ラテラル・ムーヴメントとは何か？

横方向への移動とは、サイバー攻撃者がネットワーク内を徐々に移動し、標的となる重要なデータや資産を探すために使用するテクニックを指します。横方向への移動は、最初にエンドポイントに侵入した後に行われます。この攻撃手法では、ユーザー・アカウント認証情報の侵害も必要となります。これらのアカウント認証情報を使用して、攻撃者はネットワーク内を横方向に移動しながら他のノードへのアクセスを試みます。

横移動のテクニックは、高度持続的脅威（APT）などの高度なサイバー攻撃で広く使用されています。敵はこれらのテクニックを使用して、侵害されたシステムから他のホストにアクセスし、メールボックス、共有フォルダ、認証情報などの機密リソースにアクセスします。これらは、さらに別のシステムを侵害したり、特権を昇格させたり、より貴重な認証情報を盗んだりするために使用されます。この種の攻撃は、最終的にドメインコントローラへのアクセスを許し、Windowsベースのインフラストラクチャやビジネス関連のオペレータアカウントの完全な制御を提供する可能性があります。

横移動はどのように機能するのか？

攻撃者は環境に関する情報を収集しながら、並行して追加の認証情報を盗んだり、設定ミスを悪用したり、ソフトウェアの脆弱性を切り分けたりして、ネットワークにより深く入り込もうとする。

攻撃者はその後、感染したネットワークのキーポイントを制御するために横方向の移動を使用します。これらの追加ポジションは、セキュリティ・チームが侵害されたマシン上で攻撃者を検出した場合でも、攻撃者が永続性を維持するのに役立ちます。

横方向への動きは、次の5つのステップに分けられる：

1.外部偵察-攻撃者にとっての最初のステップは、標的組織に対する偵察を行うことである。偵察活動には、外部ネットワークのスキャン、ソーシャルメディア、パスワードのダンプなどが含まれます。目標は、標的のネットワークと最も成功しそうな攻撃ベクトルを理解することです。例えば、標的組織の従業員がクレデンシャルダンプを利用できる場合、攻撃者は組織のVPNや外部電子メールへのアクセスを認証しようとするかもしれない。もう1つの方法は、スキャンを実行せずにターゲットのオープン・ポートや脆弱性を特定するために、Shodoなどのオープン・ソース・ツールを使用することです。

2.初期侵入-攻撃者は攻撃ベクトルを特定すると、その脆弱性を悪用して標的のネットワークにアクセスする。攻撃者の攻撃ベクトルは、公衆インターネット経由でアクセス可能な脆弱なデバイスやアプリケーションに及びます。 これは、外部から内部への垂直的な移動である。それが完了すると、攻撃者はネットワーク内で横方向に移動し、目的を達することができる。

3.内部偵察-攻撃者は、オペレーティング・システム、ネットワーク階層、サーバーで使用されているリソースなどの情報を収集し、環境をマッピングし、どこに脆弱性が存在するかを理解します。攻撃者が内部偵察を行うために使用できるオペレーティング・システム・ユーティリティには、Netstat​、IPConfig/IFConfig​、ARPキャッシュ、ローカル・ルーティング・テーブル、PowerShellなどがあります。さらに、セキュリティで保護されていないイントラネット・ページは、攻撃者にインフラやターゲット・データの場所に関する内部文書を提供することができます。

4.クレデンシャルの窃盗- ネットワーク内に侵入すると、攻撃者は新たなデバイスを探し、制御の幅を広げる。システムからシステムへ移動するために、攻撃者は次のような方法で有効なユーザー認証情報を集めようとします。キーロガーネットワーク・スニファ、パスワードの総当たり、またはフィッシングによってユーザーを騙してクレデンシャルを提供させる。しかし、攻撃者がイントラネットのページ、スクリプト、または他の簡単にアクセスできるファイル/システムでクレデンシャルを見つけることは珍しいことではありません。攻撃者はこれらのクレデンシャルを使用して特権をエスカレートさせ、アクセスを拡大することができます。 攻撃者の最終的なゴールは、ドメイン管理者に権限を昇格させ、ドメインの完全なアクセスと制御を行うことである。ドメイン管理者特権を持つことで、攻撃者はドメインコントローラを標的にし、ドメイン管理者権限をダンプすることができる。NTDS.ditをシステムのボリュームシャドウコピーから取得する。これにより攻撃者は、サービス・アカウントを含むすべてのドメイン・ユーザーのパスワード・ハッシュにアクセスできるようになる。KRBTGTのパスワード・ハッシュを入手すると、攻撃者は、KRBTGTのパスワード・ハッシュを使用して、KRBTGTのパスワード・ハッシュを作成することができる。ゴールデンチケット自由にアクセスできる。

