ラテラルムーブメント(水平移動)とは?

水平移動とは、攻撃者がネットワークの複数の部分に拡散する手法です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ラテラルムーブメント(水平移動)の定義
  • 水平移動が発生する仕組みを説明する
  • 水平移動を鈍らせたり阻止するための予防策を列挙する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

ラテラルムーブメント(水平移動)とは?

ネットワークセキュリティにおいて、水平移動とは、攻撃者が侵入口となった地点からネットワークの他の部分に拡散させるプロセスを指します。攻撃者がこれを達成するための方法は数多く存在します。例えば、攻撃は従業員のデスクトップコンピュータにマルウェアをインストールすることから始まります。そこから攻撃者は最終的なターゲットに到達するまで、ネットワーク上の他のコンピュータへの感染、内部サーバへの感染など、水平方向への移動を試みます。

ラテラルムーブメント(水平移動)の図解。攻撃者がノートパソコンに感染させ、セキュリティで保護されたネットワークに侵入し、他のパソコンやサーバーに横移動させます。

攻撃者の目的は、発見されずに水平方向に移動することです。最初のデバイスの感染が発見されたり活動が検出された場合でも、広範囲のデバイスに感染していれば、攻撃者はネットワーク内でその存在を維持することができます。

仮に、空いた窓から侵入した泥棒たちがそれぞれ別の部屋へ侵入していく様子を想像してください。たとえ一つの部屋で一人の泥棒が発見されたとしても、他の泥棒は品物を盗み続けることができます。同様に、水平移動により攻撃者は、サーバー、エンドポイント、アプリケーションへのアクセスなど、ネットワークの様々な「部屋」に入ることができるため、攻撃を封じ込めることが困難になります。

いくつかの面において自動化されている部分もありますが、多くの場合水平移動は攻撃者または攻撃者グループの指示による手動プロセスで発動します。このような実践的なアプローチをとることで、攻撃者は問題のネットワークに合わせた手法をとることができます。また、ネットワークやセキュリティの管理者が施したセキュリティ対策にも迅速に対応することができます。

水平移動の方法とは?

水平方向の移動は、ネットワークへの最初の侵入口となる1つの地点から開始されます。この侵入口となり得るものには、ネットワークに接続するマルウェアに感染したマシン、盗まれたユーザー資格情報のセット(ユーザー名とパスワード)、サーバーの開放しているポートを利用した脆弱性の悪用、またはその他の多くの攻撃方法である可能性があります。

通常、攻撃者は侵入地点と彼らのコマンド&コントロール(C&C)サーバー間の接続を確立します。攻撃者のC&Cサーバーは、インストールされたすべてのマルウェアにコマンドを発行し、マルウェアに感染したデバイスやリモートで制御されたデバイスから収集したデータを保存します。

攻撃者は、ネットワーク内の機器に足がかりを得ると偵察を行います。攻撃者は、侵入したデバイスが何にアクセスできるのか、また、ユーザーのアカウントを侵害した場合は、そのユーザーが持つ権限など、そのネットワークについてできる限り多くの情報を取得します。

攻撃者が水平移動し始める次のステップは、「特権エスカレーション」と呼ばれるプロセスです。

特権エスカレーション

特権エスカレーションとは、あるユーザー(正規、非正規を問わず)が本来持つべき以上の特権を獲得することです。IDおよびアクセス管理(IAM)内でユーザー特権が正しく追跡および割り当てられない場合に、特権エスカレーションが誤って発生することがあります。これに対して、攻撃者は意図的にシステムの欠陥を悪用して、ネットワーク上で特権を昇格させます。

脆弱性やマルウェアの感染を通じてネットワークに侵入した場合、攻撃者はキーロガー(ユーザーが入力したキーを追跡する)を使用してユーザー資格情報を盗む場合があります。または、最初からフィッシング攻撃で盗んだ資格情報によってネットワークに侵入した可能性もあります。攻撃者は、どのような形で入手した場合であれ、1セットの認証情報と、そのユーザーアカウントに関連付けられている特権を皮切りにします。彼らは、そのアカウントでできることを最大化することを目的とし、その後、他の機器に拡散し、資格情報を盗み出すツールを使用して他のアカウントを乗っ取りながら移動します。

最大限の被害を与えたり、ターゲットに到達するために必要な種類のアクセス権を取得するために、攻撃者は通常、管理者レベルの特権を必要とします。そのため、攻撃者は、管理者権限を取得するまでネットワーク内を水平方向に移動します。これらの資格情報を取得すると、実質的にネットワーク全体をコントロールできるようになります。

水平移動時の偽装と対策

攻撃者は、水平方向への移動の過程で、組織のセキュリティチームによる対策に細心の注意を払っていると思われます。たとえば、組織がサーバ上でマルウェア感染を検出し、感染を隔離するためにそのサーバをネットワークの他の部分から切り離した場合、攻撃者は他のデバイスにあるその存在を検出されないように、次のアクションに移るまでしばらく待機することが考えられます。

攻撃者は、自分の存在が検出されてすべてのエンドポイントやサーバーから駆除された場合でも、ネットワークに再度侵入できるようにバックドアを設置することがあります。(バックドアとは、安全なシステムに侵入するための隠し通路です。)

また、通常とは異なるネットワークトラフィックがあると管理者に警告される可能性があることから、攻撃者は自分たちの活動を通常のネットワークトラフィックに紛れ込ませようとします。さらに正規のユーザーアカウントを侵害することで、より簡単に紛れ込ませることができます。

水平移動を利用する攻撃の種類とは?

