クレデンシャル・スタッフィング攻撃 とは、ブルートフォース攻撃の亜種であると言えます。攻撃者は、盗まれたりリークされたユーザ名、メールアドレス、パスワードのリストを悪用し、様々なサイトやサービスで無差別的な不正ログインを試行します。ユーザは複数のサイトやサービスで同じログイン情報を使用する傾向があるため、このような攻撃手法が存在します。
クレデンシャル スタッフィング攻撃は、複数のアカウントでパスワードを再利用するという一般的な習慣を悪用します。多くのユーザーはさまざまなオンライン サービスで同じユーザー名とパスワードの組み合わせを使用する傾向があるため、攻撃者はこの行動を利用します。以前に漏洩または盗まれたクレデンシャルを使用して、さまざまなプラットフォームのアカウントに不正アクセスしようとします。このタイプの攻撃は、パスワードを推測する必要性を回避し、代わりに一連のクレデンシャルが再利用される可能性に依存するため、特に効果的です。
これらの攻撃は自動化されていることが多く、攻撃者はボットを使用して盗んだ認証情報を多数の Web サイトに高速で入力します。この自動化により、比較的短期間で数千、あるいは数百万のユーザー名とパスワードの組み合わせをテストできます。認証情報のスタッフィング攻撃は規模と速度が大きな脅威であり、成功率がわずかでも多数のアカウントが侵害される可能性があります。このことから、オンライン サービスごとに異なるパスワードが重要であることがわかります。
クレデンシャル スタッフィングに対抗するため、組織はますます多要素認証 (MFA) を採用しています。これは、ユーザー名とパスワード以外のセキュリティ レイヤーを追加します。MFA では、携帯電話に送信されるコードや生体認証データなど、別の形式の検証をユーザーに要求するため、不正アクセスが大幅に困難になります。さらに、異常なログイン試行を監視し、レート制限を実装すると、これらの攻撃を検出して防止するのに役立ちます。各オンライン アカウントに固有のパスワードを使用することの重要性についてユーザーを教育することも、クレデンシャル スタッフィング攻撃の成功率を下げる上で重要です。