Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DMMmeetup 不正利用を減らす為にやったこと

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for ippei ippei
March 17, 2021
Technology
0
1.6k

DMMmeetup 不正利用を減らす為にやったこと

https://dmm.connpass.com/event/201926/
https://www.youtube.com/watch?v=ayAbSgderm0

Avatar for ippei

ippei

March 17, 2021
Tweet

More Decks by ippei

See All by ippei
DMM meetup ユーザを不正から守るシステムとは?
Avatar for ippei teranishi_ippei
0
1.4k
DMMの不正対策システムと運用サイクル
Avatar for ippei teranishi_ippei
2
1.6k

Other Decks in Technology

See All in Technology
生成AIの利用とセキュリティ /gen-ai-and-security
Avatar for Masayoshi Mizutani mizutani
1
1.4k
kintone開発のプラットフォームエンジニアの紹介
Avatar for Cybozu cybozuinsideout
PRO
0
840
楽しく学ぼう!ネットワーク入門
Avatar for Shota Shiratori shotashiratori
0
220
まなび領域における生成AI活用事例
Avatar for Recruit recruitengineers
PRO
2
100
AWS SES VDMで 将来の配信事故を防げた話
Avatar for moyashi moyashi
0
140
楽しく学ぼう!コミュニティ入門 AWSと人が つむいできたストーリー
Avatar for hiroramos hiroramos4
PRO
0
120
型を書かないRuby開発への挑戦
Avatar for Shia riseshia
0
200
Introduction to Sansan for Engineers / エンジニア向け会社紹介
Avatar for Sansan, Inc. sansan33
PRO
6
72k
Sansan Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
4k
白金鉱業Meetup_Vol.22_Orbital Senseを支える衛星画像のマルチモーダルエンベディングと地理空間のあいまい検索技術
Avatar for BrainPad brainpadpr
2
240
トップマネジメントとコンピテンシーから考えるエンジニアリングマネジメント
Avatar for Toru Yamaguchi a.k.a zigorou zigorou
4
720
Databricksアシスタントが自分で考えて動く時代に! エージェントモード体験もくもく会
Avatar for Takaaki Yayoi taka_aki
0
340

Featured

See All Featured
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.3k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
356
21k
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
190
B2B Lead Gen: Tactics, Traps & Triumph
Avatar for Sophie Logan marketingsoph
0
69
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
Avatar for Takuto Wada twada
PRO
118
110k
Public Speaking Without Barfing On Your Shoes - THAT 2023
Avatar for David Neal reverentgeek
1
330
Skip the Path - Find Your Career Trail
Avatar for Mark Kilby mkilby
1
72
Impact Scores and Hybrid Strategies: The future of link building
Avatar for Tamara Novitovic tamaranovitovic
0
220
Color Theory Basics | Prateek | Gurzu
Avatar for Gurzu gurzu
0
230
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.8k
My Coaching Mixtape
Avatar for mlcsv mlcsv
0
65

Transcript

  1. © DMM.com © DMM.com 不正利用を減らす為にやったこと
 リスクの発見からシステム開発までの話
 プラットフォーム事業本部 不正対策グループ 寺西一平
 2021年1月29日

    DMM meetup


  2. © DMM.com 
 合同会社DMM.com
 プラットフォーム事業本部 不正対策グループ 
 グループリーダー
 
 


    経歴
 •2012〜 Webアプリケーションの脆弱性診断(DAST) 立ち上げ 
 •2015〜 会員基盤のセキュリティ強化を監修 
 •2017〜 不正対策グループ 立ち上げ 
 
 寺西一平 2

  3. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 3

  4. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 4

  5. © DMM.com 1. 不正とは?
 5 機能
 何が行われるか?
 ログイン
 不正に入手した認証情報でアカウントの乗っ取り
 -

    アカウントリストアタック
 購入
 ・乗っ取ったアカウントの...
  - クレジットカード
  - ポイント 等の利用
 ・不正に入手したクレジットカード情報での決済


