改良された不正行為監視システム
本発明の種々の実施形態は、改良された不正行為検出および/または防止のシステムならびに方法を提供する。一組の実施形態は、例えば、企業(オンライン会社、銀行、ISPなど)が不正行為のフィード(一例の名前を挙げると、これら会社の顧客に宛てられた第三者からの電子メール・メッセージのフィード)をセキュリティ・プロバイダ提供する設備を提供し、さらに、そのような設備を実現するシステムおよび方法を提供する。一部の実施形態では、フィード(メッセージなど)が解析されて正規化された直接データおよび/または派生データが作成され、このデータは当該企業が(可能性としては有料で)利用し得る。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、同時継続出願の“Enhanced Fraud Monitoring Systems”と題された、2005年7月1日出願の米国仮特許出願第60/690,006号からの優先権を主張し、該出願は、本明細書において、参考として、全て本書に記載したかのように本願明細書に援用される。
本願は、以下の同一所有者の同時係属出願(“関連出願”)に関し、それぞれの開示全体を、事実上、参考として、全て本書に記載したかのように本願明細書に援用される。
【0002】
上記出願とは、Shraimらによる、“Online Fraud Solution”と題された、2004年5月2日出願の米国特許出願第10/709,398号;Shraimらによる、“Online Fraud Solution”と題された2004年10月4日出願の米国特許仮出願第60/615,973号;Shullによる、“Methods and Systems for Preventing Online Fraud”と題された、2004年9月17日出願の米国特許仮出願第60/610,716号;Shullらによる、“Customer−Based Detection of Online Fraud”と題された、2004年9月17日出願の米国特許仮出願第60/610,715号;Shraimらによる、“Online Fraud Solution”と題された、2004年11月23日出願の米国特許出願第10/996,991号;Shraimらによる、“Enhanced Responses to Online Fraud”と題された、2004年11月23日出願の米国特許出願第10/996,567号;Shraimらによる、“Customer−Based Detection of Online Fraud”と題された、2004年11月23日出願の米国特許出願第10/996,990号;Shraimらによる、“Early Detection and Monitoring of Online Fraud”と題された、2004年11月23日出願の米国特許出願第10/996,566号;Shraimらによる、“Enhanced Responses to Online Fraud”と題された、2004年11月23日出願の米国特許出願第10/996,646号;Shraimらによる、“Generating Phish Messages”と題された、2004年11月23日出願の米国特許出願第10/996,568号;Shraimらによる、“Methods and Systems for Analyzing Data Related to Possible Online Fraud”と題された、2004年11月23日出願の米国特許出願第10/997,626号;Shullらによる、“Distribution of Trust Data”と題された、2005年3月2日出願の米国特許仮出願第60/658,124号;Shullらによる、“Trust Evaluation System and Methods”と題された、2005年3月2日出願の米国特許仮出願第60/658,087号;およびShullらによる、“Implementing Trust Policies”と題された、2005年3月2日出願の米国特許仮出願第60/658,281号、である。
【背景技術】
【0003】
(発明の背景)
“フィッシング”技術およびその他違法のオンライン活動を含むがこれらに限定されない、オンライン不正行為の問題は、インターネット・ユーザおよびユーザと取引を行いたい者にとっての共通の問題となっている。近年、特にインターネット・サービス・プロバイダ(“ISP:Internet Service Provider”)などの多数のオンライン会社が、このような実施を追跡することおよび/またはそれに対処することを試み始めた。前掲の関連出願は、このような活動を検出、防止するため、および他の方法でそれに対処するための、いくつかのシステムおよび方法について説明している。
【0004】
しかし従来では、通常、各会社が独自のシステムおよび/または方法を使用してオンライン不正行為に対処しようとしてきた。それにも関わらずセキュリティ脅威の数および種類−ウイルス、スパイウェア、スパム、フィッシングなど−がインターネット内およびその他のネットワーク化環境内で増大するにつれ、ISPなどの間で、不正行為、セキュリティおよびその他運用上の適切な情報を交換および共有することへの関心が高まっている。
【0005】
近年、アンチ・フィッシング・ワーキング・グループおよびデジタル・フィッシュ・ネットなど、関係者がデータを提出、取得および共有できるクリアリング・ハウスをつくろうとする複数の試みを含む、不正行為の集団的な検出および/またはそれに対する対応を可能にするための提案がいくつか提供されてきた。しかしこれらのグループは、いくつかの理由で限られた成功しか収めていない。
【0006】
例えば、これらのグループが取得および作成するデータは、誰でも任意のフォーマットで提出でき、正規化されず、標準もしくは定義に従っておらず、一律に処理または格納されず、いかなる制御も受けず、業界または専門家による評価も受けない。言い換えれば、本来の目的に役に立つのに十分な水準または制御を達成していない。さらに、このようなデータは、例えばISP、銀行、オークション・サービスなどの最大手企業から信頼も重視もされていない。その結果、これら企業は有意義な形で参加しないか、または全く参加しない。さらに、これら企業は、その運用および業務から生成される大量の不正行為データおよびセキュリティ・ソース・データを提供しない。
【0007】
さらに、これらのモデルの“オープンな”性質は、誰でも提供でき、a)わずかな料金を支払えば誰でも処理データを受信できるか、またはb)データは多くの場合、入力データの主要なソースと競合する、1つの特定の製品を後押しするために使用されることを意味する。その結果、大部分の生データを有する企業、すなわちISP、銀行などは、自らが不正行為検出データの主要ソースになる一方、他の企業、特にほとんど貢献しない小企業が、共有データの主要な、または不均衡な、さらに最大のプレーヤーから見ると不当で思いがけない大きな利益を得ると考えるため、データを提出したがらない。
【発明の開示】
【課題を解決するための手段】
【0008】
本発明の実施形態は、改良された不正行為検出および/または防止のシステムならびに方法を提供する。一実施形態によれば、改良された不正行為監視を実現する方法は、不正オンライン活動に関する直接情報を第1エンティティから受信することを含むとよい。直接情報は解析されるとよく、不正オンライン活動に関する一組の正規化データが作成されるとよい。直接情報の解析は、不正オンライン活動に関する一組の派生情報を生成することを含むとよい。不正オンライン活動に関する一組の派生情報の生成は、直接情報、および他の不正オンライン活動に関する以前保存された情報に基づくとよい。こういった保存データは、直接情報および派生情報を含むとよい。一組の正規化データは、複数のエンティティにより読み取り可能な形式であるとよく、直接情報および派生情報を含むとよい。一組の正規化データは格納されるとよい。
【0009】
本方法は、複数のエンティティのうちの第2エンティティから、格納された正規化データにアクセスするためのリクエストを受信することをさらに含むとよい。格納された正規化データへの第2エンティティによるアクセスは、制御されるとよい。例えば、格納された正規化データへの第2エンティティによるアクセスを制御することは、第1エンティティと第2エンティティとの間の取り決めに基づくとよい。許可されていれば、格納された正規化データの少なくとも一部が、第2エンティティに提供されるとよい。
【0010】
一実施形態によれば、第1エンティティからの直接情報の受信は、アプリケーション・プログラム・インターフェイス(API:Application Program Interface)を介して直接情報を受信することを含むとよい。それに加えて、またはその代わりに、格納された正規化データにアクセスするためのリクエストの受信は、APIを介してリクエストを受信することを含むとよい。場合によっては、格納された正規化データは、第1エンティティにより保持されていてもよい。このような場合、APIは、第1エンティティの格納された正規化データを第2エンティティがリクエストするための機能を提供するとよい。それに加えて、またはその代わりに、格納された正規化データは、セキュリティ・サービスにより保持されてもよい。このような場合、APIは、直接情報をセキュリティ・サービスに提供するための機能を第1エンティティに、セキュリティ・サービスの格納された正規化データをリクエストするための機能を第2エンティティに提供するとよい。
【0011】
場合によっては、APIは、直接情報の受信、直接情報の解析、一組の正規化データの作成、格納された正規化データへの複数のデータ属性を介したアクセスを提供するとよい。それに加えて、またはその代わりに、データ属性は、第1エンティティもしくは第2エンティティのいずれかに固有のエンティティ固有属性、ならびに/または第1エンティティおよび第2エンティティにより規定された許可に基づき第1エンティティと第2エンティティとの間で共有可能な、共有属性を含むとよい。APIは、データ属性を定義するスキーマをさらに含むとよい。スキーマは、例えば、拡張可能なマーク付け言語(XML:eXtensible Markup Language)スキーマを含むとよい。スキーマは場合によって、データ属性にタグ付けされたメタデータをさらに含んでもよい。このような場合メタデータは、タグ付けされているデータ属性を追跡できる。
【0012】
さらに別の実施形態によれば、機械可読媒体上に、一組の命令が格納されているとよく、これらの命令はプロセッサにより実行されると、プロセッサに、第1エンティティから不正オンライン活動に関する直接情報を受信することで改良された不正行為監視を実現させる。直接情報は解析されるとよく、不正オンライン活動に関する一組の正規化データが作成されるとよい。直接情報の解析は、不正オンライン活動に関する一組の派生情報を生成することを含むとよい。不正オンライン活動に関する一組の派生情報の生成は、直接情報、および他の不正オンライン活動に関する以前保存された情報に基づくとよい。こういった保存情報は、直接情報および派生情報を含むとよい。一組の正規化データは、複数のエンティティにより読み取り可能な形式であるとよく、直接情報および派生情報を含むとよい。一組の正規化データは格納されるとよい。
【0013】
さらに別の実施形態によれば、改良された不正行為監視を実現するシステムは、通信ネットワーク、および通信ネットワークに通信可能に繋がれた第1クライアントを含むとよい。第1クライアントは、不正オンライン活動に関する直接情報を提供するようになっているとよい。さらにシステムは、通信ネットワークに通信可能に繋がれたサーバを含むとよい。サーバは、不正オンライン活動に関する直接情報を第1クライアントから受信し、直接情報を解析し、不正オンライン活動に関連し、複数のクライアントにより読み取り可能な形式である一組の正規化データを作成し、一組の正規化データを格納するようになっているとよい。
【0014】
さらにサーバは、不正オンライン活動に関する一組の派生情報を生成するようになっているとよい。例えばサーバは、直接情報、および他の不正オンライン活動に関する以前保存された情報に基づき、不正オンライン活動に関する一組の派生情報を生成するようになっているとよい。こういった保存情報は、直接情報および派生情報を含むとよい。サーバにより作成される一組の正規化データは、直接情報および派生情報を含むとよい。
【0015】
さらにシステムは、第2クライアントを含むとよい。このような場合、サーバはさらに、格納された正規化データへアクセスするためのリクエストを第2クライアントから受信し、格納された正規化データへの第2クライアントによるアクセスを制御するようになっているとよい。例えばサーバは、第1クライアントと第2クライアントとの間の取り決めに基づき、格納された正規化データへの第2クライアントによるアクセスを制御するようになっていてもよい。許可されていれば、サーバは、格納された正規化データの少なくとも一部を第2クライアントへ提供するとよい。
【0016】
一実施形態によれば、サーバは、第1クライアントからアプリケーション・プログラム・インターフェイス(API)を介して直接情報を受信するようになっているとよい。それに加えて、またはその代わりに、サーバはAPIを介して、格納された正規化データにアクセスするためのリクエストを受信するとよい。APIは、直接情報の受信、直接情報の解析、一組の正規化データの作成、格納された正規化データへの複数のデータ属性を介したアクセスを実現するとよい。データ属性は、第1クライアントもしくは第2クライアントのいずれかに固有のエンティティ固有属性、ならびに/または第1クライアントおよび第2クライアントにより規定された許可に基づき第1クライアントと第2クライアントとの間で共有可能な、共有属性を含むとよい。
【0017】
さらに別の実施形態によれば、改良された不正行為監視を実現するシステムは、通信ネットワーク、および通信ネットワークに通信可能に繋がれた第1クライアントを含むとよい。第1クライアントは、不正オンライン活動に関する直接情報を生成し、直接情報を解析し、不正オンライン活動に関連し、複数のクライアントにより読み取り可能な形式である一組の正規化データを作成し、一組の正規化データを格納するようになっているとよい。システムは、通信ネットワークに通信可能につながれた第2クライアントを含むとよい。第2クライアントは、格納された格納された正規化データへのアクセスをリクエストするようになっているとよい。サーバは、通信ネットワークに通信可能に接続可能であり、格納された正規化データにアクセスするためのリクエストを第2から受信し、第2クライアントによる格納された正規化データへのアクセスを制御するようになっているとよい。サーバは、第1クライアントと第2クライアントとの間の取り決めに基づき、第2クライアントによる格納された正規化データへのアクセスを制御するようになっているとよい。許可されていれば、第1クライアントは、格納された正規化データの少なくとも一部を第2クライアントへ提供するとよい。
【0018】
一実施形態によれば、サーバは、アプリケーション・プログラム・インターフェイス(API)を介してリクエストを受信することにより、格納された正規化データにアクセスするためのリクエストを第2クライアントから受信するようになっているとよい。APIは、格納された正規化データへの複数のデータ属性を介したアクセスを実現するとよい。データ属性は、第1クライアントもしくは第2クライアントのいずれかに固有のクライアント固有属性、ならびに/または第1クライアントおよび第2クライアントにより規定された許可に基づき第1クライアントと第2クライアントとの間で共有可能な、共有属性を含むとよい。
【発明を実施するための最良の形態】
【0019】
本発明を十分に理解できるよう、以下の説明では、多数の具体的な詳細が説明のために記載される。しかし、本発明はこれらの具体的な詳細事項の一部を伴わずに実践されてもよいということが、当業者にはすぐに分かるであろう。他の場合には、よく知られた構造およびデバイスがブロック図の形式で示される。
【0020】
本発明の種々の実施形態は、改良された不正行為検出および/または防止のシステムならびに方法を提供する。一組の実施形態は、例えば、企業(オンライン会社、銀行、ISPなど)が不正行為のフィード(一例の名前を挙げると、これら会社の顧客に宛てられた第三者からの電子メール・メッセージのフィード)をセキュリティ・プロバイダに容易に提供できるようにし、さらに、そういった容易さを実現するシステムおよび方法を提供する。一部の実施形態では、フィード(メッセージなど)が解析されて正規化された直接データおよび/または派生データが作成され、このデータは当該企業が利用できるようになるとよい(おそらく有料で)。直接データおよび派生データへのアクセスを定義および制御することで、セキュリティ・プロバイダは、当該企業が企業間で、どことデータを交換するか、どのデータを交換するか、ならびにどのような商業上の条件およびその他の条件の下で当該データを交換するかについて、二者間の取り決めまたはその他の取り決めについて交渉できるようにする。
【0021】
したがって、本発明の一部の実施形態は、ISP(およびその他)が、プライベート・ネットワーク・ピアリング(private network peering)によく似た形の不正行為検出データの交換に関する二者間の具体的なルールを設定できるようにするモデルを提供する。一組の実施形態において、セキュリティ・プロバイダは、容易かつ経済的にデータ交換できるように、主要ネットワークの“ミートミー(meet−me)”センターにおいて検出システム(いくつかの例として、関連出願で説明されているものなど)を提供してもよい。
【0022】
種々の実施形態に従い、オンライン不正行為、特に“フィッシング”動作に対抗する、システム、方法およびソフトウェアが提供される。“成りすまし”詐欺として知られる例示的なフィッシング動作は、“成りすまし”電子メール・メッセージを使用して、疑いを持たない顧客が、違法ウェブ・サイトにアクセスして信頼できる関連会社(例えば銀行、オンライン小売業者など)が運用していると思われるサーバに個人情報を提供するよう仕向けるが、このとき実際には、顧客の個人情報にアクセスするために信頼できる関連会社に成りすましている別のパーティによって、このサーバは運用されている。本願明細書で使用される“個人情報”という用語は、当然のことながら、個人を特定するために使用される可能性がある情報、および/または通常は比較的信頼できるエンティティのみに当該の個人により明かされる情報全てを含む。単なる一例として、個人情報は、金融機関の口座番号、クレジット・カードの番号、有効期限および/または暗証番号(当該技術分野では、“カード確認番号”、“カード確認値”、“カード確認コード”または“CVV”と呼ばれることもある)、および/またはその他の金融情報;ユーザID、パスワード、母親の旧姓および/またはその他セキュリティ情報;フルネーム、住所、電話番号、社会保障番号、運転免許証番号、および/またはその他識別情報が含まれ得るが、これらに限定はされない。
【0023】
本発明の特定の実施形態は、このような成りすまし電子メール・メッセージを引き付け、メッセージを解析し、そのメッセージが不正行為に関与している(さらに/または成りすましメッセージを含んでいる)可能性を見積もり、特定されたあらゆる不正行為に応答する、システム、方法および/またはソフトウェアを特徴とする。図1Aは、これらの実施形態の一部に従ったオンライン不正行為への対処に使用できる、例示的なシステム100の機能要素を図示しており、特定の実施形態がどのように動作するのかを全体的に概観できる。(種々の実施形態については以下でさらに詳しく論じる)。なお、図1Aにより表される機能アーキテクチャ、および各機能要素に関して説明される手順は、説明のみを目的として提供されており、本発明の実施形態は必ずしも個々の機能または構造的アーキテクチャに限定されず;本願明細書で論じられる種々の手順は、任意の適切な構成で実行されればよい。
【0024】
多くの場合、図1Aのシステム100は、不正行為防止サービス、セキュリティ・サービスなど(本願明細書では“不正行為防止プロバイダ”と呼ばれる)により、1件または複数件の顧客向けに運用されるよとよい。多くの場合顧客は、模倣、偽造、および/もしくは成りすましされる危険のある製品、ブランドならびに/またはウェブ・サイトを有するエンティティであり、例えばオンライン承認、金融機関、会社などとなる。なお、他の場合では、不正行為防止プロバイダは、例えば、顧客のセキュリティ部門、情報サービス部門など、顧客の従業員および/または顧客と提携しているエンティティ、および/または顧客に合併されたエンティティであってもよい。
【0025】
本発明の一部の実施形態によれば、システム100は、様々なデータ・ソース105を含むこと(および/またはそれにアクセス)ができる。説明を容易にするために、データ・ソース105はシステム100の一部として描かれているが、多くの場合データ・ソース105は、第三者によって独立して保持されること、および/またはシステム100によりアクセスされてもよいことが、本願明細書の開示に基づき、当業者には分かるであろう。場合によっては、例えばシステム100がさらに容易にアクセスできるように、データ・ソース105の一部がローカルにミラーおよび/またはコピー(必要に応じて)されてもよい。
【0026】
データ・ソース105は、起こり得るオンライン不正行為についてのデータが取得される可能性のある任意のソースを含むとよく、1つまたは複数のチャット・ルーム105a、ニュースグループ・フィード105b、ドメイン登録ファイル105c、および/または電子メール・フィード105dが含まれるが、これらに限定はされない。システム100は、任意のデータ・ソース105から取得した情報を、オンライン不正行為のインスタンスの検出、ならびに/または、本願明細書で論じる不正行為防止方法の能率および/もしくは効果の向上のために使用するとよい。場合によってシステム100(および/またはその構成要素)は、適切な情報を発見するために、おそらく定期的に(例えば、10分に1回、1日1回、週1回など)、種々のデータ・ソース105を“クロール”する(例えば、自動的にアクセスし、さらに/またはそこから情報をダウンロードする)よう構成されるとよい。
【0027】
単なる例として、新たなスパミング/成りすましスキームについて論じるため、ならびに収穫された電子メール・アドレスのリストを交換するために一般に使用されているニュースグループがいくつかある。さらに、このようなスキームを追跡する反不正ニュースグループもある。システム100は、新たな成りすまし詐欺、収穫されたアドレスの新たなリスト、収穫されたアドレスの新たなソースなどについての情報を発見するために、あらゆる適切なニュースグループ(単数または複数)105bをクロールするよう構成されるとよい。場合によっては、システム100は、こういったクロール中に、指定のキーワード(例えば“フィッシュ(phish)”、“成りすまし”など)を検索するよう構成されてもよい。他の場合では、ニュースグループ内のURLがスキャンされてURLがダウンロード(またはコピー)され、例えば以下で詳しく説明するように、さらなる解析を受けてもよい。さらに、上述のように、監視が可能な1つまたは複数の反不正グループがあってもよい。このような反不正ニュースグループは、発見された新たな詐欺を記載すること、および/またはそういった詐欺に関するURLを提供することが多い。そのため、関連情報を発見するためにこのような反不正グループが、例えば上述の方法で監視/クロールされ、続いてその情報がさらなる解析を受けるとよい。その他あらゆるデータ・ソース(例えば、ウェブ・ページおよび/またはウェブ・サイト全体、電子メール・メッセージなど)が同じようにクロールおよび/または検索されてもよい。
【0028】
