デジタル詐欺対策ハンドブック

認証情報を狙う大規模攻撃：クレデンシャルスタッフィングとパスワードスプレーの技術、ATO阻止のための対策

デジタルサービスの利用が不可欠となった現代において、アカウントのセキュリティは個人のプライバシーや企業の信頼性に直結する極めて重要な課題です。特に、認証情報を不正に入手し、サービスに不正ログインを試みる「アカウントテイクオーバー（ATO）」は、多くのユーザーや企業にとって深刻な脅威となっています。

ATOを実現するための代表的な攻撃手法として、「クレデンシャルスタッフィング」と「パスワードスプレー攻撃」があります。これらの攻撃は、その大規模かつ自動化された性質から、多くのサービスで被害が発生しており、従来の単純なフィッシングとは異なる技術的理解と対策が求められます。

クレデンシャルスタッフィングとは？

クレデンシャルスタッフィング（Credential Stuffing）とは、他のサービスから漏洩したユーザー名とパスワードの組み合わせ（クレデンシャル）をリストとして利用し、別のサービスに対して大量にログイン試行を行う攻撃手法です。多くのユーザーが複数のサービスで同じ、あるいは類似したパスワードを使い回している現状を悪用します。

攻撃者は、ダークウェブなどで売買されている、過去のデータ漏洩事故によって流出した大量の認証情報リストを入手します。このリストには、メールアドレスやユーザーIDと、それに対応するパスワードのペアが数百万、場合によっては億単位で含まれています。攻撃者は、これらのリストを自動化されたツール（ボットネットなど）を用いて標的のWebサイトやアプリケーションのログインフォームに「詰め込む（Stuffing）」ように試行します。

この攻撃が成功する鍵は、ユーザーのパスワード使い回し習慣にあります。あるサービスから漏洩した情報が、別の無関係なサービスへの不正ログインに悪用される、いわゆる「二次被害」の典型例です。

パスワードスプレー攻撃とは？

パスワードスプレー攻撃（Password Spraying Attack）は、クレデンシャルスタッフィングとはアプローチが異なります。こちらは、少数のよく使われるパスワード（例：「password123」「qwerty」「123456」「summer2023!」など）を用意し、これを大量の異なるユーザーIDに対して順に試行する攻撃手法です。

クレデンシャルスタッフィングが「多数のIDと多数のパスワードの組み合わせを試す」のに対し、パスワードスプレーは「多数のIDに対して少数のパスワードを試す」という点が特徴です。

この手法の利点は、特定のアカウントに対する連続したログイン失敗回数を少なく抑えられるため、多くの場合、アカウントロックアウトの検知を回避しやすい点です。攻撃者は、辞書攻撃や過去の漏洩パスワードのトレンド分析から、成功しやすいパスワードをリストアップし、広範なユーザーベースに対して横断的に試行します。

なぜこれらの攻撃が有効なのか？ 技術的背景

これらの大規模な認証情報攻撃が有効である背景には、いくつかの技術的・社会的な要因が複雑に絡み合っています。

1. ユーザーのパスワード管理習慣:

   • パスワードの使い回し: 最も主要な原因です。サービスごとにユニークなパスワードを設定することは推奨されていますが、記憶の負担から多くのユーザーが同じパスワードを複数のサービスで利用しています。
   • 弱いパスワード: 推測されやすい単純なパスワードを設定することも、パスワードスプレー攻撃に対して脆弱になります。

2. 大規模なデータ漏洩の発生:

   • 世界中で日々発生する大規模なデータ漏洩により、インターネット上に膨大な量の有効な認証情報リストが流通しています。これらのリストはアンダーグラウンド市場で取引され、攻撃者にとって容易に入手可能な資源となっています。

3. 自動化ツールの進化:

   • ボットネットや専用の攻撃ツールが高度化しており、数万、数百万アカウントに対するログイン試行を分散かつ高速に実行できます。これらのツールは、ログイン試行の失敗率に応じて速度を調整したり、IPアドレスを頻繁に変更したりすることで、検知システムを回避しようとします。
   • プログラマブルなスクリプトやAPI呼び出しを悪用することで、正規のユーザーインターフェースを経由せずに直接認証エンドポイントを叩くことも可能です。

4. サービスの防御側の課題:

   • レート制限の不備: 単位時間あたりに許可するログイン試行回数の制限（レート制限）が甘い、あるいはユーザーIDごとではなくIPアドレスごとに行われている場合、分散型の攻撃に対して無力になります。
   • 検知システムの限界: 単純なログイン失敗回数によるロックアウトでは、パスワードスプレー攻撃のような手口を見破るのが難しい場合があります。異常な振る舞い（短時間での大量試行、不審な地域からのアクセス、未知のデバイスからのアクセスなど）を総合的に判断する高度な検知システムが必要です。
   • 多要素認証(MFA)の未導入/迂回: MFAはこれらの攻撃に対する強力な抑止力となりますが、すべてのサービスで導入されているわけではなく、またMFAそのものを標的としたフィッシングやSIMスワップなどの攻撃手法も存在します（これはMFAを狙うサイバー攻撃の記事で詳しく解説されています）。

アカウントテイクオーバー（ATO）による被害

これらの攻撃が成功すると、攻撃者は正規ユーザーとしてアカウントにログインできてしまいます。ATOが成立すると、以下のような深刻な被害が発生する可能性があります。

• 個人情報の窃盗: アカウントに登録されている氏名、住所、電話番号、メールアドレスなどの情報が盗み出されます。
• 金銭的被害: クレジットカード情報の悪用、登録済み決済手段での不正購入、仮想通貨ウォレットからの資産窃盗など。
• 詐欺行為の踏み台: アカウントを利用して友人や知人に詐欺メッセージを送る、他のサービスへの攻撃元とするなど。
• 信用の失墜: ソーシャルメディアアカウントの乗っ取りによる誹謗中傷の投稿、ビジネスアカウントの乗っ取りによる偽情報の拡散など。
• 機密情報の漏洩: クラウドストレージやビジネスアプリケーションのアカウントからの情報流出。

特に、IT関連職のペルソナの場合、自身のプライベートアカウントだけでなく、業務で使用するSaaSアカウントや社内システムへのアクセス権を持つアカウントが狙われるリスクもあり、職場のセキュリティにも影響を与える可能性があります。

具体的な対策と予防策

クレデンシャルスタッフィングやパスワードスプレー攻撃、そしてそれに続くATOを防ぐためには、ユーザー側とサービス提供者側の双方での対策が必要です。

ユーザー側の対策

• パスワードの使い回しをやめる: 最も重要かつ基本的な対策です。サービスごとに固有の、複雑なパスワードを設定してください。
• パスワードマネージャーの利用: サービスごとに複雑でユニークなパスワードを安全に生成・保存・管理するために、信頼できるパスワードマネージャーの利用を強く推奨します。
• 多要素認証（MFA）を必ず有効にする: パスワードだけでなく、スマートフォンの認証アプリ（例: Google Authenticator, Authy）、物理セキュリティキー（例: YubiKey）、SMS認証（ただしフィッシングリスクあり）など、利用可能なMFAオプションがあれば必ず有効にしてください。パスワードが漏洩しても、MFAが有効であれば不正ログインを防ぐ確率が格段に上がります。
• 定期的なパスワード変更: 定期的にパスワードを変更することで、漏洩したパスワードが悪用され続けるリスクを減らせます。ただし、サービスごとにユニークで強力なパスワードを使用している場合は、使い回しパスワードほど緊急度は高くありません。
• データ漏洩情報の確認: Have I Been Pwned? のようなサービスを利用して、自分のメールアドレスやユーザーIDが過去のデータ漏洩に含まれていないか確認し、含まれている場合は関連するサービスのパスワードを直ちに変更してください。

