クレデンシャルスタッフィングとは、過去のデータ漏洩で流出したユーザー名とパスワードの組み合わせを大量に試行し、他のサービスへの不正ログインを試みるサイバー攻撃手法である。多くのユーザーが複数サービスで同じ認証情報を使い回す傾向を悪用しており、ブルートフォース攻撃とは異なり実在する認証情報を使用するため成功率が高い。
攻撃の仕組みとして、攻撃者はダークウェブで入手した数百万件規模の認証情報リストを自動化ツール (Sentry MBA、OpenBullet 等) に読み込ませ、標的サービスのログインエンドポイントに対して高速で試行する。IP アドレスのローテーションや CAPTCHA 回避技術を組み合わせることで、単純なレート制限を突破する。
短縮 URL サービスの管理画面は格好の標的となる。攻撃者がアカウントを乗っ取れば、既存の短縮 URL のリダイレクト先をフィッシングサイトに書き換えたり、リンク統計データを窃取したりできる。特にビジネス利用のアカウントは被害が甚大になりうる。
防御策として、レート制限 (同一 IP からのログイン試行を 1 分あたり 5 回以下に制限)、多要素認証 (MFA) の必須化、漏洩パスワードデータベース (Have I Been Pwned API 等) との照合によるパスワード拒否が有効である。さらに、パスワードレス認証 (WebAuthn / パスキー) への移行が根本的な解決策として推奨される。