ラテラルムーブメントとは、従業員のPCなどからネットワークに侵入した後、ネットワーク内を水平方向に移動しながら、侵害範囲を徐々に拡大していく手法です。

攻撃者はネットワークに侵入後、以下のような流れでラテラルムーブメントを行います。

ラテラルムーブメントは、アクセスに従業員アカウントを用いたり、アクティビティを巧妙に隠蔽したりすることから、検知が難しいとされています。

そのため、エンドポイントをリアルタイムで監視するEDRや内部ネットワーク全体を監視し、脅威を検知するNDR・SIEMなどの導入が有効です。

この記事では、ラテラルムーブメントの手法、それに対する有効な対策について詳しく解説いたします。

MOTEXでは、ラテラルムーブメントの対策としても有効な「EDR」に関して、中小企業の情シス1,000名を対象としたアンケート調査を実施。EDRの導入実態や、導入した情シス担当の本音などをまとめました。

EDRの導入に関心のある企業様は、ぜひご活用ください。

ラテラルムーブメントとは

ラテラルムーブメント（Lateral Movement│水平展開）とは、サイバー攻撃にてネットワークへ侵入した攻撃者が、ネットワーク内を水平方向に移動しながら、侵害範囲を段階的に拡大していく手口のことです。

攻撃者ははじめに、マルウェア感染や標的型メールなどを用いて、組織のネットワークへと侵入（垂直方向の移動）。そこから権限昇格を用いて複数のシステムやアカウントを侵害しながら、内部ネットワークを横移動し、最終目的である機密情報へとたどり着きます。

※権限昇格…攻撃者が現在のユーザー権限から、脆弱性の悪用や認証情報の不正利用によって、より高い権限レベル（管理者権限など）に昇格するプロセスのこと。特に「垂直権限昇格」という。

▼ラテラルムーブメントのイメージ

通常、企業機密等の重要なデータはアクセス権が限定的であり、また堅牢なセキュリティ体制を突破する必要があります。そこで攻撃者は、まずは組織のネットワークへ侵入し、機密情報のアクセスに必要な権限を獲得しながら、目的のデータへと到達するのです。

例えば、はじめにユーザーAの端末へ侵入した後、ネットワークを介して、より重要な権限をもつ「経営幹部のアカウント」へアクセスを広げる、といった具合です。ラテラルムーブメントは、アクセスに従業員アカウントを用いる点や、あるいはアクティビティを巧妙に隠蔽する特性から、侵入された組織側が攻撃に気づきづらいという厄介な特徴があります。

また「高度で持続的な脅威」であるAPT攻撃では、しばしばラテラルムーブメントを活用し、大企業や公的機関の機密情報が狙われます。

ラテラルムーブメントが行われる流れ

次に「ラテラルムーブメントが行われる流れ」について、攻撃者がネットワークへ侵入した時点から解説します。

1. ネットワーク内の情報収集

攻撃者はネットワーク内の侵入プランを立てるため、ネットワーク内の偵察をおこないます。ネットワークのマッピング、ポートスキャン等をおこないます。

またフィッシングやソーシャルエンジニアリング、キーロガー等を用いて、ネットワーク内アカウントの認証情報を取得します。

2. 権限昇格

より高い権限レベル（管理者権限など）を得るため、獲得したログイン情報などを用いて、ネットワーク内の様々なシステムやアカウントへアクセスを繰り返します。
このとき攻撃者はリモートアクセスにより、遠隔にて操作をおこないます。

3. 追加アクセスの確立

攻撃者はバックドアやトロイの木馬を残すことで、継続的に簡易アクセスが可能な状態を確立します。また新しいユーザーアカウントを作成することで、検出を避けつつネットワーク内での自由に動ける権利を確保します。

4. 機密情報へのアクセスと抽出

最終的に目標に応じて、機密情報、財務データ、個人情報など、特定のデータへとアクセス。データの外部転送や破壊などをおこないます。

窃取された情報は、不正な経済利益の獲得や組織への脅迫など、悪意ある目的に利用される可能性があります。

5. ネットワーク内の検出回避

攻撃者はセキュリティツールによる検出を避けるため、トラフィックの暗号化やログの改ざんなどを実施。秘密裏な目的達成をおこないます。

企業のメールアカウントを悪用する「ラテラルフィッシング」という攻撃も

攻撃者がラテラルムーブメントをおこなうため、認証情報を盗む手法の1つに「ラテラルフィッシング」があります。

そもそもフィッシングとは、ターゲットに電子メールを送り、偽のWebサイトに誘導することで、ユーザーの認証情報を盗んだりマルウェアへ感染させたりする攻撃です。大手企業や公的機関を装ったメールで、ターゲットを誘導するのが常習手口です。

▼とある企業を装ったフィッシングメール

出典：警察庁│フィッシング110番

対して「ラテラルフィッシング」とは、企業や組織のメールアカウントを乗っ取り、乗っ取った正規のメールアドレスから、標的に対してフィッシングメールを送りつける攻撃手法を指します。なりすましではなく、正規のアカウントを乗っ取ってメールを送るという特性上、偽メールと見分けることが難しいのがラテラルフィッシングの特徴です。

またラテラルムーブメントを実行する際は、はじめに従業員のメールアカウントを乗っ取り、組織内の別の従業員へとメールを送信することで、認証情報の獲得をおこないます。「内部からのメールには警戒心が低い」心理を悪用し、権限昇格を進めていきます。

ラテラルフィッシングの対策としては、「多要素認証」の導入が効果的です。仮に認証情報が盗まれた際も、多要素認証を活用することで、アカウントへの不正ログインを回避することが可能です。

