クレデンシャル スタッフィングは、攻撃者が自動化されたスクリプトを使用して、さまざまな Web サイトでユーザー名とパスワードの組み合わせをテストするサイバー攻撃の方法です。攻撃者は多くの場合、以前のデータ侵害からこれらのユーザー名とパスワードのペアを取得し、それを使用してさまざまなプラットフォームのユーザー アカウントに不正にアクセスしようとします。
クレデンシャルスタッフィングの歴史とその最初の言及
「クレデンシャル スタッフィング」という用語は、何百万ものユーザー認証情報が漏洩した大規模なデータ侵害が大幅に増加した 2000 年代後半に初めて登場しました。これは基本的にブルート フォース攻撃手法の進化形ですが、クレデンシャル スタッフィング攻撃では、ユーザー名とパスワードのランダムな組み合わせを試すのではなく、個人がすでに使用した組み合わせを使用します。
クレデンシャル スタッフィングの最初の事例は、攻撃者が Adobe のデータ侵害を悪用し、約 1 億 5,300 万件のアカウントを漏洩させた 2014 年に遡ります。攻撃者は漏洩したこれらのクレデンシャル ペアをさまざまな Web サイトでテストし、多数のアカウントへの不正アクセスに成功しました。
クレデンシャルスタッフィングの徹底調査
クレデンシャル スタッフィングは、サイバーセキュリティにとって大きな脅威です。主な理由は、多くの人が複数の Web サイトで同じパスワードを使用しているためです。データ侵害によりこれらのパスワードが漏洩した場合、攻撃者は同じ個人が所有する複数のアカウントにアクセスできるようになります。
クレデンシャル スタッフィング攻撃は通常自動化されており、ボットを使用して、資格情報のペアを標的の Web サイトに体系的に入力します。Web サイトにこのような攻撃を検出して防止するための効果的なセキュリティ対策がない場合、攻撃者は短期間で数千の資格情報のペアをテストできます。
こうした攻撃の規模と潜在的な影響は甚大です。たとえば、2018 年にセキュリティ会社 Shape Security は、電子商取引 Web サイトへのログイン試行の 90% がクレデンシャル スタッフィング攻撃であると推定しました。
クレデンシャルスタッフィングの内部構造
クレデンシャル スタッフィング攻撃の内部構造には、次の 3 つの主要コンポーネントが含まれます。
-
漏洩した資格情報データベース: これらは、データ侵害から取得されたユーザー名とパスワードの組み合わせを含むデータベースです。これらのデータベースは、ダーク ウェブで入手できる場合がよくあります。
-
自動化ツール: これらのツールは「クレデンシャル スタッフィング」とも呼ばれ、攻撃を自動化するために使用されます。これらのツールは、ユーザー名とパスワードのペアを標的の Web サイトのログイン フィールドに入力します。
-
プロキシネットワーク: 攻撃者はプロキシ ネットワークを使用して IP アドレスを隠し、検出を回避します。
このプロセスは比較的簡単です。自動化ツールがデータベースから資格情報のペアを選択し、プロキシ サーバー経由で Web サイトに入力し、ログイン試行が成功したかどうかを記録します。
クレデンシャルスタッフィングの主な特徴
クレデンシャルスタッフィング攻撃の主な特徴は次のとおりです。
- オートメーション: クレデンシャル スタッフィング攻撃は自動化されており、攻撃者は短時間で何千ものクレデンシャルをテストできます。
- データ侵害を活用: これらの攻撃は、以前にデータ侵害によって漏洩したデータに依存しています。
- 検出が難しい: 正当なユーザー名とパスワードのペアとプロキシ サーバーが使用されるため、クレデンシャル スタッフィング攻撃を検出するのは困難です。
- 広範囲にわたる影響: ユーザーは複数の Web サイトでパスワードを再利用することが多いため、攻撃が成功すると、同じユーザーが所有する複数のアカウントが侵害される可能性があります。
クレデンシャルスタッフィングの種類
クレデンシャル スタッフィングには主に 2 つの種類があります。
-
従来のクレデンシャルスタッフィング: この場合、攻撃者は単純なスクリプトまたはボットを使用して、漏洩した資格情報を標的の Web サイトで試します。
