ラテラルムーブメント らてらるむーぶめんと
横断的侵害内部拡散APT権限昇格サイバー攻撃内部不正
ラテラルムーブメントについて教えて
簡単に言うとこんな感じ!
攻撃者が社内ネットワークに侵入した後、横(ラテラル)に移動しながら他のサーバーや端末へどんどん侵食していく行動のことだよ。玄関から入った泥棒が各部屋を順番に物色して回るイメージなんだ!
ラテラルムーブメントとは
ラテラルムーブメント(Lateral Movement:横断的侵害)とは、攻撃者が組織のネットワーク内に最初の足がかりを得た後、より価値の高いシステムや情報を求めて内部ネットワークを横断的に移動する行動を指します。
最初の侵入口は、フィッシングメールで騙された一般社員のPCや、脆弱性のある外部公開サーバーであることが多いです。そこから攻撃者は認証情報を収集し、管理者権限を奪取し、最終的にはデータベースや基幹システムへ到達しようとします。
重要なのは、この移動が正規の管理ツールや認証情報を悪用して行われることが多く、セキュリティ製品に検知されにくい点です。Windows環境では PsExec、WMI、PowerShell など標準ツールが悪用されます(これを「環境寄生型攻撃(Living off the Land)」と呼びます)。
主なラテラルムーブメント手法
| 手法 | 内容 | 使用されるツール・プロトコル |
|---|---|---|
| Pass the Hash | ハッシュ化されたパスワードをそのまま認証に使う | NTLM認証 |
| Pass the Ticket | Kerberosチケットを横取りして認証 | Kerberos, mimikatz |
| Remote Service | リモートデスクトップやSSHで他端末に接続 | RDP, SSH |
| WMI/PowerShell実行 | Windowsの管理機能を悪用してコード実行 | WMI, PSExec |
| SMB伝播 | ファイル共有プロトコルで他端末に感染を広げる | SMB (445番ポート) |
| Golden Ticket | Kerberosの偽チケット生成で任意の端末にアクセス | Kerberos, mimikatz |
歴史と背景
- 2000年代後半:中国系APT(Advanced Persistent Threat)グループがラテラルムーブメントを多用した標的型攻撃を展開
- 2011年:RSA Security社への攻撃でラテラルムーブメントが広く知られるようになる
- 2013年:Target社(小売)の侵害事件で、HVAC業者から侵入→POS端末へ横断という典型的な事例が注目される
- 2017年:WannaCryやNotPetyaがSMBの脆弱性を悪用して急速に内部拡散し、世界的な被害を引き起こす
- 2020年:SolarWinds事件でAPT29が超長期間にわたりラテラルムーブメントを実施したことが判明
攻撃の典型的な流れとラテラルムーブメントの位置づけ
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| MITRE ATT&CK TA0008 | Lateral Movement タクティクス定義 |
| NIST SP 800-171 | 侵害後の内部拡散を防ぐためのアクセス制御要件 |
| CIS Controls v8 | ネットワークセグメンテーション等の防御コントロール |
関連用語
- MITRE ATT&CK — ラテラルムーブメントを含む攻撃手法の分類フレームワーク
- 脅威インテリジェンス・IOC — 横断移動のTTPsを含む脅威情報
- ネットワークフォレンジック — 侵害後の横断経路を追跡する手法
- Kerberos — Pass the Ticket攻撃で悪用される認証プロトコル