URL検証方法、装置、およびプログラム
【課題】フィッシング詐欺の被害に遭う危険性を低くする。
【解決手段】 まず、利用者がweb情報取得部3において個人情報などを入力し、送信の操作を行なう。web情報取得部3は、個人情報の送信先となるURLを取得し、検証済リスト格納部32を検索し、該URLが存在するか否かを調べる。検証済リスト格納部32にURLが存在した場合、web情報取得部3は個人情報を送信し、検証処理を終了する。
【解決手段】 まず、利用者がweb情報取得部3において個人情報などを入力し、送信の操作を行なう。web情報取得部3は、個人情報の送信先となるURLを取得し、検証済リスト格納部32を検索し、該URLが存在するか否かを調べる。検証済リスト格納部32にURLが存在した場合、web情報取得部3は個人情報を送信し、検証処理を終了する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、フィッシング詐欺等の防止を目的とし、インターネット等のネットワークを介して公開されている情報の発信元に対する正当性の検証方法に関する。
【背景技術】
【0002】
昨今、フィッシング詐欺による被害が多発している。フィッシング詐欺とは、信頼のおける金融機関等の企業を装ったメールによって利用者を不正サイトへ誘導し、個人情報やクレジットカード番号などを収集する詐欺である。
【0003】
現在、非特許文献1のように、不正なサイトのURL(Uniform Resource Locator)群をブラックリストとして管理し、利用者がアクセスしているURLを常にチェックして、不正なサイトにアクセスした場合に利用者に警告するといった方式によるフィッシング対策の提案がなされているが、不正サイトの発見、登録が人の手によって行なわれるため、不正サイトのURLがブラックリストに登録されるまでの間にタイムラグが存在し、被害が発生してしまうといった問題がある。
【非特許文献1】Netcraft社 Anti−Phishing Toolbar (http://toolbar.netcraft.com/)
【発明の開示】
【発明が解決しようとする課題】
【0004】
フィッシング詐欺を防止するためのURL検証に必要となる性質は、以下の3点である。
【0005】
1)ブラックリスト方式ではなく、個人情報の送信先が正当なものであることを検証することができる必要がある。これは、ブラックリスト方式によるフィッシング詐欺対策を行なう場合に発生する、ブラックリストに不正サイトを登録するまでのタイムラグの問題を解決するためである。
【0006】
2)利用者の不注意や、情報リテラシの低い利用者をターゲットとしたフィッシング詐欺を防止するために、容易な操作によって、利用者に対して注意を喚起できる必要がある。webサイトのブラウジングを行なう利用者の利便性を下げることなく、単純な操作でURLの検証を行なうことができ、しかも正当なwebサイトに接続していることを利用者に対して効果的に通知することができなければならない。
【0007】
3)webサイト運営者側に負担がかからない検証方式である必要がある。(1)において、個人情報の送信先が正当なものであることを検証するためには、正当なwebサイトのURLを管理する必要がある。しかし、webサイトの構成、URLなどは頻繁に変更されるため、webサイト運営者にとっては変更の度に正当なwebサイトとしての登録情報を更新しなければならない。そこで、webサイト運営者側の利便性を高めるため、サイトの構成、URLなどの変更に柔軟に対応できなければならない。
【課題を解決するための手段】
【0008】
本発明のURL検証方法は、URL検証装置においてURLを検証する方法であって、URL情報証明部が、正当なサイト中の、個人情報の送信先となるURLを証明情報格納部内にホワイトリストとして管理し、URL情報検証部が、World Wide Webを介してサイトを公開しているwebサイトに対して利用者が個人情報を送信する際に、送信先となるURLを前記ホワイトリストにおいて検索し、前記webサイトが正当なものであるか否かを判断し、結果を利用者に通知するものである。
【0009】
フィッシング詐欺の標的となる個人情報などの送信を行なう機会は、webサイトを閲覧する場合に比べて圧倒的に少ないことに注目し、正当なwebサイトの中の、個人情報の送信先となるURLをホワイトリストとして管理する。個人情報の送信時、送信先となるURLをホワイトリストにおいて検索し、送信先URLの正当性を検証した上で送信の可否を決定する。
【0010】
本発明の実施態様では、URL情報検証部が、利用者がwebサイトに送信する情報を入力する前にも前記webサイトが正当なものであるか否かを判断し、結果を利用者に通知する。
【0011】
個人情報などの送信先URLのみの検証では、利用者が多くの情報を入力した上で、送信先の検証を行なうため、正当なURLとして検証されなかった場合に利用者の利便性を低下させる可能性がある。そこで、webサイトが読み込まれた時点、つまり、個人情報を入力する前の段階においても、当該URLの正当性検証を行ない、利用者は正当なwebサイトであることを確認した上で個人情報の入力を開始できる。
【0012】
本発明の実施態様では、URL情報検証部が、利用者がwebサイトを閲覧、もしくは情報を送信しようとしている端末とは異なる装置を用いてwebサイトの正当性検証を行なう。
【0013】
利用者に対して別の装置を操作させることにより、利用者の注意を喚起する。
【0014】
本発明の実施態様によれば、URL情報検証部が、過去に正当なwebサイトであると判断されたURL情報を検証済リストとして利用者側の端末にキャッシュする。
【0015】
過去に正当なwebサイトであると判断されたURL情報を検証済リストとして利用者側の端末にキャッシュすることにより、利用者が閲覧、もしくは情報を送信しようとする度に正当なwebサイトのURLリストにアクセスすることなく、利用者側の端末のみでwebサイトの正当性検証を行なう。
【0016】
本発明の実施態様によれば、正当なwebサイトとして判断されるためのディレクトリの許容範囲を設定する。
【0017】
webサイトの構成の変更に対する柔軟な対応を可能とするために、webサイトの運営者がディレクトリレベルの設定を可能とし、「同一ディレクトリにあるファイルならばファイル名が変更されても信頼する」、「ホスト名が一致していれば信頼する」といった設定を可能とする。
【0018】
本発明の実施態様によれば、証明情報生成部が、利用者が閲覧、もしくは情報を送信しようとしているwebサイトのURL情報を圧縮する。
