お役立ち資料
Introduction
いつのまにかサイバー犯罪者がネットワーク内に忍び込み、いくつものデバイスやアカウントが乗っとられていたなどの被害が起きていることをご存じでしょうか?このようなサイバー犯罪者の動きを、ラテラルムーブメントと呼びます。
この記事では、ラテラルムーブメントとは何か、その手口や検知方法、対策について解説します。
目次
ラテラルムーブメントとは?
ラテラルムーブメントとは、サイバー犯罪者がエンドポイントに侵入した後にとる行動のことです。ここでは、ラテラルムーブメントとはどのような行動なのか、その行動にはどのような種類があるのかをご説明します。
攻撃者が最初の侵入後、ネットワーク内を横展開する行為
ラテラルムーブメントとは、サイバー犯罪者があるエンドポイントに侵入した後、ネットワークを介して、ほかのデバイスや資産にアクセスする行為を指します。
ラテラルムーブメントは、水平移動や横展開と訳されます。攻撃者はひとつのエンドポイントに侵入を成功させると、その後にネットワークを介して、ほかのデバイスやサーバーなどにアクセスを試みます。
最終的な目標は、そのネットワーク内の管理者権限をもつアカウントの侵害です。最終目標に到達するまで、マルウェアをインストールして、ネットワーク内のデバイスに感染を広げていきます。
攻撃者は、侵入したネットワーク内で発見されずに、動きまわります。ネットワーク内で権限を広げておけば、たとえその一部が発見されて駆除されたとしても、その存在を維持することが可能です。
ラテラルムーブメントを利用して行われる攻撃の種類
サイバー犯罪者があるエンドポイントに侵入した後、行われる攻撃には以下のようなものがあります。
・ランサムウェアに感染させる
ランサムウェアに感染すると、データの暗号化やロックが行われ、解除するかわりに身代金を要求されます。社内の大事なデータを人質にとり、相手に要求を飲ませるため、ランサムウェアをしかけていきます。
ランサムウェアについてはこちらもご覧ください。
>>ランサムウェアとは?種類や被害事例、感染を防ぐための対策まで詳しく解説のページへ
・データを盗む
社内の個人情報や機密情報などを盗み、今後の攻撃に役立てます。たとえば、従業員や取引先の名前、部署などの情報を得られれば、その情報を使ったフィッシング詐欺などに役立てることが可能です。最終的に、管理者権限アカウントの認証情報を盗めれば、社内ネットワークを意のままに操れます。
フィッシング詐欺についてはこちらもご覧ください。
>>フィッシング詐欺とは?手口や被害による影響、企業ができる対策を解説のページへ
・スパイ活動
侵入したことを検知されないよう慎重に動き、できるだけ長い期間、社内ネットワークに侵入をつづけることでスパイ活動を行います。個人情報や機密情報を少しずつ盗みとったり、監視したりします。
ラテラルムーブメントの手口
ラテラルムーブメントに対する対策を講じるためには、その手口を把握しておく必要があります。ここでは、ラテラルムーブメントが行われる手口について、ご説明します。
①侵入地点との接続を確立する
あるエンドポイントへの侵入が成功したら、その地点といつでも通信ができるように、接続を確立します。外部との接続を確立できれば、外部から侵入地点を通じて、ネットワーク内で活動することが可能になります。
②ネットワークを偵察する
ネットワーク内で情報収集を行い、今後の侵入プランを立てるために役立てます。ネットワークのマッピング、ポートスキャンなどを行っていきます。
さらに、さまざまな手段で、ネットワーク内のアカウントのID・パスワードなどの認証情報の取得を試みるのです。たとえば、組織内のメールアカウントを侵害した後、そのアカウントからほかの社員や取引先などにフィッシングメールを送信して、機密情報を得ようとします。組織内からのメールなので、騙されてしまう可能性が高く、危険です。
また、キーロガーを仕込んで、ID・パスワードなどの認証情報を盗みとることもあります。
③高い権限レベルを獲得する
②で得たアカウントの認証情報を駆使して、より広い権限をもつ管理者権限アカウントの認証情報取得を試みます。
また、ここまでは、リモートアクセスによる遠隔操作で侵入を繰り返していますが、もっと操作しやすいアクセスの確立も目指します。バックドアやトロイの木馬などをしかけることで、簡単にアクセスしやすい環境を整えることが可能です。
また、新しいアカウントを作成していき、万が一発見されても、ネットワーク内に潜伏しつづけられる環境も構築します。
④ネットワーク内を水平移動し、機密情報にアクセスする
ネットワーク内で自由に動ける環境が整ったら、機密情報へのアクセスを試みます。
商品開発情報などの機密情報、財務データ、顧客情報や従業員情報などの重要なデータにアクセスを繰り返します。そして、目的に応じて外部に送信したり、破壊したりするのです。流出したデータは、ダークウェブでの売買や組織への脅迫に用いるなど、悪意ある目的に利用されます。
⑤検出を回避する
攻撃者は、これまでの行動を検知されるのを防ぐため、アクセスログの改ざんや消去、トラフィック情報の暗号化などを行います。
