クレデンシャル・スタッフィング

クレデンシャル・スタッフィングとは

クレデンシャル・スタッフィング（Credential stuffing）は、流出したIDとパスワードのリストを利用して、さまざまなウェブサイトやサービスへの不正ログインを試みるサイバー攻撃の一種です。この攻撃は、日本では主に「パスワードリスト攻撃」として知られており、利用者のIDとパスワードを使い回す傾向を悪用しています。

概要

この手法では、まず攻撃者がセキュリティが脆弱なウェブサービスから流出したユーザーの認証情報のリストや、ダークウェブで不正に売買されているデータを入手します。攻撃者はそのリストを用いて、ターゲットとなる別のサービスとの不正アクセスを試みるため、プログラム（ボットなど）を使用し、膨大な数の組み合わせを自動的に試します。この攻撃方法は、特にパスワードを使い回している利用者が多ければ多いほど効果的です。

攻撃の手順

クレデンシャル・スタッフィングの攻撃者は、多様な手段を駆使してIDとパスワードのリストを入手します。フィッシング、マルウェア、スミッシングなどが一般的な方法です。多くの場合、これらの攻撃は大規模な情報漏洩が原因となります。次に、攻撃者はフィナンシャルデータや個人情報を扱うオンラインサービスや人気の高いウェブサイトを選択し、そこへの不正アクセスを試みます。

取得した認証情報のペアを利用し、ボットを使って次々とログインを試行します。このプロセスでは、盗まれたアカウントのIDやパスワードを集めることが一般的です。攻撃が成功すると、攻撃者はアカウントにアクセスし、登録されている個人情報を盗んだり、金銭を不正に利用したりすることができます。

他の攻撃手法との違い

クレデンシャル・スタッフィングは、他の攻撃手法と比較しても特異なアプローチを取っています。例えば、総当たり攻撃やパスワードの推測をする必要がない点が特徴です。攻撃者は既に入手した多くの認証情報を使用してログインを試みるため、自動化が可能となり、効率的に不正アクセスが行えます。この攻撃には、SeleniumやcURL、Openbulletなど、様々なウェブ自動化ツールが利用されます。

対策方法

クレデンシャル・スタッフィングの脅威に対抗するためには、いくつかの対策があります。まず、最も基本的な対策は、パスワードの使い回しをしないことです。異なるサービスには異なる複雑なパスワードを設定し、可能であればパスワード管理ツールを利用しましょう。

次に、多要素認証（MFA）の導入が効果的です。これにより、パスワードだけではなく、SMS認証コードやセキュリティキーなどの追加の認証要素を利用して、不正アクセスを防ぐことができます。さらに、FIDO2認証を取り入れてパスワードを使わないログイン方法への切り替えも有効です。

不審なログインの通知機能や、特定の行動を検知してアクセスを制限する仕組み（アカウントロックアウト）を導入することも重要です。また、CAPTCHAを取り入れることで、自動化されたログイン試行を難しくすることができます。定期的に既知の漏洩パスワードのリストと照合し、脆弱なパスワードを設定できないようにすることも有意義です。

まとめ

クレデンシャル・スタッフィングは、インターネットセキュリティの大きな脅威となっています。利用者自身がしっかりと対策を行うことで、被害を未然に防ぐことができるため、自覚を持って行動することが必要です。

もう一度検索