【0019】
利用者が閲覧、もしくは情報を送信しようとしているwebサイトのURL情報を圧縮することによって、正当なURLリストを管理する装置との通信、該装置におけるURLの検索を効率的に行なう。
【発明の効果】
【0020】
請求項1の発明は、ホワイトリストによるwebサイトの正当性検証を行なうことにより、「個人情報の送信先が正当なサイトである」ことを確認した上で送信を実行することが可能となり、ブラックリストを用いる方式に比べてフィッシング詐欺の被害に遭う危険性を低くすることができる。
【0021】
請求項2の発明は、個人情報等の入力前にwebサイトが正当であるか否かを判断することにより、情報の送信時に利用者に対して警告を行なう場合に比べて利便性が高くなっている。
【0022】
請求項3の発明は、利用者がwebサイトを閲覧、もしくは情報を送信しようとしている端末とは異なる装置を用いてwebサイトの検証を行なうことにより、利用者の注意を喚起すると共に、webサイトを閲覧、もしくは情報を送信しようとしている端末を乗っ取るような手口のフィッシング詐欺に対しても頑強なものとなる。
【0023】
請求項5の発明は、過去に正当なwebサイトであると判断されたURL情報を検証済リストとして利用者側の端末にキャッシュすることにより、URLの検証を行なうたびに正当なURLリストを管理している装置に対して通信を行なうことなく、利用者側の端末に閉じた検証が可能となり、検証に要する時間、コストを下げることが可能となる。
【0024】
請求項6の発明は、webサイトの運営者に対してディレクトリレベルの設定を可能とすることにより、webサイトの構成の変更に対する柔軟な対応が可能となり、構成の変更を行なう度に正当なURLリストを管理している装置に対して更新を行なう必要がなくなり、利便性が高くなる。
【0025】
請求項7の発明は、利用者が閲覧、もしくは情報を送信しようとしているwebサイトのURL情報を圧縮することによって、URL情報検証部とURL情報証明部との間で発生する通信量を削減することが可能となり、正当なURLリストにおける検索を効率的に行なうことが可能となる。
【発明を実施するための最良の形態】
【0026】
次に、本発明の実施の形態について図面を参照して説明する。
【0027】
なお、以下の本実施形態においては、URL情報を画像化する手段として、二次元バーコードを想定している。
【0028】
図1は本発明の一実施形態のURL検証装置の構成を示すブロック図である。本装置はURL情報検証部1とURL情報証明部2とweb情報取得部3とweb情報公開部4からなる。
【0029】
URL情報検証部1は、web情報取得部3において生成された二次元バーコードを読み込み、バーコード情報をデコードしてURL情報を抽出し、必要に応じてURL情報証明部2から証明情報を取得することによってURL情報の検証を行なう。URL情報検証部1には、検証済リスト格納部12が含まれ、URL検証に成功した正当なURLの情報をキャッシュとして保存しておくことが可能であり、次回以降の検証の際に利用される。検証用コード撮影部11は、web情報取得部3において生成される二次元バーコードを撮影し、web情報取得部3において表示されているwebサイトのURLを取得する。本実施形態では、URL情報検証部1として、二次元バーコードを読み込むことができるカメラ機能と、ICカードを利用した通信機能、赤外線通信機能、インターネットへの接続機能を備えた携帯端末を利用することを想定している。
【0030】
URL情報証明部2は、web情報公開部4において生成される証明情報を格納する証明情報格納部21を含み、URL情報検証部1からの要求により、証明情報格納部21において保存されている証明情報を提供し、URL検証に必須となる、正当なwebサイトのURL(ホワイトリスト)を提供する。なお、URL情報証明部2は、証明情報の信頼性を確保するために第三者機関に設けられている。
【0031】
web情報取得部3は検証用コード生成部31と検証済リスト格納部32から構成される。web情報公開部4から提供されるwebサイトの情報を利用者に対して出力すると同時に、webサイトのURLを検証用コード生成部31において二次元バーコード化する。また、利用者がweb情報取得部3から個人情報を送信しようとした場合、送信先URLを検証用コード生成部31において二次元バーコード化する。この二次元バーコードを利用してURL情報検証部1においてURLの検証が行なわれ、検証に成功した場合には当該URL情報を検証済リスト格納部32に保存する。検証済リスト格納部32に保存されるURL情報は、次回以降、利用者が個人情報を送信しようとした場合の正当なURLのキャッシュ情報として利用される。本実施形態では、web情報取得部3として、二次元バーコードを表示する機能を備えたwebブラウザを利用することを想定している。
【0032】
web情報公開部4は証明情報生成部41からなり、webサイト運営者によって作成されたweb情報を公開する。webサイト運営者は、証明情報生成部41において公開しているwebサイトのURLを基に証明情報を作成する。証明情報はURL情報証明部2に送信され、正当なwebサイトのURLとして登録されると、以後URL情報検証部1におけるURL検証に成功するようになる。
【0033】
図2は、図1のURL検証装置において行なわれるURL検証処理のうち、web情報を閲覧する際のURLを検証する場合のフローチャートを記述したものである。以下、図2を参照して検証処理の処理手順を説明する。
【0034】
まず、利用者がweb情報取得部3において閲覧したいwebサイトのURLを入力することにより、web情報取得部3はweb情報公開部4に対してwebサイトの情報を要求する(ステップ101)。次に、web情報取得部3は、web情報公開部4から取得した情報を利用者に対して出力すると共に、当該webサイトを構成するURL群を取得する(ステップ102)。構成URLの取得処理の手順については図5において説明する。得られたURL群を基に二次元バーコードを生成し、これを利用者に対して出力する(ステップ103)。二次元バーコード生成・表示処理については図6において説明する。利用者は検証用コード撮影部11を利用して生成した二次元バーコードを撮影し(ステップ104)、URL情報検証部1において該バーコードをデコードし、URL情報を取得する(ステップ105)。URL情報検証部1はまず、検証済リスト格納部12において当該URLがキャッシュされているか否かを調べる。検証済リストを検索する際の検索方法の例としては、検索キーとしてURLに含まれるホスト名(例:トップページのURLがhttp://xxx/index.htmlの場合にはxxxの部分)を使用する方法が挙げられる。検証済リスト格納部12に該URLが存在する場合(ステップ107のYes)、URL情報検証部1は利用者に対してURLの検証に成功したことを通知し(ステップ108)、URL情報検証部1からweb情報取得部3に対してURLの検証に成功したことを通知する(ステップ109)。web情報取得部3は該URLを検証済リスト格納部32に保存し、以後、同じURLにおいて正当性検証が行なわれる際のキャッシュとして利用する。