侵入を検知されると、しかけたマルウェアなどが駆除されてしまうため、極力気づかれないような行動が必要です。秘密裏にできるだけ長期間ネットワーク内で動きまわるために、行動の痕跡を消そうとします。
マルウェアについてはこちらもご覧ください。
>>マルウェアとは?特徴や種類、感染経路を理解し、事前・事後対策する方法を紹介のページへ
ラテラルムーブメントを検知する方法
サイバー犯罪者は、上記のように侵入を検知されないよう、さまざまな工夫をしています。その行動を検知するためには、どのような対策をとればよいのかをご説明します。
ログインアクティビティを確認する
社内システムやネットワークへのアクセスログを監視し、ログインアクティビティを確認することで、不審な挙動が見つかることがあります。
たとえば、何度もアクセスを試みるアカウントがある、急に複数のIDを作成しているなどです。このような不審な動きを見つけた場合、該当アカウントのもち主に問い合わせると、正規のアカウントのもち主は、そのような行動をしていないことがわかるかもしれません。調べてみると、気づかないうちにアカウントが乗っとられ、パスワードを変更されて、犯罪者に利用されていることもあります。
このような事象をすみやかに検知できるように、つねにログインアクティビティを確認する仕組みを導入する必要があります。
UEBAを導入する
UEBA(User and Entity Behavior Analytics)とは、ユーザーとエンティティの行動分析のことで、ユーザーの通常行動から逸脱した異常行動を検知する仕組みです。UEBAを導入することで、サイバー犯罪者による侵入をすばやく検知することが可能です。
UEBAでは、社内システムやネットワークなどを利用するユーザーの通常の行動を分析し、行動のベースラインを決めます。そのベースラインから逸脱した異常な行動を検知した場合、それはサイバー犯罪者による侵入である可能性があります。
たとえば、従業員アカウントなら、ログインをする際にパスワードを間違える回数は少なく、スムーズにログインできるはずです。しかし、何度もパスワードを間違えており、100回以上繰り返されているなどの場合、ツールによるログインアタックが疑われます。このような異常行動をリアルタイムで検知する仕組みが、UEBAです。
UEBAについてはこちらもご覧ください。
>>UEBAとは?仕組みやSIEMとの違い、できることをわかりやすく解説のページへ
ラテラルムーブメントを防止するための対策
サイバー犯罪者によるラテラルムーブメントを放置すると、社内システムなどの情報が気づかないうちに盗まれ、支配されてしまいます。ここでは、ラテラルムーブメントを防止するための対策について、解説します。
多要素認証を導入する
ラテラルムーブメントにより、ネットワーク内でアカウントの認証情報を盗まれることがあります。キーロガーやフィッシングなどでID・パスワードの組が盗まれると、そのアカウントが侵入者により操られてしまいます。
しかし、ID・パスワード認証だけでなく、生体認証やワンタイムパスワードによる認証などが追加された多要素認証なら、アカウントの侵害を防ぐことが可能です。認証機能を多要素認証にして強化しておけば、ラテラルムーブメントにより、侵害されるアカウントを減らせるでしょう。
多要素認証についてはこちらもご覧ください。
>>多要素認証(MFA)とは?認証方式の種類やメリットについて解説のページへ
ワンタイムパスワードについてはこちらもご覧ください
>>OTP(ワンタイムパスワード)とは?種類や導入するメリットを解説のページへ
アカウントへのアクセスを制御する
サイバー犯罪者は、サブシステムや権限の少ない末端のアカウントを侵害した後、ラテラルムーブメントによって、より大きい権限をもつ管理者アカウントへのアクセスを試みます。それを阻止するために、機密情報を扱う権限の大きい管理者アカウントへのアクセスを厳格に制御することも、有効な対策です。
たとえば、社内の部署Aと部署Bのそれぞれのサーバーに、顧客情報や機密情報が保管されていたとします。このAとBの部署どちらのサーバーにもアクセスできる管理者アカウントを作成するのではなく、別々にわけます。そうすることで、部署Aの管理者アカウントが侵害されたとしても、部署Bのデータは守ることが可能です。
エンドポイントセキュリティを強化する
エンドポイントセキュリティとは、パソコンやスマホ、タブレットなどのネットワークの終端にあるデバイスそれぞれを、サイバー攻撃から守るセキュリティ対策のことです。エンドポイントの監視やインシデントを検知する仕組みとして、EDR(Endpoint Detection and Response)やSIEM(Security Information and Event Management)などがあります。
サイバー犯罪者は、システム内のメインのサーバーやアカウントを狙うのではなく、最初は末端のサブシステムやデバイスに侵入します。そこから、ラテラルムーブメントにより、システムの中枢に入り込んでいくのです。重要度の低いサブシステムやデバイスは、セキュリティレベルが低いことが多く、侵入しやすいからです。
