FXシステム用セキュリティ診断支援装置、およびFXシステム用セキュリティ診断支援方法
【課題】一般的なセキュリティ診断技術では発見されにくい、FXシステム特有のセキュリティ上の不備を検出する。
【解決手段】FXシステム用セキュリティ診断支援装置1であって、不正な取引条件の取引リクエストを生成する生成手段11と、取引リクエストをFXシステムに送信する送信手段12と、FXシステムから取引レスポンスを受信する受信手段13と、取引レスポンスに含まれる取引結果を抽出し、当該取引結果に基づいて前記FXシステムのセキュリティ上の不備を検出する検出手段14とを有し、検出手段14は、取引結果が正常の場合、前記取引リクエストに対してセキュリティ上の不備があると判別し、取引結果が異常の場合、前記取引リクエストに対してセキュリティ上の不備がないと判別する。
【解決手段】FXシステム用セキュリティ診断支援装置1であって、不正な取引条件の取引リクエストを生成する生成手段11と、取引リクエストをFXシステムに送信する送信手段12と、FXシステムから取引レスポンスを受信する受信手段13と、取引レスポンスに含まれる取引結果を抽出し、当該取引結果に基づいて前記FXシステムのセキュリティ上の不備を検出する検出手段14とを有し、検出手段14は、取引結果が正常の場合、前記取引リクエストに対してセキュリティ上の不備があると判別し、取引結果が異常の場合、前記取引リクエストに対してセキュリティ上の不備がないと判別する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、外国為替証拠金取引(margin Foreign eXchange trading)(以下、「FX」という。)システム用のセキュリティ診断支援技術に関する。
【背景技術】
【0002】
近年、外国の通貨を売買して利益を得るFXを行う個人投資家が増加し、それにともない、FXを取り扱うFX取扱会社も増加している。各FX取扱会社は、インターネット等を介したオンライントレードでFXを個人投資家に提供するために、Webシステム(FXシステム)を構築している。
【0003】
Webシステムは、不特定多数のユーザが使用することを前提としたシステムであるため、様々なセキュリティ対策を講じられている。例えば、特許文献1には、Webアプリケーションの脆弱性の有無を診断するシステムが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−172517号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
FXは、高度な金融取引であり、FX特有の取引ロジックが存在する。そのため、FXのオンライントレードを実現するFXシステムでは、FXの取引ロジックに従った様々なアプリケーションを備えるものである。また、FXシステムは、金融取引であるため、より高いセキュリティが求められている。
【0006】
しかしながら、引用文献1のような一般的なセキュリティ診断技術では、FXシステム特有のセキュリティ上の問題については考慮されていない。したがって、FXシステム特有の脆弱性については発見されにくいという問題がある。
【0007】
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、一般的なセキュリティ診断技術では発見されにくい、FXシステム特有のセキュリティ上の不備を検出することにある。
【課題を解決するための手段】
【0008】
上記課題を解決するために、本発明は、FXシステム用セキュリティ診断支援装置であって、不正な取引条件の取引リクエストを生成する生成手段と、前記取引リクエストをFXシステムに送信する送信手段と、前記FXシステムから前記取引リクエストに対する取引レスポンスを受信する受信手段と、前記取引レスポンスに含まれる取引結果を抽出し、当該取引結果に基づいて前記FXシステムのセキュリティ上の不備を検出する検出手段と、を有し、前記検出手段は、前記取引結果が正常の場合、前記取引リクエストに対してセキュリティ上の不備があると判別し、前記取引結果が異常の場合、前記取引リクエストに対してセキュリティ上の不備がないと判別する。
【0009】
本発明は、コンピュータが行う、FXシステムのセキュリティ診断を支援するFXシステム用セキュリティ診断支援方法であって、不正な取引条件の取引リクエストを生成する生成ステップと、前記取引リクエストを前記FXシステムに送信する送信ステップと、前記FXシステムから前記取引リクエストに対する取引レスポンスを受信する受信ステップと、前記取引レスポンスに含まれる取引結果を抽出し、当該取引結果に基づいて前記FXシステムのセキュリティ上の不備を検出する検出ステップと、を行い、前記検出ステップは、前記取引結果が正常の場合、前記取引リクエストに対してセキュリティ上の不備があると判別し、前記取引結果が異常の場合、前記取引リクエストに対してセキュリティ上の不備がないと判別する。
【発明の効果】
【0010】
