Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DMMmeetup 不正利用を減らす為にやったこと

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for ippei ippei
March 17, 2021
Technology
0
1.6k

DMMmeetup 不正利用を減らす為にやったこと

https://dmm.connpass.com/event/201926/
https://www.youtube.com/watch?v=ayAbSgderm0

Avatar for ippei

ippei

March 17, 2021
Tweet

More Decks by ippei

See All by ippei
DMM meetup ユーザを不正から守るシステムとは?
Avatar for ippei teranishi_ippei
0
1.4k
DMMの不正対策システムと運用サイクル
Avatar for ippei teranishi_ippei
2
1.6k

Other Decks in Technology

See All in Technology
タスク管理も1on1も、もう「管理」じゃない - KiroとBedrock AgentCoreで変わった“判断の仕事”
Avatar for Yusuke Shimizu yusukeshimizu
0
110
俺の/私の最強アーキテクチャ決定戦開催 ― チームで新しいアーキテクチャに適合していくために / 20260322 Naoki Takahashi
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
460
スピンアウト講座02_ファイル管理
Avatar for overflow ,Inc overflowinc
0
1.5k
AI時代のオンプレ-クラウドキャリアチェンジ考
Avatar for Yutaro Shirayama yuu0w0yuu
0
240
Phase05_ClaudeCode入門
Avatar for overflow ,Inc overflowinc
0
2.3k
Astro Islandsの 内部実装を 「日本で一番わかりやすく」 ざっくり解説!
Avatar for Wu Kenji knj
0
290
Phase09_自動化_仕組み化
Avatar for overflow ,Inc overflowinc
0
1.9k
Oracle Cloud Infrastructure(OCI):Onboarding Session(はじめてのOCI/Oracle Supportご利⽤ガイド)
Avatar for oracle4engineer oracle4engineer
PRO
2
16k
AIエージェント×GitHubで実現するQAナレッジの資産化と業務活用 / QA Knowledge as Assets with AI Agents & GitHub
Avatar for Hitsuji tknw_hitsuji
0
250
ハーネスエンジニアリング×AI適応開発
Avatar for Ryohei Kamiya aictokamiya
1
210
The essence of decision-making lies in primary data
Avatar for 株式会社カミナシ kaminashi
0
110
モジュラモノリス導入から4年間の総括:アーキテクチャと組織の相互作用について / Architecture and Organizational Interaction
Avatar for Satoshi Kawashima nazonohito51
7
4.2k

Featured

See All Featured
The Language of Interfaces
Avatar for Des Traynor destraynor
162
26k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.5k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
470k
WENDY [Excerpt]
Avatar for Tessa Abrams tessaabrams
9
37k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
2.6k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
187
22k
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
Avatar for Mine Cetinkaya-Rundel minecr
1
210
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
20k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.6k
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
160

Transcript

  1. © DMM.com © DMM.com 不正利用を減らす為にやったこと
 リスクの発見からシステム開発までの話
 プラットフォーム事業本部 不正対策グループ 寺西一平
 2021年1月29日

    DMM meetup


  2. © DMM.com 
 合同会社DMM.com
 プラットフォーム事業本部 不正対策グループ 
 グループリーダー
 
 


    経歴
 •2012〜 Webアプリケーションの脆弱性診断(DAST) 立ち上げ 
 •2015〜 会員基盤のセキュリティ強化を監修 
 •2017〜 不正対策グループ 立ち上げ 
 
 寺西一平 2

  3. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 3

  4. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 4

  5. © DMM.com 1. 不正とは?
 5 機能
 何が行われるか?
 ログイン
 不正に入手した認証情報でアカウントの乗っ取り
 -

    アカウントリストアタック
 購入
 ・乗っ取ったアカウントの...
  - クレジットカード
  - ポイント 等の利用
 ・不正に入手したクレジットカード情報での決済


