サイバーセキュリティにおける横移動 🔒

横移動の定義

単純に定義すれば、横移動とは攻撃がさらに内部に進む過程です。サイバーパンクは、まずアクセスできる一箇所またはデータベースを操作し、ネットワークやシステム、データベース内の他の部分に侵入します。侵入に成功すると、さらに進み、複数のエンドポイント、データベース、ネットワーク、またはサーバを操作します。

この巧妙な手法により、脅威を仕掛ける者は長期間にわたり身元を隠しながら、より多くのリソースを活用できます。横移動により、最初の侵入箇所が隠されていても、ハッカーは権限なくネットワークやリソースへ継続的にアクセスすることが可能です。

これは、ハッカーが初期の侵入後、より内部に到達し正規ユーザーに成りすます必要があるためです。そのため、検出が難しくなります。

横移動の原因

この手法は、あるハッカーから別のハッカーへアクセス権を引き継ぐことで、より深い侵入を可能にするケースが多いです。さまざまな要因が関与しています。

• ハッカーが開発者のデバイスに管理者に近いアクセスを試み、プログラムやソフトのソースコードを入手する際に好まれます。
• 重要な情報を得たり、重要な財務判断を下すために経営層のメールにアクセスしようとする悪意ある者の場合にも見られます。
• 多くのユーザー資格情報や権限を大量に盗む試みでも生じます。
• また、PCIデータを盗んだり、重要なペイロードにアクセスする際にも利用されます。

しかし、これらが横移動の原因すべてではありません。ハッカーは独自の理由でこの手法を採用することが多く、狙いを達成するために使用されます。

横移動の段階

狙ったネットワークへの侵入が確立される前に、プロセスは三段階を経ます。以下に各段階の詳細を説明します。

偵察

この最初の段階では、対象ネットワークのインフラを十分に把握することが求められます。ハッカーは、サイバー攻撃を計画する前にネットワークの調査とマッピングを行い、横移動を円滑に進めるための準備をします。この段階でハッカーは、

• ネットワークの階層構造、ホスト名、利用されるOSやその他の重要なネットワーク構成要素を把握しようとします。
• 非公式なアクセスやセキュリティ対策、ファイアウォール、ポートスキャン、プロキシやVPNの検出につながるネットワークの脆弱性を探るため、さまざまなツールや手法を利用することが多いです。

資格情報の抽出と権限昇格の実行

最初の段階を突破した後、ネットワークへのアクセスを得るためには確かなユーザー資格情報が必要となります。そのため、フィッシングやタイポスクワッティングなど、さまざまなソーシャルエンジニアリング手法が試みられます。高プロファイルなプロフェッショナルや役員の資格情報を盗むのは困難なため、複数の手法を組み合わせる必要があります。これがクレデンシャルダンピングと呼ばれる段階です。

この段階のもう一つは権限昇格で、これは既定のユーザー権限を拡大してネットワーク内でのさらに深いアクセスを得ることを意味します。ハッカーはシステムの欠陥を利用し、アクセスに使用するユーザーの権限を高めることが多いです。

可能な限り多くのコンピューティングエンドポイントへのアクセス

最後の段階では、より多くのコンピューティングエンドポイントへのアクセスを拡大します。そのため、ハッカーは内部で綿密な偵察を行い、セキュリティ制御を回避して、できるだけ多くの連結されたデバイスやシステムを侵入対象とします。

これらの段階がすべて完了すると、横移動は成功となります。

横移動を利用した攻撃

• データ抽出: 横移動攻撃はデータ抽出の一部でもあります。データ抽出では、ハッカーが認証を回避して安定した環境に保存されたデータを移動またはコピーします。この攻撃は膨大なデータベースを盗むことを目的とする場合が多く、長時間のアクセスと深い侵入が必要です。横移動がその実現を可能にします。
• ランサムウェア攻撃: この手法では、ハッカーができるだけ多くのデバイスのセキュリティを突破し、有利な状況を作り出して要求された身代金の支払いを強いることを狙います。多くの場合、ランサムウェア攻撃の主な標的は、重要な情報を保持する内部サーバです。これらのサーバは厳重なセキュリティが施されているため、ハッカーは横移動技術に依存して長時間のアクセスとデータ搾取を続けます。
• スパイ活動: ハッカーや政府が、データを盗んだりデバイスを破壊したりすることなくオンライン活動を監視する場合があります。これは、横移動を利用して何ヶ月、さらには何年にもわたって対象を気づかれずに監視する攻撃です。
• ‍ボットネット感染: ハッカーがボットネット攻撃を計画する際、横移動を利用してできるだけ多くのデバイスに感染させます。この手法により、ボットネットを見つかりにくくし、より多くのデバイスに感染を広げることができます。

横移動の検出方法は？

適切なサイバーセキュリティツールと注意深い体制が整っていれば、横移動の発見は問題になりません。ハッカーが巧妙に計画しても、初期段階では横移動攻撃は明らかです。深い侵入に進むと検出が難しくなるため、早期対応が成功の鍵となります。

以下に、最も利用しやすく効果的な横移動検出手法を挙げます。

• ブレイクアウトタイムの把握、つまり攻撃後にハッカーが横移動を開始するまでの平均時間です。通常は1時間58分ほどで、貴社は2時間以内に横移動を追跡し対処する必要があります。
• ‍1-10-60ルールの遵守。これは、最初の1分で侵入を把握し、次の10分で調査を開始、さらに60分で修復に着手するという意味です。横移動攻撃が長引くほど、検出は困難になります。
• 貴社は、初期段階での検出が可能な十分なセキュリティ対策を整える必要があります。

‍

横移動の防止方法は？

以下は、専門家が推奨する対策です。

• エンドポイントセキュリティ対策を常に最新の状態に保つこと。ハッカーは既存の脆弱性を突き、採用されている対策を悪用します。
• ペネトレーションテストを実施し、横移動の足掛かりとなるネットワークの脆弱な部分を監視してください。熟練のハッカーを起用し、導入されたセキュリティ対策の有効性を定期的に確認することが望ましいです。
• 拡張型検知および対応（XDR）を戦略に組み込むべきです。
• サイバーセキュリティ戦略を更新し、新たな対策を取り入れること。旧態依然とした対策では対応になりません。最新のセキュリティ動向に基づき、対策を見直し、変更してください。
• Zero Trust Securityを適用し、ネットワークにアクセスするすべての者がセッションログイン前に認証を受けるようにしてください。この方法により、ユーザーやデバイスの認証を定期的に行い、攻撃のリスクを低減できます。また、攻撃の鍵となる権限昇格の制御にも有効です。
• アンチマルウェア、WAF、APIエンドポイント向けセキュリティツールなど、最新で革新的なエンドポイントセキュリティ対策を活用してください。これらのツールはネットワーク監視を自動化し、検出プロセスを迅速化します。
• IAMは、2FAやMFAを適用してユーザーの権限を管理するため、横移動防止において重要です。

‍

Wallarmはこの問題にどのように対処できるか

横移動はネットワークの安全に深刻な影響を及ぼすため、被害を抑えるには早期の対処が必要です。Wallarmは、APIやクラウド（WAAP）向けの高度なセキュリティ対策を提供しており、企業の横移動対策の強化に寄与します。高度なクラウドWAFは、露出したマイクロサービスやアプリのAPIを守り、横移動の足掛かりにされないよう防ぎます。Wallarmのすべての対策はPCI、SOC2、DSSに準拠しており、最適な支援が受けられます。