ラテラル ムーブメントとは

ラテラル ムーブメントの原理

侵害したエンドポイントが適切なアクセス制御を施されていないネットワークに接続されている場合、脅威アクターはネットワーク内を水平移動することができてしまいます。脅威アクターは、資格情報の悪用、サーバーやアプリケーションの脆弱性のエクスプロイト、マルウェアによるバックドアの設置など、さまざまな方法でラテラル ムーブメントを行います。正当なユーザーによるアクティビティーを装っているため、従来のネットワーク セキュリティ対策の多くは、悪意のあるアクティビティーを検知できません。

ラテラル ムーブメントがどのように行われるのかについて、以下で詳しく見ていきましょう。

ラテラル ムーブメントの段階

ラテラル ムーブメントによる攻撃には、大きく分けて3つの段階があります。

1. 偵察：脅威アクターがネットワークを探索します。命名規則やネットワーク階層を理解し、開放されているファイアウォール ポートやその他の弱点を特定することで、ネットワークのさらに深いところに侵入するためのプランを立てることができます。
2. 侵入：ログイン資格情報を使用し、クレデンシャル ダンピングや権限昇格の手法を利用してシステムのさまざまな部分にアクセスします。最初に使用される資格情報は、多くの場合、フィッシング攻撃などのソーシャル エンジニアリングを通じて窃取されます。
3. アクセス：目的のシステムまたはデータを発見し次第、本格的に攻撃を開始します。マルウェアのペイロードを配信する、データを窃取または破壊するなど、攻撃はさまざまな形で行われます。

ラテラル ムーブメントを利用する攻撃の種類

ランサムウェアなどのマルウェアを利用した攻撃やフィッシングなど、ほとんどの攻撃でラテラル ムーブメントの手法が利用される、または利用される場合があると言えます。攻撃者は、ネットワーク内に足場を確立すると、そこを拠点として攻撃を拡大していくことができます。

ハイジャックやスピア フィッシングなどの手法を用いることで、正当なユーザーを装ってネットワーク上を移動することが可能です。この際、従来のサイバー セキュリティ対策で存在が検知されることはありません。

サイバー攻撃におけるラテラル ムーブメントの手法の例

ラテラル ムーブメントの手法は1つではなく、攻撃プロセスにおける戦略的要素として、攻撃者のニーズに応じてさまざまな形を取ります。一般的なラテラル ムーブメントの手法には、以下のようなものがあります。

• Pass the Hash (PtH)：プレーンテキストのパスワードではなく、窃取したパスワード ハッシュ(パスワードの文字列を暗号化して認証ツールに保存したもの)を入力してアクセス権を取得します。
• Pass the Ticket (PtT)：既定のWindows認証プロトコルであるKerberosから窃取したチケットを使用して認証を行います。ユーザーのパスワードを入手する必要はありません。
• リモート サービスのエクスプロイト：侵入したシステムに接続されたリモート サービスの脆弱性や権限の設定ミスを利用して、ネットワークの他の領域にアクセスします。
• 内部スピア フィッシング：正当なユーザーのアカウントにアクセスできるようになっている場合、攻撃者はスピア フィッシングによって資格情報やアクセス コードなどの窃取を試みることができます。ターゲットは信頼できる相手とやり取りをしていると思っているため、不正行為を疑う可能性は低くなります。
• SSHハイジャック：macOSおよびLinuxの一般的なリモート アクセス プロトコルであるSecure Shell (SSH)を介して確立された接続を乗っ取り、認証を回避したうえで、暗号化されたSSHトンネルを通じて別のシステムにアクセスします。
• Windows管理共有：ほとんどのWindowsシステムでは、デフォルトで管理共有が有効になっています。脅威アクターが管理者権限を取得した場合、管理共有を通じて他のホストに対する管理およびアクセスの権限を悪用し、すばやく水平移動を行えます。

ラテラル ムーブメントに関するセキュリティ上の課題

自由なラテラル ムーブメントを許してしまうネットワーク トポロジーでは、攻撃者がホスト間をすばやく移動できてしまううえ、多くの場合、それを検知することができません。一部のマルウェアは、極めて短い時間でラテラル ムーブメントを行うため、セキュリティ部門による封じ込めは困難になります。これは、侵害が発生してからでなければアラートが発せられないセキュリティ対策に依存している場合には、特に当てはまります。

ハイブリッド ワークやリモート ワークが普及するなか、こうした業務環境に固有の問題が発生しています。ユーザーがネットワークへの接続に使用するエンドポイント デバイスは多岐にわたり、各エンドポイントにおけるセキュリティ制御はそれぞれに異なる可能性があります。これはすなわち、それぞれが潜在的な脆弱性となり、攻撃ベクトルとして攻撃者が利用できる可能性を示唆しています。

しかし、最も大きなリスクとなるのは、高度な標的型攻撃(APT)です。高いスキルを持つ攻撃者は、発見されることなく数か月にわたってネットワークに潜伏し、特権情報にアクセスしてデータを盗み出すことができます。

ラテラル ムーブメントを防止および検出するための対策

ラテラル ムーブメントへの対策は2つの段階で実施します。

ラテラル ムーブメントのリアルタイムでの防止

まず、ラテラル ムーブメントの発生を未然に防ぐ必要があります。具体的には、以下のような対策を講じます。

• 最新の効果的なエンドポイント セキュリティを利用する。ハイブリッド ワークが普及した今、従業員のセキュリティと生産性を維持するには、さまざまなデバイスにわたってエンドツーエンドのゼロトラスト アクセス制御、脅威の検出、対応を可能にするエンドポイントおよびモビリティー ソリューションが必要です。
• 価値の高い標的を保護する。攻撃者は、管理者権限を持つアカウントを侵害すれば、最も価値があり機密性の高いデータにアクセスできてしまいます。こうしたアカウントを最高レベルのセキュリティで保護し、最高レベルの権限を必要とするタスク以外では使用できないようにすることが必要です。
• マイクロセグメンテーションを実装する。マイクロセグメンテーションは「セキュア ゾーン」を構築し、これにより、ワークロードを分離して個別に保護することが可能になります。細分化されたセグメントをさまざまなトラフィックのニーズに合わせて調整し、ワークロード間のネットワーク フローやアプリケーション フローを、明示的に許可されているものに限定する制御を行えます。
• セキュリティファーストのゼロトラスト アプローチを維持する。セキュリティに対する責任は、IT部門や小規模なセキュリティ チームだけでなく、組織の全員が負うべきものです。すべてのスタッフが共通のセキュリティ プロトコルを理解して遵守したうえでゼロトラストのアプローチを採用することが、サイバー攻撃のリスクを抑える何よりの対策になります。

ラテラル ムーブメントの検知

もう1つ必要なのは、攻撃者が侵入した場合に、その後の行動を阻止することです。具体的には、以下のような対策を講じます。

• ログイン アクティビティーを監視する。認証トラフィックを詳細に監視することで、直接的な侵害や資格情報の窃取を検出し、損害の発生を未然に防げる可能性があります。
• 行動分析を実施する。機械学習を利用した分析により、通常のユーザー行動を基にしたベースラインを設定し、そこから外れたサイバー攻撃のサインとなり得るような行動にフラグを立てることができます。
• デセプション テクノロジーを利用する。ネットワーク上にリアルなデコイ アセットを展開することで、サイバー犯罪者に対するルアーとして機能します。攻撃者は本物と偽物を区別できません。デコイと接触すると、直ちにサイレント アラームが発せられます。
• 脅威ハンティング ツールを利用する。ネットワーク内の従来知られていなかった脅威や持続的な脅威を、プロアクティブなアプローチで特定します。エキスパートによる脅威ハンティング(多くの組織はマネージド サービスとして利用)は、高度なステルス攻撃に対する強力な防御策となります。

ゼロトラストによるラテラル ムーブメントの防止と制御

サイバー攻撃において最も古くから利用されてきた手法の1つに、信頼を悪用したものがあります。ここで言う「信頼」には、認証によるものだけでなく、人間心理によるものも含みます。これは、環境内でのラテラル ムーブメントを可能にするための最も効果的な方法の1つとして、今でも使用されています。攻撃者にラテラル ムーブメントのチャンスを与えないようにするには、システムから信頼そのものを排除しなければなりません。

ゼロトラスト アーキテクチャーでは、ユーザーの役割や場所、デバイス、リクエストしようとしているデータなどのコンテキストに基づいてアクセス ポリシーを施行し、不適切なアクセスや環境内でのラテラル ムーブメントをブロックします。

ゼロトラストを実現するには、いくつかの機能が求められます。具体的には、環境内のユーザーおよび(暗号化されたものを含む)トラフィックに対する可視性と制御、環境内の異なる領域間におけるトラフィックのモニタリングと検証、パスワード以上の安全性を担保する強力な多要素認証(MFA)などが必要です。

ゼロトラストが従来のアーキテクチャーと決定的に異なるのは、セキュリティ態勢の最大の鍵が、ネットワークにおけるリソースの場所ではなくなっているという点です。厳格なネットワーク セグメンテーションを行うのではなく、あらゆる場所のデータ、ワークフロー、サービスなどを、ソフトウェア定義のマイクロセグメンテーションによって保護します。

Zscalerによるラテラル ムーブメントの防止

今、ファイアウォールやVPNなどといった従来のネットワーク セキュリティ ソリューションが問題となっています。膨大な攻撃対象領域を生み出し、簡単に脅威アクターに発見およびエクスプロイトされ、環境内への侵入の糸口となってしまうためです。さらに、こうしたセキュリティ ソリューションを利用している場合、ユーザーをネットワーク上に直接配置することになり、脅威アクターにとって機密データにアクセスしやすい環境となります。

そこでZscalerが開発したのがZscaler Private Access™です。世界トップの評価と導入実績を誇るセキュリティ サービス エッジ プラットフォームの一部として、以下のような機能を提供します。

• 従来型のVPNやファイアウォールを超えた、卓越したセキュリティ：ユーザーをネットワークではなくアプリに直接接続することで、攻撃対象領域を最小限に抑えてラテラル ムーブメントを排除できます。
• プライベート アプリの侵害を防止：インラインでの防御、デセプション、脅威の分離を備えた初のアプリ保護により、侵害されたユーザーのリスクを最小限に抑えます。
• 現在のハイブリッド ワーク環境における優れた生産性の実現：リモート ユーザーをはじめ、本社や支店、サード パーティーのパートナーに対し、プライベート アプリへの超高速アクセスをシームレスに提供します。
• ユーザー、ワークロード、IoT/OTに対応した統合ZTNAプラットフォーム：業界有数の包括的なZTNAプラットフォームを活用し、プライベート アプリ、サービス、OT/IoTデバイスに安全に接続します。

Zscaler Private Accessは、最小限特権の原則を適用することで、ユーザーにプライベート アプリケーションへの安全な直接接続を提供し、許可されていないアクセスやラテラル ムーブメントを防ぎます。クラウド ネイティブなサービスのため、数時間で展開して、従来のVPNとリモート アクセス ツールを総合的なゼロトラスト プラットフォームで置き換えることが可能です。