Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DMMmeetup 不正利用を減らす為にやったこと

C973f275d50019b087ec5aa040a888a0?s=47 ippei
March 17, 2021

DMMmeetup 不正利用を減らす為にやったこと

C973f275d50019b087ec5aa040a888a0?s=128

ippei

March 17, 2021
Tweet

Transcript

  1. © DMM.com © DMM.com 不正利用を減らす為にやったこと
 リスクの発見からシステム開発までの話
 プラットフォーム事業本部 不正対策グループ 寺西一平
 2021年1月29日

    DMM meetup

  2. © DMM.com 
 合同会社DMM.com
 プラットフォーム事業本部 不正対策グループ 
 グループリーダー
 
 


    経歴
 •2012〜 Webアプリケーションの脆弱性診断(DAST) 立ち上げ 
 •2015〜 会員基盤のセキュリティ強化を監修 
 •2017〜 不正対策グループ 立ち上げ 
 
 寺西一平 2
  3. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 3

  4. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 4

  5. © DMM.com 1. 不正とは?
 5 機能
 何が行われるか?
 ログイン
 不正に入手した認証情報でアカウントの乗っ取り
 -

    アカウントリストアタック
 購入
 ・乗っ取ったアカウントの...
  - クレジットカード
  - ポイント 等の利用
 ・不正に入手したクレジットカード情報での決済

  6. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 6

  7. © DMM.com 7 2.不正を減らす為に解決した課題


  8. © DMM.com 8 課題1:不正に弱い仕様が存在する


  9. © DMM.com 当時のハナシ
 不正が発生してから不正に弱い仕様に気づいて対応していた...
 課題1:不正に弱い仕様が存在する
 9

  10. © DMM.com →現金の流れに注目するする事で不正に弱い仕様を探す
 課題1:不正に弱い仕様が存在する
 10 <考え方> ・不正 = 犯罪 なので、遊びではなく仕事

    ・仕事ということは、現金を得ることが目的
  11. © DMM.com 課題1:不正に弱い仕様が存在する
 11

  12. © DMM.com 課題1:不正に弱い仕様が存在する
 12

  13. © DMM.com 課題1:不正に弱い仕様が存在する
 13

  14. © DMM.com 課題1:不正に弱い仕様が存在する
 14 登場人物と現金の流れを可視化する事で弱い仕様を是正 ※気になる箇所はいっぱいありますが、パブリックな場で不正手法は話せないのでご了承ください

  15. © DMM.com 15 課題2:データを見るには職人技が必要


  16. © DMM.com 課題2:データを見るには職人技が必要
 16

  17. © DMM.com 課題2:データを見るには職人技が必要
 17 あるユーザの行動を時系列に並べたいだけなのに 
                     数時間... 


  18. © DMM.com 課題2:データを見るには職人技が必要
 18 ・不正対策APIを開発、重要なアクションの情報を集約
  →誰でもリアルタイムにデータが見れる環境


  19. © DMM.com 課題2:データを見るには職人技が必要
 19 その結果、数時間かけていたデータの抽出が数分に!


  20. © DMM.com 課題2:データを見るには職人技が必要
 20 ・不正対策APIを開発、重要なアクションの情報を集約
  →誰でもリアルタイムにデータが見れる環境


  21. © DMM.com 課題2:データを見るには職人技が必要
 21 誰でも見れることによってこんな、メリットが!
 リスクの早期発見 (データを見る心理的ハードルを下げる事で早い段階で調査を開始できる) 正確なコミュニケーション (データを見る習慣が付くことで、感覚的ではなく事実を元にする会話が増加)

  22. © DMM.com 22 課題3:不正者の変化に追いつけない


  23. © DMM.com 課題3:不正者の変化に追いつけない
 23 当時...
 ・不正検知条件はソースコード上に存在
 ・条件を変更する際は、ソースコードを修正&デプロイ
 if country !=

    JP and amount > 9800: xxxxxする if lang != ja-JP and amount > 5000: xxxxxする if lang != ja-JP and amount > 5000 and country = JP:
  24. © DMM.com 課題3:不正者の変化に追いつけない
 24

  25. © DMM.com 課題3:不正者の変化に追いつけない
 25

  26. © DMM.com 課題3:不正者の変化に追いつけない
 26

  27. © DMM.com 課題3:不正者の変化に追いつけない
 27 不正検知条件をハードコードしない形に変更
 


  28. © DMM.com 課題3:不正者の変化に追いつけない
 28 その結果、1日に何度もルールを反映できるように変化
 →約2年半で、のべ14,675件 (2021/01/28現在) 


  29. © DMM.com 課題3:不正者の変化に追いつけない
 29 反復回数が増えることでナレッジも蓄積


  30. © DMM.com まとめ
 30

  31. © DMM.com 不正を減らすためにやっていること
 31

  32. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 32

  33. © DMM.com 3. 乗り越えた先に何があったか?
 33 DMM.comの不正決済被害の推移


  34. © DMM.com 今後どうするか?
 34 • 今以上に不正を減らしていくために...
 ◦ 機械学習の利用
 ◦ より変化に適用可能なシステムへのリニューアル


  35. © DMM.com 最後に
 不正対策は横連携が大事だと考えています。
 不正でお困りの方、ナレッジの共有をしてみませんか?
 35