2025年の認証情報スタッフィング – コンボリスト、インフォスティーラー、アカウント乗っ取りがいかに産業化したか

盗まれた認証情報は、企業ネットワークへの最も確実な侵入ポイントとなっています。2025年DBIRに付属するベライゾンの拡張認証情報スタッフィング分析の対象期間では、侵害された認証情報がすべての確認済みデータ漏洩の22%を占めており、3年連続で最も一般的な初期アクセスベクトルとなっています。認証情報スタッフィングとは、盗まれたユーザー名とパスワードのペアを自動的に大規模で再利用する行為であり、最小限のスキルで実行でき、実行コストはほぼゼロで、同時に数千のターゲットに対してキャンペーンを実行することが経済的に合理的となるレートで成功します。多要素認証（MFA）は依然として最も有効な対抗策ですが、よく理解しているはずのセクター全体で導入ギャップが存在しています。

認証情報のサプライチェーン

認証情報スタッフィングは、インフォスティーラーマルウェアからダークウェブマーケットを通じて攻撃ツールに至るサプライチェーンに依存しています。Lumma、RedLine、StealC、Acreedを含むマルウェアファミリーは、ブラウザーのパスワード保管庫、保存されたクッキー、侵害されたマシンからの自動入力データをスクレイピングします。収集されたデータは、DumpBrowserSecretsが後悪用時に抽出するものと同じです。保存されたパスワード、セッションクッキー、OAuthリフレッシュトークン、Chrome、Edge、Firefox、および他のすべての主要ブラウザーから直接取得された自動入力エントリです。攻撃者はその原材料をコンボリストとして知られている構造化ファイルにパッケージ化し、メール:パスワードペアとしてフォーマットし、重複を削除してから、サービスタイプまたは地理的にカテゴリー分けして販売します。

コンボリストはダークウェブフォーラム、テレグラムチャネル、専門のクラッキングコミュニティ全体で自由に取引されています。2025年を通じて文書化された初期アクセスブローカーのエコシステムは、検証された認証情報をコモディティとして正常化しています。最近のインフォスティーラーログから構築された新鮮なリストは、有効性が高いため、経年のデータベースダンプよりも大幅に高い価格で取引されています。ベライゾンの分析では、ユーザーの異なるサービス間でのパスワードのわずか49%が異なることがわかりました。この数字が認証情報スタッフィングを経済的に実行可能にするものです。1つのサービスを侵害すると、同じパスワードが他の場所で機能する確率はおよそ50%です。数百万のアカウント全体では、その確率はほぼ確実になります。

攻撃を駆動するツールは公開されています。OpenBulletとその後継者であるSilverBulletは、侵入テストユーティリティとしてもともとリリースされた認証情報スタッフィングフレームワークですが、現在はアカウント乗っ取り（ATO）操作の標準ツールです。これらは完全な攻撃ループを自動化します。コンボリストの読み込み、レート制限とIPブロックを回避するための住宅用プロキシのローテーション、正当なブラウザ動作を模倣するログインリクエストの送信、および成功ヒットのログです。攻撃者はまた、特定のターゲットサービスの認証フローを定義するコンフィグとして知られているカスタム構成ファイルを買い売りします。非公式のマーケットプレイスでは、特定の銀行ポータル、SaaSプラットフォーム、企業シングルサインオン（SSO）プロバイダーのコンフィグをコンボリストとプロキシサブスクリプションと共に提供しています。

2025年の3つのケーススタディ

2025年3月下旬、オーストラリアの5つの大手年金基金に対する調整された認証情報スタッフィング攻撃が同時に発生しました。AustralianSuper、Rest Super、Hostplus、Australian Retirement Trust、Insignia Financial。BleepingComputerが調整された攻撃について報告したように、攻撃者は5つの基金全体で20,000以上のアカウントを侵害し、4人のAustralianSuperメンバーが合計AUD 500,000を失いました。攻撃者は以前の関連のない漏洩からコンボリストを使用しました。AustralianSuperはMFAを提供しましたが、ログイン時には強制しませんでした。これは規制当局が主要な促進要因として特定したギャップです。年金基金は、アカウント残高が高く、出金に時間がかかり、多くのメンバーがアカウントをめったにチェックしないため、魅力的なターゲットとなっています。

2025年4月、VF Corporation（ノースフェイスのオンラインストアに対する認証情報スタッフィング攻撃の顧客に通知しました。BleepingComputerの4月インシデントのカバレッジは、攻撃者が以前の関連のない漏洩からの認証情報を使用してアカウントにアクセスし、名前、メールアドレス、配送先住所、電話番号、購入履歴、および生年月日を流出させたことを確認しました。サードパーティプロバイダーが支払い処理を処理するため、支払いカードデータは公開されませんでした。4月の攻撃は、ノースフェイスとティンバーランド全体で15,700のアカウントを公開した3月インシデントに続きました。これは2020年以降、VF Corporation のブランドに対する4番目の認証情報スタッフィングインシデントでした。このパターンは構造的な問題を反映しています。数千万の顧客アカウント、高いパスワード再利用率、および低速で遅い検証キャンペーンを検出するように設計されていない認証システムです。