別の例として、オンライン・チャット・ルーム(インターネット・リレー・チャット(“IRC:Internet Relay Chat”)・チャネル、ヤフー(Yahoo)、アメリカ・オンライン(Amirica Online)などの種々のISPにより保守/ホストされているチャット・ルームなど、および/または同様のものを含むがこれらに限定はされない)(例えば105a)が、関連情報について監視(および/またはこのようなチャット・ルームからのログがクロール)されてもよい。場合によっては、自動化プロセス(当該技術分野では“ボット”として知られている)がこの目的で使用されてもよい。なお、他の場合では、人間の参加者がこういったチャット・ルームを自ら監視してもよい。当業者であれば、このようなチャット・ルームでは、アクセス権を維持するために参加が必要なことが多いということが分かるであろう。したがって、場合によっては、投稿者であると思われるように、ボットまたは人間の参加者がこういったチャット・ルームにエントリを投稿してもよい。
【0029】
さらに、ドメイン登録ゾーン・ファイル105c(および/またはARINなどのインターネット・レジストリなど、ドメインおよび/またはネットワーク情報のその他のソース)がデータ・ソースとして使用されてもよい。当業者には分かるとおり、ゾーン・ファイルは新たなドメイン登録を反映するように定期的に(例えば、1時間に1回または毎日)更新される。これらのファイルが、新たなドメイン登録を探すために定期的にクロール/スキャンされるとよい。特定の実施形態では、ゾーン・ファイル105cの顧客の名前および/またはドメインに類似した登録がスキャンされてもよい。単なる一例として、システム100は、異なるトップ・レベル・ドメイン(“TLD:top level domain”)またはグローバル・トップ・レベル・ドメイン(“gTLD:global top level domain”)を有する、類似したドメイン登録、ならびに/または類似した綴りのドメインを探すように構成されてもよい。そのため、顧客が<acmeproducts.com>ドメインを使用している場合、<acmeproducts.biz>、<acmeproducts.co.uk>、および/または<acmeproduct.com>という登録は、成りすましサイトのホストの可能性があるものとして重要と思われ、このようなドメインのドメイン登録は、その登録が対応するドメインをさらに解析するために、ダウンロードおよび/または記録されるとよい。一部の実施形態では、怪しいドメインが発見されると、当該ドメインは監視リストに置かれるとよい。監視リスト上のドメインは、そのドメインが“有効”になったかどうか(例えば、そのドメインに関連付けられたアクセス可能なウェブ・ページがあるかどうか)を判断するために、以下でさらに詳しく説明されるように定期的に監視されるとよい。
【0030】
1つまたは複数の電子メール・フィード105dは、システム100にさらなるデータ・ソースを提供してもよい。上述のとおり、電子メール・フィードは、スパム・メッセージなど電子メール・メッセージの任意のソースであればよい。(実際には、一部の実施形態に従い、単一の着信電子メール・メッセージが電子メール・フィードと見なされてもよい。)場合によっては、例として以下でさらに詳しく説明されるように、本発明の実施形態によっておとり電子メール・アドレスが“シード”されても、または仕掛けられてもよく、さらに/またはこれらの仕掛けられたアドレスが、電子メールのソース(すなわち電子メール・フィード)を提供してもよい。したがってシステム100は、図1Bに関して詳しく説明されるアドレス・プランタ170を含むとよい。
【0031】
アドレス・プランタ170は、電子メール・アドレス・ジェネレータ175を含むとよい。アドレス・ジェネレータ175は、ユーザ・インターフェイス180および/または1つまたは複数のデータベース185(このそれぞれは、リレーショナル・データベースおよび/またはその他任意の適切なストレージ・メカニズムを含むとよい)と通信しているとよい。このようなデータ・ストアの1つは、ユーザID情報185aのデータベースを含むとよい。ユーザID情報185aは、本発明の実施形態に従った、ユーザIDの生成に使用できる名前、数字および/またはその他識別子のリストを含むとよい。場合によっては、ユーザID情報185aは分類されてもよい(例えば、名、姓、数字またはその他の文字などの修飾子に)。別のデータ・ストアはドメイン情報180を含むとよい。ドメイン情報180のデータベースは、アドレスに利用可能であるドメインのリストを含むとよい。多くの場合、これらのドメインは、アドレス・プランタ170のオペレータにより所有/管理されているドメインとなる。しかし、他の場合には、ドメインが商用および/または消費者ISPなど他のものにより管理されることも考えられる。
【0032】
アドレス・ジェネレータ175は、インターネット上(または他の場所)の適切な位置に仕掛けられるとよい電子メール・アドレスを生成する(個別および/またはバッチで)よう構成されるとよいアドレス生成エンジンを含む。単なる一例として、アドレス・ジェネレータ175は、ユーザIDデータ・ストア185aからユーザID情報の1つまたは複数の要素を選択し(さらに/または複数の当該要素を結合し)、それらの要素にドメイン・データ・ストア185bから選択されたドメインを追加し、それによって電子メール・アドレスを作成するよう構成されるとよい。これらの構成要素を結合する手順は任意に決定できる。単なる一例として、一部の実施形態では、アドレス・ジェネレータ175は、特定のドメイン名を優先してそれらのドメインに比較的多くのアドレスが生成されるようにするよう構成されてもよい。その他の実施形態では、1つまたは複数のアドレス構成要素を無作為に選択することがプロセスに含まれることも考えられる。
【0033】
アドレス・プランタ170の一部の実施形態は、仕掛け動作の追跡に使用できる追跡データベース190を含み、追跡データベース190は、特定のアドレスが仕掛けられる場所(例えばウェブ・サイトなど)、仕掛けた日付/時間、ならびにその他任意の、仕掛けに関する適切な詳細を含むがこれらに限定はされない。単なる一例として、所定のアドレスを用いてメーリング・リストに登録することによりアドレスが仕掛けられると、メーリング・リスト(おそらくウェブ・サイト、リストの維持管理者の電子メール・アドレスなども)が、追跡データベースに記録されるとよい。場合によっては、この情報の追跡は自動化されてもよい(例えば、アドレス・プランタ170のユーザ・インターフェイス180がウェブ・ブラウザおよび/または電子メール・クライアントを含み、そのウェブ・ブラウザ/電子メール・クライアントがアドレスを仕掛けるために使用される場合、仕掛け情報に関する情報はアドレス・プランタ170によって自動的に登録されてもよい)。あるいは、ユーザが、手動で(例えば自身のウェブ・ブラウザ、電子メール・クライアントなどを使用して)アドレスを仕掛けてもよく、そのため、専用入力ウィンドウ、ウェブ・ブラウザなどによって追跡データベースに適切な情報を追加してもよい。
【0034】
したがって、ある一組の実施形態では、電子メール・アドレスの生成、指定位置への電子メール・アドレスの仕掛け(アドレス・プランタ170により生成されたかどうかに関わらず)、および/または仕掛け動作についての情報追跡に、アドレス・プランタ170が使用されてもよい。特定の実施形態では、アドレス・プランタ170は、1つまたは複数のアプリケーション・プログラミング・インターフェイス(“API”)195も含むとよく、これは、図1のシステム100(またはその他任意の適切なシステム)の他の構成要素が、プログラムでアドレス・プランタと対話できるようにするとよい。単なる一例として、一部の実施形態においてAPI195は、仕掛け動作を実行するためにアドレス・プランタ170がウェブ・ブラウザ、電子メール・クライアントなどと連動できるようにするとよい。(その他の実施形態では、上述のように、こういった機能がアドレス・プランタ170自体に含まれてもよい)。
【0035】
一部の実施形態におけるAPI195の特定の用途は、他のシステム構成要素(具体的にはイベント・マネージャ135など)がアドレス仕掛け動作(および/またはそれらの結果)についての情報を取得および/または更新できるようにすることである。(場合によっては、プログラムでのアドレス・プランタ170へのアクセスは不要なこともある−システム100の必要な構成要素が、単にデータ・ストア185の1つまたは複数に必要に応じてアクセス−SQLなどを介する−してもよい。)単なる一例として、電子メール・アドレスがシステム100により解析される(例えば以下で詳しく説明されるように)場合、システム100は、アドレス・プランタ170および/またはデータ・ストア185のうちの1つまたは複数に問い合せて、電子メール・メッセージがアドレス・プランタ170により仕掛けられたアドレス宛てになっているかどうかを判断するとよい。そうであれば、アドレス・プランタ170(または、イベント・マネージャ135など、システム100の他の何らかの構成要素)は、フィッシング・メッセージを招く見込みのある場所として仕掛け場所を記録し、希望に応じて追加のアドレスをこのような場所に仕掛けられるようにするとよい。このようにして、システム100は、仕掛け動作の効率を高めるべくフィードバック・ループを実装できる。(なお、このフィードバック・プロセスは、フィッシング・メッセージ、一般的なスパム・メッセージ、商標の悪用を明示するメッセージなどを含むがこれらに限定はされない、あらゆる所望の種類の“未承諾”メッセージに関して実装できる。)
その他の電子メール・フィードについては、本願明細書の他の場所で説明されており、それらは、スパマー/フィッシャー(phisher)から直接受信されたメッセージ;ユーザ、ISPおよび/またはその他任意のソースから転送された電子メール(おそらく、電子メールがスパムおよび/またはフィッシュではないかという疑念に基づく);メーリング・リストから転送された電子メール(反不正メーリング・リストを含むが、これに限定はされない)などを含むとよい(ただしこれらに限定はされない)。電子メール・メッセージ(スパム・メッセージの可能性がある)がシステム100により受信されると、それがフィッシング/成りすましスキームの一部であるかどうかを判断するために、そのメッセージが解析されるとよい。これらデータ・フィードのいずれかから受信された情報の解析については、以下でさらに詳しく説明されており、これには、ウェブ・サイト(多くの場合、データ・ソース105から受信/ダウンロードされたURLまたはその他の情報により参照される)がフィッシングおよび/または成りすまし詐欺に関与しそうかどうかを評価することが含まれることが多い。
【0036】
システムに着信してくるあらゆる電子メール・メッセージは、本発明の種々の方法によって解析されるとよい。当業者には分かるように、インターネット上には膨大な量の未承諾電子メールのトラフィックがあり、これらメッセージの多くが、オンライン不正行為という文脈において重要と思われる。単なる一例として、本願明細書でさらに詳しく説明される、フィッシング詐欺の一環として、一部の電子メール・メッセージが送信されることも考えられる。他のメッセージは、海賊版ソフトウェア、偽造のデザイナー・アイテム(腕時計、ハンドバッグなどを含むが、これらに限定はされない)などの闇および/または灰色市場の商品に顧客を誘う。さらに他のメッセージは、合法的な商品の宣伝であることもあるが、不適切な商標の使用および/または侵害、意図的な安値での商品販売など、違法かまたは他の形で禁止されている(例えば契約によって)行為を含むこともある。本発明の種々の実施形態は、以下で詳述するように、1つまたは複数のこれらの行為の探索、特定、および/またはそれに対する応答を行うよう構成されるとよい。(特定の実施形態は、同様の行為のために、電子メール・フィード以外にデータ・ソース−ゾーン・ファイル、ウェブ・サイト、チャット・ルームなどを含む−に対するアクセス、監視、クロールなどを行うよう構成されてもよいことにも留意されたい)。単なる一例として、システム100は、1つまたは複数のデータ・ソースの言葉ROLEXをスキャンするよう、さらに/またはROLEXの腕時計のあらゆる不適切な宣伝を特定するよう構成されてもよい。
【0037】
普通の電子メール・アドレスは多数の未承諾電子メール・メッセージを受信すると考えられること、ならびにシステム100は下記のように、そういったメッセージを受信および/または解析するよう構成されているとよいということが、当業者にはさらに分かるであろう。着信メッセージは多くの方法で受信されると思われる。単なる一例として、一部のメッセージは、メッセージを促す行動が何もとられていという点において、“無作為に”受信されると思われる。あるいは、1人または複数のユーザが、このようなメッセージをシステムに転送することも考えられる。単なる一例として、ISPが全ての未承諾メッセージを、下記のようにシステム100により監視されるとよい特定のアドレスに転送するようユーザに指示することも考えられるし、または、ユーザの着信メッセージのコピーをそのようなアドレスに自動転送することも考えられる。特定の実施形態において、ISPは、そのユーザに送信された疑わしいメッセージ(および/または、例えばこのようなメッセージに含まれているあらゆるURLなど、こういった疑わしいメッセージの一部)を、定期的にシステム100(および/またはその任意の適切な構成要素)へ転送することも考えられる。場合によっては、このプロセスを容易にするよう設計されたフィルタリング・システムをISPが有することも考えられるし、さらに/または、システム100の特定の機能がISPのシステム内に実装(および/または複製)されることも考えられる。
【0038】
上述のように、システム100はさらに、おとり電子メール・アドレス(および/または他のおとり情報)を、例えばスパマー/フィッシャーにより収穫されるように、データ・ソースの一部に仕掛けるかまたは“シード”するとよい。一般に、これらのおとり電子メール・アドレスの目的は、電子メールの収穫者に魅力的な標的を提供することであり、おとり電子メール・アドレスは通常(ただし必ずではない)、フィッシャーを引き付けるために特別に生成されるため、通常の電子メールの通信には使用されない。
【0039】
その結果、図1Aに戻り、システム100は“ハニー・ポット”110をさらに含むとよい。ハニー・ポット110は、各データ・ソース105から情報を受信し、さらに/または必要に応じてさらなる解析用にその情報を相互に関連付けるために使用されるとよい。ハニー・ポット110は、本発明の種々の実施形態に従って、様々な方法でこういった情報を受信でき、ハニー・ポット110が情報を受信する方法は任意に決定できる。
【0040】
単なる一例として、ハニー・ポット100は、上述のようにデータ・ソースの実際のクローリング/監視を行うために使用されてもよいが、そうでなくてもよい。(場合によっては、1つまたは複数の他のコンピュータ/プログラムが実際のクローリング/監視動作の実行に使用され、さらに/またはこのような動作を通して取得されたあらゆる関連情報をハニー・ポット110へ送信してもよい。例えば、ゾーン・ファイルを監視し、新たなドメイン登録、無効になったドメイン登録および/または他の形で変更されたドメイン登録の全てを解析用にハニー・ポット110へ送信するよう、プロセスが構成されることも考えられる。あるいは、ゾーン・ファイルがハニー・ポット110への入力として送られともよく、さらに/またはハニー・ポット110が変更されたあらゆるドメイン登録を探すために使用されてもよい。)さらにハニー・ポット110は、電子メール・メッセージ(別の受信者から転送されることも考えられる)の受信、および/または1つまたは複数のおとり電子メール・アドレスの着信電子メールの監視を行うよう構成されてもよい。特定の実施形態では、ハニー・ポット110が1つまたは複数の電子メール・アドレス(おとりアドレスであるとよい)のメール・サーバとなるようシステム100が構成され、当該アドレス宛ての全メールが直接ハニー・ポット110へ送信されるようにしてもよい。そのため、ハニー・ポット110は、デバイスおよび/またはソフトウェアを含むとよく、これは、おとり電子メール・アドレス宛ての電子メール・メッセージを受信するよう機能するもの(例えばSMTPサーバなど)、および/または電子メール・メッセージを取り出すよう機能するもの(例えばPOP3および/またはIMAPクライアントなど)であるとよい。当該技術分野では、このようなデバイスおよびソフトウェアはよく知られており、本願明細書で詳しく論じる必要はない。種々の実施形態に従い、ハニー・ポット110は、SMTP、MIME、HTML、RTF、SMSおよび/または同様のものなどを含む、種々の有名なメッセージ・フォーマットのいずれか(または全て)を受信するよう構成されるとよい。さらにハニー・ポット110は、1つまたは複数のデータベース(および/またはその他のデータ構造)を含んでもよく、これは、電子メール・メッセージおよびその他のデータ(例えばゾーン・ファイルなど)、ならびにクローリング/監視動作から取得された情報を保持/分類するために使用されるとよい。
【0041】
一部の態様では、受信データ(受信電子メール・メッセージを含むがこれに限定はされない)の何らかの仮の分類および/またはフィルタリングを行うようハニー・ポット110が構成されることも考えられる。例えば、特定の実施形態では、ハニー・ポット110は受信データの“ブラックリスト上の”ワードまたはフレーズを検索するよう構成されてもよい。(“ブラックリスト”の概念は、以下でさらに詳しく説明される)。ハニー・ポット110は、このようなブラックリスト上の用語を含むデータ/メッセージを、優先的な処理などを目的として分離すること、および/またはこれらの基準もしくは他の基準に基づくデータ/メッセージのフィルタを行うとよい。
【0042】
さらにハニー・ポット110は、顧客ポリシー115に従って動作するよう構成されてもよい。例示的な顧客ポリシーは、例えば特定のキーワードを検索するためなどに特定の種類および/またはフォーマットの電子メールを見張るようハニー・ポットに指示することも考えられ、これは顧客別のカスタマイズを可能にする。さらにハニー・ポット110は、例えば顧客のウェブ・サイトの侵害(compromise)の監視など、他の状況に関する監視を含む、拡張された監視オプション120を利用してもよい。任意選択で、ハニー・ポット110は、メッセージを受信すると電子メール・メッセージをデータ・ファイルに変換してもよい。
【0043】
一部の実施形態では、ハニー・ポット110は、1つまたは複数の相関エンジン(correlation engine)125と通信しており、この相関エンジン125は、ハニー・ポット110により受信された電子メール・メッセージ(および/または、クローリング/監視動作から受信された情報などの他の情報/データ)のさらに詳しい解析を実行できる。(なお、本願明細書でのハニー・ポット110、相関エンジン125などの様々な構成要素への機能割り当ては無原則なものであり、一部の実施形態に従って、特定の構成要素が他の構成要素に割り当てられた機能を具現化してもよい。)
定期的に、および/またはハニー・ポット110により着信メッセージ/情報が受信/取り出しされるにつれ、ハニー・ポット110は、受信/取り出しされた電子メール・メッセージ(および/または対応するデータ・ファイル)を利用可能な相関エンジン125へ解析用に送信する。あるいは、ハニー・ポット110から定期的にメッセージ/データ・ファイルを取り出すよう各相関エンジン125が構成されてもよい(例えばスケジュールされたFTPプロセスなどを使用)。例えば特定の実装では、ハニー・ポット110が、上述のように電子メール・メッセージおよび/またはその他のデータ(分類/フィルタリング済みでも、そうでなくてもよい)を格納し、各相関エンジンが、データおよび/またはメッセージを定期的に、および/または状況に応じて取り出してもよい。例えば、相関エンジン125が、利用可能な処理能力を有する(例えば、キュー内のあらゆるデータ/メッセージの処理を終了した)ときに次の100通のメッセージ、データ・ファイルなどを処理用にハニー・ポット110からダウンロードすることが考えられる。特定の実施形態に従い、種々の相関エンジン(例えば125a、125b、125c、125d)が、特定の種類のデータ(例えばドメイン登録、電子メールなど)を処理するよう特別に構成されてもよい。その他の実施形態では、全ての相関エンジン125があらゆる利用可能なデータを処理するよう構成されてもよく、さらに/または複数の相関エンジン(例えば125a、125b、125c、125d)が実装されて並列処理のより高い能率が生かされてもよい。
【0044】
相関エンジン(単数または複数)125は、データ(単なる一例として電子メール・メッセージなど)を解析し、ハニー・ポット110により受信されたメッセージのいずれかがフィッシュ・メッセージであるかどうか、および/または個人情報を収集しようとする不正な試みの証明となりそうであるかどうかを判断するとよい。この解析の実行手順については以下で詳しく説明する。
【0045】
相関エンジン125は、イベント・マネージャ135と通信しているとよく、さらにイベント・マネージャ135は監視センター130と通信しているとよい。(あるいは、相関エンジン125は監視センター130と直接通信していてもよい。)特定の実施形態では、イベント・マネージャ135は、コンピュータおよび/またはソフトウェア・アプリケーションであってもよく、これは監視センター130の技術者によりアクセス可能であるとよい。相関エンジン125が、特定の着信電子メール・メッセージについて不正な活動を行いそうなものであると判断するか、またはクローリング/監視動作を通して取得された情報が不正な活動を示す可能性があると判断すると、相関エンジン125は、イベント・マネージャ135にその電子メール・メッセージについてイベント作成の必要があることを信号で伝える。特定の実施形態では、相関エンジン125および/またはイベント・マネージャ135は、当該技術分野でよく知られているシンプル・ネットワーク管理(“SNMP:Simple Network Management”)プロトコルを使用して通信するよう構成されるとよく、相関エンジンの信号はSNMP“トラップ”を含み、解析されたメッセージ(単数または複数)および/またはデータが、さらなる調査が必要な、起こり得る不正イベントを示したことを知らせるとよい。この信号(SNMPトラップなど)に応答して、イベント・マネージャ135がイベント(SNMPイベントを含んでもよく、または独自仕様のフォーマットであってもよい)を作成するとよい。
【0046】
イベントが作成されると、イベント・マネージャ135は、メッセージ/情報、および/またはメッセージ/情報に含まれ、さらに/もしくはそれに関連付けられた、任意のURLの情報収集動作(調査)140を開始するとよい。以下で詳しく説明するように、調査は、このURLに関連付けられたドメインおよび/またはIPアドレスについての情報を収集すること、ならびにそのURLにより参照されているリソース(例えばウェブ・ページなど)をホストするサーバ(単数または複数)に問い合わせることを含むとよい。(本願明細書で使用される“サーバ”という用語は、文脈によって示されるとおり、IPベースのサービスの提供、または個人情報が交換されることもあるオンライン取引を実施できるあらゆるコンピュータ・システムについて使用されること、および特に、個人情報を要求するウェブ・ページを提供することなどにより個人情報の不正な収集に関与する可能性のあるコンピュータ・システムについて使用されることがある。そのため、このようなサーバの最も一般的な例は、ハイパーテキスト転送プロトコル(“HTTP:hypertext transfer protocol”)および/または幾つかの関連サービスのいずれかを使用して動作するウェブ・サーバであるが、場合によっては、サーバは、データベース・サービスなど他のサービスを提供することもある)。特定の実施形態では、単一の電子メール・メッセージ(または情報ファイル)が複数のURLを含む場合、各URLに別々のイベントが作成されてもよい;他の場合では、単一のイベントが、特定のメッセージ内のURL全てを対象としてもよい。メッセージおよび/または調査によって、イベントが特定の顧客に関係することが示されると、そのイベントが当該の顧客に関連付けられるとよい。
