クレデンシャル・スタッフィングとは?知っておくべきこと

このクイックガイドでは、クレデンシャル・スタッフィングの基本、クレデンシャル・スタッフィング攻撃、およびクレデンシャル・スタッフィング攻撃を防ぐ方法について説明する。

おめでとうございます:あなたのオンライン・セキュリティが、まったく新しいレベルに引き上げられようとしています!今日は、クレデンシャル・スタッフィング攻撃について知っておくべきことをすべて学びます。この一般的なサイバー攻撃は、悪意のある攻撃者がデータ侵害で得たログイン認証情報を使って他のアカウントに侵入することを意味します。人々はパスワードを再利用するため、これは非常に効果的ですが、同時に簡単に防御できる攻撃でもあります!


私たちのほとんどは、オンライン・アカウントを作成し、そのすべてではないにせよ、いくつかのアカウントで同じ簡単なパスワードやユーザー名を使ったことがあるでしょう。そして今までに、オンライン・アカウントごとに異なるパスワードを作成し、大文字、小文字、数字、さらには記号を使用するように指示されたり、警告されたりしてきたことだろう。これを行う重要な理由のひとつは、クレデンシャル・スタッフィング攻撃に加担しないためです。

クレデンシャル・スタッフィング攻撃とは何か?

クレデンシャル・スタッフィング攻撃とは、攻撃者が(データ侵害に関与した)サービスから大量のログイン認証情報を盗み出し、その認証情報を使って他のオンライン・プラットフォーム上のあなたのアカウントに侵入しようとする場合に起こります。このガイドでは、「クレデンシャル・スタッフィングとは何か」「クレデンシャル・スタッフィング攻撃とは何か」といった疑問について説明するとともに、このような攻撃の被害に遭わないように身を守る方法について見ていきます。

目次

クレデンシャル・スタッフィングとはサイバー攻撃の一種で、ユーザー名、パスワード、電子メールアドレスなどの大量のユーザー認証情報がデータ侵害セットから取り出され、自動化ツールを使って他のサービスにログインするために使用されることで起こります。しかし、ハッカーはどのようにして認証情報を盗むのだろうか?攻撃者は、発生したデータ漏洩からパスワード、メールアドレス、ユーザー名(認証情報)のリストを入手し、それを使って他の多くのアカウントにログインしようとします。これが、オンラインアカウントごとに異なる強力なパスワードを使うことが非常に重要である理由のひとつです。name1234]のような弱いパスワードを同じように使っていると、クレデンシャル・スタッフィング攻撃の被害に遭う危険性があります。

Digital Shadowsのレポートによると、現在インターネット上には150億以上のクレデンシャルが盗まれている。ボットを使用して一般的なログイン保護を通過するスマートなクレデンシャル・スタッフィング・ツールとともに、これらのクレデンシャルが簡単かつ大量に入手可能であるため、クレデンシャル・スタッフィングはユーザーのアカウントにアクセスするために使用される最も一般的なテクニックの1つとなっています。

クレデンシャル・スタッフィング攻撃の仕組み

  1. 悪意のある攻撃者は、フィッシング攻撃、ウェブサイト違反、パスワード廃棄サイトからパスワードとユーザー名を入手します。
  2. これらの盗まれた認証情報は、ボットや自動化ツールを使ってソーシャルメディアサイトやオンライン銀行などのウェブサイトでテストされます。
  3. 認証情報が別のサイトと一致すれば、攻撃者は別のユーザー・アカウントへのアクセスに成功したことになります。

Anatomy of a credential stuffing attack. Anatomy of a credential stuffing attack.

クレデンシャル・スタッフィング攻撃は、攻撃者がデータ侵害からユーザー・クレデンシャルにアクセスした場合に起こります。その後、攻撃者は盗んだデータを使ってユーザーの他のアカウントにアクセスしようとします。

最近のクレデンシャル・スタッフィング攻撃

-Norton LifeLock- 2023年、Norton Lifelock Password Managerは、攻撃者が盗んだクレデンシャルを使ってユーザーアカウントにアクセスするクレデンシャルスタッフィング攻撃を受けました。925,000人以上が標的にされた。

-Zoom- 2020年、攻撃者は過去の侵害で流出したデータを使ってZoomのユーザーアカウントへのアクセスを試みた。この攻撃で50万人以上のZoomアカウントが侵害され、ダークウェブで販売された。

- 任天堂- 2020年、世界的なゲーム・エンターテインメント企業である任天堂は、16万件の任天堂アカウントが攻撃される被害に遭った。

2021年のリンクトイン、2014年と2017年のヤフー(ヤフーのアカウントを削除することを検討したほうがいい)、2019年のフェイスブック(フェイスブックはあなたについて多くのことを知っているため、これは特にひどい)など、長年にわたってさまざまな多国籍企業から多くのスキャンダラスなデータ漏洩が発生している。自分のデータが流出したかどうかを知りたい場合は、サイバーニュースの個人情報流出チェックや HaveIBeenPwnedをチェックすることができる。

しかし、私のアカウントのハッキングに成功したら、攻撃者は何ができるのでしょうか?

一旦攻撃者があるアカウントのログイン認証情報を手に入れたら、それはまた別のアカウントでも使える可能性があり、彼らができることは多岐にわたります。

- 保存されている価値やクレジットを盗んだり、買い物をしたりする。

- プライベートメッセージ、写真、文書、クレジットカード番号などの機密情報にアクセスする。

- あなたのアカウントからスパムやフィッシングメッセージを送信する。

- クレデンシャルを抜き取り、他の攻撃者に販売または取引する。

クレデンシャル・スタッフィング攻撃は、個人情報の窃盗、標的型フィッシング攻撃、あるいは単にPayPalやAmazonのアカウントにアクセスし、支払い情報を自分のために使用するなど、悪意のある行為者があなたに危害を加える他の多くの攻撃への道を開くため、深刻なサイバー脅威です。

クレデンシャル・スタッフィングとブルート・フォース攻撃の違いとは?

