クレデンシャル・スタッフィング

クレデンシャル スタッフィングは、コンピュータ プログラムまたはハッカーがユーザー名やパスワードの組み合わせのリストを使用してシステムまたはサービスへのアクセスを試みる自動化されたサイバー攻撃手法です。これはブルート フォース攻撃の一種で、正しいものが見つかるまで複数のパスワードやパスフレーズを体系的に試行する不正な理論的攻撃です。

Credential Stuffing は、違法に購入または取得した、以前に盗まれた資格情報 (通常は電子メール アドレスとパスワード) のリストに大きく依存しています。次に、攻撃者は、より多くのアカウントやサービスにアクセスできることを期待して、Web 上の他のサイトでこれらの資格情報を再利用しようとします。多くの場合、ユーザーは複数の Web サイトで同じユーザー名とパスワードの組み合わせを再利用するか、弱いパスワードのみに依存します。

この攻撃ベクトルは、Web 上で利用可能な膨大な数の侵害されたデータベースによって可能となり、多くの場合、データ侵害などの他のサイバー攻撃によって取得されます。この結果、資格情報が公開されている組織は、資格情報スタッフィングに対して特に脆弱になります。

Credential Stuffing 攻撃が成功すると、標的のアカウントからの資金の盗難や不正な購入による経済的損失から、データ侵害による重要な機密データの破壊に至るまで、深刻な影響が及ぶ可能性があります。さらに、多くのアカウントには 2 要素認証 (2FA) や多要素認証 (MFA) などの追加のセキュリティ設定があり、これらが常に有効になるとは限らず、クレデンシャル スタッフィングの危険にさらされます。

組織や個人は、定期的にパスワードを変更し、文字を組み合わせた強力なパスワードを使用し、パスワード マネージャーを使用してランダムなパスワードを生成し、間違ったパスワードを使用しようとしても認証できないように 2 要素認証 (2FA) を有効にすることで、クレデンシャル スタッフィングを防ぐことができます。ユーザーがリンクされたデバイスに通知を送信している間、すぐにブロックされます。また、既知の「詰め込まれた」電子メール アドレスからのパスワードのリセットを防止する必要があります。また、組織は定期的なセキュリティ監視と侵入検知システムが確実に導入されていることを確認する必要があります。