ラテラルムーブメントとは何か

ラテラルムーブメント手法は、APT（高度で持続的な脅威）などの洗練されたサイバー攻撃で広く使用されます。攻撃者はこの手法を用いて侵害したシステムから他のホストにアクセスし、メールボックス、共有フォルダ、クレデンシャルなどの機密リソースにアクセスします。次に、これらを使用して別のシステムを侵害し、権限の昇格や、価値の高いクレデンシャルの窃盗を行います。このようなタイプの攻撃は、最終的にはドメインコントローラのアクセス権を獲得し、Windowsベースのインフラやビジネス関連のオペレーターアカウントを完全に制御できるようになる場合があります。

ラテラルムーブメントのしくみ

1. 外部からの偵察：攻撃者にとっての最初のステップは、ターゲットとなる組織の偵察です。偵察活動には、外部ネットワークのスキャン、ソーシャルメディアの利用、パスワードのダンプなどがあります。目標は、ターゲットのネットワークを把握して最も成功しそうな攻撃手段を知ることです。例えば、ターゲット組織の従業員のクレデンシャルダンプを利用できる場合、攻撃者は組織のVPNまたは外部メールアドレスへのアクセスの認証を試みることがあります。また、Shodanなどのオープンソースツールによって、スキャンを行わずにターゲットの開いているポートと脆弱性を特定することもあります。
2. 内部への侵入：攻撃者は、攻撃ベクトルを特定すると、脆弱性を悪用してターゲットのネットワークにアクセスします。攻撃ベクトルは、脆弱性のあるデバイスからインターネットを介してアクセスできるアプリケーションまで、多岐にわたります。 これは、外部から内部への縦方向の移動です。いったん侵入すると、ネットワーク内で横方向（ラテラル）に移動することで目的を達成できます。
3. 内部の偵察：攻撃者は、オペレーティングシステム、ネットワーク階層、サーバで使用されているリソースなどの情報を収集して環境のマップを作成し、脆弱性のある場所を把握します。内部偵察を実行するために攻撃者が利用できるOSユーティリティには、Netstat、IPConfig/IFConfig、ARPキャッシュ、ローカルルーティングテーブル、PowerShellなどがあります。さらに、セキュリティ保護されていないイントラネットページが、インフラに関する内部文書やターゲットデータの場所を攻撃者に提供する可能性があります。
4. クレデンシャルの窃盗：ネットワークに侵入すると、攻撃者はコントロールの幅を広げられる新たなデバイスを探します。システムからシステムへ移動するために、キーロガー、ネットワークスニファ、パスワードの総当たり攻撃、またはユーザをだましてクレデンシャルを提供させるフィッシング攻撃を行って、正当なユーザクレデンシャルの収集を試みる可能性があります。しかし、イントラネットページ、スクリプト、その他簡単にアクセスできるファイルやシステムでクレデンシャルが見つかることも珍しくありません。攻撃者はこれらのクレデンシャルを利用して権限を昇格させ、アクセス権を拡大します。攻撃者の最終目標は、権限をドメイン管理者まで昇格させて、ドメインの完全なアクセスとコントロールの権限を得ることです。ドメイン管理者の権限を得た攻撃者は、ドメインコントローラをターゲットにして、システムのボリュームシャドウコピーからNTDS.ditをダンプすることができます。こうすると、サービスアカウントを含むすべてのドメインユーザのパスワードハッシュにアクセスできます。KRBTGTのパスワードハッシュを取得できれば、攻撃者は無制限のアクセスが可能になるゴールデンチケットを作成できます。
5. システムのさらなる侵害：ターゲットシステムにアクセスするためのクレデンシャルを得た攻撃者は、psexec、PowerShell、リモートデスクトッププロトコル、リモートアクセスソフトウェアなどのリモートコントロールツールを使用してシステムにアクセスします。IT部門のスタッフも、この方法でデスクトップにアクセスすることが多いため、リモートアクセスは一般的には永続的な攻撃に結びつけられません。しかし、攻撃者はネットワークへの永続的な接続を作成し、複数の接続経路を開いたままにします。最後に、攻撃者はコマンドアンドコントロールサーバにデータを持ち出します。その際に、データ圧縮、データ暗号化、スケジュールされた転送などの手法を用いて検知を逃れます。

