- クレデンシャルスタッフィングとは、どこかのサービスから漏洩したIDとパスワードのリストを使い、他のサービスでも同じ組み合わせで不正ログインを試みる攻撃のことだ。
- パスワードを使い回しているユーザーが多いため、1件の漏洩が芋づる式に複数サービスの乗っ取りへと連鎖し、銀行口座やクレジットカードへの不正アクセスにまで発展してしまう。
- 仕組みを知っておけば、パスワードを使い回さないという一点を守るだけで、この攻撃の成立条件を根本から崩せる。
【深掘り】これだけは知っておけ
クレデンシャル(credential)は「認証情報(IDとパスワードのセット)」、スタッフィングは「詰め込む」の意味で、流出した認証情報をログイン画面に次々と詰め込む攻撃です。攻撃者はダークウェブで購入した過去の漏洩リストを自動化ツールで複数のサービスに試し、パスワードを使い回しているユーザーのアカウントを芋づる式に乗っ取ります。調査では全ユーザーの73%がパスワードを使い回しており、1人平均47個のアカウントに対して3種類以下のパスワードしか使っていないとされています。2020年には任天堂が約16万アカウントでこの攻撃を受けた事例があります。
ブルートフォース攻撃が実在しないパスワードを推測するのに対し、クレデンシャルスタッフィングは実際に使われていたパスワードを試すため成功率が高く、通常のログインと区別がつきにくいため発見が遅れます。企業側も、正規ユーザーと区別できないログイン試行を検知するのは難しく、気づいたときには数万件のアカウントが漏洩していることがあります。
Have I Been Pwned(haveibeenpwned.com)では自分のメールアドレスが過去の漏洩データに含まれているかを無料で確認できます。漏洩が確認されたパスワードは直ちに変更し、同じパスワードを使っている他のサービスも連鎖して変更してください。漏洩は自分のせいではなくサービス側のセキュリティ問題ですが、使い回しをやめることで被害の連鎖を自分で断ち切れます。
クレデンシャルスタッフィングの被害の流れ
| 段階 | 攻撃者の行動 | 被害の内容 |
|---|---|---|
| 漏洩リスト入手 | ダークウェブで過去の漏洩データを購入 | 被害者は気づかない |
| 自動ログイン試行 | 複数サービスにボットで自動試行 | 使い回しユーザーのアカウントが次々乗っ取られる |
| 二次利用・換金 | ポイント換金・不正送金・個人情報の転売 | 金銭的被害・個人情報の流出 |
典型的なフレーズ・文脈
(自動化ツール起動)漏洩リスト読み込み完了。1億件のID・パスワードのペア。Amazon・楽天・ネットバンキング・SNSへの一斉試行開始。使い回しユーザーにヒット:3,000件成功。
大規模な漏洩リストを使ってボットで複数サービスに自動試行し、パスワードを使い回しているユーザーのアカウントを大量乗っ取りする、クレデンシャルスタッフィングの典型的な流れです。
IPAは、過去の漏洩データを使って別サービスに不正ログインするクレデンシャルスタッフィングについて、パスワードの使い回しをやめることが最も確実な対策だと呼びかけています。
クレデンシャルスタッフィング被害の注意喚起を解説する報道番組や、IPAの呼びかけを想定した表現です。
使い回しをやめるだけでこの攻撃は防げます。パスワードマネージャーを使えばサービスごとに異なる強いパスワードを管理できます。漏洩を確認したらすぐに変更してください。
IPA担当者が、クレデンシャルスタッフィング対策としてパスワードの使い回し禁止とパスワードマネージャーの活用を助言する場面を想定しています。
困ったときの相談窓口
不正ログインや個人情報の流出被害が疑われる場合は以下に相談できます。
| 窓口名 | 電話番号 | 受付時間 | 対応内容 |
|---|---|---|---|
| IPA安心相談窓口 | 03-5978-7509 | 平日 10:00〜12:00、13:30〜17:00 | 不正アクセス・アカウント乗っ取りの相談 |
| 警察相談専用電話 | #9110 | 平日 8:30〜17:15(各都道府県で異なる) | 不正アクセス被害の相談 |
| 消費者ホットライン | 188 | 地域の窓口に準ずる | 不正利用・被害全般の相談 |
【まとめ】3つのポイント
- 正体は使い回しパスワードの連鎖被害:1件の漏洩から複数サービスへの不正ログインが芋づる式に広がります。
- 73%のユーザーが使い回している:この高い使い回し率が攻撃を成立させています。
- 使い回しをやめれば防げる:サービスごとに異なるパスワードを使い、多要素認証を設定することで連鎖を断ち切れます。
よくある質問
-
Q自分のパスワードが漏洩しているか確認できますか?
