クレデンシャル・スタッフィングとは？わかりやすく解説

クレデンシャル・スタッフィング（英語: Credential stuffing）とはサイバー攻撃の一例 ^[1]。攻撃者は盗まれたアカウント認証情報（英語版）から通常は利用者名またはメールアドレスの一覧とそれに対応するパスワードを収集して（多くの場合はデータ流出（英語版）に起因）、それら情報を悪用してウェブアプリケーションに自動ログイン要求を大規模に送りつけ、他のシステムの利用者アカウントに不正にアクセスすること^[2]。認証情報のクラッキング（英: credential cracking）とは異なり、クレデンシャル・スタッフィング攻撃の攻撃者は総当たり攻撃やパスワードの推測を試みず – すでに発見済みの（数千から数百万に及ぶ）多数の資格情報ペアのログインを自動化するだけで、右のようなツールを用いる。標準的ウェブ自動化ツールの Selenium、cURL、PhantomJS（英語版）他。もしくはこの種の攻撃専用に設計された Sentry MBA、SNIPR、STORM、Blackbullet、Openbullet など^[3]^[4]。

脚注

[脚注の使い方]

^
“クレデンシャルスタッフィング攻撃（Credential Stuffing）:「漏洩したアカウント資格情報を悪用し、他のサービスへ不正アクセスを行う攻撃」”. トップ > セキュリティ用語集. NEC Solution Innovators, Ltd.. 2025年4月6日閲覧。 “;関連ソリューション
- OneLogin（ワンログイン）
- クラウド対応のシングル・サインオン・ソリューション RSA ID Plus
- フィッシングサイト閉鎖支援サービス Outseer FraudAction
関連用語
- リスト攻撃、パスワードリスト攻撃
- フィッシングサイト
- MFA（Multi-Factor Authentication）
- OTP（ワンタイムパスワード）
”
^ “Credential Stuffing” (英語). OWASP. 2018年7月12日閲覧。
^ “Credential Spill Report”. Shape Security. p. 23 (2017年1月). 2018年7月12日閲覧。 “The most popular credential stuffing tool, Sentry MBA, uses 'config' files for target websites that contain all the login sequence logic needed to automate login attempts”
^ “Use of credential Stuffing Tools”. NCSC. 2018年7月12日閲覧。