DMMmeetup 不正利用を減らす為にやったこと

Transcript

1. © DMM.com © DMM.com 不正利用を減らす為にやったこと
 リスクの発見からシステム開発までの話
 プラットフォーム事業本部 不正対策グループ 寺西一平
 2021年1月29日

   DMM meetup


2. © DMM.com 
 合同会社DMM.com
 プラットフォーム事業本部 不正対策グループ 
 グループリーダー
 
 


   経歴
 •2012〜 Webアプリケーションの脆弱性診断(DAST) 立ち上げ 
 •2015〜 会員基盤のセキュリティ強化を監修 
 •2017〜 不正対策グループ 立ち上げ 
 
 寺西一平 2

3. © DMM.com 1. 不正とは？
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか？
 アジェンダ
 3

4. © DMM.com 1. 不正とは？
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか？
 アジェンダ
 4

5. © DMM.com 1. 不正とは？
 5 機能
 何が行われるか？
 ログイン
 不正に入手した認証情報でアカウントの乗っ取り
 -

   アカウントリストアタック
 購入
 ・乗っ取ったアカウントの...
 　- クレジットカード
 　- ポイント 等の利用
 ・不正に入手したクレジットカード情報での決済


6. © DMM.com 1. 不正とは？
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか？
 アジェンダ
 6

7. © DMM.com 7 2.不正を減らす為に解決した課題


8. © DMM.com 8 課題1：不正に弱い仕様が存在する


9. © DMM.com 当時のハナシ
 不正が発生してから不正に弱い仕様に気づいて対応していた...
 課題1：不正に弱い仕様が存在する
 9

10. © DMM.com →現金の流れに注目するする事で不正に弱い仕様を探す
 課題1：不正に弱い仕様が存在する
 10 ＜考え方＞ ・不正 = 犯罪 なので、遊びではなく仕事

    ・仕事ということは、現金を得ることが目的

11. © DMM.com 課題1：不正に弱い仕様が存在する
 11

12. © DMM.com 課題1：不正に弱い仕様が存在する
 12

13. © DMM.com 課題1：不正に弱い仕様が存在する
 13

14. © DMM.com 課題1：不正に弱い仕様が存在する
 14 登場人物と現金の流れを可視化する事で弱い仕様を是正 ※気になる箇所はいっぱいありますが、パブリックな場で不正手法は話せないのでご了承ください

15. © DMM.com 15 課題2：データを見るには職人技が必要


16. © DMM.com 課題2：データを見るには職人技が必要
 16

17. © DMM.com 課題2：データを見るには職人技が必要
 17 あるユーザの行動を時系列に並べたいだけなのに 
 　　　　　　　　　　　　　　　　　　　　数時間... 


18. © DMM.com 課題2：データを見るには職人技が必要
 18 ・不正対策APIを開発、重要なアクションの情報を集約
 　→誰でもリアルタイムにデータが見れる環境


19. © DMM.com 課題2：データを見るには職人技が必要
 19 その結果、数時間かけていたデータの抽出が数分に！


20. © DMM.com 課題2：データを見るには職人技が必要
 20 ・不正対策APIを開発、重要なアクションの情報を集約
 　→誰でもリアルタイムにデータが見れる環境


21. © DMM.com 課題2：データを見るには職人技が必要
 21 誰でも見れることによってこんな、メリットが！
 リスクの早期発見 （データを見る心理的ハードルを下げる事で早い段階で調査を開始できる） 正確なコミュニケーション （データを見る習慣が付くことで、感覚的ではなく事実を元にする会話が増加）

22. © DMM.com 22 課題3：不正者の変化に追いつけない


23. © DMM.com 課題3：不正者の変化に追いつけない
 23 当時...
 ・不正検知条件はソースコード上に存在
 ・条件を変更する際は、ソースコードを修正＆デプロイ
 if country !=

    JP and amount > 9800: xxxxxする if lang != ja-JP and amount > 5000: xxxxxする if lang != ja-JP and amount > 5000 and country = JP:

24. © DMM.com 課題3：不正者の変化に追いつけない
 24

25. © DMM.com 課題3：不正者の変化に追いつけない
 25

26. © DMM.com 課題3：不正者の変化に追いつけない
 26

27. © DMM.com 課題3：不正者の変化に追いつけない
 27 不正検知条件をハードコードしない形に変更
 


28. © DMM.com 課題3：不正者の変化に追いつけない
 28 その結果、1日に何度もルールを反映できるように変化
 →約2年半で、のべ14,675件 (2021/01/28現在) 


29. © DMM.com 課題3：不正者の変化に追いつけない
 29 反復回数が増えることでナレッジも蓄積


30. © DMM.com まとめ
 30

31. © DMM.com 不正を減らすためにやっていること
 31

32. © DMM.com 1. 不正とは？
 2. 不正を減らす為に解決した課題
 3. 課題を解決してどうなったか？
 アジェンダ
 32

33. © DMM.com 3. 乗り越えた先に何があったか？
 33 DMM.comの不正決済被害の推移


34. © DMM.com 今後どうするか？
 34 • 今以上に不正を減らしていくために...
 ◦ 機械学習の利用
 ◦ より変化に適用可能なシステムへのリニューアル


    


35. © DMM.com 最後に
 不正対策は横連携が大事だと考えています。
 不正でお困りの方、ナレッジの共有をしてみませんか？
 35