【0047】
さらに、イベント・マネージャは、このイベントについて自動レポート145を準備し(さらに/またはレポーティング・モジュール(図示せず)などの別のプロセスにレポートを生成させ)、このレポートが、監視センター130(または、さらに言えば他の任意の場所)のさらなる技術者により解析されるとよい;レポートは、調査および/または調査により得られた任意の情報の、概要を含むとよい。一部の実施形態では、このプロセスは完全に自動化されて、人間による解析が必要ないようにしてもよい。必要に応じて(さらにおそらくは顧客ポリシー115による指示に従い)、イベント・マネージャ135は顧客通知150を自動的に作成し、そのイベントに影響を受けた顧客に通知するとよい。顧客通知150は、レポート145からの情報の一部(または全部)を含むとよい。あるいは、顧客通知150は単に顧客にイベントを知らせ(例えば、電子メール、電話、文書などによって)、顧客がレポートのコピーにアクセス(例えば、ウェブ・ブラウザ、クライアント・アプリケーションなどを介して)できるようにしてもよい。顧客はさらに、その顧客に影響を及ぼすイベント(例えば、イベントが、顧客の商標、製品、会社の識別情報などを使用した不正行為を伴う場合)を表示する専用ウェブ・サイトなどのポータルを使用して、興味のあるイベントを見てもよい。
【0048】
調査140により、URLにより参照されるサーバが個人情報を収集しようとする不正な試みに関与していることが明らかになると、技術者は禁止応答155(本願明細書では“技術応答”とも呼ばれる)を開始するとよい。(あるいは、技術者による介入なしに自動的に応答を開始するようイベント・マネージャ135が構成されてもよい)。状況および実施形態に応じて種々の応答が適切となり得る。例えば、場合によってはサーバが侵害される(すなわち“ハッキング”される)可能性もあり、その場合、サーバのオペレータの制御下にないアプリケーションの実行および/またはサービスの提供をサーバが行っているということが、当業者には分かるであろう。(この文脈で使用される“オペレータ”という用語は、サーバを所有、保守する存在、および/または他の形でサーバに関与する存在を意味する。)調査140により、サーバのオペレータは単なる無意識の被害者であって不正スキームの関係者でなく、サーバが侵害されているらしいことが明らかになれば、適切な応答は単に、サーバが侵害されていることをサーバのオペレータに通知すること、さらにおそらく、侵害を許したあらゆる脆弱性について修正方法を説明することを含むとよい。
【0049】
その他の場合では、他の応答の方が適切なこともある。このような応答は概して、以下でさらに詳しく説明するように、事実上、管理160または技術165のいずれかに分類できる。場合によっては、システム100は、希釈エンジン(dilution engine)(図示せず)を含んでもよく、これは以下でさらに詳しく説明するように、技術応答を引き受けるために使用できる。一部の実施形態において希釈エンジンは、コンピュータ上で実行されるソフトウェア・アプリケーションであり、本発明の方法に従い特にフィッシング詐欺への応答を作成するよう、さらに/またはそのフォーマットを整えるよう構成されてもよい。希釈エンジンは、相関エンジン125、イベント・マネージャ135などと同じコンピュータにあっても(さらに/またはそこに組み込まれても)よく、さらに/またはこれら構成要素のいずれかと通信しているとよい別のコンピュータにあってもよい。
【0050】
上述のように、一部の実施形態においてシステム100は、どの仕掛け場所/技術がスパムの発生に比較的効果が高いかを容易に判断できるようにするために、フィードバック・プロセスを取り入れるとよい。単なる一例として、システム100は上述のように、仕掛けられたアドレスに関する情報を追跡するメカニズムを提供するとよいアドレス・プランタ170を含むとよい。これに対して、イベント・マネージャ135は電子メール・メッセージ(および特に、イベントをもたらすメッセージ)を解析し、そのメッセージが仕掛け動作に起因するかどうかを判断するよう構成されているとよい。例えば、システム100により仕掛けられた1つまたは複数のアドレス(単数または複数)に対応するアドレスがあるとすればそれがどれであるのかを判断するために、メッセージのアドレスが評価されるとよい。メッセージが1つまたは複数の仕掛けられたアドレスに対応すると判断されると、仕掛けの状況を判断するために仕掛けられたアドレスのデータベースが調べられ、システム100がこの情報を技術者に表示することも考えられる。このようにすれば、技術者は、有益な場所に追加のアドレスを仕掛けることを選択できる。あるいは、システム100は、アドレス・プランタ170に自動フィードバックを提供するよう構成されてもよく、アドレス・プランタ170もまた、追加のアドレスをそういった場所に自動的に仕掛けるよう構成されてもよい。
【0051】
したがって、本発明の種々の実施形態に従い、不正行為の存在を判断するために、起こり得るオンライン不正行為についての一組のデータ(電子メール・メッセージ、ドメイン登録、URLおよび/またはオンライン不正行為についてのその他関連データであればよい)が受信および解析されるとよく、不正行為の一例はフィッシング・スキームでもあり得る。本願明細書で使用される“フィッシング”という用語は、例えば、自分の個人情報の提供、違法製品の購入など、ユーザが別の状況ではとらないような行動をユーザに取らせる不正スキームを意味し、これは多くの場合、ユーザに合法的に見えることもあるウェブ・サーバなどのサーバにアクセスするよう要求する未承諾電子メール・メッセージの送信(または、例えば電話、ウェブ・ページ、SMSメッセージなど、他の何らかの通信)によるものである。そうであれば、あらゆる関連の電子メール・メッセージ、URL、ウェブ・サイトなどが調査され、さらに/または応答行動がとられるとよい。さらなる特徴およびその他の実施形態について、以下でさらに詳しく論じる。
【0052】
上記のように、本発明の特定の実施形態は、オンライン不正行為に対処するシステムを提供する。図2のシステム200は、ある一組の実施形態の具体例と見なされるとよい。システム200は一般的に、ネットワーク205を含み得るネットワーク化環境において実行される。多くの場合、ネットワーク205はインターネットであるが、一部の実施形態においてネットワーク205は、他の何らかのパブリックおよび/またはプライベート・ネットワークであってもよい。一般的に、コンピュータ間のデータ通信をサポートできるネットワークであればどれでも十分である。システム200は、本願明細書で論じられている手順または方法のいずれかを実行するのに使用できるマスタ・コンピュータ210を含む。特に、マスタ・コンピュータ210は、種々のデータ・ソースのクロール/監視、おとり電子メール・アドレスのシード、おとり電子メール・アドレスに送信された電子メール・メッセージの収集および/もしくは解析、イベントの作成および/または追跡、URLおよび/もしくはサーバの調査、イベントについてのレポートの準備、イベントについての顧客への通知、ならびに/または、例えば通信リンクを介した監視センター215との(および、より具体的には、監視センター内の監視コンピュータ220との)通信を行うよう構成されるとよい(例えばソフトウェア・アプリケーションによって)。マスタ・コンピュータ210は、複数のコンピュータであってもよく、複数のコンピュータのそれぞれは、種々の実施形態に従い特定のプロセスを実行するよう構成されるとよい。単なる一例として、1台のコンピュータが、ハニー・ポットに関して上述した機能を実行するよう構成され、別のコンピュータが、相関エンジンに関連付けられたソフトウェアを実行するよう構成されて、例えば電子メール・メッセージ/データ・ファイルの解析を実行してもよく;第3のコンピュータが、イベント・マネージャとしての機能を果たすよう構成されて、例えば疑わしい不正行為の出来事の調査および/もしくはそれへの対応などをしてもよく、さらに/または、第4のコンピュータが、希釈エンジンの機能を果たすよう構成されて、例えば技術応答を生成および/もしくは送信してもよく、単なる一例としてこの技術応答は、以下でさらに詳しく説明するように、1つまたは複数のHTTPリクエストを含んでもよい。同じく、監視コンピュータ220も、適切な機能を実行するよう構成されるとよい。
【0053】
監視センター215、監視コンピュータ220、および/またはマスタ・コンピュータ210は、例えば通信リンクを介して1件または複数件の顧客225と通信しているとよく、通信リンクは、電話線、無線接続、広域ネットワーク、ローカル・エリア・ネットワーク、仮想プライベート・ネットワークおよび/または同様のものなど、音声および/またはデータ通信を提供できる任意の媒体を介した接続を含むとよい。上記の通信は、データ通信および/または音声通信(例えば、監視センターの技術者が顧客側の人物と電話通信を行ってもよい)であればよい。顧客(単数または複数)225との通信は、イベント・レポートの送信、イベントの通知、および/または不正行為への応答に関する協議を含むとよい。
【0054】
マスタ・コンピュータ210は、上述のデータ・ソース105を含むがこれに限定はされない複数のデータ・ソースを含む(および/またはそれと通信する)とよい。その他のデータ・ソースが同様に使用されてもよい。例えば、マスタ・コンピュータは、証拠データベース230および/または“安全なデータ”のデータベース235を含むとよく、これは、以下で詳しく論じられるように用いられるよう、おとり電子メール・アドレスおよび/もしくは1つまたは複数の架空(または本物)の識別情報に関する個人情報を生成ならびに/または格納するために使用できる。(本願明細書で使用される“データベース”という用語は、従来のデータベース管理ソフトウェア、オペレーティング・システム・ファイル・システム、および/または同様のものなど、データを格納する任意の手段を含むよう、広く解釈される必要がある。)さらにマスタ・コンピュータ210は、調査されるインターネットおよび/または任意のサーバに関する情報の、1つまたは複数のソースと通信していてもよい。このような情報ソースは、ドメインWHOISデータベース240、ゾーン・データ・ファイル245などを含むとよい。多くの場合、WHOISデータベースは中央登録機関(例えば、アメリカン・レジストリ・フォー・インターネット・ナンバーズ(“ARIN:American Registry for Internet Numbers”)、ネットワーク・ソリューションズ社(Network Solutions,Inc.など)により保守されており、マスタ・コンピュータ210は、これら機関に問合せを行うよう構成されてもよく;あるいは、マスタ・コンピュータ210は、非公開で保守されているデータベースなどの他のソースから、当該情報を取得するよう構成されてもよいということが、当業者には分かるであろう。マスタ・コンピュータ210(および/またはその他任意の適切なシステム構成要素)は、これらのリソース、ならびに公開されているドメイン名サーバ(DNS:domain name server)・データ、ルーティング・データおよび/または同様のものなど、その他のものを使用して、不正行為の実行が疑われるサーバ250を調査するとよい。上述のとおりサーバ250は、オンライン取引の処理、ウェブ・ページの提供、および/または他の方法での個人情報の収集ができる、任意のコンピュータであればよい。
【0055】
さらにシステムは、1つまたは複数の応答コンピュータ255を含むとよく、応答コンピュータ255は、以下でさらに詳しく説明するように、不正行為に対して技術応答を提供するために使用されるとよい。特定の実施形態では、1つまたは複数の応答コンピュータ255は、フィッシング詐欺への応答を作成するため、および/またはそのフォーマットを整えるために使用できる希釈エンジンを含んでもよく、さらに/または希釈エンジンと通信していてもよい。(なお、応答コンピュータ255の機能は、マスタ・コンピュータ210、監視コンピュータ220などにより実行されてもよい。)特定の実施形態では、複数のコンピュータ(例えば255a−c)を使用して、分散応答(distributed response)を提供してもよい。応答コンピュータ255、ならびにマスタ・コンピュータ210および/または監視コンピュータ220は、ハードウェア、ファームウェアおよび/または必要なタスクを実行するためのソフトウェア命令を有する専用コンピュータであってもよい。あるいは、これらのコンピュータ210、220、255は、例えばマイクロソフト社(Microsoft Corp.)のウィンドウズ(登録商標)(Windows(登録商標))および/またはアップル社(Apple Corp.)のマッキントッシュ(Macintosh)・オペレーティング・システム)の任意の適切な特色を実行するパーソナル・コンピュータおよび/もしくはラップトップ・コンピュータ、ならびに/または様々な商用のUNIX(登録商標)またはUNIX(登録商標)ライクのオペレーティング・システムのいずれかを実行しているワークステーション・コンピュータなど、オペレーティング・システムを有する汎用コンピュータであってもよい。特定の実施形態では、コンピュータ210、220、255は、例えばGNU/Linux、FreeBSDなど、様々なフリーのオペレーティング・システムのいずれかを実行してもよい。
【0056】
さらに、コンピュータ210、220、255は、HTTPサーバ、FTPサーバ、CGIサーバ、データベース・サーバ、Java(登録商標)サーバおよび同様のものなどを含む、種々のサーバ・アプリケーションを実行するとよい。これらのコンピュータは、他のコンピュータからのリクエスト、および/またはそれとの対話に応答して、ウェブ・アプリケーションを含むがこれに限定はされないプログラムまたはスクリプトを実行できる、1つまたは複数の汎用コンピュータであればよい。このようなアプリケーションは、単なる例として、C、C++、Java(登録商標)、COBOL、または、Perl、PythonもしくはTCLなどの任意のスクリプト言語、またはそれらの任意の組み合わせなど、任意のプログラミング言語で書かれた1つまたは複数のスクリプトまたはプログラムとして実装されるとよい。さらにコンピュータ210、220、255は、ローカルおよび/または他のコンピュータで実行されているデータベース・クライアントからのリクエストを処理できる、オラクル(Oracle)、マイクロソフト、サイベース(Sybase)、IBMおよび同様のものから市販されているパッケージを含むがこれらに限定されない、データベース・サーバ・ソフトウェアを含んでもよい。単なる一例として、マスタ・コンピュータ210は、本発明の実施形態に従いタスクを実行するための個別アプリケーション・ソフトウェアを実行するよう構成された、GNU/Linuxオペレーティング・システムおよびPostgreSQLデータベース・エンジンを動作させるインテル(Intel)・プロセッサ・マシンであってもよい。
【0057】
一部の実施形態では、1つまたは複数のコンピュータ110は、調査レポートなどの表示用に、必要に応じて動的にウェブ・ページを作成するとよい。これらのウェブ・ページは、1台のコンピュータ(例えばマスタ・コンピュータ210)と別のコンピュータ(例えば監視コンピュータ220)との間のインターフェイスとしての機能を果たすとよい。あるいは、コンピュータ(例えばマスタ・コンピュータ210)はサーバ・アプリケーションを実行してもよく、その一方で、別の(例えば監視コンピュータ220)デバイスが専用クライアント・アプリケーションを実行してもよい。そのため、サーバ・アプリケーションは、クライアント・アプリケーションを実行するユーザ・デバイスのインターフェイスとしての機能を果たすとよい。あるいは、コンピュータの中の特定のものが、“シン・クライアント”または他のコンピュータと通信する端末として構成されてもよい。
【0058】
システム200は1つまたは複数のデータ・ストアを含むとよく、このデータ・ストアは、1つまたは複数のハード・ドライブなどを含むとよく、例えばデータベース(230、235など)を格納するために使用されてもよい。データ・ストアの位置は任意に決定できる:単なる一例として、1つまたは複数のコンピュータの、ローカルのストレージ媒体上にあっても(さらに/またはコンピュータに常駐しても)よい。あるいは、データ・ストアはこれらデバイスのいずれかまたは全てから、これらのうちの1つまたは複数と通信(例えばネットワーク205を介して)している限りは離れていてもよい。一部の実施形態では、データ・ストアは、当業者によく知られているストレージ・エリア・ネットワーク(“SAN:storage−area network”)にあってもよい。(同じく、コンピュータ210、220、255による機能を実行するのに必要なあらゆるファイルは、必要に応じて、各コンピュータのローカルのコンピュータ可読ストレージ媒体、および/または各コンピュータから離れたコンピュータ可読ストレージ媒体に格納されるとよい。)
図3は、本願明細書で説明されているように、本発明の方法、ならびに/または、マスタ・コンピュータ、監視コンピュータおよび/もしくは応答コンピュータの機能を実行できる、コンピュータ・システム300の一実施形態の一般化された概略図である。図3では、種々の構成要素に関する一般化された説明図を提供することのみが意図されており、これらのうちのいずれかが必要に応じて利用されるとよい。コンピュータ・システム300は、バス305を介して電気的に繋がれることが可能な1つまたは複数のプロセッサ310;1つまたは複数のストレージ・デバイス315など、ハードウェア構成要素を含むとよく、ストレージ・デバイス315は、ディスク・ドライブ、光学ストレージ・デバイス、例えばランダム・アクセス・メモリ(“RAM:random access memory”) および/または読み出し専用メモリ(“ROM:read−only memory”)などの固体ストレージ・デバイスを含んでもよいがこれらに限定はされず、プログラム、フラッシュ・アップデート、および/または、同様のことが可能で(さらに、上述のようにデータ・ストアとして機能可能で)あるとよい。マウス、キーボードおよび/もしくは同様のものを含み得るがこれらに限定されない1つまたは複数の入力デバイス320;表示デバイス、プリンタおよび/もしくは同様のものを含み得るがこれらに限定されない1つまたは複数の出力デバイス325;ならびに、モデム、ネットワーク・カード(無線または有線)、赤外線通信デバイス、および/もしくは同様のものを含み得るがこれらに限定されない通信サブシステム330も、同じくバス305と通信するようになっているとよい。
【0059】
さらに、コンピュータ・システム300は、上述のようなアプリケーション・プログラム、および/または本発明の方法を実装するよう設計されたアプリケーション・プログラムなど、オペレーティング・システム340および/またはその他のコード345を含む、ワーキング・メモリ335内に現在は位置して示されているソフトウェア構成要素を含むとよい。特定の実施形態および/または要求に従って、多くの変形物がつくられてもよいことが、当業者には分かるであろう。例えば、カスタマイズされたハードウェアがさらに使用されることも考えられ、さらに/または特定の構成要素がハードウェア、ソフトウェア(アプレットなどの高移植性ソフトウェアを含む)、または両方に実装されることが考えられる。
【0060】
一般的に、図4により示されるように、所定のISP(またはその他の会社)400が、そのソース405から不正行為に関するデータを、加えておそらくはセキュリティ・プロバイダから種々のデータ410を、受信するとよい。本発明の実施形態に従い、このようなデータを共有すること(および/または、以下でさらに詳しく説明されるように、こういった共有を実行する方法の制御を実施すること)が容易になると思われる。
【0061】
一例として、図5は、複数の会社505がピアリング関係504に参加するとよいシステム500を図示する。場合によっては、セキュリティ・プロバイダ509は、プロバイダ509と会社505との間の対話を可能にするために、アプリケーション・プログラミング・インターフェイス(“API”)510を提供する。さらにシステムは、種々のフィードに関するデータ属性515aの生成、解析および/または提供、ならびにまたは、種々の会社505に固有の情報515bに対する、権限サービス514もしくはその他アクセス制御の提供など、他の拡張サービスを提供してもよい。追加のサービス520は、不正行為検出サービス520a、早期事前警告サービス520b、および/または不正行為対応/解決サービス520cを含むとよい。このようなサービスについては関連出願で詳しく説明されている。
【0062】
場合によっては、システムは種々のデータ・サービス525および/またはソース(一様に数字525a、525b、525cにより参照される構成要素によって示されている)を利用してもよく、これらの多くについては関連出願で説明されている。
【0063】
図6により示されているように、システム500はさらに、プライベート・ピア交換API610(上述のAPI510と同じAPIであってもよい)を実現して、プロバイダと会社505との間、ならびに場合によっては1つの会社505aと別の会社505bとの間のデータ交換を可能にするとよい。このような情報は、次に限定するものでないが、特定の会社505aに固有な場合もある会社固有またはエンティティ固有の配信属性615を含むこともあるため、場合によっては他の会社505b−dと共有されない。このようなエンティティ固有属性の例には、不正行為の種類、通信が検出された元のURLまたはポート、不正行為の標的エンティティ、データ許可、レポータの識別子、レポータのソース、電子メール・データなどに関する情報が含まれ得るが、これらに限定はされない。さらにデータ属性は、会社またはエンティティの間で、これら会社および/またはプロバイダにより規定される許可におそらく基づき共有可能な共有属性620を含んでもよい。このような許可は、1つの会社505aが、別の会社505bのものであるデータに不正にアクセスするのを防ぐべく、API610により強制されるとよい。共有データ属性620の例をいくつか挙げると、ISP配信属性、レポータの評判、サイトの状況、不正行為の識別子、ドメイン所有者、ネットワークもしくはISPのデータ、レポートのタイムスタンプ、確認タイムスタンプなどが含まれるが、これらに限定はされない。なお、場合によって会社505aは、会社固有の配信属性を共有することを選択してもよい。
【0064】
本発明の実施形態はさらなる追加の特徴を提供することもあり、これには、交渉済みの条件および/またはデータ許可におそらく基づき、任意の二者(またはそれより多い会社)間について、二者間の取り決め(例えばデータ属性の共有)を実現することが含まれるが、これに限定はされない。場合によっては、パーティが、それらがシステムに提供するデータ(フィードなど)の量に比例してシステムから利益を得ることを、システムが可能にしてもよい(例えば、種々のデータ属性へのアクセス制御を通して)。さらに、システムが“匿名の”不正行為検出をサポートして、フィードからの情報が会社に配布される前にセキュリティ・プロバイダによって(および/またはシステムによって)ジェネリック化される(genericized)ようにし、1つの会社(および/またはその顧客)の個人情報は他の会社と共有されないもののその会社のデータ(および/またはその解析)の利点は他者が得られるようにするとよい。
【0065】
こういった不正行為およびセキュリティ関係の情報を交換する理由には以下が含まれ得るが、これらに限定はされない:
