クレデンシャルスタッフィング攻撃とは？ 10分でわかりやすく解説

クレデンシャルスタッフィング攻撃とは、過去の情報漏えいやフィッシングなどで流出したIDとパスワードの組み合わせを使い、別のWebサービスへ大量のログイン試行を行うサイバー攻撃です。攻撃が成立する主な前提はパスワードの使い回しにあり、対象サービスに特別な脆弱性がなくても被害が発生します。対策では、多要素認証、ログイン試行の制御、異常検知、ユーザーへの通知と啓発を組み合わせ、認証突破と被害拡大の両方を抑えます。

クレデンシャルスタッフィング攻撃とは

クレデンシャルスタッフィング攻撃（Credential Stuffing Attack）は、認証情報の使い回しを突いてアカウントを乗っ取る代表的な手口です。攻撃者は、漏えいしたID・パスワードの組み合わせを大量に入手し、自動化ツールやボットでログインを試行します。

この攻撃は、正規のログイン処理を利用して実行されます。SQLインジェクションのようにアプリケーションの欠陥を直接突くのではなく、ユーザー側のパスワード使い回しと、認証周辺の防御不足を利用して成立します。

クレデンシャルの意味

ITセキュリティにおけるクレデンシャルは、ユーザーを識別・認証するための情報を指します。一般的にはID、ユーザー名、メールアドレス、パスワードの組み合わせを意味します。文脈によっては、セッショントークン、APIキー、秘密鍵などを含めて指す場合もあります。

この記事では、クレデンシャルスタッフィング攻撃の中心になるIDとパスワードの組み合わせを主対象として扱います。

スタッフィングの意味

スタッフィング（stuffing）は「詰め込む」「大量投入する」という意味を持ちます。クレデンシャルスタッフィングでは、漏えいした認証情報を機械的に投入し、ログインに成功する組み合わせを選別します。人手で一つずつ試す攻撃ではなく、ボットによって短時間に大量の試行が行われる点が特徴です。

クレデンシャルスタッフィング攻撃の仕組み

クレデンシャルスタッフィング攻撃は、概ね次の流れで実行されます。個別の手口に差はありますが、サービス提供者側はこの一連のプロセスを前提に、認証前、認証時、認証後のどこで検知・制御するかを設計します。

認証情報の入手

攻撃者は、過去に別サービスから漏えいした認証情報を入手します。入手経路には、情報漏えい事件の流出データ、情報窃取型マルウェアによる収集、フィッシング詐欺による取得などがあります。こうしたリストは第三者間で売買・共有されることもあり、攻撃者本人が最初の漏えいを起こしていない場合もあります。

そのため、自社サービスが直接侵害されていなくても、別のサービスで漏れたID・パスワードを利用者が使い回していれば、不正ログイン被害が発生します。

自動化ツールによるログイン試行

入手した認証情報は自動化ツールに読み込まれ、対象サービスのログイン画面や認証APIに対して大量に試行されます。攻撃者は成功率を上げ、検知を避けるために、次のような工夫を組み合わせます。

• IPアドレスの分散：プロキシやボットネットを使い、単純なIP制限を回避する
• 試行速度の調整：短時間に集中させず、検知されにくいレートで継続する
• 端末・ブラウザ情報の偽装：User-Agentやヘッダーを変え、機械的な特徴を目立ちにくくする
• ログイン導線の使い分け：フォームだけでなくAPI経由でも試し、複数エンドポイントを使う

ログイン試行自体は正規の処理に見えるため、監視が不十分な状態では、通常のログイン失敗と攻撃を区別しにくくなります。

ログイン成功後の不正行為

ログインに成功すると、攻撃者は目的に応じて行動します。典型例は次の通りです。

• アカウント内情報の窃取：氏名、住所、連絡先、購入履歴、保存カード情報などを取得する
• 不正購入・不正送金：決済機能、配送先変更、ポイント消費などを悪用する
• ポイント・クーポンの換金：換金性の高い要素を狙って現金化する
• 乗っ取りの固定化：メールアドレス変更、電話番号登録、2要素認証設定の変更などを行う
• 追加侵害の足場化：同一IDの別サービス攻撃、社内アカウント探索などへつなげる

被害はユーザーの金銭・プライバシー被害にとどまらず、サービス提供者側にも不正取引対応、補償、調査、問い合わせ対応、信用低下として波及します。

なぜクレデンシャルスタッフィング攻撃が成立するのか

最大の要因は、利用者によるパスワードの使い回しです。1つのサービスで漏れた認証情報が別のサービスでも通用すると、漏えいが連鎖し、被害範囲が広がります。

さらに、ログインは本来、失敗が一定数発生する処理です。入力ミスやパスワード忘れが日常的に起きるため、サービス側がログイン失敗の増加だけを根拠に攻撃と判断するのは困難です。

クレデンシャルスタッフィング攻撃は、アプリケーションの脆弱性だけを狙う攻撃ではありません。パスワード使い回しという利用者側の習慣と、ログイン失敗を許容せざるを得ない認証機能の性質を利用して成立します。

他の攻撃手法との違い

ブルートフォース攻撃との違い

ブルートフォース攻撃は、特定アカウントや複数アカウントに対して、パスワード候補を総当たりで試す手口です。成功率は低くなりやすい一方、パスワードが短い場合や推測されやすい場合には突破される可能性があります。

一方、クレデンシャルスタッフィング攻撃は、すでに別サービスで使われていた実在のID・パスワードの組み合わせを大量に投入します。推測ではなく再利用された認証情報を使うため、パスワードの使い回しがある環境では成功しやすくなります。

