【くれでんしゃるすたっふぃんぐ】

クレデンシャルスタッフィング とは?

最終更新:
💡 流出パスワードの使い回し、狙い撃ちのログイン総攻撃
📌 このページのポイント
クレデンシャルスタッフィングの流れ 流出リスト user1 / pass123 user2 / abc456 user3 / qwerty ... 自動化ボット 高速ログイン試行 サービスA: 失敗 サービスB: 成功! サービスC: 失敗 有効な対策 MFA(多要素認証) パスワード管理 レート制限 CAPTCHA
クレデンシャルスタッフィングの流れと対策
ひよこ ひよこ
クレデンシャルスタッフィングって、ブルートフォース攻撃とは何が違うの?
ペンギン先生 ペンギン先生
ブルートフォースはパスワードを総当たりで試す攻撃だけど、クレデンシャルスタッフィングは実際に流出した本物のID・パスワードのセットを使うんだ。だから成功率がずっと高いんだよ
ひよこ ひよこ
どこからパスワードが流出するの?
ペンギン先生 ペンギン先生
大規模なデータ侵害で何億件もの認証情報がダークウェブで売買されているんだ。あるサービスから漏れたデータが別のサービスへの攻撃に使われるから、パスワードの使い回しが一番危険なんだよ
ひよこ ひよこ
自分のパスワードが流出してるかどうかって分かるの?
ペンギン先生 ペンギン先生
Have I Been Pwnedというサイトでメールアドレスを入力すると、過去の流出リストに含まれているか確認できるよ。含まれていたらすぐにパスワードを変更すべきだね
ひよこ ひよこ
サービス側ではどうやって防いでるの?
ペンギン先生 ペンギン先生
レート制限やCAPTCHAでボットの大量ログインを防いだり、普段と違うIPアドレスや端末からのアクセスを検知してブロックしたりしているよ。最近はパスワードレス認証に移行するサービスも増えているんだ。ユーザー側もMFAを有効にしておけば、パスワードが漏れてもアカウントを守れるからね
ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「クレデンシャルスタッフィング」って出てきたら「流出パスワードで別サービスにログインを試す攻撃」と思えればだいたいOK!
📖 おまけ:英語の意味
「Credential Stuffing」 = 認証情報の詰め込み
💬 Credentialは認証情報、Stuffingは詰め込むという意味。流出した認証情報を次々とログインフォームに詰め込んで試すイメージだよ
← 用語集にもどる