情報処理装置、情報処理方法及びプログラム
【課題】本発明の課題は、暗証番号に対する総当たり攻撃を従来よりも実行し難くすることを可能とする技術を提供することである。
【解決手段】本発明の情報処理装置は、ユーザのユーザ識別情報を受け付ける受付部と、ユーザによる入金に係る入金額を取得する入金額取得部と、ユーザ識別情報に対応するユーザの暗証番号と口座情報を所定のデータベースから抽出する登録情報抽出部と、暗証番号と入金額とを比較することによりユーザ認証をするユーザ認証部と、暗証番号と入金額とが対応することによりユーザ認証部が認証成立と判定した場合には、口座情報に基づく取引を受け付ける取引処理部と、を備えることを特徴とする。
【解決手段】本発明の情報処理装置は、ユーザのユーザ識別情報を受け付ける受付部と、ユーザによる入金に係る入金額を取得する入金額取得部と、ユーザ識別情報に対応するユーザの暗証番号と口座情報を所定のデータベースから抽出する登録情報抽出部と、暗証番号と入金額とを比較することによりユーザ認証をするユーザ認証部と、暗証番号と入金額とが対応することによりユーザ認証部が認証成立と判定した場合には、口座情報に基づく取引を受け付ける取引処理部と、を備えることを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自動取引装置におけるユーザ認証の技術に関する。
【背景技術】
【0002】
従来、現金自動預け払い機(ATM、Automated teller machine)などの自動取引装置において暗証番号の入力が必要とされる。暗証番号が他人に漏えいすると、当該他人に不正な出金等の取引が行われる危険性がある。このような暗証番号の漏えいを防止する技術として、特許文献1が挙げられる。
【0003】
特許文献1には、超音波スピーカシステムを用いることで、暗証番号の特定の個所に数字などを加えた状態で入力するように指示する音声を利用者にのみ聞こえるようにする技術が開示されている。
【0004】
しかしながら、特許文献1において開示される技術は、暗証番号自体を保護する技術ではない。そのため、例えば、キャッシュカード等の磁気カードの情報がスキミングされた場合、暗証番号に対する総当たり攻撃(ブルートフォースアタック)が行われると、暗証番号が他人に漏えいしてしまうという問題点があった。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008−065578号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、このような点を考慮してなされたものであり、暗証番号に対する総当たり攻撃を従来よりも実行し難くすることを可能とする技術を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明は、上述した課題を解決するために、以下の構成を採用する。
【0008】
すなわち、本発明の情報処理装置は、ユーザのユーザ識別情報を受け付ける受付部と、
前記ユーザによる入金に係る入金額を取得する入金額取得部と、前記ユーザ識別情報に対応する前記ユーザの暗証番号と口座情報を所定のデータベースから抽出する登録情報抽出部と、前記暗証番号と前記入金額とを比較することによりユーザ認証をするユーザ認証部と、前記暗証番号と前記入金額とが対応することにより前記ユーザ認証部が認証成立と判定した場合には、前記口座情報に基づく取引を受け付ける取引処理部と、を備えることを特徴とする。
【0009】
ここで、取引処理部によって行われる取引とは、例えば、預貯金口座への預け入れ、貸与金の返済、預貯金の引き出し、貸付金の引き出し、預貯金残高の照会、取引明細の照会、預貯金通帳に記入されていない取引の記入、振込、振替等である。
【0010】
上記構成によれば、ユーザ認証は、暗証番号と入金額の比較によって行われる。そして、上記構成によれば、ユーザ認証が成立した場合に、口座情報に基づく取引が受け付けられる。つまり、口座情報に基づく取引を所望するユーザは、暗証番号の比較に用いられる入金額に係る入金を行わなければならない。
【0011】
したがって、上記構成によれば、従来よりも、口座情報に基づく取引に係るユーザ認証に手間がかかるため、暗証番号に対する総当たり攻撃を従来よりも実行し難くすることが可能となる。
【0012】
また、本発明の別の形態として、前記取引処理部は、前記暗証番号と前記入金額とが対応することにより前記ユーザ認証部が認証成立と判定した場合には、前記入金額の返金処理をして、前記口座情報に基づく取引を受け付け、前記暗証番号と前記入金額とが対応しないことにより前記ユーザ認証部が認証不成立と判定した場合には、前記入金額の返金処理を行わず、取引を終了してもよい。
【0013】
また、本発明の別の形態として、前記取引処理部は、前記入金額に比例する金額を限度として、前記口座情報に基づく取引を受け付けてもよい。
【0014】
暗証番号との比較に用いられる入金額が少ないほど、総当たり攻撃により該入金額の漏えいする危険性が高い。上記構成によれば、取引金額の限度は、該入金額に比例している。
【0015】
したがって、上記構成によれば、取引金額の限度が入金額に比例して制限されるため、暗証番号との比較に用いられる入金額の漏えいにおける被害を比較的に軽減することができる。
【0016】
また、本発明の別の形態として、前記ユーザ認証部は、前記暗証番号と前記入金額とが一致することにより認証成立と判定してもよい。
【0017】
上記構成によれば、暗証番号と入金額とが一致することにより認証成立と判定される。そのため、上記構成によれば、暗証番号として比較的に桁数の多い番号を採用することで、不正を働く者に対して、暗証番号に対する総当たり攻撃を心理的に更に実行し難くすることが可能となる。
【0018】
また、本発明の別の形態として、前記取引処理部は、前記暗証番号に比例する金額を限度として、前記口座情報に基づく取引を受け付けてもよい。
【0019】
暗証番号の桁数が少ないほど、総当たり攻撃により該暗証番号の漏えいする危険性が高い。上記構成によれば、取引金額の限度は、該暗証番号に比例している。
【0020】
したがって、上記構成によれば、取引金額の限度が暗証番号に比例して制限されるため、暗証番号との比較に用いられる入金額の漏えいにおける被害を比較的に軽減することができる。
【0021】
なお、本発明の別態様としては、以上の各構成を実現する情報処理方法であってもよいし、プログラムであってもよいし、このようなプログラムを記録したコンピュータが読み取り可能な記憶媒体であってもよい。また、本発明の別態様として、以上の各構成を実現する複数の装置が通信可能に構成された情報処理システムであってもよい。
【発明の効果】
【0022】
本発明によれば、暗証番号に対する総当たり攻撃を従来よりも実行し難くすることを可能とする技術を提供することができる。
【図面の簡単な説明】
【0023】
【図1】実施の形態に係るネットワーク構成を例示する図。
【図2】実施の形態に係る情報処理装置を例示する図。
【図3】実施の形態における自動取引に係る手順を示すフローチャート。
【図4】実施の形態に係る登録情報データベースのレコードを例示する図。
【発明を実施するための形態】
【0024】
以下、本発明の一側面に係る情報処理装置、情報処理方法及びプログラム等の実施の形態(以下、「本実施形態」とも表記する)を説明する。ただし、本実施形態は例示であり、本発明は本実施形態の構成に限定されない。
【0025】
なお、本実施形態において登場するデータを自然言語(日本語等)により説明しているが、より具体的には、コンピュータが認識可能な疑似言語、コマンド、パラメタ、マシン語等で指定される。
【0026】
§1 ネットワーク構成例
<構成例の説明>
まず、本実施形態に係るネットワークの構成例について説明する。図1は、本実施形態に係るネットワークの構成例を示す。図1に示されるとおり、本実施形態に係るネットワークは、情報処理装置1、サーバ3、及び、専用ネットワーク5を含んでいる。そして、情報処理装置1、及び、サーバ3は、専用ネットワーク5を介して、それぞれ通信可能となっている。
【0027】
<本実施形態の概要>
本実施形態に係る情報処理装置1は、現金の預け払い等の自動取引サービスをユーザに提供する。ユーザは、入出金装置2を介して、情報処理装置1に対して自動取引サービスに係る金銭のやり取りを行う。
【0028】
