2026年のアカウント乗っ取り:クレデンシャルスタッフィングが勝ち続ける理由と、それを止めるもの
クレデンシャルスタッフィングが成功し続けるのは、パスワードの使い回しによって攻撃の経済性が圧倒的に攻撃者に有利になるからです。2FAは登録した少数派しか保護しません。ログイン時のデバイスインテリジェンスこそが要となる支点です。
アカウント乗っ取りは、大半のプラットフォームが過小評価している不正カテゴリです。損失は単一の項目としては現れず、「ロックされたアカウントに関するカスタマーサポートのチケット」「係争中の取引によるチャージバック」「アクセスを失った不満なユーザーの離脱」「開示義務のある侵害が発生したときの規制上の罰金」といった形で散在しています。
その総コストは大きなものです。Javelin Strategyは、2024年の米国のアカウント乗っ取り被害額を110億ドルと推計しました。グローバルの数値はさらに高くなります。傾向は下降ではなく上昇です。認証情報の漏えいは積み重なり、自動化ツールは安価になり、多くのプラットフォームで攻撃者の能力が防御者の能力を上回っています。
本稿は、保護する価値のあるログインフローを持つプラットフォームのセキュリティ、プロダクト、リスクの責任者に向けたものです。2026年のクレデンシャルスタッフィングが実際にどのようなものか、なぜ大半のプラットフォームが導入している防御では不十分なのか、そしてどのようなアーキテクチャのパターンが持ちこたえるのかを説明するために書かれています。
現代のクレデンシャルスタッフィングの仕組み
クレデンシャルスタッフィングは技術的に高度な攻撃ではありません。ほとんどの人がサービス間でパスワードを使い回しているという事実を、経済的に悪用するものです。
その仕組み:
段階1:認証情報の収集。他サービスのデータ侵害から、数十億件のユーザー名・パスワードのペアを含むクレデンシャルダンプが生まれます。新しいダンプは品質と鮮度に応じて、非公開のマーケットで200〜2,000ドルで販売されます。古いダンプは実質無料です。
段階2:標的選定。攻撃者は攻撃する価値のあるプラットフォームを特定します。決済プラットフォーム、暗号資産取引所、支払い方法を保存したeコマース、入金を扱うiGaming事業者、価値あるデータを持つSaaSなどです。より多くのプラットフォームを試す限界費用がほぼゼロであるため、標的リストは広範になります。
段階3:自動化。スクリプトまたはエージェント駆動のシステムが、大規模にログインエンドポイントに対して認証情報のペアをテストします。分散インフラからの試行は通常、1時間あたり50,000〜200,000回に及びます。現代の攻撃者は、個々の試行を一般消費者のトラフィックに見せかけるため、レジデンシャルプロキシのプールを使用します。
段階4:成功したログインの絞り込み。単一のプラットフォームに対する典型的なクレデンシャルスタッフィングのキャンペーンでは、0.5〜3%の成功率(まだ有効な認証情報)が生じます。成功したログインは価値ごとに分類されます。銀行口座はある事業者へ、暗号資産ウォレットは別の事業者へ、保存済みカードのあるeコマースは第三者へ、という具合です。
段階5:収益化。可能な場合は資金を引き出し、直接的な抽出ができない場合は不正な注文を出し、支配を維持するために復旧用の連絡先情報を変更します。この段階は、スタッフィングのキャンペーンを実行した者とは別の事業者が関与することが多くあります。成功した認証情報は取引される商品なのです。
経済的な計算は攻撃者に有利です。試行1回あたりのログインのコストは1セントの何分の一かです。侵害成功1件あたりのコストは1桁ドルです。侵害1件あたりの平均抽出価値は1,200〜5,000ドルです。この単位経済性が産業規模の運用を支えます。
なぜ2FAは大半のチームが期待する答えではないのか
クレデンシャルスタッフィングに対する直感的な防御は2要素認証です。認証情報が有効であっても、第2要素がなければ攻撃者はログインできません。これは原理としては正しく、実務上は部分的に正しいものです。
2026年における2FAの率直な評価:
SMSベースの2FA。最も一般的な形式であり、導入が最も容易だからです。同時に最も脆弱でもあります。SIMスワップ攻撃は大規模にSMSの2FAを回避します。フィッシングのキャンペーンはパスワードと並んで2FAコードを収集します。高価値アカウントについては、1アカウントあたりの価値が正当化するため、攻撃者はSMSの2FAを破るための追加の労力を投じることがしばしばあります。
