Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DMMmeetup 不正利用を減らす為にやったこと

Avatar for ippei ippei
March 17, 2021
Technology
0
1.4k

DMMmeetup 不正利用を減らす為にやったこと

https://dmm.connpass.com/event/201926/
https://www.youtube.com/watch?v=ayAbSgderm0

Avatar for ippei

ippei

March 17, 2021
Tweet

More Decks by ippei

See All by ippei
DMM meetup ユーザを不正から守るシステムとは?
Avatar for ippei teranishi_ippei
0
1.4k
DMMの不正対策システムと運用サイクル
Avatar for ippei teranishi_ippei
2
1.5k

Other Decks in Technology

See All in Technology
COVESA VSSによる車両データモデルの標準化とAWS IoT FleetWiseの活用
Avatar for Yuto Osawa osawa
1
400
メルカリIBISの紹介
Avatar for ktykogm 0gm
0
220
企業の生成AIガバナンスにおけるエージェントとセキュリティ
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
2
200
Codeful Serverless / 一人運用でもやり抜く力
Avatar for kensh _kensh
7
450
実践!カスタムインストラクション&スラッシュコマンド
Avatar for puku0x puku0x
0
540
バイブスに「型」を!Kent Beckに学ぶ、AI時代のテスト駆動開発
Avatar for amixedcolor amixedcolor
2
590
2つのフロントエンドと状態管理
Avatar for MIXI ENGINEERS mixi_engineers
PRO
3
150
人工衛星のファームウェアをRustで書く理由
Avatar for KOBA789 koba789
15
8.3k
プラットフォーム転換期におけるGitHub Copilot活用〜Coding agentがそれを加速するか〜 / Leveraging GitHub Copilot During Platform Transition Periods
Avatar for AEON aeonpeople
1
240
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
Avatar for oracle4engineer oracle4engineer
PRO
4
10k
「どこから読む?」コードとカルチャーに最速で馴染むための実践ガイド
Avatar for ZOZO Developers zozotech
PRO
0
570
AI時代を生き抜くエンジニアキャリアの築き方 (AI-Native 時代、エンジニアという道は 「最大の挑戦の場」となる) / Building an Engineering Career to Thrive in the Age of AI (In the AI-Native Era, the Path of Engineering Becomes the Ultimate Arena of Challenge)
Avatar for JaeSoon Jeong jeongjaesoon
0
250

Featured

See All Featured
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
26
1.9k
Docker and Python
Avatar for Tania Allard trallard
46
3.6k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
23
1.4k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
33
8.8k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
56
13k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
339
57k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
330
21k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
696
190k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.4k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
224
9.9k

Transcript

  1. © DMM.com © DMM.com 不正利用を減らす為にやったこと
 リスクの発見からシステム開発までの話
 プラットフォーム事業本部 不正対策グループ 寺西一平
 2021年1月29日

    DMM meetup


  2. © DMM.com 
 合同会社DMM.com
 プラットフォーム事業本部 不正対策グループ 
 グループリーダー
 
 


    経歴
 •2012〜 Webアプリケーションの脆弱性診断(DAST) 立ち上げ 
 •2015〜 会員基盤のセキュリティ強化を監修 
 •2017〜 不正対策グループ 立ち上げ 
 
 寺西一平 2

  3. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 3

  4. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 4

  5. © DMM.com 1. 不正とは?
 5 機能
 何が行われるか?
 ログイン
 不正に入手した認証情報でアカウントの乗っ取り
 -

    アカウントリストアタック
 購入
 ・乗っ取ったアカウントの...
  - クレジットカード
  - ポイント 等の利用
 ・不正に入手したクレジットカード情報での決済


  6. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 6

  7. © DMM.com 7 2.不正を減らす為に解決した課題


  8. © DMM.com 8 課題1:不正に弱い仕様が存在する


  9. © DMM.com 当時のハナシ
 不正が発生してから不正に弱い仕様に気づいて対応していた...
 課題1:不正に弱い仕様が存在する
 9

  10. © DMM.com →現金の流れに注目するする事で不正に弱い仕様を探す
 課題1:不正に弱い仕様が存在する
 10 <考え方> ・不正 = 犯罪 なので、遊びではなく仕事

    ・仕事ということは、現金を得ることが目的

  11. © DMM.com 課題1:不正に弱い仕様が存在する
 11

  12. © DMM.com 課題1:不正に弱い仕様が存在する
 12

  13. © DMM.com 課題1:不正に弱い仕様が存在する
 13

  14. © DMM.com 課題1:不正に弱い仕様が存在する
 14 登場人物と現金の流れを可視化する事で弱い仕様を是正 ※気になる箇所はいっぱいありますが、パブリックな場で不正手法は話せないのでご了承ください

  15. © DMM.com 15 課題2:データを見るには職人技が必要


  16. © DMM.com 課題2:データを見るには職人技が必要
 16

  17. © DMM.com 課題2:データを見るには職人技が必要
 17 あるユーザの行動を時系列に並べたいだけなのに 
                     数時間... 


  18. © DMM.com 課題2:データを見るには職人技が必要
 18 ・不正対策APIを開発、重要なアクションの情報を集約
  →誰でもリアルタイムにデータが見れる環境


  19. © DMM.com 課題2:データを見るには職人技が必要
 19 その結果、数時間かけていたデータの抽出が数分に!


  20. © DMM.com 課題2:データを見るには職人技が必要
 20 ・不正対策APIを開発、重要なアクションの情報を集約
  →誰でもリアルタイムにデータが見れる環境


  21. © DMM.com 課題2:データを見るには職人技が必要
 21 誰でも見れることによってこんな、メリットが!
 リスクの早期発見 (データを見る心理的ハードルを下げる事で早い段階で調査を開始できる) 正確なコミュニケーション (データを見る習慣が付くことで、感覚的ではなく事実を元にする会話が増加)

  22. © DMM.com 22 課題3:不正者の変化に追いつけない


  23. © DMM.com 課題3:不正者の変化に追いつけない
 23 当時...
 ・不正検知条件はソースコード上に存在
 ・条件を変更する際は、ソースコードを修正&デプロイ
 if country !=

    JP and amount > 9800: xxxxxする if lang != ja-JP and amount > 5000: xxxxxする if lang != ja-JP and amount > 5000 and country = JP:

  24. © DMM.com 課題3:不正者の変化に追いつけない
 24

  25. © DMM.com 課題3:不正者の変化に追いつけない
 25

  26. © DMM.com 課題3:不正者の変化に追いつけない
 26

  27. © DMM.com 課題3:不正者の変化に追いつけない
 27 不正検知条件をハードコードしない形に変更
 


  28. © DMM.com 課題3:不正者の変化に追いつけない
 28 その結果、1日に何度もルールを反映できるように変化
 →約2年半で、のべ14,675件 (2021/01/28現在) 


  29. © DMM.com 課題3:不正者の変化に追いつけない
 29 反復回数が増えることでナレッジも蓄積


  30. © DMM.com まとめ
 30

  31. © DMM.com 不正を減らすためにやっていること
 31

  32. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 32

  33. © DMM.com 3. 乗り越えた先に何があったか?
 33 DMM.comの不正決済被害の推移


  34. © DMM.com 今後どうするか?
 34 • 今以上に不正を減らしていくために...
 ◦ 機械学習の利用
 ◦ より変化に適用可能なシステムへのリニューアル


  35. © DMM.com 最後に
 不正対策は横連携が大事だと考えています。
 不正でお困りの方、ナレッジの共有をしてみませんか?
 35