Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DMMmeetup 不正利用を減らす為にやったこと
Search
ippei
March 17, 2021
Technology
0
1.4k
DMMmeetup 不正利用を減らす為にやったこと
https://dmm.connpass.com/event/201926/
https://www.youtube.com/watch?v=ayAbSgderm0
ippei
March 17, 2021
Tweet
Share
More Decks by ippei
See All by ippei
DMM meetup ユーザを不正から守るシステムとは?
teranishi_ippei
0
1.4k
DMMの不正対策システムと運用サイクル
teranishi_ippei
2
1.5k
Other Decks in Technology
See All in Technology
COVESA VSSによる車両データモデルの標準化とAWS IoT FleetWiseの活用
osawa
1
400
メルカリIBISの紹介
0gm
0
220
企業の生成AIガバナンスにおけるエージェントとセキュリティ
lycorptech_jp
PRO
2
200
Codeful Serverless / 一人運用でもやり抜く力
_kensh
7
450
実践!カスタムインストラクション&スラッシュコマンド
puku0x
0
540
バイブスに「型」を!Kent Beckに学ぶ、AI時代のテスト駆動開発
amixedcolor
2
590
2つのフロントエンドと状態管理
mixi_engineers
PRO
3
150
人工衛星のファームウェアをRustで書く理由
koba789
15
8.3k
プラットフォーム転換期におけるGitHub Copilot活用〜Coding agentがそれを加速するか〜 / Leveraging GitHub Copilot During Platform Transition Periods
aeonpeople
1
240
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
oracle4engineer
PRO
4
10k
「どこから読む?」コードとカルチャーに最速で馴染むための実践ガイド
zozotech
PRO
0
570
AI時代を生き抜くエンジニアキャリアの築き方 (AI-Native 時代、エンジニアという道は 「最大の挑戦の場」となる) / Building an Engineering Career to Thrive in the Age of AI (In the AI-Native Era, the Path of Engineering Becomes the Ultimate Arena of Challenge)
jeongjaesoon
0
250
Featured
See All Featured
How to Think Like a Performance Engineer
csswizardry
26
1.9k
Docker and Python
trallard
46
3.6k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
23
1.4k
Java REST API Framework Comparison - PWX 2021
mraible
33
8.8k
The Art of Programming - Codeland 2020
erikaheidi
56
13k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
Why Our Code Smells
bkeepers
PRO
339
57k
Agile that works and the tools we love
rasmusluckow
330
21k
A Modern Web Designer's Workflow
chriscoyier
696
190k
Optimising Largest Contentful Paint
csswizardry
37
3.4k
Mobile First: as difficult as doing things right
swwweet
224
9.9k
Transcript
© DMM.com © DMM.com 不正利用を減らす為にやったこと リスクの発見からシステム開発までの話 プラットフォーム事業本部 不正対策グループ 寺西一平 2021年1月29日
DMM meetup
© DMM.com 合同会社DMM.com プラットフォーム事業本部 不正対策グループ グループリーダー
経歴 •2012〜 Webアプリケーションの脆弱性診断(DAST) 立ち上げ •2015〜 会員基盤のセキュリティ強化を監修 •2017〜 不正対策グループ 立ち上げ 寺西一平 2
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 3
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 4
© DMM.com 1. 不正とは? 5 機能 何が行われるか? ログイン 不正に入手した認証情報でアカウントの乗っ取り -
アカウントリストアタック 購入 ・乗っ取ったアカウントの... - クレジットカード - ポイント 等の利用 ・不正に入手したクレジットカード情報での決済
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 6
© DMM.com 7 2.不正を減らす為に解決した課題
© DMM.com 8 課題1:不正に弱い仕様が存在する
© DMM.com 当時のハナシ 不正が発生してから不正に弱い仕様に気づいて対応していた... 課題1:不正に弱い仕様が存在する 9
© DMM.com →現金の流れに注目するする事で不正に弱い仕様を探す 課題1:不正に弱い仕様が存在する 10 <考え方> ・不正 = 犯罪 なので、遊びではなく仕事
・仕事ということは、現金を得ることが目的
© DMM.com 課題1:不正に弱い仕様が存在する 11
© DMM.com 課題1:不正に弱い仕様が存在する 12
© DMM.com 課題1:不正に弱い仕様が存在する 13
© DMM.com 課題1:不正に弱い仕様が存在する 14 登場人物と現金の流れを可視化する事で弱い仕様を是正 ※気になる箇所はいっぱいありますが、パブリックな場で不正手法は話せないのでご了承ください
© DMM.com 15 課題2:データを見るには職人技が必要
© DMM.com 課題2:データを見るには職人技が必要 16
© DMM.com 課題2:データを見るには職人技が必要 17 あるユーザの行動を時系列に並べたいだけなのに 数時間...
© DMM.com 課題2:データを見るには職人技が必要 18 ・不正対策APIを開発、重要なアクションの情報を集約 →誰でもリアルタイムにデータが見れる環境
© DMM.com 課題2:データを見るには職人技が必要 19 その結果、数時間かけていたデータの抽出が数分に!
© DMM.com 課題2:データを見るには職人技が必要 20 ・不正対策APIを開発、重要なアクションの情報を集約 →誰でもリアルタイムにデータが見れる環境
© DMM.com 課題2:データを見るには職人技が必要 21 誰でも見れることによってこんな、メリットが! リスクの早期発見 (データを見る心理的ハードルを下げる事で早い段階で調査を開始できる) 正確なコミュニケーション (データを見る習慣が付くことで、感覚的ではなく事実を元にする会話が増加)
© DMM.com 22 課題3:不正者の変化に追いつけない
© DMM.com 課題3:不正者の変化に追いつけない 23 当時... ・不正検知条件はソースコード上に存在 ・条件を変更する際は、ソースコードを修正&デプロイ if country !=
JP and amount > 9800: xxxxxする if lang != ja-JP and amount > 5000: xxxxxする if lang != ja-JP and amount > 5000 and country = JP:
© DMM.com 課題3:不正者の変化に追いつけない 24
© DMM.com 課題3:不正者の変化に追いつけない 25
© DMM.com 課題3:不正者の変化に追いつけない 26
© DMM.com 課題3:不正者の変化に追いつけない 27 不正検知条件をハードコードしない形に変更
© DMM.com 課題3:不正者の変化に追いつけない 28 その結果、1日に何度もルールを反映できるように変化 →約2年半で、のべ14,675件 (2021/01/28現在)
© DMM.com 課題3:不正者の変化に追いつけない 29 反復回数が増えることでナレッジも蓄積
© DMM.com まとめ 30
© DMM.com 不正を減らすためにやっていること 31
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 32
© DMM.com 3. 乗り越えた先に何があったか? 33 DMM.comの不正決済被害の推移
© DMM.com 今後どうするか? 34 • 今以上に不正を減らしていくために... ◦ 機械学習の利用 ◦ より変化に適用可能なシステムへのリニューアル
© DMM.com 最後に 不正対策は横連携が大事だと考えています。 不正でお困りの方、ナレッジの共有をしてみませんか? 35