• 検索結果がありません。

エコシステムのための認証基盤と recaptcha Enterprise ピクシブ株式会社 技術開発本部インフラ部 エンジニア 小堀晋太郎

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "エコシステムのための認証基盤と recaptcha Enterprise ピクシブ株式会社 技術開発本部インフラ部 エンジニア 小堀晋太郎"

Copied!
44
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 44 ページ )

全文

(1)

ピクシブ株式会社

技術開発本部インフラ部

エンジニア

小堀晋太郎

エコシステムのための認証基盤と

reCAPTCHA Enterprise

(2)

About me

● 2018/04 中途入社 ● pixiv運営本部 エンジニア → インフラ部 エンジニア ● プロダクトセキュリティからコーポレートセキュリティまで幅広く携わる ● 脆弱性診断、脆弱性報奨金制度の運用、開発、レビュー、... ● CSIRT設立、コーポインフラ、資産管理、...

(3)

pixiv Inc.

● 「創作活動がもっと楽しくなる場所を創る」

● イラスト・小説投稿SNS「pixiv」を始めとして、創作活動を支援

する事業を展開

(4)

● イラスト・小説投稿SNS

6000万+ユーザー

(5)
(6)

Agenda

● 認証基盤におけるBot対策の必要性

pixivの認証基盤について

(7)
(8)

パスワードリスト型攻撃

● 様々なサイトから漏洩したID/パスワードのDBを利用して他のサイトにログインを試行 する攻撃

(9)

パスワードリスト型攻撃

● 漏洩パスワードリストは誰でも簡単に入手可能 ● リスト型攻撃を実施するツールも流通

(10)
(11)

パスワードリスト型攻撃

● パスワードリスト型攻撃でスクリーニングされたSpotifyの認証情報のリストが発見され た事例 (2020/11)

(12)
(13)

対策

● 多要素認証 ○ 現在の最善策 ○ ユーザに設定させる必要がある ○ 実装してもごく一部のユーザしか利用してくれない場合も ● レートリミット ○ 試行回数制限 → 単純なものでは不十分 ■ 攻撃者はVPNやbotnetで大量のIPアドレスを利用可能 ■ Low and slowな攻撃パターンも

○ ログイン試行を自動化できないようBot対策が必要

(14)
(15)
(16)

1 pixiv account

ライブ配信 マンガ購読 クリエイター支援 3Dアバター オリジナルグッズ販売 作品投稿

(17)
(18)

1 pixiv account

sketch.pixiv.net comic.pixiv.net *.pixiv.net 🍪 fanbox.cc hub.vroid.com booth.pm OAuth OAuth OAuth *.pixiv.net 🍪 accounts.pixiv.net OAuth apps

(19)

1 pixiv account

sketch.pixiv.net *.pixiv.net 🍪 fanbox.cc hub.vroid.com booth.pm OAuth OAuth OAuth *.pixiv.net 🍪 accounts.pixiv.net ① pixivでログイン ② *.pixiv.netのセッションIDを使用 comic.pixiv.net OAuth apps

(20)

1 pixiv account

sketch.pixiv.net *.pixiv.net 🍪 fanbox.cc hub.vroid.com booth.pm OAuth OAuth OAuth *.pixiv.net 🍪 accounts.pixiv.net ① pixivでログイン

② Authorizatoin code grant flow

comic.pixiv.net

OAuth

(21)

1 pixiv account

sketch.pixiv.net *.pixiv.net 🍪 fanbox.cc hub.vroid.com booth.pm OAuth OAuth OAuth *.pixiv.net 🍪 accounts.pixiv.net OAuth apps アプリもOAuth … how? comic.pixiv.net

(22)

アプリ

OAuth方式

● Before: Password grant flow

○ アプリ専用の認証API

○ アプリが直接APIにID / Passwordを送信して、bearer tokenを受け取る ● After: Authorization code grant flow

○ アプリからブラウザを呼び出してPIXIV共通ログインフォームにアクセス

○ ログイン完了後、Auth. code grant flowを実行

○ ブラウザはAuth. codeをアプリに渡して終了。アプリはAuth. codeをpixivの OAuth APIに送ってbearer tokenを受け取る

(23)

アプリ

OAuth - Before

OAuth API id=...&password=... PHPSESSID=... {"id":"...","password":...} {"access_token":...} ID / Passwordを受け付ける APIが複数存在

(24)

アプリ

OAuth - After

OAuth API id=...& password =... authorization_code =... {"authorization_code":...} {"access_token":...} ① ② id=...&password=... PHPSESSID=... ID / Passwordを受け付ける APIは1つだけ

(25)
(26)

RFC8252

● OAuth 2.0 for Native Apps

○ ネイティブアプリでOAuthする際のベストプラクティス

○ アプリからブラウザを呼び出してAuthorization code grant flowを実行する ○ アプリのカスタムURLスキーマを通じてauthorization codeを受け取る

○ PKCEを使用してauthorization codeを保護する ● Google系アプリ、GitHubアプリなどもこのパターン

(27)

変更前の方式の問題

● 認証エンドポイントが複数存在することになる ○ 実装の相違、メンテナンスコストが2倍、機能追加が困難 ● ネイティブアプリはBot対策がしづらい ○ ID / パスワードを受け付けるAPIにはbot対策が必要 ○ WAF型 ■ 振る舞い検知型の高精度な検知ができない ■ 典型的にはIPアドレス、アクセス頻度のみで判断 ○ SDK組み込み型 ■ 導入、展開が難しい場合がある ■ PC版のログインエンドポイントと同じソリューションが使えない可能性

