【らてらるむーぶめんと】
ラテラルムーブメント とは?
💡 1台突破したら隣の部屋へ、次の部屋へ…ネットワーク内を横移動する侵入者
📌 このページのポイント
- 攻撃者が最初の侵入地点から他のシステムへ横方向に移動する手法
- 正規のリモート管理ツールや認証情報を悪用するため検知が難しい
- APT攻撃やランサムウェアの被害拡大で中心的な役割を果たす
- ゼロトラストやネットワーク分離(マイクロセグメンテーション)が有効な対策
ひよこ ラテラルムーブメントって何?横移動ってことは、縦移動もあるの?
ひよこ なんでわざわざ横に移動するの?1台で十分じゃないの?
ペンギン先生 ひよこ どうやって他のパソコンに移るの?
ペンギン先生 代表的な手口は、まず侵入した端末からメモリ上のログイン情報を盗み出すんだ。Windowsだとパスワードハッシュを抜き取る「Pass the Hash」という手法が有名で、そのハッシュを使って隣のサーバに正規ユーザーとしてログインしてしまうんだよ。
ひよこ 正規のログインに見えるなら、見つけるのすごく難しそう…
ペンギン先生 その通りで、攻撃者はRDPやPowerShellなど正規の管理ツールを使うから、ログを見ても普通の業務操作と区別がつきにくいんだ。だからEDRやSIEMで「普段アクセスしない端末への接続」「短時間に複数サーバへのログイン」など異常パターンを検知する仕組みが重要だよ。
ひよこ 横移動を防ぐにはどうすればいいの?
ペンギン先生 一番効果的なのはネットワークのマイクロセグメンテーションだよ。部署やシステムごとにネットワークを細かく区切って、たとえ1台が侵入されても隣のセグメントに移れないようにするんだ。ゼロトラストの考え方で「社内だから安全」という前提を捨てることが大切だね。
ひよこ MITRE ATT&CKでもラテラルムーブメントって項目があるよね?
ペンギン先生 よく知ってるね。MITRE ATT&CKフレームワークでは攻撃の14のタクティクスの1つとして「Lateral Movement」が定義されていて、具体的な手法がT1021(リモートサービス)やT1550(代替認証情報の利用)などとして体系化されているよ。防御側はこのフレームワークを参考に検知ルールを作るんだ。
まとめ:ざっくりこれだけ覚えればOK!
「ラテラルムーブメント」って出てきたら「侵入後にネットワーク内を横移動して被害を広げる動き」と思えればだいたいOK!
📖 おまけ:英語の意味
「Lateral Movement」 = 横方向の移動
💬 Lateral(横方向の)+ Movement(移動)で、ネットワーク内を横に渡り歩くイメージだよ