確認画面上に、取引内容である振込先及び振込金額を表示すると共に、取引実行を最終確認するための確認ボタン61と、取引実行を中止するための中止ボタン62とを表示する。利用者端末3Bは、確認ボタン61が選択されたことを検知した場合、取引実行を指示する情報をサービス提供者サーバ1に送信し、サービス提供者サーバ1が取引の実行を行う。その後、利用者端末3Bは、サービス提供者サーバ1から取引完了に関する表示情報を受信し、取引が完了した旨の画面をWebブラウザにより表示する。図9は、振込完了画面の表示例である。図9の例では、利用者端末3は、実行された振込の取引に対してサービス提供者サーバ1が割り振った受付番号を表示している。
図8(B)は、ステップS115で利用者端末3Bが表示する取引中止を促す確認画面の表示例を示す。図8(B)に示すように、利用者端末3Bは、図8(A)と同様に、取引実行を最終確認するための確認ボタン61と、取引実行を中止するための中止ボタン62とを表示する。これに加えて、利用者端末3Bは、改ざんされている可能性がある取引内容、即ち、サービス提供者サーバ1から取得した取引情報Ibを表示するとともに、取引を中止すべき旨のメッセージ63を表示する。利用者端末3Bは、確認ボタン62が選択されたことを検知した場合、取引中止を指示する情報をサービス提供者サーバ1へ送信し、取引を中止させる。
ここで、Man−in−the−Browser攻撃があった場合について補足説明する。攻撃者サーバ4は、利用者端末3Aが感染したウイルスを制御することで、図6に示す取引画面の振込先や振込金額を不正に書き換えた情報をサービス提供者サーバ1に送信する。さらに、攻撃者サーバ4は、取引が正常に行われたと偽装するため、改ざん前の振込先や振込金額を示す取引内容確認画面等を生成し、利用者端末3AのWebブラウザに表示させる。この場合であっても、利用者端末3Bは、キャプチャ画像データImを参照することで、改ざんの有無を的確に判定し、不正取引の実行を防止することができる。このように、サービス提供者サーバ1は、オンライン取引がMan−in−the−Browser攻撃を受けていることを検知することにより、不正取引を防止することができる。
[第2実施形態]
上述の第1実施形態では、図4の処理において、ステップS114で取引情報Iaと取引情報Ibとが異なる内容を示す場合(ステップS114;No)、利用者端末3Bは取引中止を促す確認画面を表示し(ステップS115)、その後、利用者が利用者端末3Bを操作してサービス提供者サーバ1に取引中止を指示してから、サービス提供者サーバ1が取引を中止している(ステップS116)。その代わりに、第2実施形態では、取引情報Iaと取引情報Ibとが一致しない場合、利用者端末3Bは直ちにサービス提供者サーバ1に対して取引中止指示を行う。
図10は、第2実施形態における処理手順を示すフローチャートである。具体的に、図10に示すように、ステップS114で取引情報Iaと取引情報Ibとが異なる内容を示す場合(ステップS114;No)、利用者端末3Bは、直ちにサービス提供者サーバ1に取引中止を指示する。この場合、利用者端末3Bは取引が中止されたことを示す画面を表示することが好ましい。なお、利用者端3Bは、取引情報Iaと取引情報Ibの比較結果を示す画面を表示してもよいし、表示しなくてもよい。
第2実施形態によれば、改ざんの可能性がある場合には強制的に取引が中止されるので、よりセキュリティを高めることができる。
[第3実施形態]
上述の第1及び第2実施形態では、利用者端末3AはWebブラウザとエージェントプログラムにより取引に関する処理を実行している。これに対し、第3実施形態では、1つのプログラム(以下、便宜上「統合プログラム」と呼ぶ。)により取引に関する処理を実行する。統合プログラムの一例はオンライン・バンキングなどの電子取引用のプログラムにWebブラウザ機能を組み込んだプログラムである。統合プログラムは、取引内容入力表示機能と、画面情報取得送信機能とを有する。
第3実施形態では、統合プログラムの取引内容入力表示機能が第1及び第2実施形態におけるWebブラウザと同一の処理を実行し、画面情報取得送信機能が第1及び第2実施形態におけるエージェントプログラムと同一の処理を実行する。即ち、第3実施形態において、利用者端末3Aにより実行される処理は図4に示す第1及び第2実施形態の処理と同様である。また、第3実施形態においてサービス提供者サーバ1及び利用者端末3Bが実行する処理も第1及び第2実施形態と同様である。これにより、第3実施形態においても第1及び第2実施形態と同様に攻撃者サーバによる入力情報の改ざんを検知し、不正取引を防止することができる。
[第4実施形態]
