ラテラルムーブメント: 侵入拡大フェーズを攻撃検出のチャンスに
攻撃者があなたの会社のセキュリティチームに知られることなく境界突破に成功したとします。攻撃者の次のステップは、有効なユーザ資格情報や管理ツールを隠れ蓑にしながら、ある場所から別の場所へとネットワーク領域を動き回ります。これがラテラルムーブメント(侵入拡大)のフェーズです。
このフェーズでは、攻撃者が最終的に求めているものを探し出すために、巧妙な手口を使ってネットワークの奥深くへと移動します。攻撃者が求めているものは、財務データ、知的財産、社会保障番号など、彼らにとって「一番おいしいもの」のすべてです。このような形でシステム内に潜伏する貪欲な攻撃者を思い浮かべると脅威を感じます。しかしながら、実はこのフェーズをうまく利用することができるのです。
インドのサイバーセキュリティ企業、Smokescreen社の調査によると、ラテラルムーブメントは攻撃の中で最も長時間に及ぶフェーズであり、全攻撃期間の約80%を占めています。侵入者は、ゆっくりと慎重に数週間から数カ月間かけてネットワーク内に留まりながら行動します。このため、これほどの時間を費やしているラテラルムーブメントのフェーズは、攻撃を検出の可能性が最も高いフェーズであるとも言うことができます。どんな点に注意すべきかを理解し、ネットワークを可視化することができれば、ひとつの不正な振る舞いを検知することができ、そこから攻撃を検