本発明では、一般的なセキュリティ診断技術では発見されにくい、FXシステム特有のセキュリティ上の不備を検出することができる。
【図面の簡単な説明】
【0011】
【図1】本発明の実施形態が適用されたセキュリティ診断システムの全体構成図である。
【図2】セキュリティ診断支援装置のハードウェア構成例を示す図である。
【図3】セキュリティ診断支援装置の動作を示すフローチャートである。
【図4】不正な取引条件の一例を説明する説明図である。
【発明を実施するための形態】
【0012】
以下、本発明の実施の形態について説明する。
【0013】
図1は、本発明の実施形態が適用されたセキュリティ診断システムの全体構成図である。図示するセキュリティ診断システムは、セキュリティ診断支援装置1(FXシステム用セキュリティ診断支援装置)と、少なくとも1つのFXシステム2とを備える。セキュリティ診断支援装置1は、インターネット等のネットワーク3を介して各FXシステム2に接続可能である。
【0014】
FXシステム2は、FX取扱会社が運営するシステムであって、FX(外国為替証拠金取引)のオンライントレードサービスを、個人投資家などのユーザが使用するユーザ端末(不図示)に提供するためのシステムである。なお、本実施形態のFXシステム2は、Webシステムであるものとする。
【0015】
本実施形態のセキュリティ診断支援装置1は、診断対象である所定のFXシステム2のセキュリティ上の不備(脆弱性)の診断を支援する装置である。図示するセキュリティ診断支援装置1は、リクエスト生成部11と、送信部12と、受信部13と、検出部14と、FX取引定義記憶部15と、取引レスポンス記憶部16と、診断結果記憶部17とを備える。
【0016】
リクエスト生成部11は、FX取引定義記憶部15を参照し、不正な取引条件の取引リクエストを生成する。送信部12は、リクエスト生成部11が生成した取引リクエストを、診断対象のFXシステム2に送信する。受信部13は、FXシステム2から取引リクエストに対する取引レスポンスを受信し、取引レスポンス記憶部16に記憶する。
【0017】
検出部14は、取引レスポンスに含まれる取引結果を抽出し、当該取引結果に基づいてFXシステム2のセキュリティ上の不備を検出する。具体的には、検出部14は、取引結果が正常の場合、送信した取引リクエストに対してセキュリティ上の不備があると判別し、取引結果が異常の場合、送信した取引リクエストに対してセキュリティ上の不備がないと判別する。また、検出部14は、判別した診断結果を診断結果記憶部17に記憶する。
【0018】
上記説明した、セキュリティ診断支援装置1は、いずれも、例えば図2に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステム(例えば、PC(Personal Computer)等)を用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされたセキュリティ診断支援装置1のプログラムを実行することにより、セキュリティ診断支援装置1の各機能が実現される。
【0019】
また、セキュリティ診断支援装置1のプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。
【0020】
次に、本実施形態の処理について説明する。
【0021】
図3は、本実施形態のセキュリティ診断支援装置1の動作を示すシーケンス図である。
【0022】
セキュリティ診断支援装置1のリクエスト生成部11は、FX取引定義記憶部15に基づいて不正な取引条件の取引リクエストを生成する(S11)。送信部12は、リクエスト生成部11が生成した取引リクエスト(HTTPリクエスト)を、ネットワーク3を介してFXシステム2に送信する(S12)。
【0023】
取引リクエストを受信したFXシステム2は、当該取引リクエストについて所定のチェックを行い、異常がない場合は当該取引リクエストで指定された取引条件にしたがって、FXの取引を実行し、取引結果を含む取引レスポンス(HTTPレスポンス)をセキュリティ診断支援装置1に送信する。
【0024】
セキュリティ診断支援装置1の受信部13は、FXシステム2から取引レスポンスを受信し、取引レスポンス記憶部16に記憶する(S13)。検出部14は、取引レスポンス記憶部16に記憶された取引レスポンスから取引結果を抽出し(S14)、当該取引結果に基づいてFXシステム2のセキュリティ上の不備を検出する。具体的には、検出部14は、取引結果が正常か否かを判別する(S15)。
【0025】
取引結果が異常(エラー)の場合(S15:NO)、検出部14は、S12で送信した不正な取引条件の取引リクエストを、FXシステム2が適切にチェックし、取引を実行することなくエラーと判別しているため、当該取引条件に対してFXシステム2はセキュリティ上の不備(脆弱性)がないと判別する(S18)。
【0026】
一方、取引結果が正常の場合(S15:YES)、検出部14は、不正な取引条件の取引リクエストに対して、FXシステム2でのチェックが機能せず正常となっているため、当該取引条件に対してFXシステム2はセキュリティ上の不備(脆弱性)があると判別する(S17)。
