Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
認証情報の窃取は、多くのセキュリティチームが対応できる速度をはるかに上回るペースで増加しています。「Verizon DBIR 2025」によると、確認された全侵害事例のうち22%が認証情報の窃取に起因しており、これは単一の攻撃ベクトルとしては最も高い割合です。一方、「Unit 42 2026 インシデント対応レポート」では、調査対象となった事例の90%において、ID管理の脆弱性が重大な要因となっていたことが明らかになりました。本ガイドでは、認証情報の窃取のライフサイクルを、初期の取得から悪用に至るまで詳細に解説し、その全容を MITRE ATT&CK の手法分類を網羅し、2026年以降、企業が認証情報ベースの攻撃から防御するために必要な検知および防止戦略を提供します。
認証情報の窃取とは、ユーザー名、パスワード、トークン、セッションクッキー、APIキー、証明書といった認証情報を不正に入手し、正当なユーザーになりすまして、システム、アプリケーション、データへの不正アクセスを行う行為を指します。認証情報を総当り攻撃で推測するブルートフォース攻撃とは異なり、認証情報の窃取は、既存の有効な認証情報を標的とします。 フィッシング、 マルウェア、ソーシャルエンジニアリング、あるいは不適切な認証情報の保管の悪用を通じて、既存の有効な認証情報を標的とします。
認証情報の盗難が重大な問題となるのは、攻撃者がそれを利用して、信頼された内部関係者として環境内を自由に移動できる「鍵」を手に入れることになるからです。Verizon DBIR 2025によると、確認された12,195件のインシデントのうち、全侵害の22%が認証情報の盗難に起因しており、これは他のいかなる初期アクセス経路よりも高い割合です。また、eSentire 2025 TRUレポートでは、アカウント侵害が前年比389%急増し、観測された全セキュリティインシデントの55%が有効な認証情報によって引き起こされたことが記録されています。 また、Unit 42の2026年インシデント対応レポートによると、IDの脆弱性(その多くは認証情報の盗難や侵害に起因する)が調査対象の90%で重要な役割を果たしており、初期アクセスの65%は特にIDを悪用したサイバー攻撃手法によって引き起こされていたことが明らかになった。
これらの数字は、根本的な変化を反映しています。攻撃者は、システムへの侵入よりもログインを選択する傾向が強まっており、認証情報の窃取が、データ漏洩、ランサムウェアの展開、サプライチェーンへの侵害に至るための主要な手段となっています。
関連用語の違いを理解することは、正確な脅威モデリングを行う上で極めて重要です。
表:認証情報の盗難 vs 認証情報詰め込み攻撃 vs 認証情報の収集。
サービス全体でパスワードの再利用率が51%に達している(Verizon DBIR 2025)ことから、クレデンシャルスタッフィングは依然として極めて有効な攻撃手法である。しかし、これは広範な認証情報窃取の手法の一つに過ぎない。
現代の認証情報窃取は、4つの明確な段階からなる産業化されたサプライチェーンとして機能しています。各段階を理解することで、セキュリティチームはあらゆる段階で検知対策を適切に配置できるようになります。
ダークウェブ上の認証情報取引は、この問題をあらゆる段階で増幅させている。2026年2月に発生した過去最大規模の漏洩事件では、160億件の認証情報がダークウェブ上に流出しており、ベライゾンの「DBIR 2025」によると、平均的なユーザーが各サービスで使用しているパスワードのうち、固有のものはわずか49%にとどまっていた。つまり、51%のパスワードが再利用されており、これが大規模なクレデンシャルスタッフィングを助長していることになる。
攻撃者は、多岐にわたる認証情報窃取の手法を用いますが、そのMITRE ATT&CK (認証情報へのアクセス)として正式に分類されています。MITRE ATT&CK 、この戦術の下に17の手法と50以上のサブ手法が記載されています。主なカテゴリーは以下の通りです。