入出金装置2は、例えば、現金自動預け払い機に用いられている、現金の受け取り及び引き渡しを行うための装置である。また、入出金装置2は、磁気カード、又は、ICカードから、自動取引に係るユーザのユーザ識別情報を読み出す。更に、入出金装置2は、ユーザによって投入された入金に係る現金を取り込んで、取り込んだ現金に係る金銭情報を生成する。そして、入出金装置2は、出金に係る金銭情報に基づいて、該出金に係る金銭情報により示される金額分の現金を送出する。
【0029】
なお、入出金に係る金銭は、現金でなくともよい。例えば、入出金に係る金銭は、電子マネーであってもよい。この場合、入出金装置2は、電子マネーの情報を格納する端末、又は、ICカード等と金銭情報の送受信をする。このような装置は、現在、一般的に広く用いられているため、ここでは説明を省略する。
【0030】
情報処理装置1は、入出金装置2を介して、自動取引を所望するユーザのユーザ情報と、入金に係る入金額を取得する。また、情報処理装置1は、入出金装置2を介して、出金処理をする。
【0031】
サーバ3は、例えば、PC(Personal Computer)である。例えば、サーバ3は、その
ハードウェア構成として、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、ネットワーク通信を行うための入出力部を有している。サーバ3は、このようなハードウェア構成により、情報処理装置1からの要求に応じて、情報処理装置1から受信するユーザ識別情報に対応するユーザの登録情報を抽出する。そして、サーバ3は、抽出した登録情報を情報処理装置1に返信する。
【0032】
サーバ3は、自動取引に係るユーザの登録情報を記憶部に格納する。登録情報は、自動取引に係るユーザの暗証番号と口座情報を含む。暗証番号は、自動取引を所望するユーザのユーザ認証に用いられる。また、口座情報は、例えば、該ユーザの預金残高、貸付金、貸与金等の情報を格納する。
【0033】
§2 情報処理装置の構成例
次に、本実施形態に係る情報処理装置1について説明する。
【0034】
図2は、情報処理装置1の構成例を示す。情報処理装置1は、図2に示されるように、そのハードウェア構成として、バス13で接続される、記憶部11、制御部12、入出力部14等の既存のハードウェアを有している。
【0035】
記憶部11は、制御部12で実行される処理で利用される各種データ及びプログラムを記憶する(不図示)。記憶部11は、例えば、ハードディスクによって実現される。記憶部11は、USBメモリ等の記録媒体により実現されてもよい。
【0036】
なお、記憶部11が格納する当該各種データ及びプログラムは、CD(Compact Disc)又はDVD(Digital Versatile Disc)等の記録媒体から取得されてもよい。また、記憶部11は、外部記憶装置と呼ばれてもよい。
【0037】
制御部12は、マイクロプロセッサ又はCPU(Central Processing Unit)等の1又
は複数のプロセッサと、このプロセッサの処理に利用される周辺回路(ROM(Read Only Memory)、RAM(Random Access Memory)、インタフェース回路等)と、を有する。制御部12は、記憶部11に格納されている各種データ及びプログラムを実行することにより、本実施形態における情報処理装置1の処理を実現する。ROM、RAM等は、制御部12内のプロセッサが取り扱うアドレス空間に配置されているという意味で主記憶装置と呼ばれてもよい。
【0038】
入出力部14は、情報処理装置1の外部に存在する装置とデータの送受信を行うための1又は複数のインタフェースである。入出力部14は、例えば、LAN(Local Area Network)ケーブルを接続するためのインタフェース、ユーザインタフェースと接続するためのインタフェース、又はUSB(Universal Serial Bus)等のインタフェースである。
【0039】
入出力部14は、本実施形態において、入出金装置2からユーザ情報を取得する。また、入出力部14は、入出金装置2と金銭情報の送受信を行う。更に、入出力部14は、専用ネットワーク5を介して、サーバ3とデータの送受信を行う。
【0040】
なお、入出力部14は、不図示のユーザインタフェース(タッチパネル、テンキー、キーボード、マウス、ディスプレイ等の入出力装置)と接続してもよい。また、入出力部14は、CDドライブ、DVDドライブ等の着脱可能な記憶媒体の入出力装置、或いはメモリカード等の不揮発性の可搬型の記憶媒体等の入出力装置と接続していてもよい。また、入出力部14は、インターネット接続を行うインタフェースという意味で通信部と呼ばれてもよい。
【0041】
なお、情報処理装置1は、例えば、入出金装置2を含んで、現金自動預け払い機として実現される。また、情報処理装置1は、PC(Personal Computer)等のような汎用コン
ピュータで構成されてもよい。
【0042】
本実施形態では、情報処理装置1は、現金の預け払い等の自動取引サービスをユーザに提供する。この処理は、制御部12の処理として実現される。
【0043】
図2に示されるとおり、制御部12は、上記処理を実現するために、受付部31、入金額取得部32、登録情報抽出部33、ユーザ認証部34、及び、取引処理部35を含む。受付部31、入金額取得部32、登録情報抽出部33、ユーザ認証部34、及び、取引処理部35は、例えば、記憶部11に格納されたプログラム等が制御部12の周辺回路であるRAM等に展開され、制御部12のプロセッサにより実行されることによって実現される。
【0044】
受付部31は、自動取引を所望するユーザのユーザ識別情報を受け付ける。そして、受付部31は、受け付けたユーザ識別情報を取得する。
【0045】
入金額取得部32は、ユーザによる入金に係る入金額を取得する。本実施形態では、入金額取得部32は、入出金装置2を介して、該入金額を取得する。本実施形態では、該入金額は、ユーザ認証に用いられる。
【0046】
登録情報部33は、受付部31により取得したユーザ識別情報に対応するユーザの登録情報をサーバ3から取得する。具体的には、登録情報部33は、専用ネットワーク5を介して、サーバ3に対して、ユーザ識別情報を送信し、該ユーザ識別情報に対応するユーザの登録情報の抽出を要求する。そして、登録情報部33は、抽出した登録情報の返信をサーバ3に対して要求する。これにより、登録情報部33は、ユーザ識別情報に対応するユーザの暗証番号と口座情報を含む登録情報を取得する。
【0047】
ユーザ認証部34は、入金額取得部32によって取得された入金額と、登録情報部33によって取得された暗証番号とを比較することによりユーザ認証をする。そして、ユーザ認証部34は、該入金額と該暗証番号とが対応することにより、認証成立と判定する。また、ユーザ認証部34は、該入金額と該暗証番号とが対応しないことにより、認証不成立と判定する。
【0048】
取引処理部35は、ユーザ認証部34により認証成立と判定されたユーザに対して、入金額取得部32によって取得された入金額の返金処理をして、登録情報部33によって取得された口座情報に基づく取引を受け付ける。また、取引処理部35は、ユーザ認証部34により認証不成立と判定されたユーザに対して、入金額取得部32によって取得された入金額の返金処理を行わず、取引に係る処理を終了する。
【0049】
§3 動作例
次に、図3を用いて、本実施形態における動作例を説明する。図3は、本実施形態に係る情報処理装置1によって実行される処理を例示する。なお、図3では、ステップを「S」と略称する。
【0050】
まず、ステップ100では、例えば、自動取引を所望するユーザにより情報処理装置1が操作されることで、情報処理装置1は処理を開始する。
【0051】
次に、ステップ101では、受付部31により、ユーザ識別情報が受け付けられる。ユーザは、入出金装置2を介して、磁気カード、又は、ICカードに格納されているユーザ識別情報を情報処理装置1に入力してもよい。また、ユーザは、情報処理装置1の不図示のユーザインタフェースを介して、ユーザ識別情報を該情報処理装置1に入力してもよい。受付部31は、このようにして入力されたユーザ識別情報を受け付け、取得する。
【0052】
次に、ステップ102では、ユーザ識別情報が取得されると、入金額取得部32は、ユーザに対して、後述するユーザ認証に用いる入金を受け付け、該入金に係る入金額を取得