そのため、エンドポイントセキュリティを強化することで、末端のデバイスなどもセキュリティ対策を強化する必要があります。
EDRについてはこちらもご覧ください。
>>EDRとは?その必要性や機能、製品の選び方について解説しますのページへ
SIEMについてはこちらもごらんください。
>>SIEMとは?読み方や導入する必要性・メリットをわかりやすく解説のページへ
関連サービスについて
ゼロトラスト・セキュリティを実現する
ゼロトラスト・セキュリティとは、ネットワーク内部だから安全ということはなく、ネットワークの内部も外部もどちらも信用すべきではないというセキュリティの考え方です。
従来の境界型セキュリティと呼ばれる考え方では、社内ネットワークの内部は安全で、外部の脅威から守ればよいとされていました。しかし、リモートワークが普及し、ネットワーク外部に存在する端末なども守る必要が生じたため、生まれた考え方です。
ゼロトラスト・セキュリティを実現することで、ネットワークの外側、内側などは関係なくデバイスを守ることが可能になり、ラテラルムーブメントの阻止につながります。
ゼロトラストについてはこちらもご覧ください。
>>ゼロトラストとは?意味や従来型セキュリティとの違い、導入方法を解説のページへ
脆弱性診断を行う
攻撃者がネットワーク内に侵入を行う際には、システムやアプリケーションなどの脆弱性を利用することもあります。脆弱性を放置することで、簡単に侵入を許してしまうでしょう。
SHIFTでは、脆弱性の有無を把握するセキュリティ(脆弱性)診断を実施しており、診断結果をもとに対策も行います。脆弱性診断を行っていない場合には、診断を受けることをおすすめします。
脆弱性診断についてはこちらもご覧ください。
>>脆弱性診断(セキュリティ診断)とは?診断の種類や必要な理由、やり方やツールについても解説のページへ
>>脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方などのページへ
>>脆弱性診断の適切な頻度とは?項目ごとの違いやタイミングについて解説のページへ
<SHIFTの脆弱性診断>
関連サービスについて
従業員のセキュリティ意識を向上させる
従業員のセキュリティ意識を向上させるセキュリティ教育を行うことで、侵入者による不審な挙動をいちはやく発見できることもあります。
たとえば、身に覚えのないログイン記録がある場合、何者かが侵入して自分のアカウントを操っている可能性もあります。ラテラルムーブメントについての知識があれば、すばやく管理者に通報でき、被害の拡大を防ぐことが可能です。
まとめ
この記事では、ラテラルムーブメントとは何か、その手口や検知方法、対策について解説しました。攻撃者は侵入口を見つけると、そこからほかのサーバーやアカウントにアクセスして、じわじわと攻撃先を広げていきます。そのような被害を防ぐためには、日ごろから対策を講じておくことが重要です。
SHIFTでは、高度化、多様化をつづけるサイバー攻撃に対策するため、脆弱性診断やセキュリティソリューションの導入支援を行っています。セキュリティ対策に不安がある場合は、お気軽にご相談ください。
脆弱性診断サービスはこちらをご覧ください。
>>セキュリティ(脆弱性)診断サービスページへ
セキュリティソリューション導入支援はこちらをご覧ください。
>>セキュリティソリューション導入支援のページへ
ご相談はこちらから
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
WAFとは?仕組みや機能、導入するメリットをわかりやすく解説
2024.08.14
詳しく見る
-
- セキュリティ
OWASP Top 10 for LLMとは?生成AI開発の安全性を高める方法について解説
2024.08.19
詳しく見る
-
- セキュリティ
サンドボックスとは?仕組みや機能、導入するメリット・注意点を解説
2024.08.14
詳しく見る
-
- セキュリティ
VPN接続とは?仕組みやメリット・デメリット、安全に使うためのセキュリティ対策を解説
2024.08.02
詳しく見る
-
- セキュリティ
DMZとは?ネットワークの構築方法やメリット・デメリットを解説
2024.08.02
詳しく見る
-
- セキュリティ
SOARとは?意味やメリット・デメリット、導入手順について解説
2024.08.02
詳しく見る
-
- セキュリティ
OSINTとは?サイバーセキュリティでの活用方法や注意点について解説
2024.08.02
詳しく見る
-
- セキュリティ
IDS/IPSとは?機能や役割の違い、対策できる攻撃について解説
2024.07.29
詳しく見る
-
- セキュリティ
PAM(特権アクセス管理)とは?仕組みやメリット、活用方法を解説
2024.07.29
詳しく見る
-
- セキュリティ
シャドーITとは?発生する原因やインシデント事例、対策について解説
2024.06.28
詳しく見る