TOTPベースの2FA。SMSより強力です。ユーザーが認証アプリをインストールし、デバイスを登録する必要があります。問題は導入率です。典型的なプラットフォームでは、何年もの推奨にもかかわらず、TOTP登録率はアクティブユーザーの25〜40%にとどまります。残りの60〜75%のアカウントにはTOTP保護がありません。
プッシュベースの2FA。登録済みのモバイルデバイスでの承認・拒否のプロンプトです。3つの中で最も強力です。フィッシングでプッシュのプロンプトを破るにはより高度なセットアップが必要だからです。プラットフォーム固有のモバイルアプリを必要とし、登録時の摩擦がより大きいため、導入率はTOTPよりもさらに低くなります。
WebAuthn/FIDO2。デバイスの生体認証やセキュリティキーを用いたハードウェア基盤の認証です。ほとんどの攻撃カテゴリを打ち破ります。ユーザーが持っていないかもしれないハードウェア能力を必要とし、UXが馴染みのないものであるため、導入率は極めて低くなります。
パターン:より強力な2FAの形式ほど導入率が低くなります。あなたのプラットフォームがサポートする2FAは一定割合のユーザーで有効になっており、クレデンシャルスタッフィングは単に残りの割合を狙います。TOTP導入率が35%のプラットフォームでは、攻撃者にはまだ65%のアカウントが残されています。
2FAは必要です。しかし十分でもありません。
デバイスインテリジェンスが全体像に加えるもの
防御上の原則:正規ユーザーは通常、以前に使ったことのあるデバイスからログインします。同じ人が同じノートパソコン、同じスマートフォン、同じネットワークから、という認識可能な反復アクセスのパターンです。
クレデンシャルスタッフィング攻撃は、定義上このパターンを崩します。攻撃者は正規ユーザーのデバイスにアクセスできません。成功した認証情報はそれぞれ、正規ユーザーが一度も使ったことのないインフラからテストされます。これがデバイスインテリジェンスが捕捉するシグナルです。
アーキテクチャ:
ログイン試行時:クライアント上のSDKが認証情報とともにデバイスフィンガープリントを取得します。サーバーはログイン試行、認証情報、デバイスフィンガープリントをまとめて受け取ります。
サーバー側のチェック:このデバイスはこのアカウントで以前に見られたことがあるか? もしそうなら(既知のデバイス、通常の挙動)、続行します。そうでなければ(未知のデバイス)、追加の検証が必要です。
3方向の判定:
- ALLOW:既知のデバイス、通常のパターン、低リスク → ログインを続行
- CHALLENGE:未知のデバイスまたは疑わしいパターン → 追加検証(SMSコード、メール確認、生体認証プロンプト)
- BLOCK:悪性として既知のデバイスフィンガープリント(クレデンシャルスタッフィングのクラスターの一部、アンチディテクトブラウザなど) → ログインを拒否
このチャレンジのステップは、「常に2FAを要求する」モデルを「デバイスのパターンがリスクを示唆する場合にのみ追加の検証を要求する」モデルに置き換えます。通常のデバイスからの正規ユーザーは摩擦をまったく経験しません。一度も見たことのないデバイスからの疑わしい試行にはチャレンジが課されます。悪性と確認されたインフラはブロックされます。
誤検知の計算は重要です。月間ログインが100万件あり、任意の月に正規ユーザーの5%が新しいノートパソコンやスマートフォンを購入するプラットフォームでは、この移行だけで月に50,000件のチャレンジイベントが生じます。適切に行えば、これらのチャレンジは迅速で(SMSコード、アプリ通知)、摩擦は許容できます。不適切に行えば(完全な再検証を強制する、サポートのレビュー待ちでアカウントをロックする)、正規ユーザーの摩擦がセキュリティ上の便益を上回ります。
適切に調整されたアーキテクチャは、0.5%未満の誤検知率を生み出します。正規のログイン200件につき1件のチャレンジです。チャレンジが低摩擦かつ迅速であるため、これは許容できます。
学習する攻撃者についてはどうか
高度な攻撃者はデバイスインテリジェンスを知っています。自然な対抗策は、正規ユーザーのデバイスのパターンに一致させようとすることです。攻撃者はこれをできるでしょうか?
