クレデンシャルスタッフィングとは
この記事は約 2 分で読めます
クレデンシャルスタッフィングとは、過去のデータ漏洩で流出した ID (メールアドレス) とパスワードの組み合わせを、別のサービスに対して自動的に入力し、不正ログインを 試みる攻撃手法です。多くのユーザーが複数のサービスで同じパスワードを使い回して いるという実態を悪用した攻撃であり、パスワードの使い回しが最大のリスク要因です。
攻撃の流れ
攻撃者はまず、ダークウェブなどで売買されている漏洩データベースを入手します。 このデータベースには数百万から数十億件の ID とパスワードの組み合わせが含まれて います。次に、ボットネットや自動化ツールを使って、これらの認証情報を 標的サービスのログインフォームに大量に入力します。パスワードを使い回している ユーザーのアカウントは、この攻撃で容易に突破されてしまいます。
漏洩データの実態については、データ漏洩とサイバー犯罪の書籍 (Amazon)で詳しく解説されています。
防御策
最も効果的な対策は、サービスごとに異なるパスワードを使用することです。 パスつく.com でサービスごとにランダムなパスワードを生成し、パスワードマネージャーで 管理すれば、1 つのサービスで漏洩が発生しても他のサービスへの影響を完全に遮断できます。 Have I Been Pwned などのサービスで自分のメールアドレスが漏洩データに含まれて いないか定期的に確認することも重要です。パスワード管理の実践ガイド (Amazon)も参考になります。