コンテンツへスキップ

Exabeam 2025年Gartner ®Magic Quadrant™のSIEM部門でリーダーに選出。続きを読む

クレデンシャル・スタッフィング

  • 6 minutes to read

目次

    クレデンシャル・スタッフィングとは何か?

    クレデンシャル・スタッフィングとは、攻撃者が自動化されたツールを使用して、複数のウェブサイトやサービスに対して、盗まれたり流出したりした大量のクレデンシャル(ユーザー名とパスワード)をテストし、特権ユーザーアカウントへの不正アクセスを狙うサイバー攻撃の一形態である。

    この攻撃方法は、多くの人が複数のプラットフォームで同じログイン認証情報を再利用するという不幸な事実を悪用するもので、攻撃者は漏洩した認証情報の同じセットで複数のアカウントにアクセスすることができる。

    この用語解説について:

    このコンテンツは、内部脅威に関するシリーズの一部である。

    推薦図書:セキュリティ・ビッグデータ分析:過去、現在、未来


    クレデンシャル・スタッフィングは組織にどのような影響を与えるか?

    クレデンシャル・スタッフィングは、組織に以下のような重大な悪影響を及ぼす可能性がある:

    • 機密データへの不正アクセス:攻撃者が従業員や顧客のアカウントにアクセスした場合、財務データ、個人情報、企業秘密などの機密情報にアクセスされ、データ漏洩や顧客の信用失墜につながる可能性がある。
    • 評判の低下:クレデンシャル・スタッフィング攻撃が成功すると、組織の評判が低下する可能性がある。
    • 金銭的損失:クレデンシャル・スタッフィング攻撃は、不正取引、知的財産の盗難、盗まれたデー タに対する身代金要求など、直接的な金銭的損失につながる可能性がある。また、インシデント対応、訴訟費用、規制上の罰金などに関連する間接的なコストが発生する可能性もある。
    • 業務妨害:攻撃者が重要なシステムにアクセスすることで、業務が妨害され、ダウンタイムや生産性の低下を引き起こす可能性がある。
    • IT チームとセキュリティ・チームの作業負担の増加:クレデンシャル・スタッフィング攻撃は、インシデントに対応し、その程度を調査し、改善策を実施する必要があるため、IT 担当者とセキュリティ担当者、あるいは外部のコンサルタント・リソースにさらなる作業を強いる可能性がある。
    • コンプライアンス違反:攻撃が成功した場合、GDPRやHIPAAなどのデータ保護規制に違反し、罰金や罰則が科される可能性がある。

    クレデンシャル・スタッフィング攻撃の仕組み

    クレデンシャル・スタッフィング攻撃は通常、以下のステップを含む:

    1. クレデンシャルの取得:攻撃者はまず、流出した、または盗まれたユーザー名とパスワードの大規模なセットを入手します。多くの場合、データ侵害、ダークウェブ・フォーラム、またはその他の不正な手段から入手します。
    2. リストの準備:攻撃者は、一致に成功する可能性を高めるために、クレデンシャルをクリーニングし、並べ替え、整理することができる。また、既知の侵害データセットと照合してクレデンシャルをテストし、無効なものや期限切れのものを削除することもあります。
    3. 標的の選択:攻撃者は標的とするウェブサイトやサービスを選び、多くの場合、ユーザーが認証情報を再利用したり、貴重な情報を持っている可能性が高い人気のあるプラットフォームに焦点を当てる。
    4. 自動化:攻撃者は「ボット」とも呼ばれる自動化ツールやスクリプトを使用し、取得した認証情報を使用して標的のウェブサイトやサービスへのログインを組織的に試みます。これらのツールは、多くの場合、CAPTCHAのような基本的なセキュリティ対策を回避することができ、検出を回避するために複数のIPアドレスにログイン試行を分散させることができます。
    5. 成功したログインの特定:自動化ツールは成功したログインを記録し、攻撃者は侵害されたアカウントにアクセスする。
    6. アカウントの悪用:アクセス権を得た攻撃者は、機密データの窃取、不正購入、マルウェアの拡散、さらなる攻撃の開始など、さまざまな目的でアカウントを悪用する可能性がある。

    エキスパートからのアドバイス

    Steve Moore

    スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech CouncilのメンバーExabeamのTEN18の共同創設者でもあります。

    私の経験では、クレデンシャル・スタッフィング攻撃に対する防御を強化するのに役立つヒントを以下に挙げる:

    ログインエンドポイントでレート制限を使用する
    ログイン試行に対してレート制限を適用し、攻撃者が自動化されたログイン要求でサイトを攻撃するのを防ぎます。既知の悪意のあるIPに対するIPブラックリストと組み合わせることで、このような攻撃をさらに軽減することができます。

