ラテラルムーブメントとは
この記事は約 2 分で読めます
ラテラルムーブメント (Lateral Movement) とは、攻撃者がネットワーク内の最初の足がかりを確保した後、より価値の高いシステムやデータに到達するためにネットワーク内を横方向に移動する攻撃手法です。最初に侵害されるのは一般ユーザーの端末であることが多く、そこから管理者権限の奪取やドメインコントローラーへの到達を目指して段階的に移動します。ランサムウェア攻撃では、ラテラルムーブメントによって組織全体のシステムに暗号化を拡散させるため、この段階での検知と遮断が被害規模を決定づけます。
キルチェーンにおける位置づけ
サイバーキルチェーンのフレームワークでは、ラテラルムーブメントは初期侵入 (Initial Access) と目的達成 (Actions on Objectives) の間に位置します。攻撃者は偵察、武器化、配送、エクスプロイト、インストールを経て足がかりを確保し、そこからラテラルムーブメントで高価値ターゲットに接近します。
代表的な手法
攻撃者はラテラルムーブメントにさまざまな手法を用います。いずれも正規の認証メカニズムや管理ツールを悪用するため、通常のトラフィックとの区別が困難です。
パスワードのハッシュ値をそのまま認証に使用する手法。NTLM 認証の仕様を悪用し、平文パスワードを知らなくても他のマシンにログインできる。
Kerberos 認証チケット (TGT/TGS) を窃取・再利用する手法。Active Directory 環境で特に有効で、ドメイン内の任意のサービスにアクセスできる。
窃取した認証情報でリモートデスクトップや SSH に接続し、別のマシンを直接操作する。正規の管理ツールを使うため検知が難しい。
Active Directory の悪用
Windows 環境の Active Directory (AD) はラテラルムーブメントの主戦場です。AD はドメイン内のすべてのユーザー、コンピューター、グループポリシーを一元管理しているため、ドメインコントローラーを掌握されると組織全体が陥落します。攻撃者は Mimikatz などのツールでメモリ上の認証情報を抽出し、Golden Ticket 攻撃でドメイン管理者権限を永続的に確保します。IAM の観点から、特権アカウントの保護と認証情報のローテーションが極めて重要です。
マイクロセグメンテーションによる防御
ネットワークセグメンテーションをさらに細分化したマイクロセグメンテーションは、ラテラルムーブメントに対する最も効果的な防御策の一つです。ワークロード単位でセグメントを分離し、セグメント間の通信を厳密に制御することで、攻撃者が 1 台のマシンを侵害しても隣接するマシンへの移動を物理的に遮断します。ゼロトラストアーキテクチャの中核要素であり、クラウドネイティブ環境ではソフトウェア定義のマイクロセグメンテーションが標準的なアプローチになりつつあります。
EDR / NDR による検知
EDR (Endpoint Detection and Response) はエンドポイント上の不審なプロセス実行やファイルアクセスを監視し、ラテラルムーブメントの兆候を検知します。NDR (Network Detection and Response) はネットワークトラフィックを分析し、通常とは異なる内部通信パターン (たとえば、一般ユーザーの端末からドメインコントローラーへの直接接続) を検出します。両者を組み合わせることで、エンドポイントとネットワークの両面からラテラルムーブメントを捕捉できます。サイバー攻撃防御の関連書籍 (Amazon)で検知技術の詳細を学べます。
現場での使用例
「フィッシングメール経由で 1 台の端末が侵害されましたが、マイクロセグメンテーションにより攻撃者の横移動が遮断され、被害はその 1 台に限定されました。EDR のアラートで侵害を 15 分以内に検知し、端末をネットワークから隔離して封じ込めに成功しました。」
ランサムウェア対策はランサムウェア防御の記事で、内部脅威への対応は内部脅威対策の記事で、ゼロトラストの実装はゼロトラストセキュリティの記事で詳しく解説しています。
この記事は役に立ちましたか?