合同会社DMM.com:reCAPTCHA Enterprise の高精度なスコアシステムで、不正アクセス検知率を約 50% 向上
Google Cloud Japan Team
領域を問わず、多いときには 1 か月に 5~6 件の新しいサービスが立ち上がる総合エンタメサイト DMM.com。同サイトを運営する合同会社DMM.com(以下、DMM.com)では、DMM.com のトップ画面から利用できる会員向けサービスの不正アクセス対策に、reCAPTCHA Enterprise を採用しています。採用の背景や導入効果、今後の展望などについて、不正対策グループ グループリーダーに話を伺いました。
利用している Google Cloud ソリューション:
利用している Google Cloud サービス:
reCAPTCHA Enterprise、App Engine、Compute Engine、BigQuery、Datastore、Cloud Functions
巧妙化する不正アクセス対策とそれに伴う人的リソースの負荷軽減が課題
「DMM.com に限ったことではありませんが、サイトへの不正アクセスは年々巧妙化しています。不正アクセスには、機械的に不正ログインを試行する bot や、クレジットカードの不正利用など、いくつかのパターンがあります。中でも、bot に関しては、対策しても新たな方法で不正アクセスが繰り返されるという “いたちごっこ” の状況でした。」
こう話すのは、プラットフォーム事業本部 不正対策グループ グループリーダーの寺西さんです。DMM.com では、基本的なセキュリティ監視は別の監視部門が行い、不正対策に関しては、監視部門と連携して不正対策グループが行っています。「主に認証や決済などの重要機能に対し、その機能を悪用する行為を防止するシステムの開発・保守を担当しています。開発者 5 名で構成されるグループですが、不正対策の専門グループがある会社はめずらしいかもしれません。」(寺西さん)
不正アクセスの防止では、基本的に接続元の IP アドレスにひもづく情報や、その IP アドレスにおけるログインの成功回数、失敗回数などを監視しています。寺西さんは、「利用している不正対策の仕組みは、ほとんどが内製化されたものですが、大きく 2 つの課題がありました。1 つは不正アクセスの方法が巧妙化していることへの対応。もう 1 つは 5 名という限られた人的リソースの負荷軽減です」と話します。
この 2 つの課題を解決するために採用されたのが reCAPTCHA Enterprise でした。採用の理由を寺西さんは、次のように話します。「IP アドレスや HTTP ヘッダの情報、ログインの成功、失敗だけでは足りない情報がありました。reCAPTCHA Enterprise のようなグローバルでの実績があるテクノロジーを活用することで、より効率的に bot を検出することができます。また不正対策によって不正アクセスがさらに巧妙化することの繰り返しにかかる人的負荷の軽減も期待できます。」
ユーザビリティが高くコスト効率の良い reCAPTCHA を採用
現在、DMM.com では、いくつかのログインサイトで reCAPTCHA Enterprise を利用していますが、まずは 2018 年 10 月に、無償版の reCAPTCHA を DMM.com の海外向けサービスに導入しています。「不正対策の導入を検討した当時、昔ながらの読みにくい文字を入力するもの、パズルのパーツやアバターを配置するものなど、いくつかの選択肢の中で、もっともユーザビリティが高かったのが reCAPTCHA でした。無償版で、ここまでできるのはすごいと思いました。」(寺西さん)
その後、2020 年 4 月に、1 日あたり 150 万回のアクセスがある国内向けサービスの会員サイトに reCAPTCHA Enterprise の導入を決定。4 月に導入を開始し、不正対策グループから 1 名、別のグループから 2 名が参加し約 2 週間でシステムを構築。6 月下旬までトライアルを実施して本格運用を開始しています。寺西さんは、「無償版で、効率的な bot の検出や人的負荷の軽減などの効果は分かっていたので、reCAPTCHA Enterprise への移行は必然でした」と話します。
reCAPTCHA Enterprise を採用した不正対策システムは、ログイン フォームから入力された情報を、オンプレミス上の不正ログイン判定システムで判定し、オンプレミスから API を介して App Engine と Datastore で構築された不正ログイン対策システムに連携。ログイン関連のデータは、すべて BigQuery に収集されています。ログイン フォームは、他社クラウド上にあり、reCAPTCHA Enterprise と API で通信する部分は別のチームの 2 名のエンジニアが開発しています。