上記の第1乃至第3実施形態では、利用者端末3Aが取引画面のキャプチャ画像データImを利用者端末3Bへ送信し、利用者端末3Bはキャプチャ画像データImから文字認識により取引内容を示す取引情報Iaを抽出している。これに代えて、第4実施形態では、利用者端末3Aは、取引画面に対して入力されたテキスト(文字データ)を取引画面のキャプチャ画像データImに埋め込んで利用者端末3Bへ送信する。利用者端末3Bは、キャプチャ画像データImに埋め込まれている文字データを抽出し、取引内容を示す取引情報Iaとして使用する。これ以外の点は、第4実施形態は基本的に第1乃至第3実施形態と同様である。
このように、第4実施形態では、利用者端末3Aは取引画面に対して入力されたテキストをキャプチャ画像データImに埋め込んで送信し、利用者端末3Bはキャプチャ画像データImからこのテキストを抽出して内容の一致判定を行うので、第1乃至第3実施形態のように、利用者端末3B側でキャプチャ画像データImに対する文字認識を行う必要が無い。
キャプチャ画像データにテキストを埋め込む手法としては、各種の既知の手法を適用することができる。例えば、ステガノグラフィ―、電子透かしなどの技術を利用することができる。電子透かしは、知覚可能型であっても知覚困難型であってもよい。また、例えば特許第5359650号公報に記載されるように、画像フォーマットの隙間にテキスト情報を埋め込む手法を適用してもよい。
また、この場合の変形例として、キャプチャ画像に対して、テキストの内容に相当する画像を追加してもよい。例えば、「25円」というテキストを図11に示すように矩形と円とを用いた画像により表現し、この画像をキャプチャ画像内に描画してもよい。
[変形例]
次に、本実施形態の変形例について説明する。以下の変形例は、任意に組み合わせて上述の実施形態に適用してもよい。
(変形例1)
上記の実施形態では、利用者端末3Aと利用者端末3Bとの間の通信は、Bluetoothなどの近距離無線通信により行われている。これは、利用者端末3Aと利用者端末3Bとが同じ場所にあり、同一の利用者により操作されていることを確保することにより、第三者などによる不正な操作を防止する意義がある。この観点から、近距離無線通信を利用する代わりに又はそれに加えて、利用者端末Aと利用者端末3Bとが同一の場所に存在することを利用者端末3Bが確認することとしてもよい。
具体的には、利用者端末3A、3BはともにGPSなどにより自己の位置を検出する機能を備える。利用者端末3Aは、ステップS107でキャプチャ画像データとともに自己の現在位置を示す情報を利用者端末3Bへ送信する。利用者端末3Bは、ステップS114で取引情報Iaと取引情報Ibとが同一であると判定した際、さらに利用者端末3Aの位置が利用者端末3Bの位置と同一(実際には、数十mなどの所定距離内)である場合にのみ取引実行を促す確認画面を表示する。こうすることにより、利用者端末3Aと3Bが同じ場所で同一の利用者によって操作されている場合に限って取引を実行させるようにすることができる。
なお、例えば海外からの不正アクセスにより利用者端末3Aが操作されるのを防止するため、利用者端末3Aと3BのグローバルIPアドレスに基づいて2つの端末が同じエリアにあることを検出することとしてもよい。
(変形例2)
図1に示す取引システムの構成は一例であり、本発明が適用可能な構成はこれに限定されない。例えば、サービス提供者サーバ1は、複数のサーバから構成されていてもよい。
図12は、変形例に係る取引システムの概略構成を示す。図12の例では、サービス提供者サーバ1は、図4のステップS102及びステップS103でのユーザ認証を行うサービス提供者認証サーバ1Aと、ユーザ認証以後の取引に関する処理を行うサービス提供者取引サーバ1Bとの2台のサーバにより構成される。そして、サービス提供者認証サーバ1Aとサービス提供者取引サーバ1Bとは、割り当てられた処理を実行するのに必要なデータの授受を必要に応じて行う。
(変形例3)
図4の説明では、利用者端末3Aと利用者端末3Bとは、公開鍵暗号方式により暗号化してキャプチャ画像データImの授受を行った。これに代えて、利用者端末3Aと利用者端末3Bとは、共通鍵暗号方式によりキャプチャ画像データImを暗号化してキャプチャ画像データImの授受を行ってもよい。この場合、利用者端末3と利用者端末3Bは、それぞれ、図4のフローチャートの実行前に、予め共通鍵を記憶しておく。このように、暗号化と復号に同一の(共通の)鍵を用いる場合であっても、本発明は好適に適用される。
(変形例4)
図4の説明では、利用者端末3Aは、ステップS107において、取引情報Iaを生成するのに必要なキャプチャ画像データImを利用者端末3Bに送信した。これに代えて、利用者端末3Aは、キャプチャ画像データImの代わりに、取引画面でのキーボードによる入力の記録を暗号化して利用者端末3Bに送信してもよい。この場合、例えば、利用者端末3Bは、暗号化されたキーボードの入力記録情報を復号して得られたキーボード入力記録文字列に基づき取引情報Iaを生成する。
1…サービス提供者サーバ
2…通信網
3A、3B…利用者端末
4…攻撃者サーバ

