この記事のポイント
- クレデンシャルスタッフィングは、流出済み認証情報の組み合わせを別サービスへ再利用する攻撃で、推測型の総当たりとは前提が異なります。
- 被害の本質は、パスワード再利用だけでなく、公開ログイン面の多さ、MFA 例外、ボット試行の見逃し、侵入後対応の遅れが重なることです。
- ASM診断 PRO は認証製品の代替ではありませんが、外から見えるログイン画面、古い管理面、staging、サポート導線の棚卸しに役立ちます。
まず無料で確認する
無料でASM診断を開始
クレデンシャルスタッフィングで触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
クレデンシャルスタッフィングとは何か
クレデンシャルスタッフィングは、別の漏えいで出回った認証情報の組み合わせが、複数の公開ログイン面へ再投入される攻撃として捉えると理解しやすくなります。
流出済みの ID とパスワードを、別のログイン画面で再利用する攻撃です
クレデンシャルスタッフィングは、すでに外部へ流出した認証情報の組み合わせを、別のサービスのログイン画面へ大量に試す攻撃です。OWASP のCredential Stuffing Prevention Cheat Sheetも、過去の漏えいで入手された認証情報を別サイトへ自動試行する攻撃として整理しています。つまり、攻撃者が一からパスワードを推測しているとは限りません。
企業側が誤解しやすいのは、「自社が漏えい元でなければ関係ない」と考えてしまうことです。実際には、他社で漏れた認証情報が、自社の公開ログイン画面に対して再利用されるだけで被害が成立します。利用者や委託先担当者が同じパスワードを使い回していると、攻撃者はその再利用を狙います。
パスワードスプレー攻撃や一般的な総当たりとは前提が違います
ここは「何を持って攻撃しているか」で分けると分かりやすくなります。クレデンシャルスタッフィングは、流出済みの ID / パスワード組を前提にします。一方で、今後公開予定のパスワードスプレー攻撃の記事で扱うのは、大量アカウントへ同じ弱いパスワードを低速で試す攻撃です。見た目はどちらもログイン試行ですが、攻撃前提が違うため、検知の考え方も変わります。
また、フィッシング対策や中間者フィッシングは、認証情報やセッションを盗む入口が主役です。クレデンシャルスタッフィングは、すでに漏えい・窃取された認証情報がどう再利用されるかが主役なので、入口記事とは役割が違います。
最近の研究も、攻撃の根本が『パスワード再利用の横断性』にあると示しています
2025 年の研究PassREfinder-FLは、クレデンシャルスタッフィングの根本が、利用者が複数サイト間でパスワードを再利用しやすいことにあると整理しています。研究では、3 億 6,000 万件の漏えいアカウントと 22,378 のサイトを使って、サイト間の再利用リスクを予測できると示しました。
ここから読めるのは、クレデンシャルスタッフィングが「単に bot が多い」「ログインが荒れている」という表面的な問題ではなく、複数サイトにまたがるパスワード再利用の構造問題だということです。したがって、単発の不審 IP を止めるだけでは再発防止になりません。
なぜ成立するのか、どこが盲点になるのか
| 盲点 | なぜ成立しやすいか | 企業側の弱点 |
|---|---|---|
| 利用者や委託先がパスワードを使い回している | 他社漏えいの認証情報でも、そのまま自社ログインに通る可能性があるためです。 | 漏えい済みパスワード検知や強制リセットが弱い |
| 公開ログイン画面や古い会員導線が多い | 攻撃対象の入口が多いほど、自動試行を仕掛けやすくなるためです。 | 外から見える認証面の棚卸しが不十分 |
| ログイン失敗の急増を『よくあるノイズ』で流してしまう | 単体の失敗だけでは目立たず、アカウント横断で見ると初めて攻撃らしさが出るためです。 | bot 試行やアカウント横断の相関分析が弱い |
