ニュース・イベント 
Gartnerマーケットシェア分析「2025年世界セ
2024 年のこれまでの時点で、多くの大手企業がクレデンシャルスタッフィング攻撃の被害にあっています。 クレデンシャルスタッフィング攻撃の被害にあった有名企業には、Roku、Okta、General Motors、Levi’s などが含まれます。 クレデンシャルスタッフィング攻撃は、サイバー犯罪者が盗んだログイン認証情報を使って、複数のアカウントに同時にログインしようとするものです。 多くの人がパスワードを使い回しているため、サイバー犯罪者は盗まれた認証情報を使って多くのアカウントにサインインし、従業員、顧客、組織のデータを漏洩させる可能性があります。
こうした主要なクレデンシャルスタッフィング攻撃、そしてあなたの会社を攻撃から保護する方法については、続きをお読みください。
Roku
テクノロジー企業でストリーミングサービスを提供している Roku は、2024 年 3 月に初めてクレデンシャルスタッフィング攻撃を受けたことを公表しましたが、2024 年 4 月 12 日には 2 度目の攻撃を受けました。 2 件のクレデンシャルスタッフィング攻撃により、合計 591,000 件の顧客アカウントが影響を受けました。 最初の攻撃では、無関係のサードパーティソースから盗まれたログイン認証情報が利用されて、約 15,000 アカウントがハッキングされました。 2024 年 4 月の 2 度目の攻撃では、さらに 576,000 アカウントが影響を受けました。 どちらの攻撃でも、ハッカーはクレジットカード番号やその他の機密情報にアクセスできませんでした。 ハッカーたちは約 400 のアカウントにログインし、ストリーミングのサブスクリプションやその他の Roku 製品を不正に購入しました。
クレデンシャルスタッフィング攻撃を受けた結果、Roku は 591,000 アカウントのすべてのパスワードをリセットし、400 アカウントで行われた不正な請求を取り消しました。 また、クレデンシャルスタッフィング攻撃の影響を受けたかどうかにかかわらず、すべての Roku アカウントで 2 要素認証(2FA)を有効にしました。 Roku 社ではこれらの攻撃について顧客に通知を行った際、同社のアカウント用に強固でランダムなパスワードを作成し、アカウントに不審な動きがないか監視するように、とすべての人にアドバイスを行いました。
Okta
2024 年 4 月 15 日、Okta はクレデンシャルスタッフィング攻撃を受けやすい同社のクロスオリジン認証機能の不審な動きに気づきました。 この攻撃は Okta の Customer Identity Cloud(CIC)認証を標的としたものであり、影響を受けた顧客の数は不明です。 Okta では、サイバー犯罪者が複数のエンドポイントにアクセスして、ログイン認証情報が漏洩したサービスにサインインしようと試みる事例が複数発生しました。 クラウドソフトウェアと IT サービスを行っている同社では、クロスオリジン認証機能を有効にしている顧客に、サイバー攻撃でログイン認証情報が漏洩したことを通知しました。 このクレデンシャルスタッフィング攻撃を受けて、Okta では影響を受けた顧客が攻撃の影響を軽減し、さらなる漏洩を防ぐための詳細なガイダンスを提供しました。 Okta のガイダンスの 1 つは、より安全なログイン体験のためにパスキーの使用を開始することでした。
ゼネラルモーターズ
2024 年には、ゼネラルモーターズ(GM)もクレデンシャルスタッフィング攻撃の被害にあいました。 2024 年 5 月 24 日、GM は 65 の顧客アカウントが不正にアクセスされ、自動車のアクセサリー部品や製品の購入が行われたことを発見しました。 GM では、サイバー犯罪者がクレデンシャルスタッフィング攻撃に利用したさまざまなログイン認証情報は、これとは無関係のデータ流出により入手されたものであったと考えています。 サイバー犯罪者は、顧客のアカウントで商品を購入しただけでなく、被害を受けた GM の顧客の名前、電話番号、自宅の住所にもアクセスした可能性が高いものとみられています。 サイバー犯罪者によって利用されたアカウントは、不正な支払いがあったとして払い戻しを受けました。
GM では、影響を受けた 65 のアカウントのすべての保有者に、パスワードをリセットして多要素認証(MFA)を有効にすることを求めました。 また、同社はこのサイバー攻撃について法執行機関に報告し、犯人の発見につなげようとしています。
Levi’s
2024 年 6 月 13 日、衣料品会社である Levi’s ではウェブサイトアクティビティが異常な急増をみせた後で、クレデンシャルスタッフィング攻撃を受けました。 サイバー犯罪者がサードパーティやデータ漏洩からログイン認証情報を入手し、ボットを使って Levi’s のウェブサイトにクレデンシャルスタッフィング攻撃を行い、72,000 を超える顧客アカウントが被害を受けました。 同日、Levi’s は影響を受けたすべてのアカウントに対して、パスワードを強制的にリセットさせる迅速な対応を行いました。 Levi’s では影響を受けた顧客に対して、サイバー犯罪者が注文履歴、名前、メールアドレス、自宅の住所、クレジットカード情報の一部を閲覧した可能性があると警告しました。 また、影響を受けたすべての顧客に対して、各自のアカウントで個人情報を検証し、パスワードを強力で一意のものに変更するよう強く示唆しました。
クレデンシャルスタッフィング攻撃から身を守りましょう
Keeper® のようなパスワードマネージャーに投資を行うことで、クレデンシャルスタッフィング攻撃から身を守ることができます。 パスワードマネージャーは、暗号化されたデジタルボルトによりパスワードを確実に保護します。 ビジネスパスワードマネージャーなら、すべての従業員に対して MFA を使用してアカウントにログインするよう義務づけることもできます。 個人であれ企業であれ、パスワードマネージャーを使用することで、サイバー犯罪者がクレデンシャルスタッフィング攻撃によってあなたの情報にアクセスするのを防ぎます。 BreachWatch と呼ばれるアドオンに投資することもできます。これは、パスワードが漏洩したり、ダークウェブで発見されたりした場合にリアルタイムで通知を行うものです。
今すぐ、Keeper パスワードマネージャーの 30 日間無料トライアル、または Keeper Businessの 14 日間無料トライアルを開始して、Keeper が強力なパスワードを使用し、それらを安全に保存していることをご確認ください。
