クレデンシャルスタッフィング攻撃とは?

クレデンシャルスタッフィング攻撃とは?

サイバー犯罪者が認証情報セットを利用して同時に複数のアカウントへアクセスを試みようとすることを、クレデンシャルスタッフィング攻撃と呼びます。インターネットユーザーの約 3 分の 2 はパスワードの使いまわしをしているため、クレデンシャルスタッフィング攻撃は効率的な攻撃方法です。サイバー犯罪者は盗まれた認証情報を数分から数時間の間で数千のウェブサイトへ入力し、ソーシャルメディア・アカウントから会社専用のソフトウェアに至るまで、すべての情報を抜き出します。

クレデンシャルスタッフィング攻撃対パスワードスプレー攻撃

パスワードスプレー攻撃は、認証されたユーザー名を、複数のアカウントに、複数の異なる一般的なパスワードと組み合わせて入力することで機能します。優れたパスワード習慣を実践していない場合、一般的なパスワードを推測され、そのアカウントのほとんどまたはすべてが危険にさらされる可能性があります。

クレデンシャルスタッフィング攻撃の原因はパスワードの使いまわしです。複数のアカウントに対して同じパスワードを使いまわしているユーザーが極めて多いため、1 つの認証情報セットだけでユーザーアカウントすべてから情報を抜き出してしまう危険性があります。サイバー犯罪者は BotNets などのボットを悪用し、たった 1 つの認証情報セットを縦横無尽に攻撃に活かし、複数のデバイスから複数のアカウントへ攻撃を実行します。

攻撃者がクレデンシャルスタッフィング攻撃に成功すると、銀行情報やソーシャルメディアのアカウントなどをコントロールされる可能性があります。その結果、金銭やその他の資産の窃盗、恐喝、個人情報の流出などにつながる可能性があります。

クレデンシャルスタッフィング攻撃の検知方法

クレデンシャルスタッフィング攻撃を早期に検知することで、対抗策を講じ、アカウントを保護する時間的余裕が生まれます。対応方法はこちらです:

個人ユーザー向け:

クレデンシャルスタッフィング攻撃を検知するには、すべてのアカウントに 2FA/MFA 認証を義務付けるだけでよいのです。これにより、アカウントが改ざんされている可能性がある場合は警告が表示され、アカウントにログインするために追加のクレデンシャルが必要になります。

BreachWatch® もまた、漏洩したアカウントをダークウェブでモニタリングし、盗まれたクレデンシャルが自分のものと一致した場合に即座に警告を発する、個人情報保護ツールです。

ビジネスユーザー向け:

  • ボットによる異常トラフィックの検知 これらのツールは受信しているウェブトラフィック内の異常検知を補助し、ボットを受信した場合に通知してくれます。クレデンシャルスタッフィング攻撃の可否は自律ボットが素早く認証情報へ侵入できるかに左右されますので、検知さえできれば早めに対応策を実行できます。
  • 共有ログインの漏洩データベースを常時スキャンします。 データベースのスキャンを含めた定期的なシステムメンテナンスを実行することで、早期に警告し、データ漏洩による損害を未然に防げる可能性が上がります。
  • デバイスフィンガープリントとブラウザフィンガープリントを使用します。 生体認証ログイン情報は強固かつオリジナル性の高いログイン方法です。生体認証とパスワードを組み合わせることで、アカウントの強度は 10 倍になります。
  • VPN のモニタリング
  • BreachWatch for Business。 BreachWatch は強力なビジネス用ダークウェブモニタリングツールです。流出したパスワードがないか従業員の Keeper ボルト内を常時スキャンしてくれます。漏洩情報を検知すると即座にユーザーへアラート通知し、貴社組織を保護するために対抗策を講じるよう警告してくれます。

