NEWS【OFFICE110独立支援】法人営業のフランチャイズオーナーを全国で募集中!
NEWSOFFICE110フランチャイズオーナー募集

【要注意】クレデンシャルスタッフィング攻撃とは?仕組みと対策を簡単解説【お役立ち情報】 | OFFICE110

「サイバー攻撃の種類と被害」記事一覧

【要注意】クレデンシャルスタッフィング攻撃とは?仕組みと対策を簡単解説

【要注意】クレデンシャルスタッフィング攻撃とは?仕組みと対策を簡単解説

自身の銀行口座が不正アクセスされ、見知らぬ口座へ多額の送金がありました。

「覚えるのが面倒」だからと、複数のサイトでパスワードを使い回していませんか?

複数サイトで使いまわしているパスワードが漏洩してしまい、他のサイトでも不正ログインされる事例が起こっています。

これは不正に入手したIDとパスワードで、他にもログインできるサイトがないか試す「クレデンシャルスタッフィング攻撃」です。

この記事では以下の内容を解説します。

  • クレデンシャルスタッフィング攻撃の仕組み
  • クレデンシャルスタッフィング攻撃の事例と有効な対策

クレデンシャルスタッフィング攻撃に遭いたくない方は必見です。

この記事の目次

  1. 1.クレデンシャルスタッフィング攻撃とは?
  2. 2.ユーザー情報が漏洩する理由

  3. 3.ターゲットになりやすいサイト
  4. 4.クレデンシャルスタッフィング攻撃の被害事例
  5. 5.クレデンシャルスタッフィング攻撃に効果的な対策

  6. 6.情報漏洩を防ぐ!おすすめのサイバーセキュリティ商品

  7. 7.まとめ

クレデンシャルスタッフィング攻撃とは?

クレデンシャルスタッフィング攻撃とは?

「クレデンシャルスタッフィング攻撃」とは不正に入手した他人のIDとパスワードを使い、様々なサイトでログインできるか試す攻撃です。

「クレデンシャル」とはIDやパスワードなどログインに必要な情報で、指紋などの生体認証もクレデンシャルの中に含まれます。

似ているサイバー攻撃に「パスワードリスト攻撃」があり、あらかじめ入手した他人のIDとパスワードでログインを試みる方法は同じです。

「クレデンシャルスタッフィング攻撃」はロボットが行い、「パスワードリスト攻撃」は手動で行うのが異なる点です。

詳しくパスワードリスト攻撃も知っておきたい方は下記の記事をご覧ください。

パスワードリスト攻撃とは?手口や被害事例、効果的な対策を解説

ユーザー情報が漏洩する理由

クレデンシャルスタッフィング攻撃はあらかじめターゲットのログイン情報を手に入れた状態で行います。

サイバー犯罪者はどこからユーザー情報を手に入れるのでしょうか?

入手方法は主に以下の4つがあります。

  • フィッシング
  • スパムアプリ
  • ソーシャルエンジニアリング
  • ダークウェブ

大手企業になりすました「フィッシング」メール詐欺が増加。

個人情報を抜き取る目的で作成された「スパムアプリ」にも注意が必要です。

これらは「すぐに下記URLをクリックしないと危険!」「このアプリは非常に便利!」など、思わずクリックしたくなる文章で利用者を誘導し、知らぬ間に個人情報を盗み出します。

「ソーシャルエンジニアリング」は他人のパソコンを盗み見たり捨てられたメモから情報を得たりなど、インターネット技術を使用せずに盗む手口です。

通常のインターネット環境ではアクセスできない「ダークウェブ」では薬や武器などが売買され、個人情報も高値で取引されます。

あなたの個人情報もすでにダークウェブで売られているかもしれません。

パスワードの漏洩がないか無料で調査

自分の個人情報が漏洩しているかどうか知る手段はないのでしょうか?
無料で確認できる方法がありますよ!「Pwned Passwords」のWEBサイトをご覧ください。

