Slide 1
Slide 1 text
© DMM.com
© DMM.com
不正利用を減らす為にやったこと
リスクの発見からシステム開発までの話
プラットフォーム事業本部 不正対策グループ 寺西一平
2021年1月29日 DMM meetup
Slide 2
Slide 2 text
© DMM.com
合同会社DMM.com
プラットフォーム事業本部 不正対策グループ
グループリーダー
経歴
•2012〜 Webアプリケーションの脆弱性診断(DAST) 立ち上げ
•2015〜 会員基盤のセキュリティ強化を監修
•2017〜 不正対策グループ 立ち上げ
寺西一平
2
Slide 3
Slide 3 text
© DMM.com
1. 不正とは?
2. 不正を減らす為に解決した課題
3. 課題を解決してどうなったか?
アジェンダ
3
Slide 4
Slide 4 text
© DMM.com
1. 不正とは?
2. 不正を減らす為に解決した課題
3. 課題を解決してどうなったか?
アジェンダ
4
Slide 5
Slide 5 text
© DMM.com
1. 不正とは?
5
機能
何が行われるか?
ログイン
不正に入手した認証情報でアカウントの乗っ取り
- アカウントリストアタック
購入
・乗っ取ったアカウントの...
- クレジットカード
- ポイント 等の利用
・不正に入手したクレジットカード情報での決済
Slide 6
Slide 6 text
© DMM.com
1. 不正とは?
2. 不正を減らす為に解決した課題
3. 課題を解決してどうなったか?
アジェンダ
6
Slide 7
Slide 7 text
© DMM.com
7
2.不正を減らす為に解決した課題
Slide 8
Slide 8 text
© DMM.com
8
課題1:不正に弱い仕様が存在する
Slide 9
Slide 9 text
© DMM.com
当時のハナシ
不正が発生してから不正に弱い仕様に気づいて対応していた...
課題1:不正に弱い仕様が存在する
9
Slide 10
Slide 10 text
© DMM.com
→現金の流れに注目するする事で不正に弱い仕様を探す
課題1:不正に弱い仕様が存在する
10
<考え方>
・不正 = 犯罪 なので、遊びではなく仕事
・仕事ということは、現金を得ることが目的
Slide 11
Slide 11 text
© DMM.com
課題1:不正に弱い仕様が存在する
11
Slide 12
Slide 12 text
© DMM.com
課題1:不正に弱い仕様が存在する
12
Slide 13
Slide 13 text
© DMM.com
課題1:不正に弱い仕様が存在する
13
Slide 14
Slide 14 text
© DMM.com
課題1:不正に弱い仕様が存在する
14
登場人物と現金の流れを可視化する事で弱い仕様を是正
※気になる箇所はいっぱいありますが、パブリックな場で不正手法は話せないのでご了承ください
Slide 15
Slide 15 text
© DMM.com
15
課題2:データを見るには職人技が必要
Slide 16
Slide 16 text
© DMM.com
課題2:データを見るには職人技が必要
16
Slide 17
Slide 17 text
© DMM.com
課題2:データを見るには職人技が必要
17
あるユーザの行動を時系列に並べたいだけなのに
数時間...
Slide 18
Slide 18 text
© DMM.com
課題2:データを見るには職人技が必要
18
・不正対策APIを開発、重要なアクションの情報を集約
→誰でもリアルタイムにデータが見れる環境
Slide 19
Slide 19 text
© DMM.com
課題2:データを見るには職人技が必要
19
その結果、数時間かけていたデータの抽出が数分に!
Slide 20
Slide 20 text
© DMM.com
課題2:データを見るには職人技が必要
20
・不正対策APIを開発、重要なアクションの情報を集約
→誰でもリアルタイムにデータが見れる環境
Slide 21
Slide 21 text
© DMM.com
課題2:データを見るには職人技が必要
21
誰でも見れることによってこんな、メリットが!
リスクの早期発見
(データを見る心理的ハードルを下げる事で早い段階で調査を開始できる)
正確なコミュニケーション
(データを見る習慣が付くことで、感覚的ではなく事実を元にする会話が増加)
Slide 22
Slide 22 text
© DMM.com
22
課題3:不正者の変化に追いつけない
Slide 23
Slide 23 text
© DMM.com
課題3:不正者の変化に追いつけない
23
当時...
・不正検知条件はソースコード上に存在
・条件を変更する際は、ソースコードを修正&デプロイ
if country != JP and amount > 9800:
xxxxxする
if lang != ja-JP and amount > 5000:
xxxxxする
if lang != ja-JP and amount > 5000 and country = JP:
Slide 24
Slide 24 text
© DMM.com
課題3:不正者の変化に追いつけない
24
Slide 25
Slide 25 text
© DMM.com
課題3:不正者の変化に追いつけない
25
Slide 26
Slide 26 text
© DMM.com
課題3:不正者の変化に追いつけない
26
Slide 27
Slide 27 text
© DMM.com
課題3:不正者の変化に追いつけない
27
不正検知条件をハードコードしない形に変更
Slide 28
Slide 28 text
© DMM.com
課題3:不正者の変化に追いつけない
28
その結果、1日に何度もルールを反映できるように変化
→約2年半で、のべ14,675件 (2021/01/28現在)
Slide 29
Slide 29 text
© DMM.com
課題3:不正者の変化に追いつけない
29
反復回数が増えることでナレッジも蓄積
Slide 30
Slide 30 text
© DMM.com
まとめ
30
Slide 31
Slide 31 text
© DMM.com
不正を減らすためにやっていること
31
Slide 32
Slide 32 text
© DMM.com
1. 不正とは?
2. 不正を減らす為に解決した課題
3. 課題を解決してどうなったか?
アジェンダ
32
Slide 33
Slide 33 text
© DMM.com
3. 乗り越えた先に何があったか?
33
DMM.comの不正決済被害の推移
Slide 34
Slide 34 text
© DMM.com
今後どうするか?
34
● 今以上に不正を減らしていくために...
○ 機械学習の利用
○ より変化に適用可能なシステムへのリニューアル
Slide 35
Slide 35 text
© DMM.com
最後に
不正対策は横連携が大事だと考えています。
不正でお困りの方、ナレッジの共有をしてみませんか?
35