認証情報のダンプ (T1003). 攻撃者は、オペレーティングシステムのメモリ、Active Directory データベース、またはドメイン コントローラーのレプリケーションから直接認証情報を抽出します。その手法には、LSASS メモリの抽出などが含まれます(T1003.001)、NTDSファイルへのアクセス(T1003.003)、およびDCSync攻撃(T1003.006). Mimikatzのようなツールは、システムが侵害された後のシナリオにおいて、認証情報のダンプと関連付けられることが一般的です。
ブルートフォース攻撃 (T1110). パスワードスプレー攻撃 (T1110.003)は、アカウントのロックアウトを回避するために、多くのアカウントでよく使われるパスワードを試し、一方、クレデンシャルスタッフィング(T1110.004) 過去に侵害されたペアを悪用して、新たなサービスに対して攻撃を仕掛ける。
パスワードストアからの認証情報の収集 (T1555). 攻撃者は、ブラウザに保存された認証情報を狙います (T1555.003) およびパスワード管理ツール (T1555.005). によると、 Picus Red レポート 2026, T1555 (パスワードストアからの認証情報)は、分析対象となった全攻撃の23.49%で確認され、最も頻繁に確認される認証情報窃取の手法の1つとなっている。
フィッシング。 フィッシングでは、偽のログインページ、ビジネスメール詐欺、および音声 フィッシング を利用して、ユーザーを騙して認証情報を入力させます。PhaaSプラットフォームはこの攻撃手法を産業化しました。
Kerberoasting (T1558.003). 攻撃者はサービスアカウントのKerberosサービスティケットを要求し、オフラインで解読して平文のパスワードを復元することで、 権限昇格.
通信傍受 (T1557). 中間者攻撃(LLMNR/NBT-NS ポイズニングを含む)(T1557.001)、ネットワーク上の認証トラフィックを傍受し、転送中の認証情報を取得する。
未保護の認証情報 (T1552). プレーンテキストファイルに保存された認証情報(T1552.001) または、クラウドインスタンスのメタデータAPIを介してアクセス可能(T1552.005) は、システムへのアクセス権を持つ攻撃者によって直接取得されます。
MFAバイパス (T1556.006, T1621). 攻撃者は、認証プロセスを改変したり、プッシュ通知を繰り返し送りつけることでMFA疲労を悪用したりして、多要素認証による保護を回避します。
以下の表は、MITRE ATT&CK 主要なMITRE ATT&CK アクセス手法と、それに対応する攻撃手法および検知手法を対応付けしたものです。
表:MITRE ATT&CK アクセス手法(TA0006)と検知手法の対応関係。
「Picus Red Report 2026」では、ランサムウェアの展開が38%減少したことも指摘されており、これは、攻撃者が目立つ手法を展開するのではなく、盗んだ認証情報を利用して持続的かつステルス的なアクセスを維持する、認証情報を利用した「サイレント・レジデンシー」への広範な移行を示唆している。 マルウェアを展開するのではなく、盗んだ認証情報を利用して持続的かつステルス的なアクセスを維持する「サイレント・レジデン
認証情報の盗難は、従来のパスワード盗難にとどまらず、急速に様相を変えつつあります。競合他社が見落としがちないくつかの攻撃経路が、企業にとってのリスクとして高まっています。
トークンおよびセッションの盗用 (T1539, T1528)。現代の認証情報窃取では、パスワードよりも認証トークンやセッションクッキーが標的となるケースが増えています。セッションクッキーが盗まれると、攻撃者はすでに認証済みのセッションを引き継ぐことになるため、多要素認証(MFA)を完全に迂回できてしまいます。また、OAuthトークンの悪用により、パスワードのリセット後も有効なAPIへの永続的なアクセス権が得られてしまいます。組織がクラウドファーストやSaaSを多用するアーキテクチャを採用するにつれ、この攻撃手法は増加傾向にあります。