サービス提供者側の対策（職場でアドバイスする際などに参考）

• 多要素認証（MFA）の導入と強制: 可能な限りすべてのユーザーに対してMFAを導入し、特に機密性の高い情報や機能にアクセスする場合はMFAを必須とすることが効果的です。MFAの技術的な実装としては、TOTP（時間ベースワンタイムパスワード）、FIDO2/WebAuthnなどの標準技術の採用が考えられます。
• 強力なパスワードポリシーの強制: ユーザーに十分な長さと複雑性を持つパスワードの設定を強制します。ただし、パスワードを定期的に強制変更させるポリシーは、ユーザーがより単純なパスワードを選んだり、書き出したりする傾向があるため、現在では推奨されないこともあります。それよりもMFAの普及に注力する方が効果的とされる考え方もあります。
• アカウントロックアウトポリシー: 連続したログイン失敗回数に基づいてアカウントを一時的にロックするポリシーを設定します。ただし、パスワードスプレー攻撃を考慮し、あまりに低い閾値でロックすると正当なユーザーの利便性を損ねる可能性があり、攻撃者にロックアウトを悪用されるリスク（DoS攻撃）も考慮が必要です。ユーザーID単位でのロックアウトと、IPアドレスや地域などの情報も加味したよりインテリジェントなロックアウト戦略が求められます。
• 不正ログイン検知システム (FDS: Fraud Detection System): 異常なログイン試行パターンをリアルタイムまたはニアリアルタイムで検知するシステムを導入します。
  • 挙動分析: ログイン試行の速度、時間帯、地理的な場所（過去のログイン履歴との比較）、使用デバイスの種類、ブラウザの種類、IPアドレスのレピュテーションなどを総合的に分析します。
  • 脅威インテリジェンスの活用: 既知の悪性IPアドレスリスト、過去のデータ漏洩で流出した認証情報リスト（パスワードハッシュやユーザー名など）を活用し、一致する試行をブロックします。
  • 機械学習の活用: 正規ユーザーのログインパターンを学習し、そこから逸脱する異常な試行を検知するモデルを構築します。
• レート制限の実装: 特定の認証エンドポイント（ログインフォームなど）に対して、IPアドレス、ユーザーID、セッションIDなどの単位で、単位時間あたりのリクエスト数を厳密に制限します。分散型攻撃に対しては、IPアドレス単体での制限では不十分なため、より高度な技術（例: クライアント側のフィンガープリンティング、行動分析）と組み合わせる必要があります。
• CAPTCHAの導入: ロボットによる自動化されたログイン試行を防ぐために、ログインフォームにCAPTCHA（例: reCAPTCHA）を導入します。ただし、高度な攻撃者はCAPTCHAを回避する手法も用いるため、これも単独ではなく他の対策と組み合わせる必要があります。
• APIセキュリティの強化: モバイルアプリやSPA（シングルページアプリケーション）のバックエンドAPIが認証情報攻撃の主要なターゲットとなるため、API認証・認可の設計を強固にし、APIゲートウェイレベルでの高度なレート制限や不正アクセス検知機能を実装します。
• ユーザーへの周知と教育: ユーザーに対して、パスワード使い回しのリスク、MFAの重要性、フィッシング詐欺の手口などを定期的に周知し、セキュリティ意識を高めるための教育を行います。

これらの対策は、単独で完璧な防御を提供するものではありません。多層的な防御戦略（Defense in Depth）として、複数の対策を組み合わせて実施することが極めて重要です。

最新情報の入手と継続的な対策

サイバー攻撃の手法は常に進化しています。クレデンシャルスタッフィングやパスワードスプレー攻撃においても、攻撃者は検知を回避するための新しい技術（例: より巧妙なボットネット、AIを利用したCAPTCHA回避、MFAの回避手法）を開発しています。

IT関連職として、最新の脅威動向やセキュリティ対策技術に関する情報を継続的に収集することが不可欠です。セキュリティベンダーのレポート、専門機関の公開情報（例: JPCERT/CC、IPA）、信頼できるセキュリティニュースサイトなどを活用し、自分自身や組織の対策を常に最新の状態に保つよう努めてください。

まとめ

クレデンシャルスタッフィングとパスワードスプレー攻撃は、データ漏洩とユーザーのパスワード管理習慣を悪用する、大規模で自動化された認証情報攻撃です。これらはアカウントテイクオーバー（ATO）を引き起こし、個人および組織に深刻な被害をもたらす可能性があります。

対策としては、ユーザーはパスワードの使い回しをやめ、強力なパスワードとパスワードマネージャー、そして多要素認証を積極的に利用することが重要です。一方、サービス提供者側は、MFAの導入・強制、高度な不正ログイン検知システムの構築、厳密なレート制限、脅威インテリジェンスの活用など、技術的な対策を多層的に講じる必要があります。

デジタル詐欺対策は、一度行えば完了するものではありません。常に最新の脅威を理解し、継続的に対策を講じることこそが、自身と周囲をサイバー犯罪から守るための鍵となります。