する。ユーザは、入出金装置2を介して、入金を行う。上述したとおり、該入金に係る金銭は、現金であってもよいし、電子マネー等の金銭情報であってもよい。
【0053】
例えば、該入金に係る金銭が現金である場合、自動取引を所望するユーザは、ユーザ認証を受けるために、暗証番号に対応する入金額に係る入金を現金で行わなければならない。つまり、自動取引を所望するユーザは、自動取引に係るユーザ認証を受けるために、暗証番号に対応する入金額に係る現金を用意し、入出金装置2に該現金を投入しなければならない。
【0054】
また、例えば、該入金に係る金銭が電子マネーである場合、自動取引を所望するユーザは、ユーザ認証を受けるために、該入金に係る電子マネーの情報を格納した端末、又は、ICカード等を用意しなければならない。そして、自動取引を所望するユーザは、ユーザ認証を受けるために、入出金装置2を操作して、該用意した端末等から金銭情報を読み出し、暗証番号に対応する入金額に係る入金を行わなければならない。
【0055】
次に、ステップ103では、入金額が取得されると、登録情報抽出部33は、サーバ3に格納されている登録情報から、受付部31により取得されたユーザ識別情報に対応するユーザの登録情報を抽出する。
【0056】
具体的には、登録情報抽出部33は、サーバ3に対して、受付部31により取得されたユーザ識別情報を送信し、該ユーザ識別情報に対応するユーザの登録情報の抽出を要求する。サーバ3は、登録情報を格納するデータベース(以下、「登録情報データベース」と記載)を記憶部に有する。
【0057】
図4は、登録情報データベースのレコードを例示する。図4に示されるとおり、本実施形態に係る登録情報データベースのレコードは、登録情報IDフィールド、利用者IDフィールド、暗証番号フィールド、及び、口座情報フィールドを有する。
【0058】
登録情報IDフィールドには、登録情報を識別するための情報が格納される。情報処理装置1及びサーバ3は、該情報を用いて、登録情報を識別する。
【0059】
利用者IDフィールドには、ユーザ識別情報に対応するユーザの登録情報を抽出するための情報が格納される。サーバ3は、該情報を参照することで、受付部31により取得されたユーザ識別情報に対応するユーザの登録情報を抽出する。言い換えると、情報処理装置1は、サーバ3を介して、該情報を参照することで、受付部31により取得されたユーザ識別情報に対応するユーザの登録情報を抽出する。
【0060】
暗証番号フィールドには、ユーザ識別情報に対応するユーザの暗証番号が格納される。暗証番号は、後述するユーザ認証部34によるユーザ認証に用いられる。
【0061】
口座情報フィールドには、ユーザ識別情報に対応するユーザの口座情報が格納される。口座情報には、例えば、該ユーザの預金残高、貸付金、貸与金等の情報が格納される。なお、図4には、口座情報の例示として、預金残高が表示されている。
【0062】
そして、サーバ3は、登録情報抽出部33による要求に応じて、受信したユーザ識別情報に対応するユーザの登録情報を抽出し、抽出した登録情報を情報処理装置1に返信する。登録情報抽出部33は、該返信に係る登録情報を取得する。
【0063】
次に、ステップ104では、図3に示されるとおり、ユーザ認証部34によって、登録情報抽出部33によって取得された登録情報に含まれる暗証番号と、入金額取得部32に
よって取得された入金額とを比較することにより、ユーザ認証が実行される。ユーザ認証部34は、暗証番号と入金額とが対応する場合、認証成立と判定し、次のステップ105に処理を進める。また、ユーザ認証部34は、暗証番号と入金額とが対応しない場合、認証不成立と判定し、次のステップ105に処理を進めず、ステップ107に処理を進める。
【0064】
ユーザ認証部34によって認証成立と判定されるための暗証番号と入金額との対応関係は、例えば、暗証番号と入金額とが何らかの数学的関係を有することである。数学的関係とは、数1で表現されるような関数関係にあることを指す。なお、数1におけるxは入金額、yは暗証番号を指す。
【0065】
【数1】
数1により示される関数関係は、例えば、暗証番号と入金額とが一致することを定めるものであってもよい(y=x)。また、関数関係は、例えば、暗証番号と入金額とが所定の値(a)の差を有することを定めるものであってもよい(y=x+a)。更に、関数関係は、例えば、暗証番号と入金額とが比例定数bとする比例関係にあることを定めるものであってもよい(y=bx)。
【0066】
ユーザ認証部34は、登録情報抽出部33によって取得された登録情報に含まれる暗証番号と、入金額取得部32によって取得された入金額とが、上記のような関係にあるか否かを判定することにより、認証の成立又は不成立を認識する。
【0067】
なお、上記のような暗証番号と入金額との対応関係は、登録情報毎に定められてもよい。この場合、登録情報毎に定められる暗証番号と入金額との対応関係を示す情報は、登録情報に格納されてもよいし、ユーザ識別情報に保持されてもよい。そして、ユーザ認証部34は、登録情報又はユーザ識別情報より、登録情報毎に定められる暗証番号と入金額との対応関係を示す情報を取得し、ユーザ認証を実施してもよい。
【0068】
次に、ステップ105では、取引処理部35によって、ユーザ認証部34によって認証成立と判定されたユーザに対して、入金額取得部32により取得された入金額の返金処理が実行される。返金処理が実行されると、取引処理部35は、次のステップ106に処理を進める。
【0069】
該返金処理は、入出金装置2を介して実行される。返金処理に係る金銭が現金である場合、取引処理部35は、入出金装置2により返金処理に係る現金を送出する。また、返金処理に係る金銭が電子マネー等の金銭情報である場合、取引処理部35は、入出金装置2を介して、電子マネー等の情報を格納する端末、又は、ICカード等に対して、返金処理をする。
【0070】
なお、取引処理部35は、ユーザ認証部34によって認証不成立と判定されたユーザに対しては、ステップ105における返金処理を実行せず、取引を終了する(ステップ107)。つまり、ユーザ認証部34によって認証不成立と判定されたユーザは、ユーザ認証のために入金した金銭の返金処理を受けることはできない。
【0071】
次に、ステップ106では、取引処理部35によって、登録情報抽出部33により取得された登録情報に含まれる口座情報に基づく取引が受け付けられる。該取引は、例えば、預貯金口座への預け入れ、貸与金の返済、預貯金の引き出し、貸付金の引き出し、預貯金
残高の照会、取引明細の照会、預貯金通帳に記入されていない取引の記入、振込、振替等である。ユーザは、情報処理装置1のユーザインタフェースを介して、該取引に係る情報を入力する。なお、該取引に係る入金及び出金は、入出金装置2を介して、実現される。該取引に係る入金及び出金に係る処理は、ステップ102における入金処理、及び、ステップ105における返金処理(出金処理)と同様である。したがって、該入金及び出金に係る処理についての説明は省略する。
【0072】
ここで、取引処理部35は、入金額取得部32によって取得され、ユーザ認証に用いられた入金額が大きければ大きいほど、高い限度額の取引を受け付けてもよい。例えば、取引処理部35は、入金額取得部32によって取得され、ユーザ認証に用いられた入金額に比例する金額を限度として、登録情報抽出部33により取得された登録情報に含まれる口座情報に基づく取引を受け付けてもよい。該比例に係る比例定数は、自動取引を所望するユーザ毎に設定されてもよい。
【0073】
この時、該比例定数は、登録情報に格納されてもよいし、ユーザ識別情報に保持されてもよい。そして、取引処理部35は、登録情報又はユーザ識別情報より、取引の限度額に係る比例定数を取得し、取得した比例定数と入金額とを掛け合わせることにより、取引の限度額を取得してもよい。取引処理部35は、このようにして取得した取引の限度額を上限として、登録情報抽出部33により取得された登録情報に含まれる口座情報に基づく取引を受け付けてもよい。
【0074】
例えば、入金額が1000円であり、比例定数が100であるならば、取引処理部35は、100000円を限度として、取引を受け付けてもよい。
【0075】
また、取引処理部35は、登録情報抽出部33によって取得された暗証番号の数値又は桁数が大きければ大きいほど、高い限度額の取引を受け付けてもよい。例えば、取引処理部35は、登録情報抽出部33によって取得された暗証番号に比例する金額を限度として、登録情報抽出部33により取得された登録情報に含まれる口座情報に基づく取引を受け付けてもよい。該比例に係る比例定数は、自動取引を所望するユーザ毎に設定されてもよい。