マルウェア 。情報窃取型マルウェアはWindowsからmacOSへと拡大しており、マイクロソフトの研究者らは、ファイルレス実行やAppleScriptによる自動化を利用するDigitStealer、MacSync、AMOSといったクロスプラットフォーム型の亜種を報告している。ClickFix(偽のCAPTCHAトラップ)のような新たな感染経路は、従来の電子メールセキュリティ対策を回避している。
AIを利用した認証情報の窃取。 IBM X-Force 2026 Threat Indexによると、ダークウェブ上で30万件以上のChatGPT認証情報が確認され、攻撃件数は全体で44%増加した。盗まれた認証情報は、エージェント型AIシステムを悪用するために利用されており、SecurityWeekが「爆風半径問題」と表現するように、侵害された認証情報によって個々のアカウントだけでなく、自動化されたワークフロー全体へのアクセス権が与えられてしまう。 AIエージェントがサービスアカウントの権限を継承するため、エージェント型AIのセキュリティは重大な懸念事項となりつつある。
クラウド認証情報の標的型攻撃。認証情報の窃取は、クラウドセキュリティインフラに対する主要な攻撃手法であり、Thalesの報告によると、組織の67%がこれの影響を受けている。Unit 42の2026年レポートによると、クラウドユーザー、ロール、サービスの99%に過剰な権限が設定されており(60日以上使用されていないアクセス権を含む)、これにより、盗まれたクラウド認証情報による攻撃の標的となる領域が広範囲に及んでいる。
実際の侵害事例は、認証情報の盗難が、初期アクセスから壊滅的な影響に至るまでどのように進行するかを示しています。これらの事例には共通のパターンが見られます。すなわち、たった1つの認証情報の盗難、多要素認証(MFA)の欠如または回避、そしてそれに伴う甚大な二次的影響です。
Snowflakeのデータ漏洩事件(2024年)。 攻撃者グループUNC5537は、情報窃取型マルウェアを通じて盗み出した認証情報を使用した マルウェア (一部は2020年に遡るもの)を利用して、AT&T、Ticketmaster、Santander Bankを含む約160のSnowflake顧客インスタンスにアクセスした。影響を受けたアカウントのいずれも多要素認証(MFA)が有効化されていなかったため、数年前に盗まれた認証情報による単一要素認証が可能となっていた。攻撃の連鎖は、情報窃取型マルウェアへの感染から認証情報の収集、ダークウェブでの販売、そして160の組織にわたるアカウント乗っ取りおよびデータ流出へと進展した。 (Cloud Security Allianceの分析、Google/MandiantのUNC5537分析)
図:Snowflakeの侵害攻撃の連鎖。情報窃取型マルウェアへの感染(2020年)から、認証情報の収集、ダークウェブでの販売、多要素認証(MFA)なしでのアカウントへのアクセス、160のインスタンスにわたるデータ流出、そしてAT&T、Ticketmaster、Santanderへの二次的な影響に至るまでの経緯を示している。キャプション:「Snowflakeの侵害攻撃の連鎖:数年前に盗まれた認証情報が、いかにして大規模なサプライチェーン侵害を可能にしたか」。
PowerSchoolの情報漏洩事件(2025年1月)。多要素認証(MFA)による保護が施されていなかった1組の認証情報が侵害されたことで、攻撃者はPowerSchoolのカスタマーサポートポータルにアクセスし、最終的に18,000校に及ぶ約6,200万人の生徒および教員の個人データ(社会保障番号や医療情報を含む)が流出しました。(TechTargetによるPowerSchoolの分析)
