CISAが重要インフラにおけるラテラルムーブメントの停止を呼びかけ
最新の連邦勧告では、攻撃者がITネットワークおよびOT(運用技術)環境の両方で脆弱性を利用して横方向に移動することで、最大の被害が発生することが強調されています。
特に、Ghostランサムウェア(Cringとも呼ばれます)は、その迅速な侵入方法と、パッチが適用されていないシステムへの継続的な攻撃により、CISA、FBI、およびMS-ISACから緊急かつ連携した対応を促しています。
このランサムウェアは2021年初頭から活動しており、中国に拠点を置くグループによって運用されており、インターネットに接続されたサーバーの既知の脆弱性を利用するために、公開されているコードを活用しています。
特に、最初の侵害からデータの暗号化までを同日に実行することが多い点が特徴です。
新たなガイダンスでは、内部ネットワークのセグメンテーションと高度な防御戦略に対する注目が強化されています。
これにより、ラテラルムーブメントがサイバーセキュリティにおける最大の盲点の一つであり、それを阻止することが重要インフラを扱う組織にとって最優先課題となっている理由に焦点が当たります。
ラテラルムーブメントが重要である理由
現代のランサムウェアグループが最初の侵害を大規模な危機へと発展させる方法だからです。
攻撃者が脆弱なデバイスを通じてアクセスを得ると、真の脅威は静かに一つのセグメントから次のセグメントへと移動していく過程で始まります。
攻撃者が貴重なデータや機密業務を特定すると、特にセグメンテーションが行われていない領域において、リソースを封鎖し、高額な身代金を要求し、広範囲な混乱を引き起こすことが可能になります。
CISAがラテラルムーブメントに注目する理由
過去のガイダンスでは、パッチの適用、認証情報の管理、境界防御の強化が強調されてきましたが、最新の勧告では、制御されていないラテラルムーブメントの危険性に焦点が当てられています。
攻撃者が最初のアクセスを得ると、内部システム全体を自由に移動できるようになり、その被害は指数関数的に増大します。
Ghostランサムウェアに関する最近の調査結果では、その暗号化の迅速性とパッチ未適用のデバイスを利用する能力が明らかになり、政府機関が迅速に新たな緩和ガイドラインを発表した理由が裏付けられました。
一度内部に侵入されると、その封じ込めは非常に困難になります。
この問題は特にOT環境で顕著であり、老朽化したシステムや複雑な統合が、ラテラルムーブメントの発見を困難にする理想的な条件を作り出しています。
OT環境が特に脆弱な理由
ITシステムとは異なり、OTネットワークおよび産業用制御システム(ICS)は、元々サイバーセキュリティを考慮して設計されていませんでした。
従来、これらのシステムは他の企業ネットワークやインターネットから切り離されており、「隠匿によるセキュリティ(security by obscurity)」に頼っていました。
しかし、その時代は終わりました。
現在では、自動化された製造実行システム(MES)やエンタープライズリソースプランニング(ERP)との統合により、ITとOTネットワークの融合が進み、重大なリスクが生じています。
産業用デバイスは、更新、保守、ベンダーサポートのためにインターネット接続を必要とすることが多く、結果として、時代遅れのソフトウェア、弱いアクセス制御、限定的な可視性を悪用するサイバー攻撃の標的となっています。
レガシーシステムと長寿命機器
産業機器やレガシーコンソールの更新は簡単ではなく、多くのシステムは業務を停止せずにはオフラインにできません。
このため、脆弱性が修正されずに長期間放置されることになり、攻撃者にとって簡単な侵入口となります。
ITとOTの融合
ITとOTの統合は運用効率を高める一方で、攻撃対象領域を広げてしまいます。
これらの統合に合わせてセキュリティ対策が進化しなければ、ITインフラ内での一度の侵害が容易に機密性の高いOT環境にまで波及する可能性があります。
これらの課題を踏まえ、特にラテラルムーブメントに対する防御の強化が最優先事項となっており、そのためCISAのような機関からの最近のガイダンスでは、内部統制の重要性が強調されているのです。
CISAの緩和戦略
ラテラルムーブメントがもたらす差し迫った脅威に対応するため、CISAは複数の主要な戦略を推奨しています。
これらの戦略は、防御を総合的に強化し、不正アクセスを制限し、攻撃者が初期の侵害を全面的な危機に発展させる能力を決定的に抑制することを目的としています。
- パッチ適用と脆弱性管理:定期的なソフトウェアの更新は、セキュリティの基本を成します。
- ネットワークセグメンテーションとマイクロセグメンテーション:ネットワーク内に明確で分離されたセグメントを構築することで、侵害後のラテラルムーブメントを大幅に制限します。
- エンドポイントおよびメールのセキュリティ:エンドポイントおよびメールゲートウェイでの高度な検出とフィルタリングは、脅威を早期に遮断するのに役立ちます。
- サイバーセキュリティ意識とインシデント対応:スタッフへの教育とインシデント対応計画の定期的なテストにより、人為的なミスが侵害を悪化させるのを防ぎます。
しかし、これらの基本的な対策にもかかわらず、多くの組織では攻撃者が従来のセキュリティアプローチの隙を突いてくることが依然として見られます。
これは特にOT環境において顕著であり、ラテラルムーブメントが放置された場合の影響は壊滅的になり得ます。
ラテラルムーブメントの遮断:「侵害に備える」設計
ラテラルムーブメントを本当に遮断するには、組織は不都合な現実を受け入れなければなりません。
それは「侵害は避けられない」ということです。
サイバーセキュリティは本質的に非対称です。
攻撃者は一度成功すればよいのに対し、防御側は常に完璧を維持しなければなりません。
この現実を踏まえると、組織はあらかじめ侵害を前提とし、初めから封じ込めを設計する必要があります。
マイクロセグメンテーションはこの能動的な戦略の中核を成します。
従来のセグメンテーションは、しばしば範囲が広すぎたり、硬直的であったり、大規模な運用では管理が困難であったりしますが、マイクロセグメンテーションは環境に応じて精緻に調整された隔離を提供します。
攻撃経路を継続的にマッピングし、標的を絞ったセキュリティ境界を定義し、ポリシーの適用を自動化することによって、防御側はラテラルムーブメントに対するリアルタイムの可視性と、被害が拡大する前に攻撃者を阻止する手段を獲得します。
マイクロセグメンテーションによって本当に「侵害に備えた状態(ブリーチレディ)」を実現するには、次の要素が必要です:
- 統合された可視性を提供すること:資産とネットワークトラフィックをリアルタイムで一元的かつ明確に把握し、脅威の発生と展開を検知・追跡できるようにします。
- 精緻な制御を提供すること:ゾーンごとに正確なセキュリティルールを適用し、特権を最小限に抑え、侵害を迅速に隔離します。
- 適応型の対応を支援すること:侵害されたセグメントを自動的に封じ込め、業務の継続性を保護します。
慎重に設計されたマイクロセグメンテーションは、セキュリティ戦略を受動的なものから能動的なものへと変革し、レジリエンスを組織の長期的な備えの基盤へと昇華させます。
脅威が防御を突破しないことに期待するのではなく、侵害が発生しても被害が広がらず、無害なままで封じ込められる状態を意図的に構築するのです。
ラテラルムーブメントが放置されれば、侵害は壊滅的なものとなる
攻撃者が足がかりを築いた後は、あらゆる制限のない行動がリスクを増幅させます。
マイクロセグメンテーションは、この連鎖を断ち切る鍵であり、脅威を封じ込めつつ、重要な業務を支障なく継続させることを可能にします。
正確なアクセス制御の適用、ワークロードの隔離、活動の継続的な監視によって、組織は攻撃者の拡散能力を無力化することができます。
詳しくは、ColorTokens(カラートークンズ)公式サイトにお問い合わせください。
翻訳元記事
「CISA’s Call to Halt Lateral Movement in Critical Infrastructure」
公開日:2025/4/1
著者:Tanuj Mitra
※本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています
※記事は掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。上記の公開日をご参考ください
この記事の著者:電巧社セキュリティブログ編集部
