この記事はこんな人へ
・セキュリティについて学びたい方
・ITパスポートや基本情報試験、情報セキュリティマネジメント試験に挑む方
クレデンシャルスタッフィングとは
クレデンシャルスタッフィングとは「他のサービスから漏洩したIDとパスワードの組み合わせ(=クレデンシャル)を使って、別のサービスへ自動的にログインを試みる攻撃手法」です。
クレデンシャルスタッフィングへの対応方法について
攻撃者がクレデンシャルスタッフィングを行うためにはパスワードの流出が必要となります。
そのため、パスワードの流出が起きなければパクレデンシャルスタッフィングは行われません。
ここからはクレデンシャルスタッフィングへ対策するためにできることを3つお伝えいたします。
対策1:パスワードの使い回しをしない
一番大切なことはパスワードを使いまわさないことです。
パスワードの使い回しは非エンジニア以外だけでなく、エンジニアも行っていることが多いです。
複数のサービスで同一のパスワードを使用していると、登録しているサービスのセキュリティが脆弱なことによりパスワードが漏れた際に、同じパスワードを使用しているサービスもログインされてしまいます。
絶対にパスワードの使い回しをしてはいけません。
対策2:人から覗かれる環境でパスワードを入力しない
カフェや電車など、他の人から覗かれるような環境でパスワードを入力することはNGです。
なぜなら、障壁がなくどのような文字を打っているか見られてしまうからです。
どれほど強いパスワードを設定していたとしても、見られてしまったら元も子もありません。
また、ネットカフェのような誰もが利用できるパソコンでのパスワード入力やフリーWi-Fiに接続してのパスワード入力も人から「覗かれる環境」に入ります。
ネットカフェのような誰でも触れるパソコンは「キーロガー」と言ったユーザーがキーボードで入力したすべての文字を記録するマルウェアが仕込まれている可能性があります。
また、フリーWi-Fiはセキュリティ設定が弱いことがあり、通信の内容を盗聴されることでパスワードを盗まれる可能性があります。
キーロガーが仕込まれていたり、セキュリティの弱いフリーWi-Fiでパスワードを入力した場合、パスワードを盗まれてしまうためクレデンシャルスタッフィングを受ける可能性が高くなります。
対策3:二段階認証を設定する
これはクレデンシャルスタッフィングで破られた場合にも、不正ログインされることを防ぐ手段となります。
パスワードは漏洩したログイン情報を使用し、ログインを仕掛けてくるタイプの攻撃であるため、SMS認証や認証アプリを使用した認証が行われているアカウントにはログインすることはできません。(認証用のアプリが乗っ取られていた場合はその限りではない。)
そのため、二段階認証を設定することで万が一ログイン情報が漏れてしまった場合もログインされる可能性が下がります。
二段階認証機能があるサービスは必ず二段階認証を設定しましょう。
セキュリティについて学びたい方
その他、セキュリティについて学びたい方は以下のURLから確認してください!
セキュリティ関連の記事一覧です。
SNS
X(Twitter)のフォローをお願いします。
質問募集中
下記、質問フォームにて募集しています。
最後に
世界で一番コスパが良いお茶ってなんだろう、、、、