ShinyHuntersのSSO攻撃キャンペーン(2026年1月)。脅威グループShinyHunters(UNC6661として追跡)は、高度化したボイスフィッシング の手法を用いて約100の組織を標的とし、OktaのSSO認証情報を窃取するとともに、攻撃者が制御するデバイスを被害者のMFAに登録した。標的にはAtlassian、Canva、Epic Games、HubSpot、ハーバード大学、ペンシルベニア大学などが含まれていた。攻撃者はリアルタイムのWebパネルを使用して動的に操作を行った フィッシング ページを動的に操作し、被害者と電話で会話しながら攻撃を実行した。これは、従来のプッシュ型MFAではもはや不十分であることを示している。(ShinyHunters SSOキャンペーン;Google/MandiantによるShinyHunters分析)
コロニアル・パイプライン(2021年)。攻撃者は、多要素認証(MFA)が設定されていない旧式のアカウントから盗み出した1組のVPN認証情報を利用してコロニアル・パイプラインのネットワークに侵入し、DarkSideランサムウェアを展開した。これにより、米国東海岸全域で6日間にわたり燃料の供給が停止した。この事例は、有効な認証情報を持つ休眠アカウントが重大な攻撃対象領域となり得ることを示している。
これら4件のインシデントに共通するパターンは明らかです。認証情報の盗難に加え、多要素認証(MFA)が導入されていない、あるいは回避可能な状態にあること、さらに管理されていない休眠状態の認証情報が存在することで、単一障害点が生じ、これらが横方向の移動、サプライチェーンの悪用、そして壊滅的なデータ漏洩を可能にしているのです。
認証情報に基づく情報漏洩は、測定可能な金銭的・業務上のコストを伴うため、認証情報の盗難を検知・防止するための対策への投資が正当化される。
表:2025年から2026年にかけての認証情報盗難によるビジネスへの影響の定量化。
また、Flare Researchの2026年レポートによると、企業のID情報が漏洩するケースは2倍以上に増加しており、2024年初頭のインフォスティーラー感染事例における割合が6%だったのに対し、2025年末には14%近くにまで上昇した。 認証情報の盗難とランサムウェアの間には直接的な関連性がある。ランサムウェア被害者の54%は、以前に情報窃取型マルウェアのログで認証情報が漏洩しており、そのうち40%には企業のメールアドレスが含まれていた(Verizon DBIR 2025)。
これらのサイバーセキュリティ指標は、ある根本的な課題を浮き彫りにしています。すなわち、認証情報を利用した攻撃は、被害額も最も大きく、検知にも最も時間がかかるため、組織が侵害を特定して封じ込めるまでに、攻撃者に10ヶ月近くもの潜伏期間を与えてしまうのです。
認証情報の盗難を効果的に防ぐには、多層的な検知および防止策が必要です。その目的は、認証情報が侵害される可能性と、侵害後の侵入者の滞在時間を双方とも低減することにあります。
振る舞い 。地理的に離れた場所からのログインが不可能なほど短い時間間隔で行われる「不可能な移動」や、不自然なログイン時間、異常なリソースアクセス、不審な権限昇格など、異常な認証パターンを監視します。振る舞い 、静的ルールやシグネチャベースのツールでは検知できない認証情報の悪用を捕捉します。
ID脅威の検知と対応 (ITDR)。ITDRプラットフォームは、IDレイヤーにおける認証情報の悪用を検知します。具体的には、セッションの異常、認証プロトコルの悪用、権限昇格、およびIDを悪用した横方向の移動をリアルタイムで監視します。ITDRはSIEMやSOARと連携し、認証情報の盗難を示す兆候が確認された際に、対応プレイブックを自動的に実行します。
ネットワーク検知・対応 (NDR)。ネットワークトラフィック分析により、認証情報の流出、コマンド&コントロール通信、および盗まれた認証情報を利用した横方向の移動を検知し、エンドポイントエージェントが侵害されたり存在しなかったりする場合でも可視性を提供します。
