ブログに戻る

フォロー&ご登録

クレデンシャルスタッフィング攻撃とブルートフォース攻撃 - その違いとは

Natalie Griffeth

Senior Content Marketing Manager

セキュリティ

クレデンシャルスタッフィング攻撃 は、盗まれたユーザー名とパスワードを用いて Web サイトへの不正アクセスを試みるサイバー攻撃の一種であり、ブルートフォース攻撃サブセットです。ブルートフォース攻撃とは、金銭的・情報的・戦略的利益を得るために、文脈をほとんどまたは全く考慮せず、システム的な脆弱性を悪用することを目的とした攻撃の一種です。

クレデンシャルスタッフィングは漏洩データを悪用する一方、ブルートフォースは一般的なパスワードとランダムな試行で攻撃します。ブルートフォースがハンマーのような力任せの手法であるのに対し、クレデンシャルスタッフィングは外科手術的な (標的を絞った戦略的性質を持つ) 手法です。

クレデンシャルスタッフィング

クレデンシャルスタッフィング攻撃とは何ですか?

クレデンシャルスタッフィングは、盗まれたユーザー名やパスワードを使って複数の Web サイトに不正アクセスを試みるサイバー攻撃の一種であり、パスワードの再利用という一般的な手法を利用して詐欺行為を行うものです。ご自身のパスワードを考えてみてください。おそらく、わずかなバリエーションを加えた少数の、あるいはたった一つの基本パスワードを使用しているでしょう。まさにこれが、クレデンシャルスタッフィング攻撃が成功する理由なのです。

クレデンシャルスタッフィングはどのように機能するのですか?

クレデンシャルスタッフィングによるサイバー攻撃を実行するために、ハッカーは盗んだログイン認証情報を使ってさまざまなサイトへのアクセスを試み、ボットネットや IP ローテーションなどのツールを使って検知を回避します。一度ログインに成功すると、攻撃者はアカウント乗っ取りを開始し、たった1組の盗まれた認証情報をはるかに大きな脅威へと変えてしまうのです。

クレデンシャルスタッフィング攻撃の具体的な流れは以下の通りです。

  • 初期データ集約 : ハッカーは、データセキュリティ侵害で盗まれたユーザー名とパスワードのリストを収集するか、ダークウェブ上の犯罪サイトからそれらを購入します。盗まれたパスワードリストには数億件ものユーザー名とパスワードが含まれており、悪意のある者たちが比較的少額で入手できることがよくあります。

  • 認証情報検証インフラストラクチャ : この段階では、サイバー犯罪者はボットと呼ばれる特殊なコンピュータプログラムを使用して、多数のウェブサイトに同時にログインを試みます。これらの自動プログラムは、毎分何千ものパスワードをテストできます。攻撃の率を高めるため、詐欺師は複数の侵害済みコンピュータをボットネットとして連携させることがあります。

  • プロキシと IP ローテーションメカニズム : 攻撃者はネットワークアドレスを変更する特殊ツールを用いて攻撃元の位置を隠蔽します。複数の偽の位置情報により攻撃元の特定をさらに困難にし、セキュリティシステムによる検知を回避します。

  • 高度なボット技術 : AI ボットは、オンラインで実際の人間を模倣するのに非常に優れた新しいハッキングツールです。これらのプログラムは、セキュリティシステムを欺くために、ランダムな遅延やマウスの動きまで追加します。

  • 地理的分散戦略 : ハッカーは疑いを避けるために、世界中のさまざまな国から攻撃を開始します。ログイン試行はヨーロッパ、アジア、アメリカなど、複数の地域から同時に行われます。攻撃が世界中に広がると、阻止するのが難しくなります。

  • プロトコルの悪用 : 攻撃者は、Web サイトのログインとパスワードの処理方法の弱点を探します。パスワードリセットオプションの問題は、ハッカーに侵入するさらなる手段を与えます。セキュリティが古い、または設定が不十分だと、攻撃が成功する可能性が高くなります。

クレデンシャルスタッフィング攻撃を防ぐにはどうすればよいでしょうか?

クレデンシャルスタッフィング攻撃を防ぐには、多面的なセキュリティ戦略が必要です。ベストプラクティスには以下のようなものがあります。

1. 高度な多要素認証。携帯電話に送信される OTP コードなどの2番目のログイン手順を追加すると、悪意のある人物が盗まれたパスワードを入手した場合でも、不正アクセスをブロックできます。

2. 行動バイオメトリクスの統合。コンテキストアウェア認証ソフトウェアは、画面スワイプ方法や入力パターンといったユーザーの行動やインタラクションの傾向を分析することで、保護機能をさらに強化できます。これらの特有のパターンを確認することで、正しいパスワードでも偽のログインをブロックできます。

3. ゼロトラストアーキテクチャの実装。ログインのたびにユーザーに本人確認を要求するセキュリティシステムを導入します。あらゆる信頼を前提としないことで、セキュリティ侵害が発生する前に阻止し、認証されたユーザーのみが機密データにアクセスできるようにします。

