はじめに
Lateral Movement(ラテラルムーブメント / 横展開) は、サイバー攻撃においてとても重要な概念です。ひとことで言うと、
最初に侵入した1台から、社内の別の端末やサーバへ横に広がっていく行動
のことです。
最初の侵害だけで満足しないのが攻撃者のいやらしいところで、むしろそこは「入口」にすぎません。
本命はその先にある 重要サーバ、管理者アカウント、機密データ、ドメイン管理環境 です。
1. Lateral Movement とは何か
たとえば攻撃者が、ある社員PCに侵入できたとします。
でも、そのPC自体には大した情報がないことも多いです。
そこで攻撃者は次のように考えます。
- このPCに保存されている認証情報は使えないか
- 同じネットワーク内にもっと価値の高いサーバはないか
- 管理者権限を持つユーザーがこのPCにログインしたことはないか
- ファイルサーバやDBサーバへ移動できないか
このように、1台から別の端末へ、さらに別の端末へと移動していく行為 が Lateral Movement です。
2. なぜ重要なのか
Lateral Movement が怖い理由は、最初の侵入より被害が大きくなりやすい からです。
典型的な流れ
- まず1台の端末に侵入する
- その端末から社内情報を調べる
- 別の端末やサーバに移動する
- 権限の強いアカウントを奪う
- 最終的に重要資産へ到達する
つまり、攻撃は「点」ではなく「線」になり、最後には「面」になります。
1台の感染が、気づけば社内全体に広がる。セキュリティ担当からすると、かなり胃が痛い展開です。
3. 攻撃者の目的
Lateral Movement 自体は目的ではなく、目的達成のための途中工程 です。
主な狙いは次のようなものです。
-
権限昇格
より強い権限を持つアカウントを狙う -
機密情報の窃取
顧客情報、設計資料、財務データなど -
Active Directory 支配
ドメイン管理者権限の取得 -
ランサムウェア拡散
多くの端末へ一気に暗号化を広げる -
長期潜伏
目立たず複数拠点に足場を作る
4. 代表的な移動先
攻撃者が横展開の先として狙いやすいのは、次のような資産です。
- 社員PC
- ファイルサーバ
- 業務アプリサーバ
- DBサーバ
- 管理端末
- Active Directory / Domain Controller
- バックアップサーバ
- クラウド管理端末や踏み台サーバ
特に 管理者が普段使う端末 や 認証情報が集まりやすいサーバ は危険です。
5. どうやって実現されるのか
ここは大事ですが、危ないので 仕組みレベルの説明 にとどめます。
攻撃者は一般に、次の3つを組み合わせて横移動します。
① 認証情報の悪用
侵害済み端末から得たID・パスワード・トークン・セッション情報などを使って、他のシステムに正規ユーザーとして入ろうとします。
② リモート管理機能の悪用
組織内で普段から使われているリモート管理の仕組みを悪用して、他端末でコマンド実行や操作を試みます。
つまり「怪しい専用ツール」ではなく、正規機能のなりすまし利用 が多いです。
③ ネットワーク・資産の把握
どこに何があるか分からなければ横移動できません。
そのため、共有フォルダ、サーバ一覧、管理ツール、ログイン履歴、ネットワーク構成などを調べます。
6. Lateral Movement の代表例
例1: 社員PC → ファイルサーバ
まず一般社員のPCに侵入。
そのPCに保存されていた資格情報や共有アクセス権を使ってファイルサーバに移動。
例2: 社員PC → 管理者端末 → ドメイン環境
社員PC上に、過去ログインした管理者の痕跡があった場合、それを足がかりに管理端末やさらに重要な環境に進む。
例3: 1台のサーバ侵害 → 業務全体へ展開
アプリケーションサーバを起点に、連携先DBや認証基盤へ広がる。
7. 関連用語との違い
Initial Access
最初の入口。
フィッシング、脆弱性悪用、認証情報漏えいなどで侵入する段階。
Privilege Escalation
権限昇格。
一般ユーザーから管理者へ上がること。
Lateral Movement
横移動。
同じ権限のまま別端末へ移ることもあるし、権限昇格を伴うこともある。
つまり少し広い概念です。
Persistence
永続化。
再侵入しやすいように足場を残すこと。
8. 企業防御の観点で何が大事か
Lateral Movement 対策は、
「侵入されないこと」だけでなく
侵入されても広がらせないこと が核心です。
重要なのは次の考え方です。
ネットワーク分離
- 社員端末
- 管理端末
- サーバ群
- バックアップ
をきちんと分ける
最小権限
- 全員が何でも見られる状態をやめる
- 管理者権限を必要時だけ使う
- 管理用アカウントと通常業務アカウントを分ける
認証強化
- MFA
- 特権ID管理
- パスワードの使い回し防止
- セッション管理
ログ監視
- 不自然な認証の連鎖
- 端末間の異常な接続
- 深夜の管理操作
- 普段使わない管理ツールの利用
資産管理
- どの端末に何が入っているか
- 誰がどこへアクセスできるか
- どの端末が管理者ログイン済みか
を把握する
9. MITRE ATT&CK との関係
MITRE ATT&CK では、Lateral Movement は独立した戦術として整理されています。
つまり防御側も、
- どうやって横移動が起きるのか
- どのログで見えるのか
- どこを制御すべきか
を体系的に考える必要があります。
実務では、Lateral Movement はしばしば以下とも強く結びつきます。
- Discovery
- Credential Access
- Privilege Escalation
- Persistence
攻撃者はこれらをバラバラにやるのではなく、組み合わせて一連の作戦として進めます。
10. 一言でイメージすると
Lateral Movement は、
泥棒が玄関から入ったあと、家の中の各部屋を次々に開けて回る行為
に近いです。
最初に入られた部屋だけ見て安心していると、気づいたときには金庫の部屋まで行かれている。
これが本当に厄介なところです。
まとめ
Lateral Movement とは、侵害した1台を足がかりに、ネットワーク内の他の端末・サーバへ横展開していく行動 です。
ポイントは次の3つです。
- 最初の侵入より、その後の横展開のほうが被害を拡大させやすい
- 目的は、より重要な資産や強い権限への到達
- 防御では「侵入防止」だけでなく「拡大防止」が極めて重要