How do hackers get lists of username and password combinations to use in credential stuffing attacks?

Hackers obtain credential lists primarily from publicly disclosed data breaches—when companies experience security incidents, the stolen data is often shared on dark web forums or sold to other criminals. These breach databases are compiled and organized by username and password, making them valuable commodities in the cybercriminal underground. Additionally, credentials may come from malware-infected devices that logged keystrokes, purchased from other hackers, or scraped from public sources like LinkedIn profiles combined with passwords from previous breaches.

If I use a strong password, am I protected from credential stuffing attacks?

A strong password protects you only if it's unique and not already in a breach database. Credential stuffing attacks don't involve guessing—they use stolen credentials, so password strength is irrelevant if that exact username-password combination was leaked elsewhere. However, if attackers only have your username (without your password), a strong unique password becomes your actual defense. This is why both password uniqueness and strength matter: uniqueness protects against credential stuffing, and strength protects if attackers try brute-force attacks.

How quickly can a credential stuffing attack compromise my account?

Modern credential stuffing attacks can test thousands of stolen credentials per minute using automated tools and distributed servers. If your credentials are in the attacker's database, your account could be compromised within minutes to hours of the attack beginning. Attackers typically scan and organize successful logins in real-time, allowing them to identify valuable accounts immediately. This rapid timeline means you may not discover the compromise until days or weeks later when you notice suspicious account activity or receive fraud alerts.

If my password wasn't in a breach, can I still be affected by credential stuffing?

If your specific password wasn't in a breach, you're protected from credential stuffing—but most people aren't in that position. The reality is that billions of credentials from hundreds of major breaches are actively being used in credential stuffing campaigns right now. Even if you've created a strong unique password, you could still be vulnerable if any of your other accounts were breached, because attackers often test variations and mutations of known passwords. You should assume that some of your credentials are in use somewhere unless you actively monitor breach databases.

What should I do immediately if I discover my account was compromised through credential stuffing?

First, change the password for the compromised account to something completely new and unique, then enable multi-factor authentication if it's not already active. Second, check your account activity history and revoke access to any connected apps, devices, or sessions you don't recognize. Third, change the passwords for any other accounts using the same or similar credentials. Finally, monitor the compromised account and associated email for suspicious activity for the next 30-90 days, watch your credit reports for fraudulent accounts, and contact your bank and credit card companies to flag potential fraud.

高リスク平均被害額: $5,000 標準的な期間: 1-30 days

認証情報詰め込み攻撃：ハッカーがあなたのパスワードを悪用する方法

認証情報詰め込み（クレデンシャルスタッフィング）は、盗まれたユーザー名とパスワードの組み合わせを使用して、複数のウェブサイトやサービスのアカウントに不正アクセスする自動化された攻撃です。この攻撃が機能する理由は、多くの人が複数のプラットフォーム間で同じパスワードを再利用しているためです。ある企業がデータ侵害を受けると、犯罪者は流出した認証情報を集約し、専用のソフトウェアを使用してそれらのログイン情報を数百もの他のサイトで急速にテストします。2024年ベライゾン・データ侵害調査報告書によると、認証情報の侵害はデータ侵害全体の40%以上に関与しており、最も一般的な攻撃ベクトルの1つです。1回の認証情報詰め込み攻撃は、数時間以内に数百万ものログイン組み合わせをテストでき、攻撃者のパスワードリストの品質に応じて0.1～2%の成功率を持ちます。つまり、100万件の盗まれた認証情報のリストがあれば、攻撃者は1,000～20,000個のアカウントに正常にアクセスできる可能性があり、これらのアカウントは通常、金融情報、個人データ、またはより機密性の高いシステムへのアクセスを含んでいます。認証情報詰め込み攻撃の危険性は、初期のアカウント侵害を超えて広がります。攻撃者がメールアカウントへのアクセスを取得できれば、銀行、ソーシャルメディア、暗号資産アカウントのパスワードリセットを要求できます。LinkedIn認証情報を通じて職場メールにアクセスされた場合、企業スパイ活動またはランサムウェア展開への足がかりを得られます。FBI の2023年インターネット犯罪苦情センターは、認証情報侵害に関連する14,000件以上の報告を受け、損失額は1億3,700万ドルを超えています。この攻撃は特に悪質です。被害者は、不正な請求がアカウントに表示されたり、プロファイル情報の不正な変更に気付いたりするまで、侵害されていることに気付かないことがあるためです。LinkedIn（7億アカウント）、Yahoo（30億アカウント）、および多数の小売チェーンに影響を与えた大規模な侵害により、犯罪者が積極的に悪用する膨大な認証情報データベースが生成されています。