【0076】
この時、該比例定数は、登録情報に格納されてもよいし、ユーザ識別情報に保持されてもよい。そして、取引処理部35は、登録情報又はユーザ識別情報より、取引の限度額に係る比例定数を取得し、取得した比例定数と暗証番号とを掛け合わせることにより、取引の限度額を取得してもよい。取引処理部35は、このようにして取得した取引の限度額を上限として、登録情報抽出部33により取得された登録情報に含まれる口座情報に基づく取引を受け付けてもよい。
【0077】
例えば、暗証番号が21432であり、比例定数が100であるならば、取引処理部35は、2143200円を限度として、取引を受け付けてもよい。
【0078】
そして、取引処理部35は、受け付けた取引に関連する処理を実行する。例えば、受け付けた取引が預貯金の引き出しであるならば、取引処理部35は、入出金装置2を介して、該引き出しに係る金銭の出金処理をする。また、取引処理部35は、口座情報に含まれる預金残高から該引き出しに係る金銭を引き算する。取引処理部35は、口座情報に含まれる預金残高を引き算後の預金残高に置き換えることにより、口座情報を更新する。そして、取引処理部35は、サーバ3に対して、更新した口座情報を送信し、該取引に係るユーザの登録情報の更新を要求する。サーバ3は、取引処理部35からの要求に応じ、該取引に係るユーザの登録情報を更新する。なお、預貯金の引き出し以外の処理についても同様に説明可能である。
【0079】
このように、取引処理部35は、受け付けた取引に関連する処理を実行し、次のステップ107に処理を進める。
【0080】
最後に、ステップ107では、取引処理部35は、取引に関連する処理を終了する。例えば、取引処理部35は、情報処理装置1のユーザインタフェース(表示装置)に、取引が終了したことのメッセージを表示し、取引に関連する処理を終了する。これにより、情報処理装置1は、処理を終了する。
【0081】
§4 実施の形態に係る作用及び効果
以上によれば、本実施形態に係る情報処理装置1では、ユーザ認証部34は、入金額取得部32により取得された入金額と、登録情報抽出部33により取得された暗証番号との比較によって、ユーザ認証を実行する。自動取引を所望するユーザは、該ユーザ認証のために、入出金装置2に対して、暗証番号に対応する入金額に係る入金を行わなければならない。
【0082】
したがって、本実施形態に係る情報処理装置1では、従来よりも、口座情報に基づく取引に係るユーザ認証に手間がかかるため、暗証番号に対する総当たり攻撃を従来よりも実行し難くすることが可能となる。
【0083】
また、本実施形態に係る情報処理装置1では、自動取引に係るユーザ認証が成立した場合には、取引処理部35は、該入金額の返金処理を実行し、ユーザ認証が成立しなかった場合には、取引処理部35は、該入金額の返金処理を実行しない。つまり、認証が成立しなかった場合、入金額に係る金銭が喪失する。
【0084】
したがって、本実施形態に係る情報処理装置1では、ユーザ認証の不成立により、ユーザ認証に係る金銭が喪失してしまうため、不正を働く者に対して、暗証番号に対する総当たり攻撃を心理的に実行し難くすることが可能となる。
【0085】
また、本実施形態に係る情報処理装置1では、取引処理部35は、入金額取得部32により取得された入金額に比例する金額を限度として、登録情報抽出部33により取得された口座情報に基づく取引を受け付けてもよい。
【0086】
暗証番号との比較に用いられる入金額が少ないほど、総当たり攻撃により該入金額の漏えいする危険性が高い。しかしながら、取引金額の限度が入金額に比例して制限されるため、本実施形態に係る情報処理装置1では、暗証番号との比較に用いられる入金額の漏えいにおける被害を比較的に軽減することができる。
【0087】
更に、本実施形態に係る情報処理装置1では、取引処理部35は、登録情報抽出部33により取得された暗証番号に比例する金額を限度として、前記口座情報に基づく取引を受け付けてもよい。
【0088】
暗証番号の桁数が少ないほど、総当たり攻撃により該暗証番号の漏えいする危険性が高い。しかしながら、取引金額の限度が暗証番号に比例して制限されるため、本実施形態に係る情報処理装置1では、暗証番号との比較に用いられる入金額の漏えいにおける被害を比較的に軽減することができる。
【0089】
§5 変形例
以上、本発明の実施の形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎず、その範囲を限定しようとするものではない。本発明の範囲を
逸脱することなく種々の改良や変形を行うことができることは言うまでもない。
【0090】
例えば、S101とS102の動作は順序が入れ替わってもよい。また、上記処理では、用いられる金銭は「円」で説明したが、本実施形態において他国の金銭が用いられてもよいことは言うまでもない。
【0091】
§6 補足
当業者は、上記本実施形態の記載から、特許請求の範囲の記載および技術常識に基づいて等価な範囲を実施することができる。また、本明細書において使用される用語は、特に言及しない限り、当該分野で通常用いられる意味で用いられる。したがって、他に定義されない限り、本明細書中で使用される全ての専門用語および技術用語は、本発明の属する分野の当業者によって一般的に理解される意味と同じ意味を有する。両者が矛盾する場合、本明細書において使用される用語は、本明細書(定義を含めて)に記載された意味において理解される。
【符号の説明】
【0092】
1 情報処理装置
2 入出金装置
3 サーバ
5 専用ネットワーク
11 記憶部
12 制御部
13 バス
14 入出力部
31 受付部
32 入金額取得部
33 登録情報抽出部
34 ユーザ認証部
35 取引処理部
【技術分野】
【0001】
本発明は、自動取引装置におけるユーザ認証の技術に関する。
【背景技術】
【0002】
従来、現金自動預け払い機(ATM、Automated teller machine)などの自動取引装置において暗証番号の入力が必要とされる。暗証番号が他人に漏えいすると、当該他人に不正な出金等の取引が行われる危険性がある。このような暗証番号の漏えいを防止する技術として、特許文献1が挙げられる。
【0003】
特許文献1には、超音波スピーカシステムを用いることで、暗証番号の特定の個所に数字などを加えた状態で入力するように指示する音声を利用者にのみ聞こえるようにする技術が開示されている。
【0004】
しかしながら、特許文献1において開示される技術は、暗証番号自体を保護する技術ではない。そのため、例えば、キャッシュカード等の磁気カードの情報がスキミングされた場合、暗証番号に対する総当たり攻撃(ブルートフォースアタック)が行われると、暗証番号が他人に漏えいしてしまうという問題点があった。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008−065578号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、このような点を考慮してなされたものであり、暗証番号に対する総当たり攻撃を従来よりも実行し難くすることを可能とする技術を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明は、上述した課題を解決するために、以下の構成を採用する。
【0008】
すなわち、本発明の情報処理装置は、ユーザのユーザ識別情報を受け付ける受付部と、
前記ユーザによる入金に係る入金額を取得する入金額取得部と、前記ユーザ識別情報に対応する前記ユーザの暗証番号と口座情報を所定のデータベースから抽出する登録情報抽出部と、前記暗証番号と前記入金額とを比較することによりユーザ認証をするユーザ認証部と、前記暗証番号と前記入金額とが対応することにより前記ユーザ認証部が認証成立と判定した場合には、前記口座情報に基づく取引を受け付ける取引処理部と、を備えることを特徴とする。
【0009】
ここで、取引処理部によって行われる取引とは、例えば、預貯金口座への預け入れ、貸与金の返済、預貯金の引き出し、貸付金の引き出し、預貯金残高の照会、取引明細の照会、預貯金通帳に記入されていない取引の記入、振込、振替等である。
