クレデンシャルスタッフィング(認証情報詰め込み攻撃)は、個人のパスワード管理の習慣がいかにして企業のセキュリティ問題へと急速に発展し得るかを示す、最も明白な例の一つです。その攻撃手法は単純で、犯罪者が1回のデータ侵害で流出したユーザー名とパスワードを入手し、他の多くのサービスに対してそれらを自動的に試すことで、一部のユーザーが別の場所でも同じログイン情報を使い回していることを狙います。

企業にとって、これは自社がまったく関与していない情報侵害であっても、自社の問題になり得ることを意味します。従業員が業務アカウントに個人のパスワードを使い回していた場合、消費者データの漏洩によって、メール、SaaSツール、財務プラットフォーム、管理者パネル、または顧客システムへの不正アクセスにつながる可能性があります。

クレデンシャルスタッフィング(認証情報流用攻撃)とは何か、なぜそれが大規模に機能するのか、なぜ中小企業が特にそのリスクにさらされているのか、そしてどのようにそのリスクを軽減できるかについて説明します。

クレデンシャルスタッフィング(認証情報の使い回し)は企業にどのような影響を及ぼすか

クレデンシャルスタッフィング(認証情報の使い回し)が大規模に機能する理由

中小企業(SMB)がクレデンシャルスタッフィング(認証情報の使い回し)の脅威にさらされやすい理由

クレデンシャルスタッフィング(認証情報の使い回し)攻撃が企業にもたらす実害

クレデンシャルスタッフィング(認証情報の使い回し)攻撃を防ぐ方法

クレデンシャルスタッフィング(認証情報の使い回し)が疑われる場合の対処法

クレデンシャルスタッフィング(認証情報の使い回し)は企業にどのような影響を及ぼすか

以前にクレデンシャルスタッフィング(認証情報の使い回し)攻撃とは何かについて詳細に説明しました。今回は、これがビジネスアカウントにどのような意味を持つかに焦点を当てます。使い回された1つのパスワードが、ビジネスメール、SaaSツール、管理者パネル、そして顧客システムを危険にさらす可能性があります。

このタイプの攻撃が効果的である理由は、非常に多くの人がパスワードを使い回しているためです。もし誰かが個人のショッピング用アカウント、SNSのプロフィール、および仕事用のツールで同じパスワードを使用している場合、1つのサービスで侵害が発生すると、これら3つすべてのパスワードが漏洩するおそれがあります。

クレデンシャルスタッフィング(認証情報の使い回し)は、ブルートフォース(総当たり)攻撃とは異なります。攻撃者はブルートフォース攻撃を使ってパスワードを推測します。一方、クレデンシャルスタッフィングでは、過去の漏洩から入手した本物の認証情報をすでに持っており、その同じパスワードが他の場所でも機能するかどうかを試します。

そのため、クレデンシャルスタッフィング攻撃は非常に効率的です。漏洩した1つの認証情報を、メールプロバイダー、クラウドサービス、顧客関係管理(CRM)プラットフォーム、給与計算ツール、開発者アカウント、ファイルストレージ、管理者ポータルに対してテストすることができます。攻撃者が大規模にテストを行う場合、成功率が低くても十分に価値があります。

クレデンシャルスタッフィング(認証情報の使い回し)が大規模に機能する理由

クレデンシャルスタッフィング(認証情報の使い回し)が効果的なのは、プロセスを自動化できるためです。犯罪者は、過去の侵害やダークウェブ市場から、漏洩した認証情報の膨大なリストを入手できます。その後、自動化ツールを使用して、それらの認証情報を何百ものサービスに対してテストします。このプロセスは迅速に実行され、試行を繰り返し、IPアドレスをローテーションし、通常のログインパターンを模倣して、基本的な検知を回避します。

企業内において、単一のログイン試行によって生じる脅威を特定することは非常に困難です。認証情報攻撃の最初の兆候は、見慣れない位置からのログイン成功、パスワードのリセット要求、新しいメールボックスルール、請求書の変更、ファイルのダウンロード、またはSaaSツール内の異常なアクティビティである可能性があります。

また、この攻撃は現代のワークスタイルが分散しているという事実も利用しています。従業員は、単一のユーザー情報システムの枠外で、多くのサービスを使用することがよくあります。一部のアカウントは、IT部門の監視なしに各部署によって作成されます。一部のツールは、シングルサインオン2要素認証(2FA)をサポートしていません。ベンダーポータルの中には、監視が不十分なものもあります。クレデンシャルスタッフィング(認証情報の使い回し)は、まさにこのような隙を狙っています。

中小企業(SMB)がクレデンシャルスタッフィング(認証情報の使い回し)の脅威にさらされやすい理由

クレデンシャルスタッフィング(認証情報の使い回し)はあらゆるサイズの組織に影響を与える可能性がありますが、中小企業(SMB)は特にその脅威にさらされやすい傾向にあります。