ハニートークンとカナリア認証情報。環境全体に偽の認証情報を配置します。攻撃者がハニートークンを使用しようとすると、認証情報の盗難が進行中であることを確認する、信頼性の高いアラートが生成されます。
組織は、認証情報の盗難を防ぐために、以下の対策を実施すべきである。各ステップは、認証情報盗難のライフサイクルの特定の段階に対応している。
SMSコード、プッシュ通知、TOTPといった従来の多要素認証は、ますます回避されやすくなっています。ShinyHuntersによるSSOキャンペーンでは、音声を利用したリアルタイムのMFA回避が実証されました フィッシング および攻撃者が制御するデバイスの登録によるリアルタイムのMFA回避を実証した(Google/MandiantによるShinyHuntersの分析)。
NISTは、強固な認証の標準として、 フィッシング認証手段――具体的にはFIDO2/WebAuthnおよびパスキー――を推奨しています。CISAは、FIDO2を導入した連邦政府機関の成功事例を公表しており、新たなコンセンサスは明確です。組織は フィッシング耐性のある多要素認証(MFA)を導入すべきであり、資格情報の盗難手法によって破られる可能性のある従来のMFA手法に依存すべきではない、という点が明確になっています。
認証情報の盗難対策は、主要なセキュリティフレームワークやコンプライアンス基準の要件と直接対応しています。以下の対応表は、GRCチームが認証情報の保護への投資と監査証拠を結びつけるのに役立ちます。
表:主要なコンプライアンス・フレームワークに対応した認証情報の盗難防止対策。
認証情報の盗難に関する状況は急速に変化しています。今後12~24カ月の間に、いくつかのトレンドが、組織による認証情報の保護および検知への取り組み方を左右することになるでしょう。
AIを活用した認証情報攻撃。「CrowdStrike 2026年グローバル脅威レポート」では、AIを活用した攻撃者の活動が89%増加したことが記録されており、「IBM X-Force 2026年脅威インデックス」では、攻撃件数が全体で44%増加したと報告されています。AIの活用により、攻撃者はより説得力のある フィッシング キャンペーンを大規模に展開し、認証情報の検証を自動化し、侵害後の悪用を加速させることを可能にしている。2026年2月にAIエージェントの認証情報を標的とする最初の情報窃取型マルウェアが発見されたことを受け、AIエージェントの認証情報窃取の出現は、攻撃対象領域が自律システムへと拡大していることを示唆している。
パスキーとFIDO2の導入加速。従来の多要素認証(MFA)がますます容易に回避可能になっていることから、企業におけるパスキーやFIDO2ハードウェアトークンの導入が加速するでしょう。規制面での圧力も高まっています。NIST SP 800-63 Rev. 4の更新や、2026年に施行されるEUのNIS2指令により、新たな フィッシング対策が導入される可能性がある。
ランサムウェアから「サイレント・レジデンシー」への移行。「Picus Red Report 2026」によると、ランサムウェアの展開は38%減少しており、攻撃者は目立つランサムウェアを展開するよりも、盗んだ認証情報を利用して、データ窃取やスパイ活動のために持続的かつステルス的なアクセス権を維持する傾向が強まっている。この変化に対応するには、長期間にわたり認証情報の悪用パターンを特定する振る舞い 求められる。
NDRとITDRの融合。ネットワーク、アイデンティティ、クラウドの各レイヤーにおける検知機能が統合されつつあります。組織は、ハイブリッド環境全体にわたる認証情報の盗難を検知するために、アイデンティティのシグナル(不自然な移動、権限の昇格、異常な認証)とネットワーク上の挙動(横方向の移動、データの持ち出し)、およびクラウドのテレメトリを相関分析できるプラットフォームを優先的に導入すべきです。
