攻撃と脅威
クレデンシャルスタッフィング
別称: クレデンシャル再生, アカウントチェック
定義
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。
クレデンシャルスタッフィングは、過去の漏えいで得た膨大な「コンボリスト」を活用します。攻撃者は Sentry MBA、OpenBullet、Snipr などのフレームワークや独自スクリプトを使い、レジデンシャルプロキシを切り替え、CAPTCHA を回避し、レート制限を逃れる速度で試行します。多くの利用者がパスワードを使い回しているため、成功率が 0.1–2 % であっても大量のアカウントが乗っ取られ、不正利用、ギフトカード換金、再販売で収益化されます。対策は、フィッシング耐性のある MFA(FIDO2/パスキー)、漏えいパスワードのスクリーニング、デバイスフィンガープリント、ボット管理、ログイン異常検知、段階的なスロットリングです。
例
- 無関係なフォーラム漏えいのコンボリストを使ってストリーミングサービスへ大量ログインし、有効アカウントを転売する。
- サードパーティ漏えい後、住宅向け IP からの数千アカウントへのログイン急増を EC サイトが観測する。
関連用語
総当たり攻撃
パスワード、PIN、鍵などの候補値を片端から試し、正しい値を割り出す攻撃。
パスワードスプレー攻撃
少数のよく使われるパスワードを多数のアカウントに対して低頻度で試し、ロックアウトやレート制限を回避する攻撃。
辞書攻撃
あらかじめ用意した一般語彙・漏えいパスワード・ルールに基づく派生形を候補とし、対象に試行する標的型パスワード推測攻撃。
インフォスティーラー
感染端末から認証情報、Cookie、トークン、暗号資産ウォレットなどの機密データを収集し、攻撃者へ持ち出すマルウェア。
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
認証の不備
認証やセッション管理の欠陥により、攻撃者が正規ユーザーになりすましたり、アカウントを乗っ取れたりする脆弱性カテゴリ。