主な手口見分け方身を守る方法実例通報窓口

主な手口

• ダークウェブマーケットプレイスまたは過去のデータ侵害から盗まれた認証情報リストを入手し、Sentry MBAやOpenBulletなどの自動化ツールを使用して、銀行、メールプロバイダー、ソーシャルメディアプラットフォーム、電子商取引サイトのログインポータルに対してこれらの認証情報を急速にテストします。
• ローテーション可能なプロキシサーバーと住宅用IPアドレスを使用してリクエストを複数のIP範囲に分散させ、単一ソースからの急速なログイン試行にフラグを立てる標準的なレート制限セキュリティ対策をバイパスします。
• フォーラムアカウントや小売業者などの保護が弱いサイトで認証情報を最初にテストしてから、メールや銀行アカウントなどの高価値のターゲットを試し、侵害後にパスワードを変更したユーザーを把握するために、どの認証情報がまだ機能しているかを確認してから金銭的に価値のあるアカウントをターゲットにします。
• 攻撃中に盗まれたパスワードの軽微な変更または変異を実装します。例えば、『123』や『!』などの一般的なサフィックスを追加して、侵害後にパスワードをわずかに変更したユーザーに対応します。
• 正常なアカウントアクセスを監視して、どの認証情報が最も価値のある情報を提供するかを特定し、これらの検証済みアクティブな認証情報をダークウェブで販売するか、アカウント乗っ取りや身元盗用などの二次攻撃に使用します。
• ピークタイム以外の時間に攻撃を実行したり、拡張期間にわたってスケジュール設定したりして、大量の同時ログイン失敗によって生成されるセキュリティアラートをトリガーするのを回避します。

見分け方

あなたが見覚えのない場所やデバイスからあなたのアカウントにログインされた通知を受け取るか、あなたがオンラインでなかった時間にログインアクティビティを確認します。
メールアカウントに、あなたが開始しなかったパスワードリセット通知またはアカウント復旧試行が含まれており、誰かがあなたのアカウントにアクセスしようとしていることを示しています。
プロファイル情報の変更、不正な購入、セキュリティ設定の変更、または見覚えのない接続アプリやデバイスなど、異常なアクティビティに気付きます。
金融アカウントに不正な取引が表示されるか、強力で一意のパスワードを使用しているにもかかわらず、銀行から疑わしいログイン試行の警告を受け取ります。
メールプロバイダーから疑わしいアクティビティ、複数の場所からのログイン失敗試行、認識していないソースからのパスワード変更要求に関するアラートを受け取ります。
ソーシャルメディアアカウントが、連絡先に迷惑なメッセージや友達リクエストを送信するために使用されており、他の誰かがあなたのログイン認証情報を制御していることを示しています。

身を守る方法

Bitwarden、1Password、Dashlaneなどのパスワードマネージャーを使用して、オンラインアカウントごとにユニークで複雑なパスワードを作成します。複数のサイト間でパスワードを再利用しないようにしてください。これは認証情報詰め込み攻撃が成功するために必要な条件です。
特にメール、銀行、暗号資産、ソーシャルメディアアカウントを含む、それをサポートするすべてのアカウントで多要素認証（MFA）を有効にします。可能な限り、SMSは回線奪取に脆弱なため、GoogleAuthenticatorやAuthyなどの認証アプリを使用してください。
アカウントを定期的に監視して疑わしいアクティビティを確認し、新しいデバイスまたは場所からのログインのアカウントアラートを設定します。ほとんどの大規模なプラットフォームでは、アクティブなセッションを確認し、不明なデバイスをログアウトすることができます。
Equifax、Experian、TransUnionに詐欺アラートまたはクレジット凍結を設定して、侵害中に個人情報を入手された場合、攻撃者があなたの名前で新しいアカウントを開くのを防ぎます。
haveibeepwned.comおよびresearchbreaches.comを使用して、既知のデータ侵害にあなたのメールアドレスが表示されているかを確認します。侵害で検出された場合、そのアカウントのパスワードと同じ認証情報を使用しているその他のアカウントを即座に変更します。
デバイスを最新のセキュリティパッチで更新し、信頼できるアンチウイルスソフトウェアを使用して、キーログラーまたは認証情報を盗むマルウェアがターゲットウェブサイトに到達する前にパスワードをキャプチャするのを防ぎます。

