クレデンシャルスタッフィングは、サイバー犯罪者がオンラインユーザーアカウントに侵入するために使用する手口です。これは、以前に盗まれたユーザ資格情報(パスワードとユーザー名)を悪用して行われます。クレデンシャルスタッフィングでは、サイバー犯罪者は大量に盗まれたデータを使用して、インターネット上の他のユーザアカウントに侵入します。 侵入に成功されると、アカウントの乗っ取りにつながる可能性があり、オンラインアカウントに保存されている個人情報を犯罪者が手に入れると、オンラインID窃盗につながる可能性もあります。
クレデンシャルスタッフィングは、盗まれたログイン資格情報を使ったハッカーによる攻撃
クレデンシャルスタッフィングは、犯罪者がWebサービスや企業からログイン資格情報を盗み出すことに成功した場合に行われます。犯罪者は、データ侵害やデータ漏えいの際に自ら資格情報を盗むこともできますし、ダークウェブのマーケットプレイスからクレデンシャルを購入することもできます。 犯罪者は資格情報を取得した後、クレデンシャルスタッフィングと呼ばれるプロセスを開始します。
犯罪者は、盗まれたユーザ資格情報を他のWebサービスに大量に流し込み、同じログイン資格情報でアクセスできるかどうかを確認します。彼らは特別なプログラムの助けを借りてこれを実行し、このプロセスを大幅にスピードアップさせます。犯罪者は好きなだけ多くのサイトでこれを行うことができますが、通常は支払い情報を含むサービスをターゲットにしています。
エフセキュアのサイバーセキュリティ専門家であるOlli Bliss(オリー・ブリス)は次のように説明しています。「数百万個の鍵を手にして、ドアの鍵を解除しようとしていると考えてください。これらのドアは、私たちが毎日利用しているサイトとサービスです。それは、Instagram、Facebook、またはPayPalのログインアカウントかもしれません。つまり、サイバー犯罪者は、どの組み合わせならこれらのサービスのロックを解除できるかを試しているのです」
パスワードの再利用がこの攻撃を支えている
クレデンシャルスタッフィングを可能にしているのは、ユーザーが複数のアカウントで同じパスワードを使い回しているからに他なりません。本質的にクレデンシャルスタッフィングは、盗まれたログイン情報を他のオンラインアカウントで使用できるかどうかをテストするだけです。もし資格情報が一致しなければ、ハッカーはクレデンシャルスタッフィング技術だけでは侵入することができません。
ほとんどの人がパスワードを再利用していることは周知の事実です。確かに、簡単で便利であることは間違いありません。しかし、そうすることでWebユーザはクレデンシャルスタッフィング攻撃の標的にされやすくなります。Webユーザは、ログイン資格情報がデータ侵害やデータ漏えいにさらされるのを防ぐことはできないことから、オンラインユーザアカウントの安全性を確保することが重要になります。
オンラインアカウントを安全に保つ方法
ユニークで強力なパスワードを使用する
あらゆる場所で同じパスワードや少数のパスワードを使い回していると、パスワードが侵害されたときに、すべてのユーザアカウントが危険にさらされることになります。Web犯罪者は、ほとんどの人がパスワードを再利用していることをよく認識しています。パスワードの窃盗に成功すると、さまざまなユーザアカウントでそのパスワードを試します。ユニークなパスワードを使用すると、他のアカウントにアクセスできなくなります。このトピックの詳細については、こちらのブログ記事をご覧ください。パスワードマネージャにパスワードを保存すると、簡単にアクセスでき、記憶しやすくなります。
2要素認証を使用する
2要素認証は、パスワードに加えてユーザアカウントを保護する第2の障壁です。これにより、犯罪者は、盗んだユーザ資格情報を使用することが非常に困難になります。2要素認証の詳細と有効化の方法については、このブログ記事を参照してください。
F-Secure ID PROTECTIONパスワードマネージャを活用する
エフセキュアのID PROTECTIONは、便利なパスワードマネージャです。ユニークで強力なパスワードを作成・保存して、あらゆるデバイスからアクセスすることができます。また、必要に応じてパスワードを自動入力することもできます。それだけでなく、ID PROTECTIONは個人情報をオンラインで監視します。使用しているサービスが侵害されたり、データ漏洩が検知されると、対処方法に関する専門家のガイダンスを含むアラートが表示されます。ID PROTECTIONは無料でお試しいただけます! >>
以下のビデオでは、Olli Blissが専門家の立場から質問に回答していますので、是非ご覧ください。
カテゴリ