【0010】
上記構成によれば、ユーザ認証は、暗証番号と入金額の比較によって行われる。そして、上記構成によれば、ユーザ認証が成立した場合に、口座情報に基づく取引が受け付けられる。つまり、口座情報に基づく取引を所望するユーザは、暗証番号の比較に用いられる入金額に係る入金を行わなければならない。
【0011】
したがって、上記構成によれば、従来よりも、口座情報に基づく取引に係るユーザ認証に手間がかかるため、暗証番号に対する総当たり攻撃を従来よりも実行し難くすることが可能となる。
【0012】
また、本発明の別の形態として、前記取引処理部は、前記暗証番号と前記入金額とが対応することにより前記ユーザ認証部が認証成立と判定した場合には、前記入金額の返金処理をして、前記口座情報に基づく取引を受け付け、前記暗証番号と前記入金額とが対応しないことにより前記ユーザ認証部が認証不成立と判定した場合には、前記入金額の返金処理を行わず、取引を終了してもよい。
【0013】
また、本発明の別の形態として、前記取引処理部は、前記入金額に比例する金額を限度として、前記口座情報に基づく取引を受け付けてもよい。
【0014】
暗証番号との比較に用いられる入金額が少ないほど、総当たり攻撃により該入金額の漏えいする危険性が高い。上記構成によれば、取引金額の限度は、該入金額に比例している。
【0015】
したがって、上記構成によれば、取引金額の限度が入金額に比例して制限されるため、暗証番号との比較に用いられる入金額の漏えいにおける被害を比較的に軽減することができる。
【0016】
また、本発明の別の形態として、前記ユーザ認証部は、前記暗証番号と前記入金額とが一致することにより認証成立と判定してもよい。
【0017】
上記構成によれば、暗証番号と入金額とが一致することにより認証成立と判定される。そのため、上記構成によれば、暗証番号として比較的に桁数の多い番号を採用することで、不正を働く者に対して、暗証番号に対する総当たり攻撃を心理的に更に実行し難くすることが可能となる。
【0018】
また、本発明の別の形態として、前記取引処理部は、前記暗証番号に比例する金額を限度として、前記口座情報に基づく取引を受け付けてもよい。
【0019】
暗証番号の桁数が少ないほど、総当たり攻撃により該暗証番号の漏えいする危険性が高い。上記構成によれば、取引金額の限度は、該暗証番号に比例している。
【0020】
したがって、上記構成によれば、取引金額の限度が暗証番号に比例して制限されるため、暗証番号との比較に用いられる入金額の漏えいにおける被害を比較的に軽減することができる。
【0021】
なお、本発明の別態様としては、以上の各構成を実現する情報処理方法であってもよいし、プログラムであってもよいし、このようなプログラムを記録したコンピュータが読み取り可能な記憶媒体であってもよい。また、本発明の別態様として、以上の各構成を実現する複数の装置が通信可能に構成された情報処理システムであってもよい。
【発明の効果】
【0022】
本発明によれば、暗証番号に対する総当たり攻撃を従来よりも実行し難くすることを可能とする技術を提供することができる。
【図面の簡単な説明】
【0023】
【図1】実施の形態に係るネットワーク構成を例示する図。
【図2】実施の形態に係る情報処理装置を例示する図。
【図3】実施の形態における自動取引に係る手順を示すフローチャート。
【図4】実施の形態に係る登録情報データベースのレコードを例示する図。
【発明を実施するための形態】
【0024】
以下、本発明の一側面に係る情報処理装置、情報処理方法及びプログラム等の実施の形態(以下、「本実施形態」とも表記する)を説明する。ただし、本実施形態は例示であり、本発明は本実施形態の構成に限定されない。
【0025】
なお、本実施形態において登場するデータを自然言語(日本語等)により説明しているが、より具体的には、コンピュータが認識可能な疑似言語、コマンド、パラメタ、マシン語等で指定される。
【0026】
§1 ネットワーク構成例
<構成例の説明>
まず、本実施形態に係るネットワークの構成例について説明する。図1は、本実施形態に係るネットワークの構成例を示す。図1に示されるとおり、本実施形態に係るネットワークは、情報処理装置1、サーバ3、及び、専用ネットワーク5を含んでいる。そして、情報処理装置1、及び、サーバ3は、専用ネットワーク5を介して、それぞれ通信可能となっている。
【0027】
<本実施形態の概要>
本実施形態に係る情報処理装置1は、現金の預け払い等の自動取引サービスをユーザに提供する。ユーザは、入出金装置2を介して、情報処理装置1に対して自動取引サービスに係る金銭のやり取りを行う。
【0028】
入出金装置2は、例えば、現金自動預け払い機に用いられている、現金の受け取り及び引き渡しを行うための装置である。また、入出金装置2は、磁気カード、又は、ICカードから、自動取引に係るユーザのユーザ識別情報を読み出す。更に、入出金装置2は、ユーザによって投入された入金に係る現金を取り込んで、取り込んだ現金に係る金銭情報を生成する。そして、入出金装置2は、出金に係る金銭情報に基づいて、該出金に係る金銭情報により示される金額分の現金を送出する。
【0029】
なお、入出金に係る金銭は、現金でなくともよい。例えば、入出金に係る金銭は、電子マネーであってもよい。この場合、入出金装置2は、電子マネーの情報を格納する端末、又は、ICカード等と金銭情報の送受信をする。このような装置は、現在、一般的に広く用いられているため、ここでは説明を省略する。
【0030】
情報処理装置1は、入出金装置2を介して、自動取引を所望するユーザのユーザ情報と、入金に係る入金額を取得する。また、情報処理装置1は、入出金装置2を介して、出金処理をする。
【0031】
サーバ3は、例えば、PC(Personal Computer)である。例えば、サーバ3は、その
ハードウェア構成として、それぞれバスを介して接続された、各種データ及びプログラムを格納するための記憶部、記憶部に格納されたプログラムを実行する制御部、ネットワーク通信を行うための入出力部を有している。サーバ3は、このようなハードウェア構成により、情報処理装置1からの要求に応じて、情報処理装置1から受信するユーザ識別情報に対応するユーザの登録情報を抽出する。そして、サーバ3は、抽出した登録情報を情報処理装置1に返信する。
【0032】
サーバ3は、自動取引に係るユーザの登録情報を記憶部に格納する。登録情報は、自動取引に係るユーザの暗証番号と口座情報を含む。暗証番号は、自動取引を所望するユーザのユーザ認証に用いられる。また、口座情報は、例えば、該ユーザの預金残高、貸付金、貸与金等の情報を格納する。
【0033】
§2 情報処理装置の構成例
次に、本実施形態に係る情報処理装置1について説明する。
【0034】
図2は、情報処理装置1の構成例を示す。情報処理装置1は、図2に示されるように、そのハードウェア構成として、バス13で接続される、記憶部11、制御部12、入出力部14等の既存のハードウェアを有している。
【0035】
記憶部11は、制御部12で実行される処理で利用される各種データ及びプログラムを記憶する(不図示)。記憶部11は、例えば、ハードディスクによって実現される。記憶部11は、USBメモリ等の記録媒体により実現されてもよい。
【0036】
なお、記憶部11が格納する当該各種データ及びプログラムは、CD(Compact Disc)又はDVD(Digital Versatile Disc)等の記録媒体から取得されてもよい。また、記憶部11は、外部記憶装置と呼ばれてもよい。
【0037】
制御部12は、マイクロプロセッサ又はCPU(Central Processing Unit)等の1又
は複数のプロセッサと、このプロセッサの処理に利用される周辺回路(ROM(Read Only Memory)、RAM(Random Access Memory)、インタフェース回路等)と、を有する。制御部12は、記憶部11に格納されている各種データ及びプログラムを実行することにより、本実施形態における情報処理装置1の処理を実現する。ROM、RAM等は、制御部12内のプロセッサが取り扱うアドレス空間に配置されているという意味で主記憶装置と呼ばれてもよい。
【0038】
入出力部14は、情報処理装置1の外部に存在する装置とデータの送受信を行うための1又は複数のインタフェースである。入出力部14は、例えば、LAN(Local Area Network)ケーブルを接続するためのインタフェース、ユーザインタフェースと接続するためのインタフェース、又はUSB(Universal Serial Bus)等のインタフェースである。