【0035】
検証済リスト格納部12において該URLが存在しなかった場合(ステップ107のNo)、URL情報検証部1はURL情報証明部2に対して該URLの検索要求を行なう(ステップ111)。URL情報証明部2では、ステップ107と同様に該URLのホスト名をキーとし、証明情報格納部21を検索する(ステップ112)。証明情報格納部21に該URLが存在した場合(113のYes)、URL情報証明部2はURL情報検証部1に対して検索結果を通知し(ステップ114)、ステップ108〜110を実行する。
【0036】
証明情報格納部21において該URLが存在しなかった場合(ステップ113のNo)、URL情報証明部2はURL情報検証部1に対して検索結果を通知し(ステップ115)、URL情報検証部1は利用者に対して検証に失敗したことを通知する(ステップ116)。URL情報検証部1はweb情報取得部3に対して正当性検証に失敗したことを通知し(ステップ117)、web情報取得部3から利用者に対して正当性検証に失敗したことを通知する(ステップ118)。
【0037】
以上の処理により、利用者がweb情報を閲覧する際に当該URLが正当なものであるか否かを検証し、利用者に通知することができる。
【0038】
図3は、図1のURL検証装置において行なわれるURL検証処理のうち、個人情報などを送信する際のURLを検証する場合のフローチャートを記述したものである。以下、図3を参照して検証処理の処理手順を説明する。
【0039】
まず、利用者がweb情報取得部3において個人情報などを入力し、送信の操作を行なう(ステップ201)。web情報取得部3は、個人情報の送信先となるURLを取得し(ステップ202)、検証済リスト格納部32を検索し、該URLが存在するか否かを調べる。検証済リスト格納部32にURLが存在した場合(ステップ203のYes)、web情報取得部3は個人情報を送信し(ステップ213)、検証処理を終了する。
【0040】
検証済リスト格納部32に該URLが存在しなかった場合(ステップ203のNo)、図2のステップ103〜106と同様の処理を行なう(ステップ204〜207)。検証済リスト格納部12に該URLが存在した場合(ステップ208のYes)、図2のステップ108〜110と同様に処理を行ない(ステップ209〜211)、web情報取得部3は最後に個人情報を送信して(ステップ212)、検証処理を終了する。
【0041】
検証済リスト格納部12に該URLが存在しなかった場合(ステップ208のNo)、図2のステップ111〜118と同様の処理を行う(ステップ214〜221)。以上の処理により、利用者が個人情報を送信する場合に送信先URLが正当なものであるか否かを検証し、利用者に通知することができる。
【0042】
図4は証明情報生成部41において、URL情報証明部2に送信する証明情報(正当なwebサイトであることを証明するための情報)を生成する処理のフローチャートを記述したものである。以下、図4を参照して証明情報生成処理の処理手順を説明する。
【0043】
まず、webサイト運営者はweb情報公開部4において生成対象となるwebサイトのトップページのURLを入力する(ステップ301)。この状態で証明情報生成部41を起動し(ステップ302)、webサイトを構成するURLを取得する(ステップ303)。構成URL取得の手順は、図5において説明する。webサイト運営者は得られた構成URL群に対し、ディレクトリレベルを設定する(ステップ304)。証明情報生成部41は通信を効率的に行なうためにURL群に対して圧縮操作を行ない(ステップ305)、圧縮された各URLに対してステップ304で設定されたディレクトリレベルの数値を連接する(ステップ306)。URL圧縮の処理については図7で説明する。ディレクトリレベルを連接したURL群は証明情報生成部41において1つの文字列に連接され、これが証明情報となる(ステップ307)。証明情報はweb情報公開部4からwebサイト運営者に対して出力され(ステップ308)、webサイト運営者はこの証明情報をURL情報証明部2に対して送信し、証明情報は証明情報格納部21に格納される(ステップ309)。証明情報が証明情報格納部21に格納されると、以後URL検証処理によって正当なURLとして判断されることになる。
【0044】
表1は例としてhttp://aaa.com/bbb/ccc/ddd.htmlというURLが存在した場合に、ディレクトリレベルの設定値と対応する設定内容を示したものである。webサイトの運営者はこれらの設定値の中から当該webサイトの運営に最適なレベルを選択することにより、「ファイル名が異なる場合には信頼しない」といった厳しいポリシから、「ホスト名が一致すれば信頼する」といった緩いポリシまでを選択することが可能である。
【0045】
【表1】
【0046】
図5はステップ102、ステップ303において実行される処理(URL取得)のフローチャートを記述したものである。以下、図5を参照して構成URL取得処理の処理手順を説明する。
【0047】
本実施形態では構成URLとしてトップページのURL、フレームを構成するURL、情報の送信先となるURLを対象としている。まず、トップページのURLから、当該webサイトがフレーム構成を持つか否かを判断し(ステップ401)、フレーム構成を持つ場合(ステップ401のYes)、フレームを構成するURL群を取得する(ステップ402)。次に、トップページのURLとフレームを構成するURL群のHTMLソースを取得し、当該ソースファイルに含まれる情報送信先URLを取得する(ステップ403)。例えば、HTMLのFORMタグを検索キーとし、ソースファイルを検索することにより、ヒットしたタグの中のaction属性に記述されるURLを取得することにより、情報送信先URLを取得することが可能となる。以上の処理により、トップページのURL、フレームを構成するURL、情報の送信先となるURLを取得することができる。
【0048】
