クレデンシャルスタッフィングとは何か?
クレデンシャルスタッフィングは、ある侵害から盗まれたユーザー名とパスワードの組を、大規模に他のサービスのログインページに対してテストする自動化攻撃であり、人々が多くのサイトで同じパスワードを使い回すという事実を悪用します。
パスワードの推測とは異なり、クレデンシャルスタッフィングはランダムな組み合わせを試すのではなく、すでにどこかで有効と分かっている認証情報を再送信します。そのため、低い成功率でも、大きなリストにわたって多くのアカウントが侵害されます。これはアカウント乗っ取りへの最も一般的な経路の一つであり、オンラインで最も大量の自動化された脅威の一つです。本ガイドでは、この攻撃の仕組み、なぜこれほど頻繁に成功するのか、その特徴的なサイン、そしてレート制限やパスワードが失敗する場面でデバイスレベルの防御がどうそれを止めるかを解説します。
クレデンシャルスタッフィングとは何か?
クレデンシャルスタッフィングは、ユーザーがそれらの認証情報を使い回していることを期待して、以前に盗まれたログイン認証情報を、ターゲットの認証エンドポイントに対して大規模に自動再送信することです。これは巧妙さの攻撃ではなく、規模と使い回しの攻撃です。
攻撃者は、何らかの無関係な侵害から漏洩した本物のユーザー名とパスワードの組——しばしば数百万——のリストから始めます。自動化が各組をターゲットのログインフォームに送信します。ユーザーがパスワードを使い回したところではどこでもログインが成功し、そのアカウントは今や侵害されます。攻撃者は個々の被害者についての知識を必要としません。侵害されたリストとパスワードの使い回しがすべての仕事をこなすのです。
これがクレデンシャルスタッフィングを、既知のユーザー名に対してパスワードを推測するブルートフォース攻撃や、いくつかの一般的なパスワードを多数のアカウントに対して試すパスワードスプレーとは異なるものにしています。クレデンシャルスタッフィングは、完全な、すでに有効な組を使うため、純粋な推測が決して近づけない率で成功するのです。
クレデンシャルスタッフィング攻撃はどのように機能するのか?
クレデンシャルスタッフィング攻撃は、侵害された認証情報のリストを自動化に読み込ませ、レート制限を回避するためにログイン試行を多数のIPとデバイスに分散させ、後の収益化のために成功した組を収集することで機能します。
攻撃者は自動化——単純なスクリプトからヘッドレスブラウザまで——に認証情報のリストを装備させ、それをログインエンドポイントに向けます。失敗が多すぎるとIPをブロックするという明白な防御を避けるため、トラフィックはレジデンシャルプロキシのネットワークと巡回するユーザーエージェントにまたがって分散され、各試行が異なる普通のユーザーから来ているように見えます。
成功したログインは記録され、失敗から分離されます。これらの検証済みアカウントは次に直接悪用されるか、検証済みの認証情報として販売されるか、価値を引き出す収益化の段階へ渡されます。パイプライン全体が産業化されています。ツール、プロキシへのアクセス、認証情報のリストはすべて容易に入手できるため、この攻撃はこれほど蔓延しているのです。
なぜクレデンシャルスタッフィングはこれほど頻繁に成功するのか?
クレデンシャルスタッフィングが成功するのは、パスワードの使い回しが広く行われ、侵害された認証情報が潤沢で安価であり、攻撃を実行するために必要な自動化とプロキシのインフラがコモディティ化しているからです。方程式のあらゆる部分が攻撃者に有利です。
パスワードの使い回しが根本原因です。同じメールとパスワードが、ある人物の多くのサービスのアカウントを開錠するとき、ただ一つの侵害がそのすべてを露出させ、攻撃者は被害者が認証情報を使い回したサービスを見つけさえすればよいのです。使い回しが、一つの漏洩をマスターキーへと変えます。
供給とツールが残りをこなします。膨大な認証情報のデータセットが自由に出回り、レジデンシャルプロキシがトラフィックを正当に見せかけ、既製のツールがプロセス全体を自動化します。膨大なリストにわたるわずかな成功率でも数千のアカウントを生むため、経済は強く攻撃者に有利に働きます——だからこそ防御は、その経済を攻撃しなければならないのです。
クレデンシャルスタッフィング攻撃のサインとは何か?
