クレデンシャルスタッフィングとは

クレデンシャルスタッフィングとは、過去のデータ漏洩で流出した ID とパスワードの組み合わせ (クレデンシャル) を、別のサービスに対して自動的に試行する攻撃手法です。パスワードの使い回しを悪用する点が最大の特徴で、攻撃者はダークウェブで入手した数百万件規模の認証情報リストをボットネットで一斉に試行します。

この攻撃が成功する背景には、多くのユーザーが複数のサービスで同じパスワードを使い回している現実があります。セキュリティ企業の調査では、インターネットユーザーの約 65% が 2 つ以上のサービスで同一のパスワードを使用しているとされ、攻撃の成功率は 0.1% - 2% 程度と報告されています。一見低い数字ですが、数百万件を試行すれば数千 - 数万件のアカウントが突破される計算です。

ブルートフォース攻撃との違い

ブルートフォース攻撃がパスワードの全組み合わせを総当たりで試すのに対し、クレデンシャルスタッフィングは実際に使われていた認証情報を流用する点が根本的に異なります。

試行パターン: ブルートフォースは 1 つのアカウントに対して大量のパスワードを試行する。クレデンシャルスタッフィングは大量のアカウントに対してそれぞれ 1 つのパスワードを試行する
検知の難しさ: ブルートフォースは同一アカウントへの連続失敗で検知しやすい。クレデンシャルスタッフィングは 1 アカウントあたり 1 - 2 回の試行で済むため、通常のログイン失敗と区別しにくい
成功率: ブルートフォースは短いパスワード以外では成功率が極めて低い。クレデンシャルスタッフィングは実在する認証情報を使うため、比較的高い成功率を持つ

攻撃の流れと実態

クレデンシャルスタッフィング攻撃は、以下のステップで実行されます。

認証情報の入手: ダークウェブのマーケットプレイスで漏洩データベースを購入する。数百万件のメールアドレスとパスワードのセットが数十ドルで取引されている
ツールの準備: Sentry MBA、OpenBullet などの自動化ツールを使い、対象サービスのログインフォームに合わせた設定を行う
分散実行: 数千台のプロキシや住宅用 IP アドレスを経由し、IP ベースのレート制限を回避しながら大量のログイン試行を実行する
成功アカウントの悪用: ログインに成功したアカウントは、ポイントの不正利用、個人情報の窃取、さらなるフィッシングの踏み台として悪用される

EC サイト、動画配信サービス、ゲームプラットフォームが特に狙われやすく、アカウントに紐づくポイントやクレジットカード情報が攻撃者の主な標的です。

効果的な防御策

ユーザー側とサービス提供者側の両面から対策を講じることが重要です。

ユーザー側の対策

パスワードマネージャーの利用: サービスごとに一意で複雑なパスワードを生成・管理する。これが最も根本的な対策
二要素認証の有効化: パスワードが漏洩しても、第 2 の認証要素がなければログインできない
漏洩チェック: Have I Been Pwned などのサービスで、自分のメールアドレスが漏洩データに含まれていないか定期的に確認する

サービス提供者側の対策

レート制限と異常検知: 短時間の大量ログイン試行を検知し、IP やセッション単位でブロックする
CAPTCHA の導入: ボットによる自動試行を抑制する。ただし、高度なボットは CAPTCHA を突破する場合もある
パスワード漏洩チェック API: ユーザーが設定しようとしているパスワードが既知の漏洩リストに含まれていないか、登録時に検証する
デバイスフィンガープリント: 通常と異なるデバイスやブラウザからのログインを検知し、追加認証を要求する

よくある誤解

自分のパスワードは漏洩していないから安全: 過去 10 年間で数百億件の認証情報が漏洩しており、大手サービスを利用していれば漏洩リストに含まれている可能性は高い。Have I Been Pwned で確認すると、多くの人が少なくとも 1 件の漏洩に該当する。
パスワードを少し変えれば使い回しても大丈夫: 「password123」を「password124」に変えるような軽微な変更は、攻撃ツールが自動的にバリエーションを試行するため効果がない。サービスごとに完全に異なるランダムなパスワードを使用する必要がある。

クレデンシャルスタッフィングとブルートフォース攻撃の比較