4. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーの不正利用とは
• ネットワーク
• ポートスキャン など
• サーバOS/Webサーバソフト
• Dos/DDos攻撃
• 脆弱性攻撃 など
• アプリケーション
• SQLインジェクション
• XSS など
5. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーの不正利用とは
ヤフーのサービスを利用しての不正行為になります
6. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーのサービスを利用した不正利用
• クレジットカード盗用
• 銀行口座盗用
• 詐欺
• 偽ブランド販売
• いたずら注文
• ガイドライン違反
■コマース系サービス
• メールスパム
• 広告スパム
• コメントスパム
■スパム行為
• 複アカの大量取得
• ID乗っ取り
■ Yahoo! JAPAN ID関連
7. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーのサービスを利用した不正利用
Webサービスは各社でさまざまであり、既製のセキュリティ製品は少
ない。そのため独自で対策をしなければならない。
ヤフーでは機械+人での対策を行っている。
8. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ヤフーのサービスを利用した不正利用
ここ数年、Yahoo! JAPAN IDの乗っ取り(リスト攻撃)が急増しており、
対策が急務であった。
10. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ID乗っ取り(リスト攻撃について)
パスワードリスト型攻撃とは、不正アクセス(不正ログイン)を試みる
手法の一種で、あらかじめ用意したアカウント情報(IDとパスワードの
組み合わせ)一覧をもとにログインを試みる手法である。
11. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ID乗っ取り(リスト攻撃について)
アカウントリスト
何かしらの手段でリストを作成or入手
・フィッシングサイト
・マルウェア
・他社からの流出
・ダークウェブ など
ログインサーバ
アカウントリストの精査
各サービス
不正利用
ポイントの盗用
スパムメール送信
など
12. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ID乗っ取り(リスト攻撃について)
攻撃者は身元を偽装するため
日本に設置した中継サーバを
経由してアクセスしてきている。
出典:産経ニュース
13. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ID乗っ取り(リスト攻撃について)
ログインサーバ
アカウントリストの精査
各サービス
不正利用
海外IP
日本IP
スクリプト
人手 中継サーバ
14. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
ID乗っ取り(リスト攻撃について)
現行の機械+人力での検知では限界があるため、Splunkを利用した
検知システムを構築した。
20. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検知
indexer
login log
suspend server
search head
web hookforwarder
ログから不正ログインを抽出し、
措置サーバへ連携
ログインログをSplunkへ転送
不正ログイン被害者の
パスワードをリセット
不正検知のロジックは
全てSplunkの機能で実装。
21. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検知
膨大な正常系とログから真の脅威と推定されるアクセスを掘り当てる
必要がある。
ログの大半はノイズ
脅威は全体のごく一部
22. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検知
RAW
DATA
BASE
QUERY
SUMMARY
DATA
PROFILING
QUERY
ACCOUNT-
HIJACK
DATA
① 統計データの作成
スコアリング評価に必要な統計データを作成
② スコアリング
スコアリングロジックに基づき、アクセスを評価
23. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検知
不正者の行動分析 不正者の監視
検知モデルの更新
不正者の行動パターンはすぐに変化するため、監視・分析・モデル
更新を行う運用フローを構築している。
24. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検知
0
5000
10000
15000
20000
25000
30000
35000
システムリリース
パスワードリセット件数(日単位) システムリリース以降、
件数が大幅に増加している
25. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検知
• Splunkを利用するメリット
• WebUIでほとんどの操作が可能。
• 攻撃者は常に行動が変わるため、素早い対応が必要になる。
SplunkではWebUIでほとんどの操作ができるため早急かつ低リソースで対応が可能。
• 攻撃者の行動分析が容易にできる。
• Splunkはログ分析基盤であるため、アプリケーションログを取り込んでおけば容易に
攻撃者の行動分析ができる。またダッシュボード機能を利用することで可視化も簡単にできる。
• システム構築が比較的容易。
26. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Splunkを使った不正ログイン検知
• Splunkを利用する際の注意事項
• ライセンス料に注意が必要。
• Splunkライセンス体系は一日に転送するログの量で決まります。
そのため転送するログは選定する必要があります。
• サーバスペックがそれなりに必要。
• Splunkではサーバーリソース(特にメモリー)をかなり使うため、
大規模なログを分析する場合はサーバのコストがかかります。
27. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
最後に
• セキュリテイ機能の紹介
• ワンタイムパスワード。
• 海外アクセスブロック。
• セキュリティセンターによるリテラシーの向上。。
• パスワードレスのYahoo! JAPAN ID推進。
ここ数年、Yahoo! JAPAN IDの乗っ取り(リスト攻撃)が急増しており、対策が急務であった。
先ほどの説明どおり機械+人手による対策はしていたのですが、年々規模の増加・手口が高度化してきていて対応が難しくなっていていました。
弊社はデイリーユニークブラウザー数(DUB)が約9000万、月間アクティブユーザーID数が約4,000万おりまして、
日本の多くのユーザーに利用して頂いているYahoo! JAPAN IDが危険にさらされており、対策が課題となっておりました。