対象試験と出題頻度
詳細をクリックして確認
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★☆☆☆
ランクC(応用)
用語の定義
クレデンシャルスタッフィング(Credential Stuffing)とは、一言で言うと「流出した大量の認証情報(ID・パスワード)を、自動化ツールを使って別のサービスに次々と”詰め込んで”不正ログインを試みる攻撃」のことです。
イメージとしては、「大量の合鍵を持ったロボットが、何千もの家のドアを自動で次々と試していく」ようなものです。
「Credential(認証情報)」を「Stuffing(詰め込む)」という名前のとおり、ボット(自動化プログラム)を使って数百万件もの認証情報を高速で試行します。「パスワードリスト攻撃」を自動化・大規模化した手法とも言えます。
📌 パスワードリスト攻撃との関係
クレデンシャルスタッフィングは、パスワードリスト攻撃の一種であり、ほぼ同義語として使われることが多いです。厳密には、クレデンシャルスタッフィングは「自動化ツール(ボット)を使った大規模な攻撃」という点を強調した用語です。試験では両方の用語が登場する可能性があるため、どちらも理解しておきましょう。
解説
クレデンシャルスタッフィング(Credential Stuffing)は、過去のデータ漏えい事件で流出したIDとパスワードの組み合わせ(クレデンシャル)を大量に使用し、自動化ツールでさまざまなWebサービスやアプリケーションへのログインを試みる攻撃です。攻撃者は専用のボットやスクリプトを使い、1秒間に数百〜数千件のログイン試行を行います。
- 攻撃の規模:Akamai社の調査によると、2023年に検知されたクレデンシャルスタッフィング攻撃は年間1,930億件以上にのぼり、前年比で65%増加しています。これは1日あたり5億件以上の不正ログイン試行が行われていることを意味します。
- なぜ成功するのか:多くのユーザーが複数のサービスで同じパスワードを使い回しているため、1か所で流出した認証情報が他のサービスでも有効な可能性が高いのです。調査によると約65%のユーザーがパスワードを使い回しています。
📊 クレデンシャルスタッフィングの仕組み
| ① 情報収集 | ダークウェブなどで流出した認証情報リスト(数百万〜数十億件)を入手 |
|---|---|
| ② ツール準備 | 自動ログインツール(ボット)、プロキシリスト、CAPTCHA回避ツールなどを用意 |
| ③ 大量試行 | 複数のIPアドレスを使い分けながら、標的サービスに高速でログイン試行 |
| ④ 成功抽出 | ログインに成功したアカウントを抽出し、不正利用や転売に悪用 |
💡 なぜこの攻撃が深刻な脅威なのか?
クレデンシャルスタッフィングは、OWASP(Open Web Application Security Project)の「Automated Threats to Web Applications」で主要な脅威として分類されています。
この攻撃の厄介な点は、正規のログイン試行と区別が難しいことです。攻撃者は検知を回避するため、IPアドレスを頻繁に変更し、人間のようなアクセスパターンを模倣し、CAPTCHA回避サービスを利用します。そのため、従来のセキュリティ対策だけでは防御が困難です。
クレデンシャルスタッフィングで乗っ取られたアカウントは、さまざまな形で悪用されます。ECサイトでは不正購入やポイントの窃取、金融サービスでは不正送金、SNSではなりすましや詐欺の踏み台として利用されます。また、乗っ取ったアカウント自体がダークウェブで売買されることもあり、「有効なアカウント1件あたり数ドル〜数十ドル」で取引されています。
具体的な活用例・対策
クレデンシャルスタッフィングへの対策は、ユーザー側の意識向上とシステム側の検知・防御の両面から行う必要があります。
- パスワードの使い回しをしない: 最も根本的な対策です。すべてのサービスで異なるパスワードを使用すれば、1か所で流出しても他のサービスは安全です。パスワードマネージャーを使えば、複雑で長いパスワードをサービスごとに自動生成・管理できます。