4. 適応的レート制限。ボットネットワークからの過度に速いログイン試行を検知するインテリジェントなソフトウェアを使用します。このような状況が発生した際にログイン速度を遅くすることで、調査と攻撃の阻止に時間を確保できます。この種のレート制限は、クレデンシャルスタッフィングボットを遮断しますが、実際のユーザーには影響を与えません。

5. 高度なボット検知技術。機械学習ツールを導入し、人間のログインと自動化されたボットの活動パターンを区別します。シミュレートされたログインをブロックすることで、大規模なスタッフィング攻撃が開始されるのを未然に防ぎます。

6. パスワードレス認証戦略。WebAuthn のような、特定のデバイスに紐付けられた暗号鍵に依存するパスワードレス認証方式を採用します。これらの戦略により、従来のパスワードに関連するリスクが排除され、盗まれた認証情報は無効になります。

7. 自動認証情報ローテーション。潜在的な侵害を検知した際に強制リセットを行う自動システムにより、ログイン認証情報の定期的な更新を保証します。これにより、攻撃者によるパスワードの再利用を防ぎ、人的ミスによるセキュリティ侵害リスクを低減します。

8. 脅威インテリジェンスの統合。新たな脆弱性攻撃に関する最新情報を把握することで、新たな脅威に対してもセキュリティ対策の有効性を維持できます。主な情報源には CERT/CCSecurityFocusNational Vulnerability Database があり、検索・ソート可能な情報を提供しています。詳細なセキュリティニュースや脅威インテリジェンスについては、SANS Internet Storm CenterCERT-EU などの情報源をフォローしてください。

9. ハニーポットと欺瞞技術。攻撃者を実際の資産からそらすためのおとりシステムを設置します。ハニーポットはシステムを保護するだけでなく、ハッキング手法に関する貴重なデータを収集することで、セキュリティ戦略の改善にも役立ちます。

10. 継続的なペネトレーションテスト。倫理的なハッカーを起用し、定期的なペネトレーションテストを実施してシステムの防御を徹底的に検証します。彼らは脆弱性を特定・分析し、セキュリティ対策を強化する方法についてアドバイスを提供します。

ブルートフォース攻撃

ブルートフォース攻撃とは?

ブルートフォース攻撃は、ハッカーがソフトウェアを使用してさまざまなパスワードの組み合わせを体系的にテストし、許可なくアカウントにアクセスするサイバー攻撃です。

攻撃者は高度な技術やスキルを使用するのではなく、計算能力に頼ってパスワードを繰り返し推測するため、「ブルートフォース」と呼ばれます。

ブルートフォース攻撃の用途

ブルートフォース攻撃は、システムの脆弱性を悪用して金銭的な利益や情報収集、戦略的なメリットを得ることを目的としています。Google によると、このアプローチは依然としてクラウドプラットフォームをターゲットとする攻撃の中で最も一般的な手法です。例えば、AhnLab Security Emergency Response Center (ASEC) の調査によると、ブルートフォース攻撃はサーバーを標的とし、Mirai や P2Pinfect などのマルウェアやボットネットを使用してシステムに侵入します。

ブルートフォース攻撃にはどのような種類がありますか?

ブルートフォース攻撃にはいくつかの種類があり、その一つがクレデンシャルスタッフィングです。

  • クレデンシャルスタッフィング : ハッカーは、過去のデータ侵害で盗まれたユーザー名やメールアドレス、パスワードの膨大なリストを悪用します。これは、クレデンシャルスタッフィングと呼ばれる一般的な手法のひとつです。

  • 辞書攻撃 : サイバー犯罪者はパスワードを解読するために、複数の言語で一般的な辞書の単語を無限に組み合わせるソフトウェアをよく使用します。

  • ハイブリッド攻撃 : これらは異なる種類を組み合わせた高度なメソッドです。例えば、ハッカーは辞書攻撃のブループリントと数字や特殊文字の配列を、実際の漏洩したパスワードと共に組み合わせ、精度を高めることができます。

  • レインボーテーブル攻撃 : 攻撃者は事前に計算されたパスワードのハッシュ値を使用してパスワードの発見プロセスを高速化します。侵害されたデータベースのコピーを攻撃対象のシステムと照合し、一致するパスワードを見つけてアクセスのロックを解除することで、攻撃を加速させ、追跡を困難にします。

  • マスク攻撃 : このタイプの攻撃は、部分的な情報と共に既知のパスワードの構造パターンと複雑さの要件を悪用することに重点を置いています。例えば、パスワードの最初の数文字列が分かっている場合、ハッカーはアルゴリズムを使用して残りの文字を推測します。

  • 分散型攻撃 : 大規模な計算ノードが数千ものデバイス間で連携し、ブルートフォースの容量を増大させ、攻撃を加速させます。

クレデンシャルスタッフィングとブルートフォース攻撃を防ぐ方法

ブルートフォース攻撃を防ぐ方法

ブルートフォース攻撃を防止するには、不正アクセスの試行を検出して阻止する多層防御システムを確立する必要があります。クレデンシャルスタッフィング攻撃はブルートフォース攻撃の一種なので、これらの戦略は両方に適用できます。