Pwned Passwordsでは「自身のパスワードが漏洩し過去に悪用されたことがあるか?」「何回悪用されたか?」を無料で確認できます。

「password」と書かれた白い枠にパスワードを入力して「pwned」をクリックします。

漏洩がなければ「Good news — no pwnage found!」と、漏洩していれば「Oh No – pwned!」と表示されます。

試しに「12345678」と入力すると、当然「Oh No – pwned!」と表示されます。インターネット製品を初期パスワードのまま使用しないでくださいね。

ターゲットになりやすいサイト

不正ログインの目的には以下が挙げられます。

  • 金銭
  • 物品の不正購入
  • 機密情報
  • なりすまし
  • 攻撃の踏み台

サイバー犯罪者はどのようなサイトでログインを試すのでしょうか?

不正送金などで多額の金銭を授受したり不正に物品を購入できることから、ネットバンキングや通販サイトは格好のターゲットです。

機密情報がつまった社内共有サイトやクラウドサービスも狙われやすく、2020年12月には楽天グループが利用する「Sales force」社のクラウドサービスから情報漏洩がありました。

動画配信サイトやSNSがターゲットになり、なりすましによる被害も増加しています。

クレデンシャルスタッフィング攻撃の被害事例

新型コロナウイルスの影響で通勤を避けるため、テレワークを導入する企業が増加。

オンラインでどこでも会議ができる「Zoom」が広まりました。

大勢が利用するサービスには、必ず悪用しようと考える者がいます。

現にサイバーセキュリティ会社の「Cyble」が、ハッカー向けの市場で約50万人分以上のZoomアカウントが売買されていることを発見。

この事実が2020年4月に発表されたおかげで、パスワード変更など不正利用対策をした利用者もいたようです。

売買されるアカウントはひとつあたり0.2円ほどの値がついており、裏世界で名を上げるため無料配布するケースもありました。

クレデンシャルスタッフィング攻撃に効果的な対策

クレデンシャルスタッフィング攻撃は個人情報の漏洩から起こる攻撃です。

攻撃を防ぐにはとにかく情報を漏洩させないこと。

ログイン情報の漏洩を防ぎ、ログインさせない対策をご紹介します。

利用者側の対策

サービス利用者側が情報を漏洩させない対策は3つあります。

  1. 1.パスワードを使い回さない
  2. 2.利用しないサービスのアカウントを削除する
  3. 3.ウイルス対策ソフトの導入

複数のパスワードを管理するのは大変ですが、同じパスワードを使いまわして、もし漏えいしてしまうと使っているサイト全てに不正アクセスされてしまいます。

使用しないサービスがいつの間にかバージョンアップしていたり、脆弱性が発見されることがあります。

脆弱性のある状態で放置すると、サイバー犯罪者に情報を簡単に盗まれます。

また、個人情報漏洩の原因の多くは、ウイルスやフィッシングメールなのでセキュリティ対策は必須です。

サービス提供者側の対策

クレデンシャルスタッフィング攻撃されないサービス提供者側の対策を3つご紹介します。

1つ目はWAFの導入です。

「WAF」はWEBサービスの提供者と利用者の通信を監視するシステム。

WEBサービスに脆弱性がある場合、その脆弱性をついた攻撃もブロックしてくれます。

2つ目はアカウントロックの設定です。

サイバー犯罪者は様々なIDとパスワードの組み合わせを試します。

そこで同じパソコンから続けてログインすると、アカウントロックがかかるように設定します。

3つ目は多要素認証の導入です。

「他要素認証」とはログインの際に、ID以外で2種類以上の情報を要求する認証方法。

例えばIDとパスワードの他に「秘密の質問と回答」の入力を求めたり、画像を選ばせ正解したらログインできるなどがあります。

大量にログインを試すロボットは同じ操作を繰り返すことは得意ですが、画像を見て判断できません。

人間でなければ判断できない画像認証の導入がおすすめです。

情報漏洩を防ぐ!おすすめのサイバーセキュリティ商品

サイバー犯罪者はどこから不正アクセスするのかわかりません。

人の手ばかりに頼っては、リスクが高すぎます!

