セキュリティの
学び場

ラテラルムーブメントとは

『ラテラルムーブメント（lateral movement）』は日本語で言えば「水平展開」で、サイバー攻撃において、攻撃者が特定の環境に侵入した後、より活動の手を広げるために行う行動です。

攻撃者が外部から侵入したコンピュータそのものから、十分なサイバー攻撃の成果（重要情報の奪取など）を得られれば単純ですが、たいていの場合はそれほど簡単ではありません。侵入したコンピュータと同じネットワークに存在する、より重要な情報資産を管理するコンピュータに侵入し、その資産を盗む必要があります。これがラテラルムーブメントです。

例え話で言えば、窓を破って建物に侵入した空き巣が、金目のものがないか各部屋を物色する作業……とでもいいましょうか。

侵入後に『 攻撃者が行うこと』とは？

ラテラルムーブメントでは、まずはじめに、侵入先に隣接する機器の列挙やサービスの把握といった「偵察」から始まります。そして、他の機器に侵入するための「資格情報」を入手します。このために、WindowsネットワークにおいてはActive Directoryのディレクトリサーバがしばしば標的となります。

そして、得られた資格情報を用いて、データベースサーバやメールサーバといった「情報資産を持つコンピュータ」にログインし、データを搾取するというわけです。これらは必ずしも攻撃者自身が行う必要はなく、マルウェアの侵入を許したのちにマルウェアが（時にはリモートで制御されながら）行っていくこともあります。

防御する側から考えると、外界からの侵入についてはファイアウォールなどで守られており、侵入試行についても検知は容易です。しかし一般的に内部ネットワークでは「信頼された利用者しかいないという前提」があったりするため、ラテラルムーブメントにおける各種行動に対してはそれほど堅牢でない、あるいは気付きにくいといった問題があります。例えば内部利用に限るからという理由で脆弱性のあるサーバを利用し続けている……といった問題が典型的です。

また攻撃者も巧妙で、ラテラルムーブメントは一般的な利用に紛れるように、頻度を下げて長期間に渡って行われることもあります。空き巣の例で言えば、侵入した後に、引き続き部屋を物色していると、たまたま家主が帰宅して見つかるといった可能性も高いでしょうが、入った後に手早く盗聴器をしかけておき、時間をかけて住居者の行動パターンや金庫の番号といった重要な情報を得て、再度侵入すれば気付かれにくい……といったことになります。

そこで、防御する側としては、攻撃者やマルウェアの侵入を許してしまう可能性があるという想定で、内部ネットワークであってもセキュリティレベルをあまり低くしないこと、異常な行動については、それがまとまった短期間でなくても気付けるような監視体制を構築することが大事です。

そもそも「信頼された利用者」しかいないという前提のネットワークが存在しないという、「ゼロトラスト」という考え方も近年では注目されています。