クレデンシャルスタッフィング攻撃：パスワード使い回しが招く危険

クレデンシャルスタッフィングとは

クレデンシャルスタッフィング (Credential Stuffing) は、過去のデータ漏洩で流出したユーザー名とパスワードの組み合わせを大量に使用し、さまざまな Web サービスへの不正ログインを自動的に試行するサイバー攻撃です。多くのユーザーが複数のサービスで同じパスワードを使い回しているという現実を悪用した、極めて効率的な攻撃手法です。

ブルートフォース攻撃がランダムなパスワードを総当たりで試すのに対し、クレデンシャルスタッフィングは実際に使用されていた認証情報を利用するため、成功率が格段に高くなります。一般的な成功率は 0.1〜2% とされていますが、数百万件の認証情報を試行すれば、数千〜数万件のアカウントが侵害される計算です。

攻撃の仕組みと流れ

認証情報の入手

攻撃者は、以下の方法で大量の認証情報を入手します。

• 過去のデータ漏洩事件で流出したデータベース (ダークウェブで売買される)
• フィッシング攻撃で収集した認証情報
• マルウェア (情報窃取型) によって盗まれた認証情報
• 公開されている漏洩データベース (Have I Been Pwned などで確認可能)

自動化ツールによる大量試行

攻撃者は専用のツール (ボット) を使用して、入手した認証情報を複数の Web サービスに対して自動的に試行します。こうした攻撃手法の詳細を理解するには、サイバー攻撃対策の書籍が参考になります。

1. 漏洩した認証情報リストをツールに読み込む
2. ターゲットとなる Web サービスのログインページを指定する
3. プロキシサーバーやボットネットを経由して、IP アドレスを分散させながら大量のログイン試行を実行する
4. ログイン成功した認証情報を記録し、アカウントを乗っ取る

検知回避の手法

高度な攻撃者は、以下の手法で検知を回避します。

• 数千〜数万の IP アドレスを使用してレート制限を回避する
• ログイン試行の間隔をランダムに変化させ、人間の操作を模倣する
• ヘッドレスブラウザや CAPTCHA 解決サービスを利用して自動化検知を回避する
• User-Agent やブラウザフィンガープリントをランダム化する

実際の被害事例

大規模な攻撃事例

• 2024 年、Roku が 57 万件以上のアカウントへのクレデンシャルスタッフィング攻撃を公表。攻撃者は侵害したアカウントを使用してストリーミングサービスのサブスクリプションを不正購入した
• 2024 年、23andMe が約 690 万人分のユーザーデータの漏洩を報告。クレデンシャルスタッフィングにより約 1 万 4,000 件のアカウントが直接侵害され、そこから連鎖的にデータが流出した
• 2025 年、大手金融機関を標的としたクレデンシャルスタッフィング攻撃が急増。FIDO Alliance の報告によると、金融セクターへの攻撃は前年比 65% 増加している

被害の影響

クレデンシャルスタッフィングによるアカウント侵害は、以下のような深刻な被害をもたらします。

• 金銭的被害：不正購入、送金、暗号資産の窃取
• デジタル ID の窃取：個人情報の悪用、なりすまし
• プライバシー侵害：メール、メッセージ、写真などの個人データへの不正アクセス
• 二次攻撃の踏み台：侵害したアカウントを利用したフィッシングメールの送信

クレデンシャルスタッフィングから身を守る方法

パスワードの使い回しをやめる

クレデンシャルスタッフィングの根本原因は、パスワードの使い回しです。すべてのサービスで一意の強力なパスワードを使用することが、最も効果的な防御策です。

• 各サービスに 16 文字以上のランダムなパスワードを設定する
• パスワードマネージャー (1Password、Bitwarden、Dashlane など) を使用して、一意のパスワードを生成・管理する
• パスワードマネージャーのマスターパスワードは、特に強力なものを設定する

2 要素認証 (2FA) を有効にする

2 要素認証を有効にすることで、パスワードが漏洩しても不正ログインを防止できます。

• TOTP アプリ (Google Authenticator、Authy) による認証が推奨される
• SMS ベースの 2FA は SIM スワップ攻撃に脆弱なため、可能であれば避ける
• ハードウェアセキュリティキー (YubiKey など) は最も安全な 2FA 手段

