9 横移動のテクニックとネットワークの防御

ラテラル・ムーブメント・テクニックとは？

横移動技術とは、サイバー犯罪者が最初のアクセスを獲得した後、ネットワーク内を進むために採用する戦略や手法を指す。これは通常、ネットワーク内の特定のデータやリソースを狙うために行われます。サイバー犯罪者は多くの場合、ネットワークのセキュリティの脆弱性を利用して目的を達成します。これらのテクニックを理解することは、効果的なサイバーセキュリティ対策を確立する上で非常に重要である。

一般的な横移動のテクニック

サイバー犯罪者が横の動きを実行するために使用する一般的なテクニックを確認してみよう。

1.キーロガー

キーロガーは、コンピューター上のキー入力を記録するマルウェアの一種です。サイバー犯罪者はキーロガーを使って、ユーザー名、パスワード、クレジットカード番号などの機密情報を盗み出します。攻撃者がユーザーのデバイスを侵害し、キーロガーをインストールすると、その従業員が日常業務で使用するすべての認証情報にアクセスできるようになります。これにより、横の動きが可能になります。

2.パスザハッシュ（PtH）攻撃

PtH攻撃では、攻撃者はユーザーのパスワードのハッシュ化されたバージョンを盗み出し、それを使ってそのユーザーとして認証する。実際のパスワードの代わりにハッシュが使われるため、攻撃者はパスワード・ベースの認証方法をバイパスすることができる。PtH攻撃につながる重要な脆弱性の一つは、不必要な、あるいは古いユーザー・アカウントである。これらはPtH攻撃のターゲットになりやすい。

3.パスザチケット（PtT）攻撃（ゴールドチケットとシルバーチケット）

パス・ザ・チケット（PtT）攻撃はPtH攻撃と似ているが、パスワード・ハッシュを盗む代わりに、攻撃者はKerberosチケットを盗む。Kerberosは、チケットを使ってユーザーを認証するネットワーク認証プロトコルです。PtT攻撃では、攻撃者はユーザーのチケットを盗み、それを使ってそのユーザーとして認証します。

PtT攻撃には2種類ある：ゴールド・チケット攻撃とシルバー・チケット攻撃である。ゴールド・チケット攻撃では、攻撃者はチケット付与チケット（TGT）を盗み、ネットワーク上のどのユーザーとしても認証できるようにする。シルバー・チケット攻撃では、攻撃者は特定のサービスのユーザーとして認証できるサービス・チケットを盗む。

4.ケルベロスティング

Kerberoastingは、Kerberosプロトコルのチケット付与サービス（TGS）を悪用し、サービスチケットの使用方法と暗号化を利用します。Kerberoasting攻撃では、まず敵が特定のサービスにアクセスするユーザーのTGSチケットを要求します。このチケットはサービスのパスワードで強力に暗号化されている。しかし、サービスアカウントによっては、ブルートフォースされるような弱いパスワードを持っている場合があります。

攻撃者はTGSのチケットをオフラインにしてクラックを試み、サービス・アカウントのパスワードを明らかにすることができる。パスワードを入手すると、サービスになりすまし、サービスのデータにアクセスしたり、解読したりすることができる。パス・ザ・チケット攻撃とは異なり、Kerberoastingは管理者権限を必要とせず、アカウント・ロックアウト・ポリシーに依存せず、不審なネットワーク・アクティビティを発生させないため、よりステルス性が高い。

5.リモートデスクトッププロトコル（RDP）

RDPを使うと、ユーザーは別のコンピューターを遠隔操作することができる。これは合法的な目的には便利なツールだが、攻撃者はこれを利用してネットワーク内を横移動することもできる。RDPにはリスクが内在しているため、絶対に必要な場合にのみ使用し、強固な認証を行うべきである。また、予期せぬRDPセッションがないか、定期的にネットワークを監視する必要がある。

6.サーバーメッセージブロック(SMB)とWindows Management Instrumentation (WMI)

SMBは、主にファイル、プリンタ、シリアルポートへの共有アクセスを提供するために使用されるネットワークプロトコルであり、攻撃者がネットワークを横方向に移動するために悪用されることが多い。SMBで発見されたEternalBlueと呼ばれる重大なエクスプロイトは、世界規模のランサムウェア攻撃WannaCryで使用されたエクスプロイトである。SMBの最近のバージョンは、これらのセキュリティ脆弱性に対処している。

WMIは、ネットワーク内のデバイスやアプリケーションを統合管理するための、マイクロソフト社の一連の仕様である。しかし、WMIはサイバー犯罪者によって操作され、アプリケーションの許可リストを回避したり、ホスト・ベースのセキュリティ・ツールを回避したり、リモートでスクリプトを実行したりすることができる。

