Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DMMmeetup 不正利用を減らす為にやったこと

Avatar for ippei ippei
March 17, 2021
Technology
0
1.5k

DMMmeetup 不正利用を減らす為にやったこと

https://dmm.connpass.com/event/201926/
https://www.youtube.com/watch?v=ayAbSgderm0

Avatar for ippei

ippei

March 17, 2021
Tweet

More Decks by ippei

See All by ippei
DMM meetup ユーザを不正から守るシステムとは?
Avatar for ippei teranishi_ippei
0
1.4k
DMMの不正対策システムと運用サイクル
Avatar for ippei teranishi_ippei
2
1.5k

Other Decks in Technology

See All in Technology
Introduction to Sansan Meishi Maker Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
310
GoでもGUIアプリを作りたい!
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
140
ビズリーチ求職者検索におけるPLMとLLMの活用 / Search Engineering MEET UP_2-1
Avatar for Visional Engineering & Design visional_engineering_and_design
1
110
Introduction to Bill One Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
300
Wasmのエコシステムを使った ツール作成方法
Avatar for asuka askua
0
140
Developer Advocate / Community Managerなるには?
Avatar for tsho tsho
0
140
E2Eテスト設計_自動化のリアル___Playwrightでの実践とMCPの試み__AIによるテスト観点作成_.pdf
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
2
610
業務効率化をさらに加速させる、ノーコードツールとStep Functionsのハイブリッド化
Avatar for Makky12 smt7174
2
140
20201008_ファインディ_品質意識を育てる役目は人かAIか___2_.pdf
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
2
620
AWS IoT 超入門 2025
Avatar for kazunari hattori
0
330
M5製品で作るポン置きセルラー対応カメラ
Avatar for Hisaya OKADA sayacom
0
180
ガバメントクラウド(AWS)へのデータ移行戦略の立て方【虎の巻】 / 20251011 Mitsutosi Matsuo
Avatar for SHIFT EVOLVE shift_evolve
PRO
2
190

Featured

See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.7k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
6.9k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
23
3.7k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.2k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
23k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
4
690
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.7k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
72
11k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
45
7.7k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
53k
Visualization
Avatar for Eitan Lees eitanlees
149
16k

Transcript

  1. © DMM.com © DMM.com 不正利用を減らす為にやったこと
 リスクの発見からシステム開発までの話
 プラットフォーム事業本部 不正対策グループ 寺西一平
 2021年1月29日

    DMM meetup


  2. © DMM.com 
 合同会社DMM.com
 プラットフォーム事業本部 不正対策グループ 
 グループリーダー
 
 


    経歴
 •2012〜 Webアプリケーションの脆弱性診断(DAST) 立ち上げ 
 •2015〜 会員基盤のセキュリティ強化を監修 
 •2017〜 不正対策グループ 立ち上げ 
 
 寺西一平 2

  3. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 3

  4. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 4

  5. © DMM.com 1. 不正とは?
 5 機能
 何が行われるか?
 ログイン
 不正に入手した認証情報でアカウントの乗っ取り
 -

    アカウントリストアタック
 購入
 ・乗っ取ったアカウントの...
  - クレジットカード
  - ポイント 等の利用
 ・不正に入手したクレジットカード情報での決済


  6. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 6

  7. © DMM.com 7 2.不正を減らす為に解決した課題


  8. © DMM.com 8 課題1:不正に弱い仕様が存在する


  9. © DMM.com 当時のハナシ
 不正が発生してから不正に弱い仕様に気づいて対応していた...
 課題1:不正に弱い仕様が存在する
 9

  10. © DMM.com →現金の流れに注目するする事で不正に弱い仕様を探す
 課題1:不正に弱い仕様が存在する
 10 <考え方> ・不正 = 犯罪 なので、遊びではなく仕事

    ・仕事ということは、現金を得ることが目的

  11. © DMM.com 課題1:不正に弱い仕様が存在する
 11

  12. © DMM.com 課題1:不正に弱い仕様が存在する
 12

  13. © DMM.com 課題1:不正に弱い仕様が存在する
 13

  14. © DMM.com 課題1:不正に弱い仕様が存在する
 14 登場人物と現金の流れを可視化する事で弱い仕様を是正 ※気になる箇所はいっぱいありますが、パブリックな場で不正手法は話せないのでご了承ください

  15. © DMM.com 15 課題2:データを見るには職人技が必要


  16. © DMM.com 課題2:データを見るには職人技が必要
 16

  17. © DMM.com 課題2:データを見るには職人技が必要
 17 あるユーザの行動を時系列に並べたいだけなのに 
                     数時間... 


  18. © DMM.com 課題2:データを見るには職人技が必要
 18 ・不正対策APIを開発、重要なアクションの情報を集約
  →誰でもリアルタイムにデータが見れる環境


  19. © DMM.com 課題2:データを見るには職人技が必要
 19 その結果、数時間かけていたデータの抽出が数分に!


  20. © DMM.com 課題2:データを見るには職人技が必要
 20 ・不正対策APIを開発、重要なアクションの情報を集約
  →誰でもリアルタイムにデータが見れる環境


  21. © DMM.com 課題2:データを見るには職人技が必要
 21 誰でも見れることによってこんな、メリットが!
 リスクの早期発見 (データを見る心理的ハードルを下げる事で早い段階で調査を開始できる) 正確なコミュニケーション (データを見る習慣が付くことで、感覚的ではなく事実を元にする会話が増加)

  22. © DMM.com 22 課題3:不正者の変化に追いつけない


  23. © DMM.com 課題3:不正者の変化に追いつけない
 23 当時...
 ・不正検知条件はソースコード上に存在
 ・条件を変更する際は、ソースコードを修正&デプロイ
 if country !=

    JP and amount > 9800: xxxxxする if lang != ja-JP and amount > 5000: xxxxxする if lang != ja-JP and amount > 5000 and country = JP:

  24. © DMM.com 課題3:不正者の変化に追いつけない
 24

  25. © DMM.com 課題3:不正者の変化に追いつけない
 25

  26. © DMM.com 課題3:不正者の変化に追いつけない
 26

  27. © DMM.com 課題3:不正者の変化に追いつけない
 27 不正検知条件をハードコードしない形に変更
 


  28. © DMM.com 課題3:不正者の変化に追いつけない
 28 その結果、1日に何度もルールを反映できるように変化
 →約2年半で、のべ14,675件 (2021/01/28現在) 


  29. © DMM.com 課題3:不正者の変化に追いつけない
 29 反復回数が増えることでナレッジも蓄積


  30. © DMM.com まとめ
 30

  31. © DMM.com 不正を減らすためにやっていること
 31

  32. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 32

  33. © DMM.com 3. 乗り越えた先に何があったか?
 33 DMM.comの不正決済被害の推移


  34. © DMM.com 今後どうするか?
 34 • 今以上に不正を減らしていくために...
 ◦ 機械学習の利用
 ◦ より変化に適用可能なシステムへのリニューアル


  35. © DMM.com 最後に
 不正対策は横連携が大事だと考えています。
 不正でお困りの方、ナレッジの共有をしてみませんか?
 35