クレデンシャルスタッフィングとブルートフォース攻撃の違いは何ですか？

クレデンシャルスタッフィングは過去のデータ侵害から盗まれた実際のユーザー名とパスワードの組み合わせを使用するのに対し、ブルートフォース攻撃はパスワードの組み合わせをランダムに生成または推測します。そのため、クレデンシャルスタッフィングはログイン試行に正規のクレデンシャルを使用することから、より効率的で検出が困難です。

なぜこれほど多くのアカウントがクレデンシャルスタッフィング攻撃に対して脆弱なのですか？

多くの人が複数のウェブサイトやサービスで同じパスワードを使い回しているため、1件のデータ侵害によって数十もの他のプラットフォームで有効なクレデンシャルが流出する可能性があります。攻撃者はボットを使って盗んだクレデンシャルを大規模に自動テストすることで、この広く蔓延した習慣を悪用します。

クレデンシャルスタッフィング攻撃から身を守るにはどうすればよいですか？

すべてのアカウントに固有の強力なパスワードを使用することがクレデンシャルスタッフィングに対する最も効果的な防御策であり、パスワードマネージャーで管理することが理想的です。多要素認証（MFA）を有効にすることで、パスワードが漏洩した場合でも重要な第二の防御層が加わります。

クレデンシャルスタッフィング

クレデンシャルスタッフィング：1件の侵害が多数の被害へと拡大するとき

複数のアカウントで同じパスワードを使い回したことがある方は多いはずです。そうした方は、クレデンシャルスタッフィングの標的になり得ます。これは現在サイバー犯罪者が使用する最も一般的かつ効果的な攻撃手法の一つであり、セキュリティよりも利便性を優先するという、人間に共通する習慣を悪用します。

クレデンシャルスタッフィングとは

クレデンシャルスタッフィングとは、ハッカーが過去のデータ侵害から入手した大量の漏洩ユーザー名・パスワードのリストを使い、数十から数百にのぼる様々なウェブサイトに対して組織的にログインを試みる、自動化されたサイバー攻撃の一種です。その論理はシンプルです。ゲームフォーラムとネットバンキングで同じメールアドレスとパスワードを使っていた場合、一方への侵入がそのまま他方への侵入を意味します。

ランダムなパスワードや辞書に基づくパスワードを試みるブルートフォース攻撃とは異なり、クレデンシャルスタッフィングはどこかで実際に機能したことが証明されている本物の認証情報を使用します。そのため、攻撃の効率は大幅に高く、検知も困難です。

攻撃の仕組み

攻撃のプロセスは一般的に以下のパターンをたどります。

データの入手 — 攻撃者はダークウェブのマーケットプレイスから、漏洩した認証情報データベースを購入またはダウンロードします。リストによっては数億件ものユーザー名・パスワードのペアが含まれている場合もあります。
自動化 — 攻撃者は「アカウントチェッカー」やクレデンシャルスタッフィングフレームワークと呼ばれる専用ツールを使い、盗んだ認証情報を読み込んでターゲットのログインページに向けて送信します。
分散型攻撃 — レート制限やIPブロックの発動を回避するため、攻撃者はボットネットや大量の住宅用プロキシを経由してトラフィックをルーティングし、世界中の数千もの異なるユーザーからログイン試行が行われているように見せかけます。
有効なアカウントの収集 — ソフトウェアはログインに成功したものにフラグを立て、攻撃者は確認済みアカウントへのアクセスを手に入れます。これらのアカウントは直接悪用されるか、転売されるか、さらなる詐欺に利用されます。

成功率は一般的に低く、0.1%から2%程度にとどまります。しかし、数百万件の認証情報をテストする場合、0.5%でも数千件のアカウント侵害につながります。

VPNユーザーにとっての重要性

VPNユーザーもクレデンシャルスタッフィングと無縁ではありません。実際、知っておくべき特有のリスクがあります。一部のVPNプロバイダー自体が攻撃対象となったケースもあります。過去の事例では、VPNサービスへのクレデンシャルスタッフィング攻撃によって、攻撃者がユーザーアカウントへアクセスし、場合によっては接続デバイスやプライベート設定にまで侵入したことがありました。

それだけでなく、すでに認証情報が漏洩している場合、VPNを使っていても保護されません。VPNはIPアドレスを隠し、通信を暗号化しますが、漏洩したサイトで使い回したパスワードを使って攻撃者がNetflixやメール、銀行口座にログインするのを防ぐことはできません。

ただし、VPNは間接的にリスクを軽減することができます。実際のIPアドレスを隠すことで、トラッカーやデータブローカーが複数のオンラインアカウントを紐付けたプロファイルを構築しにくくなり、侵害が発生した際の被害範囲を限定できる可能性があります。

実際の事例

2020年、複数のVPNプロバイダーや動画ストリーミングサービスが同時にクレデンシャルスタッフィング攻撃を受けました。攻撃者は無関係なゲームや小売業者の侵害から盗んだ認証情報を使用していました。
Disney+はサービス開始直後にアカウント乗っ取りの波に見舞われましたが、これはDisneyのシステムへの侵害によるものではなく、ユーザーが他の侵害済みサービスからパスワードを使い回していたことが原因でした。
金融機関では毎日数百万件ものクレデンシャルスタッフィングの試みが確認されており、その大半はレート制限と多要素認証によって防がれています。

自分を守るには

対策は明快です。ただし、習慣を変えることは容易ではありません。

すべてのアカウントに異なるパスワードを使用する。 パスワードマネージャーを使えば、これを現実的に実践できます。
可能な限り二要素認証（2FA）を有効にする。 攻撃者がパスワードを知っていても、第二の認証要素がなければログインできません。
HaveIBeenPwnedなどの侵害データベースを確認し、自分の認証情報が漏洩していないかチェックする。
見慣れない場所やデバイスからのログインがないか、アカウントの履歴を監視する。

クレデンシャルスタッフィングが機能するのは、人々がパスワードを使い回すからです。その習慣をやめれば、この攻撃はあなたにとってほとんど効果を失います。

クレデンシャルスタッフィング中級