水平移動とは、攻撃者がネットワークの複数の部分に拡散する 手法です。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
ネットワークセキュリティにおいて、水平移動とは、攻撃者が侵入口となった地点からネットワークの他の部分に拡散させるプロセスを指します。攻撃者がこれを達成するための方法は数多く存在します。例えば、攻撃は従業員のデスクトップコンピュータにマルウェアをインストールすることから始まります。そこから攻撃者は最終的なターゲットに到達するまで、ネットワーク上の他のコンピュータへの感染、内部サーバへの感染など、水平方向への移動を試みます。
攻撃者の目的は、発見されずに水平方向に移動することです。最初のデバイスの感染が発見されたり活動が検出された場合でも、広範囲のデバイスに感染していれば、攻撃者はネットワーク内でその存在を維持することができます。
仮に、空いた窓から侵入した泥棒たちがそれぞれ別の部屋へ侵入していく様子を想像してください。たとえ一つの部屋で一人の泥棒が発見されたとしても、他の泥棒は品物を盗み続けることができます。同様に、水平移動により攻撃者は、サーバー、エンドポイント、アプリケーションへのアクセスなど、ネットワークの様々な「部屋」に入ることができるため、攻撃を封じ込めることが困難になります。
いくつかの面において自動化されている部分もありますが、多くの場合水平移動は攻撃者または攻撃者グループの指示による手動プロセスで発動します。このような実践的なアプローチをとることで、攻撃者は問題のネットワークに合わせた手法をとることができます。また、ネットワークやセキュリティの管理者が施したセキュリティ対策にも迅速に対応することができます。
水平方向の移動は、ネットワークへの最初の侵入口となる1つの地点から開始されます。この侵入口となり得るものには、ネットワークに接続するマルウェアに感染したマシン、盗まれたユーザー資格情報のセット(ユーザー名とパスワード)、サーバーの開放しているポートを利用した脆弱性の悪用、またはその他の多くの攻撃方法である可能性があります。
通常、攻撃者は侵入地点と彼らのコマンド&コントロール(C&C)サーバー間の接続を確立します。攻撃者のC&Cサーバーは、インストールされたすべてのマルウェアにコマンドを発行し、マルウェアに感染したデバイスやリモートで制御されたデバイスから収集したデータを保存します。
攻撃者は、ネットワーク内の機器に足がかりを得ると偵察を行います。攻撃者は、侵入したデバイスが何にアクセスできるのか、また、ユーザーのアカウントを侵害した場合は、そのユーザーが持つ権限など、そのネットワークについてできる限り多くの情報を取得します。
攻撃者が水平移動し始める次のステップは、「特権エスカレーション」と呼ばれるプロセスです。
特権エスカレーションとは、あるユーザー(正規、非正規を問わず)が本来持つべき以上の特権を獲得することです。IDおよびアクセス管理(IAM)内でユーザー特権が正しく追跡および割り当てられない場合に、特権エスカレーションが誤って発生することがあります。これに対して、攻撃者は意図的にシステムの欠陥を悪用して、ネットワーク上で特権を昇格させます。
脆弱性やマルウェアの感染を通じてネットワークに侵入した場合、攻撃者はキーロガー(ユーザーが入力したキーを追跡する)を使用してユーザー資格情報を盗む場合があります。または、最初からフィッシング攻撃で盗んだ資格情報によってネットワークに侵入した可能性もあります。攻撃者は、どのような形で入手した場合であれ、1セットの認証情報と、そのユーザーアカウントに関連付けられている特権を皮切りにします。彼らは、そのアカウントでできることを最大化することを目的とし、その後、他の機器に拡散し、資格情報を盗み出すツールを使用して他のアカウントを乗っ取りながら移動します。
最大限の被害を与えたり、ターゲットに到達するために必要な種類のアクセス権を取得するために、攻撃者は通常、管理者レベルの特権を必要とします。そのため、攻撃者は、管理者権限を取得するまでネットワーク内を水平方向に移動します。これらの資格情報を取得すると、実質的にネットワーク全体をコントロールできるようになります。
攻撃者は、水平方向への移動の過程で、組織のセキュリティチームによる対策に細心の注意を払っていると思われます。たとえば、組織がサーバ上でマルウェア感染を検出し、感染を隔離するためにそのサーバをネットワークの他の部分から切り離した場合、攻撃者は他のデバイスにあるその存在を検出されないように、次のアクションに移るまでしばらく待機することが考えられます。
攻撃者は、自分の存在が検出されてすべてのエンドポイントやサーバーから駆除された場合でも、ネットワークに再度侵入できるようにバックドアを設置することがあります。(バックドアとは、安全なシステムに侵入するための隠し通路です。)
また、通常とは異なるネットワークトラフィックがあると管理者に警告される可能性があることから、攻撃者は自分たちの活動を通常のネットワークトラフィックに紛れ込ませようとします。さらに正規のユーザーアカウントを侵害することで、より簡単に紛れ込ませることができます。
攻撃カテゴリの多くは、できるだけ多くのデバイスに到達するため、または特定の目標に到達するまでネットワーク全体を移動するため、水平移動を行います。これらの攻撃の種類には、次のようなものがあります:
次のような予防策を講じることで、攻撃者の水平移動をより困難なものにすることができます:
ペネトレーションテストによって、組織は水平移動を可能にするネットワークの脆弱な部分を塞ぐことができます。ペネトレーションテストでは、組織がホワイトハッカーを雇い、検出を回避しながら可能な限り深くネットワークへの侵入を試みることで、セキュリティ耐性のテストを実施します。ハッカーは、その結果を組織と共有し、組織はこの情報を利用してハッカーが悪用したセキュリティホールを修正することができます。
Zero Trustセキュリティは、いかなるユーザー、デバイス、接続もデフォルトでは信頼しないというネットワークセキュリティにおける思想です。Zero Trustネットワークは、すべてのユーザーとデバイスが脅威の発信源となることを想定し、定期的ににユーザーとデバイスの両方を再認証します。また、[アクセス制御](https://www.cloudflare.com/learning/access-management/what-is-access-control/)には最小特権のアプローチを採用したうえでネットワークを小さなセグメントに分割します。このような戦略をとることで、攻撃者が特権エスカレーションを実現することは非常に難しくなり、セキュリティ管理者は初期感染の検出と隔離が非常に容易になります。
エンドポイントセキュリティでは、エンドポイントデバイス(デスクトップパソコン、ノートパソコン、スマートフォンなど)をマルウェア対策ソフトウェアなどのセキュリティ技術で定期的にスキャンします。
IAMは、水平移動を防止するための重要な要素です。ユーザー権限は厳密に管理されなければなりません。もしユーザーが厳密に必要である以上の権限を所有している場合、アカウント乗っ取りの結果はより深刻になります。加えて、二要素認証(2FA)を使用することで、水平移動を阻止することができます。2FAを使用するシステムでは、攻撃者がアカウントを侵害するためにはユーザー資格情報を取得するだけでは不十分で、二次認証トークンも盗む必要がありますが、これは困難を極めます。
Cloudflare Oneは、ネットワーキングサービスとZero Trustセキュリティサービスを組み合わせたものです。ID管理やエンドポイントセキュリティのソリューションと統合し、パッチワーク的なセキュリティ製品を、水平移動やその他の攻撃を防ぐ単一のプラットフォームに置き換えます。 Cloudflare Oneの詳細はこちらをご覧ください。