横展開攻撃とは?ラテラルムーブメントの脅威と対策を徹底解説

「ハッカーがネットワークに侵入した!でもファイアウォールで防いだから大丈夫…」

——本当にそうでしょうか?

実は、現代のサイバー攻撃で最も恐ろしいのは、侵入後に起こること。攻撃者は一度中に入ったら、そこで止まりません。ネットワーク内を静かに這いずり回り、最も価値の高い情報がある場所まで、じわじわと移動していくんです。

この手法を「横展開攻撃(ラテラルムーブメント)」と呼びます。

統計によれば、サイバー攻撃の25%でこの手法が使われています。しかも、侵入から横展開開始までの時間は、平均でわずか30分以内。企業が気づかないうちに、ネットワーク全体が侵されているかもしれないんです。

この記事では、横展開攻撃の仕組みから具体的な手法、そして効果的な防御策まで、できるだけ分かりやすく解説していきます。読み終わる頃には、なぜこの攻撃が「ネットワークに侵入した泥棒が、家中の部屋を物色するようなもの」と言われるのか、きっと理解できるはずです。

スポンサーリンク

横展開攻撃(ラテラルムーブメント)とは?

基本的な定義

横展開攻撃(よこてんかいこうげき)、またはラテラルムーブメント(Lateral Movement)とは、攻撃者がネットワークに侵入した後、内部を横方向に移動しながら、侵害範囲を段階的に拡大していく攻撃手法のこと。

英語の「Lateral(ラテラル)」は「横の、側面の」という意味。つまり、ネットワークの深さ方向ではなく、横方向に広がっていくイメージなんです。

水平展開水平移動とも呼ばれます。

なぜ「横」なのか?

ネットワークを建物に例えると分かりやすいです。

垂直方向の移動(初期侵入):

  • 外から建物の中に入る
  • 例: 玄関のドアを破る、窓から侵入する

横方向の移動(横展開):

  • 建物の中で、部屋から部屋へと移動する
  • 例: リビングから寝室、寝室から書斎へと進んでいく

攻撃者は最初、セキュリティの弱い「入口」から侵入します。でも、そこには重要な情報がないことが多い。だから、ネットワーク内を横に移動して、本当に価値のある情報がある場所を探すんです。

横展開攻撃の特徴

1. 検知が困難
正規のユーザーアカウントを使って移動するため、普通の業務に見える

2. 長期潜伏
数週間、場合によっては数ヶ月もネットワーク内に潜伏することがある

3. 段階的な拡大
一度に全体を攻撃するのではなく、少しずつ権限を拡大していく

4. 正規ツールの悪用
WindowsのPowerShellやRDP(リモートデスクトップ)など、OSに標準装備されているツールを使うため、さらに検知しづらい

なぜ横展開攻撃は危険なのか?

被害が甚大になる

横展開攻撃の最大の危険性は、被害の規模です。

初期侵入だけの場合:

  • 被害: 1台のPCが感染
  • 影響: 限定的

横展開攻撃を許した場合:

  • 被害: ネットワーク全体が侵害
  • 影響: 企業機密の流出、全システムの停止、ランサムウェアによる身代金要求

つまり、「小さな穴」が「大きな崩壊」につながるわけです。

企業の「王冠の宝石」を狙う

横展開攻撃の目的は、企業の最も価値の高い資産——いわゆる「クラウンジュエル(Crown Jewels)」——を盗むこと。

クラウンジュエルの例:

  • 顧客の個人情報データベース
  • 企業の知的財産(設計図、ソースコード)
  • 財務記録
  • 機密の経営資料
  • 認証情報(パスワードなど)

こうした情報は通常、厳重に保護されています。だから攻撃者は、セキュリティの弱い場所から入り、少しずつ権限を上げながら、最終目標にたどり着こうとするんです。

検知までの時間が長い

統計によれば、企業が侵入に気づくまでの平均時間(滞留時間、Dwell Time)は、数週間から数ヶ月に及ぶことも。

CrowdStrikeの「1-10-60ルール」:

  • 1分以内に侵入を検知
  • 10分以内に調査
  • 60分以内に隔離・対処

このスピードを実現できている企業は、ごくわずかです。

あらゆる攻撃の土台となる

横展開攻撃は、それ自体が最終目的ではありません。他の攻撃の手段として使われるんです。

横展開攻撃が利用される攻撃:

  • ランサムウェア攻撃: ネットワーク全体を暗号化するため
  • APT(高度持続的脅威): 長期間潜伏してスパイ活動を行うため
  • データ窃取: 機密情報を探し出して盗むため
  • ボットネット構築: 多数のPCを乗っ取ってDDoS攻撃の踏み台にするため
  • 破壊工作: インフラや重要システムを破壊するため

横展開攻撃の全プロセス:5つの段階

横展開攻撃は、複数の段階を経て実行されます。各段階を理解すれば、防御のポイントも見えてきます。

第1段階:初期侵入(Initial Access)

攻撃者がネットワークに侵入する最初のステップ。

侵入方法の例:

1. フィッシングメール
最も一般的な方法。偽のメールで、従業員にマルウェア付きの添付ファイルを開かせたり、悪意あるリンクをクリックさせたりします。

2. 脆弱性の悪用
パッチが当たっていないソフトウェアやOSの脆弱性を突いて侵入。

3. 認証情報の盗用
漏洩したパスワードやデフォルト設定のままの認証情報を使って、正規ユーザーとしてログイン。

4. ドライブバイダウンロード
セキュリティの甘いWebサイトに悪意あるスクリプトを仕込み、訪問者のPCに自動的にマルウェアをダウンロードさせる。

5. サプライチェーン攻撃
取引先や関連企業を経由して侵入。有名な例がSolarWinds事件です。

重要なのは、攻撃者は最初から重要なシステムを狙うわけではないということ。まずはセキュリティの弱い場所から入るんです。

第2段階:偵察(Reconnaissance)

侵入に成功したら、攻撃者は周囲の状況を探ります。

偵察で行うこと:

  • ネットワークの構造を調べる
  • どんなユーザーがいるか特定する
  • どんなサーバーやシステムがあるか把握する
  • セキュリティ対策を確認する
  • ファイアウォールのルールを調べる

使用されるツール:

正規のWindowsツール(Living off the Land):

  • netstat: ネットワーク接続を表示
  • nmap: ネットワークスキャン
  • ipconfig: ネットワーク設定を表示
  • net view: ネットワーク上のコンピュータを表示
  • nltest: ドメイン信頼関係を確認

これらは、システム管理者が普段使っているツール。だから、攻撃者が使っても怪しまれにくいんです。

第3段階:認証情報の窃取と権限昇格(Credential Harvesting & Privilege Escalation)

ネットワーク内を自由に移動するには、適切な権限が必要です。攻撃者は、より高い権限を持つアカウントの認証情報を盗もうとします。

認証情報の窃取手法:

1. キーロガー
キーボード入力を記録するマルウェア。ユーザーが入力したパスワードを盗みます。

2. Mimikatz
Windowsメモリから認証情報を抽出する有名なツール。管理者パスワードのハッシュ値やKerberosチケットを盗めます。

3. 認証情報のダンピング
Windowsのレジストリやメモリから、保存されているパスワードを抽出。

4. ブルートフォース攻撃
総当たりでパスワードを試す方法。弱いパスワードは簡単に破られます。

5. 社内フィッシング(ラテラルフィッシング)
すでに乗っ取ったメールアカウントから、社内の他の従業員にフィッシングメールを送る手法。社内の人からのメールだと信用されやすいんです。

第4段階:横方向への移動(Lateral Movement)

ここが本題の「横展開」です。攻撃者は盗んだ認証情報を使って、ネットワーク内の別のシステムに移動します。

横展開の具体的手法:

1. Pass-the-Hash(PtH)攻撃
パスワードのハッシュ値(暗号化された形)をそのまま使って認証する攻撃。実際のパスワードがわからなくても、ハッシュ値があれば認証できてしまうWindowsの仕様を悪用します。

2. Pass-the-Ticket(PtT)攻撃
Kerberosという認証システムのチケットを盗んで、それを使って他のシステムにアクセス。

3. RDP(リモートデスクトップ)の悪用
盗んだ認証情報で、リモートデスクトップ接続を使って他のPCにアクセス。

4. SMB(ファイル共有)の悪用
Windowsのファイル共有機能を使って、他のコンピュータに侵入。

5. PSExec
本来は管理者が使うツールですが、攻撃者もリモートでプログラムを実行するために悪用します。

6. Windows管理共有の悪用
Windowsが自動的に作成する隠し共有フォルダを使って、他のシステムにアクセス。

7. PowerShellの悪用
Windows標準のスクリプト実行環境を使って、マルウェアを展開したり、リモートコマンドを実行したり。

第5段階:目標達成(Objective Completion)

