攻撃者はどうラテラルムーブメントするのか、そしてそれをどう止めるのか
侵害で多くの企業を壊滅させるのは、最初の侵入そのものではありません。
その後に起きることなのです。1つの盗まれたパスワードが10のシステム侵害に変わり、気がつけばバックアップは使い物にならず、財務アプリはロックされ、ヘルプデスクはまるで庭用ホースでビル火災に立ち向かうかのように走り回っている――そんな事態になります。
攻撃者は数分でネットワーク内部を移動できますが、検知には数週間かかることが多いのです。そのギャップこそが被害範囲なのです。
不都合な真実はこうです。攻撃者が足がかりを得た瞬間、「ラテラルムーブメント(横方向移動:あるシステムから次のシステムへと静かに移る動き)」が発生し、それが単なる迷惑で終わるのか、ビジネス停止に至るのかを決めるのです。
私たちが最近分析している最新の脅威インテリジェンスは、この横方向への拡散に満ちています。
では、その代表的な手口と、それを阻止するシンプルな制御を解き明かしていきましょう。
拡散の始まり(あなたが思うより小さなきっかけ)
最初のステップは、地味ですが効果的なものがほとんどです。
- 弱い、または使い回されたパスワード:1組の認証情報が多くの扉を開きます
- トークンやクッキーの窃取:攻撃者は既に信頼されているセッションに便乗します
- 権限が過大なサービスアカウント:人間ではないアカウントが、あらゆる場所へのアクセスを持っている可能性があります
- パッチが未適用のインターネット向けアプリ:デシリアライゼーションのバグやSQLインジェクションがリモートシェルへと変わります
一度内部に入ってしまえば、攻撃者に新しいエクスプロイトは必要ありません。
必要なのは「到達範囲」なのです。
攻撃者の常套ツールセット
これらのツールは多くの環境で正規のものです。ただし、攻撃者はそれをより巧みに使います。
- SMB(Windowsファイル共有):ファイル移動に便利ですが、ランサムウェアの移動にも便利です
- RDP(リモートデスクトップ):サーバーやワークステーションのリモート制御に使用されます――それがあなたの環境であれ、攻撃者の環境であれ
- WMI(Windows Management Instrumentation):大規模なリモートスクリプト実行
- PsExec(リモート管理ツール):複数のマシンに一度にコマンドを実行
- GPO(グループポリシー):すべてのWindowsマシンに設定を適用しますが、悪用されればマルウェアを配布します
- Impacket(人気のPythonツールキット):認証情報の悪用やラテラルムーブメントを助ける機能をまとめています
- Mimikatz(認証情報ダンパー):メモリからパスワードやハッシュを抽出します
内部ネットワークが「フラット(すべてがすべてと通信可能)」である場合、このツールセットは速度制限のない高速道路網になります。
なぜ有効なのか(そしてなぜ有効であり続けるのか)
3つのパターンが繰り返し現れます。
- フラットなネットワーク:どのサーバーも他のサーバーと通信できる場合、すべてのマシンが踏み台になります
- 過剰な権限を持つアイデンティティ:本来不要な場所に管理者権限が存在し、サービスアカウントは期限切れになりません
- 見過ごされる場所:バックアップコンソール、ハイパーバイザー、EDRサーバーが他のすべてと同じ経路上にあります
まるでホテルの廊下にランドリールーム、金庫、ゲストラウンジが並んでいるようなものです。それがほとんどの企業ネットワークの実態です。
マイクロセグメンテーションで拡散を止める
マイクロセグメンテーションは、建物の内部に防火扉を設置するようなものだと考えてください。
仮に部屋が燃えても、炎は壁で止まります。ポイントは、これを実用的にすることです。
- 東西(内部)トラフィックをデフォルト拒否:特定のアプリ間で既知かつ必要な通信だけを許可する
- 重要資産を囲い込む:Active Directory、バックアップ、ハイパーバイザー、EDR、財務・人事システムは追加ルールの裏側に配置する
- アイデンティティベースのポリシー:アクセスを移動可能なIPアドレスではなく、誰/何(ユーザー、サービス、ワークロードのアイデンティティ)が通信しているかに結びつける
- 管理アクセスの制御:特権アクセスは監視されたジャンプホスト経由に限定し、センシティブなゾーンへ直接RDP/SMB接続させない
特権アクセスを制限する(攻撃者に近道を与えないために)
攻撃者は近道を好みます。彼らにそれを与えてはいけません。
- ジャストインタイム(JIT)の管理者権限:必要なときに数分間だけ昇格させ、一日中保持させない
- 管理者用のアイデンティティを分離する。メールアカウントとドメイン管理者アカウントは同じアイデンティティにすべきではありません。
- トークンの衛生管理。インシデント後はオンデマンドでトークンを無効化し、セッションの有効期間を制限する。
- 認証情報の保管庫化。共有パスワードは禁止し、秘密情報は自動的にローテーションする。
簡単な定義:PAM(Privileged Access Management、特権アクセス管理)は、その短期的な管理者権限を発行・管理する仕組みです。サーバーのための「用心棒+リストバンド」と考えてください。
バックアップとディレクトリ基盤を到達困難にする
攻撃者が月曜日を支配できるかどうかを決めるのは、アイデンティティとリカバリーの2つのシステムです。
- Active Directory/IdP:最小限の受信ポートと管理者の随意セッションなしで、高信頼のリングに配置する
- バックアップ:バックアップネットワークを分離し、変更不可能なスナップショットと一方向のレプリケーションを有効化し、コンソールにMFAを適用する
- EDR/ハイパーバイザー:ポリシーで、一般的なワークロードに対してSMB/RDPを開始しないと常に明確に定義する
攻撃者が「誰が信頼されているか」(ディレクトリ)を変更できたり、「パラシュート」(バックアップ)を消去できたりするなら、残りはただの後処理に過ぎません。
ラテラルムーブメントを実際に捕捉する検知
必要なのは1万件のアラートではなく、適切な5件です。
- 非管理者ホストからの初回の管理ツール使用(PsExec、WMIC、PowerShellリモート実行)
- 同一のバイナリが多くのホストにSMB経由で横方向に書き込まれる(ランサムウェアの事前配置)
- 変更ウィンドウ外での(もしくは異常なユーザーによる)GPOの変更
- LSASSへのアクセス試行(認証情報ダンピング)や突然のチケット急増
- サービスアカウントの不審な場所(キオスクPCや新しいサブネットなど)からのログイン
プロのヒント:検知は自動封じ込めと組み合わせましょう。
調査中は、疑わしいホストの東西(内部)トラフィックを即座に制限するポリシーを適用するのです。
発生から0~24時間:被害範囲を縮小するための実践ガイド
ゼロトラストは単なる理念ではなく、層状の実行可能な戦略です。
- 「Patient Zero(最初に感染した端末)」のセグメントを隔離する。そのゾーンからの SMB、RDP、WMI を一時的に拒否するルールを設定する
- 影響を受けたユーザーおよびサービスアカウントのトークンを無効化し、キーをローテーションする
- GPO(グループポリシー)の変更を凍結し、最近の編集内容を確認。適用範囲を最小限に絞る
- 重要なアプリケーションに再認証を強制し、サイレントな再利用を許すレガシープロトコルをブロックする
- 攻撃の事前配置(ステージング)を探索する。同一バイナリが複数のホストにコピーされていないか確認し、スケジュールタスクやスタートアップ項目を停止する。。
防火扉を通してではなく、その背後で通常の業務を再開してください。
次のステップ
ラテラルムーブメントは魔法ではありません。それはロジスティクスです。
攻撃者は、あなたのネットワーク経路、ツール、権限を利用して部屋から部屋へと移動します。
私たちの仕事は、1つの廊下を一連の安全な部屋に変えることです――例え誰かが忍び込んだとしても、自由に歩き回れないようにするのです。
ColorTokensがどのように支援できるか知りたい場合は、ぜひColorTokens(カラートークンズ)日本語公式サイトからお問い合わせください。
翻訳元記事
「How Attackers Move Laterally, and How to Stop Them」
公開日:2025/8/12
著者:ColorTokens Editorial Team
※本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています
※記事は掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。上記の公開日をご参考ください
この記事の著者:電巧社セキュリティブログ編集部
