SlideShare a Scribd company logo

YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知

Download as PPTX, PDF
Yahoo!デベロッパーネットワーク
Yahoo!デベロッパーネットワーク

Yahoo! JAPAN Tech Conference 2018 D-5 セッションのスライドです。

Technology
1 of 28
日本のインターネットを守る! Yahoo! JAPANの不正利用対策 Splunkによる不正ログイン検知 CISO室 近藤 彬 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 自己紹介 ■2005年~ 日立系の会社で官公庁向けのシス テム開発に従事。 ■2009年~ ヤフー株式会社へ入社。ヤフオク!や Yahoo!ショッピングの開発・運用に従 事。 ■2016年~ CISO室にて不正利用対策 近藤 彬 (こんどう あきら)
ヤフーの不正利用とは Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ヤフーの不正利用とは • ネットワーク • ポートスキャン など • サーバOS/Webサーバソフト • Dos/DDos攻撃 • 脆弱性攻撃 など • アプリケーション • SQLインジェクション • XSS など
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ヤフーの不正利用とは ヤフーのサービスを利用しての不正行為になります
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ヤフーのサービスを利用した不正利用 • クレジットカード盗用 • 銀行口座盗用 • 詐欺 • 偽ブランド販売 • いたずら注文 • ガイドライン違反 ■コマース系サービス • メールスパム • 広告スパム • コメントスパム ■スパム行為 • 複アカの大量取得 • ID乗っ取り ■ Yahoo! JAPAN ID関連
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ヤフーのサービスを利用した不正利用 Webサービスは各社でさまざまであり、既製のセキュリティ製品は少 ない。そのため独自で対策をしなければならない。 ヤフーでは機械+人での対策を行っている。
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ヤフーのサービスを利用した不正利用 ここ数年、Yahoo! JAPAN IDの乗っ取り(リスト攻撃)が急増しており、 対策が急務であった。
ID乗っ取り(リスト攻撃について) Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ID乗っ取り(リスト攻撃について) パスワードリスト型攻撃とは、不正アクセス(不正ログイン)を試みる 手法の一種で、あらかじめ用意したアカウント情報(IDとパスワードの 組み合わせ)一覧をもとにログインを試みる手法である。
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ID乗っ取り(リスト攻撃について) アカウントリスト 何かしらの手段でリストを作成or入手 ・フィッシングサイト ・マルウェア ・他社からの流出 ・ダークウェブ など ログインサーバ アカウントリストの精査 各サービス 不正利用 ポイントの盗用 スパムメール送信 など
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ID乗っ取り(リスト攻撃について) 攻撃者は身元を偽装するため 日本に設置した中継サーバを 経由してアクセスしてきている。 出典:産経ニュース
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ID乗っ取り(リスト攻撃について) ログインサーバ アカウントリストの精査 各サービス 不正利用 海外IP 日本IP スクリプト 人手 中継サーバ
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ID乗っ取り(リスト攻撃について) 現行の機械+人力での検知では限界があるため、Splunkを利用した 検知システムを構築した。
Splunkについて Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkとは • ログの統合分析基盤。 • 検索/分析・可視化/レポーティングなど の機能を備える。 • さまざまなログフォーマットに対応。 • ITセキュリティ/ITオペレーション/ビジネ ス分析などさまざまな分野で利用ができ る。 ※詳細はSplunk社のHPを参照してください。
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkとは クエリ例) index="*" ip="*" | stats count by ip
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkとは
Splunkを使った不正ログイン検知 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 indexer login log suspend server search head web hookforwarder ログから不正ログインを抽出し、 措置サーバへ連携 ログインログをSplunkへ転送 不正ログイン被害者の パスワードをリセット 不正検知のロジックは 全てSplunkの機能で実装。
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 膨大な正常系とログから真の脅威と推定されるアクセスを掘り当てる 必要がある。 ログの大半はノイズ 脅威は全体のごく一部
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 RAW DATA BASE QUERY SUMMARY DATA PROFILING QUERY ACCOUNT- HIJACK DATA ① 統計データの作成 スコアリング評価に必要な統計データを作成 ② スコアリング スコアリングロジックに基づき、アクセスを評価
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 不正者の行動分析 不正者の監視 検知モデルの更新 不正者の行動パターンはすぐに変化するため、監視・分析・モデル 更新を行う運用フローを構築している。
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 0 5000 10000 15000 20000 25000 30000 35000 システムリリース パスワードリセット件数(日単位) システムリリース以降、 件数が大幅に増加している
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 • Splunkを利用するメリット • WebUIでほとんどの操作が可能。 • 攻撃者は常に行動が変わるため、素早い対応が必要になる。 SplunkではWebUIでほとんどの操作ができるため早急かつ低リソースで対応が可能。 • 攻撃者の行動分析が容易にできる。 • Splunkはログ分析基盤であるため、アプリケーションログを取り込んでおけば容易に 攻撃者の行動分析ができる。またダッシュボード機能を利用することで可視化も簡単にできる。 • システム構築が比較的容易。
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 • Splunkを利用する際の注意事項 • ライセンス料に注意が必要。 • Splunkライセンス体系は一日に転送するログの量で決まります。 そのため転送するログは選定する必要があります。 • サーバスペックがそれなりに必要。 • Splunkではサーバーリソース(特にメモリー)をかなり使うため、 大規模なログを分析する場合はサーバのコストがかかります。
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 最後に • セキュリテイ機能の紹介 • ワンタイムパスワード。 • 海外アクセスブロック。 • セキュリティセンターによるリテラシーの向上。。 • パスワードレスのYahoo! JAPAN ID推進。
Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.