・新型または変形したセキュリティ・イベントまたは脅威を、それが最初に起こったときに起こった場所を問わず発見する。
・あらゆるセキュリティ・イベントまたは脅威の大きさ、継続期間および程度を理解する。
・あらゆるセキュリティ・イベントまたは脅威のライフ・サイクル、系統、適応および時間の経過による変形を理解する。
・脅威プロファイル(履歴、起源、順列、型、分類および見本など)イベント・ログ、セキュリティ・データベース、検出モデルおよび予想力を確立する
・異なるセキュリティ・イベントまたは脅威の間の相関関係、相互関係および相違点を判断する。
・自らのセキュリティ・イベントまたは脅威の体験と対比して、同じ業界または他の業界の他のものを、個別または総合的に理解する。
・セキュリティ脅威およびイベントについての傾向、データ解析、統計およびレポートを作成する。
【0066】
種々の実施形態は、容易さ、システム、プログラム、アルゴリズム、処理、データ・ストレージ、データ送信、プロセス、データ定義、スキーマ、分類法、プロセス、ワークフロー、動作を提供して、ISP、銀行、オークション・サービス・プロバイダ、セキュリティ企業などが、生および/または処理済みのセキュリティ・イベントもしくは脅威のデータ(フィードを含むがこれに限定はされない)を配信できるようにする。その結果システムは、このようなデータを一定の方法で処理し、さらに/またはこのような生および/もしくは処理済みのデータを定義済みであり正規化された定義および標準に従って整理および/もしくは格納し、いずれの会社も、それらがまさに交換したいデータの具体的な種類、量、ボリューム、時間、形式およびフォーマット、ならびにそのデータ交換に適用したい商業、運用、配信に関する条件について、他のあらゆる会社と相互に定義および交渉できるようにすることが可能である。
【0067】
特定の実施形態では、データが多少の価値を有し、参加者が、データ保全性、フォーマット、定義、配信方法および信頼性に関する一定の基準を順守する限り、参加者がそれぞれの入力データを提出(および/または取り出し)することの許可において、かなり寛大であってもよい。場合によっては、システムは、入力データの出所、所有権、ソース、直接および関連のパーティの識別情報、評判、利用特性および制限にタグを付け、さらに/またはそれを追跡する。続いてシステムが、データを処理すること、および/または提出されたデータに関する追加の派生データを作成すること、加えて、我々が有することもある他のデータもしくは他者から提出された他のデータにデータを相関させて、派生データを作成することも考えられる。加えて、データは、時間がたつにつれて格納されてもよく、さらに/または多次元解析が実行されてもよく、さらに特定のデータ・セット内およびデータ・リポジトリ全体にわたって関係が特定されてもよい。このような解析および関係の特定については、関連出願でさらに詳しく説明されている。
【0068】
さらに本発明の実施形態は、参加者間における二者間または多者間の商業上の取り決めを容易かつ可能にし、どのデータを他者と交換するかについて、ならびに全ての関連した商業上、技術上、運用上の条件について、交渉可能にすることも考えられる。その結果システムは次に、各パーティに、それらが交換に合意し、アクセスするのに十分な法的権利、商権またはその他の権利を有するデータおよび派生データのみを提供することにより、この取り決めを満たすようにサービスを提供することができる。
【0069】
したがって、一部の実施形態では、データの提供相手、厳密な提供対称データおよび提供する程度、見返りとして得るもの(金銭、データまたはサービスの交換、またはその他の報酬など)、およびどの運用、技術、地理、法律、規制、ポリシー、商業に関する条件および制限の下におくかを、定義、制御でき、そこから利益を享受し、それを強制(二者間、多者間、個別に、および/または状況に応じて)できるということを知った上で、関連した不正行為およびセキュリティのデータ全てを提出するよう参加者に勧める。
【0070】
図7は、本発明の一実施形態による、改良された不正行為監視を提供する情報収集プロセスを図示する流れ図である。この例では、プロセスは、不正オンライン活動に関する直接情報を第1エンティティから受信することで始まる(705)。上述の通り、直接情報を第1エンティティから受信することは、アプリケーション・プログラム・インターフェイス(API)を介して直接情報を受信することを含むとよい。例示的なAPIおよびこのようなAPIのデータ属性についてのさらなる説明は、以下でさらに論じられる。
【0071】
受信すると(705)、直接情報は解析され(710)、不正オンライン活動に関する一組の正規化データが作成されるとよい(715)。直接データの解析(710)は、不正オンライン活動に関する一組の派生データを生成することを含むとよい。不正オンライン活動に関する一組の派生情報の生成は、直接情報、および他の不正オンライン活動に関する以前保存された情報に基づくとよい。このような保存情報は、直接情報および派生情報を含むとよい。一組の正規化データは、複数のエンティティにより読み取り可能な形式であるとよく、直接情報および派生情報を含むとよい。一組の正規化データは格納されるとよい(720)。
【0072】
図8は、本発明の一実施形態に従った、改良された不正監視に関する情報を提供するプロセスを図示する流れ図である。この例では、複数のエンティティのうちの第2エンティティから、格納された正規化データにアクセスするためのリクエストを受信することでプロセスが始まる(805)。上述のとおり、格納された正規化データにアクセスするためのリクエストを受信することは、APIを介してリクエストを受信することを含むとよい。第2エンティティによる格納された正規化データへのアクセスは、制御されるとよい(810)。例えば、上述のとおり、第2エンティティによる格納された正規化データへのアクセスを制御することは、第1エンティティと第2エンティティとの間の取り決めに基づくとよい。許可されている(810)場合、格納された正規化データの少なくとも一部が、第2エンティティに提供されるとよい(815)。
【0073】
一組の実施形態では、システムは、上述のものを含むがそれらに限定はされない1つまたは複数のAPIを特色とするとよい。このAPIは、データの提出方法および/またはシステムからの受信方法を定義する、データに関するXMLスキーマと関連して使用されてもよい。システムはさらに、違法アクセス(例えばハッカーによる)からの情報保護、および1つの参加会社による別の会社のデータへの不正アクセスの防止の両方のために、アクセス制御、認証および/または送信セキュリティ(当該技術分野で知られている種々の暗号化および/または認証スキームを含むがこれらに限定はされない)のための種々の手段を含むとよい。例えば、プライバシーまたはポリシーの理由で参加会社が保護する必要がある、あるレベルの個人データまたは識別データを含む受信データに対応するために、システム内に格納されているデータが任意選択で暗号化されてもよい。
【0074】
実際には、場合によって、プライバシーに関する法律およびポリシーに応じて、データの一部または全部が参加会社の記憶場所にあってもよい。そのような場合には、システムは例えば交換管理の処理および/または指示を提供して2者(またはそれより多くの会社)間の中間物としての機能を果たすが、データは参加会社から参加会社へ直接送信される、ということも考えられる。(例えば、ISPまたは銀行などの特定の会社は、セキュリティ保護のために、顧客データの使用についてセキュリティ・プロバイダよりも強い権利を持つことも考えられる。
【0075】
次の表には、システムにより受信、処理、解析および/または提供されるとよい各種データ属性の例がいくつか記載されている。本願明細書の開示に基づき、他の種類のデータも同じく使用可能であることが、当業者には分かるであろう。
【0076】
【表1−1】
【0077】
【表1−2】
次の表には、システムにより受信、処理、解析および/または提供された一組のデータにタグを付け、さらに/またはそれを追跡するために使用されるとよい、メタデータの種類の例が記載されている。本願明細書の開示に基づき、他の種類のメタデータも同じく使用可能であることが、当業者には分かるであろう。
【0078】
【表2】
次の表には、システムによって受信、処理、解析および/または提供されたデータに関連した各種の違法活動を特定するために使用されるとよいタグの種類の例が記載されている。本願明細書の開示に基づき、他の種類のタグも同じく使用可能であることが、当業者には分かるであろう。
【0079】
【表3】
本願明細書で説明されたプライベート不正行為ピアリング・モデルは、不正行為およびその他のセキュリティに関するデータの収集、処理、交換に関して説明されたが、同じモデルを、他の業界における他の目的のための異なる種類のデータを交換するために適用することも可能である。
【0080】
前述の説明では、説明のために特定の順序で方法が説明された。当然のことながら、代わりの実施形態では、説明とは異なる順序でこの方法が実行されてもよい。さらにこの方法は、追加のステップを含んでもよく、または上述よりも少ないステップを含んでもよい。さらに、当然のことながら、上述の方法はハードウェア構成要素により実行されても、または、一組の機械実行可能な命令に具現化されてもよく、この命令は、この命令でプログラミングされた汎用または専用プロセッサもしくは論理回路などの機械にこの方法を実行させるために使用されるとよい。これらの機械実行可能な命令は、CD−ROMもしくは他の種類の光ディスク、フロッピー(登録商標)・ディスケット、ROM、RAM、EPROM、EEPROM、磁気もしくは光カード、フラッシュ・メモリ、または電子命令を格納するのに適した他の種類の機械可読媒体など、1つまたは複数の機械可読媒体に格納されるとよい。あるいはこの方法は、ハードウェアおよびソフトウェアの組み合わせにより実行されてもよい。
【0081】
本発明の説明に役立つ現時点において好適な実施形態が本願明細書で詳しく説明されてきたが、当然のことながら、本発明の概念は、別の方法で多様に具現化および採用されてもよく、添付の特許請求の範囲は、先行技術により制限されている場合を除いて、こういった変形を含むように解釈されることが意図されている。
【図面の簡単な説明】
【0082】
【図1A】図1Aは、本発明の種々の実施形態に従った、オンライン不正行為に対処するシステムを図示する機能図である。
【図1B】図1Bは、本発明の種々の実施形態に従った、おとり電子メール・アドレスを仕掛けるシステムを図示する機能図である。
【図2】図2は、本発明の種々の実施形態に従った、オンライン不正行為に対処するシステムを示す概略図である。
【図3】図3は、本発明の種々の実施形態に従った、オンライン不正行為に対処するシステムに実装されるとよいコンピュータの一般化された概略図である。
【図4】図4は、セキュリティ・プロバイダとセキュリティ・プロバイダの複数の顧客との間の典型的な関係を図示する。
【図5】図5は、本発明の実施形態に従った、セキュリティ・プロバイダとセキュリティ・プロバイダの複数の顧客との間のピアリング関係を図示する。
【図6】図6は、本発明の一部の実施形態に従った、プライベート・ピアリング・アプリケーション・プログラミング・インターフェイスを図示する。
【図7】図7は、本発明の一実施形態に従った、改良された不正行為監視を実現するために情報を収集するプロセスを図示する流れ図である。
【図8】図8は、本発明の一実施形態に従った、改良された不正行為監視に関する情報を提供するプロセスを図示する流れ図である。
【技術分野】
【0001】
本願は、同時継続出願の“Enhanced Fraud Monitoring Systems”と題された、2005年7月1日出願の米国仮特許出願第60/690,006号からの優先権を主張し、該出願は、本明細書において、参考として、全て本書に記載したかのように本願明細書に援用される。
本願は、以下の同一所有者の同時係属出願(“関連出願”)に関し、それぞれの開示全体を、事実上、参考として、全て本書に記載したかのように本願明細書に援用される。
【0002】
上記出願とは、Shraimらによる、“Online Fraud Solution”と題された、2004年5月2日出願の米国特許出願第10/709,398号;Shraimらによる、“Online Fraud Solution”と題された2004年10月4日出願の米国特許仮出願第60/615,973号;Shullによる、“Methods and Systems for Preventing Online Fraud”と題された、2004年9月17日出願の米国特許仮出願第60/610,716号;Shullらによる、“Customer−Based Detection of Online Fraud”と題された、2004年9月17日出願の米国特許仮出願第60/610,715号;Shraimらによる、“Online Fraud Solution”と題された、2004年11月23日出願の米国特許出願第10/996,991号;Shraimらによる、“Enhanced Responses to Online Fraud”と題された、2004年11月23日出願の米国特許出願第10/996,567号;Shraimらによる、“Customer−Based Detection of Online Fraud”と題された、2004年11月23日出願の米国特許出願第10/996,990号;Shraimらによる、“Early Detection and Monitoring of Online Fraud”と題された、2004年11月23日出願の米国特許出願第10/996,566号;Shraimらによる、“Enhanced Responses to Online Fraud”と題された、2004年11月23日出願の米国特許出願第10/996,646号;Shraimらによる、“Generating Phish Messages”と題された、2004年11月23日出願の米国特許出願第10/996,568号;Shraimらによる、“Methods and Systems for Analyzing Data Related to Possible Online Fraud”と題された、2004年11月23日出願の米国特許出願第10/997,626号;Shullらによる、“Distribution of Trust Data”と題された、2005年3月2日出願の米国特許仮出願第60/658,124号;Shullらによる、“Trust Evaluation System and Methods”と題された、2005年3月2日出願の米国特許仮出願第60/658,087号;およびShullらによる、“Implementing Trust Policies”と題された、2005年3月2日出願の米国特許仮出願第60/658,281号、である。
【背景技術】
【0003】
(発明の背景)
“フィッシング”技術およびその他違法のオンライン活動を含むがこれらに限定されない、オンライン不正行為の問題は、インターネット・ユーザおよびユーザと取引を行いたい者にとっての共通の問題となっている。近年、特にインターネット・サービス・プロバイダ(“ISP:Internet Service Provider”)などの多数のオンライン会社が、このような実施を追跡することおよび/またはそれに対処することを試み始めた。前掲の関連出願は、このような活動を検出、防止するため、および他の方法でそれに対処するための、いくつかのシステムおよび方法について説明している。
【0004】
しかし従来では、通常、各会社が独自のシステムおよび/または方法を使用してオンライン不正行為に対処しようとしてきた。それにも関わらずセキュリティ脅威の数および種類−ウイルス、スパイウェア、スパム、フィッシングなど−がインターネット内およびその他のネットワーク化環境内で増大するにつれ、ISPなどの間で、不正行為、セキュリティおよびその他運用上の適切な情報を交換および共有することへの関心が高まっている。
【0005】
近年、アンチ・フィッシング・ワーキング・グループおよびデジタル・フィッシュ・ネットなど、関係者がデータを提出、取得および共有できるクリアリング・ハウスをつくろうとする複数の試みを含む、不正行為の集団的な検出および/またはそれに対する対応を可能にするための提案がいくつか提供されてきた。しかしこれらのグループは、いくつかの理由で限られた成功しか収めていない。
【0006】
例えば、これらのグループが取得および作成するデータは、誰でも任意のフォーマットで提出でき、正規化されず、標準もしくは定義に従っておらず、一律に処理または格納されず、いかなる制御も受けず、業界または専門家による評価も受けない。言い換えれば、本来の目的に役に立つのに十分な水準または制御を達成していない。さらに、このようなデータは、例えばISP、銀行、オークション・サービスなどの最大手企業から信頼も重視もされていない。その結果、これら企業は有意義な形で参加しないか、または全く参加しない。さらに、これら企業は、その運用および業務から生成される大量の不正行為データおよびセキュリティ・ソース・データを提供しない。
【0007】
さらに、これらのモデルの“オープンな”性質は、誰でも提供でき、a)わずかな料金を支払えば誰でも処理データを受信できるか、またはb)データは多くの場合、入力データの主要なソースと競合する、1つの特定の製品を後押しするために使用されることを意味する。その結果、大部分の生データを有する企業、すなわちISP、銀行などは、自らが不正行為検出データの主要ソースになる一方、他の企業、特にほとんど貢献しない小企業が、共有データの主要な、または不均衡な、さらに最大のプレーヤーから見ると不当で思いがけない大きな利益を得ると考えるため、データを提出したがらない。
【発明の開示】
【課題を解決するための手段】
【0008】
本発明の実施形態は、改良された不正行為検出および/または防止のシステムならびに方法を提供する。一実施形態によれば、改良された不正行為監視を実現する方法は、不正オンライン活動に関する直接情報を第1エンティティから受信することを含むとよい。直接情報は解析されるとよく、不正オンライン活動に関する一組の正規化データが作成されるとよい。直接情報の解析は、不正オンライン活動に関する一組の派生情報を生成することを含むとよい。不正オンライン活動に関する一組の派生情報の生成は、直接情報、および他の不正オンライン活動に関する以前保存された情報に基づくとよい。こういった保存データは、直接情報および派生情報を含むとよい。一組の正規化データは、複数のエンティティにより読み取り可能な形式であるとよく、直接情報および派生情報を含むとよい。一組の正規化データは格納されるとよい。
【0009】
本方法は、複数のエンティティのうちの第2エンティティから、格納された正規化データにアクセスするためのリクエストを受信することをさらに含むとよい。格納された正規化データへの第2エンティティによるアクセスは、制御されるとよい。例えば、格納された正規化データへの第2エンティティによるアクセスを制御することは、第1エンティティと第2エンティティとの間の取り決めに基づくとよい。許可されていれば、格納された正規化データの少なくとも一部が、第2エンティティに提供されるとよい。
【0010】
一実施形態によれば、第1エンティティからの直接情報の受信は、アプリケーション・プログラム・インターフェイス(API:Application Program Interface)を介して直接情報を受信することを含むとよい。それに加えて、またはその代わりに、格納された正規化データにアクセスするためのリクエストの受信は、APIを介してリクエストを受信することを含むとよい。場合によっては、格納された正規化データは、第1エンティティにより保持されていてもよい。このような場合、APIは、第1エンティティの格納された正規化データを第2エンティティがリクエストするための機能を提供するとよい。それに加えて、またはその代わりに、格納された正規化データは、セキュリティ・サービスにより保持されてもよい。このような場合、APIは、直接情報をセキュリティ・サービスに提供するための機能を第1エンティティに、セキュリティ・サービスの格納された正規化データをリクエストするための機能を第2エンティティに提供するとよい。
【0011】
場合によっては、APIは、直接情報の受信、直接情報の解析、一組の正規化データの作成、格納された正規化データへの複数のデータ属性を介したアクセスを提供するとよい。それに加えて、またはその代わりに、データ属性は、第1エンティティもしくは第2エンティティのいずれかに固有のエンティティ固有属性、ならびに/または第1エンティティおよび第2エンティティにより規定された許可に基づき第1エンティティと第2エンティティとの間で共有可能な、共有属性を含むとよい。APIは、データ属性を定義するスキーマをさらに含むとよい。スキーマは、例えば、拡張可能なマーク付け言語(XML:eXtensible Markup Language)スキーマを含むとよい。スキーマは場合によって、データ属性にタグ付けされたメタデータをさらに含んでもよい。このような場合メタデータは、タグ付けされているデータ属性を追跡できる。
【0012】
さらに別の実施形態によれば、機械可読媒体上に、一組の命令が格納されているとよく、これらの命令はプロセッサにより実行されると、プロセッサに、第1エンティティから不正オンライン活動に関する直接情報を受信することで改良された不正行為監視を実現させる。直接情報は解析されるとよく、不正オンライン活動に関する一組の正規化データが作成されるとよい。直接情報の解析は、不正オンライン活動に関する一組の派生情報を生成することを含むとよい。不正オンライン活動に関する一組の派生情報の生成は、直接情報、および他の不正オンライン活動に関する以前保存された情報に基づくとよい。こういった保存情報は、直接情報および派生情報を含むとよい。一組の正規化データは、複数のエンティティにより読み取り可能な形式であるとよく、直接情報および派生情報を含むとよい。一組の正規化データは格納されるとよい。
【0013】
さらに別の実施形態によれば、改良された不正行為監視を実現するシステムは、通信ネットワーク、および通信ネットワークに通信可能に繋がれた第1クライアントを含むとよい。第1クライアントは、不正オンライン活動に関する直接情報を提供するようになっているとよい。さらにシステムは、通信ネットワークに通信可能に繋がれたサーバを含むとよい。サーバは、不正オンライン活動に関する直接情報を第1クライアントから受信し、直接情報を解析し、不正オンライン活動に関連し、複数のクライアントにより読み取り可能な形式である一組の正規化データを作成し、一組の正規化データを格納するようになっているとよい。
【0014】
さらにサーバは、不正オンライン活動に関する一組の派生情報を生成するようになっているとよい。例えばサーバは、直接情報、および他の不正オンライン活動に関する以前保存された情報に基づき、不正オンライン活動に関する一組の派生情報を生成するようになっているとよい。こういった保存情報は、直接情報および派生情報を含むとよい。サーバにより作成される一組の正規化データは、直接情報および派生情報を含むとよい。
【0015】
さらにシステムは、第2クライアントを含むとよい。このような場合、サーバはさらに、格納された正規化データへアクセスするためのリクエストを第2クライアントから受信し、格納された正規化データへの第2クライアントによるアクセスを制御するようになっているとよい。例えばサーバは、第1クライアントと第2クライアントとの間の取り決めに基づき、格納された正規化データへの第2クライアントによるアクセスを制御するようになっていてもよい。許可されていれば、サーバは、格納された正規化データの少なくとも一部を第2クライアントへ提供するとよい。
【0016】
