Upgrade to Pro — share decks privately, control downloads, hide ads and more …

タクシーアプリ『GO』の reCAPTCHA Enterprise 導入

GO Inc. dev
June 21, 2024
Programming
1
100

タクシーアプリ『GO』の reCAPTCHA Enterprise 導入

GO TechTalk #26 タクシーアプリ『GO』AndroidでのreCAPTCHA導入・WebADBでの自動化 で発表した資料です。

■ YouTube
https://www.youtube.com/live/QN57jX1P-ik?si=e7nXI9IHJswlfksY&t=1982

■ connpass
https://jtx.connpass.com/event/320032/

GO Inc. dev

June 21, 2024
Tweet

More Decks by GO Inc. dev

See All by GO Inc. dev
タクシーアプリ『GO』におけるプラットフォームエンジニアリングの実践
mot_techtalk
5
2.2k
タクシーアプリ『GO』を運営する中発生した様々な失敗例の紹介
mot_techtalk
9
5.4k
キッティングツールによる自動化でセットアップ時間を1時間から3分に短縮
mot_techtalk
2
140
GISや因果推論でビジネス課題を解決:GO Inc. データアナリストによる実践事例
mot_techtalk
1
580
GOのデータ・AIを活用する「組織」を30分で紹介
mot_techtalk
1
1.7k
DRIVE CHARTのMLOpsを体感しよう
mot_techtalk
1
610
車両情報のリアルタイム特徴量基盤の構築
mot_techtalk
5
2.4k
BigQuery のデータ品質やデータ活用を高める Dataplex 等の活用
mot_techtalk
6
2.1k
初めての位置情報エンジニアリング つまずきポイントあるある
mot_techtalk
4
2.3k

Other Decks in Programming

See All in Programming
CSC307 Lecture 01
javiergs
PRO
0
260
CSC307 Lecture 04
javiergs
PRO
0
190
K2のKotlin IDEプラグインの中を覗いてみよう♪
yanex
0
1.9k
GoogleI/O2024 LT報告会資料
shinsukefujita1126
0
200
[Flutter] Unitテストの基礎を理解する
haruki_uiru
0
150
dbt v1.8で追加された単体テストを触ってみた
k_data_analyst
2
260
なぜキャッシュメモリは速いのか / Why is Cache Memory So Fast?
tomzoh
1
450
#KotlinFest 2024 : Kotlin sealed classを用いた、ユーザーターゲティングDSL(専用言語)と実環境で秒間1,000万評価を行う処理系の事例紹介
kazukima
0
450
デプロイ・QA・Four keys を自動化×見える化する freee の統合デリバリー基盤
akito0922
1
310
ビルドツールとはなにか?からはじめるGradle超入門 / JJUG CCC 2024 Spring
nhayato
1
170
宇宙一早くAmazon Bedrock 生成AIアプリ開発入門の献本が届いたので 感想をしみじみ語る
ymd65536
1
180
プラットフォームエンジニアリングを 普及と実践し続けて見えてきた利点とリスク
zawa_zawa0210
2
780

Featured

See All Featured
XXLCSS - How to scale CSS and keep your sanity
sugarenia
244
1.2M
RailsConf 2023
tenderlove
11
660
No one is an island. Learnings from fostering a developers community.
thoeni
16
2.2k
For a Future-Friendly Web
brad_frost
173
9.1k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
15
1.6k
StorybookのUI Testing Handbookを読んだ
zakiyama
14
4.8k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
34
9k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
73
15k
Robots, Beer and Maslow
schacon
PRO
155
8k
Learning to Love Humans: Emotional Interface Design
aarron
269
39k
Building Effective Engineering Teams - LeadDev
addyosmani
41
2.1k
Designing with Data
zakiwarfel
96
4.9k

Transcript

  1. タクシーアプリ『GO』の reCAPTCHA Enterprise 導入 2024.06.18 YAMAMOTO Kohei GO株式会社

  2. © GO Inc. 2 自己紹介 プロフィール写真 正方形にトリミングした写 真を「図形に合わせてトリ ミング」で円形にすると真 円になる

    GO株式会社 ユーザーシステム開発部 / YAMAMOTO Kohei 新卒でIT企業に入社後、Androidエンジニアとして10個以上のサービスリリース を経験してきました。継続的なサービスの成長に携わりたいと思い、2021年8月 にGO株式会社に入社しました。 タクシーアプリ『GO』のAndroidアプリ開発を担当。最近車を買いました。 @farundorl @gyamoto

