ラテラルムーブメントとは、サイバー攻撃者が最初のアクセスを獲得した後、ネットワークを通じて拡散し、方向転換するために使用する手法を指します。これにより、脅威アクターは組織のインフラストラクチャを水平に移動し、すぐに疑われることなくさまざまなシステムを探索して悪用することができます。この方法は、ラテラルムーブメントによってデータ侵害、不正アクセス、重大なセキュリティ侵害が発生する可能性があるため、企業にとって特に懸念されます。
横移動の起源とその最初の言及の歴史
ラテラルムーブメントの概念は、20 世紀後半のネットワーク化されたコンピュータ システムの進化とともに生まれました。組織が内部ネットワーク内で複数のコンピュータを接続するようになると、ハッカーは相互接続されたこれらのシステムを横断して貴重なデータにアクセスしたり、危害を加えたりする方法を模索しました。防御側が攻撃者がさまざまな手法を使用してネットワーク内を移動するのを観察したため、2000 年代初頭に「ラテラルムーブメント」という用語がサイバーセキュリティ分野で注目されるようになりました。
横方向の移動に関する詳細情報。横方向の移動に関するトピックの拡張
横方向の移動は、サイバー攻撃のさまざまな段階を示すモデルであるサイバー キル チェーンの重要な段階です。ソーシャル エンジニアリング、ソフトウェアの脆弱性の悪用、またはその他の手段によって最初の足掛かりが確立されると、攻撃者は横方向に移動して、ネットワークへのより重要なアクセスと制御を獲得しようとします。
横方向の移動中、攻撃者は通常、偵察を行って価値の高いターゲットを特定し、権限を昇格し、ネットワーク全体にマルウェアやツールを拡散します。侵害された資格情報、Pass-the-Hash 攻撃、リモート コード実行、その他の高度な手法を使用して、組織内での影響力を拡大する場合があります。
横方向の動きの内部構造。横方向の動きの仕組み
横方向の移動の手法は、攻撃者のスキル レベル、組織のセキュリティ体制、利用可能なツールによって異なります。ただし、一般的な戦略には次のようなものがあります。
-
パス・ザ・ハッシュ(PtH)攻撃: 攻撃者は、侵害されたシステムからハッシュ化されたパスワードを抽出し、元のパスワードを知らなくても、それを使用して他のシステムで認証します。
-
リモートコード実行 (RCE)アプリケーションまたはサービスの脆弱性を悪用してリモート システム上で任意のコードを実行し、不正アクセスを許可します。
-
ブルートフォース攻撃: 異なるユーザー名とパスワードの組み合わせを繰り返し試行して、システムに不正にアクセスします。
-
信頼関係の活用システムまたはドメイン間で確立された信頼を悪用して、ネットワークを横方向に移動すること。
-
リモート アクセス トロイの木馬 (RAT) によるピボット: リモート アクセス ツールを使用して侵害されたシステムを制御し、それを踏み台としてネットワークの他の部分にアクセスします。
-
誤った設定を悪用する: 誤って構成されたシステムまたはサービスを利用して不正アクセスを行うこと。
横方向移動の主な特徴の分析
横方向の移動には、対抗するのが難しい脅威となるいくつかの重要な特徴があります。
-
ステルス性と永続性攻撃者は高度な技術を使用して、検出されずに長期間ネットワークへのアクセスを維持します。
-
スピードと自動化: 自動化ツールを使用すると、攻撃者はネットワークをすばやく移動し、最初の侵入から高価値資産に到達するまでの時間を最小限に抑えることができます。
-
進化と適応: 横方向の移動技術は、セキュリティ対策を回避し、変化するネットワーク環境に適応するために常に進化しています。
-
複雑攻撃者はネットワークを通過するために複数の手法を組み合わせて使用することが多く、防御側が横方向の移動を検出して防止することが難しくなります。
横方向の移動の種類
横方向の移動は、攻撃者の目的とネットワークのアーキテクチャに応じて、さまざまな形をとる可能性があります。横方向の移動の一般的なタイプには、次のものがあります。
| タイプ | 説明 |
|---|---|
| パス・ザ・ハッシュ (PtH) | ハッシュされた資格情報を使用して他のシステムで認証します。 |
| リモートコード実行 | 脆弱性を悪用してリモートでコードを実行する。 |
| WMI ベースのラテラルムーブメント | 横方向の移動に Windows Management Instrumentation を活用する。 |
| ケルベロースティング | Active Directory からサービス アカウント資格情報を抽出しています。 |
| SMB の横展開 | 横方向の移動に Server Message Block プロトコルを使用します。 |
横方向の移動の使用:
-
レッドチーム演習セキュリティ専門家は、ラテラルムーブメント技術を使用して、現実世界のサイバー攻撃をシミュレートし、組織のセキュリティ体制を評価します。
-
セキュリティ評価組織は、ネットワーク内の脆弱性を特定して修正するために、横方向の移動評価を採用しています。
問題と解決策:
-
ネットワークのセグメンテーションが不十分ネットワークを適切にセグメント化すると、攻撃者を特定のゾーン内に封じ込めて、横方向の移動による潜在的な影響を制限できます。
-
権限昇格の脆弱性: 不正なエスカレーションを防ぐために、ユーザー権限を定期的に確認および管理します。
-
不十分なアクセス制御: 強力なアクセス制御と 2 要素認証を実装して、不正な横方向の移動を制限します。
主な特徴と類似用語との比較
| 学期 | 説明 |
|---|---|
| 垂直方向の動き | 権限の昇格や信頼レベル間の移動に重点を置いた攻撃を指します。 |
| 水平方向の移動 | 横方向の移動と互換的に使用される別の用語で、ネットワークの横断に重点を置きます。 |
横方向の移動防御の将来は、次のような高度なテクノロジーを活用することにあります。
-
行動分析機械学習を使用して異常な横方向の移動パターンを検出し、潜在的な脅威を特定します。
-
ゼロトラストアーキテクチャ: すべてのアクセス試行が潜在的に悪意のあるものであると想定して、横方向の移動の影響を最小限に抑えるためにゼロ トラストの原則を実装します。
-
ネットワークセグメンテーションとマイクロセグメンテーションネットワークのセグメンテーションを強化して重要な資産を分離し、横方向の移動の拡大を制限します。
プロキシサーバーがどのように使用され、横方向の移動と関連付けられるか
プロキシ サーバーは、次の方法で横方向の移動のリスクを軽減する上で重要な役割を果たします。
-
トラフィックの監視: プロキシ サーバーはネットワーク トラフィックをログに記録して分析し、潜在的な横方向の移動アクティビティに関する洞察を提供します。
-
悪質なコンテンツのフィルタリングセキュリティ機能を備えたプロキシ サーバーは、悪意のあるトラフィックをブロックし、横方向の移動の試みを防ぐことができます。
-
ネットワークセグメントの分離: プロキシ サーバーは、異なるネットワーク セグメントを分離し、横方向の移動の可能性を制限するのに役立ちます。
関連リンク
ラテラルムーブメントとサイバーセキュリティのベストプラクティスの詳細については、次のリソースを参照してください。