率直な答え:部分的には可能です。一部の攻撃パターンはデバイスインテリジェンスに適応します:
パターン1:デバイスを一致させたクレデンシャルスタッフィング。攻撃者は、同じ侵害から得たデバイスの手がかり(User-Agent、IPの位置情報履歴)でクレデンシャルダンプを補強します。正規ユーザーのプロファイルにおおよそ一致するインフラから各認証情報を試します。この適応は現実的ですが容易ではありません。攻撃者が常に持っているとは限らないデータを必要とし、インフラを一致させることはUser-Agentの偽装よりも困難です。
パターン2:スタッフィングではなくフィッシングによるアカウント乗っ取り。攻撃者は正規ユーザーを説得して、制御された環境を通じてログインさせ、認証情報とデバイスの特性の両方を収集します。この攻撃カテゴリは存在しますが、クレデンシャルスタッフィングよりもはるかに小さな規模で運用されます。フィッシングは被害者ごとの作業であり、スタッフィングは産業規模です。
パターン3:SIMスワップと認証情報の使い回しの組み合わせ。攻撃者は電話番号を乗っ取り、漏えいした認証情報と取得した電話番号を使って、パスワードベースの防御とSMSベースの2FAの両方を破ります。攻撃者のログインデバイスがそのアカウントにとって新規であるため、デバイスインテリジェンスは依然としてこれを捕捉します。SIMスワップはSMSの2FAを破りますが、デバイスベースの防御は破りません。
パターン:デバイスインテリジェンスは、不可能にすることはなくとも、ハードルを大幅に引き上げます。リスクベースの追加認証と組み合わせることで、攻撃者に対して、1アカウントあたりにはるかに多く投資する(大量スタッフィングの経済性を打ち破る)か、あるいは特定の高価値な標的を見つけて集中的な攻撃を実行する(低ボリュームになり、調査が容易になる)かのいずれかを強います。
効果的な導入とはどのようなものか
アクティブ顧客20万人、平均口座残高500ドルのデジタル融資事業者。導入前:月230件のアカウント乗っ取りインシデント、インシデントあたりの平均直接損失1,200ドル。合計:月276,000ドルの直接損失に加え、評判の毀損とサポートの負担。
導入したアーキテクチャ:
- ログインページのSDKが試行ごとにデバイスフィンガープリントを取得
- 認証完了前のサーバー側のverify呼び出し
- ルール:デバイスフィンガープリントがこのアカウントで一度も見られたことがなければ、判定はCHALLENGE
- チャレンジの仕組み:SMSまたはメール確認(登録されている方)
- 既知のクレデンシャルスタッフィングのクラスター内のフィンガープリントには自動ブロック
60日後の結果:
- 月間ATOインシデント:230 → 7
- 直接損失の削減:月276,000ドルから月8,000ドルへ
- クレデンシャルスタッフィング試行のブロック率:デバイス検証の段階で99.6%
- 誤検知率:0.3% — おおよそ正規のログイン350件に1件がCHALLENGEを受ける
- アカウントアクセスの問題に関するカスタマーサポートの件数:60%減
- アカウント侵害に起因する顧客離脱:89%減
導入には稼働日で4日かかりました。バックエンドの統合は簡単でした。既存の認証フローは変更されず、デバイスインテリジェンスの層は、認証完了イベントの前に判定を返すラッパーとして追加されました。
ROIの計算:この規模で検知インフラのコストは月およそ2,000ドルでした。節約額:月268,000ドル。初年度のROIは134倍で、攻撃率がより低い新たな均衡で正常化するにつれ、限界収益は逓減します。
これがあなたのチームにとって意味すること
金銭、データ、コンテンツ、アカウントの状態など、価値のある何かを保護するログインエンドポイントを持つプラットフォームを運用しているなら、3つの所見があります:
所見1:計測していようがいまいが、あなたにはアカウント乗っ取りの問題があります。大半のプラットフォームがATO損失を過小評価しているのは、それが複数の項目に散在しているからです。率直な計測の作業には次が含まれます。ロックされたアカウントのサポートチケットを数える、可能な範囲でチャージバックをアカウント侵害に帰属させる、離脱理由を調査する、成功したログインのパターンを一度も見たことのないデバイスのイベントについて確認する。そこから浮かび上がる数値は通常、経営陣が考えている数値の2〜3倍です。