-
高度な永続的な資格情報の詰め込み: このタイプの攻撃者は、より洗練されたツールと方法を使用し、検出を回避するために IP アドレスをローテーションしたり、人間のような動作を模倣したりすることがよくあります。
| クレデンシャルスタッフィングタイプ | 使用したツール | 洗練度レベル |
|---|---|---|
| 伝統的 | 単純なボットまたはスクリプト | 低い |
| 高度な永続性 | 高度なボット、IPアドレスのローテーション、人間の行動模倣 | 高い |
クレデンシャルスタッフィングの使用方法、問題、解決策
クレデンシャル スタッフィング攻撃は、企業と個人の両方に重大なセキュリティ リスクをもたらします。これらの攻撃は、不正アクセス、データ盗難、金銭的損失、その他の深刻な結果につながる可能性があります。
ただし、これらのリスクを軽減する方法はいくつかあります。
- 多要素認証 (MFA): MFA では、ユーザーに追加の身元証明を提供するよう要求し、クレデンシャル スタッフィング攻撃を効果的に防止できます。
- CAPTCHAの使用: CAPTCHA は人間のユーザーとボットを区別するのに役立ち、自動攻撃の成功率を低下させます。
- 資格情報の監視: 資格情報を定期的に監視して保護することで、潜在的な脅威を検出し、軽減することができます。
- IP レート制限: この手法により、単一の IP アドレスから実行できるログイン試行回数が制限され、攻撃者が操作を実行することがより困難になります。
クレデンシャルスタッフィングと類似用語
| 学期 | 説明 |
|---|---|
| クレデンシャルスタッフィング | 攻撃者が以前に漏洩した資格情報を使用して、ユーザー アカウントに不正にアクセスする攻撃方法。 |
| ブルートフォース攻撃 | 攻撃者がアクセスを取得するためにユーザー名とパスワードのあらゆる組み合わせを試す攻撃方法。 |
| パスワードスプレー | アカウントのロックアウトを回避するために、攻撃者がいくつかのよく使用されるパスワードを多数のアカウントに対して試してから、別のパスワードを試す攻撃方法。 |
クレデンシャルスタッフィングに関する展望と将来の技術
デジタルの世界が進化するにつれ、攻撃者が使用する手法も進化しています。Advanced Persistent Credential Stuffing はその明確な例です。しかし、このような脅威に対抗する技術も進化しています。ユーザーの行動を研究して異常を特定する行動バイオメトリクスなどの技術が、クレデンシャル スタッフィングに対抗するために使用されています。機械学習と AI も、これらの攻撃を検出して防止するために使用されています。
将来的には、より洗練された CAPTCHA 技術、MFA のより一般的な使用、脅威の検出と軽減のための AI と機械学習の使用の増加など、より高度なセキュリティ対策が見られるようになると予想されます。
プロキシサーバーとクレデンシャルスタッフィング
プロキシ サーバーは、クレデンシャル スタッフィング攻撃において重要な役割を果たします。攻撃者は、多くの場合、プロキシ サーバーを使用して IP アドレスを隠し、検出を回避します。ただし、プロキシ サーバーは解決策の一部にもなります。一部のプロキシ サーバーには、疑わしいアクティビティを検出してブロックするツールが装備されており、クレデンシャル スタッフィングに関連するリスクを軽減するのに役立ちます。
さらに、企業はプロキシ サーバーを使用してセキュリティをさらに強化できます。すべてのトラフィックをプロキシ サーバーに送ることで、組織は転送されるデータを監視および制御できるため、不正アクセスを防ぎ、機密情報を保護できます。
関連リンク
- オープン Web アプリケーション セキュリティ プロジェクト (OWASP)
- アメリカ国立標準技術研究所 (NIST) – デジタル ID ガイドライン
- クレデンシャルスタッフィングに関する FBI の公共広告
自分自身とビジネスをクレデンシャルスタッフィング攻撃から保護するには、サイバーセキュリティに関する最新情報と開発状況を常に把握しておくことが重要です。
