ざっくりと
- 既に漏洩したIDとパスワードを使う攻撃
- 複数のサイトやアプリに対して行われる
- 防ぐ方法は二段階認証やパスワード管理
クレデンシャルスタッフィング攻撃とは、既存のユーザーIDとパスワードを不正に利用する攻撃のことです。
概要説明
クレデンシャルスタッフィング攻撃とは、ネット上に漏洩したユーザー名とパスワードを使った攻撃である。 なぜならば、これらの情報を使って不正にログインを試みるからだ。
例えば、一つのサービスで漏洩したユーザー名とパスワードが、他のサービスでも使われていた場合、そこも攻撃の対象になる。 そして、この攻撃を防ぐためには、定期的なパスワードの変更や二段階認証の導入が有効。
つまり、個々のユーザーのセキュリティ意識が重要である。 だから、自己防衛のためにもこれらの対策を心がけよう。
職業職種
セキュリティエンジニア
セキュリティエンジニアは、クレデンシャルスタッフィング攻撃の防止策を導入する役割がある。なぜなら、彼らがIT環境の安全性を保つための専門家だからだ。例えば、二段階認証の導入やパスワードの変更を推奨するなどの対策を行う。
ユーザー
ユーザー自身も、クレデンシャルスタッフィング攻撃に対する防衛策を取るべきである。なぜなら、自身の情報を守るためには自己防衛が必要だからだ。例えば、パスワードを定期的に変更したり、二段階認証を利用したりする。
ITマネージャー
ITマネージャーも、企業全体でのクレデンシャルスタッフィング攻撃への対策を立案する役割がある。なぜなら、彼らが全社のITポリシーを管理しているからだ。例えば、定期的なパスワード変更の義務付けや二段階認証の推奨などを行う。
クレデンシャルスタッフィング攻撃」の名前の由来は、英語の’credential’(資格情報)と’stuffing’(詰め込む)からきています。
代表例
Adobe Systems
Adobe Systemsは、クレデンシャルスタッフィング攻撃の犠牲になったことで知られている。なぜなら、2013年に同社は顧客の個人情報が大規模に漏洩した。例えば、約150万のクレジットカード情報が流出した。
LinkedInは、クレデンシャルスタッフィング攻撃で有名である。なぜなら、2012年に640万件以上のパスワードが漏洩したからである。例えば、その一部は暗号化が不十分で、簡単に解読された。
Twitterは、クレデンシャルスタッフィング攻撃の対象となり易いサイトの一つである。なぜなら、ユーザーが弱いパスワードを使用する傾向があり、攻撃者が容易に試行錯誤できるからである。例えば、”123456″や”password”といったパスワードが頻繁に使用される。
手順例
データ収集
最初に、攻撃者は、大量のメールアドレスとパスワードの組み合わせを集める。なぜなら、これらの情報はクレデンシャルスタッフィング攻撃の生命線であるからだ。例えば、ダークWebで漏洩した情報を購入することが一般的だ。
ツールの使用
次に、これらの組み合わせを用いて、目標となるWebサイトに対して自動的にログイン試行を行うツールを使用する。なぜなら、人間が手動で行うには量が多すぎるからだ。例えば、Botnetや特化したソフトウェアを使用する。
ログイン
そして、成功したログインを記録し、それらのアカウントを悪用する。なぜなら、これが攻撃者の目的であるからだ。例えば、個人情報の窃取やスパムメールの送信などが可能になる。
情報の売却
また、成功した組み合わせをさらに売却し、利益を得ることもある。なぜなら、これらの情報は他の攻撃者にとっても価値があるからだ。例えば、ダークWeb上での取引が一般的だ。
攻撃の継続
最後に、攻撃者は同様の手法で新たな目標に対する攻撃を続ける。なぜなら、新たな組み合わせが常に生成され、使用可能になるからだ。例えば、新たなデータ漏洩が発生すると、その情報が攻撃に使用される。