準備に関する推奨事項。組織は フィッシング- すべてのアカウント(特権アカウントおよびサービスアカウントを優先)においてフィッシング対策機能を備えた多要素認証(MFA)の導入を加速し、ダークウェブへの流出に対する継続的な認証情報の監視を実施し、シグネチャに依存せずに認証情報の悪用を検知する振る舞い 投資を行い、認証情報の盗難ライフサイクル全体を網羅したインシデント対応プレイブックを策定すべきである。
業界では、認証情報の盗難に対抗するためのいくつかの防御機能に焦点が当てられています。具体的には、IDベースの攻撃をリアルタイムで検知するITDRプラットフォーム、シグネチャに依存せずに認証情報の不正利用を検知する振る舞い 、ネットワークレベルの可視性を実現するID相関機能を備えたNDR、認証情報に関するインシデント対応を自動化するSIEM/SOAR、そして継続的な認証を徹底するzero trust 。
最も効果的なアプローチには、共通の原則があります。それは、認証情報が侵害されることを前提とし、攻撃者が初期アクセスに成功した後、目的を達成する前に検知・対応できる体制を構築することです。つまり、ネットワーク、アイデンティティ、クラウドの3層にわたる統合的な可観測性を確保し、これら3つのレイヤーにわたるシグナルを相互に関連付けることで、実際の認証情報の悪用を明らかにすることです。
Vectra AIの攻撃シグナルインテリジェンスは、ネットワーク、ID、クラウド全体にわたる攻撃者の振る舞いを分析し、従来のツールでは検出できない認証情報窃盗の手法を検出します。このプラットフォームは、IDベースのシグナル(あり得ない移動、権限昇格、異常な認証パターンなど)をネットワークの挙動と関連付け、実際の認証情報悪用を明らかにし、アラートノイズを削減しながら脅威の検知と対応を加速します。MITRE D3FENDで12件の参照実績(他のどのベンダーよりも多い)とサイバーセキュリティAI分野で35件の特許を持つVectra AIは、SOC運用チームが認証情報ベースの攻撃が侵害に発展する前に捕捉するために必要なシグナルの明確さを提供します。Vectra AIのITDRとNDR機能がどのように連携してハイブリッド環境全体で認証情報窃盗から防御するかをご覧ください。
認証情報の盗難は、単なる一つの攻撃手法にとどまりません。これは、攻撃者が企業環境に侵入し、潜伏し、内部を移動するために用いる主要な経路なのです。全情報漏洩の22%が認証情報の盗難に起因し、わずか6か月間で情報窃取型マルウェアによって18億件もの認証情報が収集され、情報漏洩による損害額は平均480万ドルに達していることから、この脅威は広範かつ数値化可能なものであることがわかります。
SnowflakeからPowerSchool、ShinyHuntersに至るまで、あらゆる大規模な侵害事例に見られる共通の傾向は、一つの明確な教訓を浮き彫りにしています。それは、「予防策だけでは不十分」だということです。組織は、認証情報が侵害されることを前提とし、攻撃者が横方向の移動、データの持ち出し、あるいはランサムウェアの展開を行う前に、認証情報の悪用を早期に検知できる検知機能に投資する必要があります。つまり、 フィッシング攻撃に耐性のあるMFAを最低限の要件とし、ID層とネットワーク層を横断する振る舞い 、そしてハイブリッド環境全体にわたる統合的な可観測性を確保する必要があります。
資格情報の盗難を単なる「防止すべき問題」ではなく「シグナルとなる問題」として捉えている組織こそが、数ヶ月ではなく数分で攻撃を検知できるのです。
Vectra AI 、ネットワーク、ID、クラウド全体で認証情報を利用した攻撃をどのようにVectra AI をご覧ください。