Recommended

ドキュメントを作りたくなってしまう魔法のツール「Sphinx」
ドキュメントを作りたくなってしまう魔法のツール「Sphinx」ドキュメントを作りたくなってしまう魔法のツール「Sphinx」
ドキュメントを作りたくなってしまう魔法のツール「Sphinx」
Yoshiki Shibukawa
 
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
 
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
 
Apache Kafkaによるログ転送とパフォーマンスチューニング - Bonfire Backend #2 -
Apache Kafkaによるログ転送とパフォーマンスチューニング - Bonfire Backend #2 -Apache Kafkaによるログ転送とパフォーマンスチューニング - Bonfire Backend #2 -
Apache Kafkaによるログ転送とパフォーマンスチューニング - Bonfire Backend #2 -
Yahoo!デベロッパーネットワーク
 
Tackling Complexity
Tackling ComplexityTackling Complexity
Tackling Complexity
Yoshitaka Kawashima
 
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチマイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
 
ホットペッパービューティーにおけるモバイルアプリ向けAPIのBFF/Backend分割
ホットペッパービューティーにおけるモバイルアプリ向けAPIのBFF/Backend分割ホットペッパービューティーにおけるモバイルアプリ向けAPIのBFF/Backend分割
ホットペッパービューティーにおけるモバイルアプリ向けAPIのBFF/Backend分割
Recruit Lifestyle Co., Ltd.
 
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design PatternAWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
 

Recommended

ドキュメントを作りたくなってしまう魔法のツール「Sphinx」
ドキュメントを作りたくなってしまう魔法のツール「Sphinx」ドキュメントを作りたくなってしまう魔法のツール「Sphinx」
ドキュメントを作りたくなってしまう魔法のツール「Sphinx」
Yoshiki Shibukawa
 
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
 
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
 
Apache Kafkaによるログ転送とパフォーマンスチューニング - Bonfire Backend #2 -
Apache Kafkaによるログ転送とパフォーマンスチューニング - Bonfire Backend #2 -Apache Kafkaによるログ転送とパフォーマンスチューニング - Bonfire Backend #2 -
Apache Kafkaによるログ転送とパフォーマンスチューニング - Bonfire Backend #2 -
Yahoo!デベロッパーネットワーク
 
Tackling Complexity
Tackling ComplexityTackling Complexity
Tackling Complexity
Yoshitaka Kawashima
 
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチマイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
 
ホットペッパービューティーにおけるモバイルアプリ向けAPIのBFF/Backend分割
ホットペッパービューティーにおけるモバイルアプリ向けAPIのBFF/Backend分割ホットペッパービューティーにおけるモバイルアプリ向けAPIのBFF/Backend分割
ホットペッパービューティーにおけるモバイルアプリ向けAPIのBFF/Backend分割
Recruit Lifestyle Co., Ltd.
 
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design PatternAWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
Amazon Web Services Japan
 
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3 データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
Hiroshi Ito
 
強いて言えば「集約どう実装するのかな、を考える」な話
強いて言えば「集約どう実装するのかな、を考える」な話強いて言えば「集約どう実装するのかな、を考える」な話
強いて言えば「集約どう実装するのかな、を考える」な話
Yoshitaka Kawashima
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
Kohei Tokunaga
 
初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!
Tetsutaro Watanabe
 
SQL上級者こそ知って欲しい、なぜO/Rマッパーが重要か?
SQL上級者こそ知って欲しい、なぜO/Rマッパーが重要か?SQL上級者こそ知って欲しい、なぜO/Rマッパーが重要か?
SQL上級者こそ知って欲しい、なぜO/Rマッパーが重要か?
kwatch
 
世界一わかりやすいClean Architecture
世界一わかりやすいClean Architecture世界一わかりやすいClean Architecture
世界一わかりやすいClean Architecture
Atsushi Nakamura
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
Hitachi, Ltd. OSS Solution Center.
 
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイントVPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
Takuya Takaseki
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
mosa siru
 
大規模なリアルタイム監視の導入と展開
大規模なリアルタイム監視の導入と展開大規模なリアルタイム監視の導入と展開
大規模なリアルタイム監視の導入と展開
Rakuten Group, Inc.
 
イミュータブルデータモデルの極意
イミュータブルデータモデルの極意イミュータブルデータモデルの極意
イミュータブルデータモデルの極意
Yoshitaka Kawashima
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
Hitachi, Ltd. OSS Solution Center.
 