一実施形態によれば、サーバは、第1クライアントからアプリケーション・プログラム・インターフェイス(API)を介して直接情報を受信するようになっているとよい。それに加えて、またはその代わりに、サーバはAPIを介して、格納された正規化データにアクセスするためのリクエストを受信するとよい。APIは、直接情報の受信、直接情報の解析、一組の正規化データの作成、格納された正規化データへの複数のデータ属性を介したアクセスを実現するとよい。データ属性は、第1クライアントもしくは第2クライアントのいずれかに固有のエンティティ固有属性、ならびに/または第1クライアントおよび第2クライアントにより規定された許可に基づき第1クライアントと第2クライアントとの間で共有可能な、共有属性を含むとよい。
【0017】
さらに別の実施形態によれば、改良された不正行為監視を実現するシステムは、通信ネットワーク、および通信ネットワークに通信可能に繋がれた第1クライアントを含むとよい。第1クライアントは、不正オンライン活動に関する直接情報を生成し、直接情報を解析し、不正オンライン活動に関連し、複数のクライアントにより読み取り可能な形式である一組の正規化データを作成し、一組の正規化データを格納するようになっているとよい。システムは、通信ネットワークに通信可能につながれた第2クライアントを含むとよい。第2クライアントは、格納された格納された正規化データへのアクセスをリクエストするようになっているとよい。サーバは、通信ネットワークに通信可能に接続可能であり、格納された正規化データにアクセスするためのリクエストを第2から受信し、第2クライアントによる格納された正規化データへのアクセスを制御するようになっているとよい。サーバは、第1クライアントと第2クライアントとの間の取り決めに基づき、第2クライアントによる格納された正規化データへのアクセスを制御するようになっているとよい。許可されていれば、第1クライアントは、格納された正規化データの少なくとも一部を第2クライアントへ提供するとよい。
【0018】
一実施形態によれば、サーバは、アプリケーション・プログラム・インターフェイス(API)を介してリクエストを受信することにより、格納された正規化データにアクセスするためのリクエストを第2クライアントから受信するようになっているとよい。APIは、格納された正規化データへの複数のデータ属性を介したアクセスを実現するとよい。データ属性は、第1クライアントもしくは第2クライアントのいずれかに固有のクライアント固有属性、ならびに/または第1クライアントおよび第2クライアントにより規定された許可に基づき第1クライアントと第2クライアントとの間で共有可能な、共有属性を含むとよい。
【発明を実施するための最良の形態】
【0019】
本発明を十分に理解できるよう、以下の説明では、多数の具体的な詳細が説明のために記載される。しかし、本発明はこれらの具体的な詳細事項の一部を伴わずに実践されてもよいということが、当業者にはすぐに分かるであろう。他の場合には、よく知られた構造およびデバイスがブロック図の形式で示される。
【0020】
本発明の種々の実施形態は、改良された不正行為検出および/または防止のシステムならびに方法を提供する。一組の実施形態は、例えば、企業(オンライン会社、銀行、ISPなど)が不正行為のフィード(一例の名前を挙げると、これら会社の顧客に宛てられた第三者からの電子メール・メッセージのフィード)をセキュリティ・プロバイダに容易に提供できるようにし、さらに、そういった容易さを実現するシステムおよび方法を提供する。一部の実施形態では、フィード(メッセージなど)が解析されて正規化された直接データおよび/または派生データが作成され、このデータは当該企業が利用できるようになるとよい(おそらく有料で)。直接データおよび派生データへのアクセスを定義および制御することで、セキュリティ・プロバイダは、当該企業が企業間で、どことデータを交換するか、どのデータを交換するか、ならびにどのような商業上の条件およびその他の条件の下で当該データを交換するかについて、二者間の取り決めまたはその他の取り決めについて交渉できるようにする。
【0021】
したがって、本発明の一部の実施形態は、ISP(およびその他)が、プライベート・ネットワーク・ピアリング(private network peering)によく似た形の不正行為検出データの交換に関する二者間の具体的なルールを設定できるようにするモデルを提供する。一組の実施形態において、セキュリティ・プロバイダは、容易かつ経済的にデータ交換できるように、主要ネットワークの“ミートミー(meet−me)”センターにおいて検出システム(いくつかの例として、関連出願で説明されているものなど)を提供してもよい。
【0022】
種々の実施形態に従い、オンライン不正行為、特に“フィッシング”動作に対抗する、システム、方法およびソフトウェアが提供される。“成りすまし”詐欺として知られる例示的なフィッシング動作は、“成りすまし”電子メール・メッセージを使用して、疑いを持たない顧客が、違法ウェブ・サイトにアクセスして信頼できる関連会社(例えば銀行、オンライン小売業者など)が運用していると思われるサーバに個人情報を提供するよう仕向けるが、このとき実際には、顧客の個人情報にアクセスするために信頼できる関連会社に成りすましている別のパーティによって、このサーバは運用されている。本願明細書で使用される“個人情報”という用語は、当然のことながら、個人を特定するために使用される可能性がある情報、および/または通常は比較的信頼できるエンティティのみに当該の個人により明かされる情報全てを含む。単なる一例として、個人情報は、金融機関の口座番号、クレジット・カードの番号、有効期限および/または暗証番号(当該技術分野では、“カード確認番号”、“カード確認値”、“カード確認コード”または“CVV”と呼ばれることもある)、および/またはその他の金融情報;ユーザID、パスワード、母親の旧姓および/またはその他セキュリティ情報;フルネーム、住所、電話番号、社会保障番号、運転免許証番号、および/またはその他識別情報が含まれ得るが、これらに限定はされない。
【0023】
本発明の特定の実施形態は、このような成りすまし電子メール・メッセージを引き付け、メッセージを解析し、そのメッセージが不正行為に関与している(さらに/または成りすましメッセージを含んでいる)可能性を見積もり、特定されたあらゆる不正行為に応答する、システム、方法および/またはソフトウェアを特徴とする。図1Aは、これらの実施形態の一部に従ったオンライン不正行為への対処に使用できる、例示的なシステム100の機能要素を図示しており、特定の実施形態がどのように動作するのかを全体的に概観できる。(種々の実施形態については以下でさらに詳しく論じる)。なお、図1Aにより表される機能アーキテクチャ、および各機能要素に関して説明される手順は、説明のみを目的として提供されており、本発明の実施形態は必ずしも個々の機能または構造的アーキテクチャに限定されず;本願明細書で論じられる種々の手順は、任意の適切な構成で実行されればよい。
【0024】
多くの場合、図1Aのシステム100は、不正行為防止サービス、セキュリティ・サービスなど(本願明細書では“不正行為防止プロバイダ”と呼ばれる)により、1件または複数件の顧客向けに運用されるよとよい。多くの場合顧客は、模倣、偽造、および/もしくは成りすましされる危険のある製品、ブランドならびに/またはウェブ・サイトを有するエンティティであり、例えばオンライン承認、金融機関、会社などとなる。なお、他の場合では、不正行為防止プロバイダは、例えば、顧客のセキュリティ部門、情報サービス部門など、顧客の従業員および/または顧客と提携しているエンティティ、および/または顧客に合併されたエンティティであってもよい。
【0025】
本発明の一部の実施形態によれば、システム100は、様々なデータ・ソース105を含むこと(および/またはそれにアクセス)ができる。説明を容易にするために、データ・ソース105はシステム100の一部として描かれているが、多くの場合データ・ソース105は、第三者によって独立して保持されること、および/またはシステム100によりアクセスされてもよいことが、本願明細書の開示に基づき、当業者には分かるであろう。場合によっては、例えばシステム100がさらに容易にアクセスできるように、データ・ソース105の一部がローカルにミラーおよび/またはコピー(必要に応じて)されてもよい。
【0026】
データ・ソース105は、起こり得るオンライン不正行為についてのデータが取得される可能性のある任意のソースを含むとよく、1つまたは複数のチャット・ルーム105a、ニュースグループ・フィード105b、ドメイン登録ファイル105c、および/または電子メール・フィード105dが含まれるが、これらに限定はされない。システム100は、任意のデータ・ソース105から取得した情報を、オンライン不正行為のインスタンスの検出、ならびに/または、本願明細書で論じる不正行為防止方法の能率および/もしくは効果の向上のために使用するとよい。場合によってシステム100(および/またはその構成要素)は、適切な情報を発見するために、おそらく定期的に(例えば、10分に1回、1日1回、週1回など)、種々のデータ・ソース105を“クロール”する(例えば、自動的にアクセスし、さらに/またはそこから情報をダウンロードする)よう構成されるとよい。
【0027】
単なる例として、新たなスパミング/成りすましスキームについて論じるため、ならびに収穫された電子メール・アドレスのリストを交換するために一般に使用されているニュースグループがいくつかある。さらに、このようなスキームを追跡する反不正ニュースグループもある。システム100は、新たな成りすまし詐欺、収穫されたアドレスの新たなリスト、収穫されたアドレスの新たなソースなどについての情報を発見するために、あらゆる適切なニュースグループ(単数または複数)105bをクロールするよう構成されるとよい。場合によっては、システム100は、こういったクロール中に、指定のキーワード(例えば“フィッシュ(phish)”、“成りすまし”など)を検索するよう構成されてもよい。他の場合では、ニュースグループ内のURLがスキャンされてURLがダウンロード(またはコピー)され、例えば以下で詳しく説明するように、さらなる解析を受けてもよい。さらに、上述のように、監視が可能な1つまたは複数の反不正グループがあってもよい。このような反不正ニュースグループは、発見された新たな詐欺を記載すること、および/またはそういった詐欺に関するURLを提供することが多い。そのため、関連情報を発見するためにこのような反不正グループが、例えば上述の方法で監視/クロールされ、続いてその情報がさらなる解析を受けるとよい。その他あらゆるデータ・ソース(例えば、ウェブ・ページおよび/またはウェブ・サイト全体、電子メール・メッセージなど)が同じようにクロールおよび/または検索されてもよい。
【0028】
別の例として、オンライン・チャット・ルーム(インターネット・リレー・チャット(“IRC:Internet Relay Chat”)・チャネル、ヤフー(Yahoo)、アメリカ・オンライン(Amirica Online)などの種々のISPにより保守/ホストされているチャット・ルームなど、および/または同様のものを含むがこれらに限定はされない)(例えば105a)が、関連情報について監視(および/またはこのようなチャット・ルームからのログがクロール)されてもよい。場合によっては、自動化プロセス(当該技術分野では“ボット”として知られている)がこの目的で使用されてもよい。なお、他の場合では、人間の参加者がこういったチャット・ルームを自ら監視してもよい。当業者であれば、このようなチャット・ルームでは、アクセス権を維持するために参加が必要なことが多いということが分かるであろう。したがって、場合によっては、投稿者であると思われるように、ボットまたは人間の参加者がこういったチャット・ルームにエントリを投稿してもよい。
【0029】
さらに、ドメイン登録ゾーン・ファイル105c(および/またはARINなどのインターネット・レジストリなど、ドメインおよび/またはネットワーク情報のその他のソース)がデータ・ソースとして使用されてもよい。当業者には分かるとおり、ゾーン・ファイルは新たなドメイン登録を反映するように定期的に(例えば、1時間に1回または毎日)更新される。これらのファイルが、新たなドメイン登録を探すために定期的にクロール/スキャンされるとよい。特定の実施形態では、ゾーン・ファイル105cの顧客の名前および/またはドメインに類似した登録がスキャンされてもよい。単なる一例として、システム100は、異なるトップ・レベル・ドメイン(“TLD:top level domain”)またはグローバル・トップ・レベル・ドメイン(“gTLD:global top level domain”)を有する、類似したドメイン登録、ならびに/または類似した綴りのドメインを探すように構成されてもよい。そのため、顧客が<acmeproducts.com>ドメインを使用している場合、<acmeproducts.biz>、<acmeproducts.co.uk>、および/または<acmeproduct.com>という登録は、成りすましサイトのホストの可能性があるものとして重要と思われ、このようなドメインのドメイン登録は、その登録が対応するドメインをさらに解析するために、ダウンロードおよび/または記録されるとよい。一部の実施形態では、怪しいドメインが発見されると、当該ドメインは監視リストに置かれるとよい。監視リスト上のドメインは、そのドメインが“有効”になったかどうか(例えば、そのドメインに関連付けられたアクセス可能なウェブ・ページがあるかどうか)を判断するために、以下でさらに詳しく説明されるように定期的に監視されるとよい。
【0030】
1つまたは複数の電子メール・フィード105dは、システム100にさらなるデータ・ソースを提供してもよい。上述のとおり、電子メール・フィードは、スパム・メッセージなど電子メール・メッセージの任意のソースであればよい。(実際には、一部の実施形態に従い、単一の着信電子メール・メッセージが電子メール・フィードと見なされてもよい。)場合によっては、例として以下でさらに詳しく説明されるように、本発明の実施形態によっておとり電子メール・アドレスが“シード”されても、または仕掛けられてもよく、さらに/またはこれらの仕掛けられたアドレスが、電子メールのソース(すなわち電子メール・フィード)を提供してもよい。したがってシステム100は、図1Bに関して詳しく説明されるアドレス・プランタ170を含むとよい。
【0031】
アドレス・プランタ170は、電子メール・アドレス・ジェネレータ175を含むとよい。アドレス・ジェネレータ175は、ユーザ・インターフェイス180および/または1つまたは複数のデータベース185(このそれぞれは、リレーショナル・データベースおよび/またはその他任意の適切なストレージ・メカニズムを含むとよい)と通信しているとよい。このようなデータ・ストアの1つは、ユーザID情報185aのデータベースを含むとよい。ユーザID情報185aは、本発明の実施形態に従った、ユーザIDの生成に使用できる名前、数字および/またはその他識別子のリストを含むとよい。場合によっては、ユーザID情報185aは分類されてもよい(例えば、名、姓、数字またはその他の文字などの修飾子に)。別のデータ・ストアはドメイン情報180を含むとよい。ドメイン情報180のデータベースは、アドレスに利用可能であるドメインのリストを含むとよい。多くの場合、これらのドメインは、アドレス・プランタ170のオペレータにより所有/管理されているドメインとなる。しかし、他の場合には、ドメインが商用および/または消費者ISPなど他のものにより管理されることも考えられる。
【0032】
アドレス・ジェネレータ175は、インターネット上(または他の場所)の適切な位置に仕掛けられるとよい電子メール・アドレスを生成する(個別および/またはバッチで)よう構成されるとよいアドレス生成エンジンを含む。単なる一例として、アドレス・ジェネレータ175は、ユーザIDデータ・ストア185aからユーザID情報の1つまたは複数の要素を選択し(さらに/または複数の当該要素を結合し)、それらの要素にドメイン・データ・ストア185bから選択されたドメインを追加し、それによって電子メール・アドレスを作成するよう構成されるとよい。これらの構成要素を結合する手順は任意に決定できる。単なる一例として、一部の実施形態では、アドレス・ジェネレータ175は、特定のドメイン名を優先してそれらのドメインに比較的多くのアドレスが生成されるようにするよう構成されてもよい。その他の実施形態では、1つまたは複数のアドレス構成要素を無作為に選択することがプロセスに含まれることも考えられる。
【0033】
アドレス・プランタ170の一部の実施形態は、仕掛け動作の追跡に使用できる追跡データベース190を含み、追跡データベース190は、特定のアドレスが仕掛けられる場所(例えばウェブ・サイトなど)、仕掛けた日付/時間、ならびにその他任意の、仕掛けに関する適切な詳細を含むがこれらに限定はされない。単なる一例として、所定のアドレスを用いてメーリング・リストに登録することによりアドレスが仕掛けられると、メーリング・リスト(おそらくウェブ・サイト、リストの維持管理者の電子メール・アドレスなども)が、追跡データベースに記録されるとよい。場合によっては、この情報の追跡は自動化されてもよい(例えば、アドレス・プランタ170のユーザ・インターフェイス180がウェブ・ブラウザおよび/または電子メール・クライアントを含み、そのウェブ・ブラウザ/電子メール・クライアントがアドレスを仕掛けるために使用される場合、仕掛け情報に関する情報はアドレス・プランタ170によって自動的に登録されてもよい)。あるいは、ユーザが、手動で(例えば自身のウェブ・ブラウザ、電子メール・クライアントなどを使用して)アドレスを仕掛けてもよく、そのため、専用入力ウィンドウ、ウェブ・ブラウザなどによって追跡データベースに適切な情報を追加してもよい。
【0034】
したがって、ある一組の実施形態では、電子メール・アドレスの生成、指定位置への電子メール・アドレスの仕掛け(アドレス・プランタ170により生成されたかどうかに関わらず)、および/または仕掛け動作についての情報追跡に、アドレス・プランタ170が使用されてもよい。特定の実施形態では、アドレス・プランタ170は、1つまたは複数のアプリケーション・プログラミング・インターフェイス(“API”)195も含むとよく、これは、図1のシステム100(またはその他任意の適切なシステム)の他の構成要素が、プログラムでアドレス・プランタと対話できるようにするとよい。単なる一例として、一部の実施形態においてAPI195は、仕掛け動作を実行するためにアドレス・プランタ170がウェブ・ブラウザ、電子メール・クライアントなどと連動できるようにするとよい。(その他の実施形態では、上述のように、こういった機能がアドレス・プランタ170自体に含まれてもよい)。
【0035】
一部の実施形態におけるAPI195の特定の用途は、他のシステム構成要素(具体的にはイベント・マネージャ135など)がアドレス仕掛け動作(および/またはそれらの結果)についての情報を取得および/または更新できるようにすることである。(場合によっては、プログラムでのアドレス・プランタ170へのアクセスは不要なこともある−システム100の必要な構成要素が、単にデータ・ストア185の1つまたは複数に必要に応じてアクセス−SQLなどを介する−してもよい。)単なる一例として、電子メール・アドレスがシステム100により解析される(例えば以下で詳しく説明されるように)場合、システム100は、アドレス・プランタ170および/またはデータ・ストア185のうちの1つまたは複数に問い合せて、電子メール・メッセージがアドレス・プランタ170により仕掛けられたアドレス宛てになっているかどうかを判断するとよい。そうであれば、アドレス・プランタ170(または、イベント・マネージャ135など、システム100の他の何らかの構成要素)は、フィッシング・メッセージを招く見込みのある場所として仕掛け場所を記録し、希望に応じて追加のアドレスをこのような場所に仕掛けられるようにするとよい。このようにして、システム100は、仕掛け動作の効率を高めるべくフィードバック・ループを実装できる。(なお、このフィードバック・プロセスは、フィッシング・メッセージ、一般的なスパム・メッセージ、商標の悪用を明示するメッセージなどを含むがこれらに限定はされない、あらゆる所望の種類の“未承諾”メッセージに関して実装できる。)
その他の電子メール・フィードについては、本願明細書の他の場所で説明されており、それらは、スパマー/フィッシャー(phisher)から直接受信されたメッセージ;ユーザ、ISPおよび/またはその他任意のソースから転送された電子メール(おそらく、電子メールがスパムおよび/またはフィッシュではないかという疑念に基づく);メーリング・リストから転送された電子メール(反不正メーリング・リストを含むが、これに限定はされない)などを含むとよい(ただしこれらに限定はされない)。電子メール・メッセージ(スパム・メッセージの可能性がある)がシステム100により受信されると、それがフィッシング/成りすましスキームの一部であるかどうかを判断するために、そのメッセージが解析されるとよい。これらデータ・フィードのいずれかから受信された情報の解析については、以下でさらに詳しく説明されており、これには、ウェブ・サイト(多くの場合、データ・ソース105から受信/ダウンロードされたURLまたはその他の情報により参照される)がフィッシングおよび/または成りすまし詐欺に関与しそうかどうかを評価することが含まれることが多い。
【0036】
システムに着信してくるあらゆる電子メール・メッセージは、本発明の種々の方法によって解析されるとよい。当業者には分かるように、インターネット上には膨大な量の未承諾電子メールのトラフィックがあり、これらメッセージの多くが、オンライン不正行為という文脈において重要と思われる。単なる一例として、本願明細書でさらに詳しく説明される、フィッシング詐欺の一環として、一部の電子メール・メッセージが送信されることも考えられる。他のメッセージは、海賊版ソフトウェア、偽造のデザイナー・アイテム(腕時計、ハンドバッグなどを含むが、これらに限定はされない)などの闇および/または灰色市場の商品に顧客を誘う。さらに他のメッセージは、合法的な商品の宣伝であることもあるが、不適切な商標の使用および/または侵害、意図的な安値での商品販売など、違法かまたは他の形で禁止されている(例えば契約によって)行為を含むこともある。本発明の種々の実施形態は、以下で詳述するように、1つまたは複数のこれらの行為の探索、特定、および/またはそれに対する応答を行うよう構成されるとよい。(特定の実施形態は、同様の行為のために、電子メール・フィード以外にデータ・ソース−ゾーン・ファイル、ウェブ・サイト、チャット・ルームなどを含む−に対するアクセス、監視、クロールなどを行うよう構成されてもよいことにも留意されたい)。単なる一例として、システム100は、1つまたは複数のデータ・ソースの言葉ROLEXをスキャンするよう、さらに/またはROLEXの腕時計のあらゆる不適切な宣伝を特定するよう構成されてもよい。
【0037】
普通の電子メール・アドレスは多数の未承諾電子メール・メッセージを受信すると考えられること、ならびにシステム100は下記のように、そういったメッセージを受信および/または解析するよう構成されているとよいということが、当業者にはさらに分かるであろう。着信メッセージは多くの方法で受信されると思われる。単なる一例として、一部のメッセージは、メッセージを促す行動が何もとられていという点において、“無作為に”受信されると思われる。あるいは、1人または複数のユーザが、このようなメッセージをシステムに転送することも考えられる。単なる一例として、ISPが全ての未承諾メッセージを、下記のようにシステム100により監視されるとよい特定のアドレスに転送するようユーザに指示することも考えられるし、または、ユーザの着信メッセージのコピーをそのようなアドレスに自動転送することも考えられる。特定の実施形態において、ISPは、そのユーザに送信された疑わしいメッセージ(および/または、例えばこのようなメッセージに含まれているあらゆるURLなど、こういった疑わしいメッセージの一部)を、定期的にシステム100(および/またはその任意の適切な構成要素)へ転送することも考えられる。場合によっては、このプロセスを容易にするよう設計されたフィルタリング・システムをISPが有することも考えられるし、さらに/または、システム100の特定の機能がISPのシステム内に実装(および/または複製)されることも考えられる。
