ラテラルムーブメントとは？意味と対策

ラテラルムーブメントとは、サイバー犯罪者が初期のアクセスを得た後、ネットワーク内を進むために使用する手順や手法を意味しています。検出を避けながら横方向（ラテラル）に移動することで、攻撃者は追加のシステムを制御し、特権を拡大させ、組織のITインフラ内で貴重なデータやアプリケーションを見つけることが可能となります。

ラテラルムーブメントの主な目的は、しばしばデータ漏洩のために、組織の「クラウンジュエル」に到達することです。ここで言う「クラウンジュエル」とは、知的財産、財務記録、個人データなどの機密情報を指し、これらはしばしば悪意のある目的での恐喝やダークウェブでの販売などに利用されます。また、攻撃者はラテラルムーブメントの戦術を破壊行為（例: ランサムウェアの展開）やスパイ活動に利用することもあります。

ラテラルムーブメントへの対抗策は、サイバー攻撃者の動きを理解することと、連続的なモニタリングや高度な脅威検出能力などの堅牢なサイバーセキュリティ対策の実施が必要になります。

ラテラルムーブメント攻撃は、初期の不正アクセスを得た後、サイバー犯罪者が持続性を維持し、組織のネットワーク内を横断的に移動するための多段階のプロセスで構成されています。ラテラルムーブメントの一般的なステップを理解することは、組織やサイバーセキュリティ専門家がこれらの脅威をより効果的に防ぎ、検出するのに役立ちます。

初期の侵害

ラテラルムーブメント攻撃の最初の段階は初期の侵害です。サイバー犯罪者は、フィッシングメール、ソーシャルエンジニアリング、イニシャルアクセスブローカー（IAB）、またはソフトウェアアプリケーションの脆弱性を利用して、従業員のデバイスやアカウントを攻撃し、不正なアクセスを得ることがあります。ネットワーク内に侵入したら、攻撃者はトロイの木馬などのマルウェアをインストールしたり、偵察やさらなる攻撃を目的とした他のツールを使用したりして足場を築きます。

偵察

偵察の段階では、攻撃者は目標環境に関する情報を収集します。これには、対象に関する公共の情報の収集、ネットワークのスキャンによるマッピング、オープンポートの検索、およびそれら上で実行されている脆弱なデバイスやサービスの識別が含まれます。この情報は、犯罪者が次のステップを計画し、同時にセキュリティシステムに検出されるのを回避するのに役立ちます。

クレデンシャルハーベスティング

ネットワークインフラ内でのラテラルムーブメントを容易にするために、脅威アクターは適切な権限を持つ有効なユーザー認証情報（ユーザー名/パスワード）が必要です。これらは、初期の侵害フェーズでキーロガーをインストールしたり、ブルートフォース、辞書攻撃、クレデンシャルスタッフィングなどのさまざまな手段を使用して、組織のパスワードポリシーの弱さを悪用して取得されます。

パスワードスプレー攻撃

クレデンシャルハーベスティングでよく使用される手法の一つが、「パスワードスプレー攻撃」です。この戦術では、攻撃者は一般的に使用されるパスワードを多くのアカウントに対して同時に複数回のログイン試行で使用し、アカウントのロックアウトが発生せずに機能するものを見つけるまで続けます。

脆弱性の悪用

攻撃者は有効な認証情報を取得したら、しばしば既知のソフトウェアアプリケーションやオペレーティングシステムの脆弱性を悪用して権限を昇格させます。これにより、攻撃者はネットワーク内の他のデバイスで機密データにアクセスしたり、コマンドを実行したりして、効果的に影響を横断的に複数のシステムに広げることができます。

持続性とデータ漏洩

ラテラルムーブメント攻撃の最終段階は、侵害されたシステムから貴重なデータを持ち出すため、将来のアクセスのためのバックドアを作成し、持続性を確立することを含みます。脅威アクターは、リモートアクセス用のランサムウェアやRAT（遠隔操作ウイルス）のような追加の悪意のあるソフトウェアを導入して、浸透したマシンを遠隔で制御し、組織のITネットワークに持続的な足場を築くことがあります。