5.より多くのシステムを危険にさらす- 攻撃者はターゲット・システムにアクセスするための認証情報を手に入れたので、psexec、PowerShell、リモート・デスクトップ・プロトコル、リモート・アクセス・ソフトウェアなどのリモート・コントロール・ツールを使ってこれらのシステムにアクセスする。ITスタッフはこの方法でデスクトップにアクセスすることが多いため、一般的にリモート・アクセスが永続的な攻撃に結びつくことはありません。しかし、攻撃者は複数のアクセス経路を開いておくために、ネットワークへの持続的な接続を作成します。最後に、攻撃者は以下のようなテクニックを使って、データをコマンド・アンド・コントロール・サーバーに流出させる。データ圧縮,データ暗号化そして定期振替輸送発見されないようにするためだ。

横方向の動きを検知する方法

攻撃者は多くの場合、正規のツールや検証済みの認証情報を使用し、通常のトラフィックに紛れるように通常のプロセスを悪用するため、ネットワーク内の横方向の動きを検出することは困難な場合があります。しかし、横の動きを示す疑わしい活動を特定するために採用できる様々な戦略やツールがあります。ここではいくつかのアプローチを紹介する：

• ユーザー行動の監視：異常なログイン時間、場所、アクセスパターンなど、ユーザー行動の異常を分析します。User and Entity Behavior Analytics (UEBA)のようなツールは、通常の行動からの逸脱を検出するのに役立ちます。
• ネットワーク・セグメンテーション：ネットワークを小さなセグメントに分割し、セグメント間のアクセスを制限する。これにより、ネットワーク内での攻撃者の動きが制限されるだけでなく、異常なトラフィック・パターンの検出も容易になる。
• 特権アカウントの定期的な見直し：昇格した特権を持つアカウントを監視し、アクセスが本当に必要な人に限定されるようにする。これらのアカウントに異常な行動がないか定期的に確認する。
• サービスアカウントの活動を定期的に見直す：サービスアカウントを監視する。新しいシステムにアクセスしたり、ログインをすり替えようとしたりする逸脱があれば、直ちに見直し、対処すること。
• 侵入検知システム（IDS）と侵入防御システム（IPS）の導入：これらの技術は、トラフィックを監視し、既知の攻撃パターンを探すことで、ネットワーク内の疑わしい活動を特定し、ブロックするのに役立ちます。
• ネットワーク・トラフィックの監視：データ転送の急増、異常なポートへの接続、既知の悪意のあるIPアドレスへの接続など、異常なパターンがないかネットワーク・トラフィックを分析する。
• エンドポイントのアクティビティを監視：エンドポイント検出および応答（EDR）ツールを導入して、エンドポイント（サーバー、ワークステーション、モバイルデバイスなど）のアクティビティを追跡し、異常なプロセスの実行やファイルの変更を検出する。
• ログファイルの検査：ファイアウォール、サーバー、アプリケーションなど、さまざまなソースからのログファイルを定期的に見直し、不審な活動を特定する。予期しないソースからの、あるいは未知の宛先への大きなファイルの移動は、常にイベントとしてフラグを立てる必要があります。
• 強力な認証の導入：多要素認証（MFA）を使用して、漏洩した認証情報が横移動に使用される可能性を減らす。
• 定期的なパッチ適用とアップデート：ソフトウェア、オペレーティング・システム、ファームウェアを最新のセキュリティ・パッチに更新し、横移動に悪用される可能性のある脆弱性を最小限に抑える。
• セキュリティのトレーニングと意識向上：セキュリティのベストプラクティスと、攻撃者がネットワークに最初にアクセスするきっかけとなるフィッシングメールなどの潜在的な脅威を見抜く方法について、従業員を教育する。

