クレデンシャルスタッフィングとは何ですか？

過去に流出したIDとパスワードのリストを使い、別のサービスに自動的にログインを試みる攻撃手法。パスワードの使い回しを狙った効率的な不正アクセス。

クレデンシャルスタッフィングのポイントは？

流出した認証情報（ID・パスワード）のリストを使って他サービスへのログインを試みる。パスワードの使い回しをしているユーザーが主なターゲットになる。ボットを使って大量のログイン試行を自動化するため検知が難しい。対策にはMFA（多要素認証）の導入やパスワードマネージャーの活用が有効

【くれでんしゃるすたっふぃんぐ】

💡 流出パスワードの使い回し、狙い撃ちのログイン総攻撃

📌 このページのポイント

クレデンシャルスタッフィングの流れと対策

ひよこ

クレデンシャルスタッフィングって、ブルートフォース攻撃とは何が違うの？

ペンギン先生

ブルートフォースはパスワードを総当たりで試す攻撃だけど、クレデンシャルスタッフィングは実際に流出した本物のID・パスワードのセットを使うんだ。だから成功率がずっと高いんだよ

ひよこ

どこからパスワードが流出するの？

ペンギン先生

大規模なデータ侵害で何億件もの認証情報がダークウェブで売買されているんだ。あるサービスから漏れたデータが別のサービスへの攻撃に使われるから、パスワードの使い回しが一番危険なんだよ

ひよこ

自分のパスワードが流出してるかどうかって分かるの？

ペンギン先生

Have I Been Pwnedというサイトでメールアドレスを入力すると、過去の流出リストに含まれているか確認できるよ。含まれていたらすぐにパスワードを変更すべきだね

ひよこ

サービス側ではどうやって防いでるの？

ペンギン先生

レート制限やCAPTCHAでボットの大量ログインを防いだり、普段と違うIPアドレスや端末からのアクセスを検知してブロックしたりしているよ。最近はパスワードレス認証に移行するサービスも増えているんだ。ユーザー側もMFAを有効にしておけば、パスワードが漏れてもアカウントを守れるからね

まとめ：ざっくりこれだけ覚えればOK！

「クレデンシャルスタッフィング」って出てきたら「流出パスワードで別サービスにログインを試す攻撃」と思えればだいたいOK！

📖 おまけ：英語の意味

「Credential Stuffing」＝認証情報の詰め込み

💬 Credentialは認証情報、Stuffingは詰め込むという意味。流出した認証情報を次々とログインフォームに詰め込んで試すイメージだよ