(28)

変更後の方式のメリット

● RFCに準拠 ○ 標準に従うことで将来的な拡張性、メンテナビリティ向上 ● 認証エンドポイントがウェブに統一される ○ 認証ロジックを複数実装する必要がない ○ コードが1箇所なので機能追加が容易

■ 例: Sign in with Apple

● PCと共通のウェブベースのBot対策ソリューションが使える ○ pixivの場合 reCAPTCHA

(29)

ここまでのまとめ

● PC、アプリ含む全プロダクトでウェブベースの共通の認証エンドポイントを利用するよう 統一した

(30)
(31)

reCAPTCHA Enterprise

● Bot対策ソリューションreCAPTCHAの有償版 ● JavaScriptでクライアントの「Botらしさ」を判定 ● reCAPTCHA (v2 / v3) の機能 + Enterprise機能 ● Bot対策ソリューションの中でも、特にアカウント乗っ取り対策に特化 reCAPTCHA v2 チャレンジあり reCAPTCHA v3 チャレンジなし

(32)

reCAPTCHA (無償) との違い

reCAPTCHA reCAPTCHA Enterprise

CHECKBOX (v2) ✔ ✔

SCORE (v3) ✔ ✔

SCORE粒度 4段階 11段階

モデルチューニング -

APIコール数 100万コール/月まで 制限無し (従量課金)

Password Checkup (beta) - ✔

Account Verification (beta) - ✔

(33)

reCAPTCHA @ pixiv

● SCOREとCHECKBOXを併用 ● まずBotらしさのSCOREを計算し、人間と 判断されればパス ● SCOREが低かった場合、CHECKBOX (CAPTCHA) にフォールバック ○ SCOREでロックアウトされないよう にするため ● ただ、最近のドキュメントによるとこの方 法は非推奨らしい…… ○ 推奨はSCOREが低い場合に別の 認証要素 (PINなど) を要求

(34)

reCAPTCHA @ pixiv

● アカウントのスクリーニング防止

(35)

reCAPTCHA @ pixiv

(36)
(37)

● インターネットに流出した漏洩パスワード のDBと照合し、脆弱なパスワードを検出 ● 漏洩パスワードDBはHave I Been Pwned提供のハッシュ化されたDBを使 用 ● 照合はユーザがパスワードを入力した際 にオンメモリで実施

漏洩パスワード

DBとの照合

(38)
(39)

HIBP vs Password Checkup

(beta)

HIBP Password Checkup (beta)

マネージド - ✔ 入っている情報 パスワードハッシュ + 漏洩回数 メールアドレス & パスワードハッシュ 漏洩ID数 100億+ 40億+

● Password Checkup = メールアドレス & パスワードハッシュを送ると、漏洩済みかどう かを返すreCAPTCHA EnterpriseのAPI

(40)

ログ分析による検知

& ブロック

● Low and slowな攻撃の検知には長期的なログ分析が必要

● 長期的なログからIPアドレスごとにログイン成功率、失敗率、ユニークID比率などの指 標を計算し、攻撃IPを検知

(41)
(42)
(43)

● pixivエコシステム全体で認証エンドポイントを1つに統一した ● ウェブに統一したことで、1つのソリューション = reCAPTCHA Enterpriseでエコシステ ム全体を保護することができるようになった ● Bot対策、漏洩パスワードDB、ログ分析を通じてアカウント乗っ取りの対策を実施して いる

まとめ

(44)

参照

今ダウンロードする ( PDF - 44 ページ - 3.20 MB )

関連したドキュメント

Net Contents: WARNING/AVISO Group10Herbicide

• postemergence weed control herbicide to be applied on LibertyLink ® or glufosinate-resistant crops including LibertyLink canola, LibertyLink corn, LibertyLink sweet corn,

Net Contents: CAUTION/PRECAUCION Group711Fungicide

Consult a seed treatment specialist regarding slurry rates required for the crop seed to be treated with Coronet.. Mix the required amount of Coronet with sufficient water to

PowerPoint プレゼンテーション

BIGIグループ 株式会社ビームス BEAMS 株式会社アダストリア 株式会社ユナイテッドアローズ JUNグループ 株式会社シップス

Net Contents: CAUTION/PRECAUCIÓN Group2Herbicide

Pursuit may be applied in a tank mix with a registered grass herbicide or applied preemergence following a preplant incorporated application of a registered grass

Net Contents: 1 Gallon CAUTION

Air application: Apply in sufficient spray volume to obtain full coverage of the foliage or target area. ULV application: Paradigm may be mixed with once-refined vegetable oil

も っ と 多 く の 人 に 伝 え た い

三洋電機株式会社 住友電気工業株式会社 ソニー株式会社 株式会社東芝 日本電気株式会社 パナソニック株式会社 株式会社日立製作所

< 日本不織布協会衛生 メディカル部会分科会 > 帝人グループの不織布技術概要と商品開発 2017 年 8 月 24 日 帝人フロンティア株式会社 技術統括部統括課 北脇秀亮

乾式不織布(V-Lap® +バインダー ) 技術 point ・V-lap 繊維を縦⽅向に配向させた乾式不織布 ・芯鞘複合繊維

Net Contents: WARNING/AVISO SethoxydimGroup1Herbicide

Apply Poast ® herbicide to actively growing grass weeds by aerial or ground application at the rates and timing (maximum height) listed in Table 5 (annual grass weeds),