辞書攻撃との違い

辞書攻撃は、よく使われる単語やパターンを用いてパスワードを推測します。ユーザーの命名習慣に依存するため、長く推測されにくいパスワードが使われていれば成功しにくくなります。

クレデンシャルスタッフィング攻撃は推測ではなく、漏えい済みの組み合わせを使います。そのため、パスワードが複雑であっても、別サービスと同じものを使っていれば突破される可能性があります。

クレデンシャルスタッフィング攻撃による被害

被害は多岐にわたります。ユーザー被害と事業者被害を分けて捉えると、対策の優先順位を整理しやすくなります。

• ユーザーアカウントの乗っ取り：プロフィール改ざん、連絡先変更など
• 不正購入・不正送金：決済機能、ポイント、ギフト券などの悪用
• 個人情報の漏えい：住所、連絡先、購入履歴、保存情報などの閲覧・取得
• サービスへの信頼低下：問い合わせ増加、解約、ブランド毀損
• 運用コストの増大：調査、補償、CS対応、再発防止、決済事業者対応

特にECや会員制サービスでは、金銭的被害と信用の毀損が同時に発生します。攻撃者がログインに成功したアカウントだけを選別して売買する場合もあり、被害が断続的に続く点にも注意が必要です。

クレデンシャルスタッフィング攻撃への対策

対策は、ユーザーへの注意喚起だけでも、監視だけでも不十分です。認証の強化、試行の制御、異常の検知、被害時の封じ込めを組み合わせ、攻撃の成功率と被害範囲を下げる方針を取ります。

多要素認証の導入

多要素認証（MFA）は、IDとパスワードが漏えいしても追加の認証要素を要求するため、不正ログインの成功を難しくします。特に、決済、個人情報参照、配送先変更、認証要素の追加・削除などの重要操作では、ログイン時だけでなくステップアップ認証として要求する設計も有効です。

導入時は、強制範囲、適用タイミング、復旧手段を含めて設計します。全ユーザーに必須化するのか、重要ユーザーや高リスク操作から適用するのか、端末紛失時にどう復旧するのかを決めておかないと、運用負担が増えて定着しにくくなります。

ログイン試行の制御

ログインの大量試行を成立させないための制御は基本対策です。代表的には次の手段があります。

• レート制限：一定時間あたりの試行回数に上限を設ける
• 段階的な制限：失敗回数やリスクに応じて待ち時間を増やす
• アカウント保護：条件付きで一時ロックや追加認証を要求する
• リスクベース認証：新規端末、異常IP、不自然な地域などで制限を強める

ただし、過度なロックは、攻撃者によるアカウントロックアウト攻撃で正規ユーザーの利用を妨害される副作用があります。固定の閾値だけでなく、状況に応じて段階的に認証強度を変える設計が現実的です。

異常検知と監視

短時間に大量のログイン試行が行われていないか、成功率が不自然に上がっていないか、特定の端末・IP帯で失敗が集中していないかなどを監視し、異常時に遮断、追加認証、調査へつなげます。

監視で確認する指標は、単純な失敗回数だけではありません。失敗の分布が同一アカウントに集中しているのか広範囲に分散しているのか、成功率が通常時と比べて変化しているのか、ログイン後に住所変更、決済情報変更、連続購入などの不自然な行動があるのかまで確認すると、検知の精度を高められます。

ボット対策とWAFの位置付け

クレデンシャルスタッフィング攻撃では、ボットによる自動試行が多く使われます。そのため、ボット対策、CAPTCHA、デバイスや接続情報の分析、IPレピュテーション、ログイン導線ごとのレート制限などを組み合わせます。

WAFは、ログイン画面やAPIに対する不審な通信を検知・遮断する補助策になり得ます。ただし、クレデンシャルスタッフィング攻撃は正規のログイン処理を悪用するため、WAF単体では十分ではありません。MFA、レート制限、異常検知、ボット対策、ログイン後の不正行動監視と組み合わせて評価します。

ユーザーへの啓発

利用者側の対策は、パスワードの使い回しを避けることが中心です。ただし、注意喚起だけでは行動は変わりにくいため、サービス提供者側は実行しやすい選択肢を用意します。

• パスワード使い回しを避ける案内：登録時、変更時、注意喚起時に分かりやすく伝える
• 安全なパスワード設計の提示：長く、推測されにくく、サービスごとに異なるパスワードを促す
• パスワードマネージャー利用の推奨：サービスごとに異なるパスワードを管理しやすくする
• 不審ログイン通知：本人が異常に気づき、パスワード変更やセッション無効化を行える導線を用意する

啓発は「注意してください」で終わらせず、MFA、パスワードマネージャー、不審ログイン通知、アカウント復旧手順と組み合わせることで、利用者が実行しやすくなります。

まとめ

クレデンシャルスタッフィング攻撃は、特別な脆弱性がなくても成立する現実的な脅威です。パスワードの使い回しと自動化を前提に、短時間で大量のログイン試行が行われ、成功後は不正購入、情報窃取、アカウント乗っ取りなどの被害に発展します。

対策では、多要素認証による突破難度の引き上げ、ログイン試行の制御、異常検知・監視、ボット対策、ユーザー支援を組み合わせます。単発の機能導入で完了させず、ログ、攻撃手口、ユーザー行動、被害状況を確認しながら継続的に見直すことで、被害の発生確率と影響を下げられます。

FAQ