# クリデンシャル·スタッフィング

{% embed url="<https://www.youtube.com/embed/LDmP-5YXWhY?si=odBCNYzFCz2VeVzm>" %}

### 1. クリデンシャル·スタッフィング（Credential stuffing）攻撃とは？ <a href="#id-1" id="id-1"></a>

クリエイティブスタッフィング(Credential stuffing)は、インターネットユーザーが同じログイン情報(IDとパスワード)を複数のウェブサイトやサービスで使用することに対する攻撃方法です。

クリエイティブスタッフィング攻撃は、ハッカーが一般的に公開された、または流出した認証情報(ログイン情報)リストを使用して大量にログインしようとすることです。

この時、ほとんどのサイトがログインの試み回数制限機能を持っているため、攻撃者は複数のサーバーとIPアドレスを使用して大規模なログインを試みることができます。

### 2. デモ攻撃シナリオ <a href="#id-2" id="id-2"></a>

1\) 模擬攻撃により一定時間継続的にページアクセスを試みる(※模擬攻撃使用ツール:Apache Jmeter)

2\) 攻撃ウェブログがPLURAで正常に収集されたか確認

3\) PLURAアカウント奪取フィルターにより、クリエイティブスタッフィング(Credential stuffing)攻撃探知確認

### 3. 参考サイト <a href="#id-3" id="id-3"></a>

\[1] 管理 > セキュリティ設定 [https://docs.plura.io/ja/fn/comm/mgmt/security](https://docs.plura.io/ja/function/common/management/security)

\[2] ML探知 [https://docs.plura.io/ja/fn/comm/ml](https://docs.plura.io/ja/function/common/ml)

\[3] Webファイアウォール > 防御設定 [https://docs.plura.io/ja/fn/waf/defense/setting](https://docs.plura.io/ja/function/waf/defense/setting)

\[4] クリエイティブスタッフィング攻撃に対応する <https://blog.plura.io/ja/respond/credential-stuffing-countermeasures/>

\[5] ウェブサービス攻撃に対応する <https://blog.plura.io/ja/respond/web-service-attack-response-against-xiaoqiying/>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.plura.io/ja/video/demo/web/credential_stuffing.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.