クレデンシャルスタッフィング(Credential Stuffing)攻撃とは、別名パスワードリスト型攻撃と呼ばれ、ユーザーアカウント情報の流出を悪用し、自動でさまざまなサービスに不正アクセスしようというサイバー攻撃です。
サイバー犯罪者は、Webサイトのログイン画面でボットによるスタッフィング(総当たり的に検証する)=不正ログインを繰り返し試み、アクセス権を取得します。クレデンシャルスタッフィング攻撃の成功率は一般的に1~2%と言われています。
具体的な被害例としては、機密情報の悪用、ギフトカードの不正入手、クレジットカードの残高情報への不正アクセス、Webでの詐欺行為などに加え、旅行の予約や一般消費者向けの限定商品などの買い占めなどが挙げられます。
2018年7月10日には、1億1100万件分のメールアドレスとパスワードがセットになったクレデンシャルスタッフィング攻撃用のリストが発見されたと報告がありました。1億1100万件ということは、上記の成功率から換算すると、今現在あるいは今後1100万~2200万件のアカウントが被害を受ける可能性があることになります。
クレデンシャルスタッフィング攻撃を防ぐのに有効なのは多要素認証です。
飛天ジャパンは認証技術においては日本有数の導入実績があり、また多要素認証を採用した製品やサービスを多数提供しております。
■「らく認」
多要素認証を採用したクラウドサービス「らく認」は、ユーザーが任意の認証方式を選べる画期的なセキュリティ対策ソリューションです。
■FIDOに準拠した認証セキリティデバイス
Google、Microsoft、RSAといった大企業や主要カードネットワーク各社が名を連ねるFIDO(Fast IDentity Online Alliance)アライアンス、この団体が開発を進めている生体認証技術などを用いた、パスワードに代わる新しい認証技術が「FIDO(ファイド)」です。
■ワンタイムパスワード認証システム(FOAS)
ワンタイムパスワード(OTP)トークンと呼ばれる一定期間有効なパスワードを専用デバイスが自動生成し、ユーザーが入力することで認証を行うシステムです。「ワンタイム」の文字通り、1度のみ有効な使い切りパスワードのため、盗聴や漏洩などをはじめとするさまざまな脅威に対して高度なセキュリティを発揮します。
サイバー犯罪者は、Webサイトのログイン画面でボットによるスタッフィング(総当たり的に検証する)=不正ログインを繰り返し試み、アクセス権を取得します。クレデンシャルスタッフィング攻撃の成功率は一般的に1~2%と言われています。
具体的な被害例としては、機密情報の悪用、ギフトカードの不正入手、クレジットカードの残高情報への不正アクセス、Webでの詐欺行為などに加え、旅行の予約や一般消費者向けの限定商品などの買い占めなどが挙げられます。
2018年7月10日には、1億1100万件分のメールアドレスとパスワードがセットになったクレデンシャルスタッフィング攻撃用のリストが発見されたと報告がありました。1億1100万件ということは、上記の成功率から換算すると、今現在あるいは今後1100万~2200万件のアカウントが被害を受ける可能性があることになります。
クレデンシャルスタッフィング攻撃を防ぐのに有効なのは多要素認証です。
飛天ジャパンは認証技術においては日本有数の導入実績があり、また多要素認証を採用した製品やサービスを多数提供しております。
■「らく認」
多要素認証を採用したクラウドサービス「らく認」は、ユーザーが任意の認証方式を選べる画期的なセキュリティ対策ソリューションです。
■FIDOに準拠した認証セキリティデバイス
Google、Microsoft、RSAといった大企業や主要カードネットワーク各社が名を連ねるFIDO(Fast IDentity Online Alliance)アライアンス、この団体が開発を進めている生体認証技術などを用いた、パスワードに代わる新しい認証技術が「FIDO(ファイド)」です。
■ワンタイムパスワード認証システム(FOAS)
ワンタイムパスワード(OTP)トークンと呼ばれる一定期間有効なパスワードを専用デバイスが自動生成し、ユーザーが入力することで認証を行うシステムです。「ワンタイム」の文字通り、1度のみ有効な使い切りパスワードのため、盗聴や漏洩などをはじめとするさまざまな脅威に対して高度なセキュリティを発揮します。
関連記事
●Microsoft Office 365の多要素認証(MFA)について
●Authenticatorアプリの代替機を使った多要素認証(MFA)
●Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて
●Amazon Web Services(AWS)MFAを必須化