【0027】
なお、取引結果のステータス(正常、異常)だけでなく、取引結果の内容を用いて、セキュリティ上の不備の有無を判別することとしてもよい。図3に示す例では、取引結果が正常の場合(S15:YES)、検出部14は、取引結果からS12で送信した取引リクエストの取引が約定(取引成立)しているか否かを判別し(S16)、約定していない場合は(S16:NO)、S15で正常の場合であっても、当該取引条件に対してFXシステム2はセキュリティ上の不備がないと判別する(S18)。約定している場合(S16:YES)、検出部14は、当該取引条件に対してFXシステム2はセキュリティ上の不備があると判別する(S17)。
【0028】
そして、検出部14は、S17またはS18で判別した診断結果を、S11で生成した取引リクエスト、当該取引リクエストを送信したFXシステム2の識別情報とともに診断結果記憶部17に記憶する。
【0029】
次に、具体的な不正な取引条件を用いて、図3に示すセキュリティ診断支援装置1の動作を詳細に説明する。
【0030】
図4は、決済注文の通貨ペアの指定において、保持している建玉(ポジジョン)の通貨ペアを無視して、別の通貨ペアを指定して決済注文をするという不正な取引条件の一例を説明するための図である。
【0031】
FXでは、買い注文により保持している建玉の通貨ペアと同じ通貨ペアでなければ、決済注文(売り注文)を出すことができないという定義(ルール)がある。しかしながら、FXシステム2のチェック漏れにより、このような不正な取引条件の取引リクエストが誤って実行されてしまうと、この脆弱性を悪用した金銭被害がFXシステムを運営するFX取扱会社に発生する。
【0032】
図示する例には、1ドル(米ドル)の現在値が83円の第1の時点41において、10000通貨(ドル)の新規注文(買い注文)を行う。これにより、保持している建玉の通貨ペアは、円とドルである。
【0033】
その後、1ドルの現在値が80円の第2の時点42において、第1の時点41で買った10000通貨の決済注文(売り注文)を出す。このとき、本来であれば、円とドルの通貨ペアで決済注文が出されるはずであるが、不正な利益を得る目的で、故意に異なる通貨ペア(図示する例では、円とポンド(英ポンド))での決済注文をFXシステム2に送信するものとする。なお、第2の時点における1ポンドの現在値は、130円とする。
【0034】
FXシステムで、保持している建玉の通貨ペアとは異なる通貨ペアでの決済注文をエラーとするチェック機能がない場合、この決済注文は正常な取引として約定してしまう。この場合、83円で買ったものを、130円で売ることになるため、悪意のある投資家にとっては以下の不正な利益が発生し、FX取扱会社にとっては金銭被害が発生する。
【0035】
(130円/ポンド−83円/ドル)*10000通貨=47万円
なお、正しい取引条件(円とドルの通貨ペア)で第2の時点42で決済注文を出した場合、この時点42における1ドルの現在値は80円であるため、83円で買ったものを、80円で売ることになるため、本来であれば投資家は以下の損失が発生する可能性がある。
【0036】
(80円/ドル−83円/ドル)*10000通貨=−3万円
図4に示す不正な取引条件の場合におけるセキュリティ診断支援装置1の動作を、図3を用いて、より詳細に説明する。
【0037】
まず、図4に示す例では、決済処理であるため、前処理として、セキュリティ診断支援装置1は、所定の口座で、所定の通貨ペア(図4では、円とドル)で所定の取引数量の新規注文(買い注文)を行う。この新規注文が約定(取引成立)すると、セキュリティ診断支援装置1には、建玉ID、通貨ペア、取引数量などがFXシステム2から通知される。
【0038】
そして、セキュリティ診断支援装置1のリクエスト生成部11は、FX取引定義記憶部15に記憶された決済処理に関するFXの定義(ルール)に基づいて、当該FXの定義に反する、保持している建玉の通貨ペアとは異なる通貨ペアを指定した決済注文(不正な取引条件)の取引リクエストを生成する(S11)。
【0039】
この取引リクエストには、例えば、前処理の新規注文が約定した際に通知された建玉ID、取引種別(図4では、売り注文)、異なる通貨ペア(図4では、円とポンド)、取引数量(図4では、10000通貨)、注文方法(通常、OCO、トレール等)、執行条件(成行、指値、逆指値等)、値段指定、有効期限などが含まれる。
【0040】
なお、リクエスト生成部11は、FXシステム2が提供する決済注文用のWebページのフォーム上で所定項目を入力して取引リクエストを生成するのではなく、前記項目(パラメータ)の取引条件を設定したリクエスト電文を生成するものとする。
【0041】
送信部12は、生成した取引リクエストをFXシステム2に送信する(S12)。FXシステム2は、受信した取引リクエストについて所定のチェックを行い、異常がなければ注文IDを生成するなどして、指定された取引条件にしたがってFXの取引を実行し、取引結果を含む取引レスポンスをセキュリティ診断支援装置1に送信する。
