横移動とは

横移動は必ずしもすべてのサイバー攻撃の特性というわけではありませんが、サイバーセキュリティーの脅威でも与える損害が最も大きいものの1つとなります。これは、横移動というのが、盗んだユーザー認証情報を頼みにネットワークを侵害し中へ深く入り込んでいくものであるためです。この種の侵害では、セキュリティー・チームに要求されるインシデント対応が複雑になるため、通常は他の感染経路よりも対応ライフサイクルが長くなります。

大まかに言うと、横移動による攻撃は2つに分かれます。初めに侵害、それから中で動くのです。ハッカーがまずしなければならないのは、エンドポイント・セキュリティーをくぐり抜けてネットワークへのアクセス権を得ることです。フィッシング攻撃やマルウェアを利用してデバイスやアプリケーションを侵害することや、オープンなサーバーポートを通って初期アクセス権を得ることもあります。

中に入ってから、攻撃者は次のような段階を追って横移動をし、ネットワークの他の領域へも手を広げ始めます。

足場を固めたら、攻撃者はネットワークのマップを作り、目標までのルートを計画します。ネットワーク階層、オペレーティング・システム、ユーザー・アカウント、デバイス、データベース、アプリケーションに関する情報を探して、こうした資産がどのようにつながっているかを把握します。ネットワーク・セキュリティー制御を調べ上げ、そこで得たものを利用してセキュリティー・チームから逃れることもあります。

ハッカーはネットワーク・レイアウトを把握すると、横移動のテクニックを駆使して、より多くのデバイスやアカウントに到達します。多くのリソースに潜入していくハッカーは、その目標に近づくだけでなく、排除されにくくもなります。セキュリティー・オペレーションによって1台か2台のマシンから排除されても、まだ他の資産にはアクセスできます。

ハッカーが横移動するほど、キャプチャしようとする資産やアカウントの権限も高くなります。この行為を「権限昇格」といいます。攻撃者は、権限が高まるほど、ネットワーク内でできることも多くなります。最終的に、ハッカーは管理者権限を得るのが目的であり、そうなると、実質的にどこにいても、事実上どのようなこともできます。

ハッカーは、標的に到達するまで、横移動のテクニックを必要に応じて組み合わせ繰り返します。多くの場合、攻撃者はデータ窃盗をもくろんで機密情報を収集、暗号化、圧縮して外部サーバーへ持ち出そうとします。あるいは、データを削除したり、クリティカルなシステムにマルウェアを感染させたりすることで、ネットワークを妨害しようとすることもあります。ハッカーの最終的な目標によっては、バックドアやリモート・アクセス・ポイントをできる限り長く保って被害を最大化することもあります。

クレデンシャル・ダンピング：ハッカーは正規ユーザーのユーザー名とパスワードを盗み、こうした認証情報を自分のマシンに「ダンプ」します。最近デバイスにログインした管理者の認証情報を盗むこともあります。

パス・ザ・ハッシュ攻撃：システムによっては、パスワードの送信や保存をする前に、判読不可能なデータに変換、「ハッシュ化」します。ハッカーは、こうしたパスワード・ハッシュを盗んで利用することで、認証プロトコルをだまし、保護されているシステムやサービスへのアクセス権を付与させます。

パス・ザ・チケット：ハッカーは盗んだKerberosチケットを利用して、ネットワーク上のデバイスやサービスにアクセスします。（Kerberosとは、Microsoft Active Directoryで使用されるデフォルトの認証プロトコルです。）

ブルートフォース攻撃：ハッカーは、スクリプトまたはボットを利用してパスワード候補を生成してテストし、当たったらアカウントに侵入します。

ソーシャル・エンジニアリング：ハッカーは、侵害した従業員Eメールアカウントを利用して、特権アカウントのログイン認証情報を収集するよう設計したフィッシング攻撃を開始します。

共有リソースハイジャック：ハッカーは、共有リソース、データベース、ファイルシステムを通じて、マルウェアを拡散します。たとえば、macOSとLinuxオペレーティング・システムにわたってシステムを接続するSecure Shell（SSH）機能をハイジャックすることがあります。

PowerShell攻撃：ハッカーは、Windowsのコマンドラインインターフェイス（CLI）とスクリプトツールPowerShellを利用して、設定を変更したり、パスワードを盗んだり、悪意あるスクリプトを実行したりします。

