更新日
クレデンシャルスタッフィング
ここではサイバー攻撃の一種であるクレデンシャルスタッフィングの特徴と、ブルートフォースアタックとの違い、どのような対応をすることでIDやパスワードを保護できるのか説明しています。ぜひ参考になさってください。
クレデンシャルスタッフィングとは?
「クレデンシャルスタッフィング(Credential Stuffing)」攻撃は「パスワードリスト型」攻撃という別名を持つサイバー攻撃の1種です。
情報漏洩などから流出してしまったユーザーアカウントに対し、「ボット」と呼ばれるプログラムなどを悪用して総当たり的に不正ログインを試みます。
不正ログインはさまざまなWebサイトで脅威となりますが、クレデンシャルスタッフィング攻撃で特に狙われやすいのが金融機関のアカウントです。
ブルートフォースアタック(総当たり攻撃)との違い
「ブルートフォースアタック」攻撃(Brute force attack)の「brute force」とは「力づく」や「強引」といった意味で使われています。
そんなブルートフォースアタックは暗号解読方法の一種で、数によって不正ログインを試みる総当たり攻撃によって行われています。
クレデンシャルスタッフィング攻撃もブルートフォースアタックの一種と言えますが、そこには大きな違いもあります。
ブルートフォースアタックが大量のランダムな数字や文字によって不正ログインを試みるのに対し、クレデンシャルスタッフィング攻撃では流出したり盗難されたパスワードによってアクセスを行います。
例えば、色々なプラットフォームで同じアカウントやパスワードを併用していると、IDが1つ流出・盗難されることによって、ほかのアプリケーションなどにも不正ログインの脅威にさらされることとなります。
クレデンシャルスタッフィンを受けるとどうなる?
クレデンシャルスタッフィン攻撃を受けた場合、次のような状況に至る可能性があります。
アカウントの不正利用による被害
クレデンシャルスタッフィン攻撃による最大の懸念はアカウントの不正使用です。
個人のアカウントあればネットバンキングなど金融機関の口座へのアクセスを許してしまったり、クレジットカードを不正に利用されるといった懸念も考えられます。
企業が保有するアカウントであれば、機密データが盗み出されるなど、会社とその取引先へと甚大な被害を生み出しかねません。
また、クレデンシャルスタッフィン攻撃の特性上、1つのアカウントが不正ログインの被害に遭うと、同じIDやパスワードを使い回しているほかのアプリケーションも侵害されるリスクが高まってしまいます。
アカウントの凍結・ロックアウト
クレデンシャルスタッフィン攻撃では流出や盗難したIDやパスワードを用い、可能性のある組み合わせや、当てはなりそうなWebアプリケーションなどへと、手当たり次第に大量のログイン仕掛けます。
不正ログインの失敗も多数発生するため、正規ユーザーがアクセスしようとした際にアカウントがロックされる可能性があります。
そして、これはユーザーだけでなくWebアプリケーションなどを提供している側にとっても利益を損なうパターンになりがちです。
さほど使用頻度の高くないアプリケーションだった場合、ログインできないことによって放置され、そのような状態がほかの大勢のユーザーの間でも起こると、そのアプリを提供している会社の損益につながってしまいます。
ランサムウェアによる被害
クレデンシャルスタッフィング攻撃は、さらに悪質なサイバー攻撃を誘発する怖れがあります。
例えばパソコンを始めとしたデバイスに不正アクセスを行い、もとに戻すことと引き換えに金銭を要求するといった「ランサムウェア」などがそれに該当します。
クレデンシャルスタッフィングへの対策
さまざまな問題を引き起こす脅威となるクレデンシャルスタッフィング攻撃に対しては、サイト運営者としてもユーザーとしても有効な対応が必須になります。クレデンシャルスタッフィング攻撃への対策を紹介します。
サイト運営者の対策
既知の侵害/危害を受けたパスワードのデータベースに照合する
アプリケーションの一部では、パスワードが入力された際、それを受け取る前に、既知の侵害、つまりはすでに危害を受けているパスワードのデータベースと照合し、クレデンシャルスタッフィング攻撃を防ぐ手段を取っています。ただし、この方法は確実とは言えません。ユーザー自らがパスワードを再利用しているおそれもあるためです。