クレデンシャルスタッフィング攻撃の予防策

ユーザーとしてクレデンシャルスタッフィングを防止するために

  • 可能な限り 2FA/MFA を使用する
  • パスワードセキュリティの研修
  • Keeper のようなパスワードマネージャーを使用して、強力でランダムなパスワードと安全なログイン情報を自動生成する
  • パスワードを使い回さない
  • 強固なログイン認証情報と同時に難解なセキュリティの質問を使用

企業としてクレデンシャルスタッフィングを防止するために

  • すべての企業アカウントに 2FA/MFA を導入する
  • ログインページで CAPTCHA を使用
  • パスワードとサイバーセキュリティに関する社内研修全体を強化
  • 厳密なサイバーセキュリティポリシーを制定
  • 自律システム番号からのトラフィックを制限
  • Web Application Firewall(ウェブアプリケーションファイアウォール)(WAF)を使用
  • IP ブロックリストを使用した認証/ログインリクエストの要求を制限
  • ウェブ情報/履歴に記載されている既知の不正 IP に関する実行リスト/ブロックを継続実行
  • ビジネスで BreachWatch を使用

クレデンシャルスタッフィングの例

Dunkin' Donuts(ダンキンドーナツ)クレデンシャルスタッフィング攻撃

人気フードチェーン店 Dunkin Donuts(ダンキンドーナツ)が 2 度にわたりクレデンシャルスタッフィング攻撃の被害を受け、電話番号、メールアドレス、口座番号などの個人情報が流出しました。

Nintendo(任天堂)クレデンシャルスタッフィング攻撃

2020 年 3 月、数千人ものユーザーが任天堂のアカウントに不正にログインされ、メールアドレスや名前などの個人情報を含むアカウントが流出したことを報告しました。任天堂の報告によると、これらのクレデンシャルは、クレデンシャルスタッフィング、フィッシング、またはその両方の組み合わせによって盗まれたとのことです。

Zoom(ズーム)クレデンシャルスタッフィング攻撃

パンデミック時の Zoom の台頭は、ビデオ会議サービスに対する大きな需要を生み出しましたが、同時にそのサービスのユーザーを潜在的なサイバー攻撃にさらすことになりました。この市場で最大級のサービスである Zoom は、招かれざるユーザーが Zoom 会議に入り込んで「クラッシュ」させる「Zoom Bombing(Zoom 爆弾)」など、サイバーセキュリティの問題をいくつか経験することとなりました。

Zoom のユーザー名とパスワード 50 万件以上がダークウェブで売買されました。Zoom 側のデータ漏洩ではなく、クレデンシャルスタッフィング攻撃によるアカウントであることが確認されました。

ダンキンドーナツ社の報告によると数千もの認証情報が流出しましたが、他社へのハッキングにより流出した認証情報が使用されていたことが原因だと考えられています。この事件はクレデンシャルスタッフィング攻撃の代表例と言えます。

クレデンシャルスタッフィングにご注意ください

クレデンシャルスタッフィング攻撃は、個人データや企業データを深刻な危険にさらす可能性があります。クレデンシャルスタッフィングを検知する方法を学べば、自分自身を守るために必要な措置を講じることができます。

close
ビジネス営業部
サポート
close言語を選択
close

Keeper Business と Enterprise (法人のお客様)

サイバー犯罪から企業を保護します。

無料トライアルを始める

公共機関と FedRAMP

サイバー犯罪者から機関や教育機関を保護します。

お問い合わせ

MSP

MSP 組織、エンドユーザーを保護し、新しい収益源を追加します。

無料トライアルを始める

Keeper Personal と Family (個人のお客様)

サイバー犯罪からあなたとご家族を保護します。

いますぐプロテクションをゲット
close

Keeper Business と Enterprise (法人のお客様)

サイバー犯罪から企業を保護します。

Business トライアルを開始

Keeper Personal と Family (個人のお客様)

サイバー犯罪からあなたとご家族を保護します。

個人トライアルを開始
日本語 (JP) お問い合わせ
App Store でダウンロード Google Play で入手