【0042】
セキュリティ診断支援装置1の受信部13は、FXシステム2から取引レスポンスを受信し、取引レスポンス記憶部16に記憶する(S13)。検出部14は、取引レスポンスから取引結果を抽出し(S14)、取引結果が正常か否かを判別する(S15)。例えば、検出部14は、取引結果に注文IDが設定されている場合は正常であると判別し、取引結果に注文IDが設定されていない場合は異常(エラー)であると判別する。
【0043】
取引結果が異常の場合(S15:NO)、検出部14は、S12で送信した不正な取引リクエストに対して、FXシステム2では、同じ通貨ペアかどうかのチェックを適切に実行し、注文IDを生成することなく当該取引リクエストをエラーにしているため、図4に示す場合のセキュリティ上の不備(脆弱性)はないと判別する(S18)。
【0044】
一方、注文IDが設定され、正常の場合(S15:YES)、検出部14は、さらに、当該注文IDの取引が約定されている否かを判別し(S16)、約定されていない場合は(S16:NO)、図4に示す場合のセキュリティ上の不備(脆弱性)がないと判別する(S18)。当該注文IDの取引が約定している場合は(S16:YES)、検出部14は、通貨ペアを無視した不正な取引条件の取引リクエストに対して、FXシステム2が異常と判別せず、かつ取引が約定しているため、図4に示す場合のセキュリティ上の不備(脆弱性)があると判別する(S17)。
【0045】
なお、応答レスポンスから抽出した取引結果に、損益明細などの約定したか否かを判断するための情報が含まれていない場合、検出部14は、注文IDを指定した損益明細照会リクエストを生成してFXシステム2に送信し、当該リクエストに対する照会結果レスポンスから、約定しているか否かを判別することとしてもよい。また、照会結果レスポンスから、約定している場合は建玉の通貨ペアと同じ通貨ペアで約定しているのか、あるいは、不正な取引条件で指定した別の通貨ペアで約定(異常取引)が発生しているのかについても、診断することとしてもよい。
【0046】
検出部14は、S17またはS18で判別した診断結果を、S11で生成した取引リクエスト、当該取引リクエストを送信したFXシステム2の識別情報とともに診断結果記憶部17に記憶する。
【0047】
以上説明した本実施形態では、FXの取引ロジックを考慮したFXシステムのセキュリティ診断を行うものであり、一般的なセキュリティ診断技術では発見されにくい、FXシステム特有のセキュリティ上の不備や脆弱性を検出することができる。
【0048】
これにより、本実施形態では、FXシステムにおいて、注文時の各条件指定のチェック漏れにより、不正な損益計算が実行されるといった異常な取引の発生を防止することができる。また、FX取扱会社が、FXシステムの脆弱性を悪用されて不正に金銭を詐取されるなどの被害の発生を防止することができる。
【0049】
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、セキュリティ診断支援装置1が診断対象とするFXシステム2は、不正な取引条件の取引リクエストが誤って約定され、損益が発生する可能性があるため、本番系のFXシステムではなく、開発系または待機系のFXシステムを用いてもよい。
【符号の説明】
【0050】
1:セキュリティ診断支援装置、11:リクエスト生成部、12:送信部、13:受信部、14:検出部、15:FX取引定義記憶部、16:取引レスポンス記憶部、17:診断結果記憶部、2:FXシステム、3:ネットワーク
【技術分野】
【0001】
本発明は、外国為替証拠金取引(margin Foreign eXchange trading)(以下、「FX」という。)システム用のセキュリティ診断支援技術に関する。
【背景技術】
【0002】
近年、外国の通貨を売買して利益を得るFXを行う個人投資家が増加し、それにともない、FXを取り扱うFX取扱会社も増加している。各FX取扱会社は、インターネット等を介したオンライントレードでFXを個人投資家に提供するために、Webシステム(FXシステム)を構築している。
【0003】
Webシステムは、不特定多数のユーザが使用することを前提としたシステムであるため、様々なセキュリティ対策を講じられている。例えば、特許文献1には、Webアプリケーションの脆弱性の有無を診断するシステムが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−172517号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
FXは、高度な金融取引であり、FX特有の取引ロジックが存在する。そのため、FXのオンライントレードを実現するFXシステムでは、FXの取引ロジックに従った様々なアプリケーションを備えるものである。また、FXシステムは、金融取引であるため、より高いセキュリティが求められている。
【0006】
しかしながら、引用文献1のような一般的なセキュリティ診断技術では、FXシステム特有のセキュリティ上の問題については考慮されていない。したがって、FXシステム特有の脆弱性については発見されにくいという問題がある。