乏しいリソースと増大する責任

規模の小さいチームは迅速に動き、業務を共有する傾向があります。従業員は、正式な承認プロセスを経ずに、新しいソフトウェアのアカウントを作成することがあります。共有のベンダーログイン情報がチャットやメールを通じて流出することもあります。また、パスワードポリシーを監視・適用する専任のセキュリティチームがないため、パスワードの使い回しが見過ごされるおそれがあります。数年前に作成されたパスワードが、今でも重要なビジネスシステムを保護している場合もあります。

プライベートと仕事のデジタル境界の欠如

最大のリスクは、個人用と仕事用の認証情報の混在です。従業員が侵害された一般消費者向けサービスと仕事用アカウントで同じパスワードを使用している場合、攻撃者は最初に企業を侵害する必要はありません。代わりに、消費者向けサービスの侵害を侵入口として利用できます。

そのため、クレデンシャルスタッフィング(認証情報の使い回し)の防止策は、パスワードの使い回しを防ぐことに重点を置く必要があります。トレーニングは役立ちますが、記憶に頼るパスワードの管理方法には限界があります。従業員はサポートなしには、個人用およびビジネス用のすべてのアカウントに対して、一意で強力なパスワードを安全に作成し、記憶することはできません。

サイバー犯罪の標的となる中小企業(SMB)

Protonのデータ侵害観測所は、漏洩したデータに、名前、メールアドレス、パスワード、財務情報、連絡先の詳細、その他の機密情報など、アカウント侵害を助長する情報がどれほど頻繁に含まれているかを表示しています。

今日、サイバー犯罪者の標的にならないほど小規模な企業は存在しません。例えば、2026年2月には、フランスのeラーニングプラットフォームであるGDQuestがデータ侵害の疑いを受け、メールアドレスやユーザー名を含む6万6,000件以上のレコードが流出しました。GDQuestは小規模な企業であるにもかかわらず、サイバー犯罪者にとって明らかな「稼ぎ頭」となり、未公開の攻撃ベクターの標的となりました。

小さな侵害が大きな問題に

中小企業にとって教訓は明確です。漏洩したデータは、最初に漏洩が発生した企業内にとどまるわけではありません。従業員が侵害された個人用またはサードパーティのアカウントのパスワードを使い回している場合、攻撃者はその同じ認証情報を仕事用のメール、SaaSプラットフォーム、財務ツール、または管理者システムに対してテストすることができます。このようにして、外部の侵害が内部へのアクセス問題へと発展するおそれがあります。

クレデンシャルスタッフィング(認証情報の使い回し)攻撃が企業にもたらす実害

クレデンシャルスタッフィング(認証情報の使い回し)攻撃は、最初は気づかれないことがあります。たとえば、単一のアカウントが新しいデバイスからログインした場合や、1つのメールルールが変更された場合、あるいは1つのドキュメントだけがダウンロードされた場合などです。しかし、攻撃者が有効な認証情報を手に入れると、リスクは急速に増大します。

SaaSツールへの不正アクセス

現在のビジネス運営は、プロジェクト管理、顧客とのコミュニケーション、人事、営業においてSaaSツールに依存しています。攻撃者が使い回された認証情報を使用してこれらのサービスにアクセスした場合、クライアントのデータ、社内文書、請求書、顧客リスト、または業務ワークフローが特定されるおそれがあります。

リスクが低いと思われるツールであっても、有用な情報が明らかになることがあります。プロジェクト管理アカウントを表示することで、企業がどのシステムを使用しているか、誰が支払いを承認しているか、どのクライアントがアクティブであるか、機密ファイルがどこに保管されているかなどが判明するおそれがあります。

メールの侵害とアカウントの乗っ取り

メールは、企業に対するクレデンシャルスタッフィング(認証情報の使い回し)攻撃において最も価値のある標的の1つです。攻撃者はメールにアクセスすると、他のサービスのパスワードをリセットしたり、請求書や契約書を検索したり、従業員になりすましたり、転送ルールをセットアップしたり、会話を密かに監視したりするおそれがあります。

メールのアクセス権がフィッシングを助長することも覚えておく必要があります。正当な受信トレイへのアクセス権を持つ攻撃者は、信頼できるアカウントからメッセージを送信するため、同僚、クライアント、またはベンダーに対して説得力のあるメッセージを送信できます。

管理者パネルへのアクセスと権限昇格

クレデンシャルスタッフィング(認証情報の使い回し)が管理者アカウントにまで及ぶと、その影響は深刻なものになります。攻撃者は新しいアカウントを作成し、セキュリティ設定を変更し、外部の共同作業者を招待し、コントロールを無効化し、データをエクスポートし、あるいは権限を昇格させるおそれがあります。