実例

ソフトウェア開発者のLinkedIn認証情報は2021年の侵害で流出しましたが、彼女はパスワードを更新しませんでした。数ヶ月後、攻撃者は流出したユーザー名とパスワードを使用してLinkedInアカウントにアクセスし、次にアカウント復旧プロセスを使用してGmailパスワードをリセットしました。メールにアクセスすると、AWSGitHub、および銀行のパスワードをリセットし、会社のクラウドインフラストラクチャと個人の貯金へのアクセスを取得しました。彼女は、企業のセキュリティチームが異常なAWSアクセスパターンを検出した場合に侵害を発見し、攻撃がすでに8,000ドルの不正なクラウド料金を引き起こし、機密プロジェクトコードが流出したことが明らかになりました。

小売マネージャーは、職場アカウント、メール、個人の銀行システム間で同じパスワードを再利用していました。小売業者が50,000人の従業員の認証情報を流出させるデータ侵害を被ったとき、攻撃者は即座にそれらの認証情報を一般的な銀行ウェブサイトに対してテストしました。マネージャーの銀行アカウントは12時間以内にアクセスされ、詐欺師は銀行の詐欺検知システムが追加トランザクションの保留をトリガーする前に、4,200ドルを暗号資産交換に送金しました。調査により、攻撃者が47の異なるウェブサイト間で認証情報をテストし、メールとPayPalアカウントにも正常にアクセスしたことが明らかになりました。

電子商取引事業主は、マーチャントアカウントの異常なチャージバックに気付き、攻撃者が認証情報詰め込みを通じてメールにアクセスしていたことを発見しました。メールアクセスを使用して、電子商取引プラットフォームの管理者パネルにログインし、製品価格を変更し、顧客の支払いを攻撃者が管理するアカウントにリダイレクトし、顧客の支払い情報を盗みました。彼女が詐欺に気付く前の5日間の期間に、攻撃者は23,000ドルの迂回トランザクションを処理し、300人を超えた顧客の支払いデータを侵害しました。これにより、重大な法的責任と評判の損傷が発生しました。

通報窓口 — 日本

お住まいの地域でこの詐欺を通報できる公式窓口。

警察庁サイバー犯罪相談窓口

サイバー犯罪

都道府県警察のサイバー犯罪相談窓口（電話番号は地域別）。

訪問 →

消費者庁消費者ホットライン

消費者保護

消費者ホットライン「188（いやや！）」。最寄りの消費生活センターへ。

188 訪問 →

IPA 情報セキュリティ安心相談窓口

通報

独立行政法人情報処理推進機構による情報セキュリティ全般の相談。

03-5978-7509 訪問 →

金融庁金融サービス利用者相談室

金融監督

投資詐欺・金融商品トラブルに関する相談窓口。

0570-016811 訪問 →

この詐欺に遭った可能性はありますか？

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), 認証情報詰め込み攻撃：ハッカーがあなたのパスワードを悪用する方法 is described at https://scamlens.org/ja/encyclopedia/credential-stuffing.

https://scamlens.org/ja/encyclopedia/credential-stuffing

まずはここから

安全チェック

インテリジェンス

ツール・レポート

プレミアムサービス

拡張機能・API

認証情報詰め込み攻撃：ハッカーがあなたのパスワードを悪用する方法

主な手口

見分け方

身を守る方法

実例

通報窓口 — 日本

警察庁サイバー犯罪相談窓口

消費者庁消費者ホットライン

IPA 情報セキュリティ安心相談窓口

金融庁金融サービス利用者相談室

この詐欺に遭った可能性はありますか？

How to cite this guide

認証情報詰め込み攻撃：ハッカーがあなたのパスワードを悪用する方法

主な手口

見分け方

身を守る方法

実例

通報窓口 — 日本

警察庁サイバー犯罪相談窓口

消費者庁 消費者ホットライン

IPA 情報セキュリティ安心相談窓口

金融庁 金融サービス利用者相談室

この詐欺に遭った可能性はありますか？

How to cite this guide

消費者庁消費者ホットライン

金融庁金融サービス利用者相談室