【0007】
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、一般的なセキュリティ診断技術では発見されにくい、FXシステム特有のセキュリティ上の不備を検出することにある。
【課題を解決するための手段】
【0008】
上記課題を解決するために、本発明は、FXシステム用セキュリティ診断支援装置であって、不正な取引条件の取引リクエストを生成する生成手段と、前記取引リクエストをFXシステムに送信する送信手段と、前記FXシステムから前記取引リクエストに対する取引レスポンスを受信する受信手段と、前記取引レスポンスに含まれる取引結果を抽出し、当該取引結果に基づいて前記FXシステムのセキュリティ上の不備を検出する検出手段と、を有し、前記検出手段は、前記取引結果が正常の場合、前記取引リクエストに対してセキュリティ上の不備があると判別し、前記取引結果が異常の場合、前記取引リクエストに対してセキュリティ上の不備がないと判別する。
【0009】
本発明は、コンピュータが行う、FXシステムのセキュリティ診断を支援するFXシステム用セキュリティ診断支援方法であって、不正な取引条件の取引リクエストを生成する生成ステップと、前記取引リクエストを前記FXシステムに送信する送信ステップと、前記FXシステムから前記取引リクエストに対する取引レスポンスを受信する受信ステップと、前記取引レスポンスに含まれる取引結果を抽出し、当該取引結果に基づいて前記FXシステムのセキュリティ上の不備を検出する検出ステップと、を行い、前記検出ステップは、前記取引結果が正常の場合、前記取引リクエストに対してセキュリティ上の不備があると判別し、前記取引結果が異常の場合、前記取引リクエストに対してセキュリティ上の不備がないと判別する。
【発明の効果】
【0010】
本発明では、一般的なセキュリティ診断技術では発見されにくい、FXシステム特有のセキュリティ上の不備を検出することができる。
【図面の簡単な説明】
【0011】
【図1】本発明の実施形態が適用されたセキュリティ診断システムの全体構成図である。
【図2】セキュリティ診断支援装置のハードウェア構成例を示す図である。
【図3】セキュリティ診断支援装置の動作を示すフローチャートである。
【図4】不正な取引条件の一例を説明する説明図である。
【発明を実施するための形態】
【0012】
以下、本発明の実施の形態について説明する。
【0013】
図1は、本発明の実施形態が適用されたセキュリティ診断システムの全体構成図である。図示するセキュリティ診断システムは、セキュリティ診断支援装置1(FXシステム用セキュリティ診断支援装置)と、少なくとも1つのFXシステム2とを備える。セキュリティ診断支援装置1は、インターネット等のネットワーク3を介して各FXシステム2に接続可能である。
【0014】
FXシステム2は、FX取扱会社が運営するシステムであって、FX(外国為替証拠金取引)のオンライントレードサービスを、個人投資家などのユーザが使用するユーザ端末(不図示)に提供するためのシステムである。なお、本実施形態のFXシステム2は、Webシステムであるものとする。
【0015】
本実施形態のセキュリティ診断支援装置1は、診断対象である所定のFXシステム2のセキュリティ上の不備(脆弱性)の診断を支援する装置である。図示するセキュリティ診断支援装置1は、リクエスト生成部11と、送信部12と、受信部13と、検出部14と、FX取引定義記憶部15と、取引レスポンス記憶部16と、診断結果記憶部17とを備える。
【0016】
リクエスト生成部11は、FX取引定義記憶部15を参照し、不正な取引条件の取引リクエストを生成する。送信部12は、リクエスト生成部11が生成した取引リクエストを、診断対象のFXシステム2に送信する。受信部13は、FXシステム2から取引リクエストに対する取引レスポンスを受信し、取引レスポンス記憶部16に記憶する。
【0017】
検出部14は、取引レスポンスに含まれる取引結果を抽出し、当該取引結果に基づいてFXシステム2のセキュリティ上の不備を検出する。具体的には、検出部14は、取引結果が正常の場合、送信した取引リクエストに対してセキュリティ上の不備があると判別し、取引結果が異常の場合、送信した取引リクエストに対してセキュリティ上の不備がないと判別する。また、検出部14は、判別した診断結果を診断結果記憶部17に記憶する。
【0018】
上記説明した、セキュリティ診断支援装置1は、いずれも、例えば図2に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステム(例えば、PC(Personal Computer)等)を用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされたセキュリティ診断支援装置1のプログラムを実行することにより、セキュリティ診断支援装置1の各機能が実現される。
【0019】
