クレデンシャルスタッフィング くれでんしゃるすたっふぃんぐ
簡単に言うとこんな感じ!
どこかで流出したID・パスワードのリストを使って、「このパスワード、他のサービスでも通じるんじゃない?」と片っ端から試す攻撃だよ。パスワードの使い回しをしてる人が狙われる、超リアルな脅威なんだ!
クレデンシャルスタッフィングとは
クレデンシャルスタッフィング(Credential Stuffing)とは、過去に流出したIDとパスワードの組み合わせリストを使い、別のWebサービスへの不正ログインを自動的に大量試行するサイバー攻撃手法です。「クレデンシャル(credential)」は「認証情報(IDとパスワードのセット)」、「スタッフィング」は「詰め込む」という意味で、流出した認証情報をログイン画面に次々と詰め込んでいくイメージです。
攻撃者はまず、ダークウェブ(一般的な検索エンジンからはアクセスできない闇のネットワーク)で売買されている流出済みの認証情報リストを入手します。次に、ボット(自動プログラム)を使って対象サービスのログイン画面にリスト内の認証情報を次々と入力し、ログインできるアカウントを探し出します。パスワードを使い回しているユーザーが多ければ多いほど、攻撃は成功しやすくなります。
この攻撃が厄介なのは、「正しいパスワードを使って正規のログインをしている」ように見えるため、システム側が不正アクセスと気づきにくい点です。ECサイトのポイント不正利用、銀行口座への不正アクセス、企業の機密情報漏えいなど、実害に直結する攻撃として世界中で被害が報告されています。
攻撃の仕組みと流れ
クレデンシャルスタッフィングは、次のステップで進行します。
| ステップ | 内容 | 攻撃者がやること |
|---|---|---|
| ① 流出情報の入手 | 過去の情報漏えい事件で流出したID・パスワードリストを取得 | ダークウェブで購入・入手 |
| ② ツールの準備 | 大量ログインを自動化するボットや専用ツールを用意 | SentryMBA・OpenBulletなどのツールを使用 |
| ③ 大量試行 | 対象サービスのログインAPIやフォームにリストを「詰め込む」 | 1秒間に数百〜数千回の試行を自動実行 |
| ④ 成功リストの抽出 | ログインに成功したアカウントを自動で選別 | 「当たり」アカウント一覧を生成 |
| ⑤ 悪用 | 乗っ取ったアカウントを悪用 | ポイント窃取・個人情報売却・送金など |
ブルートフォース攻撃との違い
似たような攻撃にブルートフォース攻撃(総当たり攻撃)がありますが、大きな違いがあります。
| 比較項目 | クレデンシャルスタッフィング | ブルートフォース攻撃 |
|---|---|---|
| 使うパスワード | 実際に流出した本物のパスワード | あらゆる文字の組み合わせを総当たり |
| 試行回数 | 比較的少ない(リストの件数分) | 膨大(数億〜数兆回) |
| 成功率 | パスワード使い回しがあれば高い | 長いパスワードは非現実的 |
| 検知の難しさ | 正規ログインに見える=難しい | 試行回数で検知しやすい |
「パスワードリスト攻撃」との関係
日本ではパスワードリスト攻撃(リスト型攻撃)とも呼ばれます。クレデンシャルスタッフィングはその英語の正式名称であり、意味はほぼ同じです。IPAや警察庁の資料では「パスワードリスト攻撃」という表記がよく使われます。
歴史と背景
- 2011年〜2013年頃 — LinkedIn・Adobe・Evernoteなど大手サービスで数千万件規模の情報漏えいが相次ぎ、流出した認証情報がダークウェブに大量に出回り始める
- 2014年頃 — 流出リストを使った自動ログイン試行ツールが登場し、専門知識がなくても攻撃できる環境が整う
- 2016年 — 「Collection #1」など数十億件規模の認証情報コンボリスト(IDとパスワードの組み合わせ集)がネット上に出回り始める
- 2017〜2018年 — 日本でも大手ECサイト・航空会社のマイレージ・金融機関など多数でパスワードリスト攻撃による被害が急増し、社会問題化
- 2019年 — Akamai社の調査で、同社が観測したログイン試行の約90億回がクレデンシャルスタッフィング由来と報告され、規模の大きさが明らかになる
- 2020年代〜現在 — ダークウェブ上の流出情報は累計100億件以上とも言われ、攻撃手法も進化。AIを使ったボットが人間の操作を模倣し、検知をより困難にしている
攻撃経路と対策の全体像
ユーザー側でできる対策
- パスワードの使い回しをしない — これが最大の防御。サービスごとに異なるパスワードを設定する
- パスワードマネージャーを使う — 複雑でバラバラなパスワードを安全に管理できるツール(1Password・Bitwarden・LastPassなど)
- 多要素認証(MFA)を有効にする — パスワードが漏れていても、スマホへのワンタイムパスワード(OTP)がないとログインできなくなる
- 流出確認サービスを活用する — Have I Been Pwned? などで自分のメールアドレスが流出していないか確認できる
システム・サービス提供者側でできる対策
| 対策 | 内容 | 効果 |
|---|---|---|
| MFA(多要素認証)の導入 | ログイン時にパスワード以外の認証を追加 | ◎ 最も効果的 |
| ボット検知(CAPTCHA) | 人間かボットかを見分けるチャレンジ | ○ 自動試行を遅延・阻止 |
| IPレートリミット | 同一IPからの試行回数を制限 | ○ 大規模試行を抑制 |
| デバイスフィンガープリント | 普段と異なる端末からのログインを検知 | ○ 異常検知に有効 |
| クレデンシャルチェック | 入力されたパスワードが流出済みか照合 | ○ 流出済みパスワードを拒否 |
| ゼロトラストアーキテクチャ | ログイン後も継続的に信頼を検証する設計 | ◎ 根本的な設計改善 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 8959 | 「secret-token」URIスキーム。認証トークンの安全な取り扱いに関する仕様 |
| RFC 6749 | OAuth 2.0フレームワーク。パスワードに依存しない認証委譲の仕組みを定義 |
| RFC 6238 | TOTP(時刻ベースのワンタイムパスワード)。MFAの中核技術 |
| RFC 4226 | HOTP(HMACベースのワンタイムパスワード)。TOTPの基盤となる仕様 |
関連用語
- 多要素認証(MFA) — パスワード以外の認証要素を追加してセキュリティを強化する仕組み
- ブルートフォース攻撃 — パスワードをあらゆる組み合わせで総当たりする攻撃手法
- パスワードマネージャー — 複数サービスの異なるパスワードを安全に保管・管理するツール
- ダークウェブ — 通常の検索エンジンからアクセスできない匿名性の高いネットワーク空間
- ゼロトラスト — 「何も信頼しない」を前提に継続的に認証・検証するセキュリティ設計思想
- フィッシング — 偽サイト・偽メールで認証情報をだまし取る攻撃手法
- CAPTCHA — 人間とボットを見分けるための自動チャレンジテスト
- アカウント乗っ取り(ATO) — 不正ログインによりユーザーのアカウントを乗っ取る攻撃の総称