クレデンシャルスタッフィング

クレデンシャルスタッフィングは、過去に別サービスから漏えいしたメールアドレスとパスワードの組み合わせ（クレデンシャル）を、ボットで自動的に他サービスに入力してログインを成功させる攻撃手法です。総当たり攻撃（ブルートフォース）と違い、既知の『実在する組み合わせ』を使うため、成功率が格段に高く、ログイン試行数も正常利用と見分けがつきにくいのが特徴です。

背景には、大規模な情報漏えい事件で流出したIDパスワードが地下市場で『コンボリスト』として売買されている実態があります。多くのユーザーが複数サイトで同じパスワードを使い回しているため、1つの漏えいが芋づる式に他サービスの乗っ取りにつながります。ECサイトでは登録クレジットカードでの不正購入、SNSでは詐欺投稿による信用失墜、ネットバンキングでは直接的な金銭被害など、発生するダメージは甚大です。

対策はサービス提供側とユーザー側の両面で行う必要があります。サービス側は『WAFによる短時間多発ログイン検知』『CAPTCHA導入』『IPレピュテーション照合』『デバイスフィンガープリント』『リスクベース認証』などを組み合わせます。ユーザー側は①サイトごとに異なるパスワードを使う、②パスワードマネージャーを導入する、③二段階認証を必ず設定する、④パスキー対応サービスはパスキーに切り替える、⑤流出チェックサイト（Have I Been Pwned等）で自分のメールアドレスが漏れていないか定期確認する、の5点が特に重要です。

特に重要アカウント（メール・決済系・勤務先システム）は、使い回しを絶対に避け、強固な認証を組み合わせることで、クレデンシャルスタッフィング被害を実質的にゼロにできます。