クレデンシャルスタッフィング攻撃(Credential Stuffing)は、盗まれたアカウント資格情報でWebアプリケーションなどのサービスに大規模な自動ログイン要求をおこなうことで、ユーザアカウントへの不正アクセスを試みる攻撃の一種である。アカウント資格情報は通常、ユーザ名や電子メールアドレスと対応するパスワードリストで構成される。クレデンシャル(認証情報)を使いスタッフィング(総当たり的に検証する)することからクレデンシャルスタッフィング攻撃と呼ばれる。
クレデンシャルスタッフィング攻撃において、攻撃者は各種サービスのアカウントに対して不正アクセスをおこなう際、総当たり攻撃やパスワードの推測は行わず、漏えいした大量(数千から数百万)の資格情報を用いて自動化ツールやこの種の攻撃のために特別に設計されたツールを使用する。
本攻撃手法は、よく知られる一方でその被害は減る傾向にはない。その理由として、多くのユーザが、ユーザ名とパスワードの同じ組み合わせを複数のサイトで再利用している点にある。クレデンシャルスタッフィングの対策としては、ユーザ自身が利用するサービス毎に固有のパスワードを使用すること、サービス側に二要素認証機能が提供されている場合には有効にすることで被害リスクを低減することができる。
一方、サービスを提供する側にとっては、クレデンシャルスタッフィング攻撃は理不尽な攻撃である。アカウント資格情報の管理に落ち度がなくともユーザ自身が設定した使いまわされた資格情報により不正アクセス被害に遭うことを想定した対策が求められるからである。攻撃の早期検知、阻止や二要素認証などによるユーザ保護に努める傾向は拡大しており、ユーザがアカウント資格情報以外の追加認証を設定しない限りサービスの継続利用ができなくなるような強固な対策強化をおこなうサービスも増加している。サービス提供側は万が一に備え、不正ログインが発生した場合の利用者への連絡、対応方法について事前に決めておくこと、訓練なども組織として求められる。
