無料会員登録
インターネット上で公開されているWebサイトを利用する時に、IDとパスワードを入力して認証する場合があります。しかし数多く存在するWebサイトごとに、異なるIDとパスワードを使い分けることは、ユーザーにとって大きな負担となり、同じIDとパスワードを使いまわしていることも少なくないでしょう。
クレデンシャルスタッフィング攻撃は攻撃者が不正に取得したIDとパスワードを使って、Webサイトに自動的にログインを試みる攻撃のことです。このような攻撃から身を守るためには、どうしたら良いのでしょうか。今回はクレデンシャルスタッフィング攻撃の概要とその対策方法について徹底解説します。
この記事の目次
クレデンシャルスタッフィング攻撃とは
クレデンシャルスタッフィング攻撃とは、インターネット上に流出したIDとパスワードの組み合わせを使って、他のWebサイトへのログインを自動的に試みる攻撃手法のことです。
この攻撃の特徴として、流出したIDとパスワードの組み合わせは、流出元以外の他のWebサイトでも使われていることを前提としている点があげられます。ユーザーは同一のIDとパスワードの組み合わせを使いまわしていることが多いという習慣を悪用した攻撃が、クレデンシャルスタッフィング攻撃です。
IDとパスワードの組み合わせを用いて、標的のWebサイトに不正ログインを試みる攻撃として「パスワードリスト攻撃」が知られています。パスワードリスト攻撃は手動で行う攻撃ですが、bot(不正なプログラム)を使って大量かつ自動的に試行する攻撃がクレデンシャルスタッフィング攻撃と言われています。
クレデンシャルスタッフィング攻撃の仕組み
攻撃者がクレデンシャルスタッフィング攻撃を仕掛ける時に使う流出したIDとパスワードの情報は、ダークウェブ上などで販売されているものを使うことが多いです。また攻撃に使われるbotもインターネット上で安く販売されており、簡単に購入できます。
また複数のプロキシサーバーのリストを読み込ませることで、攻撃元を分散して攻撃を仕掛ける機能を持つものもあります。単一の攻撃元からの攻撃では簡単に対策されてしまうからです。このプロキシサーバーも安価に販売されており、簡単に悪用できてしまいます。
IDとパスワードのリストと不正なログインを自動で行うbot、そして複数のプロキシサーバーを経由させて、攻撃者は複数のWebサイトに対してクレデンシャルスタッフィング攻撃を行います。この攻撃の成功率は1~2%程度であると言われています。数値としては低い印象を持つかもしれませんが、母数となるログイン試行が大量であるため、実際には相当な被害が発生していると考えて良さそうです。
クレデンシャルスタッフィング攻撃の主な標的
クレデンシャルスタッフィング攻撃の標的となる3つのWebサイトについて紹介します。
ECサイト
ECサイトはインターネット上で商品やサービスの売買ができるWebサイトのことです。ECサイトがクレデンシャルスタッフィング攻撃の標的となる理由の一つに、転売を目的とした高額な商品を買い占める行為があげられます。
ECサイトに特化して大量の商品の購入を自動的に試みる「AIO(All in One)bot」と呼ばれるプログラムがあり、インターネットで簡単に購入できます。このAIO botはbot検知を回避するための仕組みが備わっています。例えば難読文字を入力させてbot判定する「CAPTCHA」を自動的に突破する機能などもAIO botの特徴の一つです。
SaaS型サービス
SaaS(Software as a Service)型サービスに対するクレデンシャルスタッフィング攻撃も要注意です。SaaS型サービスには、ビジネス用SNS、クラウドストレージ、メールサービス、クラウド会計ソフトなどインターネット上で使える様々なWebサービスが含まれています。企業向け・個人向けともに格好の標的となります。
これらのSaaS型サービスに対してクレデンシャルスタッフィング攻撃を行うことで、サービスに不正にアクセスされて企業の機密データや個人情報などが大量に流出する可能性があります。
動画ストリーミングサービス
NetflixやHuluなどの動画ストリーミングサービスもクレデンシャルスタッフィング攻撃の対象となります。攻撃者の目的は正規ユーザーに成りすまして、無断で動画視聴できるアカウントを探し出すことです。動画ストリーミングサービスで有効な複数のIDとパスワードの組み合わせが、ダークウェブなどで販売されるだけでなく、視聴履歴などを閲覧することで個人の趣味趣向が収集されることもあります。
さらには不正に入手したIDとパスワードを使って動画ストリーミングサービスにログインし、特定の動画を繰り返し再生して、視聴回数に応じて報酬を稼ぐといった不正行為が行われる可能性もあります。
クレデンシャルスタッフィング攻撃に有効な対策
ここまでクレデンシャルスタッフィング攻撃の標的について紹介してきました。それでは攻撃を防ぐためには具体的にどのような対策を取れば良いのでしょうか。これから3つの対策方法について紹介します。
多要素認証を導入する
多要素認証とは認証の3要素である「知識」「所持」「生体」のうち2つ以上の情報を組み合わせて認証することを指します。これら3つの要素の具体例は以下の通りです。
| 知識情報 | パスワード、PINコード、秘密の質問 |
|---|---|
| 所持情報 | スマートフォン、ハードウェアトークン、ICカード |
| 生体情報 | 指紋、静脈、声紋 |
多くのWebサイトでは、これまでIDとパスワードの組み合わせによる認証だけ利用してきました。しかしパスワードによる認証では、クレデンシャルスタッフィング攻撃などの不正アクセスを防ぎきれないことが周知されつつあり、多要素認証が普及し始めました。
例えば銀行のATMで現金を引き下ろす場合、「知識情報」としての暗証番号に加えて「所持情報」であるキャッシュカードが必要です。ATMでは以前からこうした多要素認証が使われてきましたが、それがインターネット上のWebサイトでも使われるようになったのです。
またスマートフォンのユーザーが増えたことも多要素認証の普及の要因となりました。スマートフォンアプリのGoogle Authenticatorなどを利用することで、様々なクラウドサービスの認証コードが一括で管理できるようになったからです。
他にもネットバンクでは、ログインする際にIDとパスワードに加えて、ハードウェアトークンを利用したワンタイムパスワードも普及しています。これも多要素認証と言えるでしょう。
WAF(Web Application Firewall)を導入する
WAFとはWeb Application Firewallの略語であり、Webサーバー上で動作するファイアウォールのことです。WAFを導入することで、クレデンシャルスタッフィング攻撃に対して2つの対策を取ることができます。1つは「IDとパスワードを盗まれなくする対策」もう1つは「不正なIDとパスワードを使わせない対策」です。
「IDとパスワードを盗まれなくする対策」では、ブラウザとWAFの間の通信を暗号化するなどの対策が用いられます。これにより万が一、通信が傍受されていても、IDとパスワードの流出が防げます。
「不正なIDとパスワードを使わせない対策」としては、すでに流出されてしまったIDとパスワードの情報を専用のデータベースに記録しておくことがあげられます。何者かがログイン試行した際、Webサイトにログインする時に使用するIDとパスワードの組み合わせと、専用データベースに記録されている流出されているIDとパスワードの組み合わせを照合して、流出されたIDとパスワードが入力されていた場合は、ログイン拒否して不正な利用を防止することができます。
同一のIDとパスワードを使いまわさない
オーソドックスな方法ですが、日ごろからWebサイトに使用するIDとパスワードを使いまわさないようにすることも重要です。
最近ではブラウザにIDとパスワードを記録する機能が備わっているので、いちいち頭で記憶しなくても、複数のIDとパスワードの管理も簡単になってきています。また、パスワード管理ソフトを導入することもおすすめです。ブラウザのアドオンとして動作するパスワード管理サービスなどもあります。
まとめ
クレデンシャルスタッフィング攻撃の概要と対策について紹介してきました。Webサイトに対する不正なアクセスを防ぐためには、Webサイトの運営者と、そのWebサイトの訪問者のどちらも適切な対策を取ることが必要不可欠です。例えばWebサイトの運営者は2要素認証やWAFを導入するなどの対策が重要であり、Webサイトのユーザーは同一のIDとパスワードを複数のWebサイトで使いまわさないといった対策が必要です。
悪意のある攻撃者は様々な方法を使って不正アクセスを試みようとします。インターネットを安全に使うためにもIDとパスワードの管理は徹底的に行うようにしましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