【0038】
上述のように、システム100はさらに、おとり電子メール・アドレス(および/または他のおとり情報)を、例えばスパマー/フィッシャーにより収穫されるように、データ・ソースの一部に仕掛けるかまたは“シード”するとよい。一般に、これらのおとり電子メール・アドレスの目的は、電子メールの収穫者に魅力的な標的を提供することであり、おとり電子メール・アドレスは通常(ただし必ずではない)、フィッシャーを引き付けるために特別に生成されるため、通常の電子メールの通信には使用されない。
【0039】
その結果、図1Aに戻り、システム100は“ハニー・ポット”110をさらに含むとよい。ハニー・ポット110は、各データ・ソース105から情報を受信し、さらに/または必要に応じてさらなる解析用にその情報を相互に関連付けるために使用されるとよい。ハニー・ポット110は、本発明の種々の実施形態に従って、様々な方法でこういった情報を受信でき、ハニー・ポット110が情報を受信する方法は任意に決定できる。
【0040】
単なる一例として、ハニー・ポット100は、上述のようにデータ・ソースの実際のクローリング/監視を行うために使用されてもよいが、そうでなくてもよい。(場合によっては、1つまたは複数の他のコンピュータ/プログラムが実際のクローリング/監視動作の実行に使用され、さらに/またはこのような動作を通して取得されたあらゆる関連情報をハニー・ポット110へ送信してもよい。例えば、ゾーン・ファイルを監視し、新たなドメイン登録、無効になったドメイン登録および/または他の形で変更されたドメイン登録の全てを解析用にハニー・ポット110へ送信するよう、プロセスが構成されることも考えられる。あるいは、ゾーン・ファイルがハニー・ポット110への入力として送られともよく、さらに/またはハニー・ポット110が変更されたあらゆるドメイン登録を探すために使用されてもよい。)さらにハニー・ポット110は、電子メール・メッセージ(別の受信者から転送されることも考えられる)の受信、および/または1つまたは複数のおとり電子メール・アドレスの着信電子メールの監視を行うよう構成されてもよい。特定の実施形態では、ハニー・ポット110が1つまたは複数の電子メール・アドレス(おとりアドレスであるとよい)のメール・サーバとなるようシステム100が構成され、当該アドレス宛ての全メールが直接ハニー・ポット110へ送信されるようにしてもよい。そのため、ハニー・ポット110は、デバイスおよび/またはソフトウェアを含むとよく、これは、おとり電子メール・アドレス宛ての電子メール・メッセージを受信するよう機能するもの(例えばSMTPサーバなど)、および/または電子メール・メッセージを取り出すよう機能するもの(例えばPOP3および/またはIMAPクライアントなど)であるとよい。当該技術分野では、このようなデバイスおよびソフトウェアはよく知られており、本願明細書で詳しく論じる必要はない。種々の実施形態に従い、ハニー・ポット110は、SMTP、MIME、HTML、RTF、SMSおよび/または同様のものなどを含む、種々の有名なメッセージ・フォーマットのいずれか(または全て)を受信するよう構成されるとよい。さらにハニー・ポット110は、1つまたは複数のデータベース(および/またはその他のデータ構造)を含んでもよく、これは、電子メール・メッセージおよびその他のデータ(例えばゾーン・ファイルなど)、ならびにクローリング/監視動作から取得された情報を保持/分類するために使用されるとよい。
【0041】
一部の態様では、受信データ(受信電子メール・メッセージを含むがこれに限定はされない)の何らかの仮の分類および/またはフィルタリングを行うようハニー・ポット110が構成されることも考えられる。例えば、特定の実施形態では、ハニー・ポット110は受信データの“ブラックリスト上の”ワードまたはフレーズを検索するよう構成されてもよい。(“ブラックリスト”の概念は、以下でさらに詳しく説明される)。ハニー・ポット110は、このようなブラックリスト上の用語を含むデータ/メッセージを、優先的な処理などを目的として分離すること、および/またはこれらの基準もしくは他の基準に基づくデータ/メッセージのフィルタを行うとよい。
【0042】
さらにハニー・ポット110は、顧客ポリシー115に従って動作するよう構成されてもよい。例示的な顧客ポリシーは、例えば特定のキーワードを検索するためなどに特定の種類および/またはフォーマットの電子メールを見張るようハニー・ポットに指示することも考えられ、これは顧客別のカスタマイズを可能にする。さらにハニー・ポット110は、例えば顧客のウェブ・サイトの侵害(compromise)の監視など、他の状況に関する監視を含む、拡張された監視オプション120を利用してもよい。任意選択で、ハニー・ポット110は、メッセージを受信すると電子メール・メッセージをデータ・ファイルに変換してもよい。
【0043】
一部の実施形態では、ハニー・ポット110は、1つまたは複数の相関エンジン(correlation engine)125と通信しており、この相関エンジン125は、ハニー・ポット110により受信された電子メール・メッセージ(および/または、クローリング/監視動作から受信された情報などの他の情報/データ)のさらに詳しい解析を実行できる。(なお、本願明細書でのハニー・ポット110、相関エンジン125などの様々な構成要素への機能割り当ては無原則なものであり、一部の実施形態に従って、特定の構成要素が他の構成要素に割り当てられた機能を具現化してもよい。)
定期的に、および/またはハニー・ポット110により着信メッセージ/情報が受信/取り出しされるにつれ、ハニー・ポット110は、受信/取り出しされた電子メール・メッセージ(および/または対応するデータ・ファイル)を利用可能な相関エンジン125へ解析用に送信する。あるいは、ハニー・ポット110から定期的にメッセージ/データ・ファイルを取り出すよう各相関エンジン125が構成されてもよい(例えばスケジュールされたFTPプロセスなどを使用)。例えば特定の実装では、ハニー・ポット110が、上述のように電子メール・メッセージおよび/またはその他のデータ(分類/フィルタリング済みでも、そうでなくてもよい)を格納し、各相関エンジンが、データおよび/またはメッセージを定期的に、および/または状況に応じて取り出してもよい。例えば、相関エンジン125が、利用可能な処理能力を有する(例えば、キュー内のあらゆるデータ/メッセージの処理を終了した)ときに次の100通のメッセージ、データ・ファイルなどを処理用にハニー・ポット110からダウンロードすることが考えられる。特定の実施形態に従い、種々の相関エンジン(例えば125a、125b、125c、125d)が、特定の種類のデータ(例えばドメイン登録、電子メールなど)を処理するよう特別に構成されてもよい。その他の実施形態では、全ての相関エンジン125があらゆる利用可能なデータを処理するよう構成されてもよく、さらに/または複数の相関エンジン(例えば125a、125b、125c、125d)が実装されて並列処理のより高い能率が生かされてもよい。
【0044】
相関エンジン(単数または複数)125は、データ(単なる一例として電子メール・メッセージなど)を解析し、ハニー・ポット110により受信されたメッセージのいずれかがフィッシュ・メッセージであるかどうか、および/または個人情報を収集しようとする不正な試みの証明となりそうであるかどうかを判断するとよい。この解析の実行手順については以下で詳しく説明する。
【0045】
相関エンジン125は、イベント・マネージャ135と通信しているとよく、さらにイベント・マネージャ135は監視センター130と通信しているとよい。(あるいは、相関エンジン125は監視センター130と直接通信していてもよい。)特定の実施形態では、イベント・マネージャ135は、コンピュータおよび/またはソフトウェア・アプリケーションであってもよく、これは監視センター130の技術者によりアクセス可能であるとよい。相関エンジン125が、特定の着信電子メール・メッセージについて不正な活動を行いそうなものであると判断するか、またはクローリング/監視動作を通して取得された情報が不正な活動を示す可能性があると判断すると、相関エンジン125は、イベント・マネージャ135にその電子メール・メッセージについてイベント作成の必要があることを信号で伝える。特定の実施形態では、相関エンジン125および/またはイベント・マネージャ135は、当該技術分野でよく知られているシンプル・ネットワーク管理(“SNMP:Simple Network Management”)プロトコルを使用して通信するよう構成されるとよく、相関エンジンの信号はSNMP“トラップ”を含み、解析されたメッセージ(単数または複数)および/またはデータが、さらなる調査が必要な、起こり得る不正イベントを示したことを知らせるとよい。この信号(SNMPトラップなど)に応答して、イベント・マネージャ135がイベント(SNMPイベントを含んでもよく、または独自仕様のフォーマットであってもよい)を作成するとよい。
【0046】
イベントが作成されると、イベント・マネージャ135は、メッセージ/情報、および/またはメッセージ/情報に含まれ、さらに/もしくはそれに関連付けられた、任意のURLの情報収集動作(調査)140を開始するとよい。以下で詳しく説明するように、調査は、このURLに関連付けられたドメインおよび/またはIPアドレスについての情報を収集すること、ならびにそのURLにより参照されているリソース(例えばウェブ・ページなど)をホストするサーバ(単数または複数)に問い合わせることを含むとよい。(本願明細書で使用される“サーバ”という用語は、文脈によって示されるとおり、IPベースのサービスの提供、または個人情報が交換されることもあるオンライン取引を実施できるあらゆるコンピュータ・システムについて使用されること、および特に、個人情報を要求するウェブ・ページを提供することなどにより個人情報の不正な収集に関与する可能性のあるコンピュータ・システムについて使用されることがある。そのため、このようなサーバの最も一般的な例は、ハイパーテキスト転送プロトコル(“HTTP:hypertext transfer protocol”)および/または幾つかの関連サービスのいずれかを使用して動作するウェブ・サーバであるが、場合によっては、サーバは、データベース・サービスなど他のサービスを提供することもある)。特定の実施形態では、単一の電子メール・メッセージ(または情報ファイル)が複数のURLを含む場合、各URLに別々のイベントが作成されてもよい;他の場合では、単一のイベントが、特定のメッセージ内のURL全てを対象としてもよい。メッセージおよび/または調査によって、イベントが特定の顧客に関係することが示されると、そのイベントが当該の顧客に関連付けられるとよい。
【0047】
さらに、イベント・マネージャは、このイベントについて自動レポート145を準備し(さらに/またはレポーティング・モジュール(図示せず)などの別のプロセスにレポートを生成させ)、このレポートが、監視センター130(または、さらに言えば他の任意の場所)のさらなる技術者により解析されるとよい;レポートは、調査および/または調査により得られた任意の情報の、概要を含むとよい。一部の実施形態では、このプロセスは完全に自動化されて、人間による解析が必要ないようにしてもよい。必要に応じて(さらにおそらくは顧客ポリシー115による指示に従い)、イベント・マネージャ135は顧客通知150を自動的に作成し、そのイベントに影響を受けた顧客に通知するとよい。顧客通知150は、レポート145からの情報の一部(または全部)を含むとよい。あるいは、顧客通知150は単に顧客にイベントを知らせ(例えば、電子メール、電話、文書などによって)、顧客がレポートのコピーにアクセス(例えば、ウェブ・ブラウザ、クライアント・アプリケーションなどを介して)できるようにしてもよい。顧客はさらに、その顧客に影響を及ぼすイベント(例えば、イベントが、顧客の商標、製品、会社の識別情報などを使用した不正行為を伴う場合)を表示する専用ウェブ・サイトなどのポータルを使用して、興味のあるイベントを見てもよい。
【0048】
調査140により、URLにより参照されるサーバが個人情報を収集しようとする不正な試みに関与していることが明らかになると、技術者は禁止応答155(本願明細書では“技術応答”とも呼ばれる)を開始するとよい。(あるいは、技術者による介入なしに自動的に応答を開始するようイベント・マネージャ135が構成されてもよい)。状況および実施形態に応じて種々の応答が適切となり得る。例えば、場合によってはサーバが侵害される(すなわち“ハッキング”される)可能性もあり、その場合、サーバのオペレータの制御下にないアプリケーションの実行および/またはサービスの提供をサーバが行っているということが、当業者には分かるであろう。(この文脈で使用される“オペレータ”という用語は、サーバを所有、保守する存在、および/または他の形でサーバに関与する存在を意味する。)調査140により、サーバのオペレータは単なる無意識の被害者であって不正スキームの関係者でなく、サーバが侵害されているらしいことが明らかになれば、適切な応答は単に、サーバが侵害されていることをサーバのオペレータに通知すること、さらにおそらく、侵害を許したあらゆる脆弱性について修正方法を説明することを含むとよい。
【0049】
その他の場合では、他の応答の方が適切なこともある。このような応答は概して、以下でさらに詳しく説明するように、事実上、管理160または技術165のいずれかに分類できる。場合によっては、システム100は、希釈エンジン(dilution engine)(図示せず)を含んでもよく、これは以下でさらに詳しく説明するように、技術応答を引き受けるために使用できる。一部の実施形態において希釈エンジンは、コンピュータ上で実行されるソフトウェア・アプリケーションであり、本発明の方法に従い特にフィッシング詐欺への応答を作成するよう、さらに/またはそのフォーマットを整えるよう構成されてもよい。希釈エンジンは、相関エンジン125、イベント・マネージャ135などと同じコンピュータにあっても(さらに/またはそこに組み込まれても)よく、さらに/またはこれら構成要素のいずれかと通信しているとよい別のコンピュータにあってもよい。
【0050】
上述のように、一部の実施形態においてシステム100は、どの仕掛け場所/技術がスパムの発生に比較的効果が高いかを容易に判断できるようにするために、フィードバック・プロセスを取り入れるとよい。単なる一例として、システム100は上述のように、仕掛けられたアドレスに関する情報を追跡するメカニズムを提供するとよいアドレス・プランタ170を含むとよい。これに対して、イベント・マネージャ135は電子メール・メッセージ(および特に、イベントをもたらすメッセージ)を解析し、そのメッセージが仕掛け動作に起因するかどうかを判断するよう構成されているとよい。例えば、システム100により仕掛けられた1つまたは複数のアドレス(単数または複数)に対応するアドレスがあるとすればそれがどれであるのかを判断するために、メッセージのアドレスが評価されるとよい。メッセージが1つまたは複数の仕掛けられたアドレスに対応すると判断されると、仕掛けの状況を判断するために仕掛けられたアドレスのデータベースが調べられ、システム100がこの情報を技術者に表示することも考えられる。このようにすれば、技術者は、有益な場所に追加のアドレスを仕掛けることを選択できる。あるいは、システム100は、アドレス・プランタ170に自動フィードバックを提供するよう構成されてもよく、アドレス・プランタ170もまた、追加のアドレスをそういった場所に自動的に仕掛けるよう構成されてもよい。
【0051】
したがって、本発明の種々の実施形態に従い、不正行為の存在を判断するために、起こり得るオンライン不正行為についての一組のデータ(電子メール・メッセージ、ドメイン登録、URLおよび/またはオンライン不正行為についてのその他関連データであればよい)が受信および解析されるとよく、不正行為の一例はフィッシング・スキームでもあり得る。本願明細書で使用される“フィッシング”という用語は、例えば、自分の個人情報の提供、違法製品の購入など、ユーザが別の状況ではとらないような行動をユーザに取らせる不正スキームを意味し、これは多くの場合、ユーザに合法的に見えることもあるウェブ・サーバなどのサーバにアクセスするよう要求する未承諾電子メール・メッセージの送信(または、例えば電話、ウェブ・ページ、SMSメッセージなど、他の何らかの通信)によるものである。そうであれば、あらゆる関連の電子メール・メッセージ、URL、ウェブ・サイトなどが調査され、さらに/または応答行動がとられるとよい。さらなる特徴およびその他の実施形態について、以下でさらに詳しく論じる。
【0052】
上記のように、本発明の特定の実施形態は、オンライン不正行為に対処するシステムを提供する。図2のシステム200は、ある一組の実施形態の具体例と見なされるとよい。システム200は一般的に、ネットワーク205を含み得るネットワーク化環境において実行される。多くの場合、ネットワーク205はインターネットであるが、一部の実施形態においてネットワーク205は、他の何らかのパブリックおよび/またはプライベート・ネットワークであってもよい。一般的に、コンピュータ間のデータ通信をサポートできるネットワークであればどれでも十分である。システム200は、本願明細書で論じられている手順または方法のいずれかを実行するのに使用できるマスタ・コンピュータ210を含む。特に、マスタ・コンピュータ210は、種々のデータ・ソースのクロール/監視、おとり電子メール・アドレスのシード、おとり電子メール・アドレスに送信された電子メール・メッセージの収集および/もしくは解析、イベントの作成および/または追跡、URLおよび/もしくはサーバの調査、イベントについてのレポートの準備、イベントについての顧客への通知、ならびに/または、例えば通信リンクを介した監視センター215との(および、より具体的には、監視センター内の監視コンピュータ220との)通信を行うよう構成されるとよい(例えばソフトウェア・アプリケーションによって)。マスタ・コンピュータ210は、複数のコンピュータであってもよく、複数のコンピュータのそれぞれは、種々の実施形態に従い特定のプロセスを実行するよう構成されるとよい。単なる一例として、1台のコンピュータが、ハニー・ポットに関して上述した機能を実行するよう構成され、別のコンピュータが、相関エンジンに関連付けられたソフトウェアを実行するよう構成されて、例えば電子メール・メッセージ/データ・ファイルの解析を実行してもよく;第3のコンピュータが、イベント・マネージャとしての機能を果たすよう構成されて、例えば疑わしい不正行為の出来事の調査および/もしくはそれへの対応などをしてもよく、さらに/または、第4のコンピュータが、希釈エンジンの機能を果たすよう構成されて、例えば技術応答を生成および/もしくは送信してもよく、単なる一例としてこの技術応答は、以下でさらに詳しく説明するように、1つまたは複数のHTTPリクエストを含んでもよい。同じく、監視コンピュータ220も、適切な機能を実行するよう構成されるとよい。
【0053】
監視センター215、監視コンピュータ220、および/またはマスタ・コンピュータ210は、例えば通信リンクを介して1件または複数件の顧客225と通信しているとよく、通信リンクは、電話線、無線接続、広域ネットワーク、ローカル・エリア・ネットワーク、仮想プライベート・ネットワークおよび/または同様のものなど、音声および/またはデータ通信を提供できる任意の媒体を介した接続を含むとよい。上記の通信は、データ通信および/または音声通信(例えば、監視センターの技術者が顧客側の人物と電話通信を行ってもよい)であればよい。顧客(単数または複数)225との通信は、イベント・レポートの送信、イベントの通知、および/または不正行為への応答に関する協議を含むとよい。
【0054】
マスタ・コンピュータ210は、上述のデータ・ソース105を含むがこれに限定はされない複数のデータ・ソースを含む(および/またはそれと通信する)とよい。その他のデータ・ソースが同様に使用されてもよい。例えば、マスタ・コンピュータは、証拠データベース230および/または“安全なデータ”のデータベース235を含むとよく、これは、以下で詳しく論じられるように用いられるよう、おとり電子メール・アドレスおよび/もしくは1つまたは複数の架空(または本物)の識別情報に関する個人情報を生成ならびに/または格納するために使用できる。(本願明細書で使用される“データベース”という用語は、従来のデータベース管理ソフトウェア、オペレーティング・システム・ファイル・システム、および/または同様のものなど、データを格納する任意の手段を含むよう、広く解釈される必要がある。)さらにマスタ・コンピュータ210は、調査されるインターネットおよび/または任意のサーバに関する情報の、1つまたは複数のソースと通信していてもよい。このような情報ソースは、ドメインWHOISデータベース240、ゾーン・データ・ファイル245などを含むとよい。多くの場合、WHOISデータベースは中央登録機関(例えば、アメリカン・レジストリ・フォー・インターネット・ナンバーズ(“ARIN:American Registry for Internet Numbers”)、ネットワーク・ソリューションズ社(Network Solutions,Inc.など)により保守されており、マスタ・コンピュータ210は、これら機関に問合せを行うよう構成されてもよく;あるいは、マスタ・コンピュータ210は、非公開で保守されているデータベースなどの他のソースから、当該情報を取得するよう構成されてもよいということが、当業者には分かるであろう。マスタ・コンピュータ210(および/またはその他任意の適切なシステム構成要素)は、これらのリソース、ならびに公開されているドメイン名サーバ(DNS:domain name server)・データ、ルーティング・データおよび/または同様のものなど、その他のものを使用して、不正行為の実行が疑われるサーバ250を調査するとよい。上述のとおりサーバ250は、オンライン取引の処理、ウェブ・ページの提供、および/または他の方法での個人情報の収集ができる、任意のコンピュータであればよい。
【0055】
さらにシステムは、1つまたは複数の応答コンピュータ255を含むとよく、応答コンピュータ255は、以下でさらに詳しく説明するように、不正行為に対して技術応答を提供するために使用されるとよい。特定の実施形態では、1つまたは複数の応答コンピュータ255は、フィッシング詐欺への応答を作成するため、および/またはそのフォーマットを整えるために使用できる希釈エンジンを含んでもよく、さらに/または希釈エンジンと通信していてもよい。(なお、応答コンピュータ255の機能は、マスタ・コンピュータ210、監視コンピュータ220などにより実行されてもよい。)特定の実施形態では、複数のコンピュータ(例えば255a−c)を使用して、分散応答(distributed response)を提供してもよい。応答コンピュータ255、ならびにマスタ・コンピュータ210および/または監視コンピュータ220は、ハードウェア、ファームウェアおよび/または必要なタスクを実行するためのソフトウェア命令を有する専用コンピュータであってもよい。あるいは、これらのコンピュータ210、220、255は、例えばマイクロソフト社(Microsoft Corp.)のウィンドウズ(登録商標)(Windows(登録商標))および/またはアップル社(Apple Corp.)のマッキントッシュ(Macintosh)・オペレーティング・システム)の任意の適切な特色を実行するパーソナル・コンピュータおよび/もしくはラップトップ・コンピュータ、ならびに/または様々な商用のUNIX(登録商標)またはUNIX(登録商標)ライクのオペレーティング・システムのいずれかを実行しているワークステーション・コンピュータなど、オペレーティング・システムを有する汎用コンピュータであってもよい。特定の実施形態では、コンピュータ210、220、255は、例えばGNU/Linux、FreeBSDなど、様々なフリーのオペレーティング・システムのいずれかを実行してもよい。
