クレデンシャルスタッフィング.

クレデンシャルスタッフィングは、過去の漏えいで盗まれた膨大な「コンボリスト」を活用します。この用語は 2011 年に Sumit Agarwal によって作られ、OWASP は自動化された脅威 OAT-008 として分類しています。攻撃者は自動化フレームワーク(Sentry MBA、OpenBullet、Snipr、独自スクリプト)にコンボリストを投入し、レジデンシャルプロキシを切り替え、CAPTCHA を解き、レート制限を逃れる速度で試行します。多くの利用者が複数のサイトでパスワードを使い回しているため、成功率が低くても(しばしば 0.1〜2 %)大量の乗っ取りが発生し、それらは不正利用、ギフトカードの換金、あるいはクレデンシャルの再販売を通じて収益化されます。

この手法はブルートフォースとは明確に異なります。パスワードを推測するのではなく、どこかで有効だと既に判明しているものを再生するのです。2023 年の 23andMe の漏えいは教科書的な事例です。攻撃者は使い回されたクレデンシャルを使って約 14,000 のアカウントにログインし、そこから「DNA Relatives」機能を経由して、アカウントが直接侵害されていない約 700 万人のデータをスクレイピングしました。同様のキャンペーンは、ストリーミング、小売、金融のプラットフォームを何年にもわたって襲ってきました。

防御策には、MFA(理想的にはフィッシング耐性のある FIDO2/パスキー)、Have I Been Pwned のようなコーパスに対する漏えいパスワードのスクリーニング、デバイスフィンガープリント、ボット管理、不可能移動および速度異常の検知、そして疑わしいログインに対する段階的なスロットリングや追加認証チャレンジが含まれます。

flowchart LR
  A[漏えいコンボリスト<br/>user:pass の組] --> B[自動化ツール<br/>OpenBullet / Sentry MBA]
  B --> C[レジデンシャルプロキシ切替<br/>と CAPTCHA 突破]
  C --> D[多数の標的サイトへ<br/>ログインを再生]
  D --> E{パスワード使い回し}
  E -->|いいえ| F[ログイン失敗]
  E -->|はい| G[アカウント乗っ取り]
  G --> H[不正利用 再販売 データ窃取]