| MFA 例外や弱い認証方式が残っている | 認証情報が通った後、追加防御が薄いとそのまま侵入が成立するためです。 | 重要アカウントの例外整理と強い認証移行が遅れている |
| 侵入後の動きを短時間で止められない | ログイン成功後にセッション失効や権限確認が遅いと、被害が別システムへ広がるためです。 | 初動手順と監視の連動が弱い |
他社漏えいが、自社のアカウント乗っ取りに変わるのがこの攻撃です
クレデンシャルスタッフィングが厄介なのは、自社が漏えい元でなくても被害を受けることです。CISA のUse Strong Passwordsは、強い一意のパスワードを各サービスで使うべき理由として、ひとつの侵害が別サービスへ連鎖する危険を挙げています。つまり、防御対象は「自社の漏えい」だけではありません。
ここで見落とされやすいのが、顧客アカウントだけでなく、委託先アカウント、サポート担当、運用担当、古い会員ポータルまで同じ構造で狙われることです。公開ログイン面が多い企業ほど、攻撃者にとって「試せる場所」が増えます。
23andMe 事案は、流出済み認証情報が実被害へつながる典型例です
23andMe は2023 年 12 月 5 日の 8-K/Aで、影響を受けた個別アカウントへの侵入が流出済み認証情報の使い回し攻撃だったと説明しました。この事案が重要なのは、「クレデンシャルスタッフィングで入られたのは一部アカウントでも、その先の共有機能まで波及し得る」と示したことです。
詳細は23andMe の情報漏えい記事で整理していますが、ここで押さえるべきなのは、認証情報再利用の問題はログイン画面だけで完結せず、そのアカウントが見られる範囲まで広がるという点です。企業の管理画面や委託先ポータルなら、より深い被害につながります。
ログイン失敗の山を『日常ノイズ』で流すと、検知が遅れます
現場で起きやすいのは、ログイン失敗が大量にあっても「ユーザーの入力ミスや bot の雑音」と見なしてしまうことです。クレデンシャルスタッフィングは、単一アカウントではなく、複数アカウントに薄く広く試すため、個別アラートだけでは埋もれがちです。
そのため、EDR 未導入と監視不足の記事でも触れたように、重要なのは「異常があるか」だけでなく、複数の失敗・成功・端末特性を束ねて見る体制です。失敗回数だけで判断すると、本当に止めるべき試行を見逃します。
企業で何が起きるのか、どこまで被害が広がるのか
顧客アカウントの不正ログインが増えている
ログイン面が公開され、再利用パスワードが bot によって継続試行されている可能性があるためです。
被害は『ログイン成功』で終わらず、乗っ取り後の操作へ広がります
クレデンシャルスタッフィングの被害を過小評価しやすいのは、ログイン成功そのものが地味に見えるからです。しかし実際には、認証後に閲覧される個人情報、サポート設定、決済情報、共有ファイル、管理機能、委託先向け導線まで被害が広がります。
たとえばビジネスメール詐欺のような金銭移転型の事故は、入口がフィッシングだけとは限りません。使い回し認証情報でメールやポータルへ入られれば、そこから送金先変更や請求書差し替えへつながることがあります。
管理者や委託先アカウントで起きると、一般利用者アカウントより重くなります
企業側で本当に怖いのは、顧客向けアカウントの件数より、委託先・運用担当・高権限者のアカウントで同じ構造が起きることです。委託先の共有 ID、例外 MFA、古いサポートポータルがあると、攻撃者は通常の利用者向け画面よりも深い操作権限を得やすくなります。
そのため、クレデンシャルスタッフィング対策は「顧客向け login API の防御」だけに閉じません。どのアカウントが何を見られるか、誰が残ったアカウントを管理しているかまで含めて設計しないと、被害の上流だけ止めて下流を残す形になります。
LastPass のような認証情報管理事案は、再利用の危険を長く引きずります
直接のクレデンシャルスタッフィング事故ではなくても、LastPass の情報漏えいのように、認証情報管理や秘密情報の扱いに関わる事案は、その後の再利用リスクを長く残します。攻撃者は、過去の漏えい、情報窃取、パスワード再利用を組み合わせて試行を続けます。