該webサイトがフレーム構成を持たなかった場合(ステップ401のNo)、トップページURLのHTMLソースを取得し、ステップ403を実行する。これにより、トップページのURLと情報の送信先となるURLを取得することができる。
【0049】
図6はステップ103、ステップ204において実行される二次元バーコード生成・表示処理のフローチャートを記述したものである。以下、図6を参照して二次元バーコード生成・表示処理の手順を示す。
【0050】
まず、通信を効率的に行なうために二次元バーコード生成の対象となっているURL群を圧縮する(ステップ501)。URL圧縮の処理については図7で説明する。URL群を圧縮後、各URLを1つの文字列に連接し(ステップ502)、得られた文字列を基にバーコードを生成、表示する(ステップ503)。以上の処理により、web情報取得部3において二次元バーコードが表示され、検証用コード撮影部11からの撮影が可能な状態となる。
【0051】
図7はステップ305、ステップ501において実行されるURL圧縮処理のフローチャートを記述したものである。URL圧縮を行なうことより、URL情報を二次元バーコード化する際、もしくは通信によってURL情報を送受信する際のデータ量を削減し、効率を高めることが可能となる。以下、図7を参照してURL圧縮処理の手順を示す。
【0052】
URL圧縮処理には入力として圧縮対象となるURL群が与えられる。最初に、トップページ以外に未処理のURLが残っているか否かを調べる(ステップ601)。未処理のURLが残っている場合(ステップ601のYes)、該URLを処理対象とし(ステップ602)、トップページのURLと該URLを前方一致で比較し、一致している文字の数を取得する(ステップ603)。この比較の結果得られた一致文字数分を当該URLから削除し(ステップ604)、削除後の文字列に一致文字数の値を連接する(ステップ605)。これにより、トップページのURLと連接後の文字列によってもとのURLが復元可能となる。
【0053】
ステップ601においてトップページ以外に未処理のURLが存在しなかった場合は(ステップ601のNo)、URL圧縮処理を終了する。
【0054】
図8は、図2のステップ103において実行される二次元バーコード生成・表示処理によって生成される証明情報の例を示したものである。図中上段のトップページURL、フレーム構成URL、送信先URLから構成されるwebサイトが存在すると仮定すると、ステップ103の処理によって図中下段の文字列が生成される。URLの間に位置する数値は、URL圧縮処理(ステップ501)を実行することによって得られたトップページURLと当該URLとの一致文字数となる。
【0055】
なお、以上説明したURL検証装置の機能は、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フレキシブルディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータ内の揮発性メモリのように、一定時間プログラムを保持しているものを含む。
【図面の簡単な説明】
【0056】
【図1】本発明の一実施形態のURL検証装置を示すブロック図である。
【図2】web情報を閲覧する際のURL検証処理のフローチャートである。
【図3】利用者が情報を送信する際の送信先URL検証処理のフローチャートである。
【図4】証明情報生成処理のフローチャートである。
【図5】構成URL取得処理のフローチャートである。
【図6】二次元バーコード生成・表示処理のフローチャートである。
【図7】URL圧縮処理のフローチャートである。
【図8】二次元バーコード生成・表示処理によって生成される文字列の例を示す図である。
【符号の説明】
【0057】
1 URL情報検証部
11 検証用コード撮影部
12 検証済リスト格納部
2 URL情報証明部
21 証明情報格納部
3 web情報取得部
31 検証用コード生成部
32 検証済リスト格納部
4 web情報公開部
41 証明情報生成部
101〜118,201〜221,301〜309 ステップ
401〜403,501〜503,601〜605 ステップ
【技術分野】
【0001】
本発明は、フィッシング詐欺等の防止を目的とし、インターネット等のネットワークを介して公開されている情報の発信元に対する正当性の検証方法に関する。
【背景技術】
【0002】
昨今、フィッシング詐欺による被害が多発している。フィッシング詐欺とは、信頼のおける金融機関等の企業を装ったメールによって利用者を不正サイトへ誘導し、個人情報やクレジットカード番号などを収集する詐欺である。
【0003】
現在、非特許文献1のように、不正なサイトのURL(Uniform Resource Locator)群をブラックリストとして管理し、利用者がアクセスしているURLを常にチェックして、不正なサイトにアクセスした場合に利用者に警告するといった方式によるフィッシング対策の提案がなされているが、不正サイトの発見、登録が人の手によって行なわれるため、不正サイトのURLがブラックリストに登録されるまでの間にタイムラグが存在し、被害が発生してしまうといった問題がある。
【非特許文献1】Netcraft社 Anti−Phishing Toolbar (http://toolbar.netcraft.com/)
【発明の開示】
【発明が解決しようとする課題】
【0004】
フィッシング詐欺を防止するためのURL検証に必要となる性質は、以下の3点である。
【0005】
1)ブラックリスト方式ではなく、個人情報の送信先が正当なものであることを検証することができる必要がある。これは、ブラックリスト方式によるフィッシング詐欺対策を行なう場合に発生する、ブラックリストに不正サイトを登録するまでのタイムラグの問題を解決するためである。
【0006】
2)利用者の不注意や、情報リテラシの低い利用者をターゲットとしたフィッシング詐欺を防止するために、容易な操作によって、利用者に対して注意を喚起できる必要がある。webサイトのブラウジングを行なう利用者の利便性を下げることなく、単純な操作でURLの検証を行なうことができ、しかも正当なwebサイトに接続していることを利用者に対して効果的に通知することができなければならない。
【0007】
3)webサイト運営者側に負担がかからない検証方式である必要がある。(1)において、個人情報の送信先が正当なものであることを検証するためには、正当なwebサイトのURLを管理する必要がある。しかし、webサイトの構成、URLなどは頻繁に変更されるため、webサイト運営者にとっては変更の度に正当なwebサイトとしての登録情報を更新しなければならない。そこで、webサイト運営者側の利便性を高めるため、サイトの構成、URLなどの変更に柔軟に対応できなければならない。