  6. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 6

  7. © DMM.com 7 2.不正を減らす為に解決した課題


  8. © DMM.com 8 課題1:不正に弱い仕様が存在する


  9. © DMM.com 当時のハナシ
 不正が発生してから不正に弱い仕様に気づいて対応していた...
 課題1:不正に弱い仕様が存在する
 9

  10. © DMM.com →現金の流れに注目するする事で不正に弱い仕様を探す
 課題1:不正に弱い仕様が存在する
 10 <考え方> ・不正 = 犯罪 なので、遊びではなく仕事

    ・仕事ということは、現金を得ることが目的

  11. © DMM.com 課題1:不正に弱い仕様が存在する
 11

  12. © DMM.com 課題1:不正に弱い仕様が存在する
 12

  13. © DMM.com 課題1:不正に弱い仕様が存在する
 13

  14. © DMM.com 課題1:不正に弱い仕様が存在する
 14 登場人物と現金の流れを可視化する事で弱い仕様を是正 ※気になる箇所はいっぱいありますが、パブリックな場で不正手法は話せないのでご了承ください

  15. © DMM.com 15 課題2:データを見るには職人技が必要


  16. © DMM.com 課題2:データを見るには職人技が必要
 16

  17. © DMM.com 課題2:データを見るには職人技が必要
 17 あるユーザの行動を時系列に並べたいだけなのに 
                     数時間... 


  18. © DMM.com 課題2:データを見るには職人技が必要
 18 ・不正対策APIを開発、重要なアクションの情報を集約
  →誰でもリアルタイムにデータが見れる環境


  19. © DMM.com 課題2:データを見るには職人技が必要
 19 その結果、数時間かけていたデータの抽出が数分に!


  20. © DMM.com 課題2:データを見るには職人技が必要
 20 ・不正対策APIを開発、重要なアクションの情報を集約
  →誰でもリアルタイムにデータが見れる環境


  21. © DMM.com 課題2:データを見るには職人技が必要
 21 誰でも見れることによってこんな、メリットが!
 リスクの早期発見 (データを見る心理的ハードルを下げる事で早い段階で調査を開始できる) 正確なコミュニケーション (データを見る習慣が付くことで、感覚的ではなく事実を元にする会話が増加)

  22. © DMM.com 22 課題3:不正者の変化に追いつけない


  23. © DMM.com 課題3:不正者の変化に追いつけない
 23 当時...
 ・不正検知条件はソースコード上に存在
 ・条件を変更する際は、ソースコードを修正&デプロイ
 if country !=

    JP and amount > 9800: xxxxxする if lang != ja-JP and amount > 5000: xxxxxする if lang != ja-JP and amount > 5000 and country = JP:

  24. © DMM.com 課題3:不正者の変化に追いつけない
 24

  25. © DMM.com 課題3:不正者の変化に追いつけない
 25

  26. © DMM.com 課題3:不正者の変化に追いつけない
 26

  27. © DMM.com 課題3:不正者の変化に追いつけない
 27 不正検知条件をハードコードしない形に変更
 


  28. © DMM.com 課題3:不正者の変化に追いつけない
 28 その結果、1日に何度もルールを反映できるように変化
 →約2年半で、のべ14,675件 (2021/01/28現在) 


  29. © DMM.com 課題3:不正者の変化に追いつけない
 29 反復回数が増えることでナレッジも蓄積


  30. © DMM.com まとめ
 30

  31. © DMM.com 不正を減らすためにやっていること
 31

  32. © DMM.com 1. 不正とは?
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか?
 アジェンダ
 32

  33. © DMM.com 3. 乗り越えた先に何があったか?
 33 DMM.comの不正決済被害の推移


  34. © DMM.com 今後どうするか?
 34 • 今以上に不正を減らしていくために...
 ◦ 機械学習の利用
 ◦ より変化に適用可能なシステムへのリニューアル


  35. © DMM.com 最後に
 不正対策は横連携が大事だと考えています。
 不正でお困りの方、ナレッジの共有をしてみませんか?
 35