だからこそ、パスワードの使い回しは特に危険なのです。管理者アカウントや特権アカウントの侵害は、他の多くのカウントやシステムに影響を与える可能性があるため、他のサービスと同じパスワードを絶対に使い回すべきではありません。

システムをまたぐ水平展開(ラテラルムーブメント)

クレデンシャルスタッフィング(認証情報の使い回し)は、ラテラルムーブメント(水平展開)も可能にします。攻撃者は1つのアカウントへのアクセス権を獲得すると、そこで見つけた情報を使用して他のシステムをテストし、より価値の高いアカウントを特定し、企業環境内を移動することができます。

たとえば、侵害されたSaaSアカウントから、社内の命名規則、共有ドキュメント、ベンダーポータル、または管理者システムへのリンクが明らかになることがあります。その後、攻撃者は同じパスワードを試したり、保管された認証情報を検索したり、パスワードリセットの流れを利用して他のサービスに到達したりすることができます。

ランサムウェアと脅迫のリスク

クレデンシャルスタッフィング(認証情報の使い回し)が自動的にランサムウェアにつながるわけではありません。それ自体は、アカウントの乗っ取り、詐欺、またはデータ窃盗によく使用されます。しかし、侵害された認証情報は、より深刻な攻撃の第一歩となる可能性もあります。

攻撃者がクラウドストレージ、管理者コンソール、リモートアクセスサービス、またはエンドポイント管理ツールへのアクセス権を獲得した場合、事態が脅迫、業務停止、またはランサムウェアの展開に発展するおそれがあります。

クレデンシャルスタッフィング(認証情報の使い回し)攻撃を防ぐ方法

クレデンシャルスタッフィング(認証情報の使い回し)の防止は、このタイプの攻撃が依存する弱点である「パスワードの使い回し」を削除することから始まります。そこから、企業は不正アクセスを困難にし、検知しやすくするためのセキュリティ層を追加できます。

アカウントごとに一意のパスワードを選択する

一意のパスワードは、クレデンシャルスタッフィング(認証情報の使い回し)に対する最も強力な防御策です。すべてのアカウントに異なるパスワードが設定されていれば、1つのサービスから漏洩した認証情報が他のサービスへのアクセスに使い回されることはありません。

これは簡単そうに聞こえますが、手動で維持するのは困難です。従業員が仕事用のすべてのアカウントに対して、一意で強力なパスワードを考案して記憶することを期待すべきではありません。ビジネス向けパスワードマネージャーは、各サービスの一意のパスワードを生成して保管することにより、これを実用的なものにします。

Proton Pass for Businessは、チームが強力で一意のパスワードを作成し、それらをエンドツーエンド暗号化された保管庫に保管し、自動入力を使用し、アクセス権を安全に共有できるよう支援します。これにより、クレデンシャルスタッフィング(認証情報の使い回し)が依存する攻撃対象領域を直接的に縮小します。

パスワードの健全性チェックを使用して、脆弱なパスワードや使い回されているパスワードを見つけます

企業にとっても、既存のパスワードリスクを可視化することは不可欠です。パスワードの使い回しは、特に古いアカウントや共有ツール、正式なITプロセス外で作成されたアカウントなどで、時間の経過とともに蓄積されがちです。

パスワードの健全性チェックは、脆弱なパスワードや使い回されているパスワードの特定に役立ち、攻撃者に悪用される前にチームがこれらを変更できるようにします。Proton Pass for Businessは、組織内の脆弱なパスワードや使い回されているパスワードの特定をサポートし、最も高いリスクをもたらす認証情報の優先順位付けと保護を支援します。

第2の防衛線として2要素認証を有効にする

2要素認証は、パスワードが侵害された際に第2の防御レイヤーを追加します。攻撃者が正しいユーザー名とパスワードを入手したとしても、アカウントにアクセスするには別の要素が必要になります。これにより、組織は脆弱な、あるいは盗まれた、または使い回された認証情報が不正アクセスに直結する可能性を低減できると同時に、高リスクアカウントの全体的なセキュリティ体制を強化することができます。

このような防御策は、メール、パスワードマネージャー、管理者アカウント、財務ツール、ユーザー情報プロバイダー、クラウドストレージ、および他のサービスへのアクセスをリセットまたは制御できるすべてのシステムにおいて優先されるべきです。

2要素認証は、固有のパスワードを補完するものであり、それに代わるものではありません。使い回されているパスワードが漏洩した場合、攻撃者は繰り返しのログイン試行、ロックアウト、従業員を騙して2要素認証コードを共有させようとする行為、あるいは2要素認証が強制されていないシステムへの攻撃などを通じて、依然として混乱を引き起こす可能性があります。それでも、認証システムを使用することで、1つの盗まれたパスワードが即座に侵害につながるリスクを低減できます。

