クレデンシャルスタッフィングとは、サイバー攻撃の一種であり、盗まれたアカウントの認証情報(通常ユーザー名や電子メールアドレスとそれに対応するパスワード)がユーザーアカウントへの不正アクセスに使用する。
クレデンシャルクラックとは異なり、クレデンシャルスタッフィング攻撃では、総当たり攻撃やパスワードの推測は行われない。
攻撃者は、Selenium、cURL、PhantomJSなどの標準的なウェブ自動化ツールやSentry MBA、SNIPR、STORM、Blackbullet、Openbulletなど攻撃用に特別に設計されたツールを使用して、以前に流出した数千から数百万の認証情報のペア情報を元に自動ログイン操作を繰り返す
クレデンシャルスタッフィング攻撃が可能なのは多くのユーザーが同じユーザー名とパスワードの組み合わせを複数のサイトで再利用しているためであり、ある調査では81%のユーザーが2つ以上のサイトでパスワードを再利用したことがあり、25%のユーザーがアカウントの大部分で同じパスワードを使用していると報告している。
2017年FTCはクレデンシャルスタッフィングに対して企業が取るべき具体的な行動を示唆する勧告を発表している
元Googleのクリック詐欺対策担当者であるShuman Ghosemajumder氏によると、クレデンシャルスタッフィング攻撃のログイン成功率は最大で2%であり、100万件の盗まれたクレデンシャルで2万件以上のアカウントを奪うことができることを意味している。
クレデンシャルスタッフィングから保護する最善の方法は、アカウントに固有のパスワードを使用すること、2要素認証を有効にすること、企業がクレデンシャルスタッフィング攻撃を検知して阻止することであるとされている。
クレデンシャルの流出
クレデンシャルスタッフィング攻撃は、クレデンシャルの流出量の多さからウェブやモバイルアプリケーションにとって最上位の脅威と考えられている。2016年だけでも30億件以上のクレデンシャルが情報流出によって流出している。
クレデンシャルスタッフィングを使用した事件
2018年8月20日、イギリスの健康・美容関連の小売店「Superdrug」が攻撃を受け、ハッカーが同社のサイトに侵入して2万人のユーザーの記録をダウンロードしたという脅迫を受けた
これらのデータはハッキングや流出物から入手したものである可能性が高く、その後、偽の証拠を作成するための情報を得るためにクレデンシャルスタッフィング攻撃のソースとして使用された、。
2016年10月から11月にかけて攻撃者は、過去の漏洩事件で漏洩した従業員のユーザー名とパスワードを使用し、Uber(Uber BVおよびUber UK)の開発者が使用する非公開のGitHubリポジトリにアクセス。
多要素認証は利用可能だったが、被害を受けたアカウントでは有効になっていなかった。
リポジトリファイルの中に同社のAWSデータストアの認証情報を見つけ出し、それを使って3,200万人の非米国人ユーザーと370万人の非米国人ドライバーの記録、および100以上のS3バケットに含まれるその他のデータへのアクセスを取得。攻撃者はUber社に脅迫文を送信し、データの削除に同意するために10万ドルの支払いを要求した。
同社は、バグバウンティプログラムを通じて支払いを行ったが、1年以上にわたって影響を受ける関係者に事件を開示しなかった。侵害が明るみに出た後、同社は英国情報委員会から38万5,000ポンドの罰金(30万8,000ポンドに減額)を科せられた
Comments