-
A
Have I Been Pwned(haveibeenpwned.com)で自分のメールアドレスを入力すると、過去の大規模な漏洩データに含まれているかを無料で確認できます。また、Googleアカウントを使っている場合、Chromeのパスワードマネージャーでも漏洩パスワードの確認機能があります。漏洩が確認されたパスワードは、そのサービスだけでなく同じパスワードを使っているすべてのサービスで即時変更してください。
-
Q多要素認証を設定していればクレデンシャルスタッフィングは防げますか?
-
A
大幅に防御力が上がります。多要素認証を設定しておけば、パスワードが漏洩して攻撃者がログインしようとしても、SMS・認証アプリ・ハードウェアキーなど第二の認証要素が必要になるため、不正ログインをブロックできます。ただし、SIMスワップ攻撃があるため、SMS認証よりも認証アプリ(Google Authenticatorなど)の方がより安全です。多要素認証はクレデンシャルスタッフィングへの最も有効な対策の一つです。
-
Qアカウントが乗っ取られた場合、どう対処すれば?
-
A
まずサービスのパスワードリセット機能で新しいパスワードを設定し、全端末からログアウトしてください。次に多要素認証を有効にします。ポイントや残高が不正利用された場合はサービスの運営元に連絡して被害を申告してください。クレジットカード情報が登録されていれば、カード会社にも連絡して不正利用がないかを確認します。被害が大きい場合は#9110にも相談を。
-
Qクレデンシャルスタッフィングとパスワードリスト攻撃の違いは何ですか?
-
A
ほぼ同じ手口を指す言葉ですが、強調する点が異なります。クレデンシャルスタッフィングは「漏洩した認証情報(クレデンシャル)を使い回し前提で詰め込む」攻撃全般を指します。パスワードリスト攻撃は日本でよく使われる呼び方で、同様の意味です。いずれも過去の漏洩データを使って複数サービスに試行する点が共通しており、対策も同じです。
-
この用語と一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| ブルートフォースアタック | ブルートフォースアタック(総当たり攻撃)とは、パスワードのすべての組み合わせを自動で試し続けることで、不正ログインを試みる攻撃のことだ。 |
| ダスティング攻撃 | ダスティング攻撃とは、攻撃者が大量のウォレットに極めて少額の暗号資産(ダスト)を送りつけ、その後の動きを追跡してウォレットの持ち主を特定しようとする攻撃のことだ。 |
| クロスサイトスクリプティング | クロスサイトスクリプティング(XSS)とは、Webサイトの脆弱性を突いて不正なスクリプトを埋め込み、そのサイトを閲覧したユーザーのブラウザ上でスクリプトを実行させる攻撃だ。 |
| ホエーリング | ホエーリングとは、CEO・CFO・役員など企業の経営幹部だけを狙い撃ちにした、高度にパーソナライズされたフィッシング攻撃のことだ。 |
この手口が実際に使われた事件
| 事件 | この記事との関連 |
|---|---|
| ホテル従業員のカード不正利用 | ホテルのインサイダー詐欺とは、 コンシェルジュやフロントスタッフなどの従業員が、業務上アクセスできる顧客のクレジットカード情報を盗み不正利用する 内部犯行である |
| ケビン・ミトニック | ケビン・ミトニックは ソーシャルエンジニアリング (人間の心理を利用した情報窃取)を武器に、DEC、パシフィック・ベル、モトローラ、ノキアなど大企業のシステムに侵入した伝説のハッカーである |
| オレオレ詐欺のリーダー格 | オレオレ詐欺の組織は 主犯格を頂点としたピラミッド構造 で運営される。主犯格は犯罪の実行に直接関わらないため捕まりにくく、暴力団関係者であることも多い |
コメント