ログインや決済時の不正アクセスの判定で、明らかに怪しいアクセスに関してはリアルタイムに対処。グレー判定のアクセスに関しては、人の判断が必要なので、前日分のデータからグレー判定のデータを Cloud Functions で抽出し、チャットツールでチームのメンバーに通知しています。グレー判定のルールは、SQL の条件の変更や追加により定期的に強化。一方、リアルタイムの判定は、Google Cloud 上にルールベースを構築し、数百件のアクティブなルールで判定。ルールベースには、延べ 2 万件以上のルールが登録されています。
「reCAPTCHA Enterprise のスコアを使用して、bot を検出し、ブロックする仕組みは期待どおりでした。これにより、人的リソースの負荷軽減という課題も解消されています。内製システムと reCAPTCHA Enterprise という構成なので、攻撃者から見たときに、DMM.com の不正対策の仕組みを分かりにくくできたことも効果の 1 つ。“いたちごっこ” が少し有利になると思っています。」(寺西さん)
DMM.com の不正対策チームは、2017 年より活動を開始。寺西さんは、「2018 年頃までは “いたちごっこ” の繰り返しでしたが、ここで得た知見やノウハウを活用することで、2019 年からは成果が出始めています。たとえば、導入前のトライアルから reCAPTCHA Enterprise のスコアの精度は高く、内製システムに比べ、不正アクセスの検知率を約 50% 向上できました」と話します。
以前は、IP アドレスや HTTP ヘッダなどを用いてアカウントを乗っ取る行為の検出を行っていましたが、bot 判定はしていませんでした。bot 判定ができるようになったことは、reCAPTCHA Enterprise を導入した大きなメリットです。さらに、導入コスト、ランニング コストに関して寺西さんは、「スコアリングができる不正対策の中で、reCAPTCHA Enterprise は圧倒的に低コストで導入できました」と話します。
「本格導入をしてから大きな問題は減っているので効果はあったと思っています。特に利用者の反応を心配していましたが、いい意味で 1 つもフィードバックはありません。稼働状況も問題なく、安心して運用できています。」(寺西さん)
導入時の Google Cloud Japan のサポートについて寺西さんは、「reCAPTCHA Enterprise で得られる 0.0~1.0 のスコア(1)をどこまで評価するか、理由コードをどのように解釈するかなど、実際のデータを見ながらサポートしてもらえました。reCAPTCHA Enterprise に限らず、チャットツールを使って気軽に問い合わせができたので本当に助かりました」と話しています。
(1) reCAPTCHA Enterprise には、0.0 から 1.0 までの範囲のスコアを持つ 11 段階のレベルがあります。
2021 年中にはオンプレミス上のサーバーすべてを Google Cloud に移行
現在、DMM.com では、ログイン フォームからオンプレミス環境を通して、Google Cloud に連携していますが、2021 年中にはオンプレミス上のサーバーのすべてを、Google Cloud に移行する計画。最終的には、ログイン フォームから、直接 Google Cloud 上の不正ログイン対策システムに連携される構成です。
また、ログイン フォームから入力されたパスワードが漏洩されていないかを確認できるパスワードチェッカー(試験運用中)の利用も検討しています。これにより、安全ではないパスワードの場合、利用者にその旨を伝え、パスワードの変更を促すことが可能。アカウントのセキュリティ対策をより一層強化することができます。
寺西さんは、「ここ数年、全社的な不正購入による被害の金額を 50~60% 削減できています。一方、不正検出の課題である過検出の低減や発生後のケアなども含め、DMM.com では今後も不正対策をどんどん強化していく計画です。reCAPTCHA Enterprise はその一部であり、引き続き Google Cloud のサポートには期待しています」と話しています。
1999 年設立。総合エンタメサイトである DMM.com を運営し、動画配信、FX、英会話、ゲーム、太陽光発電、3D プリンタなど、時代のニーズにあったコンテンツを提供。会員数は、約 3,409 万人。DMM.comグループでは、40 種類以上の事業を、20 社以上のグループ会社で展開し、規模の大小、ジャンルを問わず投資することで、「誰もが見たくなる未来」の実現を目指しています。
インタビュイー
プラットフォーム事業本部 不正対策グループ
グループリーダー
寺西 一平 氏
合同会社DMM.com の導入事例 PDF はこちらをご覧ください。
その他の導入事例はこちらをご覧ください。