クレデンシャルスタッフィング（くれでんしゃるすたっふぃんぐ）

最終更新：2026/4/25

クレデンシャルスタッフィングは、盗まれたIDとパスワードの組み合わせを用いて、不正に複数のオンラインアカウントにアクセスするサイバー攻撃手法である。

別名・同義語アカウント乗っ取りパスワード攻撃

ポイント

この攻撃は、ユーザー自身が異なるサービスで同じIDとパスワードを使い回している場合に特に有効であり、被害の拡大を招きやすい。

クレデンシャルスタッフィングとは

クレデンシャルスタッフィングは、ダークウェブなどで流通する盗まれたユーザー名とパスワードのリストを利用して、様々なウェブサービスに不正ログインを試みる攻撃手法です。攻撃者は、複数のサービスで同じIDとパスワードを使い回しているユーザーを標的とし、一度アカウントを突破すれば、他のサービスにもアクセスできる可能性が高まります。

攻撃の仕組み

情報収集: ダークウェブやハッキングフォーラムなどから、漏洩したIDとパスワードのリストを入手します。
リストの検証: 入手したリストを、複数のウェブサービスに対して自動的に試行錯誤的にログインを試みます。
アカウントの乗っ取り: IDとパスワードが一致した場合、不正にアカウントを乗っ取ります。

被害

クレデンシャルスタッフィングによる被害は多岐にわたります。

金銭的被害: オンラインショッピングでの不正利用、銀行口座への不正アクセスなど。
個人情報の漏洩: 個人情報が盗まれ、悪用される可能性があります。
風評被害: アカウントが乗っ取られ、不適切な情報が発信されることで、個人や企業の信用が損なわれる可能性があります。

対策

パスワードの使い回しを避ける: 各サービスで異なるパスワードを設定することが重要です。
二段階認証を設定する: 二段階認証を設定することで、パスワードが漏洩した場合でも不正アクセスを防ぐことができます。
パスワードマネージャーを利用する: 強固なパスワードを安全に管理することができます。
定期的なパスワード変更: 定期的にパスワードを変更することで、セキュリティリスクを軽減することができます。
漏洩チェックサービスの利用: 自身のメールアドレスが漏洩していないか確認することができます。