以下のベストプラクティスは、ブルートフォース攻撃のリスクを最小限に抑えるのに役立ちます。

1. 高度な認証プロトコルを実装する。 パスワードによる基本的なアクセス制御から、適応型リスク分析機能を備えた多要素認証にアップグレードします。このアプローチでは、ユーザーや社員が、携帯電話に送信されたワンタイムコードの入力や生体認証などの追加ステップを完了して本人確認をする必要があります。このような追加対策により、アカウントへのブルートフォース攻撃が非常に困難になります。

2. インテリジェントなパスワードポリシーを作成する。パスワードの複雑な要件、有効期限およびローテーションポリシーを組み合わせた強力なパスワードプロトコルを適用します。一元化された ID 管理プラットフォームを使用して一般的に攻撃に使用されるパスワードをブラックリストに登録し、長さと文字の種類の最低基準を設定します。AI 駆動型ツールを適用し、弱いパスワードや再利用されたパスワードを識別して対処します。

3. 洗練されたレート制限メカニズムを設計する。同じ IP アドレスまたは範囲から繰り返し行われるログイン試行の失敗をブロックするためにアクセス制御を実装します。これにより、正当なユーザーによるアクセスを許可しつつ、パスワードを推測しようとする継続的な試みから保護できます。有効なアカウントが意図せずロックアウトされないように、適切に設定する必要があります。

4. リアルタイムの脅威インテリジェンスを統合する。セキュリティインフラストラクチャをグローバルな脅威モニタリングプラットフォームに接続し、悪意のある IP アドレスや侵害された認証情報、攻撃手法に関する最新情報を入手します。また、分析システムを自動化してネットワークとアカウントを監視し、ブルートフォース攻撃の兆候を早期に検出します。

5. ネットワークセグメンテーションを最適化する。システムとデータアクセスを戦略的にコンパートメント化することで、認証情報が侵害されても被害を最小限に抑えられます。社員に最小限レベルのアクセス権を付与すると同時に、VPN や外部からのエントリポイントを制限します。特定の場所のユーザーにサービスを提供する場合は、ジオブロックを使用し、攻撃者が他の国からサイトやアプリにアクセスするのを防ぐことができます。

6. 定期的にペネトレーションテストを実施する。エシカルハッカーが、ブルートフォース攻撃やその他のサイバー脅威のシミュレーションを使用して組織の防御を突破しようとすることを許可します。このようなペネトレーションテストにより脆弱性が明らかになり、サイバーセキュリティを継続的に強化できます。

7. 行動分析に投資する。データアクセス、アプリケーション、地理的な移動に関する一般的なユーザーの行動パターンをプロファイルします。機械学習アルゴリズムによって、

認証情報の不正使用を示唆する異常な動作を自動的に検出し、疑わしいセッションを事前に終了できます。

Fastly はどのようにしてブルートフォース攻撃を防ぐのですか?

Fastly は、Web サイトやアプリに多層防御を迅速にデプロイできるように設計された統合セキュリティツールのスイートを提供し、ブルートフォース攻撃から効果的に保護します。

次世代 Web アプリケーションファイアウォール (WAF) : Fastly の Next-Gen WAF は、受信した Web トラフィックを監視してフィルタリングし、ブルートフォース攻撃の試行に関連する疑わしいアクティビティを自動的にブロックします。また、新たな脅威もすぐに可視化できます。

DDoS Protection : astly のソリューションは、サーバーに到達する前に悪意のあるトラフィックを吸収してフィルタリングすることで、分散型ブルートフォース攻撃から保護します。

レート制限 : この機能は、設定された時間枠内に単一のユーザーまたは IP アドレスが送信できるリクエストを迅速に制限し、自動化されたブルートフォース攻撃の防止に役立ちます。

エッジセキュリティ : Fastly プラットフォームは、攻撃元の近くに防御を実装し、遅延を最小限に抑えながら脅威を効果的にブロックします。

TLS/HTTPS の強制 : Fastly は暗号化された通信チャネルを使用することで、ブルートフォース攻撃中のデータ傍受や認証情報の盗聴を防ぎます。

Fastly は、クレデンシャルスタッフィングなどのサイバー攻撃に使用される有害なボットトラフィックを検出し、ブロックするように設計された ボット管理サービスを提供しています。

  • 自動ボット検知 : Fastly は実際のユーザーとボットを素早く区別します。ブロックする前に、システムは正当なユーザーを苛立たせるような間違いがないように再チェックします。

  • リアルタイムの脅威分類 : Fastly は脅威が発生した瞬間にそれを特定するので、攻撃を即座に阻止できます。

Fastly がブルートフォース攻撃やクレデンシャルスタッフィング攻撃からどのようにお客様を保護できるかについて、さらに詳しい情報をご希望の場合は、お問い合わせください

始める準備はできましたか?

ぜひご連絡ください
専門家に相談する