漏洩した認証情報の検出にダークウェブモニタリングを使用する

ダークウェブモニタリングは、従業員の認証情報が侵害データに含まれているかどうかを企業が検出するのに役立ちます。具体的には、フォーラム、マーケットプレイス、その他の盗まれたデータが流通する可能性のある場所など、認証情報の漏洩に関連する侵害データセットやダークウェブのソースをスキャンすることによって機能します。これにより、元の侵害を防ぐことはできませんが、漏洩した認証情報が悪用される前にチームが対応する機会を得ることができます。

Proton PassにはPass Monitorが含まれており、認証情報の漏洩を検出し、お客様の情報が侵害データに含まれている場合に警告を表示することができます。また、Protonのデータ侵害観測レポート 2026(Data Breach Observatory 2026)でも、漏洩した企業データがどのようにインターネット上に流出しているか、そしてなぜ組織が認証情報の露出をよりよく可視化する必要があるのかについて紹介しています。

監視によって漏洩した認証情報が見つかった場合、迅速な対応が必要です。影響を受けたパスワードの変更、他の場所での使い回しの確認、不審なセッションの失効、アカウントのアクティビティの確認、および可能であれば2要素認証の有効化を行います。

Proton Sentinelでお客様のProtonアカウントを保護する

Proton Sentinelは、Protonアカウントに高度なアカウント保護を追加します。自動検出と人間のアナリストを組み合わせることで、不審なアカウント乗っ取りの試みを特定し、ブロック(検証)します。これにより、攻撃者がお客様のProtonアカウントのユーザー名とパスワードを盗み出すことに成功した場合でも、お客様のデータへのアクセスを防ぐことができます。

Proton Sentinelは、お客様のProtonアカウントの保護にのみ利用可能である点にご留意ください。SaaSプラットフォーム、財務ツール、管理者パネル、ベンダーポータルなど、従業員が使用するその他のビジネスサービスにおいては、固有のパスワード、2要素認証、監視、および明確なアクセス権ポリシーに依存する広範な防御戦略が依然として不可欠です。

クレデンシャルスタッフィングの防止策を日常のアクセス管理に組み込む

最も効果的な防止策は、従業員により多くのことを記憶させることではありません。使い回しをする必要性をなくすシステムを従業員に提供することです。

Proton Pass for Businessは、強力で固有のパスワードの生成、暗号化された保管庫への保存、パスワードの健全性チェックによる脆弱なパスワードや使い回されているパスワードの特定、およびチーム間での安全な共有のサポートにより、これを支援します。これにより、クレデンシャルスタッフィングの防止は、単なるアドバイスから日常のアクセス習慣へと変わります。

メールエイリアスを使用する

メールエイリアスは、新しいアカウントやサービスにサインアップする際に、お客様の個人用または仕事用のメールアドレスを隠すことができます。これにより、サイバー犯罪者がインターネット上でお客様のメールアドレスを追跡できないようにする優れた方法となります。

また、Proton Pass for Businessは、SimpleLoginを利用したメールエイリアス を通じて、クレデンシャルスタッフィングのリスクを低減するのにも役立ちます。従業員はサインアップするサービスごとに個別のメールエイリアスを使用できるため、1つのサービスで侵害が発生しても、企業のプライマリーメールアドレスが自動的に公開され、他の場所でのクレデンシャルスタッフィングの標的になるのを防ぐことができます。

クレデンシャルスタッフィングが疑われる場合の対処法

まず、影響を受けたアカウントを特定することから始めます。普段と異なるログイン位置、繰り返されるログイン失敗、新しいデバイス、予期しないパスワードリセット、メールボックスの転送ルール、新しい管理者ユーザー、不審なファイルのダウンロード、および支払い設定やセキュリティ設定の変更を確認します。

その後、速やかに以下の対応を行ってください:

  • 影響を受けたアカウントのパスワードをリセットします。
  • それらのパスワードが他の場所で使い回されていなかったかを確認します。
  • 有効なセッションを失効させます。
  • MFAを有効にするか、強制します。
  • アカウントのアクティビティと監査ログを確認します。
  • 承認されていないユーザーや連携を削除します。
  • メールのルールと転送設定を確認します。
  • 必要に応じて、影響を受けた顧客、パートナー、または規制当局に通知します。

被害を抑え込んだ後は、再発の可能性を低減させます。影響を受けたアカウントをビジネス向けパスワードマネージャーに移行し、使い回されているパスワードを固有の認証情報に変更し、共有アカウントを確認して、パスワードの健全性チェックを使用し、残っている脆弱なパスワードや使い回されているパスワードを見つけます。

漏洩したデータに個人情報が含まれている場合、データ保護に関する義務が生じることもあります。Protonが提供する企業向けのデータ侵害保護ガイドは、次のインシデントが発生する前に、侵害リスクを低減し、管理体制を強化する方法をチームが理解するのに役立ちます。