単一のアプローチに万全はないことを忘れてはならない。横の動きを効果的に検知・防止するためには、様々なテクニックを組み合わせた多層的なセキュリティ戦略を採用することが極めて重要だ。

横揺れを防ぐベストプラクティス

ネットワーク内部での横方向の動きを防ぎ、保護するために、いくつかの方法がある：

1.最小権限-各ユーザーは適切に分類され、業務上アクセスする必要のあるシステム、アプリケーション、ネットワーク・セグメンテーションにのみアクセスできなければならない。例えば、企業ネットワークでは、デスクトップやノートパソコンなどのデバイスを管理するのはITスタッフだけにすべきです。ITスタッフは、ユーザーに管理者権限を与えるべきではない。

2.許可リスト -ユーザーがリクエストしたアプリケーションは、慎重に評価されるべきです。評判の良いアプリケーションのリストに従い、既知の脆弱性を持つアプリケーションを制限することは価値があります。既に他のアプリケーションでその機能が満たされているアプリケーションへのリクエストがあった場合、そのサービスを有効にする必要はないかもしれません。例えば、NotPetyaは、サードパーティのアプリケーションのアップデートによって大手運送会社に感染した。

3.EDRセキュリティ- エンドポイント検出・対応（EDR）ソリューションは、オンラインおよびオフラインのエンドポイントを監視し、過去のエンドポイントイベントに関するデータを収集・保存し、そのデータを実用的なセキュリティインテリジェンスフィードおよび既知の戦術、技術、手順（TTP）にマッピングします。EDRによって収集されたデータはEDRソリューションは、攻撃者が環境内部で牙城を築こうとする際に残すパターンや行動を特定するのに役立つ可視性を提供します。IT担当者は、被害を迅速に修復しながらアクティブな攻撃を阻止し、感染したシステムを隔離して横の動きを防ぎ、攻撃者が残した悪意のあるファイルを削除することができます。

4.パスワード管理- パスワード管理を実施することは、ユーザー・アカウントを保護するために重要な慣行であり、また、潜在的な横移動の試みに対処するのにも役立つ。組織は、すべての特権システムとアカウントにおいて、強固で一意なパスワードのポリシーを実施すべきである。最も重要なことは、管理者がアカウント管理の衛生管理を徹底することである。例えばマイクロソフトの推奨パスワード[KRBTGT]を定期的に変更するようにしてください。これは、管理アカウントやサービスアカウントを含め、少なくとも四半期に一度は行うことを推奨する。

5.多要素認証-多要素認証は、標準的なユーザー名とパスワードによる認証に、さらにセキュ リティ層を追加するものである。これは、内部システム、アプリケーション、およびデータへのアクセスに多要素認証を実装することによって行われる。これにより、攻撃者が多要素認証で保護されたア カウントを侵害するために必要な努力のレベルが高まる。

まとめ

横方向の移動はサイバー攻撃において重要な役割を果たし、APTグループによって利用される。これは、攻撃者が組織のネットワークを積極的に探索し、脆弱な要素を見つける段階である。最小特権の適用、ホワイトリスト化、EDRソリューションの導入、多要素認証と強力なパスワードの要求などのプラクティスに従えば、侵入者がすでに内部に侵入している場合でも、動き回ることが難しくなる。

横方向の移動は、攻撃者の活動が最も露呈する段階でもあります。組織のネットワークを可視化するEDRソリューションがあれば、この露出を利用して横方向の動きを検出することが可能です。セキュリティ・オペレーション・チームは、異常な挙動を認識し、データ流出という目的を達成する前に、横方向の動きを検知することができます。Exabeamがどのように組織内の横方向の動きを検知するのに役立つのか、詳しくはこちらをご覧ください。