In a credential stuffing attack, cybercriminals take advantage of weak and reused passwords. Automated bots will take a list of username/password pairs that have been exposed in data breaches and try them on other online accounts. If the user has the same credentials on multiple sites, this provides the attacker with unauthorized access to a legitimate user account.
クレデンシャルスタッフィング攻撃では、公開されたユーザー名とパスワードのペアの大規模なリストを使用します。 一部のデータ侵害では、資格情報の保存が不適切なため、パスワードデータベース全体が漏洩します。 また、サイバー犯罪者がパスワード推測攻撃によって一部のユーザーのパスワードを解読するケースもあります。 クレデンシャルスタッファーは、 フィッシング や同様の攻撃によってユーザー名やパスワードにアクセスすることもできます。
These lists of usernames and passwords are fed to a botnet, which uses them to try to log onto certain target sites. For example, the credentials breached by a travel website may be checked against a large banking institution. If any users reused the same credentials across both sites, then the attackers may be able to successfully log into their accounts.
After identifying valid username/password pairs, the cybercriminals may use them for a variety of different purposes, depending on the account in question. Some credentials may provide access to corporate environments and systems, while others may allow attackers to make purchases using the account owner’s bank account. A credential stuffing group may take advantage of this access themselves or sell it on to another party.
ブルートフォースパスワード攻撃は、いくつかの異なる特定の攻撃手法をカバーする一般的な用語です。 一般に、ブルートフォース攻撃とは、攻撃者が何かが機能するまで、パスワードのさまざまな組み合わせを試していることを意味します。
ブルートフォース攻撃という用語は、攻撃者がパスワードに対してあらゆる可能なオプションを試している攻撃を指すために最も一般的に使用されます。 たとえば、8文字のパスワードに対するブルートフォース攻撃では、aaaaaaaa、aaaaaaab、aaaaaaacなどが試行される可能性があります。 このアプローチは、最終的に正しいパスワードを見つけることが保証されていますが、強力なパスワードでは実行できないほど遅くなります。
クレデンシャルスタッフィングは、ユーザーのパスワードを推測するために異なるアプローチを取ります。 考えられるすべてのパスワードの組み合わせを調べるのではなく、侵害で公開されたために個人が使用したことがわかっているパスワードに焦点を当てます。 パスワード推測に対するこのアプローチは、ブルートフォース検索よりもはるかに高速ですが、パスワードが複数のサイトで再利用されることを前提としています。 ただし、 ほとんどの人は複数のサイトで同じパスワードを使い回 すため、これは安全な仮定です。
クレデンシャルスタッフィングは、個人と企業のセキュリティの両方に深刻なリスクをもたらします。 クレデンシャルスタッフィング攻撃が成功すると、攻撃者はユーザーのアカウントにアクセスでき、機密情報や、ユーザーに代わって金融取引やその他の特権的なアクションを実行する能力が含まれている可能性があります。 しかし、パスワードの再利用の脅威が広く知られているにもかかわらず、ほとんどの人はパスワードの動作を変更していません。
また、クレデンシャルスタッフィングは、パスワードが個人アカウントとビジネスアカウントで再利用された場合、企業を危険にさらす可能性があります。 企業は、クレデンシャルスタッフィング攻撃のリスクを軽減するために、次のようないくつかの異なる手順を踏むことができます。
Check Point’s Harmony Browse protect against credential stuffing in a couple of different ways, including:
Harmony Browseの動作を確認するには、 このビデオをご覧ください。