クレデンシャルスタッフィング攻撃とは？仕組みと対策

クレデンシャルスタッフィングは、盗まれたユーザー名とパスワードを使用してオンラインユーザーアカウントにアクセスするサイバー脅威です。ブルートフォースアタック（総当たり攻撃）の一形態であるクレデンシャルスタッフィング攻撃では、サイバー攻撃者が自動化技術を駆使して、成功する組み合わせが特定されるまで、ユーザー名とパスワードの複数の組み合わせを試行します。

クレデンシャルスタッフィング攻撃は、特に金融サービスのアカウントで多発しており、脅威者の間で好まれるサイバー攻撃となっています。ベライゾンのデータ漏洩/侵害調査報告書によると、ハッキング関連の侵害の80％以上は、紛失または盗難されたクレデンシャル（認証情報）を使用しています。クレデンシャルスタッフィングはデータ侵害の最も一般的な原因の一つであり、さらにSpyCloudのデータによれば、64％の人が複数のアカウントで同じパスワードを使い回しているため、この種の攻撃に対して特に脆弱です。

クレデンシャルスタッフィング攻撃では、脅威アクターは、データ侵害やダークウェブでの購入を通じて得た、盗難されたあるいは流出したユーザー名とパスワードを利用します。また、自動化されたツールを使用して複数のウェブサイトでこれらの認証情報の有効性を一斉に試すことで、ユーザーが異なるプラットフォーム間で同じログイン情報を使い回す傾向を利用します。

クレデンシャルスタッフィング攻撃では、自動化が重要な役割を果たしています。サイバー犯罪者は、感染したコンピュータのネットワークであるボットネットを利用して、標的のウェブサイトでユーザー名とパスワードの組み合わせを自動テストします。このアプローチにより、短時間で大量の認証情報を迅速に評価することが可能になります。

クレデンシャルスタッフィング攻撃には通常、検証と悪用の2つのフェーズがあります。検証フェーズでは、ボットネットは盗まれたユーザー名とパスワードのペアをテストし、一致するものを特定します。一致が確認されると、攻撃者は悪用フェーズに進みます。

悪用フェーズでは、検証された認証情報がさまざまな不正行為に使用されます。これには、身元詐称、不正取引、ダークネット市場での侵害されたアカウントの販売などが含まれます。侵入されたアカウントが個人のメールアカウントであるか、企業のシステムであるかによって、取られる行動は異なります。

クレデンシャルスタッフィング攻撃とブルートフォースアタックは、どちらも同じような意図を持っていますが、その手法、拡張性、防止策は異なります。そのため、組織はこれらの攻撃の違いを理解し、防止するための適切なセキュリティ対策を実施しなければなりません。

クレデンシャルスタッフィングは、組織にとって深刻な影響を及ぼすサイバー攻撃です。クレデンシャルスタッフィング攻撃は、盗まれたログイン情報を使用するため、結果として、大きな財政的損失や組織の評判へのダメージ、さらには法的な問題も引き起こす可能性があります。これらの影響は多くの場合、相互に関連しています。

漏洩したアカウントとデータ侵害

クレデンシャルスタッフィング攻撃の最も重大な影響の 1 つは、ユーザーアカウントの侵害です。脅威アクターは、再利用された、または脆弱な認証情報を悪用して、個々のアカウントに不正にアクセスします。これにより、機密データや情報が悪用され、個人情報や財務情報が漏洩する可能性があります。このようなデータ侵害は、被害を受けた企業の信頼を損ない、企業とその顧客の双方に深刻な影響を及ぼす可能性があります。

アカウントのロックアウトとユーザーの不満

クレデンシャルスタッフィング攻撃は、認証システムに大量のログイン試行を繰り返し行います。このため、正規ユーザーは、多数の誤ったログイン試行によって、頻繁にアカウントがロックされるリスクがあります。この影響で、ユーザーは不便を感じ、ストレスを抱えることになり、結果として悪いユーザーエクスペリエンスが生じます。アカウントのロックアウトが長期間続くと、顧客が他のサービスへと流れる可能性があり、企業の評判や収益に影響を与える可能性があります。

ランサムウェアの脅威と恐喝

場合によっては、クレデンシャルスタッフィング攻撃が、より壊滅的なサイバー脅威の入り口として機能することもあります。攻撃者がシステムにアクセスすると、ランサムウェアを展開し、重要なデータを暗号化し、その解放のために身代金を要求することがあります。このような恐喝の被害に遭うと、企業は身代金を支払うか、重要なデータへのアクセスを失うかの決断を迫られるため、経済的に打撃を受ける可能性があります。

経済的影響

クレデンシャルスタッフィング攻撃は、組織に多大な金銭的損失をもたらすかもしれません。攻撃者がユーザーアカウントに不正にアクセスすると、不正購入、銀行口座の流出、身元詐称など、さまざまな目的に悪用される可能性があります。経済的影響は壊滅的で、企業はユーザーのアカウントを保護しなかったために直接的な金銭的損失や潜在的な責任に直面する場合があります。2020年だけでも、金融サービス部門はこのような攻撃により34億ドルの損失を被りました。

評判へのダメージ

クレデンシャルスタッフィング攻撃は、企業の評判に深刻なダメージを与えます。侵害されたユーザーアカウントは、機密情報を保護する組織の能力に対する信頼を損ないます。顧客はその企業の安全対策に不安を感じ、別の選択肢を探す可能性が高くなります。さらに、クレデンシャルスタッフィング攻撃に関するニュースは急速に広がり、企業の評判を一層悪化させ、信頼を回復することが難しくなります。

