サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 用語・国際規格 侵入後の攻撃者の行動を知ろう 『 ラテラルムーブメント 』

侵入後の攻撃者の行動を知ろう 『 ラテラルムーブメント 』

侵入後の攻撃者の行動を知ろう 『 ラテラルムーブメント 』
目次
  • ラテラルムーブメントとは
  • 侵入後に『 攻撃者が行うこと』とは?

ラテラルムーブメントとは

『ラテラルムーブメント(lateral movement)』は日本語で言えば「水平展開」で、サイバー攻撃において、攻撃者が特定の環境に侵入した後、より活動の手を広げるために行う行動です

攻撃者が外部から侵入したコンピュータそのものから、十分なサイバー攻撃の成果(重要情報の奪取など)を得られれば単純ですが、たいていの場合はそれほど簡単ではありません。侵入したコンピュータと同じネットワークに存在する、より重要な情報資産を管理するコンピュータに侵入し、その資産を盗む必要があります。これがラテラルムーブメントです。

例え話で言えば、窓を破って建物に侵入した空き巣が、金目のものがないか各部屋を物色する作業……とでもいいましょうか。

侵入後に『 攻撃者が行うこと』とは?

ラテラルムーブメントでは、まずはじめに、侵入先に隣接する機器の列挙やサービスの把握といった「偵察」から始まります。そして、他の機器に侵入するための「資格情報」を入手します。このために、WindowsネットワークにおいてはActive Directoryのディレクトリサーバがしばしば標的となります。

そして、得られた資格情報を用いて、データベースサーバやメールサーバといった「情報資産を持つコンピュータ」にログインし、データを搾取するというわけです。これらは必ずしも攻撃者自身が行う必要はなく、マルウェアの侵入を許したのちにマルウェアが(時にはリモートで制御されながら)行っていくこともあります。

防御する側から考えると、外界からの侵入についてはファイアウォールなどで守られており、侵入試行についても検知は容易です。しかし一般的に内部ネットワークでは「信頼された利用者しかいないという前提」があったりするため、ラテラルムーブメントにおける各種行動に対してはそれほど堅牢でない、あるいは気付きにくいといった問題があります。例えば内部利用に限るからという理由で脆弱性のあるサーバを利用し続けている……といった問題が典型的です。

また攻撃者も巧妙で、ラテラルムーブメントは一般的な利用に紛れるように、頻度を下げて長期間に渡って行われることもあります。空き巣の例で言えば、侵入した後に、引き続き部屋を物色していると、たまたま家主が帰宅して見つかるといった可能性も高いでしょうが、入った後に手早く盗聴器をしかけておき、時間をかけて住居者の行動パターンや金庫の番号といった重要な情報を得て、再度侵入すれば気付かれにくい……といったことになります。

そこで、防御する側としては、攻撃者やマルウェアの侵入を許してしまう可能性があるという想定で、内部ネットワークであってもセキュリティレベルをあまり低くしないこと、異常な行動については、それがまとまった短期間でなくても気付けるような監視体制を構築することが大事です

そもそも「信頼された利用者」しかいないという前提のネットワークが存在しないという、「ゼロトラスト」という考え方も近年では注目されています。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 おがさわらなるひこ

2015年より株式会社SHIFTにてソフトウェアテスト自動化の顧客導入支援・プラットフォーム開発に従事。加えてSHIFT SECURITY設立に兼務で参画し、初期の標準化や教育などを担当。2019年に同社専任になってからは、開発者向けのソフトウェアセキュリティサービス、スマートフォンアプリ診断手法および社内ツール開発などを主な業務とする。 個人としては主にデスクトップ領域のオープンソースソフトウェアの愛好家であり、翻訳やバグ報告、雑誌やWeb媒体への執筆、イベントへの登壇なども行う。隠れた趣味はリバーカヤック。

\ 記事をシェアする /

サービスに関する
お問い合わせ