    ボット緩和技術の採用
    ウェブアプリケーションファイアウォール(WAF)やボット対策サービスなどのボット対策ツールを導入し、自動化されたクレデンシャルスタッフィングの試みがログインエンドポイントに到達する前にブロックする。

    漏洩パスワード検出の活用
    サードパーティ・サービスまたは内部メカニズムを使用して、ユーザーのパスワードが既知の漏洩リストに掲載されているかどうかをチェックし、一致するものが検出された場合はパスワードの変更を強制して、クレデンシャルの再利用を防止する。

    アダプティブ認証の導入
    ユーザーの行動、場所、デバイスなどのコンテキスト要因に基づいてログインのセキュリティを高める適応型認証システムを導入する。不審な行動が検出された場合、システムは追加の確認を促したり、アクセスをブロックしたりします。

    異常なアカウントロックアウトの監視
    アカウントロックアウトの突然の急増は、しばしばクレデンシャル・スタッフィングの初期指標となります。SIEMまたは監視ツールが、複数のアカウントからの異常なログイン・アクティビティまたは失敗した試行に対して警告を発するように設定されていることを確認します。


    クレデンシャル・スタッフィング vs ブルートフォース攻撃 vs ATO(アカウント乗っ取り)

    クレデンシャル・スタッフィング、ブルート・フォース攻撃、およびアカウント・テイクオーバー(ATO) はすべて、攻撃者が特権アカウントに不正にアクセスするために使用する手法ですが、次の表で詳しく説明するように、そのアプローチとテクニックは異なります。

    攻撃タイプ定義とテクニック効率性検出と緩和戦略ユーザー保護戦略
    クレデンシャル・スタッフィングあるデータ侵害から漏れた、あるいは盗まれた認証情報を使って、無関係のウェブサイトやサービスのユーザーのアカウントにアクセスすること。自動化ツールは、様々なプラットフォーム上でこれらの認証情報をテストするために使用されます。複数のアカウントで同じユーザー名とパスワードを再利用するユーザーに依存している。ログイン試行失敗の監視、IPアドレス分析、レート制限。ユニークで強力なパスワードの使用をユーザーに促し、多要素認証(MFA)を有効にする。ユニークで強力なパスワード、MFA。
    ブルートフォース攻撃正しいパスワードが見つかるまで何度も組み合わせを試すことで、ユーザーのパスワードを体系的に推測します。過去に流出した認証情報には頼らず、徹底的な検索技術に頼る。クレデンシャル・スタッフィングよりも効率が悪い。繰り返されるログイン試行の監視、アカウントのロックアウトや指定回数失敗後の遅延の実装、MFA、CAPTCHAの使用。強力で複雑なパスワードを設定し、可能であればMFAを設定する。
    アカウント買収クレデンシャル・スタッフィング、ブルート・フォース攻撃、またはフィッシングやソーシャル・エンジニアリングのような他の手段によって達成される可能性のある、ユーザー・アカウントへの不正アクセスおよびコントロール。具体的な方法による異常なアカウント活動を監視し、潜在的なアカウント侵害を特定するために行動分析を使用し、MFAなどの強力な認証メカニズムを採用する。強力なパスワード、MFA、意識向上。

    クレデンシャル・スタッフィングを検出・防止する方法

    クレデンシャル・スタッフィング悪用の検出と防止は、ユーザー・アカウントと機密データを保護するために不可欠です。以下に効果的な戦略をいくつか紹介します。

    多要素認証(MFA)

    MFA は、ユーザがログインする際に複数の身分証明書の提出を要求することで、さらなるセキュ リティ層を導入するものである。一般的には、ユーザが知っているもの(パスワードやパターンなど)、ユーザが持っているもの(物理的なトークンやモバイルデバイスなど)、および/またはユーザが持っているもの(指紋や顔認証など)を組み合わせる。MFAは、攻撃者が正しいパスワードを知っていたとしても、標的のアカウントにアクセスすることを著しく困難にする。

    デバイス・フィンガープリンティング

    デバイス・フィンガープリンティングでは、ブラウザの種類、オペレーティング・システム、インストールされているプラグインなど、ユーザーのデバイスの固有の特徴を収集する。この情報は、見慣れないデバイスからの疑わしいログイン試行を特定するのに役立ちます。ログイン試行で使用されたデバイスのフィンガープリントを既知の正規デバイスと比較することで、組織は潜在的なクレデンシャル・スタッフィング攻撃にフラグを立て、ブロックすることができます。