【課題を解決するための手段】
【0008】
本発明のURL検証方法は、URL検証装置においてURLを検証する方法であって、URL情報証明部が、正当なサイト中の、個人情報の送信先となるURLを証明情報格納部内にホワイトリストとして管理し、URL情報検証部が、World Wide Webを介してサイトを公開しているwebサイトに対して利用者が個人情報を送信する際に、送信先となるURLを前記ホワイトリストにおいて検索し、前記webサイトが正当なものであるか否かを判断し、結果を利用者に通知するものである。
【0009】
フィッシング詐欺の標的となる個人情報などの送信を行なう機会は、webサイトを閲覧する場合に比べて圧倒的に少ないことに注目し、正当なwebサイトの中の、個人情報の送信先となるURLをホワイトリストとして管理する。個人情報の送信時、送信先となるURLをホワイトリストにおいて検索し、送信先URLの正当性を検証した上で送信の可否を決定する。
【0010】
本発明の実施態様では、URL情報検証部が、利用者がwebサイトに送信する情報を入力する前にも前記webサイトが正当なものであるか否かを判断し、結果を利用者に通知する。
【0011】
個人情報などの送信先URLのみの検証では、利用者が多くの情報を入力した上で、送信先の検証を行なうため、正当なURLとして検証されなかった場合に利用者の利便性を低下させる可能性がある。そこで、webサイトが読み込まれた時点、つまり、個人情報を入力する前の段階においても、当該URLの正当性検証を行ない、利用者は正当なwebサイトであることを確認した上で個人情報の入力を開始できる。
【0012】
本発明の実施態様では、URL情報検証部が、利用者がwebサイトを閲覧、もしくは情報を送信しようとしている端末とは異なる装置を用いてwebサイトの正当性検証を行なう。
【0013】
利用者に対して別の装置を操作させることにより、利用者の注意を喚起する。
【0014】
本発明の実施態様によれば、URL情報検証部が、過去に正当なwebサイトであると判断されたURL情報を検証済リストとして利用者側の端末にキャッシュする。
【0015】
過去に正当なwebサイトであると判断されたURL情報を検証済リストとして利用者側の端末にキャッシュすることにより、利用者が閲覧、もしくは情報を送信しようとする度に正当なwebサイトのURLリストにアクセスすることなく、利用者側の端末のみでwebサイトの正当性検証を行なう。
【0016】
本発明の実施態様によれば、正当なwebサイトとして判断されるためのディレクトリの許容範囲を設定する。
【0017】
webサイトの構成の変更に対する柔軟な対応を可能とするために、webサイトの運営者がディレクトリレベルの設定を可能とし、「同一ディレクトリにあるファイルならばファイル名が変更されても信頼する」、「ホスト名が一致していれば信頼する」といった設定を可能とする。
【0018】
本発明の実施態様によれば、証明情報生成部が、利用者が閲覧、もしくは情報を送信しようとしているwebサイトのURL情報を圧縮する。
【0019】
利用者が閲覧、もしくは情報を送信しようとしているwebサイトのURL情報を圧縮することによって、正当なURLリストを管理する装置との通信、該装置におけるURLの検索を効率的に行なう。
【発明の効果】
【0020】
請求項1の発明は、ホワイトリストによるwebサイトの正当性検証を行なうことにより、「個人情報の送信先が正当なサイトである」ことを確認した上で送信を実行することが可能となり、ブラックリストを用いる方式に比べてフィッシング詐欺の被害に遭う危険性を低くすることができる。
【0021】
請求項2の発明は、個人情報等の入力前にwebサイトが正当であるか否かを判断することにより、情報の送信時に利用者に対して警告を行なう場合に比べて利便性が高くなっている。
【0022】
請求項3の発明は、利用者がwebサイトを閲覧、もしくは情報を送信しようとしている端末とは異なる装置を用いてwebサイトの検証を行なうことにより、利用者の注意を喚起すると共に、webサイトを閲覧、もしくは情報を送信しようとしている端末を乗っ取るような手口のフィッシング詐欺に対しても頑強なものとなる。
【0023】
請求項5の発明は、過去に正当なwebサイトであると判断されたURL情報を検証済リストとして利用者側の端末にキャッシュすることにより、URLの検証を行なうたびに正当なURLリストを管理している装置に対して通信を行なうことなく、利用者側の端末に閉じた検証が可能となり、検証に要する時間、コストを下げることが可能となる。
【0024】
請求項6の発明は、webサイトの運営者に対してディレクトリレベルの設定を可能とすることにより、webサイトの構成の変更に対する柔軟な対応が可能となり、構成の変更を行なう度に正当なURLリストを管理している装置に対して更新を行なう必要がなくなり、利便性が高くなる。
【0025】
請求項7の発明は、利用者が閲覧、もしくは情報を送信しようとしているwebサイトのURL情報を圧縮することによって、URL情報検証部とURL情報証明部との間で発生する通信量を削減することが可能となり、正当なURLリストにおける検索を効率的に行なうことが可能となる。
【発明を実施するための最良の形態】
【0026】
次に、本発明の実施の形態について図面を参照して説明する。
【0027】
なお、以下の本実施形態においては、URL情報を画像化する手段として、二次元バーコードを想定している。
【0028】
図1は本発明の一実施形態のURL検証装置の構成を示すブロック図である。本装置はURL情報検証部1とURL情報証明部2とweb情報取得部3とweb情報公開部4からなる。
【0029】
URL情報検証部1は、web情報取得部3において生成された二次元バーコードを読み込み、バーコード情報をデコードしてURL情報を抽出し、必要に応じてURL情報証明部2から証明情報を取得することによってURL情報の検証を行なう。URL情報検証部1には、検証済リスト格納部12が含まれ、URL検証に成功した正当なURLの情報をキャッシュとして保存しておくことが可能であり、次回以降の検証の際に利用される。検証用コード撮影部11は、web情報取得部3において生成される二次元バーコードを撮影し、web情報取得部3において表示されているwebサイトのURLを取得する。本実施形態では、URL情報検証部1として、二次元バーコードを読み込むことができるカメラ機能と、ICカードを利用した通信機能、赤外線通信機能、インターネットへの接続機能を備えた携帯端末を利用することを想定している。
