ラテラルムーブメントとは?具体的な手口や危険性、対策について徹底解説|サイバーセキュリティ.com

ラテラルムーブメントとは?具体的な手口や危険性、対策について徹底解説



「ラテラルムーブメント」と呼ばれる攻撃行動を知っていますか?企業や組織のネットワークに侵入し、内部の偵察や資格の窃取を行うものです。標的型攻撃の中で、感染を拡大させるフェーズで用いられます。

今回は、ラテラルムーブメントの危険性から、手口の紹介、ラテラルフィッシングの危険性、対策方法について徹底解説していきます。

ラテラルムーブメントとは

ラテラルムーブメントは「Lateral Movement(横方向への移動)」を意味します。企業や組織のネットワークに侵入したマルウェアが、OSの正規の機能を悪用して、内部の偵察や資格の窃取を行う攻撃手法のことです。攻撃プロセスにおける感染拡大のフェーズで実行されます。

通常、セキュリティ対策は外部からの侵入を防ぐために施すことが多いものです。同一ネットワーク内で攻撃されることは想定外と言えます。そのため、一度侵入され、ラテラルムーブメントによって企業や組織内のネットワーク内での活動を検知することは、難しいと言えるでしょう。

攻撃者が行うラテラルムーブメントは、ゆっくりと慎重に数週間から数ヶ月に渡る場合もあります。

ラテラルムーブメントの手口

ラテラルムーブメントの手口を3つの段階に分けて解説します。

偵察

偵察フェーズでは、OSやアプリケーションのぜい弱性、マルウェアの誤インストールなどによって侵入するところから始まります。一度侵入すると、攻撃者が持つコマンド&コントロール(C&C)サーバへ接続を確立します。攻撃者はC&Cサーバ経由で侵入先のネットワークの偵察を行うのです。

侵入先のネットワークのレイアウトを作成し、ユーザーやデバイスを見つけ出します。具体的には、「netstat」や「nmap」などのツールを使用して、ネットワーク全体の把握から、接続されている機器の捜索まで行います。

資格情報の収集

次に行うのは、資格情報を収集するフェーズです。資格情報とはシステムごとに定められたユーザー情報と捉えてよいでしょう。正しいユーザー情報を収集できれば、攻撃者は任意のシステムへ侵入することができ、システム間の移動が可能となります。資格情報を収集する最大の目的は「管理者権限」を得ることです。管理者権限を窃取できれば、システム内でどのような行動も取ることができます。

ユーザー情報を取得する手段としては、ユーザーのキー入力を盗み取る「キーロガー」や、手あたり次第にパスワードを入力して突破する「ブルートフォースアタック」などが代表的な例です。ほかにも、Windowsであれば、リモートサービス作成やリモートWMIプロセス作成、タスクスケジューラ作成などによって、情報を収集します。さらに、非常に成功率が高いフィッシングメールの一つである「ラテラルフィッシング」という攻撃手法もありますが、こちらは後ほど詳しく解説します。

情報窃取

攻撃者がネットワークのレイアウトを把握し、管理者権限まで得たとすれば、どんな情報も窃取可能です。どこに何があり、ファイルなどを閲覧・コピー・削除する権限を得ている、ということ。ここまでくれば、攻撃者は自身の利益となり得る情報を好きなだけ窃取できてしまいます。

企業や組織が持つ重要な情報としては、個人情報や機密情報、知的財産に関わる情報が代表的な例です。ラテラルムーブメントは、重要な情報を人質として金銭を要求する「ランサムウェア攻撃」でも大きな役割を果たしています。企業や組織においてラテラルムーブメントは無視できないものであることがわかりますね。

ラテラルムーブメントで用いられるラテラルフィッシングの危険性

ラテラルムーブメントで、資格情報を収集する中で用いる攻撃の一つに「ラテラルフィッシング」があります。ラテラルフィッシングとは、正規のドメインからフィッシングメールが送られてくる攻撃のことです。通常のフィッシングメールと違い、正規のドメインからメールが送られてくるため、対処が難しいことが特徴です。たとえば、あなたが普段やり取りをしている上司のメールアドレスから送信されたメールが、実はラテラルフィッシングだった、ということが起こりえます。

