クレデンシャルスタッフィングとは、盗んだ認証情報を複数のWebサイトに「詰め込む」サイバー攻撃のことです。

ボットのようなツールは、ハッカーが自動入力することを可能にし、短時間で数十のサイトに対して数百万のログイン認証情報をテストすることを可能にします。ここでは、この攻撃について知っておくべきことと、自分を守るための簡単な方法を紹介します。

クレデンシャルスタッフィングは何ですか？

クレデンシャル・スタッフィングとは、盗んだパスワードやユーザー名を複数のWebサイトに大量に詰め込むことです。彼らは、データへのアクセスを得るために、ダークウェブで売られているモンスター侵入やリークに依存しています。目的は、過去に流出した数百万件のログイン名とユーザー名の組み合わせを使って、他のウェブサイトに侵入することです。

彼らは、同じユーザー名やパスワードを使って複数のサイトで攻撃を成功させるために、人為的なミスに頼っていたのです。この調査によると、最大85％のユーザーが、異なるアカウントでパスワードを使いまわしているそうです。

この考え方により、サイバー犯罪者は、あるウェブサイトの脆弱性から得たログイン情報を使って、他のサービスにアクセスすることができるのです。

成功率は非常に低く、0.1％～2％程度しかありません。つまり、100万件のログイン情報をテストしても、他のウェブサイトへのアクセスに使用できるのは約1,000件に過ぎないということです。しかし、彼らの努力に値するのは、侵入したすべてのアカウントから収集できるデータの宝庫であることです。

彼らは銀行情報やクレジットカード情報を持つ数千のアカウントへのハッキングに成功したと言われています。資金を横領したり、他の不正行為に利用したりすることもあります。その他、国民保険番号や税金情報などの個人を特定できる情報（PII）は、なりすましなどの犯罪に利用される可能性があります。

サイバー犯罪者は、各アカウントで見つけたものをすべて収益化するため、ログインの一致率が非常に低いにもかかわらず、この攻撃は価値のあるものとなっています。

パディングアタックを行うにはどうしたらよいですか？

もちろん、ハッカーは盗んだログイン情報を1つ1つ異なるウェブサイトに手動で入力することはありません。攻撃を成功させるには、何百万（何十億とは言わないまでも）もの盗んだログイン情報が必要だからです。

その代わり、情報漏えいで割れた認証情報がボットネットに読み込まれ、自動ログインが試みられるのです。そして、さらにツールを使って検知を回避する。

関連：ボットネットとは何ですか？あなたのコンピューターはボットネットに属していますか？

ボットネットは、1時間に数千回のログインを試みることができます。例えば、2016年に発生したクレデンシャルスタッフィング攻撃では、複数のサイトで1時間あたり27万件以上のログイン要求を送信するボットネットが使用されました。

パディング攻撃はどのようにして検知を回避しているのか？

多くのウェブサイトでは、悪意のある複数のログインを検出するためのセキュリティ対策が施されていますが、ハッカーはこれらの対策を回避する方法を見つけ出しています。

プロキシリストは、リクエストをバウンスして送信元をブロックしたり、単にログインリクエストが別の場所から来たように見せかけるために使用されます。また、他のツールを使って、異なるブラウザから複数回のログインを試みたように見せかけることもできます。

これは、1種類のブラウザのみから複数回ログインを試みた場合（例えば1時間に1000回）、不審に思われ、不正と判定される可能性が高くなるためです。

これらの技術はすべて、さまざまな場所にいる何千人ものユーザーの正当なログイン活動をシミュレートします。このため、攻撃ベクトルは単純ですが、検出するのは困難です。

バウチャー・スタッフィングとブルートフォース・アタックの違いは何ですか？

クレデンシャルスタッフィングとは、ブルートフォース攻撃のサブタイプで、より標的を絞った攻撃であるため、より効果的です。

ブルートフォース攻撃は、基本的にランダムな文字の異なる組み合わせでパスワードを推測するものです。自動化されたソフトウェアを使って、パスワードが見つかるまで、いくつかの可能性のある組み合わせをテストして何度も推測するのです。これは脈絡のない話です。

一方、認証情報は、過去に流出したデータからログイン情報とパスワードを使用して入力されていました。あるサイトから流出したパスワードとユーザー名のペアを使い、他のサービスでテストするのです。

強力なパスワードを使用すればブルートフォース攻撃から身を守ることができますが、水増し攻撃を仕掛ける際に他のサイトでも同じパスワードを使用すれば意味がありません。

バウチャーフィルとバウチャーダンプの違いは何ですか？

一見同じように見えますが、クレデンシャルダンプは、ネットワークに侵入するためのエントリーポイントやマシンを狙った攻撃で、別の種類のものです。

クレデンシャルスタッフィングが、過去の脆弱性を利用して複数のログイン情報を利用して他のWebサイトにアクセスするのに対し、クレデンシャルダンプは、コンピュータにアクセスして複数のログイン情報を抽出するものです。

これは、コンピュータの多くのレジストリにキャッシュされた資格情報にアクセスするか、Security Account Manager (SAM) データベースから資格情報を抽出することで実現される。後者には、作成されたすべてのアカウントが含まれ、パスワードはハッシュとして保存されます。

クレデンシャルダンプ攻撃は、ネットワークへの足がかりを得たり、システム内の他のコンピュータにアクセスしたりすることを目的としています。あるコンピューターからログイン情報を抜き取った後、ハッカーはそのデバイスに再突入したり、ネットワーク全体にアクセスしたりすることで、さらに大きな被害を与えることができます。

パディングとは異なり、クレデンシャルダンプ攻撃では、パッチが適用されていない脆弱性を持つマシンを入口として、ネットワークに侵入します。

関連：バウチャーダンプとは？4つの心得で自分を守ろう

攻撃から身を守るには？

ほとんどのユーザーにとって、自分を守るための最善かつ最も簡単な方法は、それぞれのウェブサイトやアカウントに固有のパスワードを使用することです。少なくとも、銀行やクレジットカードの情報など、お客様に関する機密情報を持っている人については。

二要素認証（2FA）や多要素認証（MFA）を有効にすることで、ハッカーによるアカウントの乗っ取りをより困難にすることができます。これらは、電話番号にコードが送信され、ユーザー名とパスワードを同時に入力するよう求められるという、第二の認証方式に依存しています。

複数のパスワードやユーザー名を覚えるのが面倒な場合は、信頼性の高いパスワードマネージャーを利用するのも一つの手です。セキュリティに不安がある場合は、パスワードマネージャーが採用しているセキュリティ方式を確認してください。

または、オープンソースのパスワードマネージャーを試してみてください。

パスワードの保護

パスワードは家の鍵のようなもので、ユニークで強固なものでなければなりません。

また、これらは記憶に残りやすく、安全である必要があります。あなたは、クラックするのが難しいユニークな、しかし記憶に残るハックを作るのに役立つさまざまなパスワードツールを探索することができます。