【0030】
URL情報証明部2は、web情報公開部4において生成される証明情報を格納する証明情報格納部21を含み、URL情報検証部1からの要求により、証明情報格納部21において保存されている証明情報を提供し、URL検証に必須となる、正当なwebサイトのURL(ホワイトリスト)を提供する。なお、URL情報証明部2は、証明情報の信頼性を確保するために第三者機関に設けられている。
【0031】
web情報取得部3は検証用コード生成部31と検証済リスト格納部32から構成される。web情報公開部4から提供されるwebサイトの情報を利用者に対して出力すると同時に、webサイトのURLを検証用コード生成部31において二次元バーコード化する。また、利用者がweb情報取得部3から個人情報を送信しようとした場合、送信先URLを検証用コード生成部31において二次元バーコード化する。この二次元バーコードを利用してURL情報検証部1においてURLの検証が行なわれ、検証に成功した場合には当該URL情報を検証済リスト格納部32に保存する。検証済リスト格納部32に保存されるURL情報は、次回以降、利用者が個人情報を送信しようとした場合の正当なURLのキャッシュ情報として利用される。本実施形態では、web情報取得部3として、二次元バーコードを表示する機能を備えたwebブラウザを利用することを想定している。
【0032】
web情報公開部4は証明情報生成部41からなり、webサイト運営者によって作成されたweb情報を公開する。webサイト運営者は、証明情報生成部41において公開しているwebサイトのURLを基に証明情報を作成する。証明情報はURL情報証明部2に送信され、正当なwebサイトのURLとして登録されると、以後URL情報検証部1におけるURL検証に成功するようになる。
【0033】
図2は、図1のURL検証装置において行なわれるURL検証処理のうち、web情報を閲覧する際のURLを検証する場合のフローチャートを記述したものである。以下、図2を参照して検証処理の処理手順を説明する。
【0034】
まず、利用者がweb情報取得部3において閲覧したいwebサイトのURLを入力することにより、web情報取得部3はweb情報公開部4に対してwebサイトの情報を要求する(ステップ101)。次に、web情報取得部3は、web情報公開部4から取得した情報を利用者に対して出力すると共に、当該webサイトを構成するURL群を取得する(ステップ102)。構成URLの取得処理の手順については図5において説明する。得られたURL群を基に二次元バーコードを生成し、これを利用者に対して出力する(ステップ103)。二次元バーコード生成・表示処理については図6において説明する。利用者は検証用コード撮影部11を利用して生成した二次元バーコードを撮影し(ステップ104)、URL情報検証部1において該バーコードをデコードし、URL情報を取得する(ステップ105)。URL情報検証部1はまず、検証済リスト格納部12において当該URLがキャッシュされているか否かを調べる。検証済リストを検索する際の検索方法の例としては、検索キーとしてURLに含まれるホスト名(例:トップページのURLがhttp://xxx/index.htmlの場合にはxxxの部分)を使用する方法が挙げられる。検証済リスト格納部12に該URLが存在する場合(ステップ107のYes)、URL情報検証部1は利用者に対してURLの検証に成功したことを通知し(ステップ108)、URL情報検証部1からweb情報取得部3に対してURLの検証に成功したことを通知する(ステップ109)。web情報取得部3は該URLを検証済リスト格納部32に保存し、以後、同じURLにおいて正当性検証が行なわれる際のキャッシュとして利用する。
【0035】
検証済リスト格納部12において該URLが存在しなかった場合(ステップ107のNo)、URL情報検証部1はURL情報証明部2に対して該URLの検索要求を行なう(ステップ111)。URL情報証明部2では、ステップ107と同様に該URLのホスト名をキーとし、証明情報格納部21を検索する(ステップ112)。証明情報格納部21に該URLが存在した場合(113のYes)、URL情報証明部2はURL情報検証部1に対して検索結果を通知し(ステップ114)、ステップ108〜110を実行する。
【0036】
証明情報格納部21において該URLが存在しなかった場合(ステップ113のNo)、URL情報証明部2はURL情報検証部1に対して検索結果を通知し(ステップ115)、URL情報検証部1は利用者に対して検証に失敗したことを通知する(ステップ116)。URL情報検証部1はweb情報取得部3に対して正当性検証に失敗したことを通知し(ステップ117)、web情報取得部3から利用者に対して正当性検証に失敗したことを通知する(ステップ118)。
【0037】
以上の処理により、利用者がweb情報を閲覧する際に当該URLが正当なものであるか否かを検証し、利用者に通知することができる。
【0038】
図3は、図1のURL検証装置において行なわれるURL検証処理のうち、個人情報などを送信する際のURLを検証する場合のフローチャートを記述したものである。以下、図3を参照して検証処理の処理手順を説明する。
【0039】
まず、利用者がweb情報取得部3において個人情報などを入力し、送信の操作を行なう(ステップ201)。web情報取得部3は、個人情報の送信先となるURLを取得し(ステップ202)、検証済リスト格納部32を検索し、該URLが存在するか否かを調べる。検証済リスト格納部32にURLが存在した場合(ステップ203のYes)、web情報取得部3は個人情報を送信し(ステップ213)、検証処理を終了する。
【0040】
検証済リスト格納部32に該URLが存在しなかった場合(ステップ203のNo)、図2のステップ103〜106と同様の処理を行なう(ステップ204〜207)。検証済リスト格納部12に該URLが存在した場合(ステップ208のYes)、図2のステップ108〜110と同様に処理を行ない(ステップ209〜211)、web情報取得部3は最後に個人情報を送信して(ステップ212)、検証処理を終了する。
【0041】
検証済リスト格納部12に該URLが存在しなかった場合(ステップ208のNo)、図2のステップ111〜118と同様の処理を行う(ステップ214〜221)。以上の処理により、利用者が個人情報を送信する場合に送信先URLが正当なものであるか否かを検証し、利用者に通知することができる。
【0042】
