クレデンシャル・スタッフィングとは？わかりやすく解説

クレデンシャル・スタッフィング（英語: Credential stuffing）とはサイバー攻撃の一種であり、攻撃者が何らかの方法で事前に入手したIDとパスワードのリストを利用して、様々なウェブサイトやサービスへの不正ログインを試みる手法である^[1]。日本では別名、パスワードリスト攻撃（Password List attack）、リスト型アカウントハッキングとも呼ばれる。

概要

クレデンシャル・スタッフィングは、複数のウェブサービスで同じIDとパスワードの組み合わせを使い回す傾向があることを悪用した攻撃である。攻撃者は、セキュリティの脆弱なサイトから流出した認証情報のリストや、ダークウェブなどで不正に取引されているリストを入手し、そのリストにある膨大な数の認証情報をプログラム（ボットなど）を用いて、標的となる別のサービスに対して総当たり的に試行する^[2]。

この攻撃の成功率は、パスワードの使い回しをしている利用者の割合に大きく依存する。一つのサービスから認証情報が漏洩した場合、その情報が他の多数のサービスへの不正アクセスに繋がる危険性があるため、深刻な被害に発展しやすい。

手順

攻撃者は、他のウェブサイトへの不正アクセス、フィッシング詐欺、マルウェア感染、スミッシングなど、様々な手段を用いてIDとパスワードのリストを入手する。多くの場合、大規模な個人情報の漏洩に起因する。
金銭的価値の高い情報（クレジットカード情報、個人情報など）を扱うオンラインサービスや、多くの利用者を抱える人気のサービスを選び、標的とする。
攻撃者は、自動化されたプログラム（ボット）を使用して、入手したリストのID（利用者名やメールアドレス）とパスワードの組み合わせを標的のサイトのログインページで次々と試行する。
盗まれたアカウントから、通常はの一覧とそれに対応するパスワードを収集して（多くの場合は）、それら情報を悪用してウェブアプリケーションに自動ログイン要求を大規模に送りつけ、他のシステムの利用者アカウントに不正にアクセスすること^[3]。
ログインに成功すると、攻撃者はそのアカウントになりすまし、登録されている個人情報の窃取、金銭の不正利用、スパムメールの送信、登録されている他のサービスへの不正アクセスなどを行う。

他の攻撃手法との違い

他の攻撃手法とは異なり、クレデンシャル・スタッフィング攻撃では、総当たり攻撃やパスワードの推測を試みる必要がない。すでに発見済みの（数千から数百万に及ぶ）多数の認証情報ペアを用いたログインを自動化するだけで攻撃をすることができる。攻撃には、標準的ウェブ自動化ツールの Selenium、cURL、PhantomJS（英語版）、もしくはこの種の攻撃専用に設計された Sentry MBA、SNIPR、STORM、Blackbullet、Openbullet などを用いる^[4]^[5]。

対策

パスワードの使い回しをしない - 最も基本的かつ最も重要な対策。サービスごとに異なる、推測されにくい複雑なパスワードを設定する。パスワード管理ツールを利用することも有効である。
多要素認証（MFA）の利用 - パスワードに加えて、SMS認証コード、認証アプリ、セキュリティキーなど、複数の認証要素を組み合わせることで、たとえパスワードが漏洩しても不正ログインを大幅に防ぐことができる。
FIDO2認証の利用 - パスワードを用いないログイン認証に切り替える。
不審なログイン通知の確認 - サービスが提供するログイン履歴の確認機能や、不審なログインがあった場合に通知を受け取る設定を有効にしておく。
不審なアクセスの検知 - 同一IPアドレスからの大量のログイン試行や、短時間でのログイン失敗の多発などを検知し、一時的にアクセスを制限（アカウントロックアウト）する仕組みを導入する。
CAPTCHAの導入 - ログインページにCAPTCHA（画像合わせ認証など）を導入し、ボットによる自動的なログイン試行を困難にする。
漏洩パスワードのチェック - 既知の漏洩したパスワードのリストと照合し、利用者が脆弱なパスワードを設定できないようにする。

脚注

[脚注の使い方]

^ “クレデンシャルスタッフィング攻撃（Credential Stuffing）:「漏洩したアカウント資格情報を悪用し、他のサービスへ不正アクセスを行う攻撃」”. トップ > セキュリティ用語集. NEC Solution Innovators, Ltd.. 2025年4月6日閲覧。
^ “インターネットサービスへの不正ログインによる被害が増加中 | 情報セキュリティ”. IPA 独立行政法人情報処理推進機構. 2025年9月25日閲覧。
^ “Credential Stuffing” (英語). OWASP. 2018年7月12日閲覧。
^ “Credential Spill Report”. Shape Security. p. 23 (2017年1月). 2018年7月12日閲覧。 “The most popular credential stuffing tool, Sentry MBA, uses 'config' files for target websites that contain all the login sequence logic needed to automate login attempts”
^ “Use of credential Stuffing Tools”. NCSC. 2018年7月12日閲覧。

