クレデンシャルスタッフィング: この攻撃の仕組みと防御方法

Radar
Radar

Stripe ネットワークの力で不正利用を防止します。

もっと知る 
  1. はじめに
  2. クレデンシャルスタッフィングとは何ですか?
  3. クレデンシャルスタッフィングはどのように機能しますか?
  4. クレデンシャルスタッフィングは、ブルートフォースやパスワードスプレーとどう違いますか?
  5. クレデンシャルスタッフィング攻撃の早期警告の兆候は何ですか?
  6. クレデンシャルスタッフィングが SaaS や AI プラットフォームにとって危険なのはなぜですか?
  7. プラットフォームはログイン体験を損なわずにクレデンシャルスタッフィング攻撃に対抗できますか?
    1. きめ細かいレート制限
    2. ボットの検出とトラフィック分析
    3. 侵害された認証情報のスクリーニング
    4. 条件付き多要素認証 (MFA)
    5. 価値の高いアクションに対する MFA の必須化
  8. Stripe Radar でできること

クレデンシャルスタッフィング攻撃は、自動化されたプロセスを使用して盗まれたユーザー名とパスワードのペアのリストをテストし、ウェブサイトやアプリに不正アクセスします。これらの攻撃は、数百万ドル規模の損害を引き起こす可能性があります。この手口が成功する理由の 1 つは、ユーザーがより複雑なパスワードを作成するように求められる場合でも、パスワードの複雑さのポリシーでは、さまざまなウェブサイトやサービスで同じ認証情報を使用しているユーザーを考慮できないためです。

以下では、クレデンシャルスタッフィングとは何か、ブルートフォースやパスワードスプレーとの違い、乗っ取りが成功した後に発生する不正利用の種類、多層的な防御を構築することでクレデンシャルスタッフィングを阻止する方法について詳しく説明します。

主なポイント

  • クレデンシャルスタッフィングは、さまざまなアカウント間でのパスワードの使い回しを悪用します。強力なパスワードポリシーは、このような攻撃に対する単独の防御策としては効果がありません。

  • サービスとしてのソフトウェア (SaaS) や人工知能 (AI) プラットフォームは、アカウントの乗っ取り、アプリケーションプログラミングインターフェイス (API) の悪用、無料利用枠のファーミングなど、クレデンシャルスタッフィング攻撃によるリスクに直面しています。

  • 効果的な防御には、ログイン、サインアップ、API エンドポイント全体でのボットの検出、侵害された認証情報のスクリーニング、および共有シグナルの階層化が必要です。

クレデンシャルスタッフィングとは何ですか?

クレデンシャルスタッフィングはサイバー攻撃の 1 つであり、過去のデータ侵害で漏えいしたユーザー名とパスワードのペアを犯罪者が取得し、他のサービスに対して自動的にテストします。パスワードの使い回しが一般的であるため、この攻撃は成功します。調査では、多くの人が複数のアカウントで同じ認証情報を使用していることが常に示されており、Z 世代の 72% がパスワードを使い回していると回答しています。

クレデンシャルスタッフィングはどのように機能しますか?

クレデンシャルスタッフィングの攻撃者は、犯罪者向けのフォーラムやダークネットマーケットプレイスの侵害データベースから、「コンボリスト」と呼ばれることもある認証情報のリストを入手します。これらのリストの一部には、検証済みの数億件のユーザー名とパスワードのペアが含まれています。攻撃者はこれらのリストを、数百万件のログインリクエストの送信、CAPTCHA (Completely Automated Public Turing tests to tell Computers and Humans Apart) の処理、プロキシのインターネットプロトコル (IP) アドレスのローテーション、および成功または失敗のレスポンスの解析を行えるソフトウェアにロードします。

攻撃者は、単純なレート制限のルールを回避するため、数千の異なるアドレス (多くの場合、正規のユーザートラフィックに似た住宅用プロキシ) からこれらのログインリクエストを送信します。ログインに成功すると、ツールはそれにフラグを立てます。これにより、攻撃者は有効な検証済みのアカウントを入手し、保存されている決済手段、個人データ、API へのアクセス権、またはアカウントのクレジットを抜き取ることができます。

クレデンシャルスタッフィングは、ブルートフォースやパスワードスプレーとどう違いますか?