パスキーへの移行

パスキーは、パスワード自体を不要にする次世代の認証技術です。パスキーを使用すれば、クレデンシャルスタッフィングは原理的に成立しません。対応サービスでは積極的にパスキーを設定しましょう。

漏洩チェックの定期実施

• Have I Been Pwned (haveibeenpwned.com) で自分のメールアドレスが漏洩データベースに含まれていないか確認する
• パスワードマネージャーの漏洩チェック機能を活用する (1Password の Watchtower、Bitwarden の Vault Health Reports など)
• 漏洩が確認されたサービスのパスワードは直ちに変更する

サービス提供者側の対策

Web サービスの運営者は、以下の対策を実装することでクレデンシャルスタッフィングを防御できます。

レート制限とアカウントロック

• IP アドレスごとのログイン試行回数を制限する
• 一定回数のログイン失敗後にアカウントを一時的にロックする
• ログイン試行の異常なパターン (短時間での大量試行) を検知してブロックする

ボット検知と CAPTCHA

• ログインページに CAPTCHA を導入する (ただし、ユーザー体験とのバランスに注意)
• 行動分析によるボット検知 (マウスの動き、キーストロークのパターン分析)
• デバイスフィンガープリントによる異常なアクセスの検知

漏洩パスワードのチェック

• ユーザーのパスワード設定時に、既知の漏洩パスワードデータベース (Have I Been Pwned API) と照合する
• 漏洩が確認されたパスワードの使用を拒否し、変更を促す
• 定期的にユーザーの認証情報を漏洩データベースと照合し、該当するユーザーに通知する

2025-2026 年の最新動向

攻撃の高度化

2025 年以降、クレデンシャルスタッフィング攻撃はさらに高度化しています。攻撃者は機械学習を活用してログインフォームの構造を自動解析し、CAPTCHA の回避精度を向上させています。また、住宅用プロキシ (Residential Proxy) の利用が増加し、攻撃トラフィックと正規ユーザーのトラフィックの区別がさらに困難になっています。最新の攻撃動向と防御策を把握するには、認証セキュリティに関する書籍が役立ちます。

パスキーの普及による根本的解決

パスキーの普及が進むことで、クレデンシャルスタッフィングの脅威は中長期的に減少すると予測されています。パスキーでは認証情報がサーバーに保存されないため、データ漏洩が発生しても認証情報が悪用されることはありません。

Credential Intelligence サービスの台頭

漏洩した認証情報をリアルタイムで監視し、企業に通知する Credential Intelligence サービスが急成長しています。SpyCloud、Recorded Future、Flare などのサービスが、ダークウェブ上の漏洩データを継続的に監視し、企業のユーザーアカウントが危険にさらされている場合に即座にアラートを発信します。

規制の強化

EU の NIS2 指令や米国の SEC サイバーセキュリティ開示規則により、クレデンシャルスタッフィングによるデータ漏洩の報告義務が強化されています。企業は攻撃の検知・防御だけでなく、インシデント発生時の迅速な報告体制の整備も求められています。

今すぐできる実践チェックリスト

クレデンシャルスタッフィングから自分のアカウントを守るために、以下の手順を実施してください。

1. Have I Been Pwned で自分のメールアドレスが漏洩していないか確認する
2. パスワードマネージャーを導入し、すべてのサービスで一意のパスワードを設定する
3. 重要なアカウント (メール、銀行、SNS) で2 要素認証を有効にする
4. 対応サービスでパスキーを設定し、パスワードレス認証に移行する
5. パスワードの強度を見直し、弱いパスワードや使い回しのパスワードを変更する
6. IP 確認さんで接続のセキュリティ状態を確認する
7. デジタル ID の保護状況を定期的にチェックし、不審なアクティビティがないか監視する

まとめ

クレデンシャルスタッフィングは、パスワードの使い回しという人間の習慣を悪用した、成功率の高いサイバー攻撃です。防御の基本は、パスワードマネージャーによる一意のパスワード管理と 2 要素認証の有効化です。さらに、パスキーへの移行を進めることで、この種の攻撃を根本的に無力化できます。まずは自分の認証情報が漏洩していないかを確認し、今日から対策を始めましょう。

この記事で登場した専門用語の意味を確認したい場合は、用語集もご活用ください。