  3. © GO Inc. 3 01|背景 02|reCAPTCHA について 04 | 導入結果

    03|SMS認証に reCAPTCHA 導入

  4. © GO Inc. 4 01 背景

  5. © GO Inc. • 日本を訪れる海外旅行客の増加 ◦ 移動手段の需要も増加 5 インバウンド需要 https://www.nikkei.com/article/DGXZQOUA170F20X10C24A1000000/

    https://www3.nhk.or.jp/news/html/20240105/k10014309421000.html

  6. © GO Inc. 6 タクシーアプリの海外旅行客の増加対応 • アプリを日本語以外に英語にも対応 • 日本以外の国でもアプリを配信 •

    海外発行のクレジットカード登録に対応 • 海外発行の電話番号でのSMS認証に対応

  7. © GO Inc. 7 タクシーアプリの海外旅行客の増加対応 • アプリを日本語以外に英語にも対応 • 日本以外の国でもアプリを配信 •

    海外発行のクレジットカード登録に対応 • 海外発行の電話番号でのSMS認証に対応

  8. © GO Inc. 8 SMS認証に潜むリスク • 悪意のあるAPIリクエスト ◦ 過剰なAPIリクエストによるサーバの過負荷 •

    サーバ環境やSMS送信APIなどリソースの悪用 ◦ 多額のサービス利用料が発生

  9. © GO Inc. 9 SMS認証に潜むリスクの対応 • 既存のリスク対応策 ◦ 認証コードの送信回数を制限する ◦

    有効期限の短くする ◦ 認証回数を上限を設定する • 既存の問題点 ◦ アカウントを大量作成されると、SMS送信APIのリソースが悪用 されてしまう

  10. © GO Inc. 10 SMS認証に潜むリスクの対応 • 既存のリスク対応策 ◦ 認証コードの送信回数を制限する ◦

    有効期限の短くする ◦ 認証回数を上限を設定する • 既存の問題点 ◦ アカウントを大量作成されると、SMS送信APIのリソースが悪用 されてしまう これを防ぐために reCAPTCHA Enterprise を導入する (以降はreCAPTCHAと略記)

  11. © GO Inc. 11 02 reCAPTCHA について

  12. © GO Inc. 12 reCAPTCHA について • Googleの提供する不正行為を検出する仕組み ◦ ユーザ操作を評価して不正行為を判定する

    ▪ 不正行為の例 • AUTOMATION // 自動化されたエージェントとインタラクションが一致 • UNEXPECTED_ENVIRONMENT // イベントの発生元が不正な環境 • TOO_MUCH_TRAFFIC // イベントのトラフィック量が通常よりも多い ◦ 導入環境に合わせて学習して検出精度が向上する • 2つの検出方式が提供されている ◦ チェックボックス ◦ スコアベース(『GO』のAndroid, iOSに導入)

  13. © GO Inc. • ユーザ操作を必要とするチェックボックス チャレンジを使用して、 ロボットではないことを判定 ◦ 「私はロボットではありません」 ◦

    「〜の画像をすべて選択してください」 • ユーザ操作を妨げてしまう 13 reCAPTCHA のチェックボックス方式

  14. © GO Inc. • ユーザ操作を妨げない ◦ チェックボックスに比べるとユーザの負担が低い ◦ アクセシビリティやコンバージョン率を保つことができる •

    機能はチェックボックスと同等 ◦ Androidの場合、以下の観点でユーザ操作を評価 ▪ アプリ情報(パッケージ名、操作数) ▪ 端末情報(IPアドレス、デバイスID、インストール済みアプリ、   GooglePlay開発者サービスが持つデバイス情報) 14 reCAPTCHA のスコアベース方式

