イベントレポート

JPAAWG 1st General Meeting

LINEのスパム/フィッシング対策はどう変化してきた? 「JPAAWG」設立イベントで語った過去6年間のいたちごっこ

LINE株式会社の石田暁久氏

 ユーザーを標的にしたスパム/フィッシング攻撃に、LINEはどう対抗してきたのか? 11月9日に行われた「JPAAWG 1st General Meeting」の一部セッションにて、LINE株式会社の石田暁久氏が解説を行った。攻撃者がアカウントを乗っ取るために攻撃手法を年々変えるため、その対応に追われていることが説明された。

乗っ取ったアカウントでWebMoney要求、偽アカウント開設などの不正行為も

 コミュニケーションツール「LINE」では、2012年からアカウントの乗っ取り攻撃が確認されるようになり、その対策として2016年2月には2段階認証を導入。一時に比べて被害は沈静化したものの、同年夏ごろからはソーシャルエンジニアリングによる乗っ取り攻撃が増加するようになった。また、2017年には、ユーザーをフィッシングサイトに誘導し、電話番号やメールアドレス、パスワードを詐取する攻撃も確認された。乗っ取ったアカウントは、不特定多数のユーザーにWebMoneyの購入を要求するなど、金銭を詐取する目的に使われることが多いという。

 LINEでは、フィッシングサイトに使われているドメインを追跡し、フィッシング対策協議会などを通じてGoogleのSafe BrowsingなどのブラックリストにURLを登録したり、フィルタリングを使ったブロックシステムの導入で対策を取ってきた。しかし、攻撃者は新規ドメインを取得してフィッシングサイトを大量に生成するため、いたちごっこが続いている状況だという。

 このほかに確認されているAbusing(不正行為)は、LINEポイントのキャンペーンの悪用、LINE LIVEにおける迷惑行為、公式アカウントに似せた偽のアカウントの開設、フードデリバリーの偽注文などがある。

スパム攻撃にはルールベース/マシンラーニングベースのブロック+モニタリングシステムで対応

 スパム攻撃に関しては、日本と台湾のユーザーを標的にしたものが多く、日本の場合は出会い系サイトに誘導するスパムが拡散されている。一方、台湾ユーザーを標的としたものは、ブランドバッグなどの購入を促す広告スパムが多かった。LINEのスパム検知システムを回避することが狙いか、送信されたメッセージには、「!エ!ッ!チ!」「!変!態!」など特定の単語に記号を挟むケースも確認されている。

ユーザーから通報されたスパムメッセージの内容。日本の場合は出会い系サイトに誘導するものが多い。なお、スパムの書き込みはノート/アルバム機能を活用している場合もあるという

 スパマーは、電話番号あるいはLINE IDから友だち追加を行い、スパムメッセージを送信してくることが多い。こうしたスパム攻撃に関しては、ユーザーからの通報でスパムメッセージを提供してもらうことで、LINEのスパム検知や不正行為検知に活用している。具体的には、ルールベース/マシンラーニングベースのブロックシステムとモニタリングシステムを活用することで対策している。

 ルールベースのスパムフィルターは、スパマーの特徴的な行動を検知してブロックする。例えば、短時間に大量のメッセージが送信された場合や、スパマーとスパム受信者のソーシャルグラフ(ユーザー間のつながり)から、遠い関係にあることが判明した場合は、攻撃の可能性が高いと判断される。設定されているルールは50種類以上あり、随時、改善・運用している。

 ルールベースのスパムフィルターを回避し、ユーザーから通報を受けた場合は、さらに厳しい条件が設定されたルールベースのスパムフィルターにかけられる。通報があった場合はメッセージ内容も提供されるので、その内容を元に機械学習ベースのスパムフィルターにかけて検知精度の向上を図る。同フィルターで検知できなかったものはモニタリングシステムに送られ、最終的に人間の目で確認してスパマーかどうかを判断しているそうだ。

ユーザーからの通報を受けてからの流れ

 モニタリングシステムは、スパマーの行動に即座に対応するために、「Elastic Stack」を利用したニアリアルタイム分析システムを構築。公開設定された投稿内容を分析するダッシュボードや、マシンラーニングを利用したアノマリー検知機能も備える。特定のアカウントの通報件数が急増した場合などの異常を検知して攻撃を一定以下に抑え込むようになっている。

モニタリングシステム画面

LINE各サービスへの攻撃が年々拡大、組織体制を見直す流れに

 これまで、LINEの主要サービスにおける乗っ取り攻撃などに関しては、同社セキュリティ室が主に対応し、その他のサービスに関しては、サービス事業部門が主体で取り組んできたという。しかし、各サービスにおける被害が年々拡大したため、組織横断的な取り組みが必要になり、「Trust and Safety Team」を2018年10月に設立した。

 同チームは、LINEで従来培われてきたノウハウを他のサービス部門にも横展開し、LINE全社で不正対策を強化していくことをミッションとしている。ここでAbusingへの対策方法をアドバイスしたり、実際にデータ分析を行い、モニタリング環境をどう構築するかといった観点のコンサルティングも行う。

 また、社内ワークショップ「Abusing Workshop」を年2回実施している。参加国は日本、台湾、韓国、タイ、インドネシアの5カ国で、LINEの企画/事業部門、開発部門、カスタマーサポート、モニタリングチーム、法務部門、渉外部門が参加。各サービスや国ごとに起きているAbusingの状況、対応ノウハウや技術、分析環境、法務的な問題などを発表、共有し討論する場となる。