だからこそ、クレデンシャルスタッフィングを「一回のログイン攻撃」で終わらせず、認証情報の流出源、公開ログイン面、侵入後の拡大、監視の遅れをつないだテーマとして扱う方が実務に効きます。
企業が優先してやるべき対策
クレデンシャルスタッフィング対策は、ログイン画面に CAPTCHA を足すだけでは終わりません。公開面の棚卸し、認証情報再利用の抑止、bot 試行の検知、侵入後の短時間封じ込めまでを同じ流れで設計する必要があります。
公開ログイン面と、高リスクアカウントを棚卸しする
顧客向けログイン、管理画面、古い会員ポータル、委託先用アカウント、サポート画面、SSO 連携画面を一覧化し、どこで認証情報使い回し攻撃を受け得るかを先に見える化します。
対象面の明確化流出済みパスワードの再利用を止め、強い認証へ寄せる
既知の漏えいパスワード検知、強制リセット、使い回し禁止、パスワードマネージャー利用、重要アカウントの多要素認証を進め、例外アカウントを残さないようにします。
認証の底上げボットの反復試行を見える化し、同じ条件で通し続けない
レート制限、bot 判定、IP / ASN / 端末特性の監視、ログイン失敗急増の検知を整え、単発の誤入力と攻撃の連続試行を分けて扱えるようにします。
試行抑制と検知侵入後の動きを短く切り、影響範囲を広げない
セッション失効、追加認証、権限見直し、委託先アカウント確認、異常ログイン後の即時対応を決め、ログイン成功後にそのまま被害が広がらない状態を作ります。
被害拡大の抑制月次レビューで、公開導線と認証例外を減らす
古いログイン URL、使われていない staging、放置されたサポート窓口、委託先の残存アカウント、MFA 例外を月次で見直し、次の攻撃材料を減らします。
再発防止の定着最初にやるべきは、漏えい済みパスワードの再利用を許さないことです
OWASP は、漏えい済みパスワードの検知、使い回し抑止、強制リセット、補助的な追加確認などを組み合わせるよう勧めています。CISA も、各サービスで一意の強いパスワードを使うことと、パスワードマネージャーの利用を基本に据えています。これは利用者教育に見えますが、企業側でもパスワードポリシーや認証設計で強制できます。
特に、委託先や共有運用で同じ認証情報を回していると、ひとつの漏えいが横に広がります。まずは誰がどのアカウントを持ち、どのアカウントが例外運用になっているかを棚卸しすることが出発点です。
MFA は必要ですが、例外だらけだと止まりません
CISA のUSDA Stops Credential Phishing with FIDO Authenticationは、強い認証方式が認証情報悪用を止めるうえで有効だと示しています。クレデンシャルスタッフィングでも同じで、パスワードが通っても次の防御層があるかどうかが大きな差になります。
ただし、重要なのは「MFA を入れたか」ではなく、誰に例外が残り、どの方式が本当に強いかです。MFA未適用アカウントの記事で整理したように、委託先、共有 ID、移行中の例外が残ると、防御層の穴になります。
bot 試行を『単発失敗』ではなく、横断パターンで見る必要があります
OWASP は、単純なアカウントロックだけでは利用者体験や DoS 的な悪用を招くと指摘しつつ、レート制限、デバイスやネットワーク特性、リスクベースの追加確認、bot 対策の組み合わせを推奨しています。つまり、止め方はひとつではなく、試行パターン全体を見て防御を重ねる必要があります。
実務では、IP や ASN だけでなく、失敗回数、成功率、端末特性、同時間帯の複数アカウント試行、地域変化を束ねて見た方が有効です。個別アカウントの連続失敗だけを見ると、薄く広い攻撃を取りこぼします。
侵入後の初動を短くしないと、乗っ取りから別事故へつながります
クレデンシャルスタッフィングの防御は、ログイン面だけで終わりません。疑わしい成功が出たら、セッション失効、追加認証、権限確認、関連アカウント調査、委託先通知までを短く回す必要があります。