Claims (9)

  1. 取引に関する処理を実行するサーバと、前記取引に関する処理の実行を前記サーバに指示する第1の端末及び第2の端末とを備える取引システムであって、
    前記第1の端末は、
    前記取引の内容を入力するための取引画面を表示する表示制御手段と、
    前記取引画面への入力情報を前記サーバに送信する第1送信手段と、
    前記取引画面を示す画像データを前記第2の端末に送信する第2送信手段と、
    を備え、
    前記サーバは、
    前記第1の端末から受信した前記入力情報から取引情報抽出し、前記第2の端末に送信する第3送信手段を備え、
    前記第2の端末は、前記第1の端末から受信した画像データから抽出した取引情報と、前記サーバから受信した取引情報とを比較し、比較結果を表示する不正取引検知手段を備えることを特徴とする取引システム。
  2. 前記第2送信手段は、入力が行われた前記取引画面をキャプチャした画像データを前記第2の端末に送信し、
    前記不正取引検知手段は、前記第1の端末から受信した画像データに対して文字認識処理を行って前記取引情報抽出することを特徴とする請求項1に記載の取引システム。
  3. 前記第2送信手段は、前記取引画面への入力情報が埋め込まれた画像データを前記第2の端末へ送信し、
    前記不正取引検知手段は、前記第1の端末から受信した画像データに埋め込まれた入力情報から前記取引情報を抽出することを特徴とする請求項1に記載の取引システム。
  4. 前記第2送信手段は、近距離無線通信により前記画像データを前記第2の端末へ送信することを特徴とする請求項1乃至3のいずれか一項に記載の取引システム。
  5. 前記不正取引検知手段は、前記第1の端末から受信した画像データから抽出した取引情報と前記サーバから受信した取引情報とが一致する場合に取引の実行を勧める表示を行い、前記第1の端末から受信した画像データから抽出した取引情報と前記サーバから受信した取引情報とが一致しない場合に取引の中止を勧める表示を行うことを特徴とする請求項1乃至4のいずれか一項に記載の取引システム。
  6. 前記第1の端末は、当該第1の端末の位置を示す情報を前記第2の端末に送信する位置情報送信手段をさらに備え、
    前記不正取引検知手段は、前記第1の端末の位置が前記第2の端末の位置から所定範囲内にある場合に限り、前記取引の実行を勧める表示を行うことを特徴とする請求項5に記載の取引システム。
  7. 取引に関する処理を実行するサーバと、前記取引に関する処理の実行を前記サーバに指示する第1の端末及び第2の端末とを備える取引システムにより実行される取引方法であって、
    前記第1の端末により、前記取引の内容を入力するための取引画面を表示する表示工程と、
    前記第1の端末により、前記取引画面への入力情報を前記サーバに送信する第1送信工程と、
    前記第1の端末により、前記取引画面を示す画像データを前記第2の端末に送信する第2送信工程と、
    前記サーバにより、前記第1送信工程で前記第1の端末から受信した前記入力情報から取引情報抽出し、前記第2の端末に送信する第3送信工程と、
    前記第2の端末により、前記第1の端末から受信した画像データから抽出した取引情報と、前記サーバから受信した取引情報とを比較し、比較結果を表示する不正取引検知工程と、
    を有することを特徴とする取引方法。
  8. 取引に関する処理を実行するサーバと、前記取引に関する処理の実行を前記サーバに指示する第1の端末及び第2の端末とを備える取引システムであって、
    前記第1の端末は、
    前記取引の内容を入力するための取引画面を表示する表示制御手段と、
    前記取引画面への入力情報を前記サーバに送信する第1送信手段と、
    前記取引画面を示す画像データを前記第2の端末に送信する第2送信手段と、
    を備え、
    前記サーバは、
    前記第1の端末から受信した前記入力情報から取引情報抽出し、前記第2の端末に送信する第3送信手段を備え、
    前記第2の端末は、前記第1の端末から受信した画像データから抽出した取引情報と、前記サーバから受信した取引情報とを比較し、前記第1の端末から受信した前記画像データから抽出した取引情報と前記サーバから受信した取引情報とが一致しない場合に、取引を中止する旨の指示を前記サーバに送信することを特徴とする取引システム。
  9. 取引に関する処理を実行するサーバと、前記取引に関する処理の実行を前記サーバに指示する第1の端末及び第2の端末とを備える取引システムにより実行される取引方法であって、
    前記第1の端末により、前記取引の内容を入力するための取引画面を表示する表示工程と、
    前記第1の端末により、前記取引画面への入力情報を前記サーバに送信する第1送信工程と、
    前記第1の端末により、前記取引画面を示す画像データを前記第2の端末に送信する第2送信工程と、
    前記サーバにより、前記第1送信工程で前記第1の端末から受信した前記入力情報から取引情報抽出し、前記第2の端末に送信する第3送信工程と、
    前記第2の端末により、前記第1の端末から受信した画像データから抽出した取引情報と、前記サーバから受信した取引情報とを比較し、前記第1の端末から受信した前記画像データから抽出した取引情報と前記サーバから受信した取引情報とが一致しない場合に、取引を中止する旨の指示を前記サーバに送信する取引中止工程と、
    を有することを特徴とする取引方法。
JP2015006480A 2015-01-16 2015-01-16 取引システム及び取引方法 Active JP6578659B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015006480A JP6578659B2 (ja) 2015-01-16 2015-01-16 取引システム及び取引方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015006480A JP6578659B2 (ja) 2015-01-16 2015-01-16 取引システム及び取引方法