ラテラルムーブメント攻撃では、サイバー犯罪者はさまざまな手法を使用してネットワークを横切り、貴重なデータに不正アクセスを試みます。これらの手法を理解することは、ITスタッフやサイバーセキュリティの専門家が組織の機密情報とシステムをより良く保護するのに役立ちます。以下は一般的なラテラルムーブメントの手法です。

1. パス・ザ・ハッシュ（PtH）: この手法では、攻撃者は暗号ハッシュ化されたユーザー認証情報を1つのシステムから盗み、それを使用して同じネットワークドメイン内の他のシステムに認証します。これにより、実際の平文パスワードを必要とせずにパスワードベースの認証メカニズムを使用できます。
2. リモート実行: 攻撃者は対象のシステムで悪意のあるコードを実行するために、リモートサービスやアプリケーションの脆弱性を悪用します。リモート実行を実行するための一般的なツールの例には、PowerShell、PsExec、およびWindows Management Instrumentation（WMI）があります。
3. 中間者攻撃（MitM攻撃）: サイバー犯罪者は、対話フローの中間に自分を配置することで、2つの当事者間の通信を傍受します。MitM攻撃を使用することで、彼らは両方の当事者が自分が侵害されたことを知らずに交換されるデータを傍受します。このデータは、コンピューティングセッションを乗っ取るか、他の下流の目的に使用できます。
4. ラテラルフィッシング: 組織内のメールアカウントを侵害した後、攻撃者はそのアカウントから他の従業員やパートナーにフィッシングメールを送信し、機密情報を要求したり、悪意のあるリンクをクリックしたりするよう求めます。この手法は同僚間の信頼を利用し、メールが信頼された同僚からのものであるかのように見せかけ、攻撃の成功確率を高めます。
5. 環境寄生型攻撃（Living Off The Land）: 攻撃者は組織の環境に存在する組み込みのツール、スクリプト、およびアプリケーションを使用して攻撃を実行します。正当なツールを悪意のある目的に使用することで、彼らは通常のネットワークアクティビティに紛れ込み、多くのセキュリティソリューションによる検出を回避できます。

これらのラテラルムーブメントの手法は、攻撃者が検出されずにネットワークを横断するいくつかの例に過ぎません。これらの脅威に効果的に対抗するためには、組織はこれらの未承認アクセスを検出および防止することに焦点を当てた堅牢なサイバーセキュリティ対策を実施する必要があります。これには、潜在的な脆弱性を特定し、ラテラルムーブメントが発生する前に阻止するための内部スキャンが含まれます。

ラテラルムーブメントは、さまざまな種類の攻撃でサイバー犯罪者がよく使用する戦術です。異なる攻撃シナリオを理解することで、ITチームやサイバーセキュリティの専門家はこれらの脅威に対するより良い防御策を準備できます。以下は、ラテラルムーブメントを利用する一般的なサイバー攻撃の種類です。

1. APT攻撃（Advanced Persistent Threat）： APTは、洗練された攻撃者がネットワークに不正アクセスし、長期間検出されないままでいる長期かつ標的型の攻撃です。これらの攻撃者は通常、ラテラルムーブメントの技法を使用してネットワークを移動し、特権をエスカレートさせ、機密データを持ち出します。詳細は「APT攻撃（Advanced Persistent Threat）とは？手口と対策」をご覧ください。
2. ランサムウェア攻撃： ランサムウェアは、感染したシステム上のファイルを暗号化し、被害者に対して復号鍵の提供と引き換えに支払いを要求するマルウェアの一種です。攻撃者は通常、ラテラルムーブメントの技法を使用して組織のネットワーク内でランサムウェアを拡散させ、その影響と潜在的な支払額を増加させます。
3. データ侵害： データ侵害は、不正な個人が組織のシステムやデータベースにアクセスして機密情報を盗むときに発生します。攻撃者は通常、ラテラルムーブメントの手法を活用して貴重なデータリポジトリを特定し、その情報を持ち出します。
4. 認証情報の盗難攻撃： 認証情報の盗難は、悪意を持ってユーザーや組織からユーザー名やパスワードを盗む行為であり、これにより不正アクセスを行ったり、それらをダークウェブで他のサイバー犯罪者に売却したりします。サイバー犯罪者は通常、ラテラルムーブメントを使用して複数のシステムから認証情報を収集し、対象ネットワークに対する特権と制御を拡大させます。
5. 内部脅威： 内部脅威は、組織のシステムへの合法的なアクセス権を持つ従業員や契約者によって起こる場合がありますが、これらのアクセスを悪用して悪意ある目的で使用します。これらの個人は通常、トラックを消すためやネットワーク内でさらなる不正な特権を得るためにラテラルムーブメントの技法を使用することがあります。

