自動取引装置および自動取引システム
【課題】自動取引装置において、ウィルスの特徴を含んだパターンファイルを用いることなく、セキュリティを向上させることが可能な技術を提供する。
【解決手段】自動取引装置は、自動取引装置の各部を制御する本体制御部と、本体制御部からの要求に応じて、利用者の個人情報を取得する個人情報制御部と、本体制御部からの要求に応じて、現金の授受を行う現金制御部と、本体制御部を介した、個人情報制御部または現金制御部に対する処理の要求の種類と、一連の取引処理における自動取引装置の内部状態と、を用いて、要求が自動取引装置に内在する不正プログラムによるものであると検知した場合に、自動取引装置を、通常の取引が可能な通常状態とは異なる警戒状態へと遷移させる不正検知部とを備える。
【解決手段】自動取引装置は、自動取引装置の各部を制御する本体制御部と、本体制御部からの要求に応じて、利用者の個人情報を取得する個人情報制御部と、本体制御部からの要求に応じて、現金の授受を行う現金制御部と、本体制御部を介した、個人情報制御部または現金制御部に対する処理の要求の種類と、一連の取引処理における自動取引装置の内部状態と、を用いて、要求が自動取引装置に内在する不正プログラムによるものであると検知した場合に、自動取引装置を、通常の取引が可能な通常状態とは異なる警戒状態へと遷移させる不正検知部とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自動取引装置においてセキュリティを向上させるための技術に関する。
【背景技術】
【0002】
近年、現金自動取引装置(ATM:Automated teller machine)においては、CPUやRAM、ハードディスク等を備え、汎用的なパーソナルコンピュータの技術を応用して設計されているものが多い。このような現金自動取引装置において、現金自動取引装置に内蔵されるソフトウェアを標準的な規格に則って作成しようという動きが広まっている。標準的な規格に則って作成されたソフトウェアは、汎用性が高く、低コストであるという利点がある一方で、ウィルスに感染しやすいという問題点があった。
【0003】
このような問題点に対して、現金自動取引装置のハードディスク内に存在するプログラムと、ウィルスに含まれる特定の文字列や、ウィルスに感染したプログラムの特徴的な動作パターンなどが登録されたパターンファイルとを比較することで、現金自動取引装置に内蔵されるソフトウェアに混入したウィルスを検知する技術が知られている(例えば、特許文献1)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−362012号公報
【特許文献2】特開2009−181335号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、ハードディスク内に存在するプログラムをパターンファイルと比較する手法では、新しいウィルスに対する対応が困難であるという問題があった。
【0006】
また、このような問題は、現金自動取引装置に限らず、各種の自動販売機や自動券売機等、パーソナルコンピュータの技術を応用して設計された自動取引装置の全般に共通する課題であった。
【0007】
本発明は、自動取引装置において、ウィルスの特徴を含んだパターンファイルを用いることなく、セキュリティを向上させることが可能な技術を提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0009】
[適用例1]
自動取引装置であって、
前記自動取引装置の各部を制御する本体制御部と、
前記本体制御部からの要求に応じて、利用者の個人情報を取得する個人情報制御部と、
前記本体制御部からの要求に応じて、現金の授受を行う現金制御部と、
前記本体制御部を介した、前記個人情報制御部または前記現金制御部に対する処理の要求の種類と、一連の取引処理における前記自動取引装置の内部状態と、を用いて、前記要求が前記自動取引装置に内在する不正プログラムによるものであると検知した場合に、前記自動取引装置を、通常の取引が可能な通常状態とは異なる警戒状態へと遷移させる不正検知部と、
を備える、自動取引装置。
このような構成とすれば、不正検知部は、個人情報制御部または現金制御部に対する処理の要求の種類と、一連の取引処理における自動取引装置の内部状態とを用いて、当該要求が自動取引装置に内在する不正プログラムによるものであると検知した場合に、自動取引装置を通常の取引が可能な通常状態とは異なる警戒状態へと遷移させるため、自動取引装置において、ウィルスの特徴を含んだパターンファイルを用いることなく、セキュリティを向上させることができる。
【0010】
[適用例2]
適用例1記載の自動取引装置であって、さらに、
ネットワークを介して外部装置に接続され、前記外部装置との間で情報のやりとりを行う通信部を備え、
前記不正検知部は、さらに、
前記本体制御部を介した、前記個人情報制御部または前記現金制御部に対する処理の要求の発行元を確認し、前記要求が前記通信部を介した不正アクセスによるものであると検知した場合に、前記自動取引装置を前記警戒状態へと遷移させる、自動取引装置。
このような構成とすれば、不正検知部は、さらに、個人情報制御部または現金制御部に対する処理の要求の発行元を確認し、当該要求が通信部を介した不正アクセスによるものであると検知した場合に、自動取引装置を警戒状態へと遷移させるため、自動取引装置において、セキュリティをより向上させることができる。
【0011】
[適用例3]
適用例1または2記載の自動取引装置であって、
前記不正検知部は、さらに、
前記本体制御部から前記個人情報制御部または前記現金制御部に対する処理の要求に用いられる電文の構造を確認し、前記要求に用いられている標準インタフェースが不正な標準インタフェースであると検知した場合に、前記自動取引装置を前記警戒状態へと遷移させる、自動取引装置。
このような構成とすれば、不正検知部は、さらに、本体制御部から個人情報制御部または現金制御部に対する処理の要求に用いられる電文の構造を確認し、当該要求に用いられている標準インタフェースが不正な標準インタフェースであると検知した場合に、自動取引装置を警戒状態へと遷移させるため、自動取引装置において、セキュリティをより向上させることができる。
【0012】
[適用例4]
適用例1ないし3のいずれか一項記載の自動取引装置であって、さらに、
前記不正検知部における処理のために用いられる情報であって、前記不正プログラムと、前記不正アクセスと、前記不正な標準インタフェースと、の少なくともいずれか1つを検知するための方法に関する方法情報と、前記警戒状態において実行される処理の内容に関する処理情報と、が予め関連付けて記憶された記憶部を備える、自動取引装置。
このような構成とすれば、不正プログラムと、不正アクセスと、不正な標準インタフェースと、の少なくともいずれか1つを検知するための方法に関する方法情報と、警戒状態において実行される処理の内容に関する処理情報と、が予め関連付けて記憶された記憶部を備え、不正検知部は、当該情報を用いて処理を行う。この結果、不正検知部は、警戒状態において、方法情報に応じて、それぞれ別個の処理を実行することも可能となり、処理の柔軟性を向上させることができる。
【0013】
[適用例5]
適用例1ないし4のいずれか一項記載の自動取引装置であって、
前記不正検知部は、さらに、
前記個人情報制御部または前記現金制御部に対する処理の要求が、未知の種類である場合と、未知の発行元から発行されている場合と、未知の電文構造である場合と、の少なくともいずれかである場合に、当該要求を学習する、自動取引装置。
このような構成とすれば、不正検知部は、さらに、個人情報制御部または現金制御部に対する処理の要求が、未知の種類である場合と、未知の発行元から発行されている場合と、未知の電文構造である場合と、の少なくともいずれかである場合に、当該要求を学習することができる。
【0014】
[適用例6]
適用例1ないし5のいずれか一項記載の自動取引装置であって、
前記警戒状態において実行される処理は、前記自動取引装置の休止処理と、前記自動取引装置における各処理のトレース記録処理と、のいずれか一方である、自動取引装置。
このような構成とすれば、不正検知部が、不正プログラムと、不正アクセスと、不正な標準インタフェースと、の少なくともいずれか1つを検知した場合に、自動取引装置の状態を、休止状態と、トレース記録状態のいずれかに遷移させることができる。
【0015】
[適用例7]
適用例4ないし6のいずれか一項記載の自動取引装置であって、さらに、
前記自動取引装置の管理者からの前記処理情報の変更を受け付けるための係員操作部を備える、自動取引装置。
このような構成とすれば、自動取引装置の管理者からの処理情報の変更を受け付けることができる。この結果、自動取引装置の利便性を向上させることができる。
【0016】
[適用例8]
適用例1ないし7のいずれか一項記載の自動取引装置であって、
前記不正検知部は、さらに、
前記不正プログラムと、前記不正アクセスと、前記不正な標準インタフェースと、の少なくともいずれか1つを検知した場合に、前記外部装置に対して、不正を検知した旨を通知する、自動取引装置。
このような構成とすれば、不正検知部は、さらに、不正プログラムと、不正アクセスと、不正な標準インタフェースと、の少なくともいずれか1つを検知した場合に、外部装置に対して、不正を検知した旨を通知するため、自動取引装置の外部に対しても警戒を喚起することができる。
【0017】
[適用例9]
現金自動取引システムであって、
自動取引装置と、
サーバと、
を備え、
前記自動取引装置は、
前記自動取引装置の各部を制御する本体制御部と、
前記本体制御部からの要求に応じて、利用者の個人情報を取得する個人情報制御部と、
前記本体制御部からの要求に応じて、現金の授受を行う現金制御部と、
を備え、
前記サーバは、
前記個人情報制御部または前記現金制御部が受信した処理の要求の種類と、一連の取引処理における前記自動取引装置の内部状態と、を用いて、前記要求が、前記自動取引装置に内在する不正プログラムによるものであるか否かを検知する不正検知部を備え、
前記個人情報制御部と、前記現金制御部とは、
前記本体制御部からの処理の要求を受信した際に、前記サーバへ、当該要求が前記不正プログラムによるものであるか否かを問い合わせ、
前記不正検知部は、
当該要求が前記不正プログラムによるものであると検知した場合に、前記自動取引装置を、通常の取引が可能な通常状態とは異なる警戒状態へと遷移させる、現金自動取引システム。
このような構成とすれば、不正検知部を外部のサーバに備える自動取引装置においても、適用例1と同様の効果を得ることができる。さらに、このような構成とすれば、外部のサーバで一括して不正プログラムの検知を行うため、自動取引装置の処理負担を軽減させると共に、検知した不正プログラムに関する情報の一元化を図ることができる。
【0018】
なお、本発明は、種々の態様で実現することが可能である。例えば、本発明は、自動取引装置(現金自動取引装置、自動販売機、自動券売機等)、自動取引システム、自動取引装置の制御方法のほか、それらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記憶した記憶媒体等の形態で実現することができる。
【図面の簡単な説明】
【0019】
【図1】本発明の一実施例としての現金自動取引装置のハードウェア構成を概略的に示す説明図である。
【図2】ATMのソフトウェア構成を概略的に示す説明図である。
【図3】不正検知情報の一例を示す説明図である。
【図4】要求傾向情報の一例を示す説明図である。
【図5】I/F認識情報の一例を示す説明図である。
【図6】本体制御部が実行する一連の取引処理において不正検知処理が実行される様子を示すシーケンス図である。
【図7】不正検知処理の手順を示すフローチャートである。
【図8】要求傾向の学習により更新された要求傾向情報の一例を示している。
【図9】標準I/F認識処理の手順を示すフローチャートである。
【図10】不正検知処理における処理情報の変更に使用される設定画面の一例を示す説明図である。
【図11】第2実施例における現金自動取引システムの概略構成を示す説明図である。
【発明を実施するための形態】
【0020】
次に、本発明の実施の形態を実施例に基づいて以下の順序で説明する。
【0021】
A.第1実施例:
(A−1)ハードウェア構成:
図1は、本発明の一実施例としての現金自動取引装置のハードウェア構成を概略的に示す説明図である。現金自動取引装置10(以降、「ATM」とも呼ぶ。)ATM10は、例えば、金融機関や小売店、公共施設等に設置され、利用者の操作に従って金融機関等の提供する現金出納等のサービスを自動で提供する装置である。ATM10は、現金自動預け払い機とも呼ばれる。
【0022】
ATM10は、カード機構22と、通帳機構24と、明細票機構26と、硬貨機構32と、紙幣機構34と、顧客操作部42と、係員操作部44と、制御ユニット50と、ジャーナル印字機構60とを備える。なお、図1では、説明上必要としない他の構成部については図示を省略している。このことは、後述する図においても同様である。
【0023】
カード機構22は、カードスロットから挿入されたキャッシュカードから、利用者の口座番号等の情報を読み取るための機構である。通帳機構24は、通帳スロットから挿入された通帳から、利用者の口座番号等の情報を読み取ると共に、通帳に対して取引内容等の印字を行うための機構である。明細票機構26は、利用者の取引内容を印字した明細票を発行するための機構である。
【0024】
硬貨機構32は、利用者との硬貨の授受を行う機構である。紙幣機構34は、利用者との紙幣(以降、「紙葉類」とも呼ぶ。)の授受を行う機構である。紙幣機構34は、入金時には、利用者から挿入された紙幣を識別し、金種毎に分類した上で保管する。また、出金時には、利用者から指示された金額分の紙幣を繰り出し、入出金口から利用者へ受け渡す。
【0025】
顧客操作部42は、ATM10の前面に設けられたタッチパネルを介して、取引に必要な情報を表示すると共に、利用者からの操作を受け付けるためのユーザインタフェースである。係員操作部44は、ATM10の背面に設けられたタッチパネルを介して、ATM10の管理のための情報を表示すると共に、管理者からの操作を受け付けるためのユーザインタフェースである。なお、顧客操作部42と、係員操作部44とは、タッチパネルに代えて、ディスプレイと押しボタン等で構成されてもよい。