セキュリティ対策商品には素晴らしい機能が備わっているため、費用を惜しまず導入しましょう。

パスワードの簡単管理ならこのソフトにお任せ!

クレデンシャルスタッフィング攻撃されないためには、複雑なパスワード設定をして使い回さないことです。

しかし複雑なパスワードを複数管理するのは面倒で、効率が悪いでしょう。

そこでおすすめしたいのが「トレンドマイクロ パスワードマネージャー」です。

トレンドマイクロ パスワードマネージャーの機能

  • 安全で強固なパスワードを自動で生成
  • ログイン時に「パスワードマネージャー」がIDとパスワードを自動で入力
  • IDとパスワードをクラウド上で管理し、どの端末からでも確認可能
  • 利用者の個人情報がダークウェブに流れていないか確認
  • ダークウェブに流れた個人情報を探し、変更すべきログイン情報を通知
パスワード管理の面倒なところを解決し自分の情報が流れていないか確認もしてくれるので、パスワードならこのソフトにお任せです!
ログインするときはメモしたところからログイン情報をコピペしていましたが、それも必要ないんですね。

パスワードの使い回しが危険なことは承知しているものの、面倒くさい!

そんなときには「トレンドマイクロ パスワードマネージャー」がおすすめです。

ウイルス対策ソフトなら「ESET」

ESET
IDやパスワードを含む個人情報は、ほとんどがフィッシングメールやウイルスから漏洩します。

そのため会社でも自宅でも、パソコンにはウイルス対策ソフトの導入が必須です。

ESETの機能

  • 3種類あり、どこまで守って欲しいか選べる
  • ウイルス付きメールをブロック
  • 新しいウイルスでもブロック
  • 送信元がはっきりしない怪しいメールをブロック
  • アカウント情報など個人情報を一元管理

「ESET」は怪しいメールやウイルスなど、外部からの侵入を徹底してブロックする機能に特化しています。

多くの企業が導入し効果を実感しており、ウイルス対策ソフトに迷ったなら「ESET」です。

セキュリティのオールインワン「Cyber Box Pro」

ウイルスや不正アクセスの脅威は、社内ネットワークやインターネットなど様々な箇所に存在します。

その都度セキュリティ対策していては、お金や人材がいくらあっても足りません。

でも「Cyber Box Pro」ならたった1台導入するだけでさまざまなセキュリティ対策が可能です。

Cyber Box Proの機能

  • ESET搭載でウイルス対策、フィッシング対策、ネットワーク保護などが可能
  • 常にリアルタイムでデータバックアップが可能
  • ファイルごとにアクセス権限を設定可能。社内外のデータやりとりも安心
  • PC操作に関する履歴を簡単・確実に記録
  • 大容量7.3TBのNAS。SSD搭載で高速起動を実現

1台で社内全体のセキュリティ・データバックアップができるため、特に社員数が多い会社におすすめしたい商品です。

もちろん不正アクセスやウイルスだけではなく、あらゆるサイバー攻撃に対して「オールインワンでブロック」してくれます。
中小企業に必要なセキュリティ機能がこれ1台に!『CYBER BOX PRO』

まとめ

クレデンシャルスタッフィング攻撃はログイン情報を様々なサイトで使い回す利用者の心理をついた攻撃です。

情報漏洩の件数は年々増加しているため、近い将来パスワード管理をせざるを得なくなるでしょう。

利用者が気をつけるのはもちろんですが、サービスの提供者側も人間でなければログインできない仕様にするなど、できることはあります。

セキュリティ対策商品には非常に優れた技術が組み込まれているため、積極的な導入をおすすめします。

セキュリティ お役立ち情報

お役立ち情報カテゴリ

簡単入力30秒お問い合わせは0120-595-110

\今すぐご連絡ください!0120-595-110/

見積もり・相談完全無料 全国OK 即日対応

24時間365日受付中!お問い合わせはこちら

今すぐご連絡ください!