パスワードの使い回しが危険な本当の理由——クレデンシャルスタッフィングとは
パスワード使い回しが引き起こすクレデンシャルスタッフィング攻撃を解説。1件の漏洩が全アカウントに波及する仕組みと具体的な対策を紹介。
※当ページはアフィリエイトリンクを含みます
使い回しパスワードは「合鍵」を配っているのと同じ
同じパスワードを複数サービスで使い回すことは、自宅と職場と車に同じ鍵を使うようなものだよ。1本紛失したら全部がアウトになる。ネット上では「クレデンシャルスタッフィング」という攻撃がまさにこの弱点を狙っている。
クレデンシャルスタッフィングの仕組み
ステップ1:漏洩DBの入手
過去に起きた大規模漏洩——Adobeの1億5000万件、LinkedInの1億6700万件、Rockyouの3200万件など——が流出したパスワードリストはダークウェブで取引されている。これらのリストには「メールアドレス+パスワード」の組み合わせが含まれているよ。
ステップ2:自動ログイン試行
攻撃者はこのリストを使い、ボットでターゲットサービスに対して自動ログインを試みる。1秒間に何千件も試せるから、数億件のリストでも数日で試し終えてしまう。
ステップ3:成功したアカウントを悪用
ログインに成功したアカウントは、EC決済・ポイント搾取・SNS乗っ取りなどに即座に使われる。被害者は自分のアカウントが侵害されたことに気づかないまま数週間が過ぎることも多いよ。
日本での実被害
国内でも大手ECサイトや動画配信サービスへのクレデンシャルスタッフィングが複数件確認されている。「不正ログインの形跡はあるが自社のシステムに問題はない」というお知らせを見たことがあるなら、ほぼこの攻撃が原因だよ。
なぜ「長い唯一のパスワード」より「サービスごとに別々」の方が安全なのか
たとえば32文字の超強力なパスワードでも、そのパスワードを使っているサービスAがデータベースを平文で保存していて漏洩したら終わりだ。自分のパスワード強度は関係ない——相手側の管理が原因で漏れてしまうケースが多いんだよ。
対策は3つだけ
- 各サービスに異なるパスワードを使う — パスワードマネージャー(1Password・Bitwarden・Keeper)を使えば簡単に実現できる
- 2段階認証を有効にする — パスワードが漏れてもログインさせない壁を作る
- 漏洩チェックを定期的に行う — Have I Been Pwned で自分のメールアドレスを検索しておこう
使い回しをやめるだけでクレデンシャルスタッフィングの被害リスクはほぼゼロになる。コストのかかる対策じゃないから、今日から始めよう。
作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。
洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。
オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。
SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。
NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。
スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。