【0026】
ジャーナル印字機構60は、利用者との取引内容等を所定のジャーナル用紙に逐次印字するための機構である。なお、ジャーナル印字機構60には、紙媒体に印字する方法に代えて、データベースや、ファイル等の電子媒体を用いて記録を残す電子ジャーナルの方法を採用してもよい。
【0027】
制御ユニット50は、上述の各機構を制御する。制御ユニット50は、CPUやメモリ、ハードディスク、ネットワークインタフェース等を備えるコンピュータとして構成されている。
【0028】
(A−2)ソフトウェア構成:
図2は、ATM10のソフトウェア構成を概略的に示す説明図である。制御ユニット50の図示しないハードディスクには、制御ユニット50の機能を実現するための各種の制御プログラムがインストールされている。制御ユニット50のCPU51は、メモリ300をワークエリアとして用い、これらの各種制御プログラムを実行することで、図2に示す各機能部として機能する。
【0029】
制御ユニット50は、本体制御部100と、不正検知部110と、タッチパネル制御部200と、記憶部300と、通信部400と、カード機構制御部500と、通帳機構制御部510と、明細票機構制御部520と、紙幣機構制御部600と、硬貨機構制御部610と、ジャーナル制御部700と、を機能部として備えている。
【0030】
本体制御部100は、利用者からの指示により、図2の各機能部を制御しつつ、ATM10の種々の取引処理を実行する機能を有する。不正検知部110は、ATM10に内在する不正プログラムや、ATM10に対する不正アクセスや、不正な標準インタフェースを検知するための不正検知処理(詳細は後述)を実行する機能を有する。
【0031】
なお、本実施例において、「不正プログラム」とは、ATM10のメーカが提供する正規なプログラム以外のプログラムであって、ATM10の利用者や管理者、ATM10を運用する金融機関等が予期しない不正な出金操作や、個人情報の取得操作を行うプログラムを意味する。また、「不正アクセス」とは、既定の通信ポートとは異なる通信ポートからのATM10に対するアクセスや、予め許可された装置以外の装置からのATM10に対するアクセスを意味する。また、「不正な標準インタフェース」とは、予め許可された標準インタフェース以外の標準インタフェースを用いたATM10に対するアクセスを意味する。ここで、「標準インタフェース」とは、ATM10の各機能部間でやり取りされる電文(命令コマンド)の構造等について定められた規約を意味する。
【0032】
タッチパネル制御部200は、顧客操作部42および係員操作部44に用いられているタッチパネルの動作を制御する。具体的には、タッチパネル制御部200は、タッチパネルに対する情報の表示や、タッチパネルに対する利用者、管理者からの入力の取得を行う。
【0033】
記憶部300は、不正検知部110による不正検知処理において用いられる情報が格納されている。具体的には、記憶部300には、ATM10に内在する不正プログラムや、ATM10に対する不正アクセスを検知するために用いられる不正検知情報310および要求傾向情報330と、不正な標準インタフェースを検知するために用いられるI/F認識情報320と、を含んでいる。詳細は後述する。
【0034】
通信部400は、図示しないネットワークインタフェースを含み、所定のプロトコルに沿って外部装置(ATM10の外部に設けられる種々の装置。例えば、ATM10の管理装置や、サーバ等)との間で情報のやり取りを行う。なお、本実施例では、通信部400は、100BASE−Tのネットワークインタフェースを備え、TCP/IPプロトコルに沿って外部装置との通信を行うものとする。
【0035】
カード機構制御部500は、カード機構22を制御する機能を有する。同様に、通帳機構制御部510は通帳機構24を、明細票機構制御部520は明細票機構26を、紙幣機構制御部600は紙幣機構34を、硬貨機構制御部610は硬貨機構32を、ジャーナル制御部700はジャーナル印字機構60を、それぞれ制御する機能を有する。
【0036】
図3は、不正検知情報310の一例を示す説明図である。不正検知情報310は、不正検知部110の実行する不正検知処理において、不正プログラムや、不正アクセスの対策のために用いられる情報であり、テーブル形式で保持されている。不正検知情報310は、番号と、検知方法と、状態と、の各フィールドを含んでいる。
【0037】
番号フィールドには、各エントリに格納されている情報を相互に識別するための識別情報として、一意な番号が付与されている。検知方法フィールドには、ATM10に内在する不正プログラムや、ATM10に対する不正アクセスを検知するための方法が格納されている。状態フィールドには、検知方法に格納された方法によって、不正プログラムや不正アクセスが検知された場合に、ATM10を遷移させるべき状態が格納されている。
【0038】
例えば、図3の番号1で識別されるエントリでは、検知方法として「要求の傾向と一致しているか」を確認することを示している。なお、要求の傾向については後述する。また、確認の結果、不正が検知された場合、ATM10を「トレース記録しつつ、取引許可」状態とすることを示している。さらに、例えば、番号2で識別されるエントリでは、検知方法として「処理の要求を受信したポートは、TCP/IP通信の割り当てられているポートであるか」を確認することを示している。また、確認の結果、不正が検知された場合、ATM10を「取引中止」状態とすることを示している。さらに、例えば、番号3で識別されるエントリでは、検知方法として「処理の要求元である装置のIPアドレスやMACアドレスは、ATM10にアクセスが許可されている装置のIPアドレスやMACアドレスと一致するか」を確認することを示している。また、確認の結果、不正が検知された場合、ATM10を「取引中止」状態とすることを示している。
【0039】
なお、図3では、検知方法フィールドに格納された不正プログラムや不正アクセスを検知するための方法に関する情報を「方法情報」とも呼ぶ。また、状態フィールドに格納された、ATM10を遷移させるべき状態を示す情報を「処理情報」とも呼ぶ。さらに、ATM10が、「取引中止」状態や、「トレース記録しつつ、取引許可」にあることを、ATM10が「警戒状態」にあるとも言う。警戒状態は、ATM10において、通常の取引が可能な通常状態とは異なる状態である。
【0040】
図4は、要求傾向情報330の一例を示す説明図である。要求傾向情報330は、不正検知部110の実行する不正検知処理において、本体制御部100が実行する取引処理を監視することで、不正プログラムを検知するために用いられる情報であり、テーブル形式で保持されている。要求傾向情報330は、番号と、内部状態と、機能部と、の各フィールドを含んでいる。
【0041】
番号フィールドには、各エントリに格納されている情報を相互に識別するための識別情報として、一意な番号が付与されている。内部状態フィールドには、本体制御部100が実行する一連の取引処理における、ATM10の内部状態の名称が格納されている。
【0042】
機能部フィールドには、さらに、ATM10に含まれる各機能部(図2)のうち、現金の授受を行う機能部(現金制御部)と、利用者の個人情報を取得する機能部(個人情報制御部)との名称を、それぞれ示すフィールドが含まれている。なお、図4に示した機能部のうち、暗証番号制御部と、取引選択制御部とは、本体制御部100の内部に含まれる制御部である。各フィールドのエントリには、本体制御部100が実行する一連の取引処理におけるATM10の内部状態に対応させて、各機能部における処理が可能であるか、不可能であるかを示す情報が格納されている。具体的には、ある機能部における処理が可能である場合は、当該機能部における処理を行ったのち遷移する内部状態の番号が格納されている(図4:ハッチングなし領域)。また、ある機能部における処理が不可能である場合は、空値が格納されている(図4:斜線ハッチング領域)。
【0043】
例えば、図4の例では、番号1で識別されるエントリからは、本体制御部100が実行する一連の取引処理におけるATM10の内部状態がアイドル状態である場合、カード機構制御部と、取引選択制御部による処理が可能であり、その他の制御部(紙幣機構制御部等)による処理は不可能であることがわかる。また、カード機構制御部によるカード読み取り処理が行われた後、ATM10は、番号3の取引選択待ち状態へ遷移することがわかる。同様に、取引選択制御部による読み取り処理が行われた後、ATM10は番号2のカード挿入待ち状態へ遷移することがわかる。
【0044】
番号2で識別されるエントリからは、ATM10の内部状態がカード挿入待ち状態である場合、カード機構制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、カード機構制御部による処理の後、ATM10は、番号4の暗証番号入力待ち状態へ遷移することがわかる。番号3で識別されるエントリからは、ATM10の内部状態が取引選択待ち状態である場合、取引選択制御部によるによる処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、取引選択制御部による処理の後、ATM10は、番号4の暗証番号入力待ち状態へ遷移することがわかる。
【0045】
番号4で識別されるエントリからは、ATM10の内部状態が暗証番号入力待ち状態である場合、暗証番号制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、暗証番号制御部による処理の後、ATM10は、番号6の出金金額入力待ち状態へ遷移することがわかる。番号5で識別されるエントリからは、ATM10の内部状態が暗証番号取得待ち状態である場合、暗証番号制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、暗証番号制御部による処理の後、ATM10は、番号6の出金金額入力待ち状態へ遷移することがわかる。
【0046】
番号6で識別されるエントリからは、ATM10の内部状態が出金金額入力待ち状態である場合、暗証番号制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、暗証番号制御部による処理の後、ATM10は、番号7の出金要求待ち状態へ遷移することがわかる。番号7で識別されるエントリからは、ATM10の内部状態が出金要求待ち状態である場合、紙幣機構制御部または硬貨機構制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、紙幣機構制御部または硬貨機構制御部による処理の後、ATM10は、番号8のカード/明細抜き取り待ち状態へ遷移することがわかる。
【0047】
番号8で識別されるエントリからは、ATM10の内部状態がカード/明細抜き取り待ち状態である場合、カード機構制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、カード機構制御部による処理の後、ATM10は、番号9の出金媒体抜き取り待ち状態へ遷移することがわかる。番号9で識別されるエントリからは、ATM10の内部状態が出金媒体抜き取り待ち状態である場合、紙幣機構制御部または硬貨機構制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、紙幣機構制御部または硬貨機構制御部による処理の後、ATM10は、番号1のアイドル状態へ遷移することがわかる。
【0048】
このように、図4に示す要求傾向情報330には、本体制御部100が実行する一連の取引処理におけるATM10の内部状態と、その内部状態において処理を実行することが可能な制御部の種類(換言すれば、許可される処理の要求の種類)とが対応付けて記憶されている。
【0049】
図5は、I/F認識情報320の一例を示す説明図である。I/F認識情報320は、不正検知部110の実行する不正検知処理において、不正な標準インタフェースの対策のために用いられる情報であり、テーブル形式で保持されている。I/F認識情報320は、番号と、標準インタフェース種類と、特徴と、バージョンと、状態と、の各フィールドを含んでいる。
【0050】
番号には、各エントリに格納されている情報を相互に識別するための識別情報として、一意な番号が付与されている。標準インタフェース種類には、標準インタフェースの名称が格納されている。バージョンには、標準インタフェースのバージョンが格納されている。I/F認識情報320では、標準インタフェース種類と、バージョンとの組合せで、標準インタフェースが一意に特定される。特徴には、標準インタフェース種類と、バージョンとの組合せで一意に特定された標準インタフェースごとの、電文(命令コマンド)の構造の特徴が格納されている。状態には、特徴に格納された電文の構造の特徴によって、不正な標準インタフェースが検知された場合に、ATM10を遷移させるべき状態が格納されている。
【0051】
例えば、図5の番号1で識別されるエントリでは、標準インタフェース1のバージョン2.0の特徴として「初回起動(OPENコマンド)の入力パラメータがX個、入力パラメータのX番目の引数は“XXXXX”」であることと、「レジストリのXXXX¥XXXにキー“XXXXX”が格納されている」ことを示している。また、確認の結果、当該標準インタフェースに該当すると判定された場合、ATM10を「取引許可」状態とすることを示している。
【0052】
さらに、番号4で識別されるエントリでは、同様の標準インタフェース1のバージョン2.0の特徴として「紙幣出金命令(BCKBコマンド)の入力パラメータが1個、入力パラメータの1番目の引数は“XXXXX”+金種」であることを示している。また、確認の結果、当該標準インタフェースに該当すると判定された場合、ATM10を「取引許可」状態とすることを示している。さらに、例えば、番号nで識別されるエントリでは、番号1〜n−1で識別される全てのエントリに格納された特徴を満たさない場合、ATM10を「取引中止」状態、すなわち、警戒状態とすることを示している。なお、図中のXには、任意の値を入れることができる。
【0053】
なお、図5では、特徴フィールドに格納された電文の構造の特徴を、不正な標準インタフェースを検知するための方法に関する「方法情報」とも呼ぶ。また、状態フィールドに格納された、ATM10を遷移させるべき状態を示す情報を「処理情報」とも呼ぶ。
【0054】
(A−3)不正検知処理:
(A−3−1)処理のシーケンス:
