攻撃失敗のログから重大なリスクを認識

freee社はクラウド会計サービスからスタートして、人事労務、会社設立、税務申告、プロジェクト管理とサービスを拡充してきた。2021年には統合型コーポレートカード「freeeカードunlimited」を自社で発行し、ユーザーの資金繰りも支援する。2021年6月期の有料ユーザー数は29万社を超え、ARR（継続課金ユーザーの課金額の年間合計）は119億円に達している。「誰もが自由に経営できる統合型プラットフォーム」という新しいビジョンを掲げ、あらゆるバックオフィス業務の統合、ビジネスに関わる業務の自動化及び経営の可視化に貢献する。

Sift導入検討のきっかけはfreee社のPSIRTで定期的に行うログレビューで怪しいユーザーの動きに気づいたことだった。セキュリティ情報イベント管理ツール（SIEM）を導入して様々なログを統合して分析してみたところ、ログインに成功した後に他社のアカウントを使ってデータベースにアクセスしようとしている痕跡を発見した。freee社のクラウド会計サービスは誰でも無料アカウントを作成できるため、攻撃者はこの無料アカウントを使用して悪用を試みていた可能性があった。

「パスワードリスト攻撃などによる他社アカウント乗っ取りの試行は以前からありましたが、大半はWebアプリケーションファイアウォール（WAF）で排除できていました。しかし、正規のユーザーとしてログインされた後の攻撃を防いでいるのは基本的にはアプリケーションのロジックとなります。このロジックに万一誤りがあって制御に欠陥があれば、情報流出につながる可能性があります」（杉浦氏）

攻撃者にとっても、既存のアカウントを乗っ取るよりもログイン後に他のアカウントの情報を盗む攻撃を仕掛ける方がはるかに効率が良い。前者で入手できるのは乗っ取りに成功したアカウントの情報に限られるが、後者はひとたび攻撃に成功すれば、全てのユーザーの情報にアクセスが可能になる。実際に痕跡を発見した時点で情報流出の被害はなかったものの、freee社のPSIRTはこれを重大なリスクとして捉えた。

システム連携のしやすさとダッシュボードによる可視化を評価しSiftを導入

当時もfreee社は不正ログインを検知する製品を導入していた。IPアドレスなどの要素をもとに設定したルールに基づきスコアを算出し、一定のスコア以上のアクセスを不正ログインと判定して防御するルールベースの製品であった。「以前導入していた製品は、スコアを決めるためのルールを逐一指定する必要がありました。何を不正とするかのルールを全て自分で設定する必要があり、進化する攻撃に対しても自らチューニングし続けなければなりませんでした。」（杉浦氏）また、APIを呼び出す毎に利用料が課金されるサービスだったので、コストの都合上ログイン時にしか不正利用検知を導入できなかったことも悩みだった。「かけているコストに対して見える範囲が狭く、結果的に不審なユーザーのふるまい全体を追うことができませんでした」（杉浦氏）

ログイン後のアカウントの不正利用を防止するサービスであるSift Account Abuseの導入を検討した際に感じたのは、APIの利用しやすさだったという。豊富なAPIやWebhookによるフィードバックの出力を利用し、システム連携による自動化が図れることをメリットに感じた。自動化は、ともすればブラックボックス化にもつながってしまうが、Siftはダッシュボードでユーザー毎のふるまいが、どのようにスコア化されたかを可視化できる。「画面を見るだけでユーザーのログイン後のふるまいを時系列で追える。人が目で見て不審なユーザーと判断したら、画面上でチェックを入れるだけで機械学習エンジンにフィードバックできる。運用上はその点を一番高く評価しました」（杉浦氏）

トライアル導入時に苦労したのはSiftに送信するカスタムイベントの作成だった。もともとSiftはECサイト向けの不正利用検知ソリューションとしてスタートしているので、初期で用意されているイベントは、クレジットカード決済やカート操作などECサイト向けのものが多い。そのため、クラウド会計サービス向けに不足しているイベントはカスタムイベントとして作成する必要があった。「エンジンがどう反応するかはやってみないとわからないので、最初はとにかく広い範囲をカバーして実際のデータを送り、意味がないと判断したイベントを削っていきました。Siftはドキュメントやサンプルが充実しており、開発はしやすかったです。APIの細かい仕様などについては販売元のマクニカのエンジニアからのサポートを受けました」（杉浦氏）ダッシュボードから判定理由を確認できるため、トライアンドエラーでいろいろと試すことによって導入が進んだという。