各攻撃シナリオでのラテラルムーブメントの検出と緩和は、広範な被害を防ぎ、潜在的な損失を最小限に抑えるうえで重要です。

サイバー攻撃による被害を最小限に抑えるためには、ラテラルムーブメントを迅速に検知することが重要です。十分に早く検知できないと、攻撃者は機密データや重要なシステムにアクセスし、組織に大きな損害を与える可能性があります。効果的にラテラルムーブメントを認識し、停止させるための異なる技術やセキュリティコントロールについて把握することが重要です。

ネットワークのモニタリング

ネットワークレベルのモニタリングは、ネットワークインフラ内での異常なアクティビティを検知する上で重要です。ネットワークトラフィックのパターンを継続的に分析し、それを確立された基準と比較することで、ラテラルムーブメントを示唆する異常を早期に特定できます。IDSやSIEMなどのツールは、ネットワークのモニタリングに一般的に使用され、不審なアクティビティを検出します。

UEBA（User and Entity Behavior Analytics）

UEBA（ユーザーとエンティティの行動分析）は、組織のIT環境全体でユーザーの活動を追跡し、悪意のある意図を示す可能性のある異常な行動を特定する手法です。UEBAツールは、各ユーザーアカウントに対する通常の使用パターンを確立し、これらのパターンからの逸脱を潜在的な脅威として検知するために機械学習アルゴリズムを使用します。

EDR（Endpoint Detection and Response）

EDR（エンドポイント検知および対応）ソリューションは、組織のネットワーク全体でのエンドポイントの活動に対するリアルタイムの可視性を提供します。これらのツールはシステムプロセス、ファイルの変更、レジストリの変更などを監視し、ラテラルムーブメントの試みを示唆する可疑なアクションを特定するセキュリティチームに対して能動的な情報を提供します。

効果的なラテラルムーブメント検知のためのヒント：

• ネットワークのモニタリング、ユーザー行動分析、アイデンティティ脅威の検出と対応、特権アクセスの管理、およびエンドポイントセキュリティの検出を組み合わせた、複数層のセキュリティアプローチを実装して、潜在的な脅威に対する可視性を最大化します。
• 定期的なセキュリティアセスメントや侵入テスト/レッドチーム活動を実施し、ラテラルムーブメントに悪用される可能性のあるITインフラの脆弱性を特定します。

十分なラテラルムーブメントの準備と検知が不足していると、壊滅的なデータ漏洩、財務上の損失、評判の損傷、および規制に対する罰金など、深刻な結果につながる可能性があります。上述のツールと戦略を活用することで、組織は悪意のある活動を全面的な攻撃にエスカレートする前に検出する能力を大幅に向上させることができます。

ラテラルムーブメント攻撃を効果的に防ぐために、組織はネットワークとエンドポイントのセキュリティに焦点を当てた多層的なアプローチを採用する必要があります。これにはさまざまなセキュリティ対策の実施、疑わしい活動のモニタリング、従業員への潜在的な脅威に関する教育が含まれます。以下は、ラテラルムーブメントのリスクを最小限に抑えるための重要な手順です。