リビングオフザランド：ハッカーは、横移動での後の方の段階で、外部のマルウェアではなく、侵害した内部資産を頼みにすることがあります。このアプローチを取られると、攻撃者のアクティビティが正規のものであるように見えるので、余計検知しにくくなります。

持続的標的型攻撃（APT）：横移動はAPT攻撃グループが基礎とするストラテジーであり、その目的は、ネットワークに侵入し、全体を探索し、アクセスを拡張する時間を延ばすことです。複数のサイバー攻撃を数カ月、あるいはむしろ数年にわたって実行する一方で、検知されないようにするために、よく横移動を利用します。

サイバースパイ：サイバースパイの本質は機密性の高いデータやプロセスを突き止め傍受することであるため、サイバースパイにとって横移動はカギとなる機能です。高度なサイバー犯罪者がしばしば国家に雇われるのは、標的となるネットワークの内部を自由に動き回って保護対象資産を偵察していても検知されることがないという能力ゆえです。

ランサムウェア：ランサムウェア攻撃者は、横移動を実行して、多数の多様なシステム、ドメイン、アプリケーション、デバイスにアクセスして掌握します。キャプチャーできる資産が増え、それらの資産が組織のオペレーションにとってクリティカルであるほど、身代金を要求する際のレバレッジも大きくなります。

ボットネット感染：横移動が進むにつれ、ハッカーは侵害したネットワークで次から次へとデバイスを掌握していきます。そうしたデバイスを接続して、ロボットネットワークつまりボットネットを作り出します。ボットネット感染がうまくいくと、他のサイバー攻撃を仕掛けたり、スパムメールをばらまいたり、詐欺の標的とするユーザーグループを大きくしたりするのに利用されます。

横移動はネットワーク全体で急速にエスカレートするため、損害や損失を軽減するための早期検知はクリティカルです。セキュリティー専門家は、正常なネットワーク・プロセスと不審なアクティビティーを区別するための助けとなるアクションを取ることを推奨しています。次のようなものがあります。

ユーザー振る舞いを分析する：異常に大量のユーザーログオン、深夜に行われるログオン、予期しないデバイスやアプリケーションにアクセスするユーザー、ログオン失敗の急増、こうしたことすべてが横移動の兆候になりえます。振る舞い分析を機械学習によって行うと、異常なユーザー振る舞いが識別され、セキュリティーチームにアラートが発信されます。

エンドポイントを保護する：パーソナルワークステーション、スマートフォン、タブレット、サーバーなど、ネットワークに接続している脆弱なデバイスは、サイバー脅威の第一標的です。EDR（エンドポイントの検知と対応） やウェブアプリケーション・ファイアウォールなどのセキュリティー・ソリューションは、エンドポイントを監視してネットワーク侵害をリアルタイムで防止するため、クリティカルです。

ネットワーク・パーティションを設ける：ネットワーク・セグメンテーションは、横移動を止めるための助けとなります。ネットワークの領域が異なると別のアクセスプロトコルが要求されるので、ハッカーが手を広げる能力が制限されます。また、異常なネットワーク・トラフィックの検知もしやすくなります。

データ転送を監視する：データベース・オペレーションが突然加速した、データが通常と異なるロケーションへ大量に転送された、といったケースは、横移動が行われている兆候を示すものです。セキュリティー情報およびイベント管理（SIEM）やネットワークの検知と対応（NDR）など、データソースからのイベントログを監視し分析するツールは、不審なデータ転送パターンを特定するのに役立ちます。

多要素認証（MFA）を使用する：ハッカーがユーザー認証情報を盗むのに成功しても、多要素認証でセキュリティー・レイヤーがもう1つ加わり、侵害を防ぐのを助けます。MFAがあれば、盗んだパスワードだけでは、保護されているシステムへのアクセスができなくなります。

潜在的な脅威を調査する：自動化されたセキュリティーシステムでは、誤検知が出る一方で、これまで知られていなかったか修復されていないサイバー脅威は逃します。手動による脅威ハンティングも、最新の脅威インテリジェンスによる情報が得られると、組織が潜在的な脅威を調査して効果的なインシデント対応に備えるための助けとなります。

プロアクティブでいる：ソフトウェアにパッチを適用し更新すること、最小権限システムアクセスを徹底すること、セキュリティー策に関して従業員トレーニングをすること、ペネトレーション・テストは、横移動を防ぐのに役立ちます。ハッカーに機会を設けてしまう脆弱性には絶えず対処することが非常に重要です。