はじめに
はじめまして。セキュリティ開発 チームのキム・ドヨン、キム・ヨンヒョン、パク・ギョンジュン、フバイン・チャールズ、アン・サンファンと申します。私たちが所属しているチームは、LINEヤフーの全般的なセキュリティを強化するため、セキュリティ技術の研究開発および各サービスを対象としたセキュリティコンサルティングを担当しています。本稿では、サービスに対するリクエストが正規のデバイスとアプリから送信されたリクエストであることを証明するデバイス証明(Device Attestation)サービスを紹介したいと思います。
デバイス証明サービス開発の背景
LINEヤフーのサービスが社会の基盤インフラとなり、これを悪用して不正な目的を達成しようとする事例も増えてきました。攻撃者はアカウントの乗っ取りやスパム(spamming)、フィッシング(phishing)、詐欺(fraud)などを目的にサービスを利用し、そのために自動化されたプログラムを使用して大量のサービスリクエストを送ったり、アプリを改ざんして悪意のある行為を行ったりします。
従来のソフトウェアベースのセキュリティ対策は、ルート権限を持つ攻撃者を想定した脅威モデルにおいて脆弱です。攻撃者はアプリの実行結果を自由に改ざんできるため、アプリに内包されるロジックをもとにしたセルフチェックを正しく行うことはできません。
近年の攻撃技法はますます巧妙になってきており、われわれの防御システムの弱点を標的にしたあらゆる手法を用いた攻撃に直面しています。攻撃者によるアクセスと、サービスによる信頼できるアクセスを的確に区別するのは非常に困難です。
従来型の異常検知もある程度は効果がありますが、攻撃者による改ざん・悪用をすべて検知できる万能なものではありません。また、ユーザー生成コンテンツの量とその多様性が爆発的に増加し、これに対応していくためには、バリエーションに富んだコンテンツと、悪用への防御を一体となって実現できるようなシステムが求められます。
これらの状況を踏まえて、私たちは個別の悪用のケースに対処するのではなく、根本的なサービスの悪用の原因に焦点を当てることが重要であると考えました。
私たちは攻撃者による異常なアクセスの大部分は、不正なデバイスやアプリで生成されているという点に着眼し、デバイスのハードウェアベースの証明方式を用いたアプローチに基づいて攻撃者の実行環境自体を制限するようにしてアビューザーからの攻撃を効果的に低減させ、デバイスの信頼の基点(Root of Trust)と暗号学的メカニズムを活用することで、正しいデバイスを識別でき、運用中の乱用防止対策を組み合わせてその効用性を最大化することを実現しました。
デバイス証明サービスは、Auth & Account DevチームとAccount Product App Dev 1チーム、Platform Product Managementチームと協業し、2023年12月にLINEサービスに成功裏に導入することができました。これに基づき、さまざまな形態のサービスリクエストの検証およびモニタリングに活用しています。また、私たちのチームは金融サービスのように高いセキュリティレベルが要求されるサービスにデバイス証明サービスを統合する作業も同時に進めています。
それでは、デバイス証明サービスが具体的にどのように機能するのか、ご説明いたします。