ここが弱いと、ログイン成功の後に横移動や送金詐欺の入口になります。したがって、クレデンシャルスタッフィング対策は、認証の手前と後ろを同時に締める運用として設計するのが自然です。
クレデンシャルスタッフィング対策なら ASM診断 PRO
ASM診断 PRO は、外から見えるログイン画面、管理画面、staging、問い合わせ導線などの公開面を外側から棚卸しする起点として使えます。
ASM診断 PRO は、漏えい済みパスワードの検知製品や認証基盤の代替ではありません。ただし、クレデンシャルスタッフィング対策で見落とされやすい「外から試される公開ログイン面がどれだけあるか」を整理する入口として使いやすい構成です。
特に、古い会員ポータル、残存した staging、委託先向け管理面、放置された接続先、サポート導線を外側から棚卸しできると、どこに bot 試行が当たり得るか、どこを優先して閉じるべきかを決めやすくなります。認証製品だけで守るのではなく、試される面そのものを減らす、という実務判断につなげやすくなります。
次のアクション
公開ログイン面や古い管理画面を棚卸しするなら ASM診断 PRO
外部公開資産の現状を無料で確認し、ログイン画面、管理面、staging、サポート導線など、認証情報使い回し攻撃の試行先になりやすい公開面を洗い出してください。
よくある質問
クレデンシャルスタッフィングとパスワードスプレー攻撃の違いは何ですか?
クレデンシャルスタッフィングは、流出済みの ID / パスワード組をそのまま別サービスへ試す攻撃です。パスワードスプレー攻撃は、少数のよくあるパスワードを多数アカウントへ低速に試す攻撃で、攻撃前提が異なります。
自社で情報漏えいが起きていなくても、対策は必要ですか?
必要です。他社や別サービスで漏えいした認証情報が、自社の公開ログイン面へ再利用されるだけで被害が成立するからです。漏えい元と攻撃対象は同じとは限りません。
MFA を入れていれば十分ですか?
十分ではありません。MFA は重要ですが、例外アカウント、弱い承認方式、委託先アカウント、侵入後の初動遅れが残ると被害は止まりません。公開ログイン面の整理や bot 試行監視も必要です。
利用者教育より先に、企業側でやるべきことは何ですか?
まずは公開ログイン面と高権限アカウントの棚卸し、漏えい済みパスワードの再利用抑止、MFA 例外解消、ログイン失敗急増の横断監視を整えることです。教育だけでは再発を止め切れません。
ASM診断 PRO はこの攻撃対策にどう役立ちますか?
ASM診断 PRO は認証そのものを防ぐ製品ではありませんが、外から見えるログイン画面、古い管理面、staging、サポート導線を棚卸しし、試される公開面を減らす判断を支援できます。
まとめ
クレデンシャルスタッフィング対策は、漏えい済みパスワード検知、強い認証、bot 試行抑止、横断監視、侵入後初動を重ねて運用すると、認証情報再利用攻撃が成立する条件そのものを減らしやすくなります。
クレデンシャルスタッフィングは、過去の漏えいで出回った認証情報の組み合わせが、別の公開ログイン面へ再利用される攻撃です。自社が漏えい元でなくても成立し、利用者アカウントだけでなく、委託先、管理画面、古いポータルまで同じ構造で狙われます。
実務では、漏えい済みパスワードの再利用抑止、強い認証、bot 試行の横断監視、侵入後の短時間封じ込めを同時に整える必要があります。さらに、外から見えるログイン面や残存導線を減らさない限り、攻撃者に試される条件そのものは残ります。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
クレデンシャルスタッフィングの定義と主要対策の整理に使用。
パスワード再利用防止とパスワードマネージャー利用の推奨確認に使用。
強い認証方式の有効性を説明する根拠として使用。
クレデンシャルスタッフィングが実被害へつながった公式事例として参照。
最新研究として、サイト間のパスワード再利用リスクと大規模漏えいデータセットの扱いを確認するために参照。