ラテラルムーブメントとは？ 具体例から推奨される3つの対策：最新セキュリティトレンドを解き明かす

ランサムウェアを含むマルウェア攻撃の被害を最小限にするには、サイバー攻撃者がネットワーク侵入後に実行する探索活動「ラテラルムーブメント」をいかに防ぐかが重要です。ラテラルムーブメントの狙いと3つの対策を紹介します。

[寺下健一，フォーティネットジャパン合同会社]

　ランサムウェアなどのサイバー攻撃が激化する中、「ラテラルムーブメント」というキーワードが注目されています。

　ラテラルムーブメントは水平展開（あるいは横移動、横展開など）と呼ばれる、サイバー攻撃者が被害者ネットワーク侵入後に実行する探索活動です。ネットワークの外部から内部に侵入する方向が「縦方向の移動」と呼ばれる一方で、内部展開する活動は「横方向の移動」や水平展開と呼ばれています。

　従来の侵入対策では縦方向への対策が主流で、インターネットとの接続点にあるファイアウォールなどの境界防御に重きを置かれていました。しかし、サイバー攻撃者は侵入成功後からさらに被害範囲を広げ、攻撃成果の最大化を狙おうとする動きが最近増加しています。

　VMwareが2022年に公開した調査によると、全てのサイバー攻撃のうち25％でラテラルムーブメントが観測されました。つまり内部ネットワークのセキュリティ水準を外部からの攻撃と同様に引き上げ備えることは企業にとって急務となっています。本稿では、ラテラルムーブメントの具体的な戦術を分析し、取るべき戦略を解説します。

この記事で分かること

• ラテラルムーブメントの目的と事例
• ラテラルムーブメントを防御する3つの手法

筆者紹介：寺下健一氏（フォーティネットジャパン　チーフセキュリティストラテジスト）

2015年からグローバルのセキュリティチームに所属し、国内外のリサーチ活動に携わる。フォーティネットが持つサイバーセキュリティに関する知見やセキュリティ戦略に関する動向などを、日本国内の幅広い層に伝える活動を通じ、フォーティネットの企業価値向上と社会の安全性向上に努めている。

ラテラルムーブメントは何を狙っているのか？　3つのケースを紹介

　ラテラルムーブメントは、「MITRE ATT&CK」フレームワークでも1つの戦術カテゴリーとしてまとめられています。サイバー攻撃者の間でこの戦術は頻繁に用いられるため、SOCオペレーターやセキュリティアナリストはこれに向けた適切な対策を講じる必要があります。

　まずはラテラルムーブメントの具体例を幾つか紹介し、サイバー攻撃者がラテラルムーブメントで何を実現したいのかを探っていきたいと思います。

ケース1．リモートサービスの悪用

　サイバー攻撃者がネットワーク内を行き来する際には、手っ取り早く今あるものを利用しようとします。外部公開しているリモートサービスとは異なり、内部ネットワークには脆弱（ぜいじゃく）なTelnetや簡易なパスワードが設定されているSSHやVNCをはじめとした、セキュリティ水準の低いリモートサービスが利用あるいは放置されているケースが存在します。

　サイバー攻撃者はネットワーク侵入後、近隣のネットワークに対してスキャンを実行し、低コストで悪用可能なリモートサービスを見つけ出し、内部ネットワークのさらなる探索、侵入の拡大を試みます。一度侵入に成功したデバイスが既にリモートサービスにログイン済みであれば、ログインセッション情報を窃取してユーザーになりすましてパスワードをプレーンテキストで入手する必要なく、リモートシステムに侵入できるでしょう。

ケース2．内部スピアフィッシング

　システム内の侵入に成功したサイバー攻撃者は、標的にした内部ユーザーのシステムアカウントやデバイスの制御を狙うこともあります。その際、信頼されている内部アカウントを利用すればこのユーザーに警戒されにくいため、スピアフィッシングの成功率は上がり、電子メールやチャットで容易にだませるでしょう。

ケース3．リムーバブルメディアやネットワークドライブへの感染

　サイバー攻撃者は間接的にラテラルムーブメントを実行することも可能です。具体的には、侵入したデバイスが使用しているリムーバブルメディア（USBメモリなど）や接続中のネットワークドライブ（社内ファイルサーバなど）にマルウェアをコピーし、他のデバイスでそれらが実行されるのを待つといった手法が考えられます。これに成功すると、初期に侵入したデバイスからは直接到達できないような内部ネットワークにユーザーのオペレーションを介して侵入できる可能性が高まるでしょう。

ラテラルムーブメントの進行例（出典：フォーティネット提供資料）

　ラテラルムーブメントが多用された事例としては、2018年に発生した産業技術総合研究所（以下、産総研）のシステムへの不正アクセスが挙げられます。

　産総研が公開した報告書によると、サイバー攻撃者は被害組織の外部に設置されているメールシステムを侵害してメールデータを窃取し、レンタルサーバ経由で内部サーバを侵害し、これを踏み台にしてさらに内部に侵入を続けました。