OWASPによると、クレデンシャル・スタッフィングはブルートフォース攻撃のサブセットですが、実際にはクレデンシャル・スタッフィング攻撃は従来のブルートフォース攻撃とはまったく異なります。ブルート・フォース攻撃では、攻撃者は事前のコンテキストや手がかりなしにパスワードを推測しようとします。ブルートフォース攻撃は、文字と数字が混ざったものや、よくあるパスワードの候補を使い、アカウントへのアクセスを試みます。これは、攻撃者がデータ侵害から盗まれた実際のデータを使用するクレデンシャル・スタッフィングと似ていますが、同じではありません。

総当たり攻撃から身を守るには、大文字と小文字、数字、特殊文字で構成された強力なパスワードを使用することをお勧めします。残念ながら、パスワードの強度はクレデンシャル・スタッフィング攻撃から身を守ることには役立ちません。これを防ぐ最善の方法は、アカウントごとに異なるパスワードを使用することです。

クレデンシャル・スタッフィング攻撃から身を守る方法

クレデンシャル・スタッフィング攻撃が成功する主な原因は、ユーザーが複数のアカウントに同じパスワードを使用していることです!幸運なことに、強力なパスワードを作成し、記憶する方法についてのガイドがあります。

すべてのパスワードをユニークで強力なものに更新する最も簡単な方法の一つは、KeePassXCのようなパスワードジェネレータを内蔵したパスワードマネージャを使用することです。こうすれば、すべてのパスワードが安全に保存され、パスワードマネージャーのログインを覚えておくだけで、すべての認証情報にアクセスできるようになります。Norton Lifelock Password Managerに対するクレデンシャル・スタッフィング攻撃が示しているように、パスワード・マネージャーを使うことはコインの表と裏がある:パスワードマネージャーが漏えいしたり、データ侵害を受けたりした場合、そこに保存されているすべてのパスワードがクレデンシャル・スタッフィング攻撃の犠牲になる危険性があります。そのため、パスワードを保護するために暗号化を使用し、BitwardenやKeePassのようにオープンソースとしてコードが公開されているパスワードマネージャのみを使用することが重要です。上記のリンクで紹介したおすすめのパスワード・マネージャーを選べば、そこに保存されているパスワードがデータ漏洩に遭う可能性は限りなくゼロに近い:これらのアプリは、あなた自身の暗号化キーでパスワードを保護するため、あなただけがパスワードを復号化できる。仮にデータ漏洩が起きたとしても、攻撃者はあなたのパスワードを吸い上げることはできない。

要するに、クレデンシャル・スタッフィング攻撃の被害に遭わないためには、アカウントごとに異なるユニークで強力なパスワードを用意する必要があるということだ。

ヤフーの情報漏えいの被害に遭わないために!

ヤフーのメールユーザーなら、データ流出事件に巻き込まれた可能性が高い。2013年には、30億のユーザーアカウントすべてが影響を受ける大規模なデータ流出が発生し、2014年にも5億以上のヤフーメールユーザーアカウントが流出した。ヤフーを捨てて、Tuta Mailのようなプライバシーに重点を置いた代替手段を選ぶ時だ。

ヤフーアカウントを削除したい場合は、ヤフーアカウントを削除する方法についてステップバイステップのガイドをご覧ください。また、データ流出事件に巻き込まれていないプライバシー重視のメールプロバイダーに変更したい場合は、Tuta Mailをお勧めします。Tuta MailとYahoo!メールの比較は、Yahoo vs Tuta Mailのガイドをご覧ください。

今日のオンライン世界では、プライバシーはますます難しくなり、ウェブユーザーには手の届かないものになってきています。Gmailで新しいメールアカウントを作成したいですか?あるいはオンラインでシャツを買いたい?その場合、まず個人情報のリストを提供する必要がある!これはインターネットがあるべき姿ではない。

残念ながら、マイクロソフト、グーグル、メタのような大手テック企業は、権力と金とデータに飢えているため、あなたの個人情報を収集し、アプリを通じてあなたを追跡し、あなたのデータを広告主に売って利益を上げている。その見返りに、あなたは広告ターゲットにされ、あなたが値するプライバシーを得られない。 ここでの大きな懸念は、これらの様々なオンラインサービスを利用するためには、常に携帯電話番号や電子メールアドレスなどの個人情報を提供する必要があるということだ。このため、これらのサービスの1つがデータ侵害に巻き込まれた場合、あなたの個人情報がそれほどプライベートなものではなくなってしまう可能性が高い!

アカウント作成時に個人情報の入力を求めないTuta Mailのようなプライバシー重視のメールプロバイダーに切り替えることをお勧めする。Tuta Mailなら匿名でサインアップでき、無料で、メールボックス全体がエンドツーエンドで暗号化されています。

Tutaは、厳格なEU GDPR法の下、ドイツで構築された電子メールとカレンダーのサービスです。しかしそれ以上に、Tutaは完全にオープンソースであり、厳格なプライバシーとセキュリティのプロトコルを遵守している。Tuta Mailは、世界で最も安全なEメールプロバイダとまではいかないまでも、Eメールのプライバシーとセキュリティの面ではリーダー的存在です。

今すぐ無料のTuta Mailアカウントにサインアップして、あなたにふさわしいオンラインプライバシーをお楽しみください。