    IP許可リスト

    IP許可リストには、既知の悪意のあるIPアドレスまたはIP範囲からのアクセスをブロックまたは制限することが含まれる。失敗したログイン試行を監視および分析することにより、組織はクレデンシャル・スタッフィング攻撃を示すパターンを示すIPアドレスを特定し、それらのソースからの今後の試行を防止することができる。

    CAPTCHAを使用する

    CAPTCHA は、人間のユーザーと自動化されたボットを区別するために設計されたテストです。ログイン・プロセス中にユーザーに CAPTCHA チャレンジを完了するよう要求することで、組織は、攻撃者がクレデンシャル・スタッフィングのために自動化ツールを使用することをより困難にすることができる。しかし、高度なボットは時に CAPTCHA をバイパスすることができるため、これを唯一の防御メカニズムにすべきではない。

    強力なパスワードのためのアクティブディレクトリ監査の実施

    クレデンシャル・スタッフィング攻撃のリスクを軽減するためには、従業員の間でパスワードの衛生管理を徹底することが重要です。しかし、全員が強固で安全なパスワードを使用していることを確認するために、アクティブディレクトリ(AD)監査を実施することも重要です。組織は、ユーザが強力でユニークなパスワードを作成していることを確認し、複数のアカウントでパスワードを再利用していないことを確認する必要がある。パスワード・マネージャーは、従業員が安全な認証情報を維持するのにも役立つ。

    パスワード管理の徹底

    パスワード・ハイジーンを実施するには、強固で安全なパスワードの作成と管理を促進するポリシーとプラクティスを実施する必要があります。主な慣行は以下のとおりです:

    • 履歴の管理:パスワードの履歴を管理し、最近のパスワードの再利用を制限することで、ユーザーが以前のパスワードを再利用することを防ぎます。
    • パスワードの最長期間を設定する:60日や90日など、パスワードの最長期間を設定することで、ユーザーに定期的なパスワード変更を義務付ける。
    • 長さと複雑さの条件を設定する:最小限の長さ (NISTは、大文字、小文字、数字、特殊文字を織り交ぜた、最低8桁のパスワードを推奨しています。
    • セッション時間の制限:一定時間操作がないと自動的にログアウトし、セッション時間を制限することで、不正アクセスのリスクを低減します。
    • アクセス管理ポリシーの使用:管理者およびサービスアカウントに対して、特権アクセス管理(PAM)または特定のポリシーを導入し、より厳格なパスワードおよびアクセス制御要件に従うようにする。
    • パスワード期限切れアラートの有効化:期限切れになる前にパスワードを更新するようユーザーに通知または電子メールを送信し、パスワードの衛生状態を維持し、アカウントのロックアウトを回避します。
    詳細はこちら:

    インサイダー脅威の検知に関する詳細な解説をお読みください。


    Exabeamによるクレデンシャル・スタッフィングの検出

    脅威検知TDIR(検知・調査・対応)ユースケース・カテゴリーは、エクサビーム製品を使用するための成果ベースのフレームワークです。所定のエンドツーエンドのワークフローを使用して、どのような脅威を検知し、調査し、ハントし、対応するかを説明します。

    TDIRのカテゴリフレームワークでは、脅威を階層的に整理しているため、「侵害された内部関係者」のような一般的タイプから、「ブルートフォース攻撃」や「侵害された認証情報」のような特定のシナリオに分類することができます。包括的なユースケースカテゴリには、「侵害された内部関係者」、「悪意のある内部関係者」、「外部の脅威」の 3 つがあります。

    Outcomes Navigator for Exabeam Security Log Management and Exabeam Fusion SIEMは、クレデンシャル・スタッフィングやブルートフォース攻撃の完全なビューを得るために、ユースケース・カテゴリー内で解析された適切なログ・ソースとフィールドがあるかどうかを示します。そして、潜在的なイベントや攻撃を視覚化するためのダッシュボードと同様に、関心のあるアラートを作成するための特定の相関ルールが設定されているかどうかを確認することができます。

    Exabeam Fusion、Exabeam Security Investigation、または Exabeam Security Analytics を使用している場合、クレデンシャル・スタッフィング、ブルート・フォース、アカウント乗っ取りなどのクレデンシャル・ベースの攻撃をカバーする分析ルールが表示されます。

    Exabeamについてもっと知る

    ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。

    • ウェビナー

      人間からハイブリッドへ:AIとアナリティクスのギャップがインサイダーリスクに拍車をかけている理由

    • ウェビナー

      現代SOCエッセンシャル・シリーズ2

    • ウェビナー

      進化する脅威の状況(セッション1)

    • ホワイトペーパー

      脅威検知、調査、対応 (TDIR)のアーキテクチャ設計

    • もっと見る