クレデンシャルスタッフィングとは？

クレデンシャルスタッフィングとは、サイバー犯罪者が、あるシステムから盗み出したログイン用の認証情報を使用して無関係のシステムにアクセスしようとするサイバー攻撃です。

クレデンシャルスタッフィング攻撃は、人々が複数のアカウントで同じユーザーIDとパスワードを使用することが多いことを前提に機能します。したがって、あるアカウントの認証情報を所有すると、他の無関係なアカウントにアクセス権を付与できる場合があります。

クレデンシャルスタッフィングが増加している理由は？

いくつかの理由で、クレデンシャルスタッフィングのリスクが高まっています。

• 認証情報の可用性：近年、数百億人分のユーザー名やパスワードが盗まれたり漏洩したりしています。こうした認証情報は、売買のためダークウェブ上のデジタルマーケットプレイスに投稿されます。これらは、クレデンシャルスタッフィング攻撃やその他の多くのサイバー攻撃の出発点として使用できます。
• 技術の進歩：クレデンシャルスタッフィング攻撃は、ボットやその他のインテリジェント自動化ツールを利用して、数秒で複数のアカウントにログインしようとします。これらのボットは特定のユーザーIDとパスワードの組み合わせをテストするようにプログラムされているため、ツールは特定のシステムへのログインを一度だけ試行します。これにより、ツールは、ログイン試行の失敗が多すぎるIPアドレスをブロックするものなど、多くの従来のセキュリティ対策をバイパスできます。
• 参入障壁の低さ：クレデンシャルスタッフィング攻撃を開始するために必要な技術スキルのレベルはコストと同様、非常に低いです。わずか50米ドルで、コンピューターを持っている人なら誰でもダークウェブで盗まれたアカウントを購入し、クレデンシャルスタッフィング攻撃を開始できます。
• リモートワークへの移行：COVID-19のパンデミックは、リモートワークを加速させ、また多くの企業が分散型ネットワークを防御する準備が整わない状態になりました。攻撃者はリモートワークへの移行を悪用し、個人アカウントのアカウント認証情報を使用して、ビジネスデバイスやサービスへのアクセスを試みます。
• 検知の難しさ：クレデンシャルスタッフィング攻撃が成功すると、攻撃者は従業員、請負業者、さらにはサードパーティサプライヤーなどの正当なユーザーになりすまします。これは、マルウェアやその他の攻撃ベクトルがないことと相まって、従来のサイバーセキュリティ防御を通じてのクレデンシャルスタッフィング攻撃の検知を非常に困難にします。

クレデンシャルスタッフィング攻撃の仕組みは？

クレデンシャルスタッフィング攻撃の実行手順は、比較的単純です。

1. 攻撃者は、盗んだアカウントの認証情報を利用したり、流出した認証情報をダークウェブを介して購入したりします。これらの認証情報は通常、大規模なデータ侵害またはその他のサイバー攻撃の結果です。ほとんどの場合、そのような情報は非常にわずかな金額で購入できます。

2. 攻撃者は、少なくとも1つのオンラインアカウントの認証情報を持っており、ボットネットまたはその他の自動化ツールを設定して、複数の無関係なアカウントに同時にログインしようとします。通常、ボットには、IPアドレスを隠したりスプーフィングしたりして、外部または異常なアドレスをブロックする可能性のあるセキュリティツールのトリガーを回避する機能があります。

3. ボットは次に、セカンダリサービスまたはアカウントのいずれかでアクセスが許可されたかを確認します。ログインの試行が成功すると、攻撃者は個人データ、保存されているクレジットカード情報、銀行の詳細などの追加情報を収集します。詐欺師は、次のような多くの詐欺や犯罪にも関与する可能性があります。

• ストリーミングサービス、メディアアウトレット、ゲームプラットフォームなどの流出したサブスクリプションアカウントへのアクセス情報をダークウェブを介してオンラインで販売する
• 保存された支払い方法を使用した商品やサービスの購入
• 攻撃者がアカウントのコントロールを引き継ぎ、セキュリティ設定、連絡先情報、その他の詳細を変更して、将来のアクティビティをより簡単に実行するためのアカウントの乗っ取り行為
• 顧客アカウントを通じて取得した個人情報を販売し、フィッシングキャンペーンを煽り、より高度な攻撃方法をサポートする

従業員、請負業者、ベンダーに属するアカウントなど、侵害されたアカウントを介して企業ネットワークに侵入できれば、ハッカーは時間をかけてラテラルムーブメントを行い、バックドアをインストールし、将来の攻撃に利用するシステムに関する知識を取得することができ、当然データを盗むこともできます。アクターは正当なアカウント認証情報を使用しているため、正当なユーザーのように見え、従来のセキュリティ対策でこのアクティビティを検知することは困難です。

クレデンシャルスタッフィング攻撃とブルートフォース攻撃

クレデンシャルスタッフィング攻撃とブルートフォース攻撃は本質的に似ていますが、同じではありません。

ブルートフォース攻撃とは、脅威アクターが、ユーザー名と推測したパスワードの組み合わせをできるだけ多く体系的に試すことで、機密データやシステムにアクセスしようとすることです。

