クレデンシャルスタッフィングとは
この記事は約 2 分で読めます
クレデンシャルスタッフィングとは、過去のデータ漏洩で流出した ID (メールアドレス) とパスワードの組み合わせを、別のサービスに対して自動的に入力し、不正ログインを試みる攻撃手法です。多くのユーザーが複数のサービスで同じパスワードを使い回しているという実態を悪用した攻撃であり、パスワードの使い回しが最大のリスク要因です。 2024 年の Verizon DBIR によると、 Web アプリケーション攻撃の約 86% が窃取された認証情報を利用しており、この傾向は年々強まっています。
攻撃の流れ
攻撃者はまず、ダークウェブなどで売買されている漏洩データベースを入手します。このデータベースには数百万から数十億件の ID とパスワードの組み合わせが含まれています。次に、ボットネットや自動化ツールを使って、これらの認証情報を標的サービスのログインフォームに大量に入力します。パスワードを使い回しているユーザーのアカウントは、この攻撃で容易に突破されてしまいます。
漏洩データの実態については、データ漏洩とサイバー犯罪の書籍 (Amazon)で詳しく解説されています。
現場での使用例
「WAF のログを確認したところ、昨夜 22 時から 6 時間にわたり約 200 万件のクレデンシャルスタッフィング攻撃を検知しました。攻撃元 IP は 50 か国以上に分散しており、ボットネットの利用が疑われます。」
攻撃フロー
防御策
最も効果的な対策は、サービスごとに異なるパスワードを使用することです。パスつく.com でサービスごとにランダムなパスワードを生成し、パスワードマネージャーで管理すれば、 1 つのサービスで漏洩が発生しても他のサービスへの影響を完全に遮断できます。 Have I Been Pwned などのサービスで自分のメールアドレスが漏洩データに含まれていないか定期的に確認することも重要です。パスワード管理の実践ガイド (Amazon)も参考になります。
この記事は役に立ちましたか?