図6は、本体制御部100が実行する一連の取引処理において、不正検知処理が実行される様子を示すシーケンス図である。図6の例では、現金制御部の一例として紙幣機構制御部を、個人情報制御部の一例としてカード機構制御部を、それぞれ挙げ、本体制御部100が、利用者から挿入されたカードを読み取った後、紙幣の出金を行う場合を例として説明する。
【0055】
利用者からのカードの挿入を検出した本体制御部100は、カード機構制御部500に対して、挿入されたカードの読み取りを要求する電文(命令コマンド)を送信する(ステップS12)。本体制御部100からの要求を受信したカード機構制御部500は、不正検知部110に不正検知処理の実行を要求する(ステップS14)。要求を受信した不正検知部110は、不正検知処理(詳細は後述)を実行する(ステップS16)。不正検知部110は、不正検知処理において不正を検知した場合はATM10を警戒状態とし、不正を検知しなかった場合は何もしない。不正検知部110は、不正検知処理終了後、処理が終了した旨を呼び出し元に通知する(ステップS18)。通知を受けたカード機構制御部500は、挿入されたカードの読み取り処理を行う(ステップS20)。その後、カード機構制御部500は、カードの読み取り処理の結果得られた個人情報(例えば、口座名義人名、カードの番号等)を本体制御部100へ通知する(ステップS22)。
【0056】
その後、例えば、処理メニューの選択や暗証番号の入力等、利用者による更なる操作が行われ、本体制御部100は、操作内容に応じた処理を行う。詳細は省略する。
【0057】
利用者からの出金の指示を受けた本体制御部100は、紙幣機構制御部600に対して、指示された金額の紙幣を出金するよう要求する電文(命令コマンド)を送信する(ステップS24)。本体制御部100からの要求を受信した紙幣機構制御部600は、不正検知部110に不正検知処理の実行を要求する(ステップS26)。要求を受信した不正検知部110は、不正検知処理を実行する(ステップS28)。詳細はステップS16と同様である。不正検知部110は、不正検知処理終了後、処理が終了した旨を呼び出し元に通知する(ステップS30)。通知を受けた紙幣機構制御部600は、本体制御部100から指示された金額の紙幣の出金処理を実行する(ステップS32)。その後、紙幣機構制御部600は、出金結果を本体制御部100へ通知する(ステップS34)。
【0058】
(A−3−2)不正検知処理のフローチャート:
図7は、不正検知処理の手順を示すフローチャートである。不正検知部110は、不正検知情報310を参照し、最初のエントリに格納された検知方法である「要求の傾向と一致しているか」の確認を実行する(ステップS102)。具体的には、不正検知部110は、ATM10の現在の内部状態と、実際に本体制御部100から機能部へなされた要求の種類(例えば、カード読み取り指令や、暗証番号読み取り指令、出金指令等)とを、要求傾向情報330と照らし合わせることで、本体制御部100から機能部へなされた要求が、許可される要求の種類と一致するか否かを判定する。
【0059】
例えば、ATM10の現在の内部状態がアイドル状態であり、本体制御部100からカード機構制御部500へカード読み取り指令がなされているケース(図6:ステップS12)においては、図4の通り、ATM10の内部状態がアイドル状態である場合、カード機構制御部による処理と取引選択制御部による処理が可能であることから、当該処理の要求は許可されるべきものである(正しい)と判定される。一方、例えば、ATM10の現在の内部状態がアイドル状態であり、本体制御部100から紙幣機構制御部600へ出金指令がなされているケースにおいては、図4の通り、ATM10の内部状態がアイドル状態である場合、カード機構制御部と取引選択制御部以外の制御部による処理は不可能であることから、当該処理の要求は許可されない(不正である)と判定される。
【0060】
ステップS102において、処理の要求は許可されるべきものであると判定された場合、不正検知部110は、要求の傾向と一致している(すなわち、不正は検知されない)と判定し(ステップS104:NO)、処理をステップS106へ遷移させる。
【0061】
不正検知部110は、不正検知情報310に格納された検知方法の最後まで確認を行ったか否かを判定する(ステップS106)。検知方法の最後まで確認を行っていない場合(ステップS106:NO)、不正検知部110は、処理をステップS102へ遷移させ、不正検知情報310の次のエントリに格納された検知方法についての確認、すなわち、「処理の要求を受信したポートは、TCP/IP通信の割り当てられているポートであるか」の確認を継続する。
【0062】
一方、検知方法の最後まで確認を終えた場合(ステップS106:YES)、不正検知部110は、処理をステップS108へ遷移させ、要求傾向を学習する(ステップS108)。具体的には、不正検知部110は、ステップS102において判定に用いた実際の要求の種類と、ATM10の内部状態との組合せが未知の(すなわち、要求傾向情報330に登録されていない)組合せである場合、当該情報を用いて要求傾向情報330の内容を更新する。なお、この更新の際は、要求傾向情報330の既存の情報の上書きを行ってもよいし、要求傾向情報330の既存の情報はそのままにして、新たな情報の追加を行ってもよい。図8は、要求傾向の学習により更新された要求傾向情報330の一例を示している。図8の例では、アイドル状態からの通帳の取り扱いを可能とするために、領域NFの部分の情報が更新されている。
【0063】
不正検知部110は、標準I/F認識処理(詳細は後述)を実行する(ステップS110)。
【0064】
標準I/F認識処理終了後、不正検知部110は、呼び出し元である機能部に対して、処理が終了した旨を通知する(ステップS112)。その後、図6に示すように、取引処理が継続される。
【0065】
ステップS102において、処理の要求は許可されないと判定された場合、不正検知部110は、要求の傾向と一致しない(すなわち、不正が検知された)と判定し(ステップS104:YES)、処理をステップS114へ遷移させる。
【0066】
不正検知部110は、不正検知情報310のうち、該当エントリの状態フィールドの内容を参照する(ステップS114)。不正検知部110は、状態フィールドの内容が「取引許可」であるか否かを判定する(ステップS116)。取引許可である場合(ステップS116:YES)、不正検知部110は、ジャーナル制御部700に対して、取引処理のトレースを記録するよう要求し(ステップS118)、ステップS110へ遷移する。一方、取引許可でない場合(ステップS116:NO)、不正検知部110は、本体制御部100に対して、ATM10を取引中止状態とするよう要求し(ステップS120)、処理を終了させる。
【0067】
このように、不正検知部110は、不正検知情報310の検知方法「要求の傾向と一致しているか」の確認において、要求傾向情報330を用いて、本体制御部100を介して行われる、個人情報制御部または現金制御部に対する処理の要求が許可されるものであるか否かを確認する。そして、不正検知部110は、許可されない要求(換言すれば、要求の傾向と一致しない要求)を受信した場合、当該要求は、不正プログラムにより発行された予期しない順序の予期しない要求である(すなわち、不正が検知された)と判定し、ATM10を警戒状態に遷移させることができる。
【0068】
また、不正検知部110は、不正検知情報310の検知方法「処理の要求を受信したポートは、TCP/IP通信の割り当てられているポートであるか」および「処理の要求元である装置のIPアドレスやMACアドレスは、ATM10にアクセスが許可されている装置のIPアドレスやMACアドレスと一致するか」の確認において、本体制御部100が受信した要求の出所を確認する。そして、不正検知部110は、本体制御部100が上記条件に一致しない要求を受信した場合、当該要求は、不正な発行元からの不正なアクセスによる予期しない要求である(すなわち、不正が検知された)と判定し、ATM10を警戒状態に遷移させることができる。
【0069】
(A−3−3)標準I/F認識処理のフローチャート:
図9は、標準I/F認識処理の手順を示すフローチャートである。標準I/F認識処理は、不正検知処理のサブルーチンである。不正検知部110は、I/F認識情報320の最初のエントリに格納された特徴のうちの少なくとも1つが、本体制御部100から各機能部への要求として送信される電文(命令コマンド)の構造と一致するかを確認する(ステップS202)。
【0070】
ステップS202において、I/F認識情報320内の特徴が、要求の電文の構造と一致すると判定された場合、不正検知部110は、特徴と一致すると判定し(ステップS204:YES)、処理をステップS214へ遷移させる。
【0071】
不正検知部110は、標準インタフェースの特徴を学習する(ステップS214)。具体的には、不正検知部110は、ステップS202において判定に用いた実際の要求の電文が、未知の(すなわち、I/F認識情報320に登録されていない)構造の電文である場合、当該電文の構造を用いて、I/F認識情報320の内容を更新する。なお、この更新の際は、I/F認識情報320の既存の情報の上書きを行ってもよいし、I/F認識情報320の既存の情報はそのままにして、新たな情報の追加を行ってもよい。さらに、不正検知部110は、ステップS202において判定に用いた実際の要求の電文のうち、電文の構造と、特徴フィールドの内容とは一致するが、バージョンが異なるものに対して、I/F認識情報320の当該エントリのバージョンフィールドの内容を更新してもよい。
【0072】
ステップS202において、I/F認識情報320内の特徴が、電文の構造と一致しないと判定された場合、不正検知部110は、特徴と一致しないと判定し(ステップS204:NO)、処理をステップS206へ遷移させる。
【0073】
不正検知部110は、I/F認識情報320に格納された特徴の最後まで確認を行ったか否かを判定する(ステップS206)。最後まで確認を行っていない場合(ステップS206:NO)、不正検知部110は、処理をステップS202へ遷移させ、I/F認識情報320の次のエントリに格納された特徴についての確認を継続する。
【0074】
一方、特徴の最後まで確認を終えた場合(ステップS206:YES)、不正検知部110は、処理をステップS208へ遷移させ、I/F認識情報320のうち、電文の構造と、特徴フィールドの内容とが一致したエントリの状態フィールドの内容を参照する(ステップS208)。不正検知部110は、状態フィールドの内容が「取引中止」であるか否かを判定する(ステップS210)。取引中止である場合(ステップS210:YES)、不正検知部110は、本体制御部100に対してATM10を取引中止状態とするよう要求し(ステップS218)、処理を終了させる。
【0075】
一方、取引中止でない場合(ステップS210:NO)、不正検知部110は、状態フィールドの内容が「取引許可(トレース記録)」であるか否かを判定する(ステップS212)。取引許可(トレース記録)である場合(ステップS212:YES)、不正検知部110は、ジャーナル制御部700に対して、取引処理のトレースを記録するよう要求し(ステップS216)、処理を終了させる。一方、取引許可(トレース記録)でない場合(ステップS212:NO)、不正検知部110は、処理を終了させる。
【0076】
このように、不正検知部110は、I/F認識情報320に格納された、標準インタフェースごとの電文の構造の特徴を用いて、個人情報制御部または現金制御部が本体制御部100から受信した電文の構造を監視する。そして、不正検知部110は、個人情報制御部または現金制御部が予期しない構造の電文を受信した場合、当該電文は、不正な標準インタフェースに基づいて発行された予期しない要求である(すなわち、不正が検知された)と判定し、ATM10を警戒状態に遷移させることができる。
【0077】
(A−4)処理情報変更:
図10は、不正検知処理における処理情報の変更に使用される設定画面の一例を示す説明図である。設定画面EWは、管理者による操作を取得した本体制御部100が、係員操作部44のディスプレイ上に表示させる画面である。管理者は、設定画面EWを用いることによって、不正検知情報310およびI/F認識情報320の状態フィールドの内容(すなわち、処理情報)を変更することができる。
【0078】
設定画面EWは、項目表示部EFと、取引中止選択ボタンCBと、取引許可(トレース記録)ボタンOBと、次へボタンNBと、中止ボタンBBとを含んでいる。項目表示部EFには、不正検知情報310の検知方法フィールドの内容、もしくは、I/F認識情報320の特徴フィールドの内容を表示するためのフィールドである。取引中止選択ボタンCBと、取引許可(トレース記録)ボタンOBは、項目表示部EFに表示されている検知方法(または特徴)に対して、いずれの状態(処理情報)を割り当てるかを指定するためのボタンである。次へボタンNBは、次の検知方法(または特徴)を設定画面EWに表示させるためのボタンである。中止ボタンBBは、設定画面による変更処理を中止するためのボタンである。
【0079】
図10の例では、項目表示部EFには、不正検知情報310の番号2で識別されるエントリの検知方法フィールドの内容が表示されている。また、不正検知情報310の番号2で識別されるエントリは、現在、状態フィールドの内容が「取引中止」であるため、対応する取引中止選択ボタンCBはグレーアウトされている。ATM10の管理者は、不正検知情報310の番号2で識別されるエントリの状態フィールドの内容を「取引許可(トレース記録)」へと変更したい場合、取引許可(トレース記録)ボタンOBを押下すればよい。ボタン押下により、不正検知部110は、該当するテーブルの、該当するエントリの状態フィールドの内容を更新する。
【0080】
このようにすれば、ATM10の管理者からの処理情報の変更を受け付けることができる。この結果、ATM10の不正検知処理における利便性を向上させることができる。
【0081】
以上のように、第1実施例によれば、不正検知部110は、不正検知処理(不正検知情報310の検知方法「要求の傾向と一致しているか」の確認)によって、個人情報制御部または現金制御部に対する処理の要求が許可されるものであるか否かを確認し、ATM10に内在する不正プログラムを検知する。そして、不正検知部110は、不正(不正プログラム)が検知された場合に、ATM10の状態を、通常の取引が可能な通常状態とは異なる警戒状態(取引中止、トレース記録)へと遷移させる。このため、ATM10において、ウィルスの特徴を含んだパターンファイルを用いることなく、セキュリティを向上させることができる。