【0039】
入出力部14は、本実施形態において、入出金装置2からユーザ情報を取得する。また、入出力部14は、入出金装置2と金銭情報の送受信を行う。更に、入出力部14は、専用ネットワーク5を介して、サーバ3とデータの送受信を行う。
【0040】
なお、入出力部14は、不図示のユーザインタフェース(タッチパネル、テンキー、キーボード、マウス、ディスプレイ等の入出力装置)と接続してもよい。また、入出力部14は、CDドライブ、DVDドライブ等の着脱可能な記憶媒体の入出力装置、或いはメモリカード等の不揮発性の可搬型の記憶媒体等の入出力装置と接続していてもよい。また、入出力部14は、インターネット接続を行うインタフェースという意味で通信部と呼ばれてもよい。
【0041】
なお、情報処理装置1は、例えば、入出金装置2を含んで、現金自動預け払い機として実現される。また、情報処理装置1は、PC(Personal Computer)等のような汎用コン
ピュータで構成されてもよい。
【0042】
本実施形態では、情報処理装置1は、現金の預け払い等の自動取引サービスをユーザに提供する。この処理は、制御部12の処理として実現される。
【0043】
図2に示されるとおり、制御部12は、上記処理を実現するために、受付部31、入金額取得部32、登録情報抽出部33、ユーザ認証部34、及び、取引処理部35を含む。受付部31、入金額取得部32、登録情報抽出部33、ユーザ認証部34、及び、取引処理部35は、例えば、記憶部11に格納されたプログラム等が制御部12の周辺回路であるRAM等に展開され、制御部12のプロセッサにより実行されることによって実現される。
【0044】
受付部31は、自動取引を所望するユーザのユーザ識別情報を受け付ける。そして、受付部31は、受け付けたユーザ識別情報を取得する。
【0045】
入金額取得部32は、ユーザによる入金に係る入金額を取得する。本実施形態では、入金額取得部32は、入出金装置2を介して、該入金額を取得する。本実施形態では、該入金額は、ユーザ認証に用いられる。
【0046】
登録情報部33は、受付部31により取得したユーザ識別情報に対応するユーザの登録情報をサーバ3から取得する。具体的には、登録情報部33は、専用ネットワーク5を介して、サーバ3に対して、ユーザ識別情報を送信し、該ユーザ識別情報に対応するユーザの登録情報の抽出を要求する。そして、登録情報部33は、抽出した登録情報の返信をサーバ3に対して要求する。これにより、登録情報部33は、ユーザ識別情報に対応するユーザの暗証番号と口座情報を含む登録情報を取得する。
【0047】
ユーザ認証部34は、入金額取得部32によって取得された入金額と、登録情報部33によって取得された暗証番号とを比較することによりユーザ認証をする。そして、ユーザ認証部34は、該入金額と該暗証番号とが対応することにより、認証成立と判定する。また、ユーザ認証部34は、該入金額と該暗証番号とが対応しないことにより、認証不成立と判定する。
【0048】
取引処理部35は、ユーザ認証部34により認証成立と判定されたユーザに対して、入金額取得部32によって取得された入金額の返金処理をして、登録情報部33によって取得された口座情報に基づく取引を受け付ける。また、取引処理部35は、ユーザ認証部34により認証不成立と判定されたユーザに対して、入金額取得部32によって取得された入金額の返金処理を行わず、取引に係る処理を終了する。
【0049】
§3 動作例
次に、図3を用いて、本実施形態における動作例を説明する。図3は、本実施形態に係る情報処理装置1によって実行される処理を例示する。なお、図3では、ステップを「S」と略称する。
【0050】
まず、ステップ100では、例えば、自動取引を所望するユーザにより情報処理装置1が操作されることで、情報処理装置1は処理を開始する。
【0051】
次に、ステップ101では、受付部31により、ユーザ識別情報が受け付けられる。ユーザは、入出金装置2を介して、磁気カード、又は、ICカードに格納されているユーザ識別情報を情報処理装置1に入力してもよい。また、ユーザは、情報処理装置1の不図示のユーザインタフェースを介して、ユーザ識別情報を該情報処理装置1に入力してもよい。受付部31は、このようにして入力されたユーザ識別情報を受け付け、取得する。
【0052】
次に、ステップ102では、ユーザ識別情報が取得されると、入金額取得部32は、ユーザに対して、後述するユーザ認証に用いる入金を受け付け、該入金に係る入金額を取得
する。ユーザは、入出金装置2を介して、入金を行う。上述したとおり、該入金に係る金銭は、現金であってもよいし、電子マネー等の金銭情報であってもよい。
【0053】
例えば、該入金に係る金銭が現金である場合、自動取引を所望するユーザは、ユーザ認証を受けるために、暗証番号に対応する入金額に係る入金を現金で行わなければならない。つまり、自動取引を所望するユーザは、自動取引に係るユーザ認証を受けるために、暗証番号に対応する入金額に係る現金を用意し、入出金装置2に該現金を投入しなければならない。
【0054】
また、例えば、該入金に係る金銭が電子マネーである場合、自動取引を所望するユーザは、ユーザ認証を受けるために、該入金に係る電子マネーの情報を格納した端末、又は、ICカード等を用意しなければならない。そして、自動取引を所望するユーザは、ユーザ認証を受けるために、入出金装置2を操作して、該用意した端末等から金銭情報を読み出し、暗証番号に対応する入金額に係る入金を行わなければならない。
【0055】
次に、ステップ103では、入金額が取得されると、登録情報抽出部33は、サーバ3に格納されている登録情報から、受付部31により取得されたユーザ識別情報に対応するユーザの登録情報を抽出する。
【0056】
具体的には、登録情報抽出部33は、サーバ3に対して、受付部31により取得されたユーザ識別情報を送信し、該ユーザ識別情報に対応するユーザの登録情報の抽出を要求する。サーバ3は、登録情報を格納するデータベース(以下、「登録情報データベース」と記載)を記憶部に有する。
【0057】
図4は、登録情報データベースのレコードを例示する。図4に示されるとおり、本実施形態に係る登録情報データベースのレコードは、登録情報IDフィールド、利用者IDフィールド、暗証番号フィールド、及び、口座情報フィールドを有する。
【0058】
登録情報IDフィールドには、登録情報を識別するための情報が格納される。情報処理装置1及びサーバ3は、該情報を用いて、登録情報を識別する。
【0059】
利用者IDフィールドには、ユーザ識別情報に対応するユーザの登録情報を抽出するための情報が格納される。サーバ3は、該情報を参照することで、受付部31により取得されたユーザ識別情報に対応するユーザの登録情報を抽出する。言い換えると、情報処理装置1は、サーバ3を介して、該情報を参照することで、受付部31により取得されたユーザ識別情報に対応するユーザの登録情報を抽出する。
【0060】
暗証番号フィールドには、ユーザ識別情報に対応するユーザの暗証番号が格納される。暗証番号は、後述するユーザ認証部34によるユーザ認証に用いられる。
【0061】
口座情報フィールドには、ユーザ識別情報に対応するユーザの口座情報が格納される。口座情報には、例えば、該ユーザの預金残高、貸付金、貸与金等の情報が格納される。なお、図4には、口座情報の例示として、預金残高が表示されている。
【0062】
そして、サーバ3は、登録情報抽出部33による要求に応じて、受信したユーザ識別情報に対応するユーザの登録情報を抽出し、抽出した登録情報を情報処理装置1に返信する。登録情報抽出部33は、該返信に係る登録情報を取得する。
【0063】
次に、ステップ104では、図3に示されるとおり、ユーザ認証部34によって、登録情報抽出部33によって取得された登録情報に含まれる暗証番号と、入金額取得部32に
よって取得された入金額とを比較することにより、ユーザ認証が実行される。ユーザ認証部34は、暗証番号と入金額とが対応する場合、認証成立と判定し、次のステップ105に処理を進める。また、ユーザ認証部34は、暗証番号と入金額とが対応しない場合、認証不成立と判定し、次のステップ105に処理を進めず、ステップ107に処理を進める。
【0064】