認証情報の窃取とは、ユーザー名、パスワード、トークン、セッション Cookie、API キーなどの認証情報を不正に入手し、正当なユーザーになりすましてシステムやデータへのアクセス権を得る行為を指します。これは企業におけるセキュリティ侵害において最も一般的な初期侵入経路であり、Verizon DBIR 2025 によると、2025年には全侵害の 22% を占めるとされています。 パスワードを推測するブルートフォース攻撃とは異なり、認証情報の窃取は、以下のような手法を用いて既存の有効な認証情報を標的とします。 フィッシング、インフォスティーラー マルウェア、クレデンシャルダンプ、ソーシャルエンジニアリングといった手法を通じて、既存の有効な認証情報を標的とします。MITRE ATT&CK 、「Credential Access(TA0006)」という戦術の下に17の手法を分類しており、攻撃者が用いる手法の広範さを反映しています。認証情報の窃取が重要なのは、盗まれた認証情報により攻撃者が信頼された内部関係者として活動できるようになり、従来の マルウェアによる侵入の検知よりも、はるかに困難になるためです。
認証情報の窃取とは、認証情報を盗むあらゆる手法を包括する広範なカテゴリーであり、これには以下が含まれます。 フィッシング、 マルウェア、クレデンシャル・ダンピング、ソーシャルエンジニアリングなど、認証情報を盗むあらゆる手法を包括する広範なカテゴリーです。クレデンシャル・スタッフィングは、このカテゴリーに含まれる特定の技術の一つであり、MITRE ATT&CKに分類されています。 T1110.004 — 攻撃者は、過去に漏早したユーザー名とパスワードの組み合わせを悪用し、ユーザーが複数のプラットフォームで同じパスワードを使い回す傾向があることを突いて、他のサービスへのログインを試みます。この ベライゾン データセキュリティインシデントレポート 2025 調査によると、サービス間で一意なパスワードはわずか49%にとどまり、51%が再利用されていることが判明しました。これは、クレデンシャルスタッフィングに対する巨大な攻撃対象領域を生み出しています。 実際には、認証情報の窃取がクレデンシャルスタッフィングを助長することが多い。情報窃取型マルウェアが特定の環境から認証情報を収集し、攻撃者(または自動化ツール)がそれらの認証情報を他の何百ものサービスに対して試すのだ。これらにはそれぞれ異なる検知アプローチが必要となる。認証情報の窃取にはエンドポイントおよびIDの監視が求められる一方、クレデンシャルスタッフィングの検知は、大量の認証パターンの分析に依存している。
攻撃者は、MITRE ATT&CK に記載された複数の手法を用いて認証情報を盗み出します。最も一般的な手法には、以下のものが含まれます。 フィッシング 偽のログインページを利用したフィッシングキャンペーン、インフォスティーラー マルウェア 、オペレーティングシステムのメモリからの認証情報のダンプ(LSASSの抽出など)、パスワードスプレーを含むブルートフォース攻撃、KerberosサービスチケットKerberoasting オフラインでKerberoasting 、中間者攻撃によるネットワークの傍受、キーロギング、およびプレーンテキストファイルやクラウドメタデータAPIに保存されたセキュリティ対策が施されていない認証情報の悪用などが挙げられます。 2025年から2026年にかけて、認証情報の窃取に関するサプライチェーンは著しく産業化が進んだ。情報窃取型 マルウェア は、2025年上半期だけで18億件の認証情報を収集しました(Flashpoint 2025)。一方、月額200~300ドルで利用可能なPhaaSプラットフォームにより、攻撃者は高度な認証情報 フィッシング キャンペーンを大規模に展開できるようになります。
認証情報の盗難を防ぐには、多層的な防御戦略が必要です。導入 フィッシング耐性のある多要素認証(FIDO2/パスキー)をすべてのアカウントに導入する — 従来の多要素認証(SMS、プッシュ通知)は回避されやすくなっているため、NISTおよびCISAはこれを標準として推奨しています。NIST SP 800-63Bに従い、漏洩した認証情報データベースと照合してすべてのパスワードをスクリーニングします。ジャストインタイムプロビジョニングを備えた特権アクセス管理を実装し、認証情報が必要な時のみ有効になるようにします。NIST SP 800-207に準拠した継続的な検証を行うzero trust を採用してください。ダークウェブを監視し、情報窃取型マルウェアのログや侵害情報のまとめに自組織の認証情報が掲載されていないか確認してください。休眠アカウントは直ちにプロビジョニングを解除してください。コロニアル・パイプラインやスノーフレークの侵害事例では、いずれも非アクティブまたはレガシーアカウントの認証情報が悪用されました。Verizon DBIR 2025で報告されている51%というパスワードの再利用率を解消するため、パスワードマネージャーを導入してください。