SMB（特に古いバージョンや、セキュリティのベストプラクティスに従っていない実装）とWMIは、攻撃者にとって強力なツールであり、ネットワークをこっそりと横断することを可能にする。

7.SSHハイジャック

この方法は、攻撃者がSSHセッションをコントロールすることで、ターゲット・システム上でリモート・コマンドを実行することを可能にする。SSHは一般的にリモートでシステムを管理するために使われるため、特に危険である。SSHセッションを制御する攻撃者は、元のユーザーと同じレベルのアクセス権を得る可能性があります。

8.土地を離れて暮らす（LotL）

Living off the Land（LotL）とは、攻撃者が悪意のある活動を行うために、ターゲットシステム上で既に利用可能なビルトインツールを使用する手法です。正規のプログラムやプロセスを利用することで、攻撃者は通常のネットワークトラフィックに紛れ込むことができ、検知や防御がより困難になります。

この手法には、PowerShell、コマンドライン・インターフェース、管理ツールの悪用から、マクロやスクリプトの活用まで、あらゆるものが含まれる。攻撃者は、すでに侵害したシステムで利用可能なツールを活用することで、横の動きを行うことができます。

9.マスカレードとミミカッツ

マスカレードとは、攻撃者が正規のユーザーやプロセスになりすまし、検知を逃れる横移動のテクニックである。これは、悪意のあるファイルやプロセスの名前を正規のものと一致するように変更したり、盗んだ認証情報を使用して信頼できるユーザーに見せかけたりすることで行われます。

Mimikatzは、マスカレード攻撃でよく使われるツールだ。平文のパスワード、ハッシュ、PINコード、Kerberosチケットをメモリから抽出することで、Mimikatzは攻撃者が正当なユーザーになりすまし、ネットワーク上を横方向に移動することを可能にする。

伝統的な横方向への動きに対するプロテクションとUEBAの必要性

ここで、組織が従来どのように横の動きから身を守ってきたか、また、こうした手法の欠点について振り返ってみよう。

ルールによるレガシー検出では不十分な理由

サイバー脅威を検知するための従来のアプローチでは、ルールベースのシステムを使用する。例えば、あるユーザーが5分以内に何度もログインに失敗した場合、アラートが発せられる。このようなルールベースのアラートは、特定の既知の脅威しか検知できないため、巧妙な横移動のテクニックに対しては、ますます不十分になってきている。サイバー犯罪者は、これらのルールを簡単に回避できる新しい戦略を常に開発している。

そこで、User and Entity Behavior Analytics（UEBA）の出番です。UEBAは機械学習アルゴリズムと統計分析を利用して、ネットワーク内の異常な行動を検出します。あらかじめ決められたルールに依存するのではなく、UEBAはネットワーク上のユーザーやエンティティの振る舞いから学習し、異常を検出した際にアラートを発します。これにより、既知の脅威と未知の脅威の両方を検出することができ、横の動きに対してより強固な防御を提供します。

なぜ権限昇格が重要なのか？

サイバー犯罪者は多くの場合、侵害された認証情報のセットや、アプリケーションやサービスへのアクセスにつながる単一のマシンの脆弱性によって、ネットワークへの限定的なアクセスを得ることから始めます。しかし、目的を達成するためには、より高い権限を獲得する必要があります。このプロセスは、特権の昇格として知られています。

特権の昇格を理解することは非常に重要です。なぜなら、特権の昇格は横方向への攻撃の最初のステップであることが多いからです。特権の昇格を検知して阻止することができれば、攻撃者がネットワークを横方向に移動するのを防ぐことができます。UEBAテクノロジーは特権の昇格を防止する上で非常に重要です。なぜなら、特権の昇格のほとんどは、ユーザー・アカウントにおける典型的なアクティビティから逸脱しているからです。そのため、明らかに悪意があるわけではありませんが（例えば、管理者ユーザが他のユーザに管理者アクセス権を与えるなど）、それを検知し、さらなる調査のためにフラグを立てることは可能です。

どこで活動を見ることができるか？

横移動活動を検知するには、ネットワークを注意深く監視する必要がある。これには、ユーザー・アクティビティとシステム・アクティビティの両方を監視することが含まれる。社内のマシンが通常とは異なるnmapスキャンを実行したり、変則的な時間帯や通常とは異なる場所からログインを試みたりするなど、通常とは異なるユーザー・アクティビティは、潜在的な攻撃を示す可能性があります。ファイル・パーミッションやシステム設定の変更など、予期しないシステム・アクティビティも、横方向の動きを示す可能性があります。

