クレデンシャルスタッフィング攻撃

Posted at 2025-12-16

「普通のログイン」に見える、静かで残酷な強盗

ブルートフォース攻撃が「ドアを力ずくで壊す攻撃」だとしたら、
クレデンシャルスタッフィングは、世界中の家の合鍵をコピーして回る攻撃です。

●アラートは鳴らない
●ドアは壊れない
●ただ「正しいIDとパスワード」で入ってくる

そして最悪なのは――
サーバー側から見ると「普通のユーザーがログインしている」ようにしか見えないこと。

これが、クレデンシャルスタッフィングが
今もなお最も成功率の高い攻撃手法のひとつである理由です。

クレデンシャルスタッフィングとは？（技術的に）
クレデンシャルスタッフィング攻撃では、攻撃者は次のことを行います。

1.実在するID・パスワードの大量リストを入手
●過去の情報漏えい
●ダークウェブの流出データ
●マルウェアによる情報窃取

2.それらを別のサービスに自動で試行
3.ユーザーのパスワード使い回しを悪用
ブルートフォースとの違い：
●推測しない
●総当たりしない
●間違えない
すでに「正しい」認証情報を使っているだけ。

なぜこの攻撃は異常にうまくいくのか
理由はシンプルです。

人間は一貫して悪い選択をします。

●同じメールアドレス
●同じパスワード
●同じキーボードパターン
●「あとで変える」という幻想

攻撃者はそれを知っています。
だから自動化し、工業化するのです。

攻撃の全体像（ディープダイブ）
フェーズ1：認証情報の入手

主なソース：
●大規模漏えいデータ（LinkedIn、Adobe 等）
●ダークウェブのコンボリスト
●情報窃取型マルウェア
●フィッシング
●ブラウザ保存パスワード

1件のデータには：
●メールアドレス
●パスワード（平文 or 弱いハッシュ）
●デバイス情報
●位置情報
これらを整理し、攻撃用リストにします。

フェーズ2：ターゲット調査
攻撃前に必ず調べます。
●ログインAPIの挙動
●レート制限
●CAPTCHA条件
●エラーメッセージ
●MFAの有無と挙動
●WebとAPIの差異
●IP制限
まずは手動テスト。
問題なければ自動化。

フェーズ3：大規模自動化

使用される技術：
●ヘッドレスブラウザ
●分散ボットネット
●レジデンシャルプロキシ
●モバイルIPローテーション
●CAPTCHA突破サービス
●正規User-Agent

各リクエストは：
●本物のブラウザ
●本物のISP
●本物のCookie
ログ上はこう見えます：
「世界中のユーザーが普通にログインしている」

フェーズ4：成功後の悪用
成功したアカウントは：
●価値で分類
●パスワード変更
●MFA無効化（可能なら）
●個人情報窃取
●資金・ポイント不正利用
●アクセス権の転売

多くの場合――
ユーザーが気づくのは一番最後です。

実際に起きた（非常にリアルな）事例
環境
あるフィンテック企業：
●ID + パスワード認証
●MFAは任意
●IP単位のレート制限
●CAPTCHAは失敗10回後

何が起きたか
●攻撃者は 100万以上の住宅IP を使用
●各IPで 1〜2回のみ試行
●CAPTCHAもレート制限も発動せず
●MFAは任意のため突破

結果
●ログイン失敗は増えない
●異常なIPは見えない
●でも不正利用が増加
●サポート問い合わせ激増
●信用低下

気づいたときには――
もう手遅れでした。

なぜ検知が難しいのか

理由：
●パスワードが正しい
●IPが分散している
●行動が「普通」
●従来の防御が無力

これはシステム攻撃ではありません。
ユーザーそのものへの攻撃です。

技術的な兆候（SOC向け）
●新デバイスからの成功ログイン増加
●同一User-Agentの大量分散利用
●ログイン前後の操作が存在しない
●地理的な瞬間移動
●API経由の認証試行
●パスワードリセット急増
●MFAチャレンジ後の離脱増加

防御策（技術的に深く）

ベストプラクティスまとめ
✔ MFAは必須
✔ 認証APIは最重要資産
✔ パスワード流出は前提
✔ 量より行動を検知
✔ APIもUIと同等に守る
✔ 失敗より成功を見る
✔ ユーザー教育に依存しない

厳しい現実
これは「システムがハックされた」話ではありません。
他社で漏えいした情報に、あなたの防御が追いつかなかっただけ。

現代セキュリティの前提：
●パスワードは漏れる
●ユーザーは使い回す
●攻撃は普通に見える

あなたの仕事は
ログインを止めることではなく、盗まれた認証情報を無価値にすることです。

最後に

クレデンシャルスタッフィングでは
攻撃者はドアを壊しません。

礼儀正しくノックします。
そして、あなたのシステムは入れてしまう。

そのノックを信じないでください。