最終目標に到達したら、攻撃者は目的を果たします。

目標の例:

  • データ窃取: 機密情報を外部に送信
  • ランサムウェア展開: ファイルを暗号化して身代金を要求
  • 破壊工作: システムやデータを削除・破壊
  • バックドア設置: 将来再び侵入できるように裏口を作る
  • スパイ活動: 長期間潜伏して情報収集を続ける

横展開攻撃の実例

ケース1:ランサムウェア攻撃

シナリオ:

  1. 従業員がフィッシングメールのリンクをクリック
  2. マルウェアが1台のPCに感染
  3. 攻撃者がネットワーク内を偵察
  4. 管理者アカウントの認証情報を窃取
  5. ネットワーク全体にランサムウェアを展開
  6. 全ファイルが暗号化され、業務停止
  7. 攻撃者が身代金を要求

被害額: 数千万円〜数億円(身代金+業務停止による損失)

ケース2:標的型攻撃(APT)

シナリオ:

  1. 取引先を装ったスピアフィッシングメールで侵入
  2. 6ヶ月間、ネットワーク内に潜伏
  3. 少しずつ権限を拡大
  4. 最終的に研究開発部門のサーバーにアクセス
  5. 新製品の設計図を窃取
  6. 競合他社に情報が流出

被害: 数年分の研究開発成果が流出、市場競争力の喪失

ケース3:医療機関への攻撃

シナリオ:

  1. 古いWindowsサーバーの脆弱性を突いて侵入
  2. 電子カルテシステムに横展開
  3. 患者データを暗号化
  4. 緊急手術ができなくなるなど、深刻な影響
  5. 身代金を支払わざるを得ない状況に

被害: 人命に関わる重大なインシデント

横展開攻撃を検知する方法

横展開攻撃は巧妙ですが、完全に痕跡を消すことはできません。以下のような兆候に注意しましょう。

検知すべき兆候

1. 異常なログイン活動

  • 通常と異なる時間帯のログイン
  • 通常と異なる場所からのログイン
  • 短時間に複数のシステムへのログイン
  • 失敗したログイン試行の急増

2. 不審なネットワーク通信

  • 通常と異なる内部通信パターン
  • 大量のデータ転送
  • 外部の不審なIPアドレスとの通信

3. 不審なツール使用

  • Mimikatz、PsExec、PowerShellの異常な使用
  • ネットワークスキャンツールの検知
  • 認証情報ダンピングツールの実行

4. 権限の異常な変更

  • ユーザー権限の予期しない昇格
  • 新しい管理者アカウントの作成
  • グループポリシーの変更

5. プロセスやサービスの異常

  • 通常見ないプロセスの実行
  • システムサービスの停止や変更
  • タスクスケジューラへの不審な登録

検知に役立つツール

1. EDR(Endpoint Detection and Response)
エンドポイント(PC、サーバー)の動作をリアルタイムで監視し、異常を検知。

主要EDRソリューション:

  • CrowdStrike Falcon
  • Microsoft Defender for Endpoint
  • SentinelOne
  • Carbon Black

2. NDR(Network Detection and Response)
ネットワークトラフィックを監視し、横展開の兆候を検知。

3. SIEM(Security Information and Event Management)
各システムのログを集約・分析して、異常なパターンを発見。

4. UEBA(User and Entity Behavior Analytics)
機械学習を使ってユーザーやエンティティの通常の行動パターンを学習し、異常を検知。

5. Deception Technology(おとり技術)
ネットワーク内におとり(ダミー)のシステムやデータを配置。攻撃者がおとりに触れたら、すぐにアラートを発する。

横展開攻撃を防ぐ対策

基本的な防御策

1. 最小権限の原則(Principle of Least Privilege)

ユーザーには、業務に必要な最小限の権限だけを与える。

  • 一般ユーザーに管理者権限を与えない
  • 管理者アカウントも、必要なときだけ使う
  • アプリケーションにも最小限の権限のみ付与

2. 多要素認証(MFA)の実装

パスワードだけでなく、以下のような追加の認証要素を求める:

  • スマホアプリの認証コード
  • SMSで送られる一時パスワード
  • 生体認証(指紋、顔認証)
  • ハードウェアトークン

MFAがあれば、パスワードが漏洩しても、攻撃者は簡単にはログインできません。

3. ネットワークセグメンテーション

ネットワークを複数の「区画」に分割し、区画間の通信を制限。

  • 部署ごとにネットワークを分ける
  • 重要なシステムは隔離する
  • VLANやファイアウォールで区画を分離

これにより、一つの区画が侵害されても、他への影響を最小限に抑えられます。

マイクロセグメンテーション
さらに細かく、サーバーやアプリケーション単位で分離する高度な手法。

4. ゼロトラストセキュリティ

「内部ネットワークは信頼できる」という前提を捨てる考え方。

ゼロトラストの原則:

  • すべてのアクセスを検証する
  • 内部からのアクセスも信頼しない
  • 継続的に認証・認可を行う
  • すべての通信を暗号化する

5. パッチ管理の徹底

脆弱性を放置しないこと。

  • OSやソフトウェアを常に最新に保つ
  • セキュリティパッチを迅速に適用
  • パッチ管理システムを導入

6. エンドポイントの保護

すべてのPC、サーバーに適切なセキュリティ対策を。

  • アンチウイルス/アンチマルウェアの導入
  • EDRの導入
  • エンドポイントファイアウォール
  • ディスク暗号化

7. 強力なパスワードポリシー

  • 複雑なパスワードを要求(大小英字、数字、記号の組み合わせ)
  • 定期的なパスワード変更(ただし、最近では逆効果という意見も)
  • パスワード使い回しの禁止
  • パスワードマネージャーの活用推奨

8. 不要なサービスの無効化

攻撃に悪用される可能性のあるサービスは無効化。

  • SMBv1の無効化
  • 不要なリモートアクセス機能の停止
  • 使っていない管理共有の削除

高度な防御策

9. 継続的な監視とログ分析

  • すべてのシステムのログを集約
  • 異常なパターンを自動検知
  • 24時間365日の監視体制(SOC)

10. 脅威ハンティング

待ちの姿勢ではなく、積極的に脅威を探す活動。

  • 定期的にネットワーク内を調査
  • 既知の攻撃手法の痕跡を探す
  • IOC(Indicator of Compromise:侵害の痕跡)を確認

11. ペネトレーションテスト

専門家に依頼して、実際の攻撃をシミュレートしてもらう。

  • 四半期に1回程度実施が理想
  • 横展開の可能性を特に重点的にテスト
  • 発見された問題点を迅速に修正

12. セキュリティ意識向上トレーニング

従業員の教育が最も重要。

  • 定期的なセキュリティ研修
  • 模擬フィッシング訓練
  • 最新の攻撃手法の共有
  • インシデント対応訓練

人間が最大の脆弱性になることも、最強の防御になることもあります。

インシデント対応計画

攻撃を受けた場合の対応計画を事前に準備。

対応計画に含めるべき内容:

  1. インシデント検知時の初動対応
  2. 影響範囲の特定方法
  3. 攻撃の封じ込め手順
  4. 証拠保全の方法
  5. 復旧手順
  6. 関係者への連絡体制
  7. 外部専門家への連絡先

1-10-60ルールの実践:

  • 1分以内に検知
  • 10分以内に調査
  • 60分以内に封じ込め

このスピード感が理想です。

よくある質問(FAQ)

Q1. 横展開攻撃と通常の攻撃はどう違うのですか?

通常の攻撃:

  • 外部から内部へ侵入して終わり
  • 単発的
  • 比較的検知しやすい

横展開攻撃:

  • 侵入後、内部を移動し続ける
  • 持続的
  • 正規ユーザーに偽装するため検知が困難
  • 被害が拡大しやすい

例えるなら、通常の攻撃は「泥棒が窓から侵入」、横展開攻撃は「泥棒が家中を物色して、最も価値あるものを探す」イメージです。

Q2. 中小企業も標的になりますか?

はい、むしろ狙われやすいです。

理由:

  • セキュリティ対策が手薄なことが多い
  • IT専門スタッフが少ない
  • 大企業のサプライチェーンの一部として、大企業への侵入の「踏み台」にされる

中小企業だからといって安心はできません。

Q3. ファイアウォールがあれば大丈夫では?