【0082】
さらに、不正検知部110は、不正検知処理(不正検知情報310の検知方法「処理の要求を受信したポート」および「処理の要求元である装置のIPアドレスやMACアドレス」の確認)によって、個人情報制御部または現金制御部に対する処理の要求の発行元を確認し、通信部400を介した不正アクセスを検知する。そして、不正検知部110は、不正(不正アクセス)が検知された場合に、ATM10の状態を警戒状態へと遷移させる。このため、ATM10において、セキュリティをより向上させることができる。
【0083】
さらに、不正検知部110は、不正検知処理(標準I/F認識処理)によって、個人情報制御部または現金制御部に対する処理の要求に用いられる電文の構造を監視し、不正な標準インタフェースの存在を検知する。そして、不正検知部110は、不正(不正な標準インタフェース)が検知された場合に、ATM10を警戒状態へと遷移させる。このため、ATM10において、セキュリティをより向上させることができる。
【0084】
さらに、記憶部300には、不正プログラムと、不正アクセスを検知するために用いられる不正検知情報310と、要求傾向情報330とが記憶され、また、不正な標準インタフェースを検知するために用いられるI/F認識情報320が記憶されている。不正検知情報310には、不正プログラムと、不正アクセスを検知するための方法情報(検知方法フィールド)と、警戒状態において実行される処理の内容に関する処理情報(状態フィールド)とが予め関連付けて記憶されている。I/F認識情報320には、不正な標準インタフェースを検知するための方法情報(特徴フィールド)と、警戒状態において実行される処理の内容に関する処理情報(状態フィールド)とが予め関連付けて記憶されている。これらの結果、不正検知部110は、不正を検知する際に用いた方法情報に応じて、警戒状態において、それぞれ個別の処理を実行することが可能となり、処理の柔軟性を向上させることができる。
【0085】
さらに、不正検知部110は、不正検知処理(図7)のステップS108において、個人情報制御部または現金制御部に対する処理の要求が、未知の種類である場合に、当該要求の種類と順序を学習する。また、不正検知部110は、不正検知処理の標準I/F認識処理(図9)のステップS214において、個人情報制御部または現金制御部に対する処理の要求が、未知の電文構造である場合に、当該要求の電文構造を学習する。この結果、不正検知情報310、I/F認識情報320、要求傾向情報330の自動更新が可能となり、ATM10の管理に要するコストを低減させることができる。
【0086】
さらに、不正検知部110は、不正(不正プログラム、不正アクセス、不正な標準インタフェース)を検知した場合、ATM10の状態を、休止状態(取引中止状態)と、トレース記録状態のいずれかに遷移させることができる。
【0087】
B.第2実施例:
本発明の第2実施例では、現金自動取引装置が、外部に設けられたサーバに接続され、当該サーバによって不正検知処理を行う構成について説明する。以下では、第1実施例と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施例と同様の構成部分については先に説明した第1実施例と同様の符号を付し、その詳細な説明を省略する。
【0088】
(B−1)ネットワーク構成:
図11は、第2実施例における現金自動取引システム1000の概略構成を示す説明図である。現金自動取引システム1000は、ATM10aと、サーバ20とを備えている。ATM10aと、サーバ20とは、ローカルエリアネットワーク(LAN)NNによって接続されている。
【0089】
ATM10aは、第1実施例(図1、2)のATM10と、不正検知部110および記憶部300を備えない点において異なる。サーバ20は、図示しないCPUやメモリ、ハードディスク、ネットワークインタフェース等を備えるサーバコンピュータとして構成されている。サーバ20は、不正検知部110と、記憶部300を、機能部として備えている。不正検知部110と、記憶部300とは、第1実施例と同様の機能を有している。
【0090】
(B−2)不正検知処理:
第2実施例では、ATM10aの本体制御部100が実行する一連の取引処理において、不正検知処理の部分だけをサーバ20が行うこととなる。具体的には、図6のステップS14において、カード機構制御部500は、通信部400を介して、サーバ20の不正検知部110に対して不正検知処理の実行を要求する。また、図6のステップS18において、サーバ20の不正検知部110は、通信部(図示せず)を介して、処理が終了した旨を呼び出し元(ATM10aのカード機構制御部500)に通知する。ステップS26、S30についても同様である。
【0091】
以上のように、第2実施例によれば、不正検知部110を外部のサーバに備えるATM10aにおいても、第1実施例と同様の効果を得ることができる。さらに、このような構成とすれば、外部に設けられたサーバ20で一括して不正プログラムや不正アクセス、不正な標準インタフェースの検知を行うことができるため、ATM10aの処理負荷を軽減させることができる。さらに、不正プログラムや不正アクセス、不正な標準インタフェースに関する情報(不正検知情報310、I/F認識情報320、要求傾向情報330)をサーバ20側で一元管理できるため、複数のATM10aを備えるシステムとして考えた場合、運用が容易な現金自動取引システムを構築することができる。
【0092】
C.変形例:
なお、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
【0093】
C1.変形例1:
上記実施例では、現金自動取引装置、および、現金自動取引システムの構成や機能を説明した。しかし、上記実施例で示した態様は、あくまで一例に過ぎず、本発明の要旨を逸脱しない範囲において種々の変形をすることができる。
【0094】
例えば、現金自動取引装置は、USBインタフェースや無線通信部等の他の構成を備えてもよい。
【0095】
例えば、現金自動取引装置は、さらに、パーソナルコンピュータ等から構成される監視装置に接続されてもよい。この場合、不正検知部は、不正検知処理の結果として不正が検知された場合に、不正が検知された旨と、必要な情報とを、監視装置に対して送信することが好ましい。そうすれば、現金自動取引装置における異常(不正の検知)に関する情報を取得しやすくなる。
【0096】
例えば、上記構成を、現金自動取引装置に代えて、各種の自動販売機や自動券売機、両替機等に転用してもよい。
【0097】
C2.変形例2:
上記実施例では、本体制御部が実行する一連の取引処理において、不正検知処理が実行される様子の一例(図6)を示した。しかし、不正検知処理が実行されるタイミングは図6の場合に限られない。具体的には、不正検知処理は、図4に挙げた現金制御部や、個人情報制御部が、本体制御部からの要求を受信した都度、ステップS14、S26と同様に、要求を受信した機能部によって呼び出されて実行される。
【0098】
図6の例では、現金制御部や、個人情報制御部に対して要求があれば、その都度不正検知処理が実行されるものとした。しかし、例えば、一連の取引処理の最初にのみ、不正検知処理を実行し、その後の現金制御部や、個人情報制御部に対する要求については、不正検知処理を省略してもよい。さらに、例えば、取引が行われる時間帯や、混雑状況等に応じて、不正検知処理の実行有無を切り替えても良い。
【0099】
また、例えば、要求の送信元装置のIPアドレスやMACアドレスを、予め作成されたブラックリストと照合し、当該ブラックリストに該当する要求にのみ、不正検知処理を実行してもよい。さらに、例えば、要求の送信元装置のIPアドレスやMACアドレスを、予め作成されたホワイトリストと照合し、当該ホワイトリストに該当しない要求にのみ、不正検知処理を実行してもよい。
【0100】
C3.変形例3:
上記実施例の不正検知処理(図7)および標準I/F認識処理(図9)では、不正を検知した不正検知部が、本体制御部に対して現金自動取引装置を警戒状態とするよう要求するものとした。しかし、例えば、不正検知部が不正検知処理の結果、不正を検知した場合は、その旨を呼び出し元の機能部、もしくは、本体制御部に通知することとし、通知された機能部または本体制御部が、現金自動取引装置を通常状態から警戒状態へ遷移させてもよい。
【0101】
C4.変形例4:
上記実施例の不正検知処理(図7)のステップS108、および、標準I/F認識処理(図9)のステップS214では、未知の要求を学習することとした。しかし、当該学習処理は省略可能である。
【0102】
C5.変形例5:
上記実施例の不正検知処理(図7)および標準I/F認識処理(図9)では、不正検知情報およびI/F認識情報に格納された全ての方法情報についての確認を行うものとしたが、この点に関しても種々の変形が可能である。例えば、方法情報に対して優先順位を付与し、優先順位が高い順番に確認を行うこととしてもよい。
【0103】
C6.変形例6:
上記実施例では、現金自動取引装置の警戒状態として、休止状態(取引中止状態)と、トレース記録状態とを例示した。しかし、警戒状態は、通常の取引が可能な通常状態と異なっていれば良く、種々の状態を採用することができる。
【0104】
例えば、不正を検知した不正検知部は、本体制御部や呼び出し元機能部に対して、エラーである旨の応答を返し、当該取引処理のみを続行させない構成とすることもできる。また、不正を検知した不正検知部は、本体制御部や呼び出し元機能部に対して、最大出金枚数に制限をつける旨の要求を行ってもよい。さらに、不正を検知した不正検知部は、現金自動取引装置のネットワーク接続を遮断してもよい。
【符号の説明】
【0105】
10…現金自動取引装置(ATM)
20…サーバ
22…カード機構
24…通帳機構
26…明細票機構
32…硬貨機構
34…紙幣機構
42…顧客操作部
44…係員操作部
50…制御ユニット
60…ジャーナル印字機構
100…本体制御部
110…不正検知部
200…タッチパネル制御部
300…記憶部
310…不正検知情報
320…I/F認識情報
330…要求傾向情報
400…通信部
500…カード機構制御部
510…通帳機構制御部
520…明細票機構制御部
600…紙幣機構制御部
610…硬貨機構制御部
700…ジャーナル制御部
1000…現金自動取引システム
EW…設定画面
【技術分野】
【0001】
本発明は、自動取引装置においてセキュリティを向上させるための技術に関する。
【背景技術】
【0002】
近年、現金自動取引装置(ATM:Automated teller machine)においては、CPUやRAM、ハードディスク等を備え、汎用的なパーソナルコンピュータの技術を応用して設計されているものが多い。このような現金自動取引装置において、現金自動取引装置に内蔵されるソフトウェアを標準的な規格に則って作成しようという動きが広まっている。標準的な規格に則って作成されたソフトウェアは、汎用性が高く、低コストであるという利点がある一方で、ウィルスに感染しやすいという問題点があった。
【0003】
このような問題点に対して、現金自動取引装置のハードディスク内に存在するプログラムと、ウィルスに含まれる特定の文字列や、ウィルスに感染したプログラムの特徴的な動作パターンなどが登録されたパターンファイルとを比較することで、現金自動取引装置に内蔵されるソフトウェアに混入したウィルスを検知する技術が知られている(例えば、特許文献1)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−362012号公報
【特許文献2】特開2009−181335号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、ハードディスク内に存在するプログラムをパターンファイルと比較する手法では、新しいウィルスに対する対応が困難であるという問題があった。
【0006】
また、このような問題は、現金自動取引装置に限らず、各種の自動販売機や自動券売機等、パーソナルコンピュータの技術を応用して設計された自動取引装置の全般に共通する課題であった。
【0007】
本発明は、自動取引装置において、ウィルスの特徴を含んだパターンファイルを用いることなく、セキュリティを向上させることが可能な技術を提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0009】
[適用例1]
自動取引装置であって、
前記自動取引装置の各部を制御する本体制御部と、
前記本体制御部からの要求に応じて、利用者の個人情報を取得する個人情報制御部と、
前記本体制御部からの要求に応じて、現金の授受を行う現金制御部と、
前記本体制御部を介した、前記個人情報制御部または前記現金制御部に対する処理の要求の種類と、一連の取引処理における前記自動取引装置の内部状態と、を用いて、前記要求が前記自動取引装置に内在する不正プログラムによるものであると検知した場合に、前記自動取引装置を、通常の取引が可能な通常状態とは異なる警戒状態へと遷移させる不正検知部と、
を備える、自動取引装置。
このような構成とすれば、不正検知部は、個人情報制御部または現金制御部に対する処理の要求の種類と、一連の取引処理における自動取引装置の内部状態とを用いて、当該要求が自動取引装置に内在する不正プログラムによるものであると検知した場合に、自動取引装置を通常の取引が可能な通常状態とは異なる警戒状態へと遷移させるため、自動取引装置において、ウィルスの特徴を含んだパターンファイルを用いることなく、セキュリティを向上させることができる。
【0010】
[適用例2]
適用例1記載の自動取引装置であって、さらに、
ネットワークを介して外部装置に接続され、前記外部装置との間で情報のやりとりを行う通信部を備え、
前記不正検知部は、さらに、
前記本体制御部を介した、前記個人情報制御部または前記現金制御部に対する処理の要求の発行元を確認し、前記要求が前記通信部を介した不正アクセスによるものであると検知した場合に、前記自動取引装置を前記警戒状態へと遷移させる、自動取引装置。
このような構成とすれば、不正検知部は、さらに、個人情報制御部または現金制御部に対する処理の要求の発行元を確認し、当該要求が通信部を介した不正アクセスによるものであると検知した場合に、自動取引装置を警戒状態へと遷移させるため、自動取引装置において、セキュリティをより向上させることができる。