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Daisuke Miyamoto
 
【CNDT2022】SIerで実践!クラウドネイティブを普及させる取り組み
【CNDT2022】SIerで実践!クラウドネイティブを普及させる取り組み【CNDT2022】SIerで実践!クラウドネイティブを普及させる取り組み
【CNDT2022】SIerで実践!クラウドネイティブを普及させる取り組み
Yuta Shimada
 
分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方
Recruit Lifestyle Co., Ltd.
 
イミュータブルデータモデル(入門編)
イミュータブルデータモデル(入門編)イミュータブルデータモデル(入門編)
イミュータブルデータモデル(入門編)
Yoshitaka Kawashima
 
がっつりMongoDB事例紹介
がっつりMongoDB事例紹介がっつりMongoDB事例紹介
がっつりMongoDB事例紹介
Tetsutaro Watanabe
 
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajpAt least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
Yahoo!デベロッパーネットワーク
 
JPAのキャッシュを使ったアプリケーション高速化手法
JPAのキャッシュを使ったアプリケーション高速化手法JPAのキャッシュを使ったアプリケーション高速化手法
JPAのキャッシュを使ったアプリケーション高速化手法
Chihiro Ito
 
AWSではじめるMLOps
AWSではじめるMLOpsAWSではじめるMLOps
AWSではじめるMLOps
MariOhbuchi
 
2018夏インターン MEETUP
2018夏インターン MEETUP2018夏インターン MEETUP
2018夏インターン MEETUP
Yahoo!デベロッパーネットワーク
 
ヤフーでHardeningを実施する意味 (#sec_kansai #sosaisec)
ヤフーでHardeningを実施する意味 (#sec_kansai #sosaisec)ヤフーでHardeningを実施する意味 (#sec_kansai #sosaisec)
ヤフーでHardeningを実施する意味 (#sec_kansai #sosaisec)
Yahoo!デベロッパーネットワーク
 

More Related Content

What's hot

コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
Kohei Tokunaga
 
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Daisuke Miyamoto
 

What's hot (20)

データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3 データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
 
強いて言えば「集約どう実装するのかな、を考える」な話
強いて言えば「集約どう実装するのかな、を考える」な話強いて言えば「集約どう実装するのかな、を考える」な話
強いて言えば「集約どう実装するのかな、を考える」な話
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
 
初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!
 
SQL上級者こそ知って欲しい、なぜO/Rマッパーが重要か?
SQL上級者こそ知って欲しい、なぜO/Rマッパーが重要か?SQL上級者こそ知って欲しい、なぜO/Rマッパーが重要か?
SQL上級者こそ知って欲しい、なぜO/Rマッパーが重要か?
 
世界一わかりやすいClean Architecture
世界一わかりやすいClean Architecture世界一わかりやすいClean Architecture
世界一わかりやすいClean Architecture
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
 
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイントVPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
VPCのアウトバウンド通信を制御するためにおさえておきたい設計ポイント
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
 
大規模なリアルタイム監視の導入と展開
大規模なリアルタイム監視の導入と展開大規模なリアルタイム監視の導入と展開
大規模なリアルタイム監視の導入と展開
 
イミュータブルデータモデルの極意
イミュータブルデータモデルの極意イミュータブルデータモデルの極意
イミュータブルデータモデルの極意
 
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開するKeycloakでFAPIに対応した高セキュリティなAPIを公開する
KeycloakでFAPIに対応した高セキュリティなAPIを公開する
 
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用
 
【CNDT2022】SIerで実践!クラウドネイティブを普及させる取り組み
【CNDT2022】SIerで実践!クラウドネイティブを普及させる取り組み【CNDT2022】SIerで実践!クラウドネイティブを普及させる取り組み
【CNDT2022】SIerで実践!クラウドネイティブを普及させる取り組み
 
分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方
 
イミュータブルデータモデル(入門編)
イミュータブルデータモデル(入門編)イミュータブルデータモデル(入門編)
イミュータブルデータモデル(入門編)
 
がっつりMongoDB事例紹介
がっつりMongoDB事例紹介がっつりMongoDB事例紹介
がっつりMongoDB事例紹介
 
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajpAt least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
 
JPAのキャッシュを使ったアプリケーション高速化手法
JPAのキャッシュを使ったアプリケーション高速化手法JPAのキャッシュを使ったアプリケーション高速化手法
JPAのキャッシュを使ったアプリケーション高速化手法
 
AWSではじめるMLOps
AWSではじめるMLOpsAWSではじめるMLOps
AWSではじめるMLOps
 

Similar to YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知

Similar to YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知 (20)

2018夏インターン MEETUP
2018夏インターン MEETUP2018夏インターン MEETUP
2018夏インターン MEETUP
 
ヤフーでHardeningを実施する意味 (#sec_kansai #sosaisec)
ヤフーでHardeningを実施する意味 (#sec_kansai #sosaisec)ヤフーでHardeningを実施する意味 (#sec_kansai #sosaisec)
ヤフーでHardeningを実施する意味 (#sec_kansai #sosaisec)
 
