Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DMMmeetup 不正利用を減らす為にやったこと
Search
ippei
March 17, 2021
Technology
0
1.4k
DMMmeetup 不正利用を減らす為にやったこと
https://dmm.connpass.com/event/201926/
https://www.youtube.com/watch?v=ayAbSgderm0
ippei
March 17, 2021
Tweet
Share
More Decks by ippei
See All by ippei
DMM meetup ユーザを不正から守るシステムとは?
teranishi_ippei
0
1.4k
DMMの不正対策システムと運用サイクル
teranishi_ippei
2
1.5k
Other Decks in Technology
See All in Technology
Oracle Audit Vault and Database Firewall 20 概要
oracle4engineer
PRO
3
1.7k
2年でここまで成長!AWSで育てたAI Slack botの軌跡
iwamot
PRO
4
790
フィンテック養成勉強会#54
finengine
0
180
Lambda Web Adapterについて自分なりに理解してみた
smt7174
5
130
AIとともに進化するエンジニアリング / Engineering-Evolving-with-AI_final.pdf
lycorptech_jp
PRO
0
110
MySQL5.6から8.4へ 戦いの記録
kyoshidaxx
1
270
AIのAIによるAIのための出力評価と改善
chocoyama
2
580
CursorによるPMO業務の代替 / Automating PMO Tasks with Cursor
motoyoshi_kakaku
0
410
強化されたAmazon Location Serviceによる新機能と開発者体験
dayjournal
3
230
標準技術と独自システムで作る「つらくない」SaaS アカウント管理 / Effortless SaaS Account Management with Standard Technologies & Custom Systems
yuyatakeyama
3
1.3k
ドメイン特化なCLIPモデルとデータセットの紹介
tattaka
1
200
AIエージェント最前線! Amazon Bedrock、Amazon Q、そしてMCPを使いこなそう
minorun365
PRO
15
5.4k
Featured
See All Featured
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Facilitating Awesome Meetings
lara
54
6.4k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
48
5.4k
Typedesign – Prime Four
hannesfritz
42
2.7k
Become a Pro
speakerdeck
PRO
28
5.4k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
26k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
130
19k
StorybookのUI Testing Handbookを読んだ
zakiyama
30
5.8k
How to Ace a Technical Interview
jacobian
277
23k
Git: the NoSQL Database
bkeepers
PRO
430
65k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
31
1.2k
Transcript
© DMM.com © DMM.com 不正利用を減らす為にやったこと リスクの発見からシステム開発までの話 プラットフォーム事業本部 不正対策グループ 寺西一平 2021年1月29日
DMM meetup
© DMM.com 合同会社DMM.com プラットフォーム事業本部 不正対策グループ グループリーダー
経歴 •2012〜 Webアプリケーションの脆弱性診断(DAST) 立ち上げ •2015〜 会員基盤のセキュリティ強化を監修 •2017〜 不正対策グループ 立ち上げ 寺西一平 2
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 3
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 4
© DMM.com 1. 不正とは? 5 機能 何が行われるか? ログイン 不正に入手した認証情報でアカウントの乗っ取り -
アカウントリストアタック 購入 ・乗っ取ったアカウントの... - クレジットカード - ポイント 等の利用 ・不正に入手したクレジットカード情報での決済
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 6
© DMM.com 7 2.不正を減らす為に解決した課題
© DMM.com 8 課題1:不正に弱い仕様が存在する
© DMM.com 当時のハナシ 不正が発生してから不正に弱い仕様に気づいて対応していた... 課題1:不正に弱い仕様が存在する 9
© DMM.com →現金の流れに注目するする事で不正に弱い仕様を探す 課題1:不正に弱い仕様が存在する 10 <考え方> ・不正 = 犯罪 なので、遊びではなく仕事
・仕事ということは、現金を得ることが目的
© DMM.com 課題1:不正に弱い仕様が存在する 11
© DMM.com 課題1:不正に弱い仕様が存在する 12
© DMM.com 課題1:不正に弱い仕様が存在する 13
© DMM.com 課題1:不正に弱い仕様が存在する 14 登場人物と現金の流れを可視化する事で弱い仕様を是正 ※気になる箇所はいっぱいありますが、パブリックな場で不正手法は話せないのでご了承ください
© DMM.com 15 課題2:データを見るには職人技が必要
© DMM.com 課題2:データを見るには職人技が必要 16
© DMM.com 課題2:データを見るには職人技が必要 17 あるユーザの行動を時系列に並べたいだけなのに 数時間...
© DMM.com 課題2:データを見るには職人技が必要 18 ・不正対策APIを開発、重要なアクションの情報を集約 →誰でもリアルタイムにデータが見れる環境
© DMM.com 課題2:データを見るには職人技が必要 19 その結果、数時間かけていたデータの抽出が数分に!
© DMM.com 課題2:データを見るには職人技が必要 20 ・不正対策APIを開発、重要なアクションの情報を集約 →誰でもリアルタイムにデータが見れる環境
© DMM.com 課題2:データを見るには職人技が必要 21 誰でも見れることによってこんな、メリットが! リスクの早期発見 (データを見る心理的ハードルを下げる事で早い段階で調査を開始できる) 正確なコミュニケーション (データを見る習慣が付くことで、感覚的ではなく事実を元にする会話が増加)
© DMM.com 22 課題3:不正者の変化に追いつけない
© DMM.com 課題3:不正者の変化に追いつけない 23 当時... ・不正検知条件はソースコード上に存在 ・条件を変更する際は、ソースコードを修正&デプロイ if country !=
JP and amount > 9800: xxxxxする if lang != ja-JP and amount > 5000: xxxxxする if lang != ja-JP and amount > 5000 and country = JP:
© DMM.com 課題3:不正者の変化に追いつけない 24
© DMM.com 課題3:不正者の変化に追いつけない 25
© DMM.com 課題3:不正者の変化に追いつけない 26
© DMM.com 課題3:不正者の変化に追いつけない 27 不正検知条件をハードコードしない形に変更
© DMM.com 課題3:不正者の変化に追いつけない 28 その結果、1日に何度もルールを反映できるように変化 →約2年半で、のべ14,675件 (2021/01/28現在)
© DMM.com 課題3:不正者の変化に追いつけない 29 反復回数が増えることでナレッジも蓄積
© DMM.com まとめ 30
© DMM.com 不正を減らすためにやっていること 31
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 32
© DMM.com 3. 乗り越えた先に何があったか? 33 DMM.comの不正決済被害の推移
© DMM.com 今後どうするか? 34 • 今以上に不正を減らしていくために... ◦ 機械学習の利用 ◦ より変化に適用可能なシステムへのリニューアル
© DMM.com 最後に 不正対策は横連携が大事だと考えています。 不正でお困りの方、ナレッジの共有をしてみませんか? 35