- 多要素認証(MFA)の有効化: パスワードが流出しても、ワンタイムパスワード、生体認証、セキュリティキーなどの追加認証があれば不正ログインを防げます。最も効果的な対策であり、可能な限りすべてのサービスで有効にしましょう。
- 流出チェックの習慣化: 「Have I Been Pwned」などのサービスで、自分のメールアドレスが過去の漏えい事件に含まれていないか定期的にチェックします。Chromeなどのブラウザにも流出パスワード警告機能があります。
- ログイン通知・異常検知の有効化: 新しいデバイスや場所からのログイン時に通知を受け取る設定を有効にし、不正アクセスを早期に発見します。
⚠️ 実務でのポイント(システム管理者向け)
クレデンシャルスタッフィングへのシステム側の対策として、以下が有効です。
① ボット検知ソリューション:Akamai Bot Manager、Cloudflare Bot Managementなど、人間とボットのアクセスを識別するサービスを導入します。
② レートリミット:同一IP・同一アカウントへの短時間での大量リクエストを制限します。
③ リスクベース認証:通常と異なるアクセスパターン(IP、デバイス、時間帯など)を検知し、追加認証を要求します。
④ 流出パスワードのブロック:ユーザー登録・パスワード変更時に、既知の流出パスワードとの照合を行います。
試験ではこう出る!
情報セキュリティマネジメント、基本情報技術者、応用情報技術者で出題されます。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- パスワードリスト攻撃(ほぼ同義語)
- 流出した認証情報(クレデンシャル)の悪用
- 自動化ツール(ボット)による大量試行
- パスワードの使い回しが原因
- 多要素認証(MFA)による対策
試験問題で「流出した認証情報を自動化ツールで大量に試行し、別のサービスへの不正ログインを試みる攻撃」や「ボットを使って大量のIDとパスワードの組み合わせを詰め込む(stuffing)攻撃」といった記述があれば、それは「クレデンシャルスタッフィング」に関する記述です。
📊 関連用語との比較(試験対策)
| 用語 | 特徴 | 関係 |
|---|---|---|
| パスワードリスト攻撃 | 流出したID・パスワードを別サービスに試す | ほぼ同義語 |
| クレデンシャルスタッフィング | 自動化ツールで大規模に実行する点を強調 | パスワードリスト攻撃の一種 |
| 辞書攻撃 | よく使われる単語リストでパスワードを推測 | 別の攻撃手法 |
| ブルートフォース攻撃 | 全パターンを総当たりで試す | 別の攻撃手法 |
📝 IPA試験での出題ポイント
クレデンシャルスタッフィングは比較的新しい用語ですが、IPAのシラバスにも掲載されています。試験では「パスワードリスト攻撃」との関係や、「辞書攻撃」「ブルートフォース攻撃」との違いを問う問題が出題される可能性があります。「実際に流出した認証情報を使う」という点が、他の攻撃との最大の違いです。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. クレデンシャルスタッフィングに関する説明として、最も適切なものはどれでしょうか?
- A. 流出した認証情報を自動化ツールで大量に試行し、別のサービスへの不正ログインを試みる攻撃
- B. 辞書に載っている単語やよく使われるパスワードのリストを順番に試す攻撃
- C. パスワードに使用できるすべての文字の組み合わせを順番に試す攻撃
正解と解説を見る
正解:A
解説:
クレデンシャルスタッフィングは、過去のデータ漏えい事件で流出した認証情報(IDとパスワードの組み合わせ)を、自動化ツール(ボット)を使って大量に別のサービスへ試行し、不正ログインを行う攻撃です。「パスワードリスト攻撃」とほぼ同義で、特に自動化・大規模化された攻撃を指す際に使われます。対策としては、パスワードの使い回しをしないことと、多要素認証の導入が効果的です。
選択肢Bは「辞書攻撃」の説明です。選択肢Cは「ブルートフォース攻撃(総当たり攻撃)」の説明であり、いずれもクレデンシャルスタッフィングとは異なる攻撃手法です。
📖 関連リンク(外部サイト)