【0011】
[適用例3]
適用例1または2記載の自動取引装置であって、
前記不正検知部は、さらに、
前記本体制御部から前記個人情報制御部または前記現金制御部に対する処理の要求に用いられる電文の構造を確認し、前記要求に用いられている標準インタフェースが不正な標準インタフェースであると検知した場合に、前記自動取引装置を前記警戒状態へと遷移させる、自動取引装置。
このような構成とすれば、不正検知部は、さらに、本体制御部から個人情報制御部または現金制御部に対する処理の要求に用いられる電文の構造を確認し、当該要求に用いられている標準インタフェースが不正な標準インタフェースであると検知した場合に、自動取引装置を警戒状態へと遷移させるため、自動取引装置において、セキュリティをより向上させることができる。
【0012】
[適用例4]
適用例1ないし3のいずれか一項記載の自動取引装置であって、さらに、
前記不正検知部における処理のために用いられる情報であって、前記不正プログラムと、前記不正アクセスと、前記不正な標準インタフェースと、の少なくともいずれか1つを検知するための方法に関する方法情報と、前記警戒状態において実行される処理の内容に関する処理情報と、が予め関連付けて記憶された記憶部を備える、自動取引装置。
このような構成とすれば、不正プログラムと、不正アクセスと、不正な標準インタフェースと、の少なくともいずれか1つを検知するための方法に関する方法情報と、警戒状態において実行される処理の内容に関する処理情報と、が予め関連付けて記憶された記憶部を備え、不正検知部は、当該情報を用いて処理を行う。この結果、不正検知部は、警戒状態において、方法情報に応じて、それぞれ別個の処理を実行することも可能となり、処理の柔軟性を向上させることができる。
【0013】
[適用例5]
適用例1ないし4のいずれか一項記載の自動取引装置であって、
前記不正検知部は、さらに、
前記個人情報制御部または前記現金制御部に対する処理の要求が、未知の種類である場合と、未知の発行元から発行されている場合と、未知の電文構造である場合と、の少なくともいずれかである場合に、当該要求を学習する、自動取引装置。
このような構成とすれば、不正検知部は、さらに、個人情報制御部または現金制御部に対する処理の要求が、未知の種類である場合と、未知の発行元から発行されている場合と、未知の電文構造である場合と、の少なくともいずれかである場合に、当該要求を学習することができる。
【0014】
[適用例6]
適用例1ないし5のいずれか一項記載の自動取引装置であって、
前記警戒状態において実行される処理は、前記自動取引装置の休止処理と、前記自動取引装置における各処理のトレース記録処理と、のいずれか一方である、自動取引装置。
このような構成とすれば、不正検知部が、不正プログラムと、不正アクセスと、不正な標準インタフェースと、の少なくともいずれか1つを検知した場合に、自動取引装置の状態を、休止状態と、トレース記録状態のいずれかに遷移させることができる。
【0015】
[適用例7]
適用例4ないし6のいずれか一項記載の自動取引装置であって、さらに、
前記自動取引装置の管理者からの前記処理情報の変更を受け付けるための係員操作部を備える、自動取引装置。
このような構成とすれば、自動取引装置の管理者からの処理情報の変更を受け付けることができる。この結果、自動取引装置の利便性を向上させることができる。
【0016】
[適用例8]
適用例1ないし7のいずれか一項記載の自動取引装置であって、
前記不正検知部は、さらに、
前記不正プログラムと、前記不正アクセスと、前記不正な標準インタフェースと、の少なくともいずれか1つを検知した場合に、前記外部装置に対して、不正を検知した旨を通知する、自動取引装置。
このような構成とすれば、不正検知部は、さらに、不正プログラムと、不正アクセスと、不正な標準インタフェースと、の少なくともいずれか1つを検知した場合に、外部装置に対して、不正を検知した旨を通知するため、自動取引装置の外部に対しても警戒を喚起することができる。
【0017】
[適用例9]
現金自動取引システムであって、
自動取引装置と、
サーバと、
を備え、
前記自動取引装置は、
前記自動取引装置の各部を制御する本体制御部と、
前記本体制御部からの要求に応じて、利用者の個人情報を取得する個人情報制御部と、
前記本体制御部からの要求に応じて、現金の授受を行う現金制御部と、
を備え、
前記サーバは、
前記個人情報制御部または前記現金制御部が受信した処理の要求の種類と、一連の取引処理における前記自動取引装置の内部状態と、を用いて、前記要求が、前記自動取引装置に内在する不正プログラムによるものであるか否かを検知する不正検知部を備え、
前記個人情報制御部と、前記現金制御部とは、
前記本体制御部からの処理の要求を受信した際に、前記サーバへ、当該要求が前記不正プログラムによるものであるか否かを問い合わせ、
前記不正検知部は、
当該要求が前記不正プログラムによるものであると検知した場合に、前記自動取引装置を、通常の取引が可能な通常状態とは異なる警戒状態へと遷移させる、現金自動取引システム。
このような構成とすれば、不正検知部を外部のサーバに備える自動取引装置においても、適用例1と同様の効果を得ることができる。さらに、このような構成とすれば、外部のサーバで一括して不正プログラムの検知を行うため、自動取引装置の処理負担を軽減させると共に、検知した不正プログラムに関する情報の一元化を図ることができる。
【0018】
なお、本発明は、種々の態様で実現することが可能である。例えば、本発明は、自動取引装置(現金自動取引装置、自動販売機、自動券売機等)、自動取引システム、自動取引装置の制御方法のほか、それらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記憶した記憶媒体等の形態で実現することができる。
【図面の簡単な説明】
【0019】
【図1】本発明の一実施例としての現金自動取引装置のハードウェア構成を概略的に示す説明図である。
【図2】ATMのソフトウェア構成を概略的に示す説明図である。
【図3】不正検知情報の一例を示す説明図である。
【図4】要求傾向情報の一例を示す説明図である。
【図5】I/F認識情報の一例を示す説明図である。
【図6】本体制御部が実行する一連の取引処理において不正検知処理が実行される様子を示すシーケンス図である。
【図7】不正検知処理の手順を示すフローチャートである。
【図8】要求傾向の学習により更新された要求傾向情報の一例を示している。
【図9】標準I/F認識処理の手順を示すフローチャートである。
【図10】不正検知処理における処理情報の変更に使用される設定画面の一例を示す説明図である。
【図11】第2実施例における現金自動取引システムの概略構成を示す説明図である。
【発明を実施するための形態】
【0020】
次に、本発明の実施の形態を実施例に基づいて以下の順序で説明する。
【0021】
A.第1実施例:
(A−1)ハードウェア構成:
図1は、本発明の一実施例としての現金自動取引装置のハードウェア構成を概略的に示す説明図である。現金自動取引装置10(以降、「ATM」とも呼ぶ。)ATM10は、例えば、金融機関や小売店、公共施設等に設置され、利用者の操作に従って金融機関等の提供する現金出納等のサービスを自動で提供する装置である。ATM10は、現金自動預け払い機とも呼ばれる。
【0022】
ATM10は、カード機構22と、通帳機構24と、明細票機構26と、硬貨機構32と、紙幣機構34と、顧客操作部42と、係員操作部44と、制御ユニット50と、ジャーナル印字機構60とを備える。なお、図1では、説明上必要としない他の構成部については図示を省略している。このことは、後述する図においても同様である。
【0023】
カード機構22は、カードスロットから挿入されたキャッシュカードから、利用者の口座番号等の情報を読み取るための機構である。通帳機構24は、通帳スロットから挿入された通帳から、利用者の口座番号等の情報を読み取ると共に、通帳に対して取引内容等の印字を行うための機構である。明細票機構26は、利用者の取引内容を印字した明細票を発行するための機構である。
【0024】
硬貨機構32は、利用者との硬貨の授受を行う機構である。紙幣機構34は、利用者との紙幣(以降、「紙葉類」とも呼ぶ。)の授受を行う機構である。紙幣機構34は、入金時には、利用者から挿入された紙幣を識別し、金種毎に分類した上で保管する。また、出金時には、利用者から指示された金額分の紙幣を繰り出し、入出金口から利用者へ受け渡す。
【0025】
顧客操作部42は、ATM10の前面に設けられたタッチパネルを介して、取引に必要な情報を表示すると共に、利用者からの操作を受け付けるためのユーザインタフェースである。係員操作部44は、ATM10の背面に設けられたタッチパネルを介して、ATM10の管理のための情報を表示すると共に、管理者からの操作を受け付けるためのユーザインタフェースである。なお、顧客操作部42と、係員操作部44とは、タッチパネルに代えて、ディスプレイと押しボタン等で構成されてもよい。
【0026】
ジャーナル印字機構60は、利用者との取引内容等を所定のジャーナル用紙に逐次印字するための機構である。なお、ジャーナル印字機構60には、紙媒体に印字する方法に代えて、データベースや、ファイル等の電子媒体を用いて記録を残す電子ジャーナルの方法を採用してもよい。
【0027】
制御ユニット50は、上述の各機構を制御する。制御ユニット50は、CPUやメモリ、ハードディスク、ネットワークインタフェース等を備えるコンピュータとして構成されている。
【0028】
(A−2)ソフトウェア構成:
図2は、ATM10のソフトウェア構成を概略的に示す説明図である。制御ユニット50の図示しないハードディスクには、制御ユニット50の機能を実現するための各種の制御プログラムがインストールされている。制御ユニット50のCPU51は、メモリ300をワークエリアとして用い、これらの各種制御プログラムを実行することで、図2に示す各機能部として機能する。
【0029】
制御ユニット50は、本体制御部100と、不正検知部110と、タッチパネル制御部200と、記憶部300と、通信部400と、カード機構制御部500と、通帳機構制御部510と、明細票機構制御部520と、紙幣機構制御部600と、硬貨機構制御部610と、ジャーナル制御部700と、を機能部として備えている。
【0030】
本体制御部100は、利用者からの指示により、図2の各機能部を制御しつつ、ATM10の種々の取引処理を実行する機能を有する。不正検知部110は、ATM10に内在する不正プログラムや、ATM10に対する不正アクセスや、不正な標準インタフェースを検知するための不正検知処理(詳細は後述)を実行する機能を有する。
【0031】
なお、本実施例において、「不正プログラム」とは、ATM10のメーカが提供する正規なプログラム以外のプログラムであって、ATM10の利用者や管理者、ATM10を運用する金融機関等が予期しない不正な出金操作や、個人情報の取得操作を行うプログラムを意味する。また、「不正アクセス」とは、既定の通信ポートとは異なる通信ポートからのATM10に対するアクセスや、予め許可された装置以外の装置からのATM10に対するアクセスを意味する。また、「不正な標準インタフェース」とは、予め許可された標準インタフェース以外の標準インタフェースを用いたATM10に対するアクセスを意味する。ここで、「標準インタフェース」とは、ATM10の各機能部間でやり取りされる電文(命令コマンド)の構造等について定められた規約を意味する。
【0032】
タッチパネル制御部200は、顧客操作部42および係員操作部44に用いられているタッチパネルの動作を制御する。具体的には、タッチパネル制御部200は、タッチパネルに対する情報の表示や、タッチパネルに対する利用者、管理者からの入力の取得を行う。
【0033】
記憶部300は、不正検知部110による不正検知処理において用いられる情報が格納されている。具体的には、記憶部300には、ATM10に内在する不正プログラムや、ATM10に対する不正アクセスを検知するために用いられる不正検知情報310および要求傾向情報330と、不正な標準インタフェースを検知するために用いられるI/F認識情報320と、を含んでいる。詳細は後述する。
【0034】
通信部400は、図示しないネットワークインタフェースを含み、所定のプロトコルに沿って外部装置(ATM10の外部に設けられる種々の装置。例えば、ATM10の管理装置や、サーバ等)との間で情報のやり取りを行う。なお、本実施例では、通信部400は、100BASE−Tのネットワークインタフェースを備え、TCP/IPプロトコルに沿って外部装置との通信を行うものとする。
【0035】
カード機構制御部500は、カード機構22を制御する機能を有する。同様に、通帳機構制御部510は通帳機構24を、明細票機構制御部520は明細票機構26を、紙幣機構制御部600は紙幣機構34を、硬貨機構制御部610は硬貨機構32を、ジャーナル制御部700はジャーナル印字機構60を、それぞれ制御する機能を有する。
【0036】
図3は、不正検知情報310の一例を示す説明図である。不正検知情報310は、不正検知部110の実行する不正検知処理において、不正プログラムや、不正アクセスの対策のために用いられる情報であり、テーブル形式で保持されている。不正検知情報310は、番号と、検知方法と、状態と、の各フィールドを含んでいる。
【0037】
番号フィールドには、各エントリに格納されている情報を相互に識別するための識別情報として、一意な番号が付与されている。検知方法フィールドには、ATM10に内在する不正プログラムや、ATM10に対する不正アクセスを検知するための方法が格納されている。状態フィールドには、検知方法に格納された方法によって、不正プログラムや不正アクセスが検知された場合に、ATM10を遷移させるべき状態が格納されている。
【0038】