クレデンシャルスタッフィングは、攻撃者がシステムへの不正アクセスを試みるという点でブルートフォース攻撃に似ています。ただし、この 2 つの間にはいくつかの大きな違いがあります。

攻撃の特異性

ブルートフォース攻撃では、脅威アクターはユーザーID、パスワード、またはその両方を推測してアクセスを試みます。ほとんどの場合、攻撃者は一般的に使用されるパスワードまたは一般的なフレーズを使用します。一般的に攻撃は、ユーザーがQwerty、Password、123456などの一般的で単純なパスワードを選択していた場合にのみ成功します。

クレデンシャルスタッフィング攻撃では、攻撃者は特定のサービスに関するユーザーの認証情報を持っており、その情報を使用して無関係のネットワークにアクセスしようとしています。例えば、ユーザーの携帯電話サービス用認証情報がデータ侵害で盗まれた場合、サイバー攻撃者はその情報を使用して、他のユーティリティサービスや、銀行サイト、マーケットプレイス、またはその他のデジタルアカウントへのログインを試みます。

アクセス試行回数

ブルートフォース攻撃では、ボットは通常、ユーザーIDとパスワードのいくつかの組み合わせを試すようプログラムされています。これらの攻撃は次第に巧妙になっており、セキュリティ対策をうまく回避できる可能性がありますが、多くの場合、ログインの失敗が多くなってIPアドレスがブロックされます。この要因が、認証情報を推測するためのコンテキストの欠如と相まって、ブルートフォース攻撃をクレデンシャルスタッフィング攻撃よりもはるかに多く失敗させます。

クレデンシャルスタッフィング攻撃の手法はさらに特異的です。このような攻撃では、ボットはさまざまなサイトで特定のユーザーIDとパスワードを試します。このツールは複数回のアクセスを試行しないため、このようなアクティビティを従来のセキュリティツールの大半が見過してしまうことがよくあります。

パスワードの強度

ブルートフォース攻撃は、一般的で単純なパスワードを使用してアクセスしようとするため、そのほとんどをサイトまたはサービスごとに強力で一意のパスワードを選択することで防ぐことができます。

クレデンシャルスタッフィング攻撃では、攻撃者が不正に入手したアカウントを将来のログインの出発点として使用するため、パスワードの強度は問題になりません。最強のパスワードでさえ、複数のアカウントで共有されている場合は破られてしまいます。

クレデンシャルスタッフィングを検知して防止する方法は？

企業レベルでクレデンシャルスタッフィング攻撃を防ぐには、強力なパスワード要件の設定や複数のログイン試行の監視など、従来のセキュリティベストプラクティスが、この攻撃の方法には役に立たないことを理解する必要があります。とはいえ、クレデンシャルスタッフィング攻撃を防ぎ、その影響を抑えるために企業が実行できる効果的な手順はいくつかあります。

多要素認証（MFA）を有効にする

多要素認証（MFA）では、すべてのユーザーが複数の方法を使用してID認証を行う必要があります。これには、従来のアカウント認証情報、テキストメッセージまたは認証ツールを介したセキュリティトークン、または生体認証確認の組み合わせが含まれる場合があります。通常、攻撃者は手元にあるアカウント認証情報しかなく、それに類似した情報は2要素認証なしではほとんど無意味であるため、MFAを有効にしている組織はクレデンシャルスタッフィング攻撃に対してより効果的に保護されることになります。

ITハイジーンを実行する

CrowdStrike Falcon® Discover™などのITハイジーンツールは、組織全体の認証情報の使用を可視化して、潜在的な悪意のある管理者アクティビティを検知します。アカウントモニタリング機能を使用すると、セキュリティチームは攻撃者が作成したアカウントの存在を確認して、アクセスを維持できます。また、パスワードが定期的に変更されるため、盗まれた認証情報を永久に使用することはできません。

プロアクティブな脅威ハンティングを追加する

CrowdStrike Falcon® OverWatch™などの真のプロアクティブな脅威ハンティングは、盗まれた認証情報を利用し、正当なユーザーを装って実行される未知のステルス攻撃を24時間365日ハンティングできます。これらは、標準的な対策で見逃される可能性のある攻撃の種類です。OverWatchチームは、高度な持続的標的型攻撃（APT）攻撃者との日々の「白兵戦」から得た専門知識を活用して、毎日数百万もの微妙なハンティングリードを見つけて追跡し、それらが正当なものか悪意のあるものかを検証しながら必要に応じてお客様に警告しています。

脆弱なパスワードのリスクについて従業員を教育する

クレデンシャルスタッフィング攻撃を追跡すると、ほとんどの場合、複数のサービスに同じパスワードを使用している個人に行き着きます。ユーザーが強力なパスワードを選択した場合でも、異なるアカウント間でその認証情報を共有すれば、侵害のリスクが高まります。パスワードの再利用を回避することの重要性や、強力で一意のパスワードを選択するというベストプラクティスについてユーザーを教育します。ユーザーが覚えやすいパスワードに頼らないようにパスワードマネージャツールを提供し、検出ツールを活用して、デバイスで変更されていないデフォルトのままのパスワードを表示できます。