Go + Pulsar WebSocket APIの利用事例 #pulsarjp
Go + Pulsar WebSocket APIの利用事例 #pulsarjpGo + Pulsar WebSocket APIの利用事例 #pulsarjp
Go + Pulsar WebSocket APIの利用事例 #pulsarjp
 
ヤフーのプライベートクラウドとクラウドエンジニアの業務について
ヤフーのプライベートクラウドとクラウドエンジニアの業務についてヤフーのプライベートクラウドとクラウドエンジニアの業務について
ヤフーのプライベートクラウドとクラウドエンジニアの業務について
 
Yahoo! JAPANの不正投稿対策 #yjmu
Yahoo! JAPANの不正投稿対策 #yjmu Yahoo! JAPANの不正投稿対策 #yjmu
Yahoo! JAPANの不正投稿対策 #yjmu
 
現場のインフラエンジニアから見たヤフー #ヤフー名古屋
現場のインフラエンジニアから見たヤフー #ヤフー名古屋現場のインフラエンジニアから見たヤフー #ヤフー名古屋
現場のインフラエンジニアから見たヤフー #ヤフー名古屋
 
全社デザインシステムとサービスの付き合い方
全社デザインシステムとサービスの付き合い方 全社デザインシステムとサービスの付き合い方
全社デザインシステムとサービスの付き合い方
 
Yahoo! JAPANが考えるテクノロジーとITエンジニアの未来 #devsumi
Yahoo! JAPANが考えるテクノロジーとITエンジニアの未来 #devsumiYahoo! JAPANが考えるテクノロジーとITエンジニアの未来 #devsumi
Yahoo! JAPANが考えるテクノロジーとITエンジニアの未来 #devsumi
 
AI for Media 2018 Update セミナー: 株式会社ユニゾンシステム: スピーチ AI を活用した文字起こしプラットホームの活用
AI for Media 2018 Update セミナー: 株式会社ユニゾンシステム: スピーチ AI を活用した文字起こしプラットホームの活用AI for Media 2018 Update セミナー: 株式会社ユニゾンシステム: スピーチ AI を活用した文字起こしプラットホームの活用
AI for Media 2018 Update セミナー: 株式会社ユニゾンシステム: スピーチ AI を活用した文字起こしプラットホームの活用
 
経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティ経営者・マネージャーが知るべき情報セキュリティ
経営者・マネージャーが知るべき情報セキュリティ
 
SoftLayer上でやってみた 高速ファイル転送(Aspera)
SoftLayer上でやってみた 高速ファイル転送(Aspera)SoftLayer上でやってみた 高速ファイル転送(Aspera)
SoftLayer上でやってみた 高速ファイル転送(Aspera)
 
ログについて改めて考えてみた
ログについて改めて考えてみたログについて改めて考えてみた
ログについて改めて考えてみた
 
Spring securityでハードウェアトークン認証
Spring securityでハードウェアトークン認証Spring securityでハードウェアトークン認証
Spring securityでハードウェアトークン認証
 
Webdb2011 hadoop
Webdb2011 hadoopWebdb2011 hadoop
Webdb2011 hadoop
 
Yahoo!ショッピングの サービス開発
Yahoo!ショッピングの サービス開発Yahoo!ショッピングの サービス開発
Yahoo!ショッピングの サービス開発
 
YJTC18 A-1 大規模サーバの戦略
YJTC18 A-1 大規模サーバの戦略YJTC18 A-1 大規模サーバの戦略
YJTC18 A-1 大規模サーバの戦略
 
Pepperのアプリ開発について - ABC2015 Summer -
Pepperのアプリ開発について - ABC2015 Summer -Pepperのアプリ開発について - ABC2015 Summer -
Pepperのアプリ開発について - ABC2015 Summer -
 
Bonfire API #1 生体認証のAPI化
Bonfire API #1 生体認証のAPI化Bonfire API #1 生体認証のAPI化
Bonfire API #1 生体認証のAPI化
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
 
180731 JAWS UG京都 KYOSO part
180731 JAWS UG京都 KYOSO part180731 JAWS UG京都 KYOSO part
180731 JAWS UG京都 KYOSO part
 

More from Yahoo!デベロッパーネットワーク

ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtcヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
Yahoo!デベロッパーネットワーク
 
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtcYahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo!デベロッパーネットワーク
 
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtcヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
Yahoo!デベロッパーネットワーク
 
モブデザインによる多職種チームのコミュニケーション改善 #yjtc
モブデザインによる多職種チームのコミュニケーション改善 #yjtcモブデザインによる多職種チームのコミュニケーション改善 #yjtc
モブデザインによる多職種チームのコミュニケーション改善 #yjtc
Yahoo!デベロッパーネットワーク
 
「新しいおうち探し」のためのAIアシスト検索 #yjtc
「新しいおうち探し」のためのAIアシスト検索 #yjtc「新しいおうち探し」のためのAIアシスト検索 #yjtc
「新しいおうち探し」のためのAIアシスト検索 #yjtc
Yahoo!デベロッパーネットワーク
 