例えば、図3の番号1で識別されるエントリでは、検知方法として「要求の傾向と一致しているか」を確認することを示している。なお、要求の傾向については後述する。また、確認の結果、不正が検知された場合、ATM10を「トレース記録しつつ、取引許可」状態とすることを示している。さらに、例えば、番号2で識別されるエントリでは、検知方法として「処理の要求を受信したポートは、TCP/IP通信の割り当てられているポートであるか」を確認することを示している。また、確認の結果、不正が検知された場合、ATM10を「取引中止」状態とすることを示している。さらに、例えば、番号3で識別されるエントリでは、検知方法として「処理の要求元である装置のIPアドレスやMACアドレスは、ATM10にアクセスが許可されている装置のIPアドレスやMACアドレスと一致するか」を確認することを示している。また、確認の結果、不正が検知された場合、ATM10を「取引中止」状態とすることを示している。
【0039】
なお、図3では、検知方法フィールドに格納された不正プログラムや不正アクセスを検知するための方法に関する情報を「方法情報」とも呼ぶ。また、状態フィールドに格納された、ATM10を遷移させるべき状態を示す情報を「処理情報」とも呼ぶ。さらに、ATM10が、「取引中止」状態や、「トレース記録しつつ、取引許可」にあることを、ATM10が「警戒状態」にあるとも言う。警戒状態は、ATM10において、通常の取引が可能な通常状態とは異なる状態である。
【0040】
図4は、要求傾向情報330の一例を示す説明図である。要求傾向情報330は、不正検知部110の実行する不正検知処理において、本体制御部100が実行する取引処理を監視することで、不正プログラムを検知するために用いられる情報であり、テーブル形式で保持されている。要求傾向情報330は、番号と、内部状態と、機能部と、の各フィールドを含んでいる。
【0041】
番号フィールドには、各エントリに格納されている情報を相互に識別するための識別情報として、一意な番号が付与されている。内部状態フィールドには、本体制御部100が実行する一連の取引処理における、ATM10の内部状態の名称が格納されている。
【0042】
機能部フィールドには、さらに、ATM10に含まれる各機能部(図2)のうち、現金の授受を行う機能部(現金制御部)と、利用者の個人情報を取得する機能部(個人情報制御部)との名称を、それぞれ示すフィールドが含まれている。なお、図4に示した機能部のうち、暗証番号制御部と、取引選択制御部とは、本体制御部100の内部に含まれる制御部である。各フィールドのエントリには、本体制御部100が実行する一連の取引処理におけるATM10の内部状態に対応させて、各機能部における処理が可能であるか、不可能であるかを示す情報が格納されている。具体的には、ある機能部における処理が可能である場合は、当該機能部における処理を行ったのち遷移する内部状態の番号が格納されている(図4:ハッチングなし領域)。また、ある機能部における処理が不可能である場合は、空値が格納されている(図4:斜線ハッチング領域)。
【0043】
例えば、図4の例では、番号1で識別されるエントリからは、本体制御部100が実行する一連の取引処理におけるATM10の内部状態がアイドル状態である場合、カード機構制御部と、取引選択制御部による処理が可能であり、その他の制御部(紙幣機構制御部等)による処理は不可能であることがわかる。また、カード機構制御部によるカード読み取り処理が行われた後、ATM10は、番号3の取引選択待ち状態へ遷移することがわかる。同様に、取引選択制御部による読み取り処理が行われた後、ATM10は番号2のカード挿入待ち状態へ遷移することがわかる。
【0044】
番号2で識別されるエントリからは、ATM10の内部状態がカード挿入待ち状態である場合、カード機構制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、カード機構制御部による処理の後、ATM10は、番号4の暗証番号入力待ち状態へ遷移することがわかる。番号3で識別されるエントリからは、ATM10の内部状態が取引選択待ち状態である場合、取引選択制御部によるによる処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、取引選択制御部による処理の後、ATM10は、番号4の暗証番号入力待ち状態へ遷移することがわかる。
【0045】
番号4で識別されるエントリからは、ATM10の内部状態が暗証番号入力待ち状態である場合、暗証番号制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、暗証番号制御部による処理の後、ATM10は、番号6の出金金額入力待ち状態へ遷移することがわかる。番号5で識別されるエントリからは、ATM10の内部状態が暗証番号取得待ち状態である場合、暗証番号制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、暗証番号制御部による処理の後、ATM10は、番号6の出金金額入力待ち状態へ遷移することがわかる。
【0046】
番号6で識別されるエントリからは、ATM10の内部状態が出金金額入力待ち状態である場合、暗証番号制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、暗証番号制御部による処理の後、ATM10は、番号7の出金要求待ち状態へ遷移することがわかる。番号7で識別されるエントリからは、ATM10の内部状態が出金要求待ち状態である場合、紙幣機構制御部または硬貨機構制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、紙幣機構制御部または硬貨機構制御部による処理の後、ATM10は、番号8のカード/明細抜き取り待ち状態へ遷移することがわかる。
【0047】
番号8で識別されるエントリからは、ATM10の内部状態がカード/明細抜き取り待ち状態である場合、カード機構制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、カード機構制御部による処理の後、ATM10は、番号9の出金媒体抜き取り待ち状態へ遷移することがわかる。番号9で識別されるエントリからは、ATM10の内部状態が出金媒体抜き取り待ち状態である場合、紙幣機構制御部または硬貨機構制御部による処理のみが可能であり、その他の制御部による処理は不可能であることがわかる。また、紙幣機構制御部または硬貨機構制御部による処理の後、ATM10は、番号1のアイドル状態へ遷移することがわかる。
【0048】
このように、図4に示す要求傾向情報330には、本体制御部100が実行する一連の取引処理におけるATM10の内部状態と、その内部状態において処理を実行することが可能な制御部の種類(換言すれば、許可される処理の要求の種類)とが対応付けて記憶されている。
【0049】
図5は、I/F認識情報320の一例を示す説明図である。I/F認識情報320は、不正検知部110の実行する不正検知処理において、不正な標準インタフェースの対策のために用いられる情報であり、テーブル形式で保持されている。I/F認識情報320は、番号と、標準インタフェース種類と、特徴と、バージョンと、状態と、の各フィールドを含んでいる。
【0050】
番号には、各エントリに格納されている情報を相互に識別するための識別情報として、一意な番号が付与されている。標準インタフェース種類には、標準インタフェースの名称が格納されている。バージョンには、標準インタフェースのバージョンが格納されている。I/F認識情報320では、標準インタフェース種類と、バージョンとの組合せで、標準インタフェースが一意に特定される。特徴には、標準インタフェース種類と、バージョンとの組合せで一意に特定された標準インタフェースごとの、電文(命令コマンド)の構造の特徴が格納されている。状態には、特徴に格納された電文の構造の特徴によって、不正な標準インタフェースが検知された場合に、ATM10を遷移させるべき状態が格納されている。
【0051】
例えば、図5の番号1で識別されるエントリでは、標準インタフェース1のバージョン2.0の特徴として「初回起動(OPENコマンド)の入力パラメータがX個、入力パラメータのX番目の引数は“XXXXX”」であることと、「レジストリのXXXX¥XXXにキー“XXXXX”が格納されている」ことを示している。また、確認の結果、当該標準インタフェースに該当すると判定された場合、ATM10を「取引許可」状態とすることを示している。
【0052】
さらに、番号4で識別されるエントリでは、同様の標準インタフェース1のバージョン2.0の特徴として「紙幣出金命令(BCKBコマンド)の入力パラメータが1個、入力パラメータの1番目の引数は“XXXXX”+金種」であることを示している。また、確認の結果、当該標準インタフェースに該当すると判定された場合、ATM10を「取引許可」状態とすることを示している。さらに、例えば、番号nで識別されるエントリでは、番号1〜n−1で識別される全てのエントリに格納された特徴を満たさない場合、ATM10を「取引中止」状態、すなわち、警戒状態とすることを示している。なお、図中のXには、任意の値を入れることができる。
【0053】
なお、図5では、特徴フィールドに格納された電文の構造の特徴を、不正な標準インタフェースを検知するための方法に関する「方法情報」とも呼ぶ。また、状態フィールドに格納された、ATM10を遷移させるべき状態を示す情報を「処理情報」とも呼ぶ。
【0054】
(A−3)不正検知処理:
(A−3−1)処理のシーケンス:
図6は、本体制御部100が実行する一連の取引処理において、不正検知処理が実行される様子を示すシーケンス図である。図6の例では、現金制御部の一例として紙幣機構制御部を、個人情報制御部の一例としてカード機構制御部を、それぞれ挙げ、本体制御部100が、利用者から挿入されたカードを読み取った後、紙幣の出金を行う場合を例として説明する。
【0055】
利用者からのカードの挿入を検出した本体制御部100は、カード機構制御部500に対して、挿入されたカードの読み取りを要求する電文(命令コマンド)を送信する(ステップS12)。本体制御部100からの要求を受信したカード機構制御部500は、不正検知部110に不正検知処理の実行を要求する(ステップS14)。要求を受信した不正検知部110は、不正検知処理(詳細は後述)を実行する(ステップS16)。不正検知部110は、不正検知処理において不正を検知した場合はATM10を警戒状態とし、不正を検知しなかった場合は何もしない。不正検知部110は、不正検知処理終了後、処理が終了した旨を呼び出し元に通知する(ステップS18)。通知を受けたカード機構制御部500は、挿入されたカードの読み取り処理を行う(ステップS20)。その後、カード機構制御部500は、カードの読み取り処理の結果得られた個人情報(例えば、口座名義人名、カードの番号等)を本体制御部100へ通知する(ステップS22)。
【0056】
その後、例えば、処理メニューの選択や暗証番号の入力等、利用者による更なる操作が行われ、本体制御部100は、操作内容に応じた処理を行う。詳細は省略する。
【0057】
利用者からの出金の指示を受けた本体制御部100は、紙幣機構制御部600に対して、指示された金額の紙幣を出金するよう要求する電文(命令コマンド)を送信する(ステップS24)。本体制御部100からの要求を受信した紙幣機構制御部600は、不正検知部110に不正検知処理の実行を要求する(ステップS26)。要求を受信した不正検知部110は、不正検知処理を実行する(ステップS28)。詳細はステップS16と同様である。不正検知部110は、不正検知処理終了後、処理が終了した旨を呼び出し元に通知する(ステップS30)。通知を受けた紙幣機構制御部600は、本体制御部100から指示された金額の紙幣の出金処理を実行する(ステップS32)。その後、紙幣機構制御部600は、出金結果を本体制御部100へ通知する(ステップS34)。
【0058】
(A−3−2)不正検知処理のフローチャート:
図7は、不正検知処理の手順を示すフローチャートである。不正検知部110は、不正検知情報310を参照し、最初のエントリに格納された検知方法である「要求の傾向と一致しているか」の確認を実行する(ステップS102)。具体的には、不正検知部110は、ATM10の現在の内部状態と、実際に本体制御部100から機能部へなされた要求の種類(例えば、カード読み取り指令や、暗証番号読み取り指令、出金指令等)とを、要求傾向情報330と照らし合わせることで、本体制御部100から機能部へなされた要求が、許可される要求の種類と一致するか否かを判定する。
【0059】
例えば、ATM10の現在の内部状態がアイドル状態であり、本体制御部100からカード機構制御部500へカード読み取り指令がなされているケース(図6:ステップS12)においては、図4の通り、ATM10の内部状態がアイドル状態である場合、カード機構制御部による処理と取引選択制御部による処理が可能であることから、当該処理の要求は許可されるべきものである(正しい)と判定される。一方、例えば、ATM10の現在の内部状態がアイドル状態であり、本体制御部100から紙幣機構制御部600へ出金指令がなされているケースにおいては、図4の通り、ATM10の内部状態がアイドル状態である場合、カード機構制御部と取引選択制御部以外の制御部による処理は不可能であることから、当該処理の要求は許可されない(不正である)と判定される。
【0060】
ステップS102において、処理の要求は許可されるべきものであると判定された場合、不正検知部110は、要求の傾向と一致している(すなわち、不正は検知されない)と判定し(ステップS104:NO)、処理をステップS106へ遷移させる。
【0061】
不正検知部110は、不正検知情報310に格納された検知方法の最後まで確認を行ったか否かを判定する(ステップS106)。検知方法の最後まで確認を行っていない場合(ステップS106:NO)、不正検知部110は、処理をステップS102へ遷移させ、不正検知情報310の次のエントリに格納された検知方法についての確認、すなわち、「処理の要求を受信したポートは、TCP/IP通信の割り当てられているポートであるか」の確認を継続する。
【0062】
一方、検知方法の最後まで確認を終えた場合(ステップS106:YES)、不正検知部110は、処理をステップS108へ遷移させ、要求傾向を学習する(ステップS108)。具体的には、不正検知部110は、ステップS102において判定に用いた実際の要求の種類と、ATM10の内部状態との組合せが未知の(すなわち、要求傾向情報330に登録されていない)組合せである場合、当該情報を用いて要求傾向情報330の内容を更新する。なお、この更新の際は、要求傾向情報330の既存の情報の上書きを行ってもよいし、要求傾向情報330の既存の情報はそのままにして、新たな情報の追加を行ってもよい。図8は、要求傾向の学習により更新された要求傾向情報330の一例を示している。図8の例では、アイドル状態からの通帳の取り扱いを可能とするために、領域NFの部分の情報が更新されている。
