クレデンシャル・スタッフィング攻撃の解剖

クレデンシャル・スタッフィングとは何か？

クレデンシャル・スタッフィングはサイバー攻撃の一種で、攻撃者が自動化されたツールを使用して、ユーザー名とパスワードの組み合わせを大量に試し、（多くの場合、過去のデータ侵害から入手した）ユーザーアカウントへの不正アクセスを試みるものです。最も巧妙なタイプの攻撃ではありませんが、クレデンシャル・スタッフィングは、脆弱なパスワードとパスワードの再利用に依存しているため、重大な脅威となります。短時間に何百万ものユーザー名とパスワードの組み合わせをテストすることで、攻撃者は最小限の労力でクレデンシャルを危険にさらすことができます。一般的に成功率は低いものの、ダークウェブ上で取引可能なユーザー認証情報の量が非常に多いため、この手口は価値がある。アカウントを乗っ取り、大混乱を引き起こすために、phishing 攻撃と組み合わせて使用されることがよくあります。

攻撃者がクレデンシャル・スタッフィングを使う理由

Akira、Medusa、Blacksuitなどのランサムウェア・グループは、企業ネットワークにアクセスし、横方向に移動する簡単な方法として、クレデンシャル・スタッフィングを使用している。彼らは、あるデータ侵害から入手した認証情報を使用し、同じユーザー名とパスワードを使ってVPNやビジネスアプリにログインします。攻撃者は、従業員が複数のサービスで同じ認証情報を再利用することを当てにしており、ボットを使用して多要素認証（MFA）やその他の防止ツールを回避します。

クレデンシャル・スタッフィング攻撃の仕組み

クレデンシャル・スタッフィング攻撃は比較的簡単です。通常、攻撃者がボットやスクリプトを使って、盗んだ認証情報を使ってログインを試みるプロセスを自動化することから始まります。これらのツールは1秒間に何千回ものログインを試みることができるため、cybercriminels 、複数のプラットフォームで効率的に認証情報をテストすることができます。

一度ログインに成功すると、攻撃者は侵害されたアカウントを引き継いで企業ネットワーク内を進むことができる。攻撃者はエクスプロイトを実行することなく、機密データを盗んだり、業務を妨害したり、さらなる攻撃を仕掛けたりすることができる。

クレデンシャル・スタッフィング攻撃への対策

クレデンシャル・スタッフィングの場合、セキュリティ意識向上トレーニングやその他の予防的なセキュリティ対策ではあまり効果がない。しかし、多くの場合、不審な行動はログイン試行の突然の増加だけである。その場合でも、正規のユーザーに影響を与えずに攻撃を阻止するのは難しい。

クレデンシャル・スタッフィング攻撃を阻止する最善の方法は、Vectra AIが提供するようなAI主導 検出によってサポートされる24時間365日の監視です。例えば、あるグローバル組織のMicrosoft SaaS環境に実際の攻撃者がログインしようとしたとき、Entra IDの不審なサインオンや 異常なスクリプトエンジンの使用など、Vectra AIによる複数の検出がトリガーされました。これらの検知により、Vectra'のMXDRチームはインシデントをエスカレーションし、攻撃を開始する前に阻止した。 

Vectra MXDRがどのようにクレデンシャル・スタッフィング攻撃を阻止したかをご覧ください。

実際の攻撃者がクレデンシャル・スタッフィングを使用してVectra AI顧客の環境に侵入しようとしたときに何が起こったか、以下の攻撃解剖図をご覧ください。