ラテラルムーブメントとは?
- IAM 用語集
- ラテラルムーブメントとは?
ラテラルムーブメントとは、攻撃者がシステムへの初期アクセスを獲得した後、ネットワーク内を横断的に移動するために用いる手法です。攻撃者は侵害した1台のデバイスにとどまるのではなく、他のコンピューター、サーバー、クラウドリソースへと移動しながらアクセス範囲を拡大し、権限昇格を行い、機密データや重要なインフラへの到達を目指します。この手法は、ランサムウェア攻撃やデータ侵害をはじめとする高度なサイバー攻撃で広く確認されており、攻撃の影響範囲と被害規模を拡大できることから頻繁に利用されています。
サイバー犯罪者がラテラルムーブメントを行う理由
サイバー犯罪者は、最初に侵害したシステムだけで活動を終えることはほとんどありません。むしろ、その最初の足がかりを利用して組織全体の環境を探索し、ネットワーク内のより価値の高い標的を特定しようとします。この探索を通じて、攻撃者はシステム同士の接続関係や機密データの保存場所を把握し、さらなる攻撃に向けた理解を深めます。
価値の高いシステムへのアクセス
攻撃者は、多くの場合、従業員のワークステーションなど、比較的価値の低いエンドポイントを足がかりとして侵入します。その後、ラテラルムーブメントを行い、データベース、ファイルサーバー、財務システムなどの機密データを保有するシステムへのアクセスを試みます。これらのシステムには、窃取や改ざん、あるいは業務妨害に利用できる重要な情報が保存されていることが少なくありません。攻撃者は最初の侵入口を超えてアクセス範囲を拡大することで、侵害による被害をより深刻なものにし、重要なリソースへのアクセスを獲得します。また、価値の高いシステムに到達することで、ネットワーク内での持続的なアクセスを確保し、すぐには検知されることなく悪意のある活動を継続できるようになります。
特権昇格
多くのシステムでは、一般ユーザーアカウントがアクセスできる範囲が制限されています。攻撃者はこうした制限を回避するため、ネットワーク内を移動しながらより高い権限の取得を試みます。このプロセスでは、ソフトウェアの脆弱性を悪用したり、認証情報を窃取したりする手法が用いられることがあります。特権昇格に成功すると、攻撃者は追加のシステムを掌握し、アクセスが制限されたデータに到達できるようになるほか、より少ない制約のもとで活動できるようになります。権限を高めた攻撃者は、セキュリティ対策を回避したり、新たなアカウントを作成したり、システム設定を変更したりすることで、環境内での足場をさらに強固なものにします。
ドメインコントローラーや重要インフラへの到達
企業環境では、ドメインコントローラーや管理システムがアクセス管理や認証の中核的な役割を担っています。攻撃者は、ネットワーク全体を広範囲に制御するために、こうしたシステムを標的にすることがよくあります。これらのシステムはユーザーのアイデンティティや権限を管理しているため、侵害されると攻撃者は正規ユーザーになりすまして行動できるようになり、環境内をより自由に移動できるようになります。このレベルのアクセス権を獲得すると、攻撃者はサービスを妨害したり、システムに対する長期的な支配権を維持したりできる可能性があります。
ランサムウェアの展開やデータの持ち出し
攻撃者がネットワーク内でラテラルムーブメントを実行できている場合、それは攻撃の最終段階に近づいていることを意味するケースが少なくありません。価値の高い資産を特定した後、攻撃者は複数のシステムにランサムウェアを展開したり、機密データを外部へ持ち出したりします。ランサムウェアを複数のシステムに同時に拡散すると、復旧がより困難になり、組織に身代金の支払いを迫る圧力も高まります。攻撃者は事前にラテラルムーブメントを行うことで、被害や業務への影響を最大化し、攻撃の効果を高めようとします。
ラテラルムーブメントの典型的な流れ
ラテラルムーブメントは通常、攻撃者がネットワーク内でのアクセス範囲を拡大していくにつれて、一定の手順に沿って進行します。
初期侵害