1. ネットワークセグメンテーション: ネットワークを小さなセグメントやゾーンに分割し、制限されたアクセスコントロールを導入します。これにより、攻撃者が環境内でラテラルムーブメントを行う能力が制限されます。
2. アクセス制御: POLP（最小特権の原則）に基づいた厳格なアクセス制御ポリシーを確立します。ユーザーが彼らの仕事に必要なリソースにのみアクセスできるようにします。特に特権アカウントを強力に管理するためにPAM（特権アクセス管理）を使用します。
3. パッチ管理: すべてのソフトウェアアプリケーションとオペレーティングシステムを最新のパッチで定期的に更新して、攻撃者がラテラルムーブメントの試み中に悪用する既知の脆弱性を閉じます。
4. 多要素認証（MFA）: リモートアクセスと特権アカウントに対してMFAを要求し、盗まれた認証情報や総当たり攻撃による未承認のログインを減らします。
5. EDR（エンドポイント検知および応答）: EDRソリューションを導入して、エンドポイントを常に監視し、侵害の兆候を検出し、リアルタイムで脅威に対応します。
6. UEBA（ユーザーとエンティティの行動分析）: ユーザーの行動パターンを分析し、ラテラルムーブメント攻撃の兆候となる異常を識別するUEBAツールを活用します。UEBAツールはネットワーク内の疑わしい活動を検出するのに役立ちます。
7. サイバーセキュリティ意識向上トレーニング: セキュリティ意識向上トレーニングを通じて、従業員にフィッシングメール、ソーシャルエンジニアリングの手法、ラテラルムーブメントキャンペーンでサイバー犯罪者が使用する他の一般的な攻撃手法に関するリスクについて教育します。

これらの積極的な対策は、組織のネットワークに対する成功したラテラルムーブメント攻撃の可能性を著しく減少させます。強力なセキュリティポリシーと先進的なモニタリング技術、従業員教育イニシアチブを組み合わせることで、成長する脅威に対する防御力が向上します。

ラテラルムーブメントを防ぐための積極的な手段を講じること、例えば適切なネットワークセグメンテーションの実施やユーザー権限の制限など、組織は攻撃の成功リスクを大幅に低減できます。また、Proofpointの先進的なセキュリティソリューションを活用することで、ITチームはラテラルムーブメントを試みる脅威アクターからネットワークをより効果的に保護できます。

ラテラルムーブメント攻撃への対抗策として、Proofpointはこれらの脅威を検出し、防止し、対応するための包括的なツールとソリューションを提供しています。高度な技術とサイバーセキュリティの専門知識を活用することで、Proofpointは組織が不正なアクセスを試みるサイバー犯罪者から機密情報を保護するサポートをしています。

TAP（標的型攻撃の保護）

Proofpoint TAP(Targeted Attack Protection)は、攻撃のライフサイクルのさまざまな段階で悪意のある活動を検出する革新的なソリューションです。TAPは、機械学習アルゴリズムと脅威インテリジェンスを使用して、認証情報の盗難やリモートコードの実行など、ラテラルムーブメントの手法に関連する可疑な行動パターンを識別します。

メール保護

メールは、ネットワークのラテラルムーブメントの機会を求めるサイバー犯罪者による最初の浸透のための最も一般的な手段の一つです。 Proofpointのメール保護ソリューションは、フィッシング試行、メールの添付ファイルやリンクを介したマルウェアの送信、および組織のインフラへの侵入手法に対する強力な保護を提供します。

インシデントレスポンスサービス

ラテラルムーブメント攻撃が発生した場合、迅速な対応が被害を最小限に抑え、脅威を封じ込める上で重要です。 Proofpointのインシデントレスポンスサービスは、ラテラルムーブメント技術を利用したセキュリティインシデントの調査、封じ込め、修復を専門家の支援で提供します。これらのサービスは脅威の調査、封じ込め戦略、および修復支援に焦点を当てています。

Proofpointの包括的なツールとサービスを活用することで、ラテラルムーブメント攻撃に対する組織の検出、予防、効果的な対応能力が大幅に向上します。 Proofpointがどのようにして組織をラテラルムーブメント攻撃から保護できるか詳しく知りたい場合は、今すぐProofpointにお問い合わせください。