Zoomのアカウントは、「クレデンシャル・スタッフィング」により、合計5億個がダークウェブ**上に存在します。これは、犯罪者がオンラインでアカウントを信用するための一般的な方法です。ここでは、この言葉の意味と、自分の身を守る方法について説明します。

流出したパスワードのデータベースから始める

オンラインサービスに対する攻撃はよくあることです。犯罪者は、システムのセキュリティホールを悪用して、ユーザー名やパスワードのデータベースにアクセスすることがよくあります。盗まれたログイン情報のデータベースは、通常ダークウェブ**上で公開されており、犯罪者はそのデータベースにアクセスする特権をビットコインで支払っています。

例えば、2014年に侵害されたAvastフォーラムのアカウントを持っているとします。アカウントが侵害され、犯罪者があなたのユーザー名とパスワードをアバストフォーラムで知っているかもしれません。アバストから連絡があり、フォーラムのパスワードを変更するように言われましたが、何が問題なのでしょうか?

残念ながら、多くの人が異なるウェブサイトで同じパスワードを何度も使ってしまうことが問題です。お客様のアバストフォーラムのログイン情報が「[email protected]如果你使用相同的用户名 (お客様の電子メールアドレス) と他のサイトにログインするためのパスワード」であると仮定すると、お客様の漏洩したパスワードを入手した犯罪者は他のアカウントにアクセスすることが可能になるのです。

関連記事：ダークウェブとは？

バウチャー充填作業

「クレデンシャルフィリング」とは、漏洩したログイン情報を持つこれらのデータベースを利用し、他のオンラインサービスでその情報を使ってログインを試みることである。

犯罪者は、漏洩したユーザー名とパスワードの組み合わせ（多くの場合、数百万のログイン認証情報）の大規模なデータベースを使用し、他のサイトへのログインに使用しようとするのです。複数のサイトで同じパスワードを使いまわしている人もいるので、一致するものもあるはずです。これは、複数のログインの組み合わせを素早く試すソフトウェアによって、しばしば自動化することができます。

非常に技術的で危険なことのように聞こえますが、これは他のサービスですでに侵害された認証情報を試して、何が有効かを確認しているだけなのです。つまり、「ハッカー」はすべてのログイン情報をログインフォームに詰め込み、何が起こるかを見るのです。中には、必ず効果があるものもあります。

これは、攻撃者がオンラインアカウントを「侵害」する最も一般的な方法の1つです。2018年だけでも、コンテンツデリバリーネットワークのアカマイは、約300億件のクレデンシャルスタッフィング攻撃を記録しています。

関連：攻撃者が実際にオンラインで「アカウントをハッキング」する方法と、自分自身を守るための方法

自分を守るには

クレデンシャルスタッフィングから身を守るには、セキュリティの専門家が何年も前から推奨しているパスワードのセキュリティ対策に従えばよいのです。魔法のような解決策はなく、パスワードの衛生管理を徹底することです。提言は以下の通りです。

• パスワードの再利用を避ける：オンラインで使用する各アカウントには、一意のパスワードを使用します。こうすることで、万が一パスワードが流出しても、他のサイトへのログインに利用することができなくなります。攻撃者は、他のログインフォームに認証情報を入力しようとするかもしれませんが、うまくいきません。
• パスワードマネージャーを使う：かなりの数のウェブサイトにアカウントを持っている場合、そしてほとんどの人がそうであるように、強力でユニークなパスワードを覚えることは、ほとんど不可能な作業になりかねません。1Password（有料）やBitwarden（無料・オープンソース）などのパスワードマネージャーを使用して、パスワードを記憶しておくことをお勧めします。強力なパスワードをゼロから生成することも可能です。
• 二要素認証を有効にする：二段階認証を使用すると、サイトにログインするたびに、アプリケーションで生成されたコードまたはSMSで送信されたコードを入力する必要があります。攻撃者があなたのユーザー名とパスワードを知っていても、そのコードがなければあなたのアカウントにログインすることはできません。
• 漏洩したパスワードの通知：I was Pwned?のようなサービスを利用すれば、認証情報が漏洩したと思われるときに通知を受けることができます。

関連：パスワードが盗まれているかどうかを確認する方法

クレデンシャルスタッフィングを防止する方法

個人の責任でアカウントを保護する必要がある一方で、オンラインサービスでは、クレデンシャル・スタッフィング攻撃を防ぐ方法が数多く存在します。

• 流出したデータベースのユーザーパスワードのスキャン：FacebookとNetflixは、流出したデータベースのパスワードをスキャンし、自社サービスのログイン情報と照らし合わせています。一致した場合、FacebookやNetflixは、自社のユーザーにパスワードの変更を促すことができます。クレデンシャルフィラーに勝てる方法です。
• 二要素認証の提供：ユーザーは、オンラインアカウントを保護するために二要素認証を有効にすることができる必要があります。特に機密性の高いサービスでは、これを強制することができます。また、ユーザーがメール内のログイン確認リンクをクリックすることで、ログイン要求を確認できるようにすることもできます。
• Captcha required: ログイン試行の様子がおかしい場合、サービスは画像に表示されているcaptchaを入力するか、別のフォームをクリックしてボット以外の人がログインしようとしていることを確認する必要がある場合があります。
• ログイン試行回数の制限：ボットが短時間に大量のログインを試みるのを阻止しようとするサービスです。最近の高度なボットは、クレデンシャルスタッフィングを隠すために、複数のIPアドレスから同時にログインしようとする場合があります。

パスワードの使い方が悪いと、そして公平に見て、安全でないオンラインシステムは、しばしばあまりにも簡単に危険にさらされ、クレデンシャルを入力するオンラインアカウントは、セキュリティ上の深刻なリスクにさらされます。テクノロジー業界の多くの企業が、パスワードのないより安全な世界を望んでいるのは当然のことです。

関連記事：テック業界はパスワードを殺したいのか、それとも現実なのか？