また、セキュリティ診断支援装置1のプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。
【0020】
次に、本実施形態の処理について説明する。
【0021】
図3は、本実施形態のセキュリティ診断支援装置1の動作を示すシーケンス図である。
【0022】
セキュリティ診断支援装置1のリクエスト生成部11は、FX取引定義記憶部15に基づいて不正な取引条件の取引リクエストを生成する(S11)。送信部12は、リクエスト生成部11が生成した取引リクエスト(HTTPリクエスト)を、ネットワーク3を介してFXシステム2に送信する(S12)。
【0023】
取引リクエストを受信したFXシステム2は、当該取引リクエストについて所定のチェックを行い、異常がない場合は当該取引リクエストで指定された取引条件にしたがって、FXの取引を実行し、取引結果を含む取引レスポンス(HTTPレスポンス)をセキュリティ診断支援装置1に送信する。
【0024】
セキュリティ診断支援装置1の受信部13は、FXシステム2から取引レスポンスを受信し、取引レスポンス記憶部16に記憶する(S13)。検出部14は、取引レスポンス記憶部16に記憶された取引レスポンスから取引結果を抽出し(S14)、当該取引結果に基づいてFXシステム2のセキュリティ上の不備を検出する。具体的には、検出部14は、取引結果が正常か否かを判別する(S15)。
【0025】
取引結果が異常(エラー)の場合(S15:NO)、検出部14は、S12で送信した不正な取引条件の取引リクエストを、FXシステム2が適切にチェックし、取引を実行することなくエラーと判別しているため、当該取引条件に対してFXシステム2はセキュリティ上の不備(脆弱性)がないと判別する(S18)。
【0026】
一方、取引結果が正常の場合(S15:YES)、検出部14は、不正な取引条件の取引リクエストに対して、FXシステム2でのチェックが機能せず正常となっているため、当該取引条件に対してFXシステム2はセキュリティ上の不備(脆弱性)があると判別する(S17)。
【0027】
なお、取引結果のステータス(正常、異常)だけでなく、取引結果の内容を用いて、セキュリティ上の不備の有無を判別することとしてもよい。図3に示す例では、取引結果が正常の場合(S15:YES)、検出部14は、取引結果からS12で送信した取引リクエストの取引が約定(取引成立)しているか否かを判別し(S16)、約定していない場合は(S16:NO)、S15で正常の場合であっても、当該取引条件に対してFXシステム2はセキュリティ上の不備がないと判別する(S18)。約定している場合(S16:YES)、検出部14は、当該取引条件に対してFXシステム2はセキュリティ上の不備があると判別する(S17)。
【0028】
そして、検出部14は、S17またはS18で判別した診断結果を、S11で生成した取引リクエスト、当該取引リクエストを送信したFXシステム2の識別情報とともに診断結果記憶部17に記憶する。
【0029】
次に、具体的な不正な取引条件を用いて、図3に示すセキュリティ診断支援装置1の動作を詳細に説明する。
【0030】
図4は、決済注文の通貨ペアの指定において、保持している建玉(ポジジョン)の通貨ペアを無視して、別の通貨ペアを指定して決済注文をするという不正な取引条件の一例を説明するための図である。
【0031】
FXでは、買い注文により保持している建玉の通貨ペアと同じ通貨ペアでなければ、決済注文(売り注文)を出すことができないという定義(ルール)がある。しかしながら、FXシステム2のチェック漏れにより、このような不正な取引条件の取引リクエストが誤って実行されてしまうと、この脆弱性を悪用した金銭被害がFXシステムを運営するFX取扱会社に発生する。
【0032】
図示する例には、1ドル(米ドル)の現在値が83円の第1の時点41において、10000通貨(ドル)の新規注文(買い注文)を行う。これにより、保持している建玉の通貨ペアは、円とドルである。
【0033】
その後、1ドルの現在値が80円の第2の時点42において、第1の時点41で買った10000通貨の決済注文(売り注文)を出す。このとき、本来であれば、円とドルの通貨ペアで決済注文が出されるはずであるが、不正な利益を得る目的で、故意に異なる通貨ペア(図示する例では、円とポンド(英ポンド))での決済注文をFXシステム2に送信するものとする。なお、第2の時点における1ポンドの現在値は、130円とする。
【0034】
FXシステムで、保持している建玉の通貨ペアとは異なる通貨ペアでの決済注文をエラーとするチェック機能がない場合、この決済注文は正常な取引として約定してしまう。この場合、83円で買ったものを、130円で売ることになるため、悪意のある投資家にとっては以下の不正な利益が発生し、FX取扱会社にとっては金銭被害が発生する。
【0035】
(130円/ポンド−83円/ドル)*10000通貨=47万円
なお、正しい取引条件(円とドルの通貨ペア)で第2の時点42で決済注文を出した場合、この時点42における1ドルの現在値は80円であるため、83円で買ったものを、80円で売ることになるため、本来であれば投資家は以下の損失が発生する可能性がある。