More from Yahoo!デベロッパーネットワーク (20)

ゼロから始める転移学習
ゼロから始める転移学習ゼロから始める転移学習
ゼロから始める転移学習
 
継続的なモデルモニタリングを実現するKubernetes Operator
継続的なモデルモニタリングを実現するKubernetes Operator継続的なモデルモニタリングを実現するKubernetes Operator
継続的なモデルモニタリングを実現するKubernetes Operator
 
ヤフーでは開発迅速性と品質のバランスをどう取ってるか
ヤフーでは開発迅速性と品質のバランスをどう取ってるかヤフーでは開発迅速性と品質のバランスをどう取ってるか
ヤフーでは開発迅速性と品質のバランスをどう取ってるか
 
オンプレML基盤on Kubernetes パネルディスカッション
オンプレML基盤on Kubernetes パネルディスカッションオンプレML基盤on Kubernetes パネルディスカッション
オンプレML基盤on Kubernetes パネルディスカッション
 
LakeTahoe
LakeTahoeLakeTahoe
LakeTahoe
 
オンプレML基盤on Kubernetes 〜Yahoo! JAPAN AIPF〜
オンプレML基盤on Kubernetes 〜Yahoo! JAPAN AIPF〜オンプレML基盤on Kubernetes 〜Yahoo! JAPAN AIPF〜
オンプレML基盤on Kubernetes 〜Yahoo! JAPAN AIPF〜
 
Persistent-memory-native Database High-availability Feature
Persistent-memory-native Database High-availability FeaturePersistent-memory-native Database High-availability Feature
Persistent-memory-native Database High-availability Feature
 
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
データの価値を最大化させるためのデザイン~データビジュアライゼーションの方法~ #devsumi 17-E-2
 
eコマースと実店舗の相互利益を目指したデザイン #yjtc
eコマースと実店舗の相互利益を目指したデザイン #yjtceコマースと実店舗の相互利益を目指したデザイン #yjtc
eコマースと実店舗の相互利益を目指したデザイン #yjtc
 
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtcヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
ヤフーを支えるセキュリティ ~サイバー攻撃を防ぐエンジニアの仕事とは~ #yjtc
 
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtcYahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
 
ビッグデータから人々のムードを捉える #yjtc
ビッグデータから人々のムードを捉える #yjtcビッグデータから人々のムードを捉える #yjtc
ビッグデータから人々のムードを捉える #yjtc
 
サイエンス領域におけるMLOpsの取り組み #yjtc
サイエンス領域におけるMLOpsの取り組み #yjtcサイエンス領域におけるMLOpsの取り組み #yjtc
サイエンス領域におけるMLOpsの取り組み #yjtc
 
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtcヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
ヤフーのAIプラットフォーム紹介 ~AIテックカンパニーを支えるデータ基盤~ #yjtc
 
Yahoo! JAPAN Tech Conference 2022 Day2 Keynote #yjtc
Yahoo! JAPAN Tech Conference 2022 Day2 Keynote #yjtcYahoo! JAPAN Tech Conference 2022 Day2 Keynote #yjtc
Yahoo! JAPAN Tech Conference 2022 Day2 Keynote #yjtc
 
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
新技術を使った次世代の商品の見せ方 ~ヤフオク!のマルチビュー機能~ #yjtc
 
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtcPC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
PC版Yahoo!メールリニューアル ~サービスのUI/UX統合と改善プロセス~ #yjtc
 
モブデザインによる多職種チームのコミュニケーション改善 #yjtc
モブデザインによる多職種チームのコミュニケーション改善 #yjtcモブデザインによる多職種チームのコミュニケーション改善 #yjtc
モブデザインによる多職種チームのコミュニケーション改善 #yjtc
 
「新しいおうち探し」のためのAIアシスト検索 #yjtc
「新しいおうち探し」のためのAIアシスト検索 #yjtc「新しいおうち探し」のためのAIアシスト検索 #yjtc
「新しいおうち探し」のためのAIアシスト検索 #yjtc
 
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtcユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
ユーザーの地域を考慮した検索入力補助機能の改善の試み #yjtc
 

Recently uploaded

Recently uploaded (12)

Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
 

YJTC18 D-5 日本のインターネットを守る!Yahoo! JAPANの不正利用対策 - Splunkによる不正ログイン検知

  • 2. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 自己紹介 ■2005年~ 日立系の会社で官公庁向けのシス テム開発に従事。 ■2009年~ ヤフー株式会社へ入社。ヤフオク!や Yahoo!ショッピングの開発・運用に従 事。 ■2016年~ CISO室にて不正利用対策 近藤 彬 (こんどう あきら)
  • 3. ヤフーの不正利用とは Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
  • 4. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ヤフーの不正利用とは • ネットワーク • ポートスキャン など • サーバOS/Webサーバソフト • Dos/DDos攻撃 • 脆弱性攻撃 など • アプリケーション • SQLインジェクション • XSS など
  • 5. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ヤフーの不正利用とは ヤフーのサービスを利用しての不正行為になります
  • 6. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ヤフーのサービスを利用した不正利用 • クレジットカード盗用 • 銀行口座盗用 • 詐欺 • 偽ブランド販売 • いたずら注文 • ガイドライン違反 ■コマース系サービス • メールスパム • 広告スパム • コメントスパム ■スパム行為 • 複アカの大量取得 • ID乗っ取り ■ Yahoo! JAPAN ID関連
  • 7. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ヤフーのサービスを利用した不正利用 Webサービスは各社でさまざまであり、既製のセキュリティ製品は少 ない。そのため独自で対策をしなければならない。 ヤフーでは機械+人での対策を行っている。
  • 8. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ヤフーのサービスを利用した不正利用 ここ数年、Yahoo! JAPAN IDの乗っ取り(リスト攻撃)が急増しており、 対策が急務であった。
  • 10. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ID乗っ取り(リスト攻撃について) パスワードリスト型攻撃とは、不正アクセス(不正ログイン)を試みる 手法の一種で、あらかじめ用意したアカウント情報(IDとパスワードの 組み合わせ)一覧をもとにログインを試みる手法である。
  • 11. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ID乗っ取り(リスト攻撃について) アカウントリスト 何かしらの手段でリストを作成or入手 ・フィッシングサイト ・マルウェア ・他社からの流出 ・ダークウェブ など ログインサーバ アカウントリストの精査 各サービス 不正利用 ポイントの盗用 スパムメール送信 など
  • 12. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ID乗っ取り(リスト攻撃について) 攻撃者は身元を偽装するため 日本に設置した中継サーバを 経由してアクセスしてきている。 出典:産経ニュース
  • 13. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ID乗っ取り(リスト攻撃について) ログインサーバ アカウントリストの精査 各サービス 不正利用 海外IP 日本IP スクリプト 人手 中継サーバ
  • 14. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. ID乗っ取り(リスト攻撃について) 現行の機械+人力での検知では限界があるため、Splunkを利用した 検知システムを構築した。
  • 15. Splunkについて Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
  • 16. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkとは • ログの統合分析基盤。 • 検索/分析・可視化/レポーティングなど の機能を備える。 • さまざまなログフォーマットに対応。 • ITセキュリティ/ITオペレーション/ビジネ ス分析などさまざまな分野で利用ができ る。 ※詳細はSplunk社のHPを参照してください。
  • 17. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkとは クエリ例) index="*" ip="*" | stats count by ip
  • 18. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkとは
  • 19. Splunkを使った不正ログイン検知 Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.
  • 20. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 indexer login log suspend server search head web hookforwarder ログから不正ログインを抽出し、 措置サーバへ連携 ログインログをSplunkへ転送 不正ログイン被害者の パスワードをリセット 不正検知のロジックは 全てSplunkの機能で実装。
  • 21. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 膨大な正常系とログから真の脅威と推定されるアクセスを掘り当てる 必要がある。 ログの大半はノイズ 脅威は全体のごく一部
  • 22. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 RAW DATA BASE QUERY SUMMARY DATA PROFILING QUERY ACCOUNT- HIJACK DATA ① 統計データの作成 スコアリング評価に必要な統計データを作成 ② スコアリング スコアリングロジックに基づき、アクセスを評価
  • 23. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 不正者の行動分析 不正者の監視 検知モデルの更新 不正者の行動パターンはすぐに変化するため、監視・分析・モデル 更新を行う運用フローを構築している。
  • 24. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 0 5000 10000 15000 20000 25000 30000 35000 システムリリース パスワードリセット件数(日単位) システムリリース以降、 件数が大幅に増加している
  • 25. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 • Splunkを利用するメリット • WebUIでほとんどの操作が可能。 • 攻撃者は常に行動が変わるため、素早い対応が必要になる。 SplunkではWebUIでほとんどの操作ができるため早急かつ低リソースで対応が可能。 • 攻撃者の行動分析が容易にできる。 • Splunkはログ分析基盤であるため、アプリケーションログを取り込んでおけば容易に 攻撃者の行動分析ができる。またダッシュボード機能を利用することで可視化も簡単にできる。 • システム構築が比較的容易。
  • 26. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. Splunkを使った不正ログイン検知 • Splunkを利用する際の注意事項 • ライセンス料に注意が必要。 • Splunkライセンス体系は一日に転送するログの量で決まります。 そのため転送するログは選定する必要があります。 • サーバスペックがそれなりに必要。 • Splunkではサーバーリソース(特にメモリー)をかなり使うため、 大規模なログを分析する場合はサーバのコストがかかります。
  • 27. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved. 最後に • セキュリテイ機能の紹介 • ワンタイムパスワード。 • 海外アクセスブロック。 • セキュリティセンターによるリテラシーの向上。。 • パスワードレスのYahoo! JAPAN ID推進。
  • 28. Copyright 2018 Yahoo Japan Corporation. All Rights Reserved.

