サイバーセキュリティにおけるラテラル・ムーブメント(水平移動)とは、攻撃者があるアカウントやデバイスを侵害し、その侵害を利用して他のアカウントやデバイスにアクセスすることをさします。攻撃者がネットワーク内を移動し、機密データが盗まれるまで、ますます高い権限でアクセスし続ける場合、ラテラル・ムーブメントと権限のエスカレーションは通常、連携します。ネットワークに監視ツールがない場合、攻撃者は検知されることなくラテラル・ムーブメントを行うことができます。ラテラル・ムーブメントを阻止するには、異常なパターンを検出できる回復力のあるセキュリティ・インフラが必要です。
ラテラル・ムーブメントを理解する
機密データは通常、少数の高い権限を持つユーザー・アカウントでのみアクセス可能です。一方、権限の少ないユーザー・アカウントははるかに多く、攻撃者が最初の侵害のためにアカウントを必要とするときにより多くの機会を提供します。例えば、法人税文書は通常、会計士、CFO、財務アナリストのみがアクセスできます。これらのアカウントはごく一部しかありませんが、権限の低いアカウントは、マルウェアをネットワークに注入したり、フィッシングメールを財務担当者に送信してアカウントの認証情報を取得したりするために使用できます。
また、ラテラル・ムーブメントにより、攻撃者は他のデバイスにアクセスできるようになります。例えば、攻撃者は、サーバーへのローカル・マシン・アクセスにより、ワークステーション上のアカウントを侵害します。その後、マルウェアをサーバーにインストールできます。マルウェアには、ランサムウェア、リモート・アクセス・ツール(RAT)、データの流出に使用されるスクリプトなどがあります。ほとんどのラテラル・ムーブメントでは、機密データを取得することが目標です。
ラテラル・ムーブメントに使用される技術
ほとんどのラテラル・ムーブメントでは、最初の侵害はビジネス・ユーザー・アカウントです。攻撃者は、クレデンシャル・スプレー、パス・ザ・ハッシュ、フィッシング、マルウェア注入などの戦略を使用して、これらのアカウントにアクセスできます。各戦略の概要を以下に示します。
- クレデンシャル・スプレー:攻撃者は、既知の認証情報を使用して認証要求をスクリプト化します。ユーザーが複数のアカウントに同じパスワードを割り当てると、1 つの Web サイトから盗まれた認証情報が、特に 2 要素認証が設定されていない場合、ユーザーのビジネス・アカウントで攻撃者を認証する可能性があります。
- パス・ザ・ハッシュ:パスワード・ハッシュのデータベースはプレーンテキストの値を開示しませんが、ブルートフォース/辞書攻撃は、ハッシュの背後にあるプレーンテキストの値を公開する可能性があります。
- フィッシング:ビジネス・メール・セキュリティ侵害(BEC)では、攻撃者がメール・アカウントを侵害し、フィッシング・メールを高い権限を持つユーザーに送信します。
- マルウェア注入:リモート・アクセス・ツールやマルウェアがデータに侵入すると、ネットワーク上の他のマシンやアカウントにアクセスできるようになる可能性があります。
攻撃者は、フィッシングやマルウェアを使用して、まず権限の少ないアカウントにアクセスします。攻撃者は、そのユーザーの電子メール・アカウントを使用して、財務、人事、エグゼクティブ・チームの別のユーザーに、特定のリソースへのアクセスを求めるメッセージを送信します。フィッシング攻撃の標的が義務化された場合、攻撃者は機密データにアクセスできるようになります。
ラテラル・ムーブメントを促進するツールとテクノロジー
サイバー犯罪者は、一連のツールを活用してさまざまな攻撃を実行します。攻撃者のグループが独自に構築するかもしれませんが、ハッキング・コミュニティにはオープンで自由に使用できるアプリケーションがあります。以下に例を挙げます。
- Mimikatz:プログラムによっては、資格情報をメモリにキャッシュします。Mimikatz は、他のサーバーやワークステーションにアクセスするために、キャッシュされた認証情報をコンピュータ・メモリにスカウトします。
- PsExec:Microsoft は、ネットワーク管理者向けに PsExec を開発しました。管理者は、リモート・サーバーでサービスを開始または停止できます。PsExec は、リモート・サーバー上でマルウェアを起動するために使用できます。マルウェアは、データや認証情報の窃取に使用できます。
- PowerShell:PowerShell は、Microsoft のスクリプトおよびスクリプト言語のバージョンですが、リモート・コンピュータへのアクセス、ローカル・デバイスへのマルウェアのダウンロード、ネットワーク上での悪意のある活動の実行に使用できます。
ラテラル・ムーブメントの検出と防止
攻撃者は、最初の侵害後、権限を昇格したり、ネットワークを横切って移動する時間が限られています。低い権限のアカウントをブレークアウトする前に、組織は奇妙なネットワーク動作を検出し、最初のデータ侵害後のさらなる損害を阻止する必要があります。組織には、異常な活動を検出し、ラテラル・ムーブメントを阻止するための戦略がいくつかあります。
- エンドポイント保護の使用:エンドポイント(クラウド・インフラやユーザー・リモート・デバイスなど)上で実行されているエージェントは、ソフトウェアを自動的に更新し、ウイルス対策を実行し、マルウェアのインストールを阻止します。
- ネットワーク監視の有効化:ネットワーク監視ソリューションを使用して、ユーザー・アカウントからの動作パターンを継続的に監視します。例えば、税務シーズン後に税務書類のアクセス要求数が増えると、セキュリティ侵害の兆候が現れる可能性があります。ネットワーク監視は、アクティビティを確認するよう管理者に警告します。
- セキュリティ・トレーニング:フィッシングやソーシャル・エンジニアリングを特定するために、高い権限のユーザーをトレーニングします。
- ネットワーク・セグメンテーションの構成:ネットワークをセグメント化すると、あるセグメントから、機密情報を保存する別のセグメントへのアクセスがブロックされます。例えば、財務セグメントは、営業セグメントからのリクエストをブロックする必要があります。この戦略は、ラテラル・ムーブメントのモビリティを低減します。
- データの暗号化:データ侵害が発生した場合、暗号化されたデータは攻撃者には読み取れません。
まとめ
ラテラル・ムーブメントを阻止するには、プロアクティブな検出と監視、ネットワークのセグメント化、デバイスの保護が欠かせません。コンプライアンス規制では、機密データへのアクセス要求の監視と監査も必要です。SIEM(セキュリティ情報とイベント管理)は、管理者に異常な動作を監視および警告するための優れたソリューションです。セキュリティ・インフラを補完するために、従業員や請負業者にトレーニングを提供し、フィッシングなどの潜在的な攻撃を特定して報告できるようにします。