　サイバー攻撃者は内部ネットワークの価値ある端末やデータに近づくために、フットプリントを徐々に拡大することを狙います。目的の端末に一足飛びで到達する不確実な方法より、コストはかかりますが着実に侵入を進めることを期待しているのです。

　産総研のケースでは最終的に、LDAPサーバを悪用されて職員情報を窃取されたり、ファイルサーバに対して管理者ログインで侵入されたりしました。

ラテラルムーブメントに対する3つの防衛戦略

　英国の国家サイバーセキュリティセンター（以下、NCSC）は、ラテラルムーブメント防止のためのガイダンスを発行し、これを早期に発見して防止することがその後の深刻な被害を食い止めるために重要であると警告しています。

　“深刻な被害”とは、ドメインコントローラーや制御システムのコントロールパネルなどの権限を乗っ取られて組織全体でランサムウェアが実行され、重要インフラの停止や破壊が発生するレベルを指しています。サイバー攻撃者はこうした目的を達成するために、ネットワーク侵入後にラテラルムーブメントを実行し、システムの内部構造を調査して権限昇格を重ねるのです。

　では、ラテラルムーブメントを早期に発見して防止するためのセキュリティ戦略としてはどのようなものが考えられるのでしょうか。NCSCが推奨する戦略を幾つか紹介しましょう。

対策1．優れた認証方式を導入する

　認証の強化は、サイバー攻撃者によるシステム内の侵入を防ぐのに効果的です。総当り攻撃（ブルートフォース攻撃）などの耐性を高めるため強固なパスワードを設定するとともに、アカウント自体を盗まれるのを防ぐためにパスワードの再利用を避けるというのはユーザーでの基本原則です。

　システム側ではログイン制限を設けることが有効です。想定されていない地域や時間帯、デバイスや経路からのログインを拒否することで不審な攻撃者の振る舞いを未然に妨害できます。多要素認証を導入することも推奨されます。ID／パスワードといった「知識情報」だけでなく、ICカードやトークンなどの「所持情報」といった異なる認証要素を組み合わせて、正規のアクセスを検証しましょう。サイバー攻撃者からしてみると、システムに侵入するには複数の認証を全てを手に入れなければならないので非常に難しく、対策の有効性が分かるでしょう。

対策2．最小権限の原則にのっとったアカウント管理を実行する

　万が一、サイバー攻撃者に何かしらのシステムアカウントが侵害されて制御されたとしても、窃取されたアカウントに特別な権限が付与されていなければ、その後の影響を最小限にとどめられます。逆にそのようなリスクアセスメントを検討しなければ、過剰な（あるいは全ての）権限を持つアカウントを不適切なセキュリティ水準で存在させてしまうかもしれません。

　ソフトウェアの標準設定を放置したり、システム構築時のテンポラリアカウントを放置したりすると、上記のような状況を容易に生み出してしまいます。「ユーザーに割り当てるアカウント権限は最小限にとどめる」という原則を徹底してアカウント管理することで、サイバー攻撃者に悪用されたときのリスクを低減化するだけでなく、正規ユーザーの意図しない誤操作や内部犯行を防ぐことにもつながるでしょう。

対策3．不審、不要なアクセスは制限する

　システム上のリスクある振る舞いは、目に見えて分かりやすいものではありません。サイバー攻撃者は検知を避けるために最善の方法を常に模索し行動しています。デバイスの不審な振る舞いやセキュリティパッチ未適用の脆弱なデバイスの接続は、システムに何らかのリスクをもたらすと考えて自動的にロックダウンするといった考え方が重要です。不要なネットワークアクセスが事前に区別できるのであれば、ネットワークにより細かなセグメンテーションを導入し、不要なアクセスを禁止するコントロールは有効に働くでしょう。

　その他、ラテラルムーブメントの検出方法として推奨されているのは、通常は実行されないプロセスやコマンドが動作していないか、不審なログインセッションが使用されていないかなどを、システムログやネットワークトラフィックデータを観察し発見することです。これには大量のデータから平常値と異常時を区別する必要があるため、SIEM（Security Information and Event Management：セキュリティ情報イベント管理）などの分析システムの導入が必要になるでしょう。

セキュリティ戦略策定に対する考え方

　既に広く共有されているさまざまなガイダンスや本稿で示されているような防衛策の幾つかは、迅速に実装するのが難しいことは理解しています。しかし、これらがサイバーセキュリティ高度化の出発点であることは間違いないでしょう。

　これを実現するには、組織独自の環境を加味して、導入する対策の優先順位を付けて利用可能な予算と利便性のバランスを取る必要があります。リスクマネジメントの観点から、回避・軽減するだけでなく、転嫁・許容する考え方も必要な場合があるかもしれません。少なくとも必要なことは、サイバー攻撃者の目的を阻止すべく、最新の分析に耳を傾け、専門家と議論を続け、組織独自の戦略を自ら発見することなのです。