Publications (2)

Publication Number Publication Date
JP2016133863A JP2016133863A (ja) 2016-07-25
JP6578659B2 true JP6578659B2 (ja) 2019-09-25

Family

ID=56437979

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015006480A Active JP6578659B2 (ja) 2015-01-16 2015-01-16 取引システム及び取引方法

Country Status (1)

Country Link
JP (1) JP6578659B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11748756B2 (en) 2017-05-12 2023-09-05 Samsung Electronics Co., Ltd. System and method for fraud detection

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002189966A (ja) * 2000-12-19 2002-07-05 Mitsubishi Electric Corp 電子情報担体の不正使用防止システム及び不正使用防止方法
NZ540853A (en) * 2005-06-17 2006-12-22 Eftol Internat Ltd Online payment system for merchants using a virtual terminal in the form of a pin pad
JP2007128310A (ja) * 2005-11-04 2007-05-24 Nippon Telegr & Teleph Corp <Ntt> サービス提供サーバおよびサービス提供システム
US10402898B2 (en) * 2011-05-04 2019-09-03 Paypal, Inc. Image-based financial processing

Also Published As

Publication number Publication date
JP2016133863A (ja) 2016-07-25

Similar Documents

Publication Publication Date Title
US7757088B2 (en) Methods of accessing and using web-pages
CA2701055C (en) Method of providing assured transactions using secure transaction appliance and watermark verification
US7730321B2 (en) System and method for authentication of users and communications received from computer systems
US8356333B2 (en) System and method for verifying networked sites
CN101334884B (zh) 提高转账安全性的方法和系统
US20110213711A1 (en) Method, system and apparatus for providing transaction verification
US20110202762A1 (en) Method and apparatus for carrying out secure electronic communication
MX2011002423A (es) Autorizacion de operaciones de servidor.
JP6307610B2 (ja) データ改竄検知装置、データ改竄検知方法、及びプログラム
CA2555465A1 (en) Method and apparatus for authentication of users and communications received from computer systems
JP6488613B2 (ja) 取引システム及びプログラム
JP4637773B2 (ja) 個人情報保護プログラムおよび端末
KR101498120B1 (ko) 클라우드 공인인증 시스템 및 그 방법
JP6578659B2 (ja) 取引システム及び取引方法
AU2006315079B2 (en) A method and apparatus for facilitating a secure transaction
JP2016181806A (ja) 情報処理装置、情報処理システム、暗号装置、情報処理方法、及びプログラム
CN115189876A (zh) 证书的展期方法、装置和服务器
KR20140123251A (ko) 금융 서비스 페이지에 대한 인증 서비스 제공 방법 및 이를 위한 인증 서비스 제공 시스템
EP4711955A1 (en) Verification of a web portal based on a token
WO2011060738A1 (zh) 一种确认cpu卡内数据的方法
JP6367523B2 (ja) 広域通信網を利用したデータ送受信方法及びデータ送受信システム
KR20140047058A (ko) 클라우드 공인인증 시스템 및 그 제공방법
KR20160099766A (ko) 코드분할과 복호화 키의 분리점유를 통한 보안 결제 방법, 디지털 시스템, 및 결제인증 시스템
KR20160099767A (ko) 상호인증 및 결제정보의 분할을 통한 보안 결제 방법, 디지털 시스템, 및 결제인증 시스템
KR20080096230A (ko) 인터넷상에서의 웹 정보 보안방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171129

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181105

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181211

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190207

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190730

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190812

R150 Certificate of patent or registration of utility model

Ref document number: 6578659

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150