GDPRに基づく罰金

欧州内で事業を展開する組織や欧州市民のデータを扱う組織の場合、GDPR（EU一般データ保護規則）違反は、違反の程度や内容によっては多額の罰金を科される可能性があることに留意してください。クレデンシャルスタッフィング攻撃からのユーザーアカウントの不十分な保護を含むGDPRの不遵守は、多額の金銭的罰則につながる可能性があります。これらの罰金は、コンプライアンス違反の程度や内容に基づいており、強固なパスワード衛生慣行を維持し、クレデンシャルスタッフィングを防止するための強力なセキュリティ対策を実施することの重要性を強調しています。

クレデンシャルスタッフィング攻撃の影響は深刻かつ広範囲に及ぶ可能性があります。組織は、クレデンシャルスタッフィングの意味を理解し、デジタル資産とインフラストラクチャを保護するための事前対策を講じる必要があります。多要素認証の導入、不審な行為の監視、パスワードのセキュリティに関するユーザーの教育により、企業はクレデンシャルスタッフィングに関連するリスクを軽減し、評判と経済的な健全性を守ることができます。

全体として、クレデンシャルスタッフィング攻撃を防ぐには、技術的な対策と非技術的な対策を組み合わせる必要があります。適切なサイバーセキュリティ対策を実施することで、組織はクレデンシャルスタッフィング攻撃の被害者になる可能性を最小限に抑えることができます。

防止対策は、どのような企業や個人にとっても重要ですが、クレデンシャルスタッフィング攻撃の軽減を目指す組織にとって検知は特に重要です。攻撃の検知は、警戒心と適切なツールの組み合わせが求められます。

ログイン試行の監視

クレデンシャルスタッフィング攻撃を特定するための最初のステップは、ログイン試行を注意深く観察することです。単一または複数のIPアドレスからのログイン失敗が突然急増した場合、攻撃が進行中であることを示している可能性があります。ログイン試行回数の急増や、複数の異なる認証情報での同時ログインといったパターンを厳密に分析することが極めて重要です。

トラフィック発信源の分析

サイバー犯罪者はしばしば、クレデンシャルスタッフィングキャンペーンの際に、プロキシネットワークやVPNを利用して自分たちの位置情報を隠蔽します。そのため、これらの脅威を発見するには、トラフィックの発信源を分析することが不可欠です。顧客のいない国から発信される過剰なトラフィックは、攻撃が差し迫っていることを示している可能性があります。

ユーザーとエンティティの行動分析（UEBA）

ユーザーとエンティティの行動分析（UEBA）も、クレデンシャルスタッフィング攻撃を検出する上で重要な役割を果たします。これには、通常のログイン時間、アクセスに使用されるデバイスの種類、パスワードの変更頻度などの典型的なユーザー行動を調査し、これらの規範から逸脱している場合は潜在的に疑わしい行動としてフラグを立てることが含まれます。

一般的な兆候を早期に認識することは、被害を最小限に抑える上で非常に重要です。

Proofpointは、クレデンシャルスタッフィング攻撃から保護するためのサイバーセキュリティソリューションを複数提供しています。最も強力なものには、以下のようなものがあります。

• セキュリティ意識向上トレーニング：Proofpointは、サイバーセキュリティ教育とセキュリティ意識向上トレーニングソリューションを通じて、パスワードセキュリティの重要性を強調し、異なるサイト間でのパスワードの再利用を避けるようユーザーに促しています。サイトごとに固有のパスワードを使用することで、クレデンシャルスタッフィング攻撃のリスクを大幅に軽減することができます。
• クラウドアカウント防御：ProofpointのTAP(Targeted Attack Protection)は、高度な脅威インテリジェンスと機械学習を使用して、不審なログイン試行やその他のアカウント侵害の兆候を検出します。不審なログイン試行が検出されると、TAPは攻撃元 IP アドレス、攻撃の種類、標的となったユーザーアカウントなど、攻撃に関する詳細情報を提供します。
• メールセキュリティと保護：Proofpointのメールセキュリティソリューションは、レピュテーションやコンテンツ分析を含む多層的な検出技術を使用し、常に進化する脅威に対抗します。NexusAI を搭載したProofpointのメール保護ソリューションは、さまざまなタイプのメールを正確に分類し、ビジネスメール詐欺（BEC）のような悪意のあるペイロードを伴わない脅威を検出してブロックします。
• データ損失防止：Proofpointのエンタープライズ情報漏洩対策（DLP）ソリューションは、高度なコンテンツ分析を使用して、個人を特定できる情報（PII）、財務データ、知的財産などの機密データを識別します。メール、クラウド、エンドポイント、ウェブなど、さまざまなチャネルにおけるデータの動きを監視し、不正なデータ流出を検知・防止します。また、リアルタイムアラートを備えたDLPソリューションは、機密データの社外への送信をブロックしたり、送信中の機密データを暗号化したりするなど、不正なデータアクセスや使用を防止するためのポリシーを実施します。

Proofpointは、クレデンシャルスタッフィング攻撃に特化した直接的なソリューションは提供していませんが、当社の幅広いサイバーセキュリティソリューションは、クレデンシャルスタッフィング攻撃に関連するリスクの軽減に総合的に貢献することができます。詳細については、Proofpointまでお問い合わせください。