【要注意】クレデンシャルスタッフィング攻撃とは？仕組みと対策を簡単解説【お役立ち情報】 | OFFICE110

「サイバー攻撃の種類と被害」記事一覧

【要注意】クレデンシャルスタッフィング攻撃とは？仕組みと対策を簡単解説

自身の銀行口座が不正アクセスされ、見知らぬ口座へ多額の送金がありました。

「覚えるのが面倒」だからと、複数のサイトでパスワードを使い回していませんか？

複数サイトで使いまわしているパスワードが漏洩してしまい、他のサイトでも不正ログインされる事例が起こっています。

これは不正に入手したIDとパスワードで、他にもログインできるサイトがないか試す「クレデンシャルスタッフィング攻撃」です。

この記事では以下の内容を解説します。

クレデンシャルスタッフィング攻撃に遭いたくない方は必見です。

1.クレデンシャルスタッフィング攻撃とは？

「クレデンシャル」とはIDやパスワードなどログインに必要な情報で、指紋などの生体認証もクレデンシャルの中に含まれます。

似ているサイバー攻撃に「パスワードリスト攻撃」があり、あらかじめ入手した他人のIDとパスワードでログインを試みる方法は同じです。

「クレデンシャルスタッフィング攻撃」はロボットが行い、「パスワードリスト攻撃」は手動で行うのが異なる点です。

詳しくパスワードリスト攻撃も知っておきたい方は下記の記事をご覧ください。

パスワードリスト攻撃とは？手口や被害事例、効果的な対策を解説

2.ユーザー情報が漏洩する理由

クレデンシャルスタッフィング攻撃はあらかじめターゲットのログイン情報を手に入れた状態で行います。

サイバー犯罪者はどこからユーザー情報を手に入れるのでしょうか？

入手方法は主に以下の4つがあります。

大手企業になりすました「フィッシング」メール詐欺が増加。

個人情報を抜き取る目的で作成された「スパムアプリ」にも注意が必要です。

これらは「すぐに下記URLをクリックしないと危険！」「このアプリは非常に便利！」など、思わずクリックしたくなる文章で利用者を誘導し、知らぬ間に個人情報を盗み出します。

「ソーシャルエンジニアリング」は他人のパソコンを盗み見たり捨てられたメモから情報を得たりなど、インターネット技術を使用せずに盗む手口です。

通常のインターネット環境ではアクセスできない「ダークウェブ」では薬や武器などが売買され、個人情報も高値で取引されます。

あなたの個人情報もすでにダークウェブで売られているかもしれません。

2-1.パスワードの漏洩がないか無料で調査

Pwned Passwordsでは「自身のパスワードが漏洩し過去に悪用されたことがあるか？」「何回悪用されたか？」を無料で確認できます。

「password」と書かれた白い枠にパスワードを入力して「pwned」をクリックします。

漏洩がなければ「Good news — no pwnage found!」と、漏洩していれば「Oh No – pwned！」と表示されます。

3.ターゲットになりやすいサイト

不正ログインの目的には以下が挙げられます。

サイバー犯罪者はどのようなサイトでログインを試すのでしょうか？

不正送金などで多額の金銭を授受したり不正に物品を購入できることから、ネットバンキングや通販サイトは格好のターゲットです。

機密情報がつまった社内共有サイトやクラウドサービスも狙われやすく、2020年12月には楽天グループが利用する「Sales force」社のクラウドサービスから情報漏洩がありました。