資格情報を収集されたあとであれば、攻撃者はあなたの上司になりすまし、あなたの上司のメールアドレスを使ってフィッシングメールを送ることが可能となります。「パスワードの有効期限が切れているから変更してくれ」と、偽のログイン画面へと誘導されても、気づくことは難しいと言えるでしょう。

通常のセキュリティ対策は、外部からの攻撃に対して働くものです。そのため、正規のドメインから内部ネットワークを通じてメールが送られてきた場合、セキュリティ対策が正常に働かない可能性が高いと言えます。さらに、普段やり取りをしている社内メールのアドレスそのものであるため、人間の目でも簡単には見破れません。ラテラルフィッシングは非常に成功率が高い攻撃手法となっています。

ラテラルムーブメントへの対策方法

ラテラルムーブメントは、OSの正規機能を使用したり、巧妙に隠れたりするため、対策が難しいものです。しかし、対策方法がないわけではありません。ここでは、ラテラルムーブメントへの対策方法を3つ紹介します。

迅速な検知

ラテラルムーブメントは、侵入後にネットワークの内部で偵察したり、資格情報を収集したりするものです。そのため、ネットワークの出入り口だけでなく、組織内部のネットワークを監視するソリューションを導入することが対策の一つとなり得ます。DNS通信を監視して、不正なドメインやURLへのアクセスを検出するソリューションもあります。

ラテラルフィッシングでは、偽のログイン画面は攻撃者が所有するドメインへと誘導されるため、検知することが可能です。ネットワークを可視化し、異常な振る舞いを検知する仕組みを導入することが重要となります。

多要素認証の導入

IDとパスワードだけの認証は、一要素だけの認証です。IDとパスワードによる認証に加えて、別の要素を認証対象とすることで、ラテラルムーブメントへの対策となり得ます。

たとえば、個人が持つスマホや携帯電話で認証をする、生体認証をする、といった複数の要素による認証を追加します。IDとパスワードを盗まれたとしても、スマホや生体認証情報は盗むことが難しいものです。多要素認証を導入することで、比較的簡単にセキュリティ強度を上げることができます。

セキュリティトレーニングの実施

“攻撃者がどのような手法を用いて攻撃してくるのか”といったことを知っているだけでも、対策となりえます。特にラテラルフィッシングに対しては有効です。企業のセキュリティ教育の一環として、フィッシングメールに対する教育を受けた経験がある人も多いでしょう。ただし、通常のフィッシングメールを見分ける方法は、送信元が怪しいかどうか、といった部分で判断していることが多いように思われます。

ラテラルフィッシングは、正規のドメインからメールが送信されるため、送信元だけでは判断できません。しかし「ラテラルフィッシングという攻撃がある」ということを知っていれば、メールに記載されているURLを注意深く観察する習慣を身につけることは可能ですよね。ユーザーに「もしかしたら」という意識を植え付けることが重要と言えます。

まとめ

ラテラルムーブメントは、企業や組織の内部に侵入し、内部偵察・資格窃取・感染拡大を目的とする攻撃行動です。一度侵入されると内部のユーザーになりすますため、検知が難しいと言えます。また、資格情報を窃取するために「ラテラルフィッシング」という攻撃手法があり、非常に成功率が高い攻撃手法となっています。

ラテラルムーブメントは、数週間から数ヶ月単位で行われることもあるため、ネットワークを可視化して異常な振る舞いを検知する仕組みを導入することが対応策となりえます。さらに、多要素認証などを導入すれば、ラテラルムーブメントによる被害を防ぐことが可能です。

あなたも、ラテラルムーブメントやラテラルフィッシングという攻撃があることを知り、攻撃者に騙されないよう、日頃から注意する習慣を身に着けましょう。


SNSでもご購読できます。