ラテラルムーブメントを防ぐために取り組むべきこと

サイバー攻撃の手口は年々高度化しており、クラウドの利用やリモートワークの導入、サプライチェーンリスクの増加などにより、境界防御だけでは組織を守りきれない時代になっています。攻撃者がネットワーク内に侵入した後に被害が拡大するのを防ぐために、情報システム担当者としてどのような対策を実施すればよいでしょうか?
ラテラルムーブメントとは
これまでのセキュリティの基本は、社内と社外の境界で侵入を防ぐことでした。しかし、それを完全に防ぐことは困難になりつつあり、侵入された後に被害が広がることを防ぐために、「多層防御」の考え方が広がってきました。
攻撃者が侵入してから、組織内の他のシステムやアカウントへと感染・権限を広げていく行動を「ラテラルムーブメント(横方向移動)」と言います。
たとえば、侵入の手段として、ファイルが添付されたメールを開いた1台のパソコンがマルウェアに感染する、ソフトウェアの脆弱性を悪用して侵入する、といった例があります。その後、同じ会社内のパソコンやサーバーを調べるような行動が考えられます。
よくある攻撃手法として、次のような流れが挙げられます。
ここで、攻撃者が不審なツールをインストールしようとすれば、ウイルス対策ソフトなどで検知できると考えられるかもしれません。しかし、一般的な IT 管理者が使う WMI(Windows Management Instrumentation)や RDP(Remote Desktop Protocol)のような正規の管理手法を攻撃者が使うと、通常の業務との区別が難しく、検知が遅れがちです。
このように、正規のツールを使って攻撃を継続する手法を「Living off the Land(LotL)攻撃」とも呼びます。
ゼロトラストと最小権限による保護
入口での侵入を防ぐことが前提ではあるものの、ラテラルムーブメントに備えることを考えると、「侵入されることを前提」として対策を実施しなければなりません。このとき、社内ネットワークからのアクセスであっても無条件には信頼しない「ゼロトラスト」の考え方があります。
まずは、ユーザーやシステムに対し、業務に必要な最低限の権限のみを保持する「最小権限の原則」に従っていることを確認します。従業員がパソコンにログインするときは、管理者権限ではなく一般ユーザーの権限のみを付与します。これだけでも、ラテラルムーブメントの難易度が大幅に上がります。
また、日常業務に使うアカウントと管理作業に使うアカウントを分け、管理者アカウントは必要なときのみ使用します。必要があれば申請してから使用し、使用後は自動的に取り消す仕組みを導入することも効果的です。
そして、攻撃者によって狙われる認証情報を保護することを考えます。パスワードそのものを知らなくても、ハッシュ値や認証トークンを使って横展開する攻撃が行われる可能性があるため、WindowsのCredential GuardによってLSA(ローカルセキュリティ機関)の認証情報を隔離・保護することが考えられます。
また、VPNやクラウドサービス、特権アカウントへのアクセスを防ぐために、多要素認証を義務付けることも必要です。さらに、LAPS(Local Administrator Password Solution)を使って、ローカル管理者パスワードを自動管理し、1つの認証情報が複数端末に使い回されるリスクを排除することが考えられます。
ネットワークセグメンテーションによる拡散抑止
社内ネットワークに侵入された場合に備えて、ネットワークを部署ごとや権限ごとに分割することが挙げられます。これにより、侵入されたとしても被害範囲を局所化でき、拡散を防げる可能性があるためです。
まず、業務システムや開発環境、管理ネットワーク、IoT機器などをVLANで分離します。そして、仮想環境やクラウドではマイクロセグメンテーションツールにより、細かな制御を実施します。
さらに、内部の通信を検査することを考えます。従来のファイアウォールは外部と内部の間の通信を制御することが中心で、これを「南北トラフィック」と呼ぶことがあります。
一方で、内部の端末間の通信は「東西トラフィック」と呼ばれます。これは、ネットワーク構成図を描いたときに、外部との通信が上下(縦)、内部の通信が左右(横)に見えることに由来します。この東西トラフィックも検査し、不要なポートへの通信は遮断するなどの制御が求められています。
検知・可視化の強化
ここまでは予防的な対策について解説しましたが、現実にはすべての攻撃を防ぎ切るのは難しいものです。このため、異常があったときに「いかに早く検知するか」を考えます。端末で不審なプロセスが起動した、普段と異なる認証情報へのアクセスがあった、通信量が急増したといった事象をリアルタイムで検知することが挙げられます。
これには、EDR(Endpoint Detection and Response)の導入や、SIEM(Security Information and Event Management)によるログの集約、UEBA(User and Entity Behavior Analytics)による通常と異なる行動パターンの検出などが考えられます。
普段アクセスしないサーバーへの突然の接続や、深夜に大量ファイルへのアクセスが発生した場合には、アラートを出すことが必須です。
監視の精度を上げるためには、本物に見せかけた偽アカウントや偽サーバー(デコイ)を設置するハニーポットや、攻撃者がアクセスした時点で即座にアラートを発報する「罠」を用意する方法も考えられます。このような手法は「ディセプション」とも呼ばれ、おとりを用意することで実害を防ぐ効果があります。
ラテラルムーブメントへの対策は、一度設定すれば完了するものではなく、継続的な見直しと改善が大切です。まずは現状のアカウント権限とネットワーク構成を棚卸しし、「攻撃者が侵入したとしたら、どこまで到達できるか」という視点でリスクを評価することから始めましょう。そして、定期的な演習を実施すると実効性が高まります。
増井 敏克氏(ますい としかつ)増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。
「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。
著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。

セミナー情報