クレデンシャルスタッフィングとは

クレデンシャルスタッフィングは、過去に漏洩したメールアドレスとパスワードのペアを別のサービスに対して大量に試す攻撃手法だよ。「パスワードの使い回し」を悪用した攻撃で、現在最も多く発生しているアカウント侵害の手口の一つなんだ。

なぜ成功するの?

多くのユーザーが複数のサービスで同じパスワードを使い回している現実があるよね。Aというサービスのデータが漏洩したとき、攻撃者はそのメール+パスワードのリストを入手して、自動化ツールで銀行・SNS・ショッピングサイトなど数百のサービスに対して一斉に試行するんだ。

規模の大きさ

「Have I Been Pwned」などのサービスには数百億件以上の漏洩認証情報が登録されている。これらのリストはダークウェブで売買されていて、クレデンシャルスタッフィング攻撃に使われてるよ。

防御の方法

ユーザー側

サービスごとに異なるパスワードを使う — これが最重要。パスワードマネージャーを使えば管理が楽になるよ
2FAを有効にする — パスワードが合っても2要素目で防げる
漏洩チェックを定期的にする — Have I Been Pwnedなどで確認しよう

サービス側

漏洩リストとのクロスチェック
ボット検出とレート制限
異常なログインパターンの検知

● 関連用語

TERM

辞書攻撃

よく使われる単語やパスワードのリストで総当たりする攻撃

TERM

ブルートフォース攻撃

全ての文字の組み合わせを試してパスワードを解読する攻撃

強力なパスワードを安全に生成・保管するツール

TERM

フィッシング

偽サイトや偽メールで認証情報を騙し取る攻撃

● 推奨パスワードマネージャー / Recommended [PR]

作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。編集部がふだん使っているサービスをご紹介します。

1Password

★ 4.8

洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。

オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。

SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。

NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。

スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。

月額約260円〜

→ 詳しくみる ※PR

● 関連ガイド / Guides