ユーザ認証部34によって認証成立と判定されるための暗証番号と入金額との対応関係は、例えば、暗証番号と入金額とが何らかの数学的関係を有することである。数学的関係とは、数1で表現されるような関数関係にあることを指す。なお、数1におけるxは入金額、yは暗証番号を指す。
【0065】
【数1】
数1により示される関数関係は、例えば、暗証番号と入金額とが一致することを定めるものであってもよい(y=x)。また、関数関係は、例えば、暗証番号と入金額とが所定の値(a)の差を有することを定めるものであってもよい(y=x+a)。更に、関数関係は、例えば、暗証番号と入金額とが比例定数bとする比例関係にあることを定めるものであってもよい(y=bx)。
【0066】
ユーザ認証部34は、登録情報抽出部33によって取得された登録情報に含まれる暗証番号と、入金額取得部32によって取得された入金額とが、上記のような関係にあるか否かを判定することにより、認証の成立又は不成立を認識する。
【0067】
なお、上記のような暗証番号と入金額との対応関係は、登録情報毎に定められてもよい。この場合、登録情報毎に定められる暗証番号と入金額との対応関係を示す情報は、登録情報に格納されてもよいし、ユーザ識別情報に保持されてもよい。そして、ユーザ認証部34は、登録情報又はユーザ識別情報より、登録情報毎に定められる暗証番号と入金額との対応関係を示す情報を取得し、ユーザ認証を実施してもよい。
【0068】
次に、ステップ105では、取引処理部35によって、ユーザ認証部34によって認証成立と判定されたユーザに対して、入金額取得部32により取得された入金額の返金処理が実行される。返金処理が実行されると、取引処理部35は、次のステップ106に処理を進める。
【0069】
該返金処理は、入出金装置2を介して実行される。返金処理に係る金銭が現金である場合、取引処理部35は、入出金装置2により返金処理に係る現金を送出する。また、返金処理に係る金銭が電子マネー等の金銭情報である場合、取引処理部35は、入出金装置2を介して、電子マネー等の情報を格納する端末、又は、ICカード等に対して、返金処理をする。
【0070】
なお、取引処理部35は、ユーザ認証部34によって認証不成立と判定されたユーザに対しては、ステップ105における返金処理を実行せず、取引を終了する(ステップ107)。つまり、ユーザ認証部34によって認証不成立と判定されたユーザは、ユーザ認証のために入金した金銭の返金処理を受けることはできない。
【0071】
次に、ステップ106では、取引処理部35によって、登録情報抽出部33により取得された登録情報に含まれる口座情報に基づく取引が受け付けられる。該取引は、例えば、預貯金口座への預け入れ、貸与金の返済、預貯金の引き出し、貸付金の引き出し、預貯金
残高の照会、取引明細の照会、預貯金通帳に記入されていない取引の記入、振込、振替等である。ユーザは、情報処理装置1のユーザインタフェースを介して、該取引に係る情報を入力する。なお、該取引に係る入金及び出金は、入出金装置2を介して、実現される。該取引に係る入金及び出金に係る処理は、ステップ102における入金処理、及び、ステップ105における返金処理(出金処理)と同様である。したがって、該入金及び出金に係る処理についての説明は省略する。
【0072】
ここで、取引処理部35は、入金額取得部32によって取得され、ユーザ認証に用いられた入金額が大きければ大きいほど、高い限度額の取引を受け付けてもよい。例えば、取引処理部35は、入金額取得部32によって取得され、ユーザ認証に用いられた入金額に比例する金額を限度として、登録情報抽出部33により取得された登録情報に含まれる口座情報に基づく取引を受け付けてもよい。該比例に係る比例定数は、自動取引を所望するユーザ毎に設定されてもよい。
【0073】
この時、該比例定数は、登録情報に格納されてもよいし、ユーザ識別情報に保持されてもよい。そして、取引処理部35は、登録情報又はユーザ識別情報より、取引の限度額に係る比例定数を取得し、取得した比例定数と入金額とを掛け合わせることにより、取引の限度額を取得してもよい。取引処理部35は、このようにして取得した取引の限度額を上限として、登録情報抽出部33により取得された登録情報に含まれる口座情報に基づく取引を受け付けてもよい。
【0074】
例えば、入金額が1000円であり、比例定数が100であるならば、取引処理部35は、100000円を限度として、取引を受け付けてもよい。
【0075】
また、取引処理部35は、登録情報抽出部33によって取得された暗証番号の数値又は桁数が大きければ大きいほど、高い限度額の取引を受け付けてもよい。例えば、取引処理部35は、登録情報抽出部33によって取得された暗証番号に比例する金額を限度として、登録情報抽出部33により取得された登録情報に含まれる口座情報に基づく取引を受け付けてもよい。該比例に係る比例定数は、自動取引を所望するユーザ毎に設定されてもよい。
【0076】
この時、該比例定数は、登録情報に格納されてもよいし、ユーザ識別情報に保持されてもよい。そして、取引処理部35は、登録情報又はユーザ識別情報より、取引の限度額に係る比例定数を取得し、取得した比例定数と暗証番号とを掛け合わせることにより、取引の限度額を取得してもよい。取引処理部35は、このようにして取得した取引の限度額を上限として、登録情報抽出部33により取得された登録情報に含まれる口座情報に基づく取引を受け付けてもよい。
【0077】
例えば、暗証番号が21432であり、比例定数が100であるならば、取引処理部35は、2143200円を限度として、取引を受け付けてもよい。
【0078】
そして、取引処理部35は、受け付けた取引に関連する処理を実行する。例えば、受け付けた取引が預貯金の引き出しであるならば、取引処理部35は、入出金装置2を介して、該引き出しに係る金銭の出金処理をする。また、取引処理部35は、口座情報に含まれる預金残高から該引き出しに係る金銭を引き算する。取引処理部35は、口座情報に含まれる預金残高を引き算後の預金残高に置き換えることにより、口座情報を更新する。そして、取引処理部35は、サーバ3に対して、更新した口座情報を送信し、該取引に係るユーザの登録情報の更新を要求する。サーバ3は、取引処理部35からの要求に応じ、該取引に係るユーザの登録情報を更新する。なお、預貯金の引き出し以外の処理についても同様に説明可能である。
【0079】
このように、取引処理部35は、受け付けた取引に関連する処理を実行し、次のステップ107に処理を進める。
【0080】
最後に、ステップ107では、取引処理部35は、取引に関連する処理を終了する。例えば、取引処理部35は、情報処理装置1のユーザインタフェース(表示装置)に、取引が終了したことのメッセージを表示し、取引に関連する処理を終了する。これにより、情報処理装置1は、処理を終了する。
【0081】
§4 実施の形態に係る作用及び効果
以上によれば、本実施形態に係る情報処理装置1では、ユーザ認証部34は、入金額取得部32により取得された入金額と、登録情報抽出部33により取得された暗証番号との比較によって、ユーザ認証を実行する。自動取引を所望するユーザは、該ユーザ認証のために、入出金装置2に対して、暗証番号に対応する入金額に係る入金を行わなければならない。
【0082】
したがって、本実施形態に係る情報処理装置1では、従来よりも、口座情報に基づく取引に係るユーザ認証に手間がかかるため、暗証番号に対する総当たり攻撃を従来よりも実行し難くすることが可能となる。
【0083】
また、本実施形態に係る情報処理装置1では、自動取引に係るユーザ認証が成立した場合には、取引処理部35は、該入金額の返金処理を実行し、ユーザ認証が成立しなかった場合には、取引処理部35は、該入金額の返金処理を実行しない。つまり、認証が成立しなかった場合、入金額に係る金銭が喪失する。
【0084】
したがって、本実施形態に係る情報処理装置1では、ユーザ認証の不成立により、ユーザ認証に係る金銭が喪失してしまうため、不正を働く者に対して、暗証番号に対する総当たり攻撃を心理的に実行し難くすることが可能となる。
【0085】
また、本実施形態に係る情報処理装置1では、取引処理部35は、入金額取得部32により取得された入金額に比例する金額を限度として、登録情報抽出部33により取得された口座情報に基づく取引を受け付けてもよい。
【0086】