【0063】
不正検知部110は、標準I/F認識処理(詳細は後述)を実行する(ステップS110)。
【0064】
標準I/F認識処理終了後、不正検知部110は、呼び出し元である機能部に対して、処理が終了した旨を通知する(ステップS112)。その後、図6に示すように、取引処理が継続される。
【0065】
ステップS102において、処理の要求は許可されないと判定された場合、不正検知部110は、要求の傾向と一致しない(すなわち、不正が検知された)と判定し(ステップS104:YES)、処理をステップS114へ遷移させる。
【0066】
不正検知部110は、不正検知情報310のうち、該当エントリの状態フィールドの内容を参照する(ステップS114)。不正検知部110は、状態フィールドの内容が「取引許可」であるか否かを判定する(ステップS116)。取引許可である場合(ステップS116:YES)、不正検知部110は、ジャーナル制御部700に対して、取引処理のトレースを記録するよう要求し(ステップS118)、ステップS110へ遷移する。一方、取引許可でない場合(ステップS116:NO)、不正検知部110は、本体制御部100に対して、ATM10を取引中止状態とするよう要求し(ステップS120)、処理を終了させる。
【0067】
このように、不正検知部110は、不正検知情報310の検知方法「要求の傾向と一致しているか」の確認において、要求傾向情報330を用いて、本体制御部100を介して行われる、個人情報制御部または現金制御部に対する処理の要求が許可されるものであるか否かを確認する。そして、不正検知部110は、許可されない要求(換言すれば、要求の傾向と一致しない要求)を受信した場合、当該要求は、不正プログラムにより発行された予期しない順序の予期しない要求である(すなわち、不正が検知された)と判定し、ATM10を警戒状態に遷移させることができる。
【0068】
また、不正検知部110は、不正検知情報310の検知方法「処理の要求を受信したポートは、TCP/IP通信の割り当てられているポートであるか」および「処理の要求元である装置のIPアドレスやMACアドレスは、ATM10にアクセスが許可されている装置のIPアドレスやMACアドレスと一致するか」の確認において、本体制御部100が受信した要求の出所を確認する。そして、不正検知部110は、本体制御部100が上記条件に一致しない要求を受信した場合、当該要求は、不正な発行元からの不正なアクセスによる予期しない要求である(すなわち、不正が検知された)と判定し、ATM10を警戒状態に遷移させることができる。
【0069】
(A−3−3)標準I/F認識処理のフローチャート:
図9は、標準I/F認識処理の手順を示すフローチャートである。標準I/F認識処理は、不正検知処理のサブルーチンである。不正検知部110は、I/F認識情報320の最初のエントリに格納された特徴のうちの少なくとも1つが、本体制御部100から各機能部への要求として送信される電文(命令コマンド)の構造と一致するかを確認する(ステップS202)。
【0070】
ステップS202において、I/F認識情報320内の特徴が、要求の電文の構造と一致すると判定された場合、不正検知部110は、特徴と一致すると判定し(ステップS204:YES)、処理をステップS214へ遷移させる。
【0071】
不正検知部110は、標準インタフェースの特徴を学習する(ステップS214)。具体的には、不正検知部110は、ステップS202において判定に用いた実際の要求の電文が、未知の(すなわち、I/F認識情報320に登録されていない)構造の電文である場合、当該電文の構造を用いて、I/F認識情報320の内容を更新する。なお、この更新の際は、I/F認識情報320の既存の情報の上書きを行ってもよいし、I/F認識情報320の既存の情報はそのままにして、新たな情報の追加を行ってもよい。さらに、不正検知部110は、ステップS202において判定に用いた実際の要求の電文のうち、電文の構造と、特徴フィールドの内容とは一致するが、バージョンが異なるものに対して、I/F認識情報320の当該エントリのバージョンフィールドの内容を更新してもよい。
【0072】
ステップS202において、I/F認識情報320内の特徴が、電文の構造と一致しないと判定された場合、不正検知部110は、特徴と一致しないと判定し(ステップS204:NO)、処理をステップS206へ遷移させる。
【0073】
不正検知部110は、I/F認識情報320に格納された特徴の最後まで確認を行ったか否かを判定する(ステップS206)。最後まで確認を行っていない場合(ステップS206:NO)、不正検知部110は、処理をステップS202へ遷移させ、I/F認識情報320の次のエントリに格納された特徴についての確認を継続する。
【0074】
一方、特徴の最後まで確認を終えた場合(ステップS206:YES)、不正検知部110は、処理をステップS208へ遷移させ、I/F認識情報320のうち、電文の構造と、特徴フィールドの内容とが一致したエントリの状態フィールドの内容を参照する(ステップS208)。不正検知部110は、状態フィールドの内容が「取引中止」であるか否かを判定する(ステップS210)。取引中止である場合(ステップS210:YES)、不正検知部110は、本体制御部100に対してATM10を取引中止状態とするよう要求し(ステップS218)、処理を終了させる。
【0075】
一方、取引中止でない場合(ステップS210:NO)、不正検知部110は、状態フィールドの内容が「取引許可(トレース記録)」であるか否かを判定する(ステップS212)。取引許可(トレース記録)である場合(ステップS212:YES)、不正検知部110は、ジャーナル制御部700に対して、取引処理のトレースを記録するよう要求し(ステップS216)、処理を終了させる。一方、取引許可(トレース記録)でない場合(ステップS212:NO)、不正検知部110は、処理を終了させる。
【0076】
このように、不正検知部110は、I/F認識情報320に格納された、標準インタフェースごとの電文の構造の特徴を用いて、個人情報制御部または現金制御部が本体制御部100から受信した電文の構造を監視する。そして、不正検知部110は、個人情報制御部または現金制御部が予期しない構造の電文を受信した場合、当該電文は、不正な標準インタフェースに基づいて発行された予期しない要求である(すなわち、不正が検知された)と判定し、ATM10を警戒状態に遷移させることができる。
【0077】
(A−4)処理情報変更:
図10は、不正検知処理における処理情報の変更に使用される設定画面の一例を示す説明図である。設定画面EWは、管理者による操作を取得した本体制御部100が、係員操作部44のディスプレイ上に表示させる画面である。管理者は、設定画面EWを用いることによって、不正検知情報310およびI/F認識情報320の状態フィールドの内容(すなわち、処理情報)を変更することができる。
【0078】
設定画面EWは、項目表示部EFと、取引中止選択ボタンCBと、取引許可(トレース記録)ボタンOBと、次へボタンNBと、中止ボタンBBとを含んでいる。項目表示部EFには、不正検知情報310の検知方法フィールドの内容、もしくは、I/F認識情報320の特徴フィールドの内容を表示するためのフィールドである。取引中止選択ボタンCBと、取引許可(トレース記録)ボタンOBは、項目表示部EFに表示されている検知方法(または特徴)に対して、いずれの状態(処理情報)を割り当てるかを指定するためのボタンである。次へボタンNBは、次の検知方法(または特徴)を設定画面EWに表示させるためのボタンである。中止ボタンBBは、設定画面による変更処理を中止するためのボタンである。
【0079】
図10の例では、項目表示部EFには、不正検知情報310の番号2で識別されるエントリの検知方法フィールドの内容が表示されている。また、不正検知情報310の番号2で識別されるエントリは、現在、状態フィールドの内容が「取引中止」であるため、対応する取引中止選択ボタンCBはグレーアウトされている。ATM10の管理者は、不正検知情報310の番号2で識別されるエントリの状態フィールドの内容を「取引許可(トレース記録)」へと変更したい場合、取引許可(トレース記録)ボタンOBを押下すればよい。ボタン押下により、不正検知部110は、該当するテーブルの、該当するエントリの状態フィールドの内容を更新する。
【0080】
このようにすれば、ATM10の管理者からの処理情報の変更を受け付けることができる。この結果、ATM10の不正検知処理における利便性を向上させることができる。
【0081】
以上のように、第1実施例によれば、不正検知部110は、不正検知処理(不正検知情報310の検知方法「要求の傾向と一致しているか」の確認)によって、個人情報制御部または現金制御部に対する処理の要求が許可されるものであるか否かを確認し、ATM10に内在する不正プログラムを検知する。そして、不正検知部110は、不正(不正プログラム)が検知された場合に、ATM10の状態を、通常の取引が可能な通常状態とは異なる警戒状態(取引中止、トレース記録)へと遷移させる。このため、ATM10において、ウィルスの特徴を含んだパターンファイルを用いることなく、セキュリティを向上させることができる。
【0082】
さらに、不正検知部110は、不正検知処理(不正検知情報310の検知方法「処理の要求を受信したポート」および「処理の要求元である装置のIPアドレスやMACアドレス」の確認)によって、個人情報制御部または現金制御部に対する処理の要求の発行元を確認し、通信部400を介した不正アクセスを検知する。そして、不正検知部110は、不正(不正アクセス)が検知された場合に、ATM10の状態を警戒状態へと遷移させる。このため、ATM10において、セキュリティをより向上させることができる。
【0083】
さらに、不正検知部110は、不正検知処理(標準I/F認識処理)によって、個人情報制御部または現金制御部に対する処理の要求に用いられる電文の構造を監視し、不正な標準インタフェースの存在を検知する。そして、不正検知部110は、不正(不正な標準インタフェース)が検知された場合に、ATM10を警戒状態へと遷移させる。このため、ATM10において、セキュリティをより向上させることができる。
【0084】
さらに、記憶部300には、不正プログラムと、不正アクセスを検知するために用いられる不正検知情報310と、要求傾向情報330とが記憶され、また、不正な標準インタフェースを検知するために用いられるI/F認識情報320が記憶されている。不正検知情報310には、不正プログラムと、不正アクセスを検知するための方法情報(検知方法フィールド)と、警戒状態において実行される処理の内容に関する処理情報(状態フィールド)とが予め関連付けて記憶されている。I/F認識情報320には、不正な標準インタフェースを検知するための方法情報(特徴フィールド)と、警戒状態において実行される処理の内容に関する処理情報(状態フィールド)とが予め関連付けて記憶されている。これらの結果、不正検知部110は、不正を検知する際に用いた方法情報に応じて、警戒状態において、それぞれ個別の処理を実行することが可能となり、処理の柔軟性を向上させることができる。
【0085】
さらに、不正検知部110は、不正検知処理(図7)のステップS108において、個人情報制御部または現金制御部に対する処理の要求が、未知の種類である場合に、当該要求の種類と順序を学習する。また、不正検知部110は、不正検知処理の標準I/F認識処理(図9)のステップS214において、個人情報制御部または現金制御部に対する処理の要求が、未知の電文構造である場合に、当該要求の電文構造を学習する。この結果、不正検知情報310、I/F認識情報320、要求傾向情報330の自動更新が可能となり、ATM10の管理に要するコストを低減させることができる。
【0086】
さらに、不正検知部110は、不正(不正プログラム、不正アクセス、不正な標準インタフェース)を検知した場合、ATM10の状態を、休止状態(取引中止状態)と、トレース記録状態のいずれかに遷移させることができる。
【0087】
B.第2実施例:
本発明の第2実施例では、現金自動取引装置が、外部に設けられたサーバに接続され、当該サーバによって不正検知処理を行う構成について説明する。以下では、第1実施例と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施例と同様の構成部分については先に説明した第1実施例と同様の符号を付し、その詳細な説明を省略する。
【0088】
(B−1)ネットワーク構成:
図11は、第2実施例における現金自動取引システム1000の概略構成を示す説明図である。現金自動取引システム1000は、ATM10aと、サーバ20とを備えている。ATM10aと、サーバ20とは、ローカルエリアネットワーク(LAN)NNによって接続されている。
【0089】
ATM10aは、第1実施例(図1、2)のATM10と、不正検知部110および記憶部300を備えない点において異なる。サーバ20は、図示しないCPUやメモリ、ハードディスク、ネットワークインタフェース等を備えるサーバコンピュータとして構成されている。サーバ20は、不正検知部110と、記憶部300を、機能部として備えている。不正検知部110と、記憶部300とは、第1実施例と同様の機能を有している。
【0090】
(B−2)不正検知処理:
第2実施例では、ATM10aの本体制御部100が実行する一連の取引処理において、不正検知処理の部分だけをサーバ20が行うこととなる。具体的には、図6のステップS14において、カード機構制御部500は、通信部400を介して、サーバ20の不正検知部110に対して不正検知処理の実行を要求する。また、図6のステップS18において、サーバ20の不正検知部110は、通信部(図示せず)を介して、処理が終了した旨を呼び出し元(ATM10aのカード機構制御部500)に通知する。ステップS26、S30についても同様である。
【0091】
以上のように、第2実施例によれば、不正検知部110を外部のサーバに備えるATM10aにおいても、第1実施例と同様の効果を得ることができる。さらに、このような構成とすれば、外部に設けられたサーバ20で一括して不正プログラムや不正アクセス、不正な標準インタフェースの検知を行うことができるため、ATM10aの処理負荷を軽減させることができる。さらに、不正プログラムや不正アクセス、不正な標準インタフェースに関する情報(不正検知情報310、I/F認識情報320、要求傾向情報330)をサーバ20側で一元管理できるため、複数のATM10aを備えるシステムとして考えた場合、運用が容易な現金自動取引システムを構築することができる。
