【Cacco Tech blog #4】～不正アクセス検知サービス「O-MOTION」の開発の歴史と今後～

こんにちは、かっこ株式会社（以下、かっこ）取締役CPOの岡田です。
今回は不正ログイン検知サービスのO-MOTIONの技術領域の概要に触れていきたいと思います。

不正アクセス検知サービス「O-MOTION」の誕生

不正アクセス検知サービス「O-MOTION」のローンチは2016年7月になります。ECでの不正注文検知サービス「O-PLUX」の開発・運用実績を積み重ね、新たな事業・プロダクトとして2015年から検討を開始したものになります。当時、インターネットバンキング等での不正ログイン被害・不正送金被害が注目され始めたタイミングで、これまで培ってきたリアルタイムで不正注文検知のノウハウを活用もでき、かつ、事業領域の拡大に繋がると考えました。

しかし、開発途中では当然のごとく、苦労・課題に多くぶつかりました。

• 購入時の氏名・住所・電話番号・商品情報などの多くの項目を審査に利用するO-PLUXとは違い、ログイン時のIDと端末情報しか活用できないため、高い端末特定の検知精度を保つことが難しかった
• ログイン時の審査となるため非常に多くの審査が発生する特性があり、低コストで運用ができるアーキテクチャとする必要があった。

前者の検知精度課題については、端末・ブラウザから得られる情報だけでなく、振る舞い情報を取得することやOSとブラウザのパターンごとに端末特定に利用するパラメータを変動させる等の仕組みを実現させることで解決しました。この仕組みの一部は特許も取得しています。

後者のアーキテクチャ面についてはAWSのサーバーレスサービスを可能な限り最大限に活用することで低コストのアーキテクチャを実現しました。

審査データを受け取る部分はAPI Gateway + Lambda構成、データベースとしてはAmazon DynamoDBとAmazon OpenSearch Serviceを組み合わせて実現しています。

また、機能毎にアプリケーションを分割したマイクロサービスアーキテクチャを取り入れることで機能追加・保守性を高めたものとしています。

上記のような取り組みを行った結果、2016年7月にローンチを行うことができ、顧客・審査数の拡大を続けています。

当初は金融機関向けソリューションとして想定していましたが、チケット業界やEC事業者への導入も広がっています。

＜O-MOTIONの仕組み概要＞

今後のO-MOTIONについて

ローンチ後も端末特定精度の向上や加盟店の利便性向上の取り組みを継続的に行ってきました。最近では2022年3月に管理画面のリニューアルを行い、利用加盟店にとってログインデータの状況を俯瞰して見ることができたり、データ検索性の向上、データ抽出の容易性などが高まりました。

アーキテクチャとしてもReact、TypeScript、GraphQL、AWS Amplify、AWS AppSyncといったモダンな言語、フレームワーク、AWSサービスを採用し、機能追加しやすいものにすることができました。

管理画面リニューアルの内容については、また改めて共有する予定です。

世の中の不正ログイン被害を抑制するためのソリューションとして広くO-MOTIONが利用いただけるように引き続き機能拡充・改善に努めていきたいと考えています。