図4は証明情報生成部41において、URL情報証明部2に送信する証明情報(正当なwebサイトであることを証明するための情報)を生成する処理のフローチャートを記述したものである。以下、図4を参照して証明情報生成処理の処理手順を説明する。
【0043】
まず、webサイト運営者はweb情報公開部4において生成対象となるwebサイトのトップページのURLを入力する(ステップ301)。この状態で証明情報生成部41を起動し(ステップ302)、webサイトを構成するURLを取得する(ステップ303)。構成URL取得の手順は、図5において説明する。webサイト運営者は得られた構成URL群に対し、ディレクトリレベルを設定する(ステップ304)。証明情報生成部41は通信を効率的に行なうためにURL群に対して圧縮操作を行ない(ステップ305)、圧縮された各URLに対してステップ304で設定されたディレクトリレベルの数値を連接する(ステップ306)。URL圧縮の処理については図7で説明する。ディレクトリレベルを連接したURL群は証明情報生成部41において1つの文字列に連接され、これが証明情報となる(ステップ307)。証明情報はweb情報公開部4からwebサイト運営者に対して出力され(ステップ308)、webサイト運営者はこの証明情報をURL情報証明部2に対して送信し、証明情報は証明情報格納部21に格納される(ステップ309)。証明情報が証明情報格納部21に格納されると、以後URL検証処理によって正当なURLとして判断されることになる。
【0044】
表1は例としてhttp://aaa.com/bbb/ccc/ddd.htmlというURLが存在した場合に、ディレクトリレベルの設定値と対応する設定内容を示したものである。webサイトの運営者はこれらの設定値の中から当該webサイトの運営に最適なレベルを選択することにより、「ファイル名が異なる場合には信頼しない」といった厳しいポリシから、「ホスト名が一致すれば信頼する」といった緩いポリシまでを選択することが可能である。
【0045】
【表1】
【0046】
図5はステップ102、ステップ303において実行される処理(URL取得)のフローチャートを記述したものである。以下、図5を参照して構成URL取得処理の処理手順を説明する。
【0047】
本実施形態では構成URLとしてトップページのURL、フレームを構成するURL、情報の送信先となるURLを対象としている。まず、トップページのURLから、当該webサイトがフレーム構成を持つか否かを判断し(ステップ401)、フレーム構成を持つ場合(ステップ401のYes)、フレームを構成するURL群を取得する(ステップ402)。次に、トップページのURLとフレームを構成するURL群のHTMLソースを取得し、当該ソースファイルに含まれる情報送信先URLを取得する(ステップ403)。例えば、HTMLのFORMタグを検索キーとし、ソースファイルを検索することにより、ヒットしたタグの中のaction属性に記述されるURLを取得することにより、情報送信先URLを取得することが可能となる。以上の処理により、トップページのURL、フレームを構成するURL、情報の送信先となるURLを取得することができる。
【0048】
該webサイトがフレーム構成を持たなかった場合(ステップ401のNo)、トップページURLのHTMLソースを取得し、ステップ403を実行する。これにより、トップページのURLと情報の送信先となるURLを取得することができる。
【0049】
図6はステップ103、ステップ204において実行される二次元バーコード生成・表示処理のフローチャートを記述したものである。以下、図6を参照して二次元バーコード生成・表示処理の手順を示す。
【0050】
まず、通信を効率的に行なうために二次元バーコード生成の対象となっているURL群を圧縮する(ステップ501)。URL圧縮の処理については図7で説明する。URL群を圧縮後、各URLを1つの文字列に連接し(ステップ502)、得られた文字列を基にバーコードを生成、表示する(ステップ503)。以上の処理により、web情報取得部3において二次元バーコードが表示され、検証用コード撮影部11からの撮影が可能な状態となる。
【0051】
図7はステップ305、ステップ501において実行されるURL圧縮処理のフローチャートを記述したものである。URL圧縮を行なうことより、URL情報を二次元バーコード化する際、もしくは通信によってURL情報を送受信する際のデータ量を削減し、効率を高めることが可能となる。以下、図7を参照してURL圧縮処理の手順を示す。
【0052】
URL圧縮処理には入力として圧縮対象となるURL群が与えられる。最初に、トップページ以外に未処理のURLが残っているか否かを調べる(ステップ601)。未処理のURLが残っている場合(ステップ601のYes)、該URLを処理対象とし(ステップ602)、トップページのURLと該URLを前方一致で比較し、一致している文字の数を取得する(ステップ603)。この比較の結果得られた一致文字数分を当該URLから削除し(ステップ604)、削除後の文字列に一致文字数の値を連接する(ステップ605)。これにより、トップページのURLと連接後の文字列によってもとのURLが復元可能となる。
【0053】
ステップ601においてトップページ以外に未処理のURLが存在しなかった場合は(ステップ601のNo)、URL圧縮処理を終了する。
【0054】
図8は、図2のステップ103において実行される二次元バーコード生成・表示処理によって生成される証明情報の例を示したものである。図中上段のトップページURL、フレーム構成URL、送信先URLから構成されるwebサイトが存在すると仮定すると、ステップ103の処理によって図中下段の文字列が生成される。URLの間に位置する数値は、URL圧縮処理(ステップ501)を実行することによって得られたトップページURLと当該URLとの一致文字数となる。
【0055】
なお、以上説明したURL検証装置の機能は、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フレキシブルディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータ内の揮発性メモリのように、一定時間プログラムを保持しているものを含む。
【図面の簡単な説明】
【0056】
【図1】本発明の一実施形態のURL検証装置を示すブロック図である。
【図2】web情報を閲覧する際のURL検証処理のフローチャートである。
【図3】利用者が情報を送信する際の送信先URL検証処理のフローチャートである。
【図4】証明情報生成処理のフローチャートである。