所見2:2FA単独では不十分です。必要ではありますが、登録したユーザーの割合しかカバーしません。クレデンシャルスタッフィングは未登録の割合を狙い、それは通常60%以上です。デバイスインテリジェンスは2FAに登録しなかったユーザー、つまりその大半をカバーします。
所見3:ログイン時の検知は支点です。大半の不正カテゴリは事後の調査を必要とします。クレデンシャルスタッフィングによるATOは、ログイン試行そのものにおいて検知できます。これにより、事後に後始末をするのではなく攻撃の成功を防ぐという、最も支点効果の高い検知の導入の1つになります。
これをうまく扱うプラットフォームには共通のパターンがあります。実際のATO率を四半期ごとに計測し、2FAの導入率にかかわらずログインの層にデバイスインテリジェンスを導入し、誤検知率を最適化すべき主要指標として扱います。
今後18か月
3つの予測:
予測1:クレデンシャルダンプの品質が向上します。最近の侵害は、より豊かなコンテキスト(デバイスの特性、行動パターン、ネットワーク履歴)を含むようになり、攻撃者が防御者の期待により効果的に一致させられるようになります。検知のハードルが上がります。
予測2:エージェント駆動のクレデンシャルスタッフィングが主流になります。LLM駆動のエージェントが、復旧、MFAチャレンジの処理、ログイン後のナビゲーションを含むフロー全体を扱い、成功した侵害それぞれをより徹底したものにします。検知の課題は、人間に見える場合でもエージェント駆動のセッションを特定する方向へ移ります。
予測3:2026年末までにデバイスインテリジェンスを導入しないプラットフォームは、大きなエクスポージャーに直面します。より安価なクレデンシャルダンプ、より賢い攻撃者、進化する攻撃ツールの組み合わせは、2FA単独の防御で運用するプラットフォームのATO率が大幅に上昇する一方で、よく防御されたプラットフォームは自らのATO率を下げ続けることを意味します。
これに先手を打つための窓は今後12〜18か月です。今導入するプラットフォームは守りやすい地位を得ます。待つプラットフォームは、より優れたツールを持つ攻撃者に追いつくための追走を強いられます。
Tracioが果たす役割
Tracioは、他のユースケースと並んでログイン防御のために構築されたデバイスインテリジェンスです。そのアーキテクチャは、クレデンシャルスタッフィングを確実に捕捉するシグナルをカバーします。デバイスフィンガープリンティング(130以上のシグナル)、ネットワーク層の解析(TCP/TLSフィンガープリンティング、ASNレピュテーション)、ログイン時の行動パターン(タイピングのリズム、マウスの揺れ、タイミングの特性)、そして顧客横断のシグナル共有による悪性として既知のクラスターとの照合です。
判定(ALLOW、CHALLENGE、BLOCK)は50ミリ秒未満で返されます。統合は迅速です。デバイスインテリジェンスの層は、バックエンドの変更を必要とせずに既存の認証フローをラップします。判定は、通常どおり続行するか、追加の検証を要求するか、試行を拒否するかを認証システムに伝えます。
ポリモーフィックなJavaScriptの層は毎日ローテーションし、静的な検知に対して効果的な回避を仕掛ける能力を攻撃者から奪います。顧客横断のシグナルネットワークは、匿名化されたフィンガープリントのデータをプラットフォーム間で共有し、複数の標的にまたがるクレデンシャルスタッフィングの運用を捕捉します。
大半のプラットフォームでの導入期間:サインアップから本番まで1〜3日。無料プランは月2,500回の検証をカバーし、ログイントラフィックのサブセットで有意義なパイロットを実行し、実際のATO率を計測するのに十分です。
自社の本当のATO率がどのようなものか、気になりませんか?
無料トライアルを始めましょう。2,500回の検証が無料、クレジットカードは不要です。Tracioの完全な検知の層を用いて、自社の具体的なログイントラフィックのパターンがどのようなものかを確認するには、デモをリクエストしてください。