攻撃カテゴリの多くは、できるだけ多くのデバイスに到達するため、または特定の目標に到達するまでネットワーク全体を移動するため、水平移動を行います。これらの攻撃の種類には、次のようなものがあります:

  • ランサムウェア: ランサムウェア攻撃者は、身代金の支払いを要求するためにできるだけ多くのデバイスを感染させ、最大限の効果を得ることを目的としています。特に、ランサムウェアは、組織の日常業務に不可欠なデータが保存されている内部サーバーを標的としています。このため、ランサムウェアが発動すると、少なく見ても一時的には、組織の運営に確実に深刻な損害を与えることになります。
  • データ流出:データ流出は、管理された環境からデータを許可なく移動またはコピーするプロセスのことです。攻撃者がデータを流出させる理由は、知的財産を盗むため、なりすましを行うための個人データを入手するため、またはドクスウェア攻撃やある種のランサムウェア攻撃のように、盗んだデータを身代金として保持するためなど多岐にわたります。攻撃者は通常、最初の侵害地点から水平方向に移動して、目的のデータまで到達する必要があります。
  • スパイ活動:国家、組織化されたサイバー犯罪グループ、またはライバル企業は、それぞれに組織内の活動を監視するだけの動機を持つ場合があります。攻撃の目的が純粋な金銭的利益ではなく、スパイ活動である場合、攻撃者はできるだけ長い間、検知されずにネットワークに組み込まれた状態を維持しようとします。これは、身代金を得るために最終的に自分たちの行動に注意を向けさせようとするランサムウェア攻撃とは対照的です。また、データ流出とは異なり、攻撃者は目的のデータを入手した後であれば、発見されても構わないという場合もあります。
  • ボットネット感染:攻撃者は、乗っ取ったデバイスをボットネットの一部として追加することがあります。ボットネットは、さまざまな悪意のある目的に利用されることがあり、特に分散サービス妨害(DDoS)攻撃に多く利用されます。水平移動することで、攻撃者はボットネットにできるだけ多くのデバイスを追加してボットネットをより強化させることができます。

ラテラルムーブメント(水平移動)を阻止する方法

次のような予防策を講じることで、攻撃者の水平移動をより困難なものにすることができます:

ペネトレーションテストによって、組織は水平移動を可能にするネットワークの脆弱な部分を塞ぐことができます。ペネトレーションテストでは、組織がホワイトハッカーを雇い、検出を回避しながら可能な限り深くネットワークへの侵入を試みることで、セキュリティ耐性のテストを実施します。ハッカーは、その結果を組織と共有し、組織はこの情報を利用してハッカーが悪用したセキュリティホールを修正することができます。

Zero Trustセキュリティは、いかなるユーザー、デバイス、接続もデフォルトでは信頼しないというネットワークセキュリティにおける思想です。Zero Trustネットワークは、すべてのユーザーとデバイスが脅威の発信源となることを想定し、定期的ににユーザーとデバイスの両方を再認証します。また、アクセス制御には最小特権のアプローチを採用したうえでネットワークを小さなセグメントに分割します。このような戦略をとることで、攻撃者が特権エスカレーションを実現することは非常に難しくなり、セキュリティ管理者は初期感染の検出と隔離が非常に容易になります。

エンドポイントセキュリティでは、エンドポイントデバイス(デスクトップパソコン、ノートパソコン、スマートフォンなど)をマルウェア対策ソフトウェアなどのセキュリティ技術で定期的にスキャンします。

IAMは、ラテラルムーブメントを防止するための重要な要素です。ユーザー権限は厳密に管理されなければなりません。もしユーザーが厳密に必要である以上の権限を所有している場合、アカウント乗っ取りの結果はより深刻になります。加えて、二要素認証(2FA)を使用することで、ラテラルムーブメントを阻止することができます。二要素認証(2FA)を使用するシステムでは、攻撃者がアカウントを侵害するためにはユーザー資格情報を取得するだけでは不十分で、二次認証トークンも盗む必要がありますが、これは困難を極めます。

Cloudflare Oneは、ネットワークサービスとZero Trustセキュリティサービスを組み合わせたものです。さらにID管理やエンドポイントセキュリティソリューションと統合し、寄せ集めのセキュリティ製品を単一のプラットフォームに置き換えることで、ラテラルムーブメントやその他の攻撃を防止します。Cloudflare Oneやその他のネットワークセキュリティソリューションについてさらに詳しくご覧ください。