2024年2月のChange Healthcareの漏洩は、認証情報ベースの初期アクセスの最も影響力のある最近の例です。ALPHV/BlackCat ランサムウェアグループは、UnitedHealthのCEOからの議会証言で確認されたように、MFAなしでリモートアクセスポータルの侵害されたCitrix認証情報を通じてUnitedHealthのChange Healthcareサブシディアリーに入りました。攻撃者は請求ネットワークを通じて横方向に移動し、米国全体の医療提供者の支払い処理をシャットダウンしたランサムウェアを展開しました。インシデントは2,200万ドルのランサム支払いと、最初の四半期だけで報告された推定8億7200万ドルの混乱コストをもたらしました。1つの有効な認証情報セットと1つの保護されていないエンドポイントが、米国の歴史における最大の医療セクターの混乱の1つを引き起こしました。

検出と回避技術

最新の認証情報スタッフィングキャンペーンは、ほとんどの組織が展開している検出メカニズムを特に対象としています。攻撃者は、単一のIPからの多数の失敗したログイン試行にフラグを付ける速度ベースのコントロールを、住宅用プロキシでローテーションすることで回避します。彼らは数千のIPアドレスに試行を分散させるため、各アドレスはわずかなリクエストのみを生成し、警告しきい値以下の状態を保ちます。サードパーティの CAPTCHA解決サービスは、チャレンジページを処理します。その一部は機械学習を通じた自動化で、その他は人間労働ファームを通じたものです。正当なブラウザー環境を模倣するツール（正しい JavaScript 実行、現実的なマウスムーブメントパターン、認証的なリクエストタイミングを含む）は、ブラウザーフィンガープリントを撃破します。

MITREのATT&CKフレームワークは、T1110.004（ブルートフォース：認証情報スタッフィング）の下での認証情報スタッフィングをカテゴリー化しています。防御者は、複数の特定のシグナルを監視する必要があります。単一のソースに集中するのではなく、広いIP範囲に分散された認証リクエストのスパイク、住宅用プロキシサービスに関連したIPアドレスからの成功したログイン、およびアカウントの以前の履歴がないデバイスまたはブラウザーからのアカウントアクセス。また、unusual geographic distributions in login activity（地理的に異常な分布のログイン活動）も調査の対象となります。Verizonの分析では、認証情報スタッフィングがSSO プロバイダー全体のすべての認証試行の平均19%を占めることがわかりました。これは、5回のログイン試行のうち約1回は正当ではないことを意味します。

過小評価されている検出ギャップの1つは、認証情報の公開と組織の認識の間のウィンドウです。2025年のエンタープライズチームで利用可能なダークウェブ監視ツールは、スティーラーログマーケットと企業メールドメインの貼り付けサイトを追跡することを運用的に達成可能にします。多くの組織は、依然としてその監視をコア検出層ではなくオプションとして扱っています。認証情報はコンボリストで数ヶ月間流通してから、影響を受けた組織が認識するようになり、攻撃者はそのウィンドウを体系的に悪用します。

規制対応

23andMeケースは、認証情報スタッフィングに直接関連する最も顕著な規制成果をもたらしました。2023年の攻撃では、コンボリストを使用して約690万の顧客レコードにアクセスしました。英国情報コミッショナーズオフィスは、特に遺伝子データを保持しているアカウントのための必須MFAの欠如を含めて、不十分なセキュリティを実装しなかったため、同社に£2,310,000の罰金を科しました。2025年3月、Wiredの23andMeの破産のカバレッジで報告されたように、同社は第11章を申請し、認証情報スタッフィングインシデントおよびその下流の法的結果が寄与要因として引用されました。英国とEUの規制当局は、現在、弱い認証コントロールが技術的な見落としではなく、重要なガバナンス障害であることの証拠としてこのケースを参照しています。

CISAの2024年のフィッシング耐性MFAに関するガイダンスは、認証情報スタッフィングを主要な脅威ドライバーとして明示的に特定しています。これは、WebAuthn標準を使用するハードウェアセキュリティキーとパスキーを、認証情報再利用ベクトルを完全に排除する唯一のコントロールとして推奨しています。SMS一回限りのパスワードとタイムベースの一回限りのパスワード（TOTP）コードは部分的な保護を提供しますが、中間者（AiTM）の傍受に対して脆弱なままです。これは、値が追加の努力を正当化するアカウントに対して、ますます適用されている技術です。

CISO プレイブック

VPNポータル、SSO プロバイダー、リモートデスクトップサービスを含むすべての外部向きの認証エンドポイント全体で強制されるフィッシング耐性MFAは、悪用の主要なパスを排除します。Have I Been Pwned APIなどのサービスを使用して、ログインとアカウント作成で既知の漏洩コーパスに対するパスワードスクリーニングは、すでにコンボリストで流通している認証情報を削除し、攻撃者がそれらを検証する前にそれらを削除します。すべての認証エンドポイント（チームが頻繁に見落とすAPIログインフロー含む）のレート制限と段階的なアカウントロックアウトは、既にIPベースのコントロールをバイパスしたキャンペーンが到達する試行の量を削減します。