攻撃は、システムが最初に侵害された時点から始まります。侵害の手口としては、フィッシング、脆弱性の悪用、あるいは盗まれた認証情報の使用などが挙げられます。この最初の足がかりによって、攻撃者はネットワーク内部で活動を開始できるようになります。
内部偵察
ネットワーク内部への侵入に成功すると、攻撃者は環境に関する情報収集を開始します。これには、ネットワーク構成の把握、価値の高いシステムの特定、ユーザーアカウントや信頼関係の調査などが含まれます。この段階で収集した情報は、攻撃者が次にどこへ移動するか、またどのシステムを優先的に狙うべきかを判断するために利用されます。
認証情報の取得
攻撃者は、他のシステムへの認証に使用できる有効な認証情報の入手を試みます。この段階では、認証情報の抽出、パスワードの収集、認証トークンの窃取などが行われる場合があります。正規の認証情報を利用することで、攻撃者は通常のネットワークトラフィックに紛れ込みやすくなり、セキュリティ監視による検知を回避しながら活動を続けることができます。
特権昇格
追加のアカウントへのアクセスを獲得した後、攻撃者は設定ミスを悪用したり、サービスアカウントを不正利用したりして、さらに高い権限の取得を試みます。権限昇格に成功すると、攻撃者はより多くのシステムを制御し、機密性の高いリソースへアクセスできるようになるほか、本来であれば制限されている操作も実行できるようになります。
ネットワーク内での横展開
権限を昇格させた攻撃者は、ネットワーク内の複数のシステムへと移動しながらアクセス範囲を広げていきます。これには、ファイルサーバーへのアクセス、Active Directory環境への侵入、ドメインコントローラーへの到達などが含まれます。場合によっては、接続されたクラウド環境やハイブリッド環境にも侵入し、攻撃の影響範囲をさらに拡大することがあります。
攻撃目的の実行
攻撃者は標的への到達後、最終的な攻撃目的を実行します。これには、機密データの持ち出し、ランサムウェアの展開、あるいは継続的なアクセスを維持するための永続化の確立などが含まれます。
ラテラルムーブメントで用いられる主な手法
攻撃者は、検知されるリスクを最小限に抑えながらシステム間を移動するために、さまざまな手法を利用します。
- Pass-the-Hash攻撃: 攻撃者は、盗み出したパスワードハッシュを利用して、元のパスワードを入力することなく他のシステムに認証します。この手法はNTLM認証を使用する環境に特有のものであり、Kerberos認証が厳格に適用されている環境では効果が限定されます。
- Pass-the-Ticket攻撃: 攻撃者は、Kerberosチケットを利用して正規ユーザーになりすまし、ネットワーク上のリソースへのアクセスを取得します。
- リモートデスクトッププロトコル (RDP): 攻撃者は、有効な認証情報を使用して、RDP経由でシステムにリモートアクセスします。RDPは正規のリモートアクセスプロトコルですが、多くの企業環境で広く利用されているため、攻撃者に狙われやすい対象となっています。
- Windows Management Instrumentation (WMI): 攻撃者は、このWindows標準の管理機能を利用して、複数のシステム上でリモートからコマンドを実行します。
- PowerShellのリモート実行機能: この機能を利用すると、リモート上のコンピューターでコマンドやスクリプトを実行できます。
- SMBの悪用: 攻撃者は、ファイル共有プロトコルを悪用してシステム間を移動します。
- SSH秘密鍵の窃取とセッションハイジャック: Linux環境では、攻撃者がSSH秘密鍵を窃取して他のシステムへの認証に利用したり、SSHエージェントフォワーディングを悪用してアクティブなセッションを乗っ取ったりすることがあります。これらは別々の手法ですが、いずれもSSHの信頼関係を悪用する点で共通しています。
- Living-off-the-Land Binaries (LOLBins): 攻撃者は、システムに標準搭載されている正規のツールを悪用して不正な活動を行い、通常の運用に紛れることで検知を回避します。
