パスつく.com

クレデンシャルスタッフィング攻撃への防御策

この記事は約 5 分で読めます

クレデンシャルスタッフィングは、データ漏洩で流出したユーザー名とパスワードの組み合わせを使い、他のサービスへの不正アクセスを自動的に試行する攻撃です。多くの人がパスワードを複数のサービスで使い回しているため、この攻撃は驚くほど高い成功率を示します。Akamai の 2024 年レポートによると、Web アプリケーションへのログイン試行の約 40% がクレデンシャルスタッフィングによるものであり、金融業界では被害額が年間 60 億ドルを超えると推計されています。本記事では、クレデンシャルスタッフィングの仕組み、検知方法、そして効果的な防御策を解説します。

クレデンシャルスタッフィングの仕組み

攻撃の流れ

クレデンシャルスタッフィングの攻撃チェーンは、まずデータ漏洩で流出した認証情報の入手から始まります。ダークウェブでは、数十億件の漏洩認証情報がリスト化されて流通しています。攻撃者はこれらのリストを購入し、自動化ツール (ボット) を使って複数のサービスに対して同時にログインを試行します。パスワードの使い回しという習慣を悪用するため、1 つのサービスで漏洩した認証情報が他のサービスでも有効である確率は、一般的に 0.1〜2% とされています。数百万件のリストに対してこの確率を適用すると、数千〜数万件のアカウントが侵害される計算です。

ブルートフォース攻撃との違い

ブルートフォース攻撃がランダムなパスワードの組み合わせを総当たりで試すのに対し、クレデンシャルスタッフィングは少なくとも 1 つのサービスで有効だった実際の認証情報を使用します。各ログイン試行が妥当なユーザー名とパスワードの組み合わせであるため、攻撃の効率が高く、検知も困難です。アカウントロックアウトの閾値に達する前に成功する可能性が高い点も、ブルートフォースとの大きな違いです。よくある誤解として「ログイン試行回数を制限すれば防げる」と考えがちですが、攻撃者は数千の IP アドレスを使い分けるため、IP 単位のレート制限だけでは不十分です。

クレデンシャルスタッフィングの攻撃手法と防御を体系的に学ぶには、不正ログイン対策の専門書 (Amazon)が参考になります。

攻撃の規模と自動化

現代のクレデンシャルスタッフィング攻撃は、IP アドレスのローテーション、人間の行動の模倣、CAPTCHA の自動解決など、高度な手法を駆使します。攻撃者は 1 時間に数百万件の認証情報を、数百のサービスに対して同時にテストできます。クラウドインフラの利用により攻撃コストは低下し、攻撃ツールは SaaS として月額数十ドルで提供されるケースもあります。注意すべき点として、住宅用プロキシ (Residential Proxy) を利用する攻撃が増加しており、一般家庭の IP アドレスからのアクセスに見せかけるため、IP レピュテーションによる検知が困難になっています。

クレデンシャルスタッフィングへの防御策

サービスごとに固有のパスワードを使用する

クレデンシャルスタッフィングに対する最も効果的な防御策は、パスワードの使い回しを完全に排除することです。パスつく.com で各サービスに固有の暗号学的に強力なパスワードを生成してください。1 つのサービスが侵害されても、他のアカウントは安全に保たれます。16 文字以上、英大文字・英小文字・数字・記号の 4 種類を含むパスワードを設定すれば、約 105 ビットのエントロピーが得られ、ブルートフォースによる解読も事実上不可能です。

多要素認証を有効化する

多要素認証 (MFA) は、クレデンシャルスタッフィングに対する重要な第二防衛線です。攻撃者が正しいパスワードを持っていても、第二要素がなければアカウントにアクセスできません。Microsoft の調査では、MFA を有効にしたアカウントは不正アクセスの 99.9% を防御できるとされています。メール、金融サービス、SNS のアカウントを優先的に MFA で保護してください。SMS 認証よりも、認証アプリ (TOTP) や FIDO2 セキュリティキーの方が安全性が高いです。ただし、SIM スワップ攻撃により SMS 認証が突破されるケースも報告されているため、可能な限り TOTP またはハードウェアキーを選択しましょう。

漏洩通知を監視する

漏洩通知サービスに登録し、自分の認証情報がデータ漏洩に含まれた場合に即座に把握できるようにしましょう。通知を受けたら、該当するパスワードをパスつく.com で直ちに変更してください。同じパスワードを使い回していた場合は、関連するすべてのアカウントのパスワードも更新する必要があります。これを機に、すべてのアカウントのパスワードを固有のものに切り替えることを強く推奨します。

アカウントアクティビティを定期的に確認する

アカウントのログイン履歴とアクティブセッションを定期的に確認してください。見覚えのない場所やデバイスからのログインがないか注意します。多くのサービスが新しいログインに対するメール通知を提供しています。これらのアラートを有効にし、不審なログインを早期に検知できる体制を整えましょう。

パスワードの使い回し防止とアカウント保護を強化するには、アカウント乗っ取り対策の実践書 (Amazon)が実践的です。

パスつく.com で防御戦略を構築する

パスつく.com は、クレデンシャルスタッフィングに対する最も根本的な防御ツールです。すべてのアカウントに固有のパスワードを生成することで、クレデンシャルスタッフィングが依存する「パスワードの使い回し」という連鎖を断ち切ります。Web Crypto API による暗号学的に安全な乱数生成で、人間の癖や偏りが一切入らない真にランダムなパスワードを得られます。

まずはメール、銀行、SNS など最も重要なアカウントのパスワードをパスつく.com で変更することから始めましょう。その後、残りのアカウントも順次更新していきます。多要素認証の有効化と漏洩監視を組み合わせることで、クレデンシャルスタッフィング攻撃に対する堅固な防御体制を構築できます。パスワードの使い回しをゼロにすることが、この攻撃を無力化する唯一にして最善の方法です。

関連記事

パスワードを生成する →