Editor's Notes

  1. 皆様こんにちは。当セッションを開始させていただきたいと思います。 本日は当セッションにご参加頂き、まことにありがとうございます。 私ヤフー株式会社・CISO室の近藤彬と申します。 宜しくお願い致します。 ちょっと長いタイトルとなっておりますが、「日本のインターネットを守る!Yahoo! JAPANの不正利用対策-Splunkによる不正ログイン検知」と こちら内容でお話をさせて頂ければと思います。
  2. まず簡単に自己紹介をさせて頂きますと、 私は2009年にヤフーに中途入社しまして、はじめは普通の開発エンジニアとしてヤフオクやヤフーショッピングの開発・運用を行っておりました。 現在はCISO室という社内のセキュリティを統括する部門で、今回のタイトルにもあります不正利用対策を担当しております。
  3. ではこれから本題に入らせていただきます。 まず「ヤフーの不正利用とは」の説明からさせて頂きたいと思います。 今回の不正利用という、ちょっとわかりづらい表現にしてしまって大変恐縮なんですが、 皆様不正利用と聞いて、どういったものをイメージされたでしょうか。
  4. このスライドではWebサービス運営のセキュリティでよく語られる、Dos攻撃であったりクロスサイトスクリプティングを記載しております。 当然弊社におきましても、こういった攻撃は日々大量に発生しており当然対策をしております。 ただ今回のセッションでの不正利用はこういったものとはちょっと外れまして、
  5. ヤフーのサービスを利用しての不正行為になります。 弊社では多くのサービスを展開しており、多くのユーザーに利用して頂いておりますが、 よからぬことを企むユーザーも非常に多くおります。 不正者自体も多種多様で、こづかい稼ぎで小規模に不正を行うユーザーがいたり、組織的にユーザーもおります。 年々手口は高度化されてきておりまして、日々対応に追われているような状況になります。
  6. こちらは主な不正利用をざっくり並べたものになります。 まずわかりやすいのが、コマース系のサービスの不正利用になります。 弊社ではヤフオク・Y!ショッピング・Y!ウォレットなどのサービスを展開しております。 一番多いのが盗んだクレジットカードを使って購入するものになります。 次にスパムになります。 スパムで一番イメージしやすいものはメールかと思います。弊社ではY!メールを運営しておりますのでこちらもかなり昔からずっと存在しております。 また不正な広告をであったり、 最後のコメントスパムはY!ニュースやY!知恵袋などのユーザーがフリーテキストで入力できるところで発生してするもので 昔は単純に他のサイトのURLを張って誘導したりしてましたが、最近ではあたかもユーザーへ、わかりづらくなってきています。 最後にY!japanID関連ですが、まず複アカの大量取得ですがこちらは弊社では複アカ自体は規約上NGにはしていないのですが あまりにも大量に取得(数千~数万)規模で取得して大量にキャンペーンを応募したり、購入数の制限(お一人様1個まで)をしている商品を転売目的で大量に購入したりします。 一番最後のID乗っ取りですがこちらは今回の本題になりますので、このあと詳細の説明をさせて頂きます。 これらの手口は多種多様ではありますが、最終的には目的はほとんどが金銭目的になります。 ただ少し前にニュースにもありましたが、アイドルのプライベートを見たいがためにヤフーIDを乗っ取ってメールを盗み見て逮捕される、金銭目的以外のものも少なからず存在します。s
  7. Webサービスは各社でさまざまであり、既製のセキュリティ製品は少ない。そのため独自で対策をしなければならない。 一番初めのスライドにありましたDos攻撃のようなもののセキュリティ製品は多くありますが、不正利用に対するセキュリティ製品はゼロではないですが多くなく、 運営しているサービスにうまくマッチしないなどがあります。そのため独自で対応しているケースが多いです。 ヤフーでは機械+人での対策を行っている。
  8. ここ数年、Yahoo! JAPAN IDの乗っ取り(リスト攻撃)が急増しており、対策が急務であった。 先ほどの説明どおり機械+人手による対策はしていたのですが、年々規模の増加・手口が高度化してきていて対応が難しくなっていていました。 弊社はデイリーユニークブラウザー数(DUB)が約9000万、月間アクティブユーザーID数が約4,000万おりまして、 日本の多くのユーザーに利用して頂いているYahoo! JAPAN IDが危険にさらされており、対策が課題となっておりました。
  9. 続いてはID乗っ取り(リスト攻撃)がどういったものかの説明になります。
  10. こちらはリスト攻撃の流れになります。 まず不正者はどこかしらからアカウントのリストを作成ないし入手をします。 フィッシングサイトであったりマルウェア・他社からの流出で、最近ではダークウェブでアカウントのリストは販売しており簡単に入手できる状況にあります。 不正者はアカウントリストを入手後まずリストの精査を行います。Y!のログインにアクセスを行い、ID/PWが正しいかのチェックを行います。 その後一致したものに関しては、Y!のサービスにアクセスし実際の不正利用(ポイントを盗用し物を買ったり、スパムメールの送信など)を行います。 ざっくりとした流れはこんな感じになります。
