クレデンシャルスタッフィングとは、攻撃者が盗んだログイン情報を悪用して、様々なアカウントでログインを試みる攻撃のことです。
パスワードが流出すると、こうした攻撃が成功する可能性が大幅に高まります。
攻撃が成功すると、アカウントの乗っ取り、詐欺被害、データ侵害が発生する恐れがあります。
強固なパスワード設定とログインのセキュリティを強化することで、リスクを軽減できます。
クレデンシャルスタッフィングとは、情報漏洩事件で犯罪者が盗んだユーザー名とパスワードを悪用して、様々なウェブサイトやアプリでログインを試行する攻撃です。攻撃の仕組みは単純ですが、同じログイン情報を別のアカウントでも使い回していると、攻撃者はログイン情報を推測する手間なく、アカウントに簡単に侵入できてしまいます。
パスワードの再利用は、侵害を悪化させたり、解決が複雑になる原因となるので非常に危険です。1つのアカウントのログイン情報が漏洩すると、そのログイン情報が様々なアカウント(メール、ショッピング、銀行、仕事関連、SNSアカウントなど)でログイン試行される恐れがあります。クレデンシャルスタッフィングの主な感染リスクは、Macデバイス自体の損傷ではなく、毎日使っている個人アカウントの乗っ取りです。
クレデンシャルスタッフィングは、あるサイトから流出したログイン情報を悪用して、他のサイトのアカウントログインを試みる攻撃です。手法自体は単純ですが、パスワードの使い回しをしているユーザーが多く、攻撃者はボットを使って大量にログイン試行するので被害は深刻です。
02
攻撃者は、アカウントログインを試行するサイト、アプリ、またはサービスを選びます。
03
ボットやスクリプトを使って、ログインページで大量のユーザー名とパスワードを試行します。
04
同じパスワードを複数のアカウントで使い回している場合、攻撃者はパスワードを推測する手間なく簡単に侵入できます。
05
ログインされると、攻撃者がデータの窃取、アカウント設定の変更、不正購入、あるいは詐欺行為にアカウントを悪用する恐れがあります。
過去の事例を振り返ると、「安全だと思っていたアカウントに侵入されて個人情報を盗まれたりアカウントを詐欺に悪用された」、という被害はクレデンシャルスタッフィング攻撃が原因であることが多々あります。この攻撃は、「パスワードの使い回し」という単純な脆弱性に付け込んでおり、標的にされると複数のアカウントが一気に侵害される危険性があります。
過去に侵害されたサイトから流出したパスワードを悪用して、23andMe(遺伝子検査サービス)にクレデンシャルスタッフィング攻撃を仕掛けられ、顧客のアカウントが侵害された事件です。これにより顧客のプロフィール詳細や「DNA親族検索(DNA Relatives)」などの機能を介して共有された情報が流出しました。1つのアカウントパスワードを使い回すだけで、別アカウントの機密情報も漏洩する危険性が明らかとなりました。
Rokuは、2件のクレデンシャルスタッフィング攻撃で50万件以上のアカウントに被害があった旨を公表しました。攻撃者は、ある侵害事件から流出したログイン情報を悪用して、Rokuでパスワードを使い回していたユーザーのアカウントに侵入し、不正購入を行いました。この事例では、支払い情報やサブスクリプションが登録されているアカウントでパスワードを使い回した場合の被害の深刻性が明らかとなりました。
The North Face(ザ・ノース・フェイス)は、過去に他サービスで流出したログイン情報を悪用したクレデンシャルスタッフィング攻撃の標的となり、顧客アカウントに侵入されたと報告しました。顧客の氏名、連絡先、購入履歴などが侵害されたと伝えています。この事例は、一度盗まれたログイン情報が数年後に及んでも別アカウントへのアクセスに悪用され、個人データが盗まれる危険性があることが浮き彫りとなりました。
クレデンシャルスタッフィングは、日常的に使っているアカウントが狙われるため非常に危険です。1つのパスワードを他で使い回しすると、複数のアカウントが危険に晒されるリスクがあります。
流出したログイン情報をその後も使っていると、攻撃者はウイルス対策ソフトのアラート発動やデバイスへのマルウェアインストールの手間を回避して、アカウントを簡単に乗っ取ることができます。
アカウントに侵入されると、メッセージの内容、購入履歴、アカウントに保存されているその他の詳細情報や個人情報が漏洩する恐れがあります。
ショッピング、銀行アプリ、またはサブスクリプションアカウントが侵害されると、詐欺、不正購入、または決済情報の悪用などといった、深刻な被害が及ぶ危険性があります。
一度ログインに成功すると、攻撃者は他のアカウントでも同じ情報でログインを試みたり、侵入に成功したアカウントのパスワードをリセットする恐れがある他、アカウントが詐欺行為に悪用される場合もあります。
パスワードを使い回している方やアカウントを多数持っている方、オンラインショッピングのヘビーユーザーの方は、標的になりやすいです。
クレデンシャルスタッフィング攻撃の標的に最もなりやすいのは、複数のサイトで同じパスワードを使い回している方です。
オンラインショッピング、デリバリー、サブスクリプションサービスなど、複数のアカウントで使い回しのパスワードを利用されている方は、標的のリスクが高くなります。
メールアカウントが侵害された場合、攻撃者がパスワードをリセットして、同じメールアドレスを使っている他のアカウントを乗っ取る恐れがあります。
また、小規模なチームでは、リソース不足のためパスワードの管理研修やアカウントのセキュリティ対策が不十分なこともあり、アカウントの乗っ取りを速やかに検知・対応できない場合があります。
まずは、こうした攻撃を成功させるようなログインの脆弱性を排除することから始めましょう。各アカウントごとには固有のパスワードを設定したり、ログイン認証のステップを強化すれば、万が一あるパスワードが流出しても、別のアカウントで悪用される可能性は遥かに低くなります。
クレデンシャルスタッフィングは、ユーザーのデバイスではなくアカウントを標的としています。Macのセキュリティツールは、使い回しパスワードが別のサイトでログイン試行される攻撃自体を防ぐことはできませんが、より安全なブラウジングをサポートしたり、不審なアクティビティについて警告して、ログイン情報が漏洩するリスクを軽減できます。
独自のパスワードを作成・管理できるツールを使えば、複数のアカウントでログイン情報を使い回すのを簡単に防げます。
セキュリティが不十分なネットワークや怪しいサイトでのログインは避けてください。VPNを利用すれば、共有ネットワークでも通信データを暗号化できますので、ネットワークの盗聴者などからログイン情報を万全に守れます。
フィッシングページ、危険なダウンロード、マルウェアといった脅威は、ログイン情報を危険にさらします。リアルタイム保護付きのMac用ウイルス対策なら、脅威をすべて検知して、深刻なアカウント侵害の発生を防ぎます。
より強力なパスワード、ログイン警告、安全なブラウジング、ファイアウォール保護を併用することで、不審なアクティビティを速やかに特定し、脅威のリスクを軽減できます。
25年以上に渡って革新を続けるIntegoは、データ、プライバシー、デバイスといった最も重要な資産を守るために構築された高度なサイバーセキュリティソリューションを提供してきました。
受賞歴のあるウイルス対策、ファイアウォール、VPN、システム最適化ツールを搭載し、MacおよびPCユーザーが求めるシンプルさと信頼性を備えた強力な保護を実現します。