【0036】
(80円/ドル−83円/ドル)*10000通貨=−3万円
図4に示す不正な取引条件の場合におけるセキュリティ診断支援装置1の動作を、図3を用いて、より詳細に説明する。
【0037】
まず、図4に示す例では、決済処理であるため、前処理として、セキュリティ診断支援装置1は、所定の口座で、所定の通貨ペア(図4では、円とドル)で所定の取引数量の新規注文(買い注文)を行う。この新規注文が約定(取引成立)すると、セキュリティ診断支援装置1には、建玉ID、通貨ペア、取引数量などがFXシステム2から通知される。
【0038】
そして、セキュリティ診断支援装置1のリクエスト生成部11は、FX取引定義記憶部15に記憶された決済処理に関するFXの定義(ルール)に基づいて、当該FXの定義に反する、保持している建玉の通貨ペアとは異なる通貨ペアを指定した決済注文(不正な取引条件)の取引リクエストを生成する(S11)。
【0039】
この取引リクエストには、例えば、前処理の新規注文が約定した際に通知された建玉ID、取引種別(図4では、売り注文)、異なる通貨ペア(図4では、円とポンド)、取引数量(図4では、10000通貨)、注文方法(通常、OCO、トレール等)、執行条件(成行、指値、逆指値等)、値段指定、有効期限などが含まれる。
【0040】
なお、リクエスト生成部11は、FXシステム2が提供する決済注文用のWebページのフォーム上で所定項目を入力して取引リクエストを生成するのではなく、前記項目(パラメータ)の取引条件を設定したリクエスト電文を生成するものとする。
【0041】
送信部12は、生成した取引リクエストをFXシステム2に送信する(S12)。FXシステム2は、受信した取引リクエストについて所定のチェックを行い、異常がなければ注文IDを生成するなどして、指定された取引条件にしたがってFXの取引を実行し、取引結果を含む取引レスポンスをセキュリティ診断支援装置1に送信する。
【0042】
セキュリティ診断支援装置1の受信部13は、FXシステム2から取引レスポンスを受信し、取引レスポンス記憶部16に記憶する(S13)。検出部14は、取引レスポンスから取引結果を抽出し(S14)、取引結果が正常か否かを判別する(S15)。例えば、検出部14は、取引結果に注文IDが設定されている場合は正常であると判別し、取引結果に注文IDが設定されていない場合は異常(エラー)であると判別する。
【0043】
取引結果が異常の場合(S15:NO)、検出部14は、S12で送信した不正な取引リクエストに対して、FXシステム2では、同じ通貨ペアかどうかのチェックを適切に実行し、注文IDを生成することなく当該取引リクエストをエラーにしているため、図4に示す場合のセキュリティ上の不備(脆弱性)はないと判別する(S18)。
【0044】
一方、注文IDが設定され、正常の場合(S15:YES)、検出部14は、さらに、当該注文IDの取引が約定されている否かを判別し(S16)、約定されていない場合は(S16:NO)、図4に示す場合のセキュリティ上の不備(脆弱性)がないと判別する(S18)。当該注文IDの取引が約定している場合は(S16:YES)、検出部14は、通貨ペアを無視した不正な取引条件の取引リクエストに対して、FXシステム2が異常と判別せず、かつ取引が約定しているため、図4に示す場合のセキュリティ上の不備(脆弱性)があると判別する(S17)。
【0045】
なお、応答レスポンスから抽出した取引結果に、損益明細などの約定したか否かを判断するための情報が含まれていない場合、検出部14は、注文IDを指定した損益明細照会リクエストを生成してFXシステム2に送信し、当該リクエストに対する照会結果レスポンスから、約定しているか否かを判別することとしてもよい。また、照会結果レスポンスから、約定している場合は建玉の通貨ペアと同じ通貨ペアで約定しているのか、あるいは、不正な取引条件で指定した別の通貨ペアで約定(異常取引)が発生しているのかについても、診断することとしてもよい。
【0046】
検出部14は、S17またはS18で判別した診断結果を、S11で生成した取引リクエスト、当該取引リクエストを送信したFXシステム2の識別情報とともに診断結果記憶部17に記憶する。
【0047】
以上説明した本実施形態では、FXの取引ロジックを考慮したFXシステムのセキュリティ診断を行うものであり、一般的なセキュリティ診断技術では発見されにくい、FXシステム特有のセキュリティ上の不備や脆弱性を検出することができる。
【0048】
これにより、本実施形態では、FXシステムにおいて、注文時の各条件指定のチェック漏れにより、不正な損益計算が実行されるといった異常な取引の発生を防止することができる。また、FX取扱会社が、FXシステムの脆弱性を悪用されて不正に金銭を詐取されるなどの被害の発生を防止することができる。
【0049】
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、セキュリティ診断支援装置1が診断対象とするFXシステム2は、不正な取引条件の取引リクエストが誤って約定され、損益が発生する可能性があるため、本番系のFXシステムではなく、開発系または待機系のFXシステムを用いてもよい。