外部リンク

クレデンシャル・スタッフィングに関する OWASP の見解（英語）

[1] “クレデンシャルスタッフィング攻撃（Credential Stuffing）:「漏洩したアカウント資格情報を悪用し、他のサービスへ不正アクセスを行う攻撃」”. トップ > セキュリティ用語集. NEC Solution Innovators, Ltd.. 2025年4月6日閲覧。

[2] “インターネットサービスへの不正ログインによる被害が増加中 | 情報セキュリティ”. IPA 独立行政法人情報処理推進機構. 2025年9月25日閲覧。

[3] “Credential Stuffing” (英語). OWASP. 2018年7月12日閲覧。

[4] “Credential Spill Report”. Shape Security. p. 23 (2017年1月). 2018年7月12日閲覧。 “The most popular credential stuffing tool, Sentry MBA, uses 'config' files for target websites that contain all the login sequence logic needed to automate login attempts”

[5] “Use of credential Stuffing Tools”. NCSC. 2018年7月12日閲覧。

[1]

[2]

[3]

[4]

[5]

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力検証 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPパラメータ汚染 (CWE-235) HTTPヘッダ・インジェクション (CWE-113) HTTPリクエストスマグリング (CWE-444) HTTPレスポンス分割 (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) DLLサイドローディングファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディング（英語版）クロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）ドライブバイダウンロード
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) 権限昇格 DNSスプーフィング (CWE-345) ドメインハイジャックセッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング Kerberoasting クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) 整数オーバーフロー (CWE-190) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 危殆化 (CWE-327) POODLE(CWE-757) KRACK(CWE-757) レインボーテーブル攻撃誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) クリアチャネル評価攻撃（英語版）
電子メール関連	オープンリレーフィッシング (詐欺) (CAPEC-98) Eメール・インジェクション（英語版）メールボム Eメールスプーフィング
マルウェア・悪意のあるプログラム	アドウェアインターネットボットキーロガークリプトジャッキング (仮想通貨マイニング) コンピュータウイルススケアウェア (偽警告) ステガノグラフィ・マルウェア（英語版）スパイウェアダウンローダートロイの木馬ドロッパーバックドアファイルレスマルウェアボットネットポリモーフィック型マルウェアマルバタイジングランサムウェアルートキットワイパー (データ消去型) ワーム
サイバーセキュリティ・対策技術	ファイアウォール(FW) 次世代ファイアウォール(NGFW) Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) ハニーポットペネトレーションテスト Static Application Security Testing(SAST) Dynamic Application Security Testing(DAST) Interactive Application Security Testing(IAST) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） Network detection and response（英語版）(NDR) User and Entity Behavior Analytics（UEBA）セキュアアクセスサービスエッジ（SASE） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) FIDO (認証技術) Forward secrecy 多要素認証 (MFA) Privileged access management (PAM) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Brand Indicators for Message Identification (BIMI) DKIM DMARC Outbound Port 25 Blocking（OP25B） Pretty Good Privacy（PGP） Sender Policy Framework (SPF) STARTTLS S/MIME Wi-Fi Protected Access アドレス空間配置のランダム化 (ASLR) イミュータブルバックアップコンテンツスニッフィングサイバーレジリエンスセキュリティ・バイ・デザイン (SBD) セキュリティ侵害インジケーター (IoC) ソフトウェア・サプライチェーン多層防御ゼロトラスト・セキュリティモデルセキュリティオペレーションセンター CSIRT PSIRT
関連用語	MITRE ATT&CK APT攻撃アクティブディフェンスエクスプロイトキットゼロデイ攻撃サイバーキルチェーンクラッキング最小権限の原則サイバー脅威インテリジェンスサプライチェーン攻撃シェルコードスクリプトキディソーシャル・エンジニアリングゾンビコンピュータセキュリティホールダークウェブデジタル・フォレンジックハクティビズムハッカーブラウザクラッシャーペイロード水飲み場型攻撃 Metasploit PPAP
セキュリティ関係団体・法律	サイバーセキュリティ基本法サイバー警察局独立行政法人情報処理推進機構（IPA）国家サイバー統括室（NCO）情報通信研究機構（NICT）アメリカ国立標準技術研究所（NIST）欧州ネットワーク・情報セキュリティ機関（ENISA）日本情報経済社会推進協会（JIPDEC) CRYPTREC 共通攻撃パターン一覧 (CAPEC) 共通脆弱性識別子（CVE）共通脆弱性評価システム（CVSS）共通脆弱性タイプ一覧（CWE） OWASP JPCERTコーディネーションセンター (JPCERT/CC) Japan Vulnerability Notes (JVN) 脆弱性情報データベース脆弱性報奨金制度

クレデンシャル・スタッフィングとは？わかりやすく解説