クレデンシャルスタッフィング攻撃とは?簡単に解説します。

世の中には、さまざまな便利なWebサービスがあります。
携帯さえあれば、ログインしてボタン1つで商品を変えてしまう世界です。
そのWebサービスを利用する際、IDとパスワードを使ってログインをしているかと思います。

いちいち、覚えるの面倒くさいから、毎回同じIDとパスワードを使っている方は多いです。

しかし、IDとパスワードを使い回していると、不正アクセスされる可能性があります。
サイバー攻撃の1つとして、クレデンシャルスタッフィング攻撃というものがあります。

おそらく、聞いたことないサイバー攻撃ですよね。
しかし非常に怖い攻撃手法なので、今回紹介します。

クレデンシャルスタッフィング攻撃とは?

漏えいしたアカウント情報を悪用した攻撃のことを「クレデンシャルスタッフィング攻撃」と言います。
別名、パスワードリスト型攻撃とも言われています。
不正に入手した不特定多数のIDとパスワードのリストを使って、Webサービスにログインをする攻撃のこと。

もう少しわかりやすく説明します。
例えば、Aさんが、ショッピングサイトの「Aサイト」を利用していたとします。そのサイトではいつも使っている「IDとパスワード」を入力してログイン。
Aさんは、今度は違うWebサイト「Bサイト」にも同じ「IDとログイン」を使ってログインをしています。

そうすると、どちらかのサイトの「IDとパスワード」さえわかれば、他のサイトでも簡単にログインすることができてしまいます。
皆様がインターネットで、ログインをするときにいちいち、IDやパスワードを変えないですよね。

攻撃者はこれをうまく活用し、IDとパスワードのリストを不正に取得したら、様々なWebサービスへ不正ログインを仕掛けるのです。
不正ログインといっても、「正しいIDとパスワード」でログインしているので、気づきにくいのです。
ランサムウェアのように、目に見えてわかるような事象ではありません。

不正にログインされた結果、
「SNSで乗っ取りツイート」
「インターネットバンキングで不正送金」
「貯めたポイントを不正利用」

などが発生します。
また法人の場合には、顧客情報や社内情報が流出するという可能性もございます。

顧客情報が漏れているか

今回紹介した、「クレデンシャルスタッフィング攻撃」は増加傾向にあり、実際に弊社へのお問い合わせも増えております。
弊社サイバーリサーチでは、組織の漏えい状況をわかりやすくレポートにまとめるサービスをご提供しております。

貴社の情報漏えい状況をまとめたレポートでは、従業員のサイバーリスクを可視化することが可能となり、組織にあった具体的な対策を実行することが可能となります。

もしかしたら、「情報漏えいしているかも?」という企業様は、お気軽にお問い合わせください。