クレデンシャルスタッフィング、ブルートフォース攻撃、パスワードスプレーは関連していますが、構造的に異なります。1 つに対して有効な対策が、必ずしも他の攻撃を阻止できるとは限りません。

概要は次のとおりです。

  • ブルートフォース: ブルートフォース攻撃は、特定のアカウントに対して考えられるすべてのパスワードの組み合わせを体系的に試します。計算コストが高く、時間がかかり、アカウントのロックアウトポリシーがあるウェブ上のログインエンドポイントに対してはほとんど実用的ではありません。

  • パスワードスプレー: パスワードスプレー攻撃では、多数のアカウントに対して 1 つまたは少数の一般的なパスワード (Password1!、Welcome2024 など) を試行します。これは、アカウントごとのロックアウトのしきい値を下回ったまま、推測しやすいパスワードの選択を悪用するように設計されています。パスワードポリシーを使用すると、ユーザーが最初からこうした一般的なパスワードを使用できないようにすることができるため、有効な対策となります。

  • クレデンシャルスタッフィング: クレデンシャルスタッフィング攻撃は、ブルートフォース攻撃のサブカテゴリーとみなされることもあり、正規のユーザー名とパスワードのペアを、未確認のログインページに対して実行し、侵入したアカウントを乗っ取ります。標準的なパスワードポリシーでは、顧客が異なるアカウントで同じパスワードを使い回すのを防ぐことができないため、クレデンシャルスタッフィングに対してはあまり効果がありません。

クレデンシャルスタッフィング攻撃の早期警告の兆候は何ですか?

クレデンシャルスタッフィング攻撃が、劇的なスパイクとして現れることはめったにありません。兆候がゆっくりと蓄積される形で見られることがよくあります。

注意すべき点は次のとおりです。

  • アカウント全体のログイン失敗率の上昇: ブルートフォース攻撃では 1 つのアカウントで多数の失敗が発生します。クレデンシャルスタッフィングでは、中程度の失敗率が何千ものアカウントに同時に広がります。ベースラインのログイン失敗率が 2% ~ 5% であり、全体で突然 15% ~ 20% に上昇した場合、その変化を直ちに調査する必要があります。

  • 新しい IP の突然の流入: 住宅用プロキシネットワークは、レピュテーションリストでクリーンに見えるアドレスからのリクエストを生成します。しかし、これまでプラットフォームにアクセスしたことのない IP の急増は、ログインアクティビティと関連している場合、重要なシグナルとなります。

  • 異常な地理的分布: アカウントの過去のアクセスパターンと一致しない地域にログインが集中している場合は、自動化されたアクセスを示している可能性があります。

  • 多くのリクエストで一貫したユーザーエージェントの文字列: 正規のユーザー母集団では、ブラウザのフィンガープリントに大きなばらつきが見られます。クレデンシャルスタッフィング攻撃では、同じユーザーエージェントの文字列が数千件のリクエストで繰り返されることが多く、これはフラグを立てる価値のあるパターンです。

  • 試行に対する成功の割合が高い: 通常のユーザーは 1 ~ 2 回失敗した後、成功するかリセットします。クレデンシャルスタッフィングツールは成功することはまれですが、セッションあたりに多数の試行を生成します。

  • ログインエンドポイントでの原因不明のボリュームの急増: IP ローテーションを行っていても、クレデンシャルスタッフィング攻撃の間はエンドポイント自体へのリクエストの総数が増加します。マーケティングイベントや製品のローンチが伴わない大幅な増加は警告のシグナルです。

クレデンシャルスタッフィングが SaaS や AI プラットフォームにとって危険なのはなぜですか?

クレデンシャルスタッフィングの攻撃者は、有効な認証情報を確認してアクセスのポートフォリオを構築します。侵入に成功すると、さらに大きな被害を受ける可能性があります。

SaaS または AI プラットフォームを運営している場合は、以下の点にご留意ください。

  • アカウントの乗っ取りとデータの窃盗: 顧客アカウントに侵入されると、攻撃者は個人データ、支払い情報、プライベートファイル、コミュニケーション履歴などを抽出できます。プラットフォームで機密性の高いビジネスデータを扱っている場合、1 つのアカウントが侵害されるだけで、攻撃者が本来標的としていた範囲を超えて情報が漏えいするおそれがあります。

  • アカウントの即時収益化: 攻撃者は侵害したアカウントをすぐに換金する可能性があります。アカウントからのクレジットの抜き取り、不正な購入への使用、犯罪者向けフォーラムでの認証情報の転売などが起こり得ます。

  • 保存された決済手段による不正利用: 決済手段が保存されているアカウントは価値の高い標的です。攻撃者は、購入の開始、クレジットの送金、入金のルート変更を行うことができ、これによりプラットフォームとユーザーの両方に直接的な金銭的リスクが生じます。

  • 新規アカウントの不正利用: プラットフォームにアクセス可能な価値があることを確認すると、攻撃者はさらに不正なアカウントの作成を始めることがよくあります。新しいアカウントに紐付けられた無料トライアル、登録ボーナス、API アクセスはすべて標的になります。