動作シグナルを分析するボット検出（リクエストタイミング、デバイスフィンガープリント一貫性、セッションクッキー動作を含む）は、既にIPベースのコントロールをバイパスしたキャンペーンに対する第二防御ラインを提供します。レガシーアイデンティティインフラストラクチャを使用している組織の場合、完全なプラットフォーム交換は即座の優先事項ではありません。その背後にあるものに関係なく、外部向きの認証層でMFAを強制することは、最初に最も高いリスクの公開に対応しています。Change Healthcareインシデントは、大規模でコストが高い1つの保護されていないエンドポイントの明確な利用可能な証拠です。

認証情報スタッフィングを完全に排除する技術的なソリューションはありません。パスワードの再利用は続き、インフォスティーラーは大規模に運用され、コンボリストは成長し続けます。防御者の実際的な目標は、攻撃者が収益性を持つことができる自分の特定の環境への成功した攻撃のコストを上げること、および成功した試行を検出することです。2025年の漏洩の22%が有効な認証情報で始まったことを考えると、認証衛生を日常的なメンテナンスではなく戦略的優先事項として扱う組織は、既に漏洩統計に含まれています。

よくある質問

認証情報スタッフィングとは何か、またブルートフォース攻撃とどのように異なるか

認証情報スタッフィングは、以前の漏洩から盗まれた実際のユーザー名とパスワードペアを使用し、他のサービスに対してそれらを自動的に再利用します。ブルートフォースはゼロから始まるパスワード推測を生成します。スタッフィングは、未知のパスワードをクラックしようとするのではなく、パスワード再利用を悪用するため、より高速で、より静かで、はるかに効果的です。1000万の検証された認証情報のコンボリストは、同じターゲットに対するブルートフォース辞書攻撃をはるかに上回ります。

コンボリストとは何か、攻撃者はどこからそれらを取得するか

コンボリストは、データ漏洩、インフォスティーラーマルウェアログ、ダークウェブマーケットから編集されたメールとパスワードペアの構造化ファイルです。攻撃者は初期アクセスブローカーフォーラム、テレグラムチャネル、専任の認証情報マーケットプレイスから取得します。最近のインフォスティーラーキャンペーンから派生した新鮮なリストは、所有者がまだ認証情報をローテーションしていないため、最も価値があります。

攻撃者は認証情報スタッフィング中にレート制限とCAPTCHAをバイパスするか

攻撃者は住宅用プロキシネットワークを使用してログイン試行を数千のIPアドレスに分散させ、IPごとのリクエスト量を検出しきい値以下に保ちます。CAPTCHAチャレンジはサードパーティの解決サービスによって処理されます。自動化されたマシンラーニング手段または人間労働ファームのいずれかです。OpenBulletおよびSilverBulletなどのツールは、正当なブラウザ動作（JavaScriptの実行、マウスムーブメントパターンを含む）を模倣して、ブラウザーフィンガープリントコントロールを回避します。

多要素認証は認証情報スタッフィングを停止するか

WebAuthn標準の下のハードウェアセキュリティキーまたはパスキーを使用するフィッシング耐性MFAは、認証情報再利用ベクトルを完全に排除します。SMS一回限りのパスワードおよびTOTPコードは露出を削減しますが、中間者の傍受に対して脆弱なままです。Change Healthcareの漏洩（8億7200万ドルの混乱コストをもたらした）は、MFAなしのCitrixポータル上で発生しました。すべての外部向きの認証エンドポイントでMFAを強制することは、利用可能な単一の最高影響コントロールです。

認証情報スタッフィング攻撃の最も一般的なターゲットは何か

企業SSO ポータル、VPN ゲートウェイ、電子商取引アカウントログインページ、金融サービスプラットフォーム、医療プロバイダーシステムが最も頻繁にターゲットにされます。退職および年金基金は、アカウント残高が大きく、メンバーがアカウントをめったにチェックせず、MFA強制が歴史的に必須ではなくオプションであったため、2025年に高値のターゲットとして浮上しています。

組織は進行中の認証情報スタッフィング攻撃をどのように検出できるか

主要なシグナルには、単一のソースに集中するのではなく、広いIP範囲に分散された認証リクエストのスパイク、住宅用プロキシIPアドレスからの成功したログイン、アカウントの以前の履歴がないデバイスまたはブラウザーからのアカウントアクセス、およびログイン活動での異常な地理的分布が含まれます。企業メールドメイン用のダークウェブスティーラーログマーケットの継続的な監視は、認証情報が積極的に悪用される前の早期警告を提供します。Verizon 2025 DBIRは、認証情報スタッフィングがSSO認証試行全体の平均19%を占めることがわかったため、ベースラインボリューム分析も実行可能な検出層です。

この記事は、教育的および研究目的のための攻撃者と防御者の両方が使用する技術をカバーしています。説明されているツールとマーケットプレイスは、セキュリティ研究者および法執行機関によって文書化されています。