動画配信サイトやSNSがターゲットになり、なりすましによる被害も増加しています。

4.クレデンシャルスタッフィング攻撃の被害事例

新型コロナウイルスの影響で通勤を避けるため、テレワークを導入する企業が増加。

オンラインでどこでも会議ができる「Zoom」が広まりました。

大勢が利用するサービスには、必ず悪用しようと考える者がいます。

現にサイバーセキュリティ会社の「Cyble」が、ハッカー向けの市場で約50万人分以上のZoomアカウントが売買されていることを発見。

この事実が2020年4月に発表されたおかげで、パスワード変更など不正利用対策をした利用者もいたようです。

売買されるアカウントはひとつあたり0.2円ほどの値がついており、裏世界で名を上げるため無料配布するケースもありました。

5.クレデンシャルスタッフィング攻撃に効果的な対策

クレデンシャルスタッフィング攻撃は個人情報の漏洩から起こる攻撃です。

攻撃を防ぐにはとにかく情報を漏洩させないこと。

ログイン情報の漏洩を防ぎ、ログインさせない対策をご紹介します。

5-1.利用者側の対策

サービス利用者側が情報を漏洩させない対策は3つあります。

複数のパスワードを管理するのは大変ですが、同じパスワードを使いまわして、もし漏えいしてしまうと使っているサイト全てに不正アクセスされてしまいます。

使用しないサービスがいつの間にかバージョンアップしていたり、脆弱性が発見されることがあります。

脆弱性のある状態で放置すると、サイバー犯罪者に情報を簡単に盗まれます。

また、個人情報漏洩の原因の多くは、ウイルスやフィッシングメールなのでセキュリティ対策は必須です。

5-2.サービス提供者側の対策

クレデンシャルスタッフィング攻撃されないサービス提供者側の対策を3つご紹介します。

1つ目はWAFの導入です。

「WAF」はWEBサービスの提供者と利用者の通信を監視するシステム。

WEBサービスに脆弱性がある場合、その脆弱性をついた攻撃もブロックしてくれます。

2つ目はアカウントロックの設定です。

サイバー犯罪者は様々なIDとパスワードの組み合わせを試します。

そこで同じパソコンから続けてログインすると、アカウントロックがかかるように設定します。

3つ目は多要素認証の導入です。

「他要素認証」とはログインの際に、ID以外で2種類以上の情報を要求する認証方法。

例えばIDとパスワードの他に「秘密の質問と回答」の入力を求めたり、画像を選ばせ正解したらログインできるなどがあります。

大量にログインを試すロボットは同じ操作を繰り返すことは得意ですが、画像を見て判断できません。

人間でなければ判断できない画像認証の導入がおすすめです。

6.情報漏洩を防ぐ！おすすめのサイバーセキュリティ商品

サイバー犯罪者はどこから不正アクセスするのかわかりません。

人の手ばかりに頼っては、リスクが高すぎます！

セキュリティ対策商品には素晴らしい機能が備わっているため、費用を惜しまず導入しましょう。

6-1.パスワードの簡単管理ならこのソフトにお任せ！

クレデンシャルスタッフィング攻撃されないためには、複雑なパスワード設定をして使い回さないことです。

しかし複雑なパスワードを複数管理するのは面倒で、効率が悪いでしょう。

そこでおすすめしたいのが「トレンドマイクロ パスワードマネージャー」です。

パスワードの使い回しが危険なことは承知しているものの、面倒くさい！

そんなときには「トレンドマイクロ パスワードマネージャー」がおすすめです。

6-2.ウイルス対策ソフトなら「ESET」

IDやパスワードを含む個人情報は、ほとんどがフィッシングメールやウイルスから漏洩します。

そのため会社でも自宅でも、パソコンにはウイルス対策ソフトの導入が必須です。

「ESET」は怪しいメールやウイルスなど、外部からの侵入を徹底してブロックする機能に特化しています。

多くの企業が導入し効果を実感しており、ウイルス対策ソフトに迷ったなら「ESET」です。

6-3.セキュリティのオールインワン「Cyber Box Pro」

ウイルスや不正アクセスの脅威は、社内ネットワークやインターネットなど様々な箇所に存在します。

その都度セキュリティ対策していては、お金や人材がいくらあっても足りません。

でも「Cyber Box Pro」ならたった1台導入するだけでさまざまなセキュリティ対策が可能です。

1台で社内全体のセキュリティ・データバックアップができるため、特に社員数が多い会社におすすめしたい商品です。

もちろん不正アクセスやウイルスだけではなく、あらゆるサイバー攻撃に対して「オールインワンでブロック」してくれます。

7.まとめ

クレデンシャルスタッフィング攻撃はログイン情報を様々なサイトで使い回す利用者の心理をついた攻撃です。

情報漏洩の件数は年々増加しているため、近い将来パスワード管理をせざるを得なくなるでしょう。

利用者が気をつけるのはもちろんですが、サービスの提供者側も人間でなければログインできない仕様にするなど、できることはあります。

セキュリティ対策商品には非常に優れた技術が組み込まれているため、積極的な導入をおすすめします。