最終的にデータの変更、削除に関わるイベントとページ遷移に関わるイベントは、ほぼ全てSiftに情報を送信することになった。メールアドレスや名前などの個人情報に該当する項目は、全て不可逆な暗号により復元不能な状態にして送信しているが、機械学習エンジンは問題なく動作し、高精度な判定結果が得られることをトライアル期間中に確認できた。

従来の100倍の検知率で不審ユーザーを自動ブロック

2ヶ月間のトライアルの結果、不審なユーザーを自動的にブロックしても問題ない精度であると判断し、2020年6月からSift Account Abuseの本運用に移行した。基準値以上のスコアのユーザーは一旦ブロックして再認証メールを送信している。本運用に入ってから1年半以上の間、再認証が原因でユーザーからクレームが来たことは一度もないという。

現在の運用は、入社１年目の今井氏がほぼ全てを担っている。チーム全員で行う定期のログレビュー結果のSiftへのフィードバック、新しいページへのAPI実装、既存のAPIのメンテナンスなどの作業に平均すると月に5人日程度の工数で対応している。「イベントを追加した時や、Siftのエンジン側のチューニングのタイミングでスコアが突然上がり、今までは問題がなかったユーザーをブロックすることがあります。対応してエンジンに追加の学習をさせる必要がありますが、100件程度のフィードバックにより、ほぼ反映されるので、他のソリューションに比べれば10分の1ぐらいの手間ではないかと思います」（今井氏）

Sift Account Abuse導入後は、サインアップした新規アカウントの約1％をブロックしている。これは以前利用していた製品の100倍にあたる。「運用していると、人間が目で見ても一見問題がなさそうなケースに対してSiftがグレーと判定することがあります。そういうケースに対して別のツールのセキュリティログと合わせ読むと、実は怪しいふるまいをしていることがわかったりします。Siftのルールに沿って怪しいものを全部検知することで、確認が不十分になりやすいケースも洗い出されて漏れがなくなっているのかなと思います」（杉浦氏）検知率の高さだけでなく、不正の疑いがあるとされたケースから得られる情報の点でもメリットが大きいと感じている。

「不正利用のための『捨てアカウント』と思われるものはSiftが自動でブロックしてくれるので、ログレビューやエンジンへの追加のフィードバック時にも不要な情報が減って助かります」（今井氏）2021年の年末に、再認証のメールへの応答の結果を機械学習エンジンにフィードバックするようにしたことで、さらに精度が上がったという。Sift Account Abuseの導入効果に満足ゆく結果を得たfreee社では、不正ログイン検知に特化したSift Account Defenseも2021年11月から追加導入し、運用を開始している。

SIEMでの統合管理を期待

freee社ではSIEMでセキュリティイベントやログを統合管理しており、今後はSiftの情報もSIEMに取り込めるようになることを期待しているという。「Siftで検知したイベントが他のセキュリティセンサーで検知されていないか、それらの相関を簡単に見られると人間が判断する際に一目瞭然となるでしょう。他のセンサーにも情報をフィードバックすることで運用の工数はさらに減らせると期待しています」（杉浦氏）

自社APIを守ることが、これからは重要に

クラウド会計サービスから始まったfreee社は既に多数の銀行APIと連携し、口座明細の自動取り込みや振込処理などは既に実現している。将来はfreeeを利用する企業同士のお金のやりとりがクラウド会計サービスの中で完結することを視野に入れている。「国内の銀行、カード会社のAPIをほぼサポートしているのが私たちの優位性の１つであるため、それらを含め一元的に他アプリケーションと連携できるように自社 APIを公開しています。今後は自社APIを守っていくことが、ますます重要になっていくと考えています」（杉浦氏）Siftに対しても、銀行業務向けのルールやイベントを用意するなどのサポートを期待している。

「帳簿は盗まれたら終わりだけど、クラウド会計サービスなら盗まれないし改ざんされない。お客様にそう言えるためには、不正利用検知もクラウド会計サービスの重要な機能の一つだと考え、日々取り組んでいます」と杉浦氏は語る。スモールビジネスのプラットフォームとなるべくサービスを拡充し続けるfreee社のセキュリティを支える一役をSiftが担っている。