【図5】構成URL取得処理のフローチャートである。
【図6】二次元バーコード生成・表示処理のフローチャートである。
【図7】URL圧縮処理のフローチャートである。
【図8】二次元バーコード生成・表示処理によって生成される文字列の例を示す図である。
【符号の説明】
【0057】
1 URL情報検証部
11 検証用コード撮影部
12 検証済リスト格納部
2 URL情報証明部
21 証明情報格納部
3 web情報取得部
31 検証用コード生成部
32 検証済リスト格納部
4 web情報公開部
41 証明情報生成部
101〜118,201〜221,301〜309 ステップ
401〜403,501〜503,601〜605 ステップ
【特許請求の範囲】
【請求項1】
URL検証装置においてURLを検証する方法であって、
URL情報証明部が、正当なサイト中の、個人情報の送信先となるURLを証明情報格納部内にホワイトリストとして管理し、
URL情報検証部が、World Wide Webを介してサイトを公開しているwebサイトに対して利用者が個人情報を送信する際に、送信先となるURLを前記ホワイトリストにおいて検索し、前記webサイトが正当なものであるか否かを判断し、結果を利用者に通知する
URL検証方法。
【請求項2】
前記URL情報検証部は、利用者がwebサイトに送信する情報を入力する前に前記webサイトが正当なものであるか否かを判断し、結果を利用者に通知する、請求項1に記載のURL検証方法。
【請求項3】
前記URL情報検証部は、利用者がwebサイトを閲覧、もしくは情報を送信しようとしている端末とは異なる装置を用いてwebサイトの正当性検証を行なう、請求項1または2に記載のURL検証方法。
【請求項4】
web情報取得部が、利用者が閲覧、もしくは情報を送信しようとしているwebサイトのURL情報を画像化し、前記URL情報検索部は、該画像を撮影することによってURL情報を取得後、正当なwebサイトのURLリストでの検索を行ない、webサイトの正当性検証を行なう、請求項1から3のいずれかに記載のURL検証方法。
【請求項5】
前記URL情報検証部は、過去に正当なwebサイトであると判断されたURL情報を検証済リストとして利用者側の端末にキャッシュする、請求項1から4のいずれかに記載のURL検証方法。
【請求項6】
正当なwebサイトとして判断されるためのディレクトリの許容範囲を設定する、請求項1から5のいずれかに記載のURL検証方法。
【請求項7】
証明情報生成部が、利用者が閲覧、もしくは情報を送信しようとしているwebサイトのURL情報を圧縮する、請求項1から6のいずれかに記載のURL検証方法。
【請求項8】
URLを検証するURL検証装置であって、
World Wide Webを介してサイトを公開しているwebサイトに対して利用者が個人情報を送信する際に、送信先となるURLを、正当なサイト中の、個人情報の送信先となるURLを証明情報格納部内にホワイトリストとして管理する、第三者機関に設けられたURL情報証明部の前記ホワイトリストにおいて検索し、前記webサイトが正当なものであるか否かを判断し、結果を利用者に通知するURL情報検証部を
有するURL検証装置。
【請求項9】
コンピュータを、請求項8に記載のURL検証装置として動作させるためのプログラム。
【請求項1】
URL検証装置においてURLを検証する方法であって、
URL情報証明部が、正当なサイト中の、個人情報の送信先となるURLを証明情報格納部内にホワイトリストとして管理し、
URL情報検証部が、World Wide Webを介してサイトを公開しているwebサイトに対して利用者が個人情報を送信する際に、送信先となるURLを前記ホワイトリストにおいて検索し、前記webサイトが正当なものであるか否かを判断し、結果を利用者に通知する
URL検証方法。
【請求項2】
前記URL情報検証部は、利用者がwebサイトに送信する情報を入力する前に前記webサイトが正当なものであるか否かを判断し、結果を利用者に通知する、請求項1に記載のURL検証方法。
【請求項3】
前記URL情報検証部は、利用者がwebサイトを閲覧、もしくは情報を送信しようとしている端末とは異なる装置を用いてwebサイトの正当性検証を行なう、請求項1または2に記載のURL検証方法。
【請求項4】
web情報取得部が、利用者が閲覧、もしくは情報を送信しようとしているwebサイトのURL情報を画像化し、前記URL情報検索部は、該画像を撮影することによってURL情報を取得後、正当なwebサイトのURLリストでの検索を行ない、webサイトの正当性検証を行なう、請求項1から3のいずれかに記載のURL検証方法。
【請求項5】
前記URL情報検証部は、過去に正当なwebサイトであると判断されたURL情報を検証済リストとして利用者側の端末にキャッシュする、請求項1から4のいずれかに記載のURL検証方法。
【請求項6】
正当なwebサイトとして判断されるためのディレクトリの許容範囲を設定する、請求項1から5のいずれかに記載のURL検証方法。
【請求項7】
証明情報生成部が、利用者が閲覧、もしくは情報を送信しようとしているwebサイトのURL情報を圧縮する、請求項1から6のいずれかに記載のURL検証方法。
【請求項8】
URLを検証するURL検証装置であって、
World Wide Webを介してサイトを公開しているwebサイトに対して利用者が個人情報を送信する際に、送信先となるURLを、正当なサイト中の、個人情報の送信先となるURLを証明情報格納部内にホワイトリストとして管理する、第三者機関に設けられたURL情報証明部の前記ホワイトリストにおいて検索し、前記webサイトが正当なものであるか否かを判断し、結果を利用者に通知するURL情報検証部を
有するURL検証装置。
【請求項9】
コンピュータを、請求項8に記載のURL検証装置として動作させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2006−338486(P2006−338486A)
【公開日】平成18年12月14日(2006.12.14)
【国際特許分類】
【出願番号】特願2005−164041(P2005−164041)
【出願日】平成17年6月3日(2005.6.3)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成18年12月14日(2006.12.14)
【国際特許分類】
【出願日】平成17年6月3日(2005.6.3)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]