  11. リスト攻撃の手口は年々高度化してきている。こちらは一例になるのですが、最近こういったニュースを見たことはありますでしょうか? 「ニュースタイトル」といったタイトルのニュースですが 日本国内に不正をするための中継サーバを運営する業者が非常に多く存在します。 この中継サーバを経由してアクセスするケースがヤフーにおいても非常に多くなってきました。 またこういった例のほかに最近ではクラウドやVPSのサーバを借りて、そちらを中継サーバーにしてアクセスしてきております。 ちなみにこちらのニュースにもありますが、ID乗っ取りに関わらずサービスを利用した不正者中華系のユーザーが大半になります。
  12. 次にこちらは実際にあった事例になります。 先ほどの話の通りリストの不正者はリストの精査を行った後に不正利用の流れになりますが、 リストの精査はスクリプトを使用してきていてIPアドレスも海外(中国)IPをしているのですが、 実際の不正利用の際は非常に気を使ってといいますか、見つかりづらいようにアクセスを行ってきておりました。 実際に不正者に会った分けではないので推測ではあるのですが、アクセスの間隔からみておそらく人手かつさらに中継サーバを利用して日本のIPに変えてアクセスを行っております。 この一例になるのですが、こういったようなさまざまな攻撃パターンが年々増えてきている状況になります。
  13. こちらはSplunkのWebUIの画面になりますが、Splunkはほとんどの操作をWebUIで行います。 こちらはログを検索する画面ですが、SplunkではSPLと呼ばれるクエリを使用しましてログの検索を行います。 SPLはSQLをイメージしていただくと分かりやすいのですが、SQLよりさらに高度なことが可能です。
  14. 次にこちらがダッシュボードと呼ばれる画面なんですが、データの可視化も簡単に行うことができます。 Splunkの説明が短くて申し訳ないのですが、興味のある方はSplunkのHPで詳細をご覧ください。
  15. 次にヤフーで構築しましたSplunkを使った不正ログイン検知に説明になります。
  16. まずシステム構成になります。構成は非常にシンプルになっております。 今回Splunkにログインのログを取り込み検知の仕組みを構築しました。 まずログインのログをSplunkに転送しております。その後Splunkでは転送されたログから不正のログインデータを抽出し、 Splunkにはweb hookと呼ばれるデータを別のサーバへ連携する機能がありますのでそれを使用しサスペンドサーバと呼ばれるサーバへデータの連携を行っております。 ヤフーでは乗っ取りが行われたユーザーに対して、パスワードのリセットをする措置を行っております。 サスペンドサーバではSplunkから連携されたデータを元にパスワードリセットの処理を行っております。 ちなみにSplunkにサーチヘッドとインデクサーと呼ばれるサーバが記載されておりますが、 Splunkはデータ溜めるところをインデクサー、データを検索するサーバをサーチヘッドと呼ばれるサーバで構成されております。 サーバー構成に関してはこんな感じになっております。
  17. 続いて実際の不正アクセスの検知の仕組みになります。 ヤフーには多くのユーザーに使っていただいておりまして、大半は一般のユーザーのログで不正アクセスに関しては全体のごく一部であるためこちらを見つけ出す必要があります。
  18. こちらが実際の処理の流れになります。 ざっくり言うとスコアリングモデルで実装しております。 流れとしては、生ログから統計情報を抽出し、その後統計情報からスコアリングをし、スコアが上位のものを不正アクセスと判断しております。 スコアリングに関しては、アクセス頻度・アクセス間隔・IPの国・怪しいドメインなどさまざまな情報を元にスコアリングしております。 こちらの仕組みは全てSplunk上で実装しております。先ほどありましたSPLと呼ばれるクエリのみ構成されております。
  19. 今回作ったスコアリングモデルですが、不正者の攻撃パターンは常に変わってくるのでモデルの更新が非常に大事になっております。 弊社では不正者の監視⇒不正者の行動分析⇒検知モデルの更新を行うフローの運用を行って対応をしております。 また現在はスコアリングモデルで運用しておりますが、またSplunkはAppsと呼ばれるプラグインみたいなものがありまして、機械学習ができるプラグインがあり 将来的に機械学習のモデルも視野にいれて検証を行っております。
  20. こちらが効果を示したグラフになっております。こちらは日次でのパスワードリセット数の件数のグラフなんですが、 実際の件数は出せなくてもし分けないのですが、システムリリース以降大幅にリセット件数が増えております。
  21. 今回はSplunkを使ってシステムを構築したのですが、Splunk使うメリットを並べております。
  22. これまでは、検知する話でしたがヤフーでは乗っ取りの対策として他にもこちらのような対策をしております。 ワンタイムパスワードや海外アクセスブロックであったり、セキュリティセンターというサイトで注意喚起といいますがユーザーのリテラシーの向上も進めております。 またそもそもID乗っ取りはパスワードによるものですのでパスワード無しでの認証機能の提供も進めており、抜本対策もおります。 本セッションの話は以上になりますが、今回ID乗っ取りにフォーカスして話をさせて頂きましたが、Webサービスを運営していく上で不正利用対策は必須になりますので 今後のご参考にして頂ければと思います。 本セッションは以上になります、ご清聴ありがとうございました。