  6. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 6

  7. © DMM.com 7 2.不正を減らす為に解決した課題


  8. © DMM.com 8 課題1:不正に弱い仕様が存在する


  9. © DMM.com 当時のハナシ
 不正が発生してから不正に弱い仕様に気づいて対応していた...
 課題1:不正に弱い仕様が存在する
 9

  10. © DMM.com →現金の流れに注目するする事で不正に弱い仕様を探す
 課題1:不正に弱い仕様が存在する
 10 <考え方> ・不正 = 犯罪 なので、遊びではなく仕事

    ・仕事ということは、現金を得ることが目的

  11. © DMM.com 課題1:不正に弱い仕様が存在する
 11

  12. © DMM.com 課題1:不正に弱い仕様が存在する
 12

  13. © DMM.com 課題1:不正に弱い仕様が存在する
 13

  14. © DMM.com 課題1:不正に弱い仕様が存在する
 14 登場人物と現金の流れを可視化する事で弱い仕様を是正 ※気になる箇所はいっぱいありますが、パブリックな場で不正手法は話せないのでご了承ください

  15. © DMM.com 15 課題2:データを見るには職人技が必要


  16. © DMM.com 課題2:データを見るには職人技が必要
 16

  17. © DMM.com 課題2:データを見るには職人技が必要
 17 あるユーザの行動を時系列に並べたいだけなのに 
                     数時間... 


  18. © DMM.com 課題2:データを見るには職人技が必要
 18 ・不正対策APIを開発、重要なアクションの情報を集約
  →誰でもリアルタイムにデータが見れる環境


  19. © DMM.com 課題2:データを見るには職人技が必要
 19 その結果、数時間かけていたデータの抽出が数分に!


  20. © DMM.com 課題2:データを見るには職人技が必要
 20 ・不正対策APIを開発、重要なアクションの情報を集約
  →誰でもリアルタイムにデータが見れる環境


  21. © DMM.com 課題2:データを見るには職人技が必要
 21 誰でも見れることによってこんな、メリットが!
 リスクの早期発見 (データを見る心理的ハードルを下げる事で早い段階で調査を開始できる) 正確なコミュニケーション (データを見る習慣が付くことで、感覚的ではなく事実を元にする会話が増加)

  22. © DMM.com 22 課題3:不正者の変化に追いつけない


  23. © DMM.com 課題3:不正者の変化に追いつけない
 23 当時...
 ・不正検知条件はソースコード上に存在
 ・条件を変更する際は、ソースコードを修正&デプロイ
 if country !=

    JP and amount > 9800: xxxxxする if lang != ja-JP and amount > 5000: xxxxxする if lang != ja-JP and amount > 5000 and country = JP:

  24. © DMM.com 課題3:不正者の変化に追いつけない
 24

  25. © DMM.com 課題3:不正者の変化に追いつけない
 25

  26. © DMM.com 課題3:不正者の変化に追いつけない
 26

  27. © DMM.com 課題3:不正者の変化に追いつけない
 27 不正検知条件をハードコードしない形に変更
 


  28. © DMM.com 課題3:不正者の変化に追いつけない
 28 その結果、1日に何度もルールを反映できるように変化
 →約2年半で、のべ14,675件 (2021/01/28現在) 


  29. © DMM.com 課題3:不正者の変化に追いつけない
 29 反復回数が増えることでナレッジも蓄積


  30. © DMM.com まとめ
 30

  31. © DMM.com 不正を減らすためにやっていること
 31

  32. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 32

  33. © DMM.com 3. 乗り越えた先に何があったか?
 33 DMM.comの不正決済被害の推移


  34. © DMM.com 今後どうするか?
 34 • 今以上に不正を減らしていくために...
 ◦ 機械学習の利用
 ◦ より変化に適用可能なシステムへのリニューアル


  35. © DMM.com 最後に
 不正対策は横連携が大事だと考えています。
 不正でお困りの方、ナレッジの共有をしてみませんか?
 35