ラテラルムーブメントの検知が難しい理由
ラテラルムーブメントの検知が難しいのは、攻撃者が明らかな不正行為ではなく、正規の認証情報やシステムに標準搭載された管理ツールを利用することが多いためです。
その結果、攻撃者の行動は、システムへのログインや社内リソースへのアクセスといった通常のユーザーによる操作と区別がつきにくくなります。これにより、攻撃者は通常のネットワークトラフィックに紛れ込み、従来型のセキュリティ対策によるアラートを回避できます。
ラテラルムーブメントの仕組みを理解することは重要ですが、それと同時に、攻撃者が重要なシステムへ到達する前にラテラルムーブメントを検知できる体制を整えることも不可欠です。
ラテラルムーブメントを防ぐ方法
組織は、攻撃者が初期侵害後にシステム間を容易に移動できないようにすることで、ラテラルムーブメントを防ぐことができます。効果的なラテラルムーブメント対策では、不必要なアクセス権を削減し、ネットワーク通信を適切に制御するとともに、不審な活動を継続的に監視することが重要です。
最小権限アクセスの徹底
最小権限アクセスの原則を徹底することは、ラテラルムーブメントを防止するための最も効果的な対策の一つです。ユーザーアカウントやサービスアカウントには、それぞれの役割を果たすために必要な権限のみを付与するべきです。これにより、たとえ1つのアカウントが侵害されたとしても、攻撃者がそのアカウントを利用して本来の権限範囲を超えたシステムやリソースへアクセスすることを防げます。また、権限が時間の経過とともに不要に拡大していくことを防ぐため、定期的に権限を見直し、適切に調整することも重要です。
ネットワークのセグメント化
ネットワークセグメンテーションは、ネットワークを分離された複数の領域に分割することでラテラルムーブメントを制限し、ある領域で侵害が発生しても他の領域へのアクセスが自動的に許可されないようにします。さらに、マイクロセグメンテーションでは、個々のシステム間の通信を業務上必要な接続のみに制限することで、この対策を強化します。これにより、攻撃者は移動するたびに追加の障壁を突破しなければならなくなり、セキュリティチームはラテラルムーブメントの試みを検知して対応するための時間をより多く確保できます。
認証管理の強化
強力な認証管理を導入することで、盗まれた認証情報の悪用を防ぎ、ラテラルムーブメントのリスクを低減できます。多要素認証 (MFA) を導入すると、パスワードが漏洩した場合でも追加の認証が求められるため、攻撃者は侵害されたパスワードだけでアカウントにアクセスできなくなります。また、攻撃者に狙われやすい共有認証情報やデフォルト認証情報は排除するべきです。さらに、高い権限を持つアカウントについては、特権アクセス管理 (PAM) ソリューションを導入することで、アカウントの利用タイミングや利用方法を適切に制御し、不要になったアクセス権を確実に取り消すことができます。これにより、特権アカウントに対する保護を強化できます。
異常活動の監視
強力な予防策を講じていても、組織はシステム全体のアクティビティを可視化しておく必要があります。アクセスログの確認や振る舞い分析を活用することで、これまでアクセスしたことのないシステムへの接続や、不自然な時間帯でのログインといった異常なパターンを特定できます。こうした兆候を早期に検知することで、攻撃者が重要なシステムへ到達する前にラテラルムーブメントを封じ込めることが可能になります。
アカウントの監査と整理
休眠状態のアカウントは、特に退職者のアカウントや廃止されたサービスに関連するアカウントの場合、監視が行き届いていないことが多いため、攻撃者に狙われやすくなります。定期的に監査を実施して未使用のアカウントを特定し、無効化することで、こうした侵入口を排除できます。また、組織はアクティブなアカウントの権限についても定期的に見直し、本来の役割に必要な範囲を超えるアクセス権が付与されていないことを確認する必要があります。