IBMの「Cost of a Data Breach 2025」レポートによると、認証情報を利用した侵害は、1件あたり平均480万ドルの損害をもたらし、その発見と封じ込めには約292日を要します。これにより、認証情報を利用した侵害は、最もコストが高く、検知に最も時間がかかる攻撃タイプの一つとなっています。その経済的影響は、直接的な侵害コストにとどまりません。Verizonの「DBIR 2025」によると、ランサムウェア被害者の54%において、事前に情報窃取型マルウェアのログに認証情報が漏洩していたことが判明した。これは、認証情報の窃取が、さらに破壊的な攻撃に先行することが多いことを意味する。Flare Researchの2026年の報告書では、2025年に205万件の情報窃取型マルウェアのログから企業の認証情報が漏洩しており、情報窃取型マルウェアの感染事例における企業のID情報の漏洩率は、6%から14%近くへと2倍以上に増加したと報告されている。 検知までの期間が292日であるということは、組織が対応するまでに、攻撃者が盗んだ認証情報を悪用する時間が10ヶ月近くあることを意味します。
認証情報の盗難を検知するには、複数の検知レイヤーが必要です。なぜなら、盗まれた認証情報を使用することで、攻撃者は正当なユーザーとして活動できてしまうからです。 主な検知手法としては、振る舞い (不自然な移動経路、異常なログイン時間、不自然なリソースアクセスパターン、不審な権限昇格の監視)、IDレイヤーでの認証情報の悪用やセッションの異常を検知するID脅威検知・対応(ITDR)プラットフォーム、盗まれた認証情報を利用した横方向の移動やデータ流出を特定するネットワーク検知・対応(NDR)、使用時に高精度のアラートを生成するハニートークンやカナリア認証情報、 、および複数のシステムにまたがる認証の異常をフラグ付けするSIEM相関ルールなどが挙げられます。Unit 42の2026年レポートによると、侵入の最速25%はわずか72分でデータ流出に至っており、数時間ではなく数分以内に対応できるリアルタイム検知の必要性が浮き彫りになっています。効果的な認証情報窃取の検知には、ネットワーク、ID、クラウド環境全体にわたる統合された可観測性が求められます。
認証情報の収集とは、攻撃者が認証データを大規模に収集する、認証情報窃取の収集段階のことです。一般的な収集手法には、次のようなものがあります。 フィッシング キャンペーン(ユーザー名やパスワードを盗むために偽のログインページを送信する)、インフォスティーラー マルウェア (ブラウザ、パスワードマネージャー、アプリケーション設定から保存された認証情報を抽出する)、公開されたデータベースやコードリポジトリのウェブスクレイピング、および認証中に認証情報を傍受する中間者攻撃(Adversary-in-the-Middle)の手法などがある。認証情報の収集は、認証情報の悪用とは区別される。収集は認証情報の収集に焦点を当てているのに対し、悪用はそれらの認証情報を使用して不正アクセスを行うことを伴う。現代の収集の規模は驚異的である。Flashpointの報告によると、情報窃取型マルウェア マルウェア は、2025年上半期に580万台の侵害されたホストから18億件の認証情報を収集し、これは過去6ヶ月間と比較して800%の増加となったと報告している。収集された認証情報は、ダークウェブのマーケットプレイスで売買されることが多く、下流のクレデンシャルスタッフィング、アカウント乗っ取り、およびラテラルムーブメント攻撃を助長する、自己維持型の経済を生み出している。