ラテラルムーブメントを防止するためのベストプラクティス

ネットワーク内でのラテラルムーブメントを防止して保護するために利用できる、いくつかのベストプラクティスがあります。

1. 権限の最小化：各ユーザを適切に分類し、各自の仕事でアクセスが必要なシステム、アプリケーション、またはネットワークセグメンテーションのみのアクセス権を設定する必要があります。例えば、企業ネットワークでは、デスクトップやノートパソコンなどのデバイスの管理者はITスタッフのみにするべきです。ITスタッフは、ユーザに管理者権限を与えてはなりません。
2. ホワイトリスト：ユーザから要望されたアプリケーションは、慎重に評価する必要があります。信頼できるアプリケーションのリストに従って既知の脆弱性があるアプリケーションを制限することも有益です。ユーザから要望されたアプリケーションの機能が他のアプリケーションで既に実現されていれば、そのサービスを有効にする必要はないかもしれません。例えば、NonPetyaはサードパーティアプリケーションのアップデートを介して大手海運企業に感染しました。
3. EDRセキュリティ：EDR（エンドポイントでの検知およびレスポンス）ソリューションは、オンラインエンドポイントとオフラインエンドポイントを監視し、過去のエンドポイントイベントに関するデータを収集して格納し、そのデータを行動可能なセキュリティインテリジェンスフィードと既知の戦術、技術、手順（TTP）にマッピングします。EDRソリューションによって収集されたデータで可視化を実現すると、攻撃者が環境内で足掛かりを作ろうとする際に残すパターンや行動の特定に役立ちます。IT担当者は、進行中の攻撃を阻止しながら損傷をすばやく修復し、感染したシステムを隔離してラテラルムーブメントを防止し、攻撃者が残した悪意のあるファイルを削除できます。
4. パスワード管理：パスワード管理の施行は、ユーザアカウントを保護しラテラルムーブメントの可能性に対処するために重要なプラクティスです。組織は、特権のあるシステムとアカウントすべてにわたって、強力かつ固有のパスワードのポリシーを施行すべきです。最も重要な点は、管理者がアカウントの衛生管理のために優れたプラクティスを実践する必要があるということです。例えば、Microsoftの推奨事項として、「パスワード[KRBTGT]を定期的に変更する」ことが提言されています。
5. 多要素認証：多要素認証は、標準のユーザ名とパスワードによる認証にセキュリティの階層を追加します。これは、内部のシステム、アプリケーション、データへのアクセスに多要素認証を実装することで実現します。多要素認証でアカウントを保護すると、攻撃者にとって侵害するために必要な労力のレベルが上がります。

まとめ

Abel Morales
Exabeam, Inc. リージョナルセールスエンジニア

オンデマンド動画

脅威を丸見えに！機械学習による効果的なログ分析の実現
～UEBAを搭載した次世代SIEMプラットフォームExabeamとは～

標的型攻撃や内部不正が増加し続けている昨今、適切なセキュリティ運用を実行するため、複数のセキュリティ製品のログを相関的に分析するための仕組み(SIEM等)を構築する企業が増えています。これは、既に導入したセキュリティ製品単体のログだけでは各インシデントの影響を可視化させることが難しく、脅威を見落としてしまう可能性があるためです。しかし、このような仕組みを構築するにはセキュリティに関する知見や、分析のノウハウ、アイディアなどが必要となるため、適切な人材を確保することが難しく、実現するのは容易ではありません。本セミナーでは、UEBA(User Entity Behavior Analytics)テクノロジーによるログ分析、従来のSIEM運用の効率化を実現する“Exabeam”のご紹介します。

視聴はこちらから