Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DMMmeetup 不正利用を減らす為にやったこと
Search
ippei
March 17, 2021
Technology
0
1.3k
DMMmeetup 不正利用を減らす為にやったこと
https://dmm.connpass.com/event/201926/
https://www.youtube.com/watch?v=ayAbSgderm0
ippei
March 17, 2021
Tweet
Share
More Decks by ippei
See All by ippei
DMM meetup ユーザを不正から守るシステムとは?
teranishi_ippei
0
1.3k
DMMの不正対策システムと運用サイクル
teranishi_ippei
2
1.3k
Other Decks in Technology
See All in Technology
コードを書く隙間を見つけて生きていく技術/Findy 思考の現在地
fujiwara3
24
5.1k
HEXA OSINT CTF V3 作戦会議
meow_noisy
0
110
PHP"オレ"カンファレンスの告知
ysknsid25
0
360
現代CSSフレームワークの内部実装とその仕組み
poteboy
1
450
"好き"との生活/Regularly update profile with GitHub Actions
judeeeee
0
150
テストプロセスで大事にしていること #jasstnano
makky_tyuyan
0
130
アプリがつくるNOT A HOTELブランド
hokuts
1
450
キャラクター制御のためのプロンプト術 for LINE Bot
uezo
0
520
AWS を使う上で知っておきたいオンプレミス知識/aws-on-premise-essentials
emiki
1
4.2k
2024/4/26 コンピュータ歴史博物館解説告知
toshi_atsumi
0
200
複雑な構成要素を持つUIとの向き合い方 〜新・支出グラフでの実例〜 / B43 TECH TALK
nakamuuu
0
100
Next'24 事例セッションの紹介とクラウド資格を活用したキャリア形成について語りMuscle
yasumuusan
1
340
Featured
See All Featured
Documentation Writing (for coders)
carmenintech
59
3.9k
Fashionably flexible responsive web design (full day workshop)
malarkey
397
65k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
119
38k
Designing the Hi-DPI Web
ddemaree
276
33k
Building Effective Engineering Teams - LeadDev
addyosmani
27
1.8k
VelocityConf: Rendering Performance Case Studies
addyosmani
320
23k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k
jQuery: Nuts, Bolts and Bling
dougneiner
59
7.1k
[RailsConf 2023] Rails as a piece of cake
palkan
22
3.9k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
186
16k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
352
28k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
124
32k
Transcript
© DMM.com © DMM.com 不正利用を減らす為にやったこと リスクの発見からシステム開発までの話 プラットフォーム事業本部 不正対策グループ 寺西一平 2021年1月29日
DMM meetup
© DMM.com 合同会社DMM.com プラットフォーム事業本部 不正対策グループ グループリーダー
経歴 •2012〜 Webアプリケーションの脆弱性診断(DAST) 立ち上げ •2015〜 会員基盤のセキュリティ強化を監修 •2017〜 不正対策グループ 立ち上げ 寺西一平 2
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 3
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 4
© DMM.com 1. 不正とは? 5 機能 何が行われるか? ログイン 不正に入手した認証情報でアカウントの乗っ取り -
アカウントリストアタック 購入 ・乗っ取ったアカウントの... - クレジットカード - ポイント 等の利用 ・不正に入手したクレジットカード情報での決済
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 6
© DMM.com 7 2.不正を減らす為に解決した課題
© DMM.com 8 課題1:不正に弱い仕様が存在する
© DMM.com 当時のハナシ 不正が発生してから不正に弱い仕様に気づいて対応していた... 課題1:不正に弱い仕様が存在する 9
© DMM.com →現金の流れに注目するする事で不正に弱い仕様を探す 課題1:不正に弱い仕様が存在する 10 <考え方> ・不正 = 犯罪 なので、遊びではなく仕事
・仕事ということは、現金を得ることが目的
© DMM.com 課題1:不正に弱い仕様が存在する 11
© DMM.com 課題1:不正に弱い仕様が存在する 12
© DMM.com 課題1:不正に弱い仕様が存在する 13
© DMM.com 課題1:不正に弱い仕様が存在する 14 登場人物と現金の流れを可視化する事で弱い仕様を是正 ※気になる箇所はいっぱいありますが、パブリックな場で不正手法は話せないのでご了承ください
© DMM.com 15 課題2:データを見るには職人技が必要
© DMM.com 課題2:データを見るには職人技が必要 16
© DMM.com 課題2:データを見るには職人技が必要 17 あるユーザの行動を時系列に並べたいだけなのに 数時間...
© DMM.com 課題2:データを見るには職人技が必要 18 ・不正対策APIを開発、重要なアクションの情報を集約 →誰でもリアルタイムにデータが見れる環境
© DMM.com 課題2:データを見るには職人技が必要 19 その結果、数時間かけていたデータの抽出が数分に!
© DMM.com 課題2:データを見るには職人技が必要 20 ・不正対策APIを開発、重要なアクションの情報を集約 →誰でもリアルタイムにデータが見れる環境
© DMM.com 課題2:データを見るには職人技が必要 21 誰でも見れることによってこんな、メリットが! リスクの早期発見 (データを見る心理的ハードルを下げる事で早い段階で調査を開始できる) 正確なコミュニケーション (データを見る習慣が付くことで、感覚的ではなく事実を元にする会話が増加)
© DMM.com 22 課題3:不正者の変化に追いつけない
© DMM.com 課題3:不正者の変化に追いつけない 23 当時... ・不正検知条件はソースコード上に存在 ・条件を変更する際は、ソースコードを修正&デプロイ if country !=
JP and amount > 9800: xxxxxする if lang != ja-JP and amount > 5000: xxxxxする if lang != ja-JP and amount > 5000 and country = JP:
© DMM.com 課題3:不正者の変化に追いつけない 24
© DMM.com 課題3:不正者の変化に追いつけない 25
© DMM.com 課題3:不正者の変化に追いつけない 26
© DMM.com 課題3:不正者の変化に追いつけない 27 不正検知条件をハードコードしない形に変更
© DMM.com 課題3:不正者の変化に追いつけない 28 その結果、1日に何度もルールを反映できるように変化 →約2年半で、のべ14,675件 (2021/01/28現在)
© DMM.com 課題3:不正者の変化に追いつけない 29 反復回数が増えることでナレッジも蓄積
© DMM.com まとめ 30
© DMM.com 不正を減らすためにやっていること 31
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 32
© DMM.com 3. 乗り越えた先に何があったか? 33 DMM.comの不正決済被害の推移
© DMM.com 今後どうするか? 34 • 今以上に不正を減らしていくために... ◦ 機械学習の利用 ◦ より変化に適用可能なシステムへのリニューアル
© DMM.com 最後に 不正対策は横連携が大事だと考えています。 不正でお困りの方、ナレッジの共有をしてみませんか? 35