高度な脅威検知ツールは、これらの活動を監視するのに役立ちます。これらのツールは、他の検知システムやシステム・アクティビティ・モニタリング・システムからのログを自動的に分析し、疑わしい活動を検知することができます。例えば、最新のセキュリティ情報・イベント管理（SIEM）システムは、IT環境全体からデータを収集し、UEBAで分析することで、たとえ高度な回避技術が使用されていたとしても、横方向の動きを早期に検出することができます。

視界の確保、横方向の動きの防止と緩和

UEBAを使うだけでなく、ネットワークの横の動きを防ぐために使える高度なテクニックを紹介しよう。

マイクロセグメンテーション

マイクロセグメンテーションは、コンテナ化、あるいは内部ファイアウォールやウェブゲートウェイのような論理的アクセス制御によって、ネットワークを複数の隔離されたセグメントに分割する。こうすることで、攻撃者がネットワークを横方向に移動する能力を制限することができる。この方法によって、侵入時の爆発半径が制限され、たとえ1つのセグメントが侵害されたとしても、攻撃者はネットワークの他の部分に横方向に移動することができなくなります。

エンドポイントプロテクション

エンドポイント・プロテクションは、ワークステーションやモバイル・デバイスなどのエンド・ユーザー・デバイスのエンドポイントまたはエントリー・ポイントを、悪意のある行為者に悪用されないように保護することである。これには通常、高度なマルウェア対策ソフトウェア、デバイス・ファイアウォール、デバイス・コントロール、その他のセキュリティ対策が含まれます。これらのエントリー・ポイントを保護することで、攻撃者がネットワーク内で足場を築き、横方向に移動するのを防ぐことができます。

アクティブディレクトリセキュリティ

アクティブディレクトリ(AD）は、ローカル・ベースであれクラウド・ベースであれ、ネットワーク・セキュリティにおいて重要な役割を果たしている。これによって管理者はネットワーク上のアイデンティティを管理し、保護することができる。スマートデバイス（およびそれに付随するサービスアカウント）の普及に伴い、ADのアクティビティは、しばしば異常に気づき、権限昇格の試みを特定するための重要な場所となります。Azure （Azure AD）やOkta ADのような最新のクラウドプラットフォームは、アイデンティティを保護し、異常を特定するためのビルトインツールを提供します。ADを適切に設定し保護することで、Pass-the-HashやKerberoastingのような多くの横移動テクニックを防ぐことができます。アクティブディレクトリ

パスワードのローテーションと多要素認証

パスワードローテーションとは、定期的にユーザーパスワードを変更することである。この方法は、盗まれたパスワードが有効である期間を制限するために使用され、その結果、危殆化したクレデンシャルを通じて得られる不正アクセスを阻止できる可能性がある。

多要素認証（MFA）は、リソースにアクセスするために、パスワードに加えて、物理的なトークン、携帯電話の認証コード、指紋など、2つ以上の認証要素をユーザーに要求することで、セキュリティのレイヤーを追加する。攻撃者がパスワードを入手したとしても、次に進むためには2つ目の要素が必要であるため、これは横の動きに対して非常に効果的である。

セキュリティ・オーケストレーション、オートメーション、レスポンス（SOAR）

SOARとは、さまざまなソースからセキュリティ脅威のデータやアラートを収集し、機械と人間の両方の分析を使ってインシデントのトリアージ、調査、対応を行う技術を指す。SOARの自動化により、人手を介さずに低レベルの脅威を迅速に処理できるようになる。SOARのレスポンス・コンポーネントにより、セキュリティ・チームはリアルタイムで脅威に対応し、被害を軽減し、攻撃者が横方向に移動するのを防ぐことができます。

エクサビームによる横方向の動きの可視化

Exabeamは、アナリストによる脅威の検知、調査、対応（TDIR）のワークフロー全体にわたって自動化とユースケース・コンテンツをサポートすることで、セキュリティ・チームが横の動きを利用する敵に打ち勝つことを支援します。まず、収集・分析するデータソースを指定します。次に、ユーザーとエンティティの行動分析（UEBA）により、組織内のすべてのユーザーとデバイスの通常行動のベースラインを作成します。敵対者がネットワーク内で動き始めると、事前に構築された検出ルールとモデルを使用して、異常なアクティビティが特定されます。MITRE ATT&CK ^Ⓡ横移動に関連するフレームワーク技術。この活動にはフラグが立てられ、ユーザーまたはエンティティのリスク・スコアに追加される。

リスクスコアとウォッチリストは、セキュリティチームが最もリスクの高いインシデントに集中できるよう支援し、Exabeamスマートタイムラインは、インシデント調査を劇的に加速させるために、攻撃チェーンの全容を自動的に表示します。Exabeam レスポンス・プレイブックは、アナリストが迅速かつ効果的にインシデントを修復し、平均対応時間（MTTR）を短縮することを可能にします。

ラテラル・ムーブメントとExabeam について