【符号の説明】
【0050】
1:セキュリティ診断支援装置、11:リクエスト生成部、12:送信部、13:受信部、14:検出部、15:FX取引定義記憶部、16:取引レスポンス記憶部、17:診断結果記憶部、2:FXシステム、3:ネットワーク
【特許請求の範囲】
【請求項1】
FXシステム用セキュリティ診断支援装置であって、
不正な取引条件の取引リクエストを生成する生成手段と、
前記取引リクエストをFXシステムに送信する送信手段と、
前記FXシステムから前記取引リクエストに対する取引レスポンスを受信する受信手段と、
前記取引レスポンスに含まれる取引結果を抽出し、当該取引結果に基づいて前記FXシステムのセキュリティ上の不備を検出する検出手段と、を有し、
前記検出手段は、前記取引結果が正常の場合、前記取引リクエストに対してセキュリティ上の不備があると判別し、前記取引結果が異常の場合、前記取引リクエストに対してセキュリティ上の不備がないと判別すること
を特徴とするFXシステム用セキュリティ診断支援装置。
【請求項2】
請求項1記載のFXシステム用セキュリティ診断支援装置であって、
前記検出手段は、前記取引結果が正常の場合であって、かつ前記取引リクエストの取引が約定していない場合、前記取引リクエストに対してセキュリティ上の不備がないと判別すること
を特徴とするFXシステム用セキュリティ診断支援装置。
【請求項3】
コンピュータが行う、FXシステムのセキュリティ診断を支援するFXシステム用セキュリティ診断支援方法であって、
不正な取引条件の取引リクエストを生成する生成ステップと、
前記取引リクエストを前記FXシステムに送信する送信ステップと、
前記FXシステムから前記取引リクエストに対する取引レスポンスを受信する受信ステップと、
前記取引レスポンスに含まれる取引結果を抽出し、当該取引結果に基づいて前記FXシステムのセキュリティ上の不備を検出する検出ステップと、を行い、
前記検出ステップは、前記取引結果が正常の場合、前記取引リクエストに対してセキュリティ上の不備があると判別し、前記取引結果が異常の場合、前記取引リクエストに対してセキュリティ上の不備がないと判別すること
を特徴とするFXシステム用セキュリティ診断支援方法。
【請求項1】
FXシステム用セキュリティ診断支援装置であって、
不正な取引条件の取引リクエストを生成する生成手段と、
前記取引リクエストをFXシステムに送信する送信手段と、
前記FXシステムから前記取引リクエストに対する取引レスポンスを受信する受信手段と、
前記取引レスポンスに含まれる取引結果を抽出し、当該取引結果に基づいて前記FXシステムのセキュリティ上の不備を検出する検出手段と、を有し、
前記検出手段は、前記取引結果が正常の場合、前記取引リクエストに対してセキュリティ上の不備があると判別し、前記取引結果が異常の場合、前記取引リクエストに対してセキュリティ上の不備がないと判別すること
を特徴とするFXシステム用セキュリティ診断支援装置。
【請求項2】
請求項1記載のFXシステム用セキュリティ診断支援装置であって、
前記検出手段は、前記取引結果が正常の場合であって、かつ前記取引リクエストの取引が約定していない場合、前記取引リクエストに対してセキュリティ上の不備がないと判別すること
を特徴とするFXシステム用セキュリティ診断支援装置。
【請求項3】
コンピュータが行う、FXシステムのセキュリティ診断を支援するFXシステム用セキュリティ診断支援方法であって、
不正な取引条件の取引リクエストを生成する生成ステップと、
前記取引リクエストを前記FXシステムに送信する送信ステップと、
前記FXシステムから前記取引リクエストに対する取引レスポンスを受信する受信ステップと、
前記取引レスポンスに含まれる取引結果を抽出し、当該取引結果に基づいて前記FXシステムのセキュリティ上の不備を検出する検出ステップと、を行い、
前記検出ステップは、前記取引結果が正常の場合、前記取引リクエストに対してセキュリティ上の不備があると判別し、前記取引結果が異常の場合、前記取引リクエストに対してセキュリティ上の不備がないと判別すること
を特徴とするFXシステム用セキュリティ診断支援方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2013−8306(P2013−8306A)
【公開日】平成25年1月10日(2013.1.10)
【国際特許分類】
【出願番号】特願2011−141992(P2011−141992)
【出願日】平成23年6月27日(2011.6.27)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成25年1月10日(2013.1.10)
【国際特許分類】
【出願日】平成23年6月27日(2011.6.27)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]