  • 無料トライアルの悪用と無料利用枠のファーミング: クレデンシャルスタッフィングは、他の種類の不正利用に発展する可能性があります。攻撃者は、使用制限を回避するために、多くのアカウントで無料利用枠へのアクセスを循環させる可能性があります。API コールや推論クレジットを無料で提供することはプラットフォームの直接的な負担となるため、これは AI プラットフォームにとって重大な金銭的問題です。

  • API の悪用: AI プラットフォームのアカウントには通常、API へのアクセスと使用枠が設定されています。アカウントを乗っ取った攻撃者は、その枠を使い果たし、アクセス権を転売し、コンピューティングリソースを独自の目的に使用する可能性があります。これにより、プラットフォームのインフラストラクチャーのコストが発生します。

  • サポートの負担: アカウントが侵害された顧客には多大なサポートが必要です。パスワードのリセット、不正利用に関する不審請求の申し立て、アカウント復旧のワークフローは、時間や費用などのリソースを消費します。

  • 風評被害: 自社のプラットフォームでアカウントを侵害されたユーザーは、認証情報がもともとどこから漏えいしたかにかかわらず、そのプラットフォームを非難する可能性があります。

プラットフォームはログイン体験を損なわずにクレデンシャルスタッフィング攻撃に対抗できますか?

クレデンシャルスタッフィング攻撃を防ぐには、複数の防御を重ねて攻撃のコストを上げることが不可欠です。いくつかの選択肢をご紹介します。

きめ細かいレート制限

IP ごとに一律のレート制限を設定した場合、攻撃者はプロキシローテーションを使用して制限を回避する可能性があります。より効果的なアプローチは、アカウントごと (例: この特定のアカウントは過去 10 分間に何回失敗したか?)、デバイスフィンガープリント、または行動パターンによってレートを制限することです。これらを組み合わせることで、さらに効果が高まります。

ボットの検出とトラフィック分析

行動のシグナル (マウスの移動パターン、キーストロークのタイミング、リクエストの頻度、JavaScript チャレンジへの応答など) を分析するボット管理ソリューションを導入します。Cloudflare Bot Management や Akamai Bot Manager などのツールは、トラフィックが認証ロジックに到達する前にスコアリングします。

侵害された認証情報のスクリーニング

k 匿名性モデルを使用すると、ユーザーはパスワード全体を共有することなく、自分のパスワードが侵害されていないか確認できます。Have I Been Pwned の Pwned Passwords ツールなどのサービスは、このモデルを使用して、既知のデータ侵害のデータセットにユーザーのパスワードが含まれていないか確認します。

条件付き多要素認証 (MFA)

ログインのたびに MFA を要求するのではなく、異常なシグナルがある場合にのみ MFA のプロンプトを表示するようにします。新しいデバイスや新しい国からのログイン試行である場合、または長期間アカウントが使用されていない場合は、第 2 要素認証を要求する適切なタイミングです。これにより、通常のユーザーの効率性を保ちつつ、クレデンシャルスタッフィングが疑われるシナリオを検出できます。

価値の高いアクションに対する MFA の必須化

ログイン時に MFA を要求しない場合でも、ユーザーがメールアドレスの変更、新しい決済手段の追加、API キーへのアクセスを行う前に、MFA を要求することをお勧めします。これにより、乗っ取りが発生した場合の被害を抑えることができます。

Stripe Radar でできること

Stripe Radar は、Stripe のグローバルネットワークのデータで学習した AI モデルを使用して不正利用を検知・防止するツールです。最新の不正傾向に応じてモデルを常に更新し、不正利用の手口が進化してもビジネスを守ります。

Stripe は、その他にも、Radar for Teams を提供しています。自社ビジネス特有の不正利用シナリオに対応するカスタムルールを追加でき、高度な不正利用分析情報にアクセスできます。
Radar で可能なこと

  • 不正利用による損失の防止: Stripe は年間 1 兆ドルを超える決済を処理しています。この規模だからこそ、Radar は不正利用を正確に検知・防止し、コスト削減に貢献します。

  • 収入の向上: Radar の AI モデルは、実際の不審請求の申し立てデータ、顧客情報、閲覧データなどをもとに学習しています。これにより、Radar はリスクの高い取引を特定し、誤検知を減らして、収入向上に貢献します。

  • 業務効率化: Radar は Stripe に組み込まれており、設定のためのコーディングは一切不要です。1 つのプラットフォームで不正利用への対応状況の監視やルールの作成などができるため、業務効率が向上します。

Stripe Radar の詳細を見る、または今すぐ始める

この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。

その他の記事

  • 問題が発生しました。もう一度お試しいただくか、サポートにお問い合わせください。

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。
Radar

Radar

Stripe ネットワークの力で不正利用を防止します。

Radar のドキュメント

Stripe Radar を使用して不正利用からビジネスを守ります。