クレデンシャルスタッフィングの特徴は、ログイン試行の急増、異常に高い失敗率、そして人間らしく見せる努力にもかかわらず自動化を露呈させるトラフィックのパターンです。併せて見れば、それらをオーガニックな活動と取り違えるのは困難です。
量が最初のサインです。ログイン試行の、通常のベースラインをはるかに上回る突然の急増で、しばしば認証エンドポイントに集中します。再送信された認証情報のほとんどは一致しないため、失敗率は正当なユーザー母集団が生み出さないレベルまで上昇します——通常見られるものを逆転させたログイン成功比です。
トラフィックの構成が自動化を裏切ります。多数のIPに分散していても、試行は兆候を共有します。自動化に典型的なTLSフィンガープリント、レジデンシャルのノイズに紛れ込んだデータセンターや既知のプロキシの起点、機械的なタイミング、そして一見無関係なセッションをまたいで再出現するデバイスのシグナルです。デバイスレベルの相関が、数千のIPの背後に隠れる単一のキャンペーンを暴きます。
- 認証エンドポイントに対するログイン量の鋭い急増。
- 再送信された組のほとんどが外れることによる、異常に高いログイン失敗率。
- 多数のIPに分散していながらも、デバイスまたはTLSの特性を共有する分散トラフィック。
- 自動化の兆候:プロキシとデータセンターの起点、スクリプトライブラリのフィンガープリント、機械的なタイミング。
なぜパスワードとレート制限はそれを止められないのか?
パスワードとIPレート制限が失敗するのは、この攻撃が有効な認証情報を使い、自らを数千のIPにまたがって分散させ、設計上、両方の防御を打ち負かすからです。それぞれは、クレデンシャルスタッフィングが意図的に回避する脅威モデルのために作られていました。
強力なパスワードポリシーは、あなた自身のサービス上のアカウントを守るだけです。ユーザーが、侵害された別のサイトから使い回した認証情報については何もしません。パスワードは有効なので、あらゆる強度と正しさのチェックを通過します。脆弱性は、プラットフォームが見ることも制御することもできない使い回しの中に潜んでいます。
IPベースのレート制限は、攻撃者が一つのアドレスから動作していると仮定していたため、失敗の連続の後にブロックすればそれらを止められました。レジデンシャルプロキシのネットワークは、各試行に新鮮な、正当に見えるIPを与えることでその仮定を打ち砕き、あらゆる起点をしきい値の下に保ちます。IPによるレート制限には、単純に、数えるべき持続的なものが何もないのです。攻撃者が安価には巡回できない持続的な識別子は、デバイスです。
デバイスインテリジェンスはどうクレデンシャルスタッフィングを止めるのか?
デバイスインテリジェンスは、各試行の背後にあるデバイスを識別することでクレデンシャルスタッフィングを止めます。そのためレート制限とブロックは、IPの巡回を生き延びる持続的な身元の上で機能し、攻撃が依存する自動化にフラグを立てます。それは攻撃の中核的な回避手段に直接対抗します。
デバイスの身元はIPをまたいで永続するため、ログインを叩き続ける単一の不正デバイスは、いくつのレジデンシャルプロキシの背後に隠れようと認識可能です。IPごとではなくデバイスごとに強制されるレート制限は、ようやく数えるべき安定したものを得るので、攻撃者は別のアドレスを借りることで予算をリセットできなくなります。
その上、ボットと自動化のシグナルがツールそのものを露呈させます。ヘッドレスブラウザのアーティファクト、スクリプトライブラリのTLSフィンガープリント、行動上の兆候が、それが運ぶ有効な認証情報に関わらずトラフィックを自動化として印付けます。そして同じデバイスがアカウントをまたいで再出現するため、デバイスの相関がキャンペーン全体を暴きます——数千の散らばった試行を、あなたが即座にブロックできる、一人の特定可能な攻撃者へと変えるのです。
企業はどうクレデンシャルスタッフィングに対して防御できるのか?
企業はレイヤー化された戦略でクレデンシャルスタッフィングに対して防御します。デバイスレベルの検知とレート制限、ログインフロー上のボット検知、リスクベース認証、そして攻撃の特徴の監視です。これらのレイヤーが、各制御が単独では残す隙間を閉じます。
デバイスレベルの防御が中心となるのは、それが攻撃を成立させるIP巡回の回避を無力化するからです——アドレスではなくデバイスによるレート制限とブロックです。ボット検知は第二の戦線を加え、認証情報が有効なときでも、環境、ネットワーク、行動のシグナルを通じて自動化を捕捉します。
これらの周りで、リスクベース認証は、ログインが疑わしく見えるときにステップアップ検証を要求し、すり抜ける認証情報の価値を鈍らせ、量の急増と失敗率の異常の監視が、進行中のキャンペーンの早期警告を与えます。ユニークなパスワードとMFAを奨励することは、攻撃が悪用する根底の使い回しを減らします。これらのレイヤーが併せて、攻撃の経済を機能させなくするのです。
このページの用語に馴染みがありませんか? 上記のすべての概念はデバイスインテリジェンス用語集で定義されています。
簡潔な定義がお好みですか? 用語集のクレデンシャルスタッフィングボットをご覧ください。