【0056】
さらに、コンピュータ210、220、255は、HTTPサーバ、FTPサーバ、CGIサーバ、データベース・サーバ、Java(登録商標)サーバおよび同様のものなどを含む、種々のサーバ・アプリケーションを実行するとよい。これらのコンピュータは、他のコンピュータからのリクエスト、および/またはそれとの対話に応答して、ウェブ・アプリケーションを含むがこれに限定はされないプログラムまたはスクリプトを実行できる、1つまたは複数の汎用コンピュータであればよい。このようなアプリケーションは、単なる例として、C、C++、Java(登録商標)、COBOL、または、Perl、PythonもしくはTCLなどの任意のスクリプト言語、またはそれらの任意の組み合わせなど、任意のプログラミング言語で書かれた1つまたは複数のスクリプトまたはプログラムとして実装されるとよい。さらにコンピュータ210、220、255は、ローカルおよび/または他のコンピュータで実行されているデータベース・クライアントからのリクエストを処理できる、オラクル(Oracle)、マイクロソフト、サイベース(Sybase)、IBMおよび同様のものから市販されているパッケージを含むがこれらに限定されない、データベース・サーバ・ソフトウェアを含んでもよい。単なる一例として、マスタ・コンピュータ210は、本発明の実施形態に従いタスクを実行するための個別アプリケーション・ソフトウェアを実行するよう構成された、GNU/Linuxオペレーティング・システムおよびPostgreSQLデータベース・エンジンを動作させるインテル(Intel)・プロセッサ・マシンであってもよい。
【0057】
一部の実施形態では、1つまたは複数のコンピュータ110は、調査レポートなどの表示用に、必要に応じて動的にウェブ・ページを作成するとよい。これらのウェブ・ページは、1台のコンピュータ(例えばマスタ・コンピュータ210)と別のコンピュータ(例えば監視コンピュータ220)との間のインターフェイスとしての機能を果たすとよい。あるいは、コンピュータ(例えばマスタ・コンピュータ210)はサーバ・アプリケーションを実行してもよく、その一方で、別の(例えば監視コンピュータ220)デバイスが専用クライアント・アプリケーションを実行してもよい。そのため、サーバ・アプリケーションは、クライアント・アプリケーションを実行するユーザ・デバイスのインターフェイスとしての機能を果たすとよい。あるいは、コンピュータの中の特定のものが、“シン・クライアント”または他のコンピュータと通信する端末として構成されてもよい。
【0058】
システム200は1つまたは複数のデータ・ストアを含むとよく、このデータ・ストアは、1つまたは複数のハード・ドライブなどを含むとよく、例えばデータベース(230、235など)を格納するために使用されてもよい。データ・ストアの位置は任意に決定できる:単なる一例として、1つまたは複数のコンピュータの、ローカルのストレージ媒体上にあっても(さらに/またはコンピュータに常駐しても)よい。あるいは、データ・ストアはこれらデバイスのいずれかまたは全てから、これらのうちの1つまたは複数と通信(例えばネットワーク205を介して)している限りは離れていてもよい。一部の実施形態では、データ・ストアは、当業者によく知られているストレージ・エリア・ネットワーク(“SAN:storage−area network”)にあってもよい。(同じく、コンピュータ210、220、255による機能を実行するのに必要なあらゆるファイルは、必要に応じて、各コンピュータのローカルのコンピュータ可読ストレージ媒体、および/または各コンピュータから離れたコンピュータ可読ストレージ媒体に格納されるとよい。)
図3は、本願明細書で説明されているように、本発明の方法、ならびに/または、マスタ・コンピュータ、監視コンピュータおよび/もしくは応答コンピュータの機能を実行できる、コンピュータ・システム300の一実施形態の一般化された概略図である。図3では、種々の構成要素に関する一般化された説明図を提供することのみが意図されており、これらのうちのいずれかが必要に応じて利用されるとよい。コンピュータ・システム300は、バス305を介して電気的に繋がれることが可能な1つまたは複数のプロセッサ310;1つまたは複数のストレージ・デバイス315など、ハードウェア構成要素を含むとよく、ストレージ・デバイス315は、ディスク・ドライブ、光学ストレージ・デバイス、例えばランダム・アクセス・メモリ(“RAM:random access memory”) および/または読み出し専用メモリ(“ROM:read−only memory”)などの固体ストレージ・デバイスを含んでもよいがこれらに限定はされず、プログラム、フラッシュ・アップデート、および/または、同様のことが可能で(さらに、上述のようにデータ・ストアとして機能可能で)あるとよい。マウス、キーボードおよび/もしくは同様のものを含み得るがこれらに限定されない1つまたは複数の入力デバイス320;表示デバイス、プリンタおよび/もしくは同様のものを含み得るがこれらに限定されない1つまたは複数の出力デバイス325;ならびに、モデム、ネットワーク・カード(無線または有線)、赤外線通信デバイス、および/もしくは同様のものを含み得るがこれらに限定されない通信サブシステム330も、同じくバス305と通信するようになっているとよい。
【0059】
さらに、コンピュータ・システム300は、上述のようなアプリケーション・プログラム、および/または本発明の方法を実装するよう設計されたアプリケーション・プログラムなど、オペレーティング・システム340および/またはその他のコード345を含む、ワーキング・メモリ335内に現在は位置して示されているソフトウェア構成要素を含むとよい。特定の実施形態および/または要求に従って、多くの変形物がつくられてもよいことが、当業者には分かるであろう。例えば、カスタマイズされたハードウェアがさらに使用されることも考えられ、さらに/または特定の構成要素がハードウェア、ソフトウェア(アプレットなどの高移植性ソフトウェアを含む)、または両方に実装されることが考えられる。
【0060】
一般的に、図4により示されるように、所定のISP(またはその他の会社)400が、そのソース405から不正行為に関するデータを、加えておそらくはセキュリティ・プロバイダから種々のデータ410を、受信するとよい。本発明の実施形態に従い、このようなデータを共有すること(および/または、以下でさらに詳しく説明されるように、こういった共有を実行する方法の制御を実施すること)が容易になると思われる。
【0061】
一例として、図5は、複数の会社505がピアリング関係504に参加するとよいシステム500を図示する。場合によっては、セキュリティ・プロバイダ509は、プロバイダ509と会社505との間の対話を可能にするために、アプリケーション・プログラミング・インターフェイス(“API”)510を提供する。さらにシステムは、種々のフィードに関するデータ属性515aの生成、解析および/または提供、ならびにまたは、種々の会社505に固有の情報515bに対する、権限サービス514もしくはその他アクセス制御の提供など、他の拡張サービスを提供してもよい。追加のサービス520は、不正行為検出サービス520a、早期事前警告サービス520b、および/または不正行為対応/解決サービス520cを含むとよい。このようなサービスについては関連出願で詳しく説明されている。
【0062】
場合によっては、システムは種々のデータ・サービス525および/またはソース(一様に数字525a、525b、525cにより参照される構成要素によって示されている)を利用してもよく、これらの多くについては関連出願で説明されている。
【0063】
図6により示されているように、システム500はさらに、プライベート・ピア交換API610(上述のAPI510と同じAPIであってもよい)を実現して、プロバイダと会社505との間、ならびに場合によっては1つの会社505aと別の会社505bとの間のデータ交換を可能にするとよい。このような情報は、次に限定するものでないが、特定の会社505aに固有な場合もある会社固有またはエンティティ固有の配信属性615を含むこともあるため、場合によっては他の会社505b−dと共有されない。このようなエンティティ固有属性の例には、不正行為の種類、通信が検出された元のURLまたはポート、不正行為の標的エンティティ、データ許可、レポータの識別子、レポータのソース、電子メール・データなどに関する情報が含まれ得るが、これらに限定はされない。さらにデータ属性は、会社またはエンティティの間で、これら会社および/またはプロバイダにより規定される許可におそらく基づき共有可能な共有属性620を含んでもよい。このような許可は、1つの会社505aが、別の会社505bのものであるデータに不正にアクセスするのを防ぐべく、API610により強制されるとよい。共有データ属性620の例をいくつか挙げると、ISP配信属性、レポータの評判、サイトの状況、不正行為の識別子、ドメイン所有者、ネットワークもしくはISPのデータ、レポートのタイムスタンプ、確認タイムスタンプなどが含まれるが、これらに限定はされない。なお、場合によって会社505aは、会社固有の配信属性を共有することを選択してもよい。
【0064】
本発明の実施形態はさらなる追加の特徴を提供することもあり、これには、交渉済みの条件および/またはデータ許可におそらく基づき、任意の二者(またはそれより多い会社)間について、二者間の取り決め(例えばデータ属性の共有)を実現することが含まれるが、これに限定はされない。場合によっては、パーティが、それらがシステムに提供するデータ(フィードなど)の量に比例してシステムから利益を得ることを、システムが可能にしてもよい(例えば、種々のデータ属性へのアクセス制御を通して)。さらに、システムが“匿名の”不正行為検出をサポートして、フィードからの情報が会社に配布される前にセキュリティ・プロバイダによって(および/またはシステムによって)ジェネリック化される(genericized)ようにし、1つの会社(および/またはその顧客)の個人情報は他の会社と共有されないもののその会社のデータ(および/またはその解析)の利点は他者が得られるようにするとよい。
【0065】
こういった不正行為およびセキュリティ関係の情報を交換する理由には以下が含まれ得るが、これらに限定はされない:
・新型または変形したセキュリティ・イベントまたは脅威を、それが最初に起こったときに起こった場所を問わず発見する。
・あらゆるセキュリティ・イベントまたは脅威の大きさ、継続期間および程度を理解する。
・あらゆるセキュリティ・イベントまたは脅威のライフ・サイクル、系統、適応および時間の経過による変形を理解する。
・脅威プロファイル(履歴、起源、順列、型、分類および見本など)イベント・ログ、セキュリティ・データベース、検出モデルおよび予想力を確立する
・異なるセキュリティ・イベントまたは脅威の間の相関関係、相互関係および相違点を判断する。
・自らのセキュリティ・イベントまたは脅威の体験と対比して、同じ業界または他の業界の他のものを、個別または総合的に理解する。
・セキュリティ脅威およびイベントについての傾向、データ解析、統計およびレポートを作成する。
【0066】
種々の実施形態は、容易さ、システム、プログラム、アルゴリズム、処理、データ・ストレージ、データ送信、プロセス、データ定義、スキーマ、分類法、プロセス、ワークフロー、動作を提供して、ISP、銀行、オークション・サービス・プロバイダ、セキュリティ企業などが、生および/または処理済みのセキュリティ・イベントもしくは脅威のデータ(フィードを含むがこれに限定はされない)を配信できるようにする。その結果システムは、このようなデータを一定の方法で処理し、さらに/またはこのような生および/もしくは処理済みのデータを定義済みであり正規化された定義および標準に従って整理および/もしくは格納し、いずれの会社も、それらがまさに交換したいデータの具体的な種類、量、ボリューム、時間、形式およびフォーマット、ならびにそのデータ交換に適用したい商業、運用、配信に関する条件について、他のあらゆる会社と相互に定義および交渉できるようにすることが可能である。
【0067】
特定の実施形態では、データが多少の価値を有し、参加者が、データ保全性、フォーマット、定義、配信方法および信頼性に関する一定の基準を順守する限り、参加者がそれぞれの入力データを提出(および/または取り出し)することの許可において、かなり寛大であってもよい。場合によっては、システムは、入力データの出所、所有権、ソース、直接および関連のパーティの識別情報、評判、利用特性および制限にタグを付け、さらに/またはそれを追跡する。続いてシステムが、データを処理すること、および/または提出されたデータに関する追加の派生データを作成すること、加えて、我々が有することもある他のデータもしくは他者から提出された他のデータにデータを相関させて、派生データを作成することも考えられる。加えて、データは、時間がたつにつれて格納されてもよく、さらに/または多次元解析が実行されてもよく、さらに特定のデータ・セット内およびデータ・リポジトリ全体にわたって関係が特定されてもよい。このような解析および関係の特定については、関連出願でさらに詳しく説明されている。
【0068】
さらに本発明の実施形態は、参加者間における二者間または多者間の商業上の取り決めを容易かつ可能にし、どのデータを他者と交換するかについて、ならびに全ての関連した商業上、技術上、運用上の条件について、交渉可能にすることも考えられる。その結果システムは次に、各パーティに、それらが交換に合意し、アクセスするのに十分な法的権利、商権またはその他の権利を有するデータおよび派生データのみを提供することにより、この取り決めを満たすようにサービスを提供することができる。
【0069】
したがって、一部の実施形態では、データの提供相手、厳密な提供対称データおよび提供する程度、見返りとして得るもの(金銭、データまたはサービスの交換、またはその他の報酬など)、およびどの運用、技術、地理、法律、規制、ポリシー、商業に関する条件および制限の下におくかを、定義、制御でき、そこから利益を享受し、それを強制(二者間、多者間、個別に、および/または状況に応じて)できるということを知った上で、関連した不正行為およびセキュリティのデータ全てを提出するよう参加者に勧める。
【0070】
図7は、本発明の一実施形態による、改良された不正行為監視を提供する情報収集プロセスを図示する流れ図である。この例では、プロセスは、不正オンライン活動に関する直接情報を第1エンティティから受信することで始まる(705)。上述の通り、直接情報を第1エンティティから受信することは、アプリケーション・プログラム・インターフェイス(API)を介して直接情報を受信することを含むとよい。例示的なAPIおよびこのようなAPIのデータ属性についてのさらなる説明は、以下でさらに論じられる。
【0071】
受信すると(705)、直接情報は解析され(710)、不正オンライン活動に関する一組の正規化データが作成されるとよい(715)。直接データの解析(710)は、不正オンライン活動に関する一組の派生データを生成することを含むとよい。不正オンライン活動に関する一組の派生情報の生成は、直接情報、および他の不正オンライン活動に関する以前保存された情報に基づくとよい。このような保存情報は、直接情報および派生情報を含むとよい。一組の正規化データは、複数のエンティティにより読み取り可能な形式であるとよく、直接情報および派生情報を含むとよい。一組の正規化データは格納されるとよい(720)。
【0072】
図8は、本発明の一実施形態に従った、改良された不正監視に関する情報を提供するプロセスを図示する流れ図である。この例では、複数のエンティティのうちの第2エンティティから、格納された正規化データにアクセスするためのリクエストを受信することでプロセスが始まる(805)。上述のとおり、格納された正規化データにアクセスするためのリクエストを受信することは、APIを介してリクエストを受信することを含むとよい。第2エンティティによる格納された正規化データへのアクセスは、制御されるとよい(810)。例えば、上述のとおり、第2エンティティによる格納された正規化データへのアクセスを制御することは、第1エンティティと第2エンティティとの間の取り決めに基づくとよい。許可されている(810)場合、格納された正規化データの少なくとも一部が、第2エンティティに提供されるとよい(815)。
【0073】
一組の実施形態では、システムは、上述のものを含むがそれらに限定はされない1つまたは複数のAPIを特色とするとよい。このAPIは、データの提出方法および/またはシステムからの受信方法を定義する、データに関するXMLスキーマと関連して使用されてもよい。システムはさらに、違法アクセス(例えばハッカーによる)からの情報保護、および1つの参加会社による別の会社のデータへの不正アクセスの防止の両方のために、アクセス制御、認証および/または送信セキュリティ(当該技術分野で知られている種々の暗号化および/または認証スキームを含むがこれらに限定はされない)のための種々の手段を含むとよい。例えば、プライバシーまたはポリシーの理由で参加会社が保護する必要がある、あるレベルの個人データまたは識別データを含む受信データに対応するために、システム内に格納されているデータが任意選択で暗号化されてもよい。
【0074】
実際には、場合によって、プライバシーに関する法律およびポリシーに応じて、データの一部または全部が参加会社の記憶場所にあってもよい。そのような場合には、システムは例えば交換管理の処理および/または指示を提供して2者(またはそれより多くの会社)間の中間物としての機能を果たすが、データは参加会社から参加会社へ直接送信される、ということも考えられる。(例えば、ISPまたは銀行などの特定の会社は、セキュリティ保護のために、顧客データの使用についてセキュリティ・プロバイダよりも強い権利を持つことも考えられる。
【0075】
次の表には、システムにより受信、処理、解析および/または提供されるとよい各種データ属性の例がいくつか記載されている。本願明細書の開示に基づき、他の種類のデータも同じく使用可能であることが、当業者には分かるであろう。
【0076】
【表1−1】
【0077】
【表1−2】
次の表には、システムにより受信、処理、解析および/または提供された一組のデータにタグを付け、さらに/またはそれを追跡するために使用されるとよい、メタデータの種類の例が記載されている。本願明細書の開示に基づき、他の種類のメタデータも同じく使用可能であることが、当業者には分かるであろう。
【0078】
【表2】
次の表には、システムによって受信、処理、解析および/または提供されたデータに関連した各種の違法活動を特定するために使用されるとよいタグの種類の例が記載されている。本願明細書の開示に基づき、他の種類のタグも同じく使用可能であることが、当業者には分かるであろう。
【0079】
【表3】
本願明細書で説明されたプライベート不正行為ピアリング・モデルは、不正行為およびその他のセキュリティに関するデータの収集、処理、交換に関して説明されたが、同じモデルを、他の業界における他の目的のための異なる種類のデータを交換するために適用することも可能である。
【0080】
前述の説明では、説明のために特定の順序で方法が説明された。当然のことながら、代わりの実施形態では、説明とは異なる順序でこの方法が実行されてもよい。さらにこの方法は、追加のステップを含んでもよく、または上述よりも少ないステップを含んでもよい。さらに、当然のことながら、上述の方法はハードウェア構成要素により実行されても、または、一組の機械実行可能な命令に具現化されてもよく、この命令は、この命令でプログラミングされた汎用または専用プロセッサもしくは論理回路などの機械にこの方法を実行させるために使用されるとよい。これらの機械実行可能な命令は、CD−ROMもしくは他の種類の光ディスク、フロッピー(登録商標)・ディスケット、ROM、RAM、EPROM、EEPROM、磁気もしくは光カード、フラッシュ・メモリ、または電子命令を格納するのに適した他の種類の機械可読媒体など、1つまたは複数の機械可読媒体に格納されるとよい。あるいはこの方法は、ハードウェアおよびソフトウェアの組み合わせにより実行されてもよい。
【0081】
本発明の説明に役立つ現時点において好適な実施形態が本願明細書で詳しく説明されてきたが、当然のことながら、本発明の概念は、別の方法で多様に具現化および採用されてもよく、添付の特許請求の範囲は、先行技術により制限されている場合を除いて、こういった変形を含むように解釈されることが意図されている。
【図面の簡単な説明】
【0082】
【図1A】図1Aは、本発明の種々の実施形態に従った、オンライン不正行為に対処するシステムを図示する機能図である。
【図1B】図1Bは、本発明の種々の実施形態に従った、おとり電子メール・アドレスを仕掛けるシステムを図示する機能図である。
【図2】図2は、本発明の種々の実施形態に従った、オンライン不正行為に対処するシステムを示す概略図である。
【図3】図3は、本発明の種々の実施形態に従った、オンライン不正行為に対処するシステムに実装されるとよいコンピュータの一般化された概略図である。
【図4】図4は、セキュリティ・プロバイダとセキュリティ・プロバイダの複数の顧客との間の典型的な関係を図示する。
【図5】図5は、本発明の実施形態に従った、セキュリティ・プロバイダとセキュリティ・プロバイダの複数の顧客との間のピアリング関係を図示する。
【図6】図6は、本発明の一部の実施形態に従った、プライベート・ピアリング・アプリケーション・プログラミング・インターフェイスを図示する。
【図7】図7は、本発明の一実施形態に従った、改良された不正行為監視を実現するために情報を収集するプロセスを図示する流れ図である。
【図8】図8は、本発明の一実施形態に従った、改良された不正行為監視に関する情報を提供するプロセスを図示する流れ図である。
【特許請求の範囲】
【請求項1】
改良された不正行為監視を提供する方法であって、該方法は、
不正オンライン活動に関する直接情報を第1エンティティから受信することと、
該直接情報を解析することと、
該不正オンライン活動に関連した一組の正規化データを作成することであって、該一組の正規化データは、複数のエンティティにより読み取り可能な形式である、ことと、
該一組の正規化データを格納することと
を含む、方法。
【請求項2】
前記直接情報を解析することは、前記不正オンライン活動に関する一組の派生情報を生成することを含む、請求項1に記載の方法。
【請求項3】
前記不正オンライン活動に関する前記一組の派生情報を生成することは、前記直接情報と、他の不正オンライン活動に関して以前保存された情報とに基づく、請求項2に記載の方法。
【請求項4】
前記保存された情報は、直接情報および派生情報を含む、請求項3に記載の方法。
【請求項5】
前記一組の正規化データは、前記直接情報および前記派生情報を含む、請求項2に記載の方法。
【請求項6】
前記複数のエンティティのうちの第2エンティティから、前記格納された正規化データにアクセスするためのリクエストを受信することと、
該格納された正規化データへの該第2エンティティによるアクセスを制御することと
をさらに含む、請求項1に記載の方法。
【請求項7】
前記格納された正規化データへの前記第2エンティティによるアクセスを制御することは、前記第1エンティティと該第2エンティティとの間の取り決めに基づく、請求項6に記載の方法。
【請求項8】
前記格納された正規化データの少なくとも一部を前記第2エンティティに提供することをさらに含む、請求項6に記載の方法。