類似語
ブルートフォース攻撃
ブルートフォース攻撃は、クレデンシャルスタッフィング攻撃と類似した攻撃方法である。なぜなら、両者ともにユーザーの認証情報を試行錯誤することで不正アクセスを試みるからだ。例えば、攻撃者が膨大な数の組み合わせを試す点が共通している。
パスワードスプレー攻撃
パスワードスプレー攻撃は、クレデンシャルスタッフィング攻撃と似ている。なぜなら、共にユーザーの認証情報を利用して不正アクセスを試みるからだ。例えば、両者ともに攻撃者が多数のアカウントに対して一部の一般的なパスワードを試すという方法を採用している。
ディクショナリーアタック
ディクショナリーアタックは、クレデンシャルスタッフィング攻撃と同じく、ユーザーの認証情報を攻撃の対象とする。なぜなら、両者ともにユーザーが使用する可能性のあるパスワードを一つずつ試していくからだ。例えば、ディクショナリーアタックでは一般的に使用される単語を元にパスワードを推測する。
反対語
セキュアログイン
セキュアログインは、クレデンシャルスタッフィング攻撃の反対語である。なぜなら、セキュアログインは一人のユーザーが安全に自分のアカウントにアクセスすることを可能にする行為で、クレデンシャルスタッフィング攻撃は一人または複数のユーザーが不正にアカウントにアクセスしようとする行為だからである。例えば、パスワード管理ツールや2要素認証。
個人情報保護
個人情報保護は、クレデンシャルスタッフィング攻撃の反対語である。なぜなら、個人情報保護はユーザーのプライバシーとセキュリティを確保する行為で、クレデンシャルスタッフィング攻撃はこれらを侵害する行為だからである。例えば、GDPRやCCPAといったプライバシー法。
認証強化
認証強化は、クレデンシャルスタッフィング攻撃の反対語である。なぜなら、認証強化はアカウントへの不正アクセスを防ぐために強力な認証手段を導入することで、クレデンシャルスタッフィング攻撃は弱い認証手段を利用する行為だからである。例えば、生体認証やハードウェアキー。
会話例
ITセキュリティ会議
Q.「クレデンシャルスタッフィング攻撃に対抗するための最良の方法は何ですか?」
A.「ユーザーに対して強固なパスワードポリシーを実施し、可能であれば二段階認証を使用することです。」
ITセキュリティ会議
Q.「クレデンシャルスタッフィング攻撃とは具体的にどのような攻撃方法ですか?」
A.「クレデンシャルスタッフィング攻撃とは、違法に取得したユーザー名とパスワードの組み合わせを用いて大量のログイン試行を行い、正常なアカウントに不正アクセスしようとする攻撃方法です。」
ITセキュリティ会議
Q.「クレデンシャルスタッフィング攻撃のリスクはどのようにして軽減できますか?」
A.「パスワードの定期変更、強力なパスワードの使用、二段階認証の導入などが有効です。また、不正なログイン試行を検出して速やかに対応するシステムを導入することも重要です。」
注意点
クレデンシャルスタッフィング攻撃を(使用)する時の注意点は法律違反である。 なぜならばクレデンシャルスタッフィング攻撃は他人のアカウントに不正にアクセスする行為であり、プライバシー侵害に当たるからだ。
例えば、アメリカではコンピューター詐欺と不正アクセスに対する法律(CFAA)があり、不正アクセスは違法である。 そして、情報漏洩により企業の評判損失、法的責任が発生する可能性がある。
だから、セキュリティ対策を強化し、不正アクセスを防ぐべきである。
クレデンシャルスタッフィング攻撃とブルートフォース攻撃の違いは、クレデンシャルスタッフィング攻撃は既知のユーザー名とパスワードの組み合わせを用いてログインを試みるのに対し、ブルートフォース攻撃は全ての可能な組み合わせを試す攻撃方法です。
コメント