【0092】
C.変形例:
なお、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
【0093】
C1.変形例1:
上記実施例では、現金自動取引装置、および、現金自動取引システムの構成や機能を説明した。しかし、上記実施例で示した態様は、あくまで一例に過ぎず、本発明の要旨を逸脱しない範囲において種々の変形をすることができる。
【0094】
例えば、現金自動取引装置は、USBインタフェースや無線通信部等の他の構成を備えてもよい。
【0095】
例えば、現金自動取引装置は、さらに、パーソナルコンピュータ等から構成される監視装置に接続されてもよい。この場合、不正検知部は、不正検知処理の結果として不正が検知された場合に、不正が検知された旨と、必要な情報とを、監視装置に対して送信することが好ましい。そうすれば、現金自動取引装置における異常(不正の検知)に関する情報を取得しやすくなる。
【0096】
例えば、上記構成を、現金自動取引装置に代えて、各種の自動販売機や自動券売機、両替機等に転用してもよい。
【0097】
C2.変形例2:
上記実施例では、本体制御部が実行する一連の取引処理において、不正検知処理が実行される様子の一例(図6)を示した。しかし、不正検知処理が実行されるタイミングは図6の場合に限られない。具体的には、不正検知処理は、図4に挙げた現金制御部や、個人情報制御部が、本体制御部からの要求を受信した都度、ステップS14、S26と同様に、要求を受信した機能部によって呼び出されて実行される。
【0098】
図6の例では、現金制御部や、個人情報制御部に対して要求があれば、その都度不正検知処理が実行されるものとした。しかし、例えば、一連の取引処理の最初にのみ、不正検知処理を実行し、その後の現金制御部や、個人情報制御部に対する要求については、不正検知処理を省略してもよい。さらに、例えば、取引が行われる時間帯や、混雑状況等に応じて、不正検知処理の実行有無を切り替えても良い。
【0099】
また、例えば、要求の送信元装置のIPアドレスやMACアドレスを、予め作成されたブラックリストと照合し、当該ブラックリストに該当する要求にのみ、不正検知処理を実行してもよい。さらに、例えば、要求の送信元装置のIPアドレスやMACアドレスを、予め作成されたホワイトリストと照合し、当該ホワイトリストに該当しない要求にのみ、不正検知処理を実行してもよい。
【0100】
C3.変形例3:
上記実施例の不正検知処理(図7)および標準I/F認識処理(図9)では、不正を検知した不正検知部が、本体制御部に対して現金自動取引装置を警戒状態とするよう要求するものとした。しかし、例えば、不正検知部が不正検知処理の結果、不正を検知した場合は、その旨を呼び出し元の機能部、もしくは、本体制御部に通知することとし、通知された機能部または本体制御部が、現金自動取引装置を通常状態から警戒状態へ遷移させてもよい。
【0101】
C4.変形例4:
上記実施例の不正検知処理(図7)のステップS108、および、標準I/F認識処理(図9)のステップS214では、未知の要求を学習することとした。しかし、当該学習処理は省略可能である。
【0102】
C5.変形例5:
上記実施例の不正検知処理(図7)および標準I/F認識処理(図9)では、不正検知情報およびI/F認識情報に格納された全ての方法情報についての確認を行うものとしたが、この点に関しても種々の変形が可能である。例えば、方法情報に対して優先順位を付与し、優先順位が高い順番に確認を行うこととしてもよい。
【0103】
C6.変形例6:
上記実施例では、現金自動取引装置の警戒状態として、休止状態(取引中止状態)と、トレース記録状態とを例示した。しかし、警戒状態は、通常の取引が可能な通常状態と異なっていれば良く、種々の状態を採用することができる。
【0104】
例えば、不正を検知した不正検知部は、本体制御部や呼び出し元機能部に対して、エラーである旨の応答を返し、当該取引処理のみを続行させない構成とすることもできる。また、不正を検知した不正検知部は、本体制御部や呼び出し元機能部に対して、最大出金枚数に制限をつける旨の要求を行ってもよい。さらに、不正を検知した不正検知部は、現金自動取引装置のネットワーク接続を遮断してもよい。
【符号の説明】
【0105】
10…現金自動取引装置(ATM)
20…サーバ
22…カード機構
24…通帳機構
26…明細票機構
32…硬貨機構
34…紙幣機構
42…顧客操作部
44…係員操作部
50…制御ユニット
60…ジャーナル印字機構
100…本体制御部
110…不正検知部
200…タッチパネル制御部
300…記憶部
310…不正検知情報
320…I/F認識情報
330…要求傾向情報
400…通信部
500…カード機構制御部
510…通帳機構制御部
520…明細票機構制御部
600…紙幣機構制御部
610…硬貨機構制御部
700…ジャーナル制御部
1000…現金自動取引システム
EW…設定画面
【特許請求の範囲】
【請求項1】
自動取引装置であって、
前記自動取引装置の各部を制御する本体制御部と、
前記本体制御部からの要求に応じて、利用者の個人情報を取得する個人情報制御部と、
前記本体制御部からの要求に応じて、現金の授受を行う現金制御部と、
前記本体制御部を介した、前記個人情報制御部または前記現金制御部に対する処理の要求の種類と、一連の取引処理における前記自動取引装置の内部状態と、を用いて、前記要求が前記自動取引装置に内在する不正プログラムによるものであると検知した場合に、前記自動取引装置を、通常の取引が可能な通常状態とは異なる警戒状態へと遷移させる不正検知部と、
を備える、自動取引装置。
【請求項2】
請求項1記載の自動取引装置であって、さらに、
ネットワークを介して外部装置に接続され、前記外部装置との間で情報のやりとりを行う通信部を備え、
前記不正検知部は、さらに、
前記本体制御部を介した、前記個人情報制御部または前記現金制御部に対する処理の要求の発行元を確認し、前記要求が前記通信部を介した不正アクセスによるものであると検知した場合に、前記自動取引装置を前記警戒状態へと遷移させる、自動取引装置。
【請求項3】
請求項1または2記載の自動取引装置であって、
前記不正検知部は、さらに、
前記本体制御部から前記個人情報制御部または前記現金制御部に対する処理の要求に用いられる電文の構造を確認し、前記要求に用いられている標準インタフェースが不正な標準インタフェースであると検知した場合に、前記自動取引装置を前記警戒状態へと遷移させる、自動取引装置。
【請求項4】
請求項1ないし3のいずれか一項記載の自動取引装置であって、さらに、
前記不正検知部における処理のために用いられる情報であって、前記不正プログラムと、前記不正アクセスと、前記不正な標準インタフェースと、の少なくともいずれか1つを検知するための方法に関する方法情報と、前記警戒状態において実行される処理の内容に関する処理情報と、が予め関連付けて記憶された記憶部を備える、自動取引装置。
【請求項5】
請求項1ないし4のいずれか一項記載の自動取引装置であって、
前記不正検知部は、さらに、
前記個人情報制御部または前記現金制御部に対する処理の要求が、未知の種類である場合と、未知の発行元から発行されている場合と、未知の電文構造である場合と、の少なくともいずれかである場合に、当該要求を学習する、自動取引装置。
【請求項6】
請求項1ないし5のいずれか一項記載の自動取引装置であって、
前記警戒状態において実行される処理は、前記自動取引装置の休止処理と、前記自動取引装置における各処理のトレース記録処理と、のいずれか一方である、自動取引装置。
【請求項7】
請求項4ないし6のいずれか一項記載の自動取引装置であって、さらに、
前記自動取引装置の管理者からの前記処理情報の変更を受け付けるための係員操作部を備える、自動取引装置。
【請求項8】
請求項1ないし7のいずれか一項記載の自動取引装置であって、
前記不正検知部は、さらに、
前記不正プログラムと、前記不正アクセスと、前記不正な標準インタフェースと、の少なくともいずれか1つを検知した場合に、前記外部装置に対して、不正を検知した旨を通知する、自動取引装置。
【請求項9】
現金自動取引システムであって、
自動取引装置と、
サーバと、
を備え、
前記自動取引装置は、
前記自動取引装置の各部を制御する本体制御部と、
前記本体制御部からの要求に応じて、利用者の個人情報を取得する個人情報制御部と、
前記本体制御部からの要求に応じて、現金の授受を行う現金制御部と、
を備え、
前記サーバは、
前記個人情報制御部または前記現金制御部が受信した処理の要求の種類と、一連の取引処理における前記自動取引装置の内部状態と、を用いて、前記要求が、前記自動取引装置に内在する不正プログラムによるものであるか否かを検知する不正検知部を備え、
前記個人情報制御部と、前記現金制御部とは、
前記本体制御部からの処理の要求を受信した際に、前記サーバへ、当該要求が前記不正プログラムによるものであるか否かを問い合わせ、
前記不正検知部は、
当該要求が前記不正プログラムによるものであると検知した場合に、前記自動取引装置を、通常の取引が可能な通常状態とは異なる警戒状態へと遷移させる、現金自動取引システム。
【請求項1】
自動取引装置であって、
前記自動取引装置の各部を制御する本体制御部と、
前記本体制御部からの要求に応じて、利用者の個人情報を取得する個人情報制御部と、
前記本体制御部からの要求に応じて、現金の授受を行う現金制御部と、
前記本体制御部を介した、前記個人情報制御部または前記現金制御部に対する処理の要求の種類と、一連の取引処理における前記自動取引装置の内部状態と、を用いて、前記要求が前記自動取引装置に内在する不正プログラムによるものであると検知した場合に、前記自動取引装置を、通常の取引が可能な通常状態とは異なる警戒状態へと遷移させる不正検知部と、
を備える、自動取引装置。
【請求項2】
請求項1記載の自動取引装置であって、さらに、
ネットワークを介して外部装置に接続され、前記外部装置との間で情報のやりとりを行う通信部を備え、
前記不正検知部は、さらに、
前記本体制御部を介した、前記個人情報制御部または前記現金制御部に対する処理の要求の発行元を確認し、前記要求が前記通信部を介した不正アクセスによるものであると検知した場合に、前記自動取引装置を前記警戒状態へと遷移させる、自動取引装置。
【請求項3】
請求項1または2記載の自動取引装置であって、
前記不正検知部は、さらに、
前記本体制御部から前記個人情報制御部または前記現金制御部に対する処理の要求に用いられる電文の構造を確認し、前記要求に用いられている標準インタフェースが不正な標準インタフェースであると検知した場合に、前記自動取引装置を前記警戒状態へと遷移させる、自動取引装置。
【請求項4】
請求項1ないし3のいずれか一項記載の自動取引装置であって、さらに、
前記不正検知部における処理のために用いられる情報であって、前記不正プログラムと、前記不正アクセスと、前記不正な標準インタフェースと、の少なくともいずれか1つを検知するための方法に関する方法情報と、前記警戒状態において実行される処理の内容に関する処理情報と、が予め関連付けて記憶された記憶部を備える、自動取引装置。
【請求項5】
請求項1ないし4のいずれか一項記載の自動取引装置であって、
前記不正検知部は、さらに、
前記個人情報制御部または前記現金制御部に対する処理の要求が、未知の種類である場合と、未知の発行元から発行されている場合と、未知の電文構造である場合と、の少なくともいずれかである場合に、当該要求を学習する、自動取引装置。
【請求項6】
請求項1ないし5のいずれか一項記載の自動取引装置であって、
前記警戒状態において実行される処理は、前記自動取引装置の休止処理と、前記自動取引装置における各処理のトレース記録処理と、のいずれか一方である、自動取引装置。
【請求項7】
請求項4ないし6のいずれか一項記載の自動取引装置であって、さらに、
前記自動取引装置の管理者からの前記処理情報の変更を受け付けるための係員操作部を備える、自動取引装置。
【請求項8】
請求項1ないし7のいずれか一項記載の自動取引装置であって、
前記不正検知部は、さらに、
前記不正プログラムと、前記不正アクセスと、前記不正な標準インタフェースと、の少なくともいずれか1つを検知した場合に、前記外部装置に対して、不正を検知した旨を通知する、自動取引装置。
【請求項9】
現金自動取引システムであって、
自動取引装置と、
サーバと、
を備え、
前記自動取引装置は、
前記自動取引装置の各部を制御する本体制御部と、
前記本体制御部からの要求に応じて、利用者の個人情報を取得する個人情報制御部と、
前記本体制御部からの要求に応じて、現金の授受を行う現金制御部と、
を備え、
前記サーバは、
前記個人情報制御部または前記現金制御部が受信した処理の要求の種類と、一連の取引処理における前記自動取引装置の内部状態と、を用いて、前記要求が、前記自動取引装置に内在する不正プログラムによるものであるか否かを検知する不正検知部を備え、
前記個人情報制御部と、前記現金制御部とは、
前記本体制御部からの処理の要求を受信した際に、前記サーバへ、当該要求が前記不正プログラムによるものであるか否かを問い合わせ、
前記不正検知部は、
当該要求が前記不正プログラムによるものであると検知した場合に、前記自動取引装置を、通常の取引が可能な通常状態とは異なる警戒状態へと遷移させる、現金自動取引システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2012−238254(P2012−238254A)
【公開日】平成24年12月6日(2012.12.6)
【国際特許分類】
【出願番号】特願2011−107957(P2011−107957)
【出願日】平成23年5月13日(2011.5.13)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
【公開日】平成24年12月6日(2012.12.6)
【国際特許分類】
【出願日】平成23年5月13日(2011.5.13)
【出願人】(504373093)日立オムロンターミナルソリューションズ株式会社 (1,225)
【Fターム(参考)】
[ Back to top ]