Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DMMmeetup 不正利用を減らす為にやったこと
Search
ippei
March 17, 2021
Technology
0
1.4k
DMMmeetup 不正利用を減らす為にやったこと
https://dmm.connpass.com/event/201926/
https://www.youtube.com/watch?v=ayAbSgderm0
ippei
March 17, 2021
Tweet
Share
More Decks by ippei
See All by ippei
DMM meetup ユーザを不正から守るシステムとは?
teranishi_ippei
0
1.4k
DMMの不正対策システムと運用サイクル
teranishi_ippei
2
1.5k
Other Decks in Technology
See All in Technology
Clineを含めたAIエージェントを 大規模組織に導入し、投資対効果を考える / Introducing AI agents into your organization
i35_267
4
1.7k
GeminiとNotebookLMによる金融実務の業務革新
abenben
0
240
Witchcraft for Memory
pocke
1
480
怖くない!はじめてのClaude Code
shinya337
0
110
Kotlin Coroutine Mechanisms: A Surprisingly Deep Rabbithole
amanda_hinchman
2
100
Github Copilot エージェントモードで試してみた
ochtum
0
110
生成AI時代の開発組織・技術・プロセス 〜 ログラスの挑戦と考察 〜
itohiro73
1
310
Windows 11 で AWS Documentation MCP Server 接続実践/practical-aws-documentation-mcp-server-connection-on-windows-11
emiki
0
1k
監視のこれまでとこれから/sakura monitoring seminar 2025
fujiwara3
11
4k
Node-REDのFunctionノードでMCPサーバーの実装を試してみた / Node-RED × MCP 勉強会 vol.1
you
PRO
0
120
AI導入の理想と現実~コストと浸透〜
oprstchn
0
100
「Chatwork」の認証基盤の移行とログ活用によるプロダクト改善
kubell_hr
1
200
Featured
See All Featured
Docker and Python
trallard
44
3.4k
The Invisible Side of Design
smashingmag
300
51k
A designer walks into a library…
pauljervisheath
207
24k
Thoughts on Productivity
jonyablonski
69
4.7k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
53
2.8k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.4k
BBQ
matthewcrist
89
9.7k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
107
19k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.9k
Designing Experiences People Love
moore
142
24k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
229
22k
Transcript
© DMM.com © DMM.com 不正利用を減らす為にやったこと リスクの発見からシステム開発までの話 プラットフォーム事業本部 不正対策グループ 寺西一平 2021年1月29日
DMM meetup
© DMM.com 合同会社DMM.com プラットフォーム事業本部 不正対策グループ グループリーダー
経歴 •2012〜 Webアプリケーションの脆弱性診断(DAST) 立ち上げ •2015〜 会員基盤のセキュリティ強化を監修 •2017〜 不正対策グループ 立ち上げ 寺西一平 2
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 3
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 4
© DMM.com 1. 不正とは? 5 機能 何が行われるか? ログイン 不正に入手した認証情報でアカウントの乗っ取り -
アカウントリストアタック 購入 ・乗っ取ったアカウントの... - クレジットカード - ポイント 等の利用 ・不正に入手したクレジットカード情報での決済
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 6
© DMM.com 7 2.不正を減らす為に解決した課題
© DMM.com 8 課題1:不正に弱い仕様が存在する
© DMM.com 当時のハナシ 不正が発生してから不正に弱い仕様に気づいて対応していた... 課題1:不正に弱い仕様が存在する 9
© DMM.com →現金の流れに注目するする事で不正に弱い仕様を探す 課題1:不正に弱い仕様が存在する 10 <考え方> ・不正 = 犯罪 なので、遊びではなく仕事
・仕事ということは、現金を得ることが目的
© DMM.com 課題1:不正に弱い仕様が存在する 11
© DMM.com 課題1:不正に弱い仕様が存在する 12
© DMM.com 課題1:不正に弱い仕様が存在する 13
© DMM.com 課題1:不正に弱い仕様が存在する 14 登場人物と現金の流れを可視化する事で弱い仕様を是正 ※気になる箇所はいっぱいありますが、パブリックな場で不正手法は話せないのでご了承ください
© DMM.com 15 課題2:データを見るには職人技が必要
© DMM.com 課題2:データを見るには職人技が必要 16
© DMM.com 課題2:データを見るには職人技が必要 17 あるユーザの行動を時系列に並べたいだけなのに 数時間...
© DMM.com 課題2:データを見るには職人技が必要 18 ・不正対策APIを開発、重要なアクションの情報を集約 →誰でもリアルタイムにデータが見れる環境
© DMM.com 課題2:データを見るには職人技が必要 19 その結果、数時間かけていたデータの抽出が数分に!
© DMM.com 課題2:データを見るには職人技が必要 20 ・不正対策APIを開発、重要なアクションの情報を集約 →誰でもリアルタイムにデータが見れる環境
© DMM.com 課題2:データを見るには職人技が必要 21 誰でも見れることによってこんな、メリットが! リスクの早期発見 (データを見る心理的ハードルを下げる事で早い段階で調査を開始できる) 正確なコミュニケーション (データを見る習慣が付くことで、感覚的ではなく事実を元にする会話が増加)
© DMM.com 22 課題3:不正者の変化に追いつけない
© DMM.com 課題3:不正者の変化に追いつけない 23 当時... ・不正検知条件はソースコード上に存在 ・条件を変更する際は、ソースコードを修正&デプロイ if country !=
JP and amount > 9800: xxxxxする if lang != ja-JP and amount > 5000: xxxxxする if lang != ja-JP and amount > 5000 and country = JP:
© DMM.com 課題3:不正者の変化に追いつけない 24
© DMM.com 課題3:不正者の変化に追いつけない 25
© DMM.com 課題3:不正者の変化に追いつけない 26
© DMM.com 課題3:不正者の変化に追いつけない 27 不正検知条件をハードコードしない形に変更
© DMM.com 課題3:不正者の変化に追いつけない 28 その結果、1日に何度もルールを反映できるように変化 →約2年半で、のべ14,675件 (2021/01/28現在)
© DMM.com 課題3:不正者の変化に追いつけない 29 反復回数が増えることでナレッジも蓄積
© DMM.com まとめ 30
© DMM.com 不正を減らすためにやっていること 31
© DMM.com 1. 不正とは? 2. 不正を減らす為に解決した課題 3. 課題を解決してどうなったか? アジェンダ 32
© DMM.com 3. 乗り越えた先に何があったか? 33 DMM.comの不正決済被害の推移
© DMM.com 今後どうするか? 34 • 今以上に不正を減らしていくために... ◦ 機械学習の利用 ◦ より変化に適用可能なシステムへのリニューアル
© DMM.com 最後に 不正対策は横連携が大事だと考えています。 不正でお困りの方、ナレッジの共有をしてみませんか? 35