暗証番号との比較に用いられる入金額が少ないほど、総当たり攻撃により該入金額の漏えいする危険性が高い。しかしながら、取引金額の限度が入金額に比例して制限されるため、本実施形態に係る情報処理装置1では、暗証番号との比較に用いられる入金額の漏えいにおける被害を比較的に軽減することができる。
【0087】
更に、本実施形態に係る情報処理装置1では、取引処理部35は、登録情報抽出部33により取得された暗証番号に比例する金額を限度として、前記口座情報に基づく取引を受け付けてもよい。
【0088】
暗証番号の桁数が少ないほど、総当たり攻撃により該暗証番号の漏えいする危険性が高い。しかしながら、取引金額の限度が暗証番号に比例して制限されるため、本実施形態に係る情報処理装置1では、暗証番号との比較に用いられる入金額の漏えいにおける被害を比較的に軽減することができる。
【0089】
§5 変形例
以上、本発明の実施の形態を詳細に説明してきたが、前述までの説明はあらゆる点において本発明の例示に過ぎず、その範囲を限定しようとするものではない。本発明の範囲を
逸脱することなく種々の改良や変形を行うことができることは言うまでもない。
【0090】
例えば、S101とS102の動作は順序が入れ替わってもよい。また、上記処理では、用いられる金銭は「円」で説明したが、本実施形態において他国の金銭が用いられてもよいことは言うまでもない。
【0091】
§6 補足
当業者は、上記本実施形態の記載から、特許請求の範囲の記載および技術常識に基づいて等価な範囲を実施することができる。また、本明細書において使用される用語は、特に言及しない限り、当該分野で通常用いられる意味で用いられる。したがって、他に定義されない限り、本明細書中で使用される全ての専門用語および技術用語は、本発明の属する分野の当業者によって一般的に理解される意味と同じ意味を有する。両者が矛盾する場合、本明細書において使用される用語は、本明細書(定義を含めて)に記載された意味において理解される。
【符号の説明】
【0092】
1 情報処理装置
2 入出金装置
3 サーバ
5 専用ネットワーク
11 記憶部
12 制御部
13 バス
14 入出力部
31 受付部
32 入金額取得部
33 登録情報抽出部
34 ユーザ認証部
35 取引処理部
【特許請求の範囲】
【請求項1】
ユーザのユーザ識別情報を受け付ける受付部と、
前記ユーザによる入金に係る入金額を取得する入金額取得部と、
前記ユーザ識別情報に対応する前記ユーザの暗証番号と口座情報を所定のデータベースから抽出する登録情報抽出部と、
前記暗証番号と前記入金額とを比較することによりユーザ認証をするユーザ認証部と、
前記暗証番号と前記入金額とが対応することにより前記ユーザ認証部が認証成立と判定した場合には、前記口座情報に基づく取引を受け付ける取引処理部と、
を備えることを特徴とする情報処理装置。
【請求項2】
前記取引処理部は、前記暗証番号と前記入金額とが対応することにより前記ユーザ認証部が認証成立と判定した場合には、前記入金額の返金処理をして、前記口座情報に基づく取引を受け付け、前記暗証番号と前記入金額とが対応しないことにより前記ユーザ認証部が認証不成立と判定した場合には、前記入金額の返金処理を行わず、取引を終了することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記取引処理部は、前記入金額に比例する金額を限度として、前記口座情報に基づく取引を受け付けることを特徴とする請求項1又は2に記載の情報処理装置。
【請求項4】
前記ユーザ認証部は、前記暗証番号と前記入金額とが一致することにより認証成立と判定することを特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
【請求項5】
前記取引処理部は、前記暗証番号に比例する金額を限度として、前記口座情報に基づく取引を受け付けることを特徴とする請求項4に記載の情報処理装置。
【請求項6】
コンピュータが、
ユーザのユーザ識別情報を受け付けるステップと、
前記ユーザによる入金に係る入金額を取得するステップと、
前記ユーザ識別情報に対応する前記ユーザの暗証番号と口座情報を所定のデータベースから抽出するステップと、
前記暗証番号と前記入金額とを比較することによりユーザ認証をするステップと、
前記暗証番号と前記入金額とが対応することにより認証成立と判定されたユーザには、前記口座情報に基づく取引を受け付けるステップと、
を実行することを特徴とする情報処理方法。
【請求項7】
コンピュータに、
ユーザのユーザ識別情報を受け付けるステップと、
前記ユーザによる入金に係る入金額を取得するステップと、
前記ユーザ識別情報に対応する前記ユーザの暗証番号と口座情報を所定のデータベースから抽出するステップと、
前記暗証番号と前記入金額とを比較することによりユーザ認証をするステップと、
前記暗証番号と前記入金額とが対応することにより認証成立と判定されたユーザには、前記口座情報に基づく取引を受け付けるステップと、
を実行させるためのプログラム。
【請求項1】
ユーザのユーザ識別情報を受け付ける受付部と、
前記ユーザによる入金に係る入金額を取得する入金額取得部と、
前記ユーザ識別情報に対応する前記ユーザの暗証番号と口座情報を所定のデータベースから抽出する登録情報抽出部と、
前記暗証番号と前記入金額とを比較することによりユーザ認証をするユーザ認証部と、
前記暗証番号と前記入金額とが対応することにより前記ユーザ認証部が認証成立と判定した場合には、前記口座情報に基づく取引を受け付ける取引処理部と、
を備えることを特徴とする情報処理装置。
【請求項2】
前記取引処理部は、前記暗証番号と前記入金額とが対応することにより前記ユーザ認証部が認証成立と判定した場合には、前記入金額の返金処理をして、前記口座情報に基づく取引を受け付け、前記暗証番号と前記入金額とが対応しないことにより前記ユーザ認証部が認証不成立と判定した場合には、前記入金額の返金処理を行わず、取引を終了することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記取引処理部は、前記入金額に比例する金額を限度として、前記口座情報に基づく取引を受け付けることを特徴とする請求項1又は2に記載の情報処理装置。
【請求項4】
前記ユーザ認証部は、前記暗証番号と前記入金額とが一致することにより認証成立と判定することを特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
【請求項5】
前記取引処理部は、前記暗証番号に比例する金額を限度として、前記口座情報に基づく取引を受け付けることを特徴とする請求項4に記載の情報処理装置。
【請求項6】
コンピュータが、
ユーザのユーザ識別情報を受け付けるステップと、
前記ユーザによる入金に係る入金額を取得するステップと、
前記ユーザ識別情報に対応する前記ユーザの暗証番号と口座情報を所定のデータベースから抽出するステップと、
前記暗証番号と前記入金額とを比較することによりユーザ認証をするステップと、
前記暗証番号と前記入金額とが対応することにより認証成立と判定されたユーザには、前記口座情報に基づく取引を受け付けるステップと、
を実行することを特徴とする情報処理方法。
【請求項7】
コンピュータに、
ユーザのユーザ識別情報を受け付けるステップと、
前記ユーザによる入金に係る入金額を取得するステップと、
前記ユーザ識別情報に対応する前記ユーザの暗証番号と口座情報を所定のデータベースから抽出するステップと、
前記暗証番号と前記入金額とを比較することによりユーザ認証をするステップと、
前記暗証番号と前記入金額とが対応することにより認証成立と判定されたユーザには、前記口座情報に基づく取引を受け付けるステップと、
を実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2012−181754(P2012−181754A)
【公開日】平成24年9月20日(2012.9.20)
【国際特許分類】
【出願番号】特願2011−45327(P2011−45327)
【出願日】平成23年3月2日(2011.3.2)
【出願人】(591117192)ニフティ株式会社 (144)
【Fターム(参考)】
【公開日】平成24年9月20日(2012.9.20)
【国際特許分類】
【出願日】平成23年3月2日(2011.3.2)
【出願人】(591117192)ニフティ株式会社 (144)
【Fターム(参考)】
[ Back to top ]