いいえ、不十分です。

ファイアウォールは「境界防御」で、外部からの侵入は防げます。でも、横展開攻撃は内部での移動なので、通常のファイアウォールでは防げません。

だからこそ、内部ネットワークのセグメンテーションや、ゼロトラストのような「内部も信頼しない」アプローチが重要なんです。

Q4. どのくらいの時間で検知できますか?

企業によって大きく異なります。

一般的な企業: 数週間〜数ヶ月
セキュリティ対策が進んだ企業: 数時間〜数日
最先端の企業: 数分〜1時間以内(1-10-60ルール)

早期検知のためには、EDRやSIEMなどの監視ツールの導入が不可欠です。

Q5. クラウド環境でも横展開攻撃は起こりますか?

はい、起こります

クラウド環境でも横展開攻撃の脅威は変わりません。

クラウド特有のリスク:

  • 設定ミスによる不適切なアクセス権限
  • APIキーやアクセストークンの漏洩
  • マルチテナント環境での侵害拡大
  • クラウドサービス間の横展開

クラウドだからといって、セキュリティ対策を怠ってはいけません。

Q6. 横展開攻撃を100%防ぐことは可能ですか?

残念ながら、不可能です。

完璧なセキュリティは存在しません。だからこそ重要なのは:

多層防御(Defense in Depth):

  • 複数の防御層を重ねる
  • 一つが破られても、他で防ぐ

早期検知と迅速な対応:

  • 侵入を前提に、早く見つけて素早く対処
  • 被害を最小限に抑える

「防げない」ではなく、「防げなかったときの準備」が重要なんです。

Q7. 個人でできる対策はありますか?

企業のセキュリティは会社全体の問題ですが、個人としてできることもあります。

個人でできる対策:

  1. 強力なパスワードを使う(各サービスで別のパスワード)
  2. 多要素認証を有効にする
  3. フィッシングメールに注意する
  4. 怪しいリンクをクリックしない
  5. USBメモリを安易に接続しない
  6. OSやソフトウェアを最新に保つ
  7. セキュリティ研修に真剣に参加する

一人ひとりの意識が、組織全体のセキュリティを高めます。

まとめ:横展開攻撃から組織を守るために

横展開攻撃について、たくさんのことをお伝えしてきました。最後に、重要なポイントをまとめます。

横展開攻撃の特徴

  • ネットワーク侵入後、内部を横方向に移動する攻撃手法
  • サイバー攻撃の25%で使用される
  • 侵入から横展開まで平均30分以内
  • 検知までに数週間〜数ヶ月かかることも

攻撃の5段階

  1. 初期侵入(フィッシング、脆弱性悪用など)
  2. 偵察(ネットワーク構造の把握)
  3. 認証情報窃取と権限昇格
  4. 横方向への移動(Pass-the-Hash、RDPなど)
  5. 目標達成(データ窃取、ランサムウェアなど)

主な攻撃手法

  • Pass-the-Hash(PtH)攻撃
  • Pass-the-Ticket(PtT)攻撃
  • Mimikatzによる認証情報窃取
  • RDP(リモートデスクトップ)の悪用
  • PowerShellなど正規ツールの悪用

効果的な防御策

  • 最小権限の原則の徹底
  • 多要素認証(MFA)の実装
  • ネットワークセグメンテーション
  • ゼロトラストセキュリティの導入
  • EDR・SIEM・UEBAなどの監視ツール
  • 継続的なパッチ管理
  • セキュリティ意識向上トレーニング

重要な心構え

  • 「侵入されないように」だけでなく「侵入された後」も考える
  • 早期検知と迅速な対応が鍵(1-10-60ルール)
  • 多層防御で、一つが破られても他で防ぐ
  • 従業員一人ひとりがセキュリティの担い手

横展開攻撃は、現代のサイバー攻撃において最も深刻な脅威の一つです。でも、適切な知識と対策があれば、リスクを大幅に減らせます。

「うちは狙われないだろう」という油断が最大の敵。どんな組織も標的になる可能性があることを忘れずに、今日から対策を始めましょう。

ネットワークセキュリティは、一度設定して終わりではありません。継続的な監視、定期的な見直し、最新の脅威情報へのキャッチアップが不可欠です。

そして何より、組織全体でセキュリティ意識を高め、「セキュリティは全員の責任」という文化を作ることが、最強の防御になります。

Youtube

神話・歴史・伝承の解説チャンネル

スポンサーリンク

コメント

タイトルとURLをコピーしました