【請求項9】
前記直接情報を前記第1エンティティから受信することは、アプリケーション・プログラム・インターフェイス(API)を介して該直接情報を受信することを含む、請求項6に記載の方法。
【請求項10】
前記格納された正規化データにアクセスするための前記リクエストを受信することは、前記APIを介して該リクエストを受信することを含む、請求項9に記載の方法。
【請求項11】
前記格納された正規化データは前記第1エンティティにより保持されており、前記APIは、該第1エンティティから該格納された正規化データをリクエストするための機能を前記第2エンティティに提供する、請求項10に記載の方法。
【請求項12】
前記格納された正規化データはセキュリティ・サービスにより保持されており、前記APIは、前記直接情報を該セキュリティ・サービスに提供するための機能を前記第1エンティティに、該セキュリティ・サービスから該格納された正規化データをリクエストするための機能を前記第2エンティティに提供する、請求項10に記載の方法。
【請求項13】
前記APIは、前記直接情報の受信、該直接情報の解析、前記一組の正規化データの作成、および前記格納された正規化データへの複数のデータ属性を介したアクセスを提供する、請求項10に記載の方法。
【請求項14】
前記データ属性は、前記第1エンティティまたは前記第2エンティティのいずれかに固有のエンティティ固有属性を含む、請求項13に記載の方法。
【請求項15】
前記データ属性は、前記第1エンティティおよび前記第2エンティティにより確立された許可に基づき、該第1エンティティと該第2エンティティとの間で共有され得る共有属性を含む、請求項13に記載の方法。
【請求項16】
前記APIは、前記データ属性を定義するスキーマをさらに含む、請求項13に記載の方法。
【請求項17】
前記スキーマは、拡張可能なマーク付け言語(XML)スキーマを含む、請求項16に記載の方法。
【請求項18】
前記スキーマは、前記データ属性にタグ付けされたメタデータをさらに含む、請求項16に記載の方法。
【請求項19】
前記メタデータは、タグ付けされた前記データ属性を追跡する、請求項18に記載の方法。
【請求項20】
一組の命令が格納された機械可読媒体であって、該命令は、プロセッサにより実行されると、
不正オンライン活動に関する直接情報を第1エンティティから受信することと、
該直接情報を解析することと、
該不正オンライン活動に関連した一組の正規化データを作成することであって、該一組の正規化データは、複数のエンティティにより読み取り可能な形式である、ことと、
該一組の正規化データを格納することと
によって、該プロセッサに、改良された不正行為監視を実現させる、機械可読媒体。
【請求項21】
前記複数のエンティティのうちの第2エンティティから、前記格納された正規化データにアクセスするためのリクエストを受信することと、
該格納された正規化データへの該第2エンティティによるアクセスを制御することと
をさらに含む、請求項20に記載の機械可読媒体。
【請求項22】
前記格納された正規化データへの前記第2エンティティによるアクセスを制御することは、前記第1エンティティと該第2エンティティとの間の取り決めに基づく、請求項21に記載の機械可読媒体。
【請求項23】
前記格納された正規化データの少なくとも一部を前記第2エンティティに提供することをさらに含む、請求項21に記載の機械可読媒体。
【請求項24】
前記直接情報を前記第1エンティティから受信することは、アプリケーション・プログラム・インターフェイス(API)を介して該直接情報を受信することを含む、請求項21に記載の機械可読媒体。
【請求項25】
前記格納された正規化データにアクセスするための前記リクエストを受信することは、前記APIを介して前記リクエストを受信することを含む、請求項20に記載の機械可読媒体。
【請求項26】
前記格納された正規化データは前記第1エンティティにより保持されており、前記APIは、前記第1エンティティから該格納された正規化データをリクエストするための機能を前記第2エンティティに提供する、請求項25に記載の機械可読媒体。
【請求項27】
前記格納された正規化データはセキュリティ・サービスにより保持されており、前記APIは、前記直接情報を該セキュリティ・サービスに提供するための機能を前記第1エンティティに、該セキュリティ・サービスから該格納された正規化データをリクエストするための機能を前記第2エンティティに提供する、請求項25に記載の機械可読媒体。
【請求項28】
前記APIは、前記直接情報の受信、該直接情報の解析、前記一組の正規化データの作成、および前記格納された正規化データへの複数のデータ属性を介したアクセスを提供する、請求項25に記載の機械可読媒体。
【請求項29】
前記データ属性は、前記第1エンティティまたは前記第2エンティティのいずれかに固有のエンティティ固有属性を含む、請求項28に記載の機械可読媒体。
【請求項30】
前記データ属性は、前記第1エンティティおよび前記第2エンティティにより確立された許可に基づき、該第1エンティティと該第2エンティティとの間で共有され得る共有属性を含む、請求項28に記載の機械可読媒体。
【請求項31】
改良された不正行為監視を提供するシステムであって、該システムは、
通信ネットワークと、
該通信ネットワークに通信可能に繋がれ、不正オンライン活動に関する直接情報を提供するように適合されている第1クライアントと、
該通信ネットワークに通信可能に繋がれ、不正オンライン活動に関する直接情報を前記第1クライアントから受信し、該直接情報を解析し、該不正オンライン活動に関連する一組の正規化データを作成し、該一組の正規化データを格納するように適合されているサーバであって、該一組の正規化データは、複数のクライアントにより読み取り可能な形式である、サーバと
を含む、システム。
【請求項32】
前記サーバは、前記不正オンライン活動に関する一組の派生情報を生成するようにされに適合されている、請求項31に記載のシステム。
【請求項33】
前記サーバは、前記直接情報と、他の不正オンライン活動に関して以前保存された情報とに基づき、前記不正オンライン活動に関する前記一組の派生情報を生成するようになっている、請求項32に記載のシステム。
【請求項34】
前記保存された情報は、直接情報および派生情報を含む、請求項33に記載のシステム。
【請求項35】
前記一組の正規化データは、前記直接情報および前記派生情報を含む、請求項32に記載のシステム。
【請求項36】
第2クライアントをさらに含み、前記サーバは、前記格納された正規化データにアクセスするためのリクエストを該第2クライアントから受信し、該格納された正規化データへの該第2クライアントによるアクセスを制御するようにさらに適合されている、請求項31に記載のシステム。
【請求項37】
前記サーバは、前記格納された正規化データへの前記第2クライアントによるアクセスを、前記第1クライアントと該第2クライアントとの間の取り決めに基づき制御するように適合されている、請求項36に記載のシステム。
【請求項38】
前記サーバは、前記格納された正規化データの少なくとも一部を前記第2クライアントに提供するようにさらに適合されている、請求項36に記載のシステム。
【請求項39】
前記サーバは、アプリケーション・プログラム・インターフェイス(API)を介して前記第1クライアントから前記直接情報を受信するように適合されている、請求項36に記載のシステム。
【請求項40】
前記サーバは、前記格納された正規化データにアクセスするための前記リクエストを、前記APIを介して受信する、請求項39に記載のシステム。
【請求項41】
前記APIは、前記直接情報の受信、該直接情報の解析、前記一組の正規化データの作成、および前記格納された正規化データへの複数のデータ属性を介したアクセスを提供する、請求項40に記載のシステム。
【請求項42】
前記データ属性は、前記第1クライアントまたは前記第2クライアントのいずれかに固有のエンティティ固有属性を含む、請求項41に記載のシステム。
【請求項43】
前記データ属性は、前記第1クライアントおよび前記第2クライアントにより確立された許可に基づき、前記第1クライアントと前記第2クライアントとの間で共有され得る共有属性を含む、請求項41に記載のシステム。
【請求項44】
改良された不正行為監視を提供するシステムであって、該システムは、
通信ネットワークと、
前記通信ネットワークに通信可能に繋がれ、不正オンライン活動に関する直接情報を生成し、前記直接情報を解析し、前記不正オンライン活動に関連する一組の正規化データを作成し、該一組の正規化データを格納するように適合されている第1クライアントであって、該一組の正規化データは、複数のクライアントにより読み取り可能な形式である、第1クライアントと、
該通信ネットワークに通信可能に繋がれ、格納された該格納された正規化データへのアクセスをリクエストするように適合されている第2クライアントと、
該通信ネットワークと通信可能に繋がれ、該格納された正規化データにアクセスするためのリクエストを前記第2クライアントから受信し、該格納された正規化データへの該第2クライアントによるアクセスを制御するように適合されているサーバと
を含む、システム。
【請求項45】
前記サーバは、前記格納された正規化データへの前記第2クライアントによるアクセスを、前記第1クライアントと前記第2クライアントとの間の取り決めに基づき制御するように適合されている、請求項44に記載のシステム。
【請求項46】
前記第1クライアントは、前記格納された正規化データの少なくとも一部を前記第2クライアントに提供するようにさらに適合されている、請求項44に記載のシステム。
【請求項47】
前記サーバは、アプリケーション・プログラム・インターフェイス(API)を介して前記リクエストを受信することにより、前記格納された正規化データにアクセスするための前記リクエストを前記第2クライアントから受信するように適合されている、請求項44に記載のシステム。
【請求項48】
前記APIは、前記格納された正規化データへの複数のデータ属性を介したアクセスを提供する、請求項47に記載のシステム。
【請求項49】
前記データ属性は、前記第1クライアントまたは前記第2クライアントのいずれかに固有のクライアント固有属性を含む、請求項48に記載のシステム。
【請求項50】
前記データ属性は、前記第1クライアントおよび前記第2クライアントにより確立された許可に基づき、該第1クライアントと該第2クライアントとの間で共有され得る共有属性を含む、請求項48に記載のシステム。
【請求項1】
改良された不正行為監視を提供する方法であって、該方法は、
不正オンライン活動に関する直接情報を第1エンティティから受信することと、
該直接情報を解析することと、
該不正オンライン活動に関連した一組の正規化データを作成することであって、該一組の正規化データは、複数のエンティティにより読み取り可能な形式である、ことと、
該一組の正規化データを格納することと
を含む、方法。
【請求項2】
前記直接情報を解析することは、前記不正オンライン活動に関する一組の派生情報を生成することを含む、請求項1に記載の方法。
【請求項3】
前記不正オンライン活動に関する前記一組の派生情報を生成することは、前記直接情報と、他の不正オンライン活動に関して以前保存された情報とに基づく、請求項2に記載の方法。
【請求項4】
前記保存された情報は、直接情報および派生情報を含む、請求項3に記載の方法。
【請求項5】
前記一組の正規化データは、前記直接情報および前記派生情報を含む、請求項2に記載の方法。
【請求項6】
前記複数のエンティティのうちの第2エンティティから、前記格納された正規化データにアクセスするためのリクエストを受信することと、
該格納された正規化データへの該第2エンティティによるアクセスを制御することと
をさらに含む、請求項1に記載の方法。
【請求項7】
前記格納された正規化データへの前記第2エンティティによるアクセスを制御することは、前記第1エンティティと該第2エンティティとの間の取り決めに基づく、請求項6に記載の方法。
【請求項8】
前記格納された正規化データの少なくとも一部を前記第2エンティティに提供することをさらに含む、請求項6に記載の方法。
【請求項9】
前記直接情報を前記第1エンティティから受信することは、アプリケーション・プログラム・インターフェイス(API)を介して該直接情報を受信することを含む、請求項6に記載の方法。
【請求項10】
前記格納された正規化データにアクセスするための前記リクエストを受信することは、前記APIを介して該リクエストを受信することを含む、請求項9に記載の方法。
【請求項11】
前記格納された正規化データは前記第1エンティティにより保持されており、前記APIは、該第1エンティティから該格納された正規化データをリクエストするための機能を前記第2エンティティに提供する、請求項10に記載の方法。
【請求項12】
前記格納された正規化データはセキュリティ・サービスにより保持されており、前記APIは、前記直接情報を該セキュリティ・サービスに提供するための機能を前記第1エンティティに、該セキュリティ・サービスから該格納された正規化データをリクエストするための機能を前記第2エンティティに提供する、請求項10に記載の方法。
【請求項13】
前記APIは、前記直接情報の受信、該直接情報の解析、前記一組の正規化データの作成、および前記格納された正規化データへの複数のデータ属性を介したアクセスを提供する、請求項10に記載の方法。
【請求項14】
前記データ属性は、前記第1エンティティまたは前記第2エンティティのいずれかに固有のエンティティ固有属性を含む、請求項13に記載の方法。
【請求項15】
前記データ属性は、前記第1エンティティおよび前記第2エンティティにより確立された許可に基づき、該第1エンティティと該第2エンティティとの間で共有され得る共有属性を含む、請求項13に記載の方法。
【請求項16】
前記APIは、前記データ属性を定義するスキーマをさらに含む、請求項13に記載の方法。
【請求項17】
前記スキーマは、拡張可能なマーク付け言語(XML)スキーマを含む、請求項16に記載の方法。
【請求項18】
前記スキーマは、前記データ属性にタグ付けされたメタデータをさらに含む、請求項16に記載の方法。
【請求項19】
前記メタデータは、タグ付けされた前記データ属性を追跡する、請求項18に記載の方法。
【請求項20】
一組の命令が格納された機械可読媒体であって、該命令は、プロセッサにより実行されると、
不正オンライン活動に関する直接情報を第1エンティティから受信することと、
該直接情報を解析することと、
該不正オンライン活動に関連した一組の正規化データを作成することであって、該一組の正規化データは、複数のエンティティにより読み取り可能な形式である、ことと、
該一組の正規化データを格納することと
によって、該プロセッサに、改良された不正行為監視を実現させる、機械可読媒体。
【請求項21】
前記複数のエンティティのうちの第2エンティティから、前記格納された正規化データにアクセスするためのリクエストを受信することと、
該格納された正規化データへの該第2エンティティによるアクセスを制御することと
をさらに含む、請求項20に記載の機械可読媒体。
【請求項22】
前記格納された正規化データへの前記第2エンティティによるアクセスを制御することは、前記第1エンティティと該第2エンティティとの間の取り決めに基づく、請求項21に記載の機械可読媒体。
【請求項23】
前記格納された正規化データの少なくとも一部を前記第2エンティティに提供することをさらに含む、請求項21に記載の機械可読媒体。
【請求項24】
前記直接情報を前記第1エンティティから受信することは、アプリケーション・プログラム・インターフェイス(API)を介して該直接情報を受信することを含む、請求項21に記載の機械可読媒体。
【請求項25】
前記格納された正規化データにアクセスするための前記リクエストを受信することは、前記APIを介して前記リクエストを受信することを含む、請求項20に記載の機械可読媒体。
【請求項26】
前記格納された正規化データは前記第1エンティティにより保持されており、前記APIは、前記第1エンティティから該格納された正規化データをリクエストするための機能を前記第2エンティティに提供する、請求項25に記載の機械可読媒体。
【請求項27】
前記格納された正規化データはセキュリティ・サービスにより保持されており、前記APIは、前記直接情報を該セキュリティ・サービスに提供するための機能を前記第1エンティティに、該セキュリティ・サービスから該格納された正規化データをリクエストするための機能を前記第2エンティティに提供する、請求項25に記載の機械可読媒体。
【請求項28】
前記APIは、前記直接情報の受信、該直接情報の解析、前記一組の正規化データの作成、および前記格納された正規化データへの複数のデータ属性を介したアクセスを提供する、請求項25に記載の機械可読媒体。
【請求項29】
前記データ属性は、前記第1エンティティまたは前記第2エンティティのいずれかに固有のエンティティ固有属性を含む、請求項28に記載の機械可読媒体。
【請求項30】
前記データ属性は、前記第1エンティティおよび前記第2エンティティにより確立された許可に基づき、該第1エンティティと該第2エンティティとの間で共有され得る共有属性を含む、請求項28に記載の機械可読媒体。
【請求項31】
改良された不正行為監視を提供するシステムであって、該システムは、
通信ネットワークと、
該通信ネットワークに通信可能に繋がれ、不正オンライン活動に関する直接情報を提供するように適合されている第1クライアントと、
該通信ネットワークに通信可能に繋がれ、不正オンライン活動に関する直接情報を前記第1クライアントから受信し、該直接情報を解析し、該不正オンライン活動に関連する一組の正規化データを作成し、該一組の正規化データを格納するように適合されているサーバであって、該一組の正規化データは、複数のクライアントにより読み取り可能な形式である、サーバと
を含む、システム。
【請求項32】
前記サーバは、前記不正オンライン活動に関する一組の派生情報を生成するようにされに適合されている、請求項31に記載のシステム。
【請求項33】
前記サーバは、前記直接情報と、他の不正オンライン活動に関して以前保存された情報とに基づき、前記不正オンライン活動に関する前記一組の派生情報を生成するようになっている、請求項32に記載のシステム。
【請求項34】
前記保存された情報は、直接情報および派生情報を含む、請求項33に記載のシステム。
【請求項35】
前記一組の正規化データは、前記直接情報および前記派生情報を含む、請求項32に記載のシステム。
【請求項36】
第2クライアントをさらに含み、前記サーバは、前記格納された正規化データにアクセスするためのリクエストを該第2クライアントから受信し、該格納された正規化データへの該第2クライアントによるアクセスを制御するようにさらに適合されている、請求項31に記載のシステム。
【請求項37】
前記サーバは、前記格納された正規化データへの前記第2クライアントによるアクセスを、前記第1クライアントと該第2クライアントとの間の取り決めに基づき制御するように適合されている、請求項36に記載のシステム。
【請求項38】
前記サーバは、前記格納された正規化データの少なくとも一部を前記第2クライアントに提供するようにさらに適合されている、請求項36に記載のシステム。
【請求項39】
前記サーバは、アプリケーション・プログラム・インターフェイス(API)を介して前記第1クライアントから前記直接情報を受信するように適合されている、請求項36に記載のシステム。
【請求項40】
前記サーバは、前記格納された正規化データにアクセスするための前記リクエストを、前記APIを介して受信する、請求項39に記載のシステム。
【請求項41】
前記APIは、前記直接情報の受信、該直接情報の解析、前記一組の正規化データの作成、および前記格納された正規化データへの複数のデータ属性を介したアクセスを提供する、請求項40に記載のシステム。
【請求項42】
前記データ属性は、前記第1クライアントまたは前記第2クライアントのいずれかに固有のエンティティ固有属性を含む、請求項41に記載のシステム。
【請求項43】
前記データ属性は、前記第1クライアントおよび前記第2クライアントにより確立された許可に基づき、前記第1クライアントと前記第2クライアントとの間で共有され得る共有属性を含む、請求項41に記載のシステム。
【請求項44】
改良された不正行為監視を提供するシステムであって、該システムは、
通信ネットワークと、
前記通信ネットワークに通信可能に繋がれ、不正オンライン活動に関する直接情報を生成し、前記直接情報を解析し、前記不正オンライン活動に関連する一組の正規化データを作成し、該一組の正規化データを格納するように適合されている第1クライアントであって、該一組の正規化データは、複数のクライアントにより読み取り可能な形式である、第1クライアントと、
該通信ネットワークに通信可能に繋がれ、格納された該格納された正規化データへのアクセスをリクエストするように適合されている第2クライアントと、
該通信ネットワークと通信可能に繋がれ、該格納された正規化データにアクセスするためのリクエストを前記第2クライアントから受信し、該格納された正規化データへの該第2クライアントによるアクセスを制御するように適合されているサーバと
を含む、システム。
【請求項45】
前記サーバは、前記格納された正規化データへの前記第2クライアントによるアクセスを、前記第1クライアントと前記第2クライアントとの間の取り決めに基づき制御するように適合されている、請求項44に記載のシステム。
【請求項46】
前記第1クライアントは、前記格納された正規化データの少なくとも一部を前記第2クライアントに提供するようにさらに適合されている、請求項44に記載のシステム。
【請求項47】
前記サーバは、アプリケーション・プログラム・インターフェイス(API)を介して前記リクエストを受信することにより、前記格納された正規化データにアクセスするための前記リクエストを前記第2クライアントから受信するように適合されている、請求項44に記載のシステム。
【請求項48】
前記APIは、前記格納された正規化データへの複数のデータ属性を介したアクセスを提供する、請求項47に記載のシステム。
【請求項49】
前記データ属性は、前記第1クライアントまたは前記第2クライアントのいずれかに固有のクライアント固有属性を含む、請求項48に記載のシステム。
【請求項50】
前記データ属性は、前記第1クライアントおよび前記第2クライアントにより確立された許可に基づき、該第1クライアントと該第2クライアントとの間で共有され得る共有属性を含む、請求項48に記載のシステム。
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2009−507268(P2009−507268A)
【公表日】平成21年2月19日(2009.2.19)
【国際特許分類】
【出願番号】特願2008−519703(P2008−519703)
【出願日】平成18年6月30日(2006.6.30)
【国際出願番号】PCT/US2006/026039
【国際公開番号】WO2007/005868
【国際公開日】平成19年1月11日(2007.1.11)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(506367803)マークモニター インコーポレイテッド (4)
【Fターム(参考)】
【公表日】平成21年2月19日(2009.2.19)
【国際特許分類】
【出願日】平成18年6月30日(2006.6.30)
【国際出願番号】PCT/US2006/026039
【国際公開番号】WO2007/005868
【国際公開日】平成19年1月11日(2007.1.11)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(506367803)マークモニター インコーポレイテッド (4)
【Fターム(参考)】
[ Back to top ]