ラテラルムーブメントへ有効なセキュリティ対策

ラテラルムーブメントへの対策方法として、以下の4つが挙げられます。

1．内部ネットワークの監視・脅威検知システムの導入

ラテラルムーブメントの対策の1つに、内部ネットワーク全体を監視し、脅威を検知するセキュリティソリューションの導入があげられます。攻撃の早期発見を可能にするネットワーク監視製品には、NDRやSIEMなどが挙げられます。

MOTEXでは、ネットワーク全体の通信状況の可視化と異常な挙動検知を実現する、NDR「Darktrace（ダークトレース）」を提供しています。

2．アクセス権限の最小化

ラテラルムーブメントの対策であれば、そもそもデータファイルやシステムの「アクセス権限の最小化」しておくことも重要です。

といった具合です。

機密情報を求めて、権限昇格を繰り返すラテラルムーブメントでは、アクセス権限を最小限にすることで犯行を困難にします。

3.「多要素認証」など認証の強化

ラテラルムーブメントにおいて、攻撃者は従業員の認証情報を盗み悪用することで、権限の乗っ取りを行います。

よって不正な乗っ取りを防ぐには、IDとパスワードのみに頼らない、認証方法の導入が効果的です。具体的には「多要素認証」による、認証の強化がおすすめです。

多要素認証とは、①知識情報（パスワードなど）、②所持情報（スマートフォンなど）、③生体情報（指紋など）の中から、2つ以上の要素を組み合わせて認証を行うセキュリティ手法です。

▼多要素認証のイメージ

多要素認証を導入していれば、仮に攻撃者がIDやパスワードを盗み、不正ログインを試みた場合も、認証を突破することができません。ラテラルムーブメントによる不正アクセス・権限昇格を防止することが可能です。

4． EDR（エンドポイント検知）の導入

ラテラルムーブメントの対策として、EDR（エンドポイント監視）の導入も効果的です。

EDRは、PCやスマホといったエンドポイント端末内の活動をリアルタイムで監視し、不審な挙動や行動パターンを検出すると、速やかに管理者へと通知するセキュリティソリューションです。

よって仮に、攻撃者がエンドポイントへ侵入した場合も、怪しい振る舞いがあれば即時に検知し、適切な対応をとることが可能です。関連プロセスを自動的に停止させたり、侵害されたアカウントを隔離したりすることで、被害を最小限に食い止めます。

また、EDRではエンドポイントの詳細なログ情報を確認できるため、侵入経路の特定や脅威分析、それらを踏まえた再発防止策の作成などに役立ちます。

MOTEXではAI技術を駆使した、運用負荷の少ないEDR「CylanceOPTICS」を提供しています。

ラテラルムーブメントを用いた攻撃には
アンチウイルス✕EDR✕MDRサービスをセットで提供する
「Cylanceシリーズ」がおすすめ

ラテラルムーブメント対策であれば、アンチウイルス・EDR・MDRサービスの３つをセットで提供可能な、エンドポイントセキュリティ「Cylanceシリーズ」の導入がおすすめです。

侵入後、横展開を繰り返しながらネットワーク内を移動するサイバー攻撃には、侵入時・侵入後のそれぞれのポイントで、不審なパターンを検出する必要があります。

よってPC等のエンドポイントを保護するには、アンチウイルス・EDRをセットで導入し、両者が検知できない領域を補完し合うことが有効です。

▼EPP（アンチウイルス）とEDRの役割範囲

しかし実際には「EDRを使った監視業務に手が回らない」「脅威検出のアラートが多すぎて、対応しきれない」という声も多く、アンチウイルスとEDRの併用が実現していない企業様も少なくありません。

そういった方におすすめしたいのが、アンチウイルスを中心に３つのサービスを提供する「Cylanceシリーズ」です。

の３つをお客様の予算やご希望条件に応じて提供。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため（MDRサービス）、より早期にエンドポイントに潜む脅威を検出できます。

アンチウイルスのみ、アンチウイルス＋EDRのみ導入するなど、柔軟な提案も可能です。詳細は以下よりご覧ください。

2．内部ネットワークに侵入した脅威を監視・検知するNDR「Darktrace」

「Darktrace」は、企業・組織のネットワークやクラウドのパケットを収集し、ネットワーク全体の通信状況を可視化して、異常な挙動を検知するNDRソリューションです。

AI 機械学習と数学理論によって自己学習し、ラテラルムーブメントのような、通常とは異なる通信パターンを検知します。

「管理負荷が少なく、自社のIT環境を網羅的に監視・対策できるセキュリティソリューションを求めている」方に最適です。詳しくは以下の詳細よりご覧ください。

3．万一、インシデントが発生したら…事後対応に有効な「インシデント対応サービス」

「PCがランサムウェア攻撃を受けた」
「システムへ不正アクセスされた痕跡がある」

このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応サービス」の利用がおすすめです。

フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで実施します。

「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。

まとめ

本記事では「ラテラルムーブメント」をテーマに、その概要や対策について解説しました。

ラテラルムーブメントは、攻撃者がネットワーク内を巧妙に移動し、複数の端末やシステムを渡り歩く手法です。アクセス制御の強化や、EDR・NDRといった監視システムを導入することで、対策をおこないましょう。

MOTEXでは、ラテラルムーブメントの対策としても有効な「EDR」に関して、中小企業の情シス1,000名を対象としたアンケート調査を実施。EDRの導入実態や、導入した情シス担当の本音などをまとめました。

EDRの導入に関心のある企業様は、ぜひご活用ください。