二要素認証の実装
二要素認証では2つの異なる要素によって認証が行われるログイン方法です。二要素以上の認証が重なる場合には多要素認証と呼ぶ場合もあります。
二要素認証で幅広く採用されているのが、パスワードに生体認証をプラスしているものです。
二要素認証を導入することで、クレデンシャルスタッフィング攻撃の予防策になります。
二段階認証の実装
二要素認証と言葉はよく似ていますが、二段階認証では2つの段階を経て認証を行うことにより重きを置いています。二段階認証では同じ情報を2回以上入力するなど、複数の段階で認証が行われます。
例えばネットバンキングを利用した際などにログインを行ったあと、振込の際にもう1度同じパスワードを求められたりするとうパターンが見られます。
認証を重ねることでパスワードを破られる確率を減らすことができます。
CAPTCHAの実装
CAPTCHAとはパスワードを入力しているのがボットかどうかを判断するテストです。テストの結果、ボットであると判断されたされた場合には、そのパスワード入力はブロックされます。
パスワード入力時に表示される歪んだ文字列などの画像認証がこれに該当します。
FIDO(ファイド)の利用
クレデンシャルスタッフィングへの対策としては「FIDO(ファイド)」を利用するという手立てもあります。
FIDO(ファイド)は「Fast Identity Online」の略で、パスワードのような秘密情報を使用しない新たな認証技術を指します。
サーバーからの認証要求に対しては、生体認証やジェスチャーによって応え、本人であることを証明します。
ワンタイムパスワード(FOAS)の利用
近年はテレワークやリモートワークと呼ばれる在宅勤務も急増してきています。オフィスとは異なる場所からのアクセスではセキュリティ面にも一層の注意が求められます。
そして、こうした在宅勤務に対し、クレデンシャルスタッフィング攻撃に有効な対策なのがワンタイムパスワードです。
例えばワンタイムパスワードのサービスの1つ「FOAS」も、パスワードをいちいち覚えておく必要がなく、流出の心配がないというメリットがあります。
ボット管理システムを利用する
クレデンシャルスタッフィングはボットを利用して不正なログインを行おうとします。そこでクレデンシャルスタッフィング攻撃への対策としてボットのブロックが考えられますが、全てのボットが不正アクセスに関わっているかと言えばそうではありません。そこで、悪意のあるボットだけをブロックするのがボット管理システムです。
WAFを導入する
「WAF」は Webアプリケーションファイアウォールの略であり、ログインに対して不審な動きがあった場合にブロックを行い、攻撃パターンを特定してクレデンシャルスタッフィング攻撃からユーザーの情報を保護するものです。
ユーザーの対策
ID/PASSの使い回さない
ユーザーにとって有効なクレデンシャルスタッフィング対策が、IDやパスワードの使い回しをしないことです。「覚えきれないから」といった理由でどのサイトやどのアプリケーションでも同じID・パスワードを使っていると、1つの組み合わせが流出・盗難に遭った場合、ほかのもっと重要なプラットフォームなどが脅威にさらされることになってしまいます。
フィッシングやスパムによる情報漏洩をさせない
現代では世界中でフィッシングやスパムが横行しています。フィッシングやスパムによって不審なサイトにアクセスしたり、不用意にダウンロードを行ってしまうと、そこに仕掛けられた罠によってIDやパスワードが流出してしまう可能性が考えられます。情報漏洩をさせないためにも、フィッシングやスパムに対してはセキュリティ対策ソフトをインストールするなどして対応しましょう。
今すぐできるセキュリティ対策から始めよう!
サイバー攻撃の脅威は人々の身近にあり、自分の会社や、自分だけが被害に遭わないということはありません。幸いなことにクレデンシャルスタッフィング攻撃に対しても、今すぐ実行できる対策が複数存在します。パソコンやタブレットなど端末に対するサイバー攻撃を甘く見ずに、早め早めに適したセキュリティ対策をほどこしておきましょう。