  15. © GO Inc. 15 03 SMS認証に reCAPTCHA 導入

  16. © GO Inc. 16 『GO』のSMS認証について 電話番号入力 SMS送信 認証コード入力

  17. © GO Inc. 17 reCAPTCHA 導入前のシーケンス図 UserApp GO API User

    電話番号入力と SMS送信のアプリ操作 SMS認証APIの呼び出し SMSで認証コードを送信 認証コードの入力

  18. © GO Inc. 18 reCAPTCHA 導入後のシーケンス図 reCAPTCHA UserApp GO API

    SMS認証導線のユーザ操作を集計・評価 評価結果の取得に必要な評価トークンを返す SMS認証APIの呼び出し 評価結果のスコアと理由コードを返す 評価トークンから評価結果を取得 (リスクが低い場合) SMSで認証コードを送信 NEW!! 電話番号入力と SMS送信のアプリ操作 認証コードの入力 User

  19. © GO Inc. 19 reCAPTCHA 実装 • ライブラリの導入とクライアントの初期化 // project

    build.gradle dependencies { implementation 'com.google.android.recaptcha:recaptcha:18.5.1' private lateinit var recaptchaTasksClient: RecaptchaTasksClient /** reCAPTCHAクライアントを生成する。アプリの生存期間中に1回だけおこなう */ private fun initClient() { Recaptcha.getTasksClient(context, RECAPTCHA_KEY_ID) .addOnSuccessListener { recaptchaTasksClient = it } .addOnFailureListener { /* エラーとリトライ表示 */ } }

  20. © GO Inc. 20 reCAPTCHA 実装 • SMS認証APIのリクエスト直前に評価を作成 • 発行された評価用トークンをSMS認証APIで送信し、バックエンド側

    で評価結果を利用する // requestSignUp(phoneNumber) signUpWithRecaptcha(phoneNumber) private fun signUpWithRecaptcha(phoneNumber: String) { recaptchaTasksClient.executeTask(RecaptchaAction.SIGNUP) .addOnSuccessListener { token -> // 評価用トークン `token: String` をSMS認証用APIでバックエンドに送る requestSignUp(phoneNumber, token) } .addOnFailureListener { /* 通信エラー表示 */ } }

  21. © GO Inc. 21 04 導入結果と知見

  22. © GO Inc. • 悪意のあるユーザか不明だが、上図の赤線の数だけSMS送信を停止した ◦ 特定の日に高リスクの検出が顕著にみられたが、大量に作成された アカウントによるAPIアクセスではなかった ▪ 調査すると、特定の端末からのリクエストが増えていた模様

    ◦ ちなみに、Android の方が iOS よりも高リスク検出が多かった 22 導入後の結果

  23. © GO Inc. 23 学習期間を設けるべき • reCAPTCHAは学習により精度が上がるため、本番運用をはじめる前 に学習期間を設けるべき • 『GO』では

    7日間の学習期間を設けた。ユーザ操作の評価スコアを 利用せず、学習のみをおこなった ◦ 7日間は高リスク判定の閾値を緩め、全てSMS認証に進める ◦ 8日以降は閾値を更新

  24. © GO Inc. • 人為的な高リスクの再現が難しく、本番同等の テストはできないものと割り切る • 以下のテスト方針とした ◦ reCAPTCHA

    のスコア妥当性は確認しない ◦ SMS認証のエラー時の動作確認のために、 高リスク判定とする閾値を一時的に厳しく ◦ reCAPTCHA の動作確認は別途スコア詳細 を確認する画面を用意した 24 reCAPTCHAのテストはできないものと思え

  25. © GO Inc. • 発生した問題 ◦ サービス運用中に reCAPTCHA Android SDK

    を最新化すると、 スコアのアルゴリズムが更新され、高リスク判定ユーザが増加 ◦ ユーザの問い合わせも増加 • 対応 ◦ ビジネス担当者と相談し、低リスク判定ユーザの数が変わらない 範囲で閾値を調整した 25 定期的に高リスク判定の閾値を見直すべき

  26. © GO Inc. 26 まとめ

  27. © GO Inc. 27 まとめ • 背景 ◦ インバウンド需要 ◦

    タクシーアプリの海外旅行客の増加対応 • 課題と対応 ◦ SMS認証のリスクを抑えるために、不正行為を検出する reCAPTCHA Enterprise を Android/iOS に導入 • 導入結果と運用 ◦ 悪意のあるユーザか不明だが、高リスク判定した場合にSMS送信を停止 ◦ 定期的に高リスク判定の閾値を見直すべき

  28. © GO Inc. 文章・画像等の内容の無断転載及び複製等の行為はご遠慮ください