クレデンシャルスタッフィング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. クレデンシャルスタッフィング
             

クレデンシャルスタッフィング

クレデンシャルスタッフィング(Credential Stuffing)とは、流出したIDやパスワードといった認証情報(クレデンシャル)を使い、他のサービスやシステムに対して自動的に大量のログイン試行を行う攻撃手法です。攻撃者は、過去に情報漏洩で入手した認証情報をリスト化し、ボットなどの自動ツールを使って、多数のアカウントへのログインを試みます。もし攻撃が成功すると、被害者のアカウントが乗っ取られ、金銭の不正送金、個人情報の窃取、サイバー攻撃の拡大などのリスクが生じます。

クレデンシャルスタッフィングは、特にユーザーが複数のサイトやサービスで同じID・パスワードを使い回している場合に有効で、サイバー犯罪における代表的な手法のひとつです。

クレデンシャルスタッフィングの仕組み

クレデンシャルスタッフィングは、次のような手順で行われます。

  1. クレデンシャルリストの入手
    攻撃者は、過去の情報漏洩やハッキング事件で流出したIDやパスワードのリストをダークウェブやオンラインフォーラムで購入または収集します。このリストには、他のサイトやサービスでも同じパスワードを使っている可能性のあるクレデンシャルが含まれています。
  2. ボットツールの設定と実行
    攻撃者は、収集したクレデンシャルリストを使ってボットツールを設定し、さまざまなサービスのログインページに対してリストにあるクレデンシャルを順次入力していきます。これにより、自動的に大量のログイン試行が行われます。
  3. 成功したログインの取得
    ログインが成功した場合、攻撃者はそのアカウントへのアクセス権を得ることになります。この成功率は通常数%以下ですが、リスト化されたアカウント数が膨大なため、攻撃が効率的に行われるのが特徴です。
  4. アカウント乗っ取り・悪用
    攻撃者は、乗っ取ったアカウントを使って不正送金や不正購入、個人情報の収集、さらに二次攻撃のための踏み台として利用するなど、様々な目的で悪用します。また、SNSアカウントを乗っ取ってスパムを拡散したり、他のユーザーを騙して新たな被害を生むケースもあります。

クレデンシャルスタッフィングの目的

クレデンシャルスタッフィングの主な目的は、以下の通りです。

1. 金銭的な利益

攻撃者は、金融機関のアカウントやオンライン決済サービスを乗っ取って不正送金を行ったり、クレジットカードを不正利用したりすることで、直接的な金銭利益を得ることを目指します。

2. 個人情報の窃取

個人情報や機密情報を含むアカウントにアクセスすることで、攻撃者は被害者の個人情報や行動履歴、連絡先情報を収集します。この情報をもとに、さらなるフィッシングやソーシャルエンジニアリングの攻撃が可能になります。

3. サイバー攻撃の踏み台

乗っ取ったアカウントを使って他のユーザーにスパムを送ったり、悪意あるリンクを送りつけたりすることで、新たな攻撃を仕掛ける踏み台にすることができます。これにより、サイバー攻撃をより大規模に展開することが可能になります。

4. アカウントの転売

成功したクレデンシャルスタッフィングで得たアカウント情報を、ダークウェブやオンラインフォーラムで転売し利益を得るケースもあります。特に、SNSやメールアカウントは需要が高く、取引されやすい情報です。

クレデンシャルスタッフィングとブルートフォース攻撃の違い

クレデンシャルスタッフィングは、パスワードの総当たりを行う「ブルートフォース攻撃」と混同されることがありますが、両者には違いがあります。

  • クレデンシャルスタッフィングは、過去に流出したクレデンシャル情報を利用し、複数のサイトやサービスでログインを試みる手法です。
  • ブルートフォース攻撃は、すべての可能性のあるパスワードを総当たりで試し、ログインを試みる手法です。これは、特定のアカウントをターゲットに、パスワードを推測して当てることを目的としています。

クレデンシャルスタッフィングは、既に確立されたIDとパスワードの組み合わせを使うため、ブルートフォース攻撃よりも効率的であり、ターゲットも幅広いことが特徴です。

クレデンシャルスタッフィングの対策

クレデンシャルスタッフィングを防ぐためには、以下の対策が有効です。

1. 二要素認証(2FA)の導入

二要素認証を有効にすることで、IDとパスワードだけではログインできなくなり、攻撃が成功しにくくなります。例えば、ワンタイムパスワード(OTP)や認証アプリ、SMS認証などを併用することで、より安全性を高められます。

2. パスワードの使い回しを避ける

異なるサービスで同じパスワードを使い回すことを避けましょう。特に、重要なサービスには固有のパスワードを設定することで、他サービスのクレデンシャルが流出しても影響を最小限に抑えることができます。

3. パスワード管理ツールの利用

パスワード管理ツールを利用することで、複雑で長いパスワードを容易に作成・管理できます。各サイトで異なる強力なパスワードを利用するためにも、パスワード管理ツールの導入が有効です。

4. ログイン試行回数の制限

特定のIPアドレスやアカウントで連続してログイン試行が行われた場合に、アクセスを一時的にブロックするなどの対策を取ることで、不正ログインのリスクを減らすことが可能です。

5. ボット対策の導入

ボット対策のためにCAPTCHA(キャプチャ)を導入し、ログインページでの自動試行を防止します。これにより、ボットによるクレデンシャルスタッフィング攻撃を抑制できます。

6. 流出情報の定期的なチェック

ダークウェブや漏洩情報チェックサービスを活用して、自分のアカウント情報が漏洩していないか確認しましょう。漏洩が発覚した場合は、速やかにパスワードを変更することが重要です。

まとめ

クレデンシャルスタッフィングは、過去に流出したクレデンシャルを使って他のアカウントへの不正アクセスを試みるサイバー攻撃です。ボットを使って大量のログイン試行を行うため、パスワードの使い回しが多いユーザーが狙われやすいという特徴があります。二要素認証やパスワード管理ツールの利用、ログイン試行の制限など、対策を行うことで、クレデンシャルスタッフィングの被害を効果的に防止することができます。個人・企業においてもこれらの対策を講じ、安全な認証情報の管理を心がけることが重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。