1. TOP
  2. サイバー攻撃対策(サイバーセキュリティ)
  3. サイバー攻撃
  4. 記事一覧
  5. ラテラルムーブメント(水平移動)とは?仕組みや手法、対策方法を解説

ラテラルムーブメント(水平移動)とは?仕組みや手法、対策方法を解説

「ラテラルムーブメントとは何か?どう対策すべきか?」という疑問を持つ方もいるでしょう。

ラテラルムーブメントとは、攻撃者がネットワーク内で横方向に移動して権限を拡大する攻撃手法のことです。

パス・ザ・ハッシュや中間者攻撃、ラテラルフィッシングなど多様な手法により、組織内の機密データや重要システムへの不正アクセスが行われます。

この記事では、ラテラルムーブメントの概要や具体的な攻撃手法、有効な対策について解説します。

目次

[ 開く ] [ 閉じる ]
  1. ラテラルムーブメント(水平移動)とは
  2. ラテラルムーブメントの仕組み
  3. 偵察・情報収集
  4. システム侵入
  5. アクセス・攻撃開始
  6. ラテラルムーブメントの代表的な手法
  7. パス・ザ・ハッシュ
  8. 中間者攻撃(MitM攻撃)
  9. リモート実行
  10. ラテラルフィッシング
  11. ラテラルムーブメントを利用する攻撃の種類
  12. ランサムウェア
  13. スパイ活動
  14. APT攻撃
  15. データ流出
  16. ボットネット感染
  17. ラテラルムーブメントの検知方法
  18. ネットワークのモニタリング
  19. EDRの利用
  20. UEBAの利用
  21. ラテラルムーブメントを阻止する対策
  22. アクセス権限の最小化
  23. 多要素認証の導入
  24. 脅威検知システムの導入
  25. 特定ネットワークの隔離
  26. GMOサイバーセキュリティ byイエラエのサイバー攻撃対策
  27. まとめ

ラテラルムーブメント(水平移動)とは

ラテラルムーブメント(水平移動)とは、攻撃者がネットワーク内で横方向に移動して権限を拡大する攻撃手法のことです。

サイバー攻撃では、最初に侵入したシステムから隣接する他のシステムへ段階的に移動していきます。

この手法により、攻撃者は組織内のより多くのシステムやデータにアクセスし、最終的な攻撃目標の達成を目指す仕組みです。

従来の境界防御だけでは対応が困難で、内部ネットワークでの活動を前提とした新しい脅威といえるでしょう。

ラテラルムーブメントの仕組み

攻撃者は段階的にネットワーク内での影響範囲を拡大していきます。ここでは、ラテラルムーブメントの具体的な仕組みについて解説します。

偵察・情報収集

攻撃者はまず侵入したシステム内で周辺環境の調査を開始します。

ネットワーク構成の把握、稼働中のサービスの特定、ユーザーアカウント情報の収集などを慎重に実行していきます。

この段階では検知を避けるため、正規のシステムツールを悪用して情報収集を行う場合がほとんどです。

システム侵入

情報収集で得た知見を基に、攻撃者は新たなシステムへの侵入を試みます。

脆弱性の悪用、盗取した認証情報の使い回し、フィッシング攻撃による追加の認証情報取得などが主な手段となります。

すでに制御下に置いたシステムを踏み台として使用することもあり、そのシステムを新たな拠点としてさらなる攻撃活動を展開していくのです。

アクセス・攻撃開始

新たに侵入したシステムでは、まず権限昇格を図り管理者レベルのアクセス権取得を試みます。

十分な権限を確保した後は、機密データの探索と窃取、システムの破壊、マルウェアの設置などを実行するのです。

この段階では攻撃の痕跡隠蔽も重要な作業となり、ログの削除や改ざんも実施されることがあります。

ラテラルムーブメントの代表的な手法

攻撃者はさまざまな技術的手法を組み合わせてネットワーク内を移動します。ここでは、ラテラルムーブメントの代表的な手法を4つ紹介します。

パス・ザ・ハッシュ

パス・ザ・ハッシュとは、パスワードの平文を知らずにハッシュ値のみで認証を突破する手法のことです。

認証情報がハッシュ化されてメモリ内に保存されるため、このハッシュ値を窃取して認証に使用します。

特にWindowsドメイン環境で威力を発揮し、ドメイン管理者のハッシュを取得すれば組織全体への影響が及びます。

中間者攻撃(MitM攻撃)

中間者攻撃(MitM攻撃)は、通信経路に割り込んで送受信データの盗聴や改ざんを行う攻撃手法です。

攻撃者は正規の通信経路上に位置し、クライアントとサーバー間のデータを中継しながら情報を窃取します。

この攻撃により、ログイン認証情報やセッション情報、機密データなどが攻撃者の手に渡ることになるのです。取得した認証情報は他のシステムへの不正アクセスに悪用されます。

なお、中間者攻撃については以下の記事で詳しく解説しています。

【関連記事】中間者攻撃(MitM攻撃)とは?代表的な種類や被害事例、対策方法を紹介

リモート実行

リモート実行は、遠隔地から対象システム上でコマンドやプログラムを実行する攻撃手法です。

正規の管理ツールであるPowerShellやWMI、PSExecなどを悪用して、システム管理者になりすます場合が多く見られます。

物理的にアクセスできないシステムでもマルウェアの展開や設定変更が行えるため、攻撃範囲の拡大に非常に有効です。

ラテラルフィッシング

ラテラルフィッシングは、すでに侵入済みのアカウントから組織内の他のユーザーにフィッシングメールを送信する手法です。

社内の信頼できる送信者からのメールのため、受信者の警戒心が薄く、通常のフィッシング攻撃より成功率が高くなります。

攻撃者は組織の内部構造や業務フローを理解した上で、説得力のある偽装メールを作成します。

ラテラルムーブメントを利用する攻撃の種類

この攻撃手法はさまざまなサイバー攻撃で中核的な役割を果たしています。以下、ラテラルムーブメントを利用する攻撃を5つ紹介します。

ランサムウェア

ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語であり、情報技術の世界において重大な脅威となるマルウェアのことです。

ランサムウェア攻撃では、組織全体のシステムを暗号化するために横方向への拡散が不可欠となります。

単一のシステムだけでは身代金要求の効果が限定的なため、攻撃者は可能な限り多くのシステムに感染を広げようとします。ランサムウェアの脅威については以下の記事をご確認ください。

【関連記事】ランサムウェアとは?感染経路や被害例、被害防止策や感染時の対処法を徹底解説

スパイ活動

国家レベルや企業スパイによる長期的な情報収集活動では、複数システムへの段階的なアクセスが必要です。

攻撃者は研究開発情報、顧客データ、財務情報、戦略文書など、分散保存された機密情報を総合的に窃取していきます。

長期間にわたって潜伏活動を継続するのが特徴で、定期的に情報を外部に送信しながら活動範囲を拡大します。

APT攻撃

APT攻撃は、特定の組織や個人を目的にして複数の攻撃手法を使って継続的に行う攻撃です。

初期侵入後は慎重に環境を調査し、重要な資産や情報にアクセスするまで段階的に活動範囲を広げていきます。

このような攻撃では組織の機密情報が長期間にわたって流出し続け、甚大な被害をもたらすことがあります。APT攻撃の詳細については以下の記事をご確認ください。

【関連記事】APT攻撃とは?手口や標的型攻撃との違い、対策方法について解説

データ流出

個人情報、クレジットカード情報、医療記録など、異なる種類のデータが別々のシステムに保存されている場合が一般的です。

攻撃者はこれらの分散したデータを横断的に収集し、より価値の高い情報セットとして取りまとめるのです。流出データは闇市場で売買されたり、恐喝の材料として使用されたりします。

ボットネット感染

ボットネットとは、マルウェアに感染したコンピュータをネットワーク化したものです。マルウェアの感染範囲を組織内で拡大させることで、攻撃者の収益機会を増大させます。

感染デバイス数の増加により、DDoS攻撃の効果向上、仮想通貨マイニングの収益拡大、情報収集能力の強化を図ります。

攻撃者は感染したデバイスを踏み台として、同一ネットワーク内の他のデバイスへの感染拡大を試みるのです。ボットネットの仕組みについては以下の記事をご確認ください。

【関連記事】ボットネットとは?仕組みや危険性、悪用されないための対策を解説

ラテラルムーブメントの検知方法

効果的な検知には複数の監視手法を組み合わせた多層防御が必要です。ここでは、ラテラルムーブメントの主な検知方法を3つ紹介します。

ネットワークのモニタリング

ネットワークのモニタリングでは、通常の業務パターンと異なる通信を検出することで横方向移動を発見します。

たとえば、深夜時間帯の大量データ転送、通常使用されないプロトコルでの通信、異常な宛先への接続などが主な監視対象です。

特にサーバー間の通信量増加は、ラテラルムーブメントの典型的な兆候として重要視されています。

継続的な監視により攻撃の早期発見が可能となり、被害の拡大を防止する効果が期待できます。

EDRの利用

EDR(エンドポイント検知・対応システム)は、組織内におけるデバイス上での活動を監視・分析します。

プロセスの実行履歴やファイルシステムの変更、レジストリの操作などを包括的に記録するソリューションです。

攻撃者が使用する正規ツールの異常な実行パターンや、マルウェアの活動痕跡を高精度で検出します。EDRの機能や注意点については以下の記事で解説しています。

【関連記事】EDRとは?EPPとの違いや機能・製品選びのポイントをわかりやすく解説

UEBAの利用

UEBA(ユーザー・エンティティ行動分析)は、サーバーやルーターなど実体の行動を分析し、脅威を検出するセキュリティツールです。

各ユーザーのログイン時間、アクセス先、使用アプリケーションなどの行動履歴を学習し、ベースラインを構築します。

攻撃者による不正アクセスでは、正規ユーザーとは異なる行動パターンが現れるため、これを統計的に検出する仕組みです。

また、UEBAは機械学習技術により、微細な変化や複合的な異常パターンも見逃さずに識別する精度を実現しています。UEBAの詳細については以下の記事をご確認ください。

【関連記事】UEBAとは?SIEM・UBAとの違い、導入のメリット・デメリット

ラテラルムーブメントを阻止する対策

ラテラルムーブメントを効果的に阻止するには、包括的な防御戦略が必要です。以下、セキュリティ体制の強化に寄与する対策を4つ紹介します。

アクセス権限の最小化

最小権限の原則により、各ユーザーには業務遂行に必要な最低限の権限のみを付与します。

管理者権限の無制限な使用を避け、作業内容に応じて一時的な権限昇格を行う仕組みを構築することで、ラテラルムーブメントの犯行を抑えられます。

また、共有アカウントの使用を禁止し、個人アカウントによる責任の明確化を図ることも重要です。

多要素認証の導入

認証強化では、パスワードに加えて生体認証、トークン、SMS認証などの複数要素を組み合わせる方法が有効です。

仮に単一の認証情報が漏洩しても、他の要素により不正アクセスを阻止することができます。特に管理者アカウントや重要システムへのアクセスでは、より強固な認証方式の採用が推奨されます。

多要素認証に用いる要素には複数の種類があり、その詳細について知りたい方は以下の記事をご確認ください。

【関連記事】多要素認証(MFA)とは?二要素認証・二段階認証との違いやメリットを解説

脅威検知システムの導入

AI・機械学習を活用した次世代の脅威検知システムは、従来手法では発見困難な攻撃も検出します。

ビッグデータ解析により、組織内のあらゆる活動をリアルタイムで監視し、異常パターンを自動識別するのです。

具体的には、脅威検知システムとしてNDRやSIEMが挙げられます。攻撃者の行動パターンや使用ツールの特徴を学習し、類似の攻撃手法を予測的に検出する能力も備えています。

特定ネットワークの隔離

重要システムを含むネットワークセグメントの物理的・論理的分離により、攻撃範囲を制限します。

ファイアウォールやVLANによる論理的分離に加え、物理的に別系統のネットワーク構築も効果的です。

ネットワークを隔離することで、攻撃者が一部のシステムに侵入しても、最重要資産への到達を困難にします。

GMOサイバーセキュリティ byイエラエのサイバー攻撃対策

GMOサイバーセキュリティ byイエラエ

画像引用元:GMOサイバーセキュリティ byイエラエ

ラテラルムーブメント攻撃の検知と防御には、専門的な知識と経験が不可欠です。

GMOサイバーセキュリティ byイエラエ」では、世界トップレベルの技術力を活用したサイバー攻撃対策サービスを展開しています。

脆弱性診断・ペネトレーションテストでは、実際の攻撃手法を用いて組織の防御能力を徹底検証し、見落としがちなリスクも特定します。

インシデント発生時には、迅速な初動対応から原因特定、再発防止策の策定まで包括的にサポートいたします。

組織のセキュリティ強化を考えている企業様は、「GMOサイバーセキュリティ byイエラエ」にぜひご相談ください。

まとめ

この記事では、ラテラルムーブメントの概要や具体的な攻撃手法、有効な対策について解説しました。

ラテラルムーブメントは従来の境界防御では対応困難な脅威で、APT攻撃やランサムウェア感染において組織に深刻な被害をもたらす危険性があります。

これに対してEDRやUEBAの活用、アクセス権限の最小化、ネットワーク監視強化により、攻撃の早期発見と被害拡大の防止が重要となります。

組織のセキュリティ対策を考えている場合は、サイバー攻撃対策サービスを展開する「GMOサイバーセキュリティ byイエラエ」にぜひご相談ください。

文責:GMOインターネットグループ株式会社

関連記事

TECHNOLOGY BLOG