ラテラルムーブメント (セキュリティ)
From Wikipedia, the free encyclopedia
ラテラルムーブメント(英語: Lateral movement)とは、サイバー攻撃者または脅威アクターが、一連の攻撃における最終的な標的となる重要なデータや資産を探し出すために、ネットワーク内を段階的に移動する際に用いる手法を指す[1][2][3]。水平展開・内部感染行動ともいう。
攻撃者がシステムへの初期侵入(フィッシングメールやソフトウェアの脆弱性の悪用など)に成功した際、その最初に掌握した端末が、攻撃者の最終的な目標とする機密データや管理者権限を保持しているとは限らない。そのため、攻撃者は目的を達成するために、ネットワーク内部で自身のアクセス権限を拡大しながら別の端末やサーバーへ移動する必要がある。これがラテラルムーブメントの主な目的である。
より巧妙な攻撃手順が開発されたことで、脅威アクターは自らの戦略を洗練させ、過去に比べてより効果的に検知を逃れることが可能となった。しかし、強盗の計画に似ているように、サイバー防御側もまた、ラテラルムーブメントを利用してネットワーク内における攻撃者の現在位置を特定し、進行中の脅威に対してより効果的に対応する術を学んでいる[1]。
ラテラルムーブメントは、戦術、技術、手順の14のカテゴリに含まれるATT&CKフレームワークの一部である。
このプロセスは、一般的に以下のサイクルを繰り返すことで進行する[4]。
対策
ラテラルムーブメントは正常な通信や管理者の振る舞いと酷似しているため、境界防御(ファイアウォールなど)のみで防ぐことは難しい。そのため、ネットワーク内部に侵入されることを前提とした多層防御のアプローチが必要とされる[4]。
- ネットワークセグメンテーション - ネットワークを細かなセグメントに分割し、セグメント間の不要な通信を制限することで、攻撃者の移動範囲を物理的または論理的に封じ込める[5]。
- 最小権限の原則の運用 - ユーザーやプロセスに対して必要最小限の権限のみを付与する。
- 多要素認証 (MFA) - 特権アカウントへのアクセスには多要素認証を必須とすることで、認証情報が窃取された際のリスクを低減する。
- EDR / NDR - エンドポイント(端末)やネットワーク上のログを監視し、普段アクセスしないサーバーへの不自然な通信や、通常とは異なる時間帯での管理者ツールの実行など、不審な振る舞い(アノマリー)をAIや機械学習を用いて早期に検知する。
- ゼロトラストアーキテクチャ - 「内部ネットワークは安全である」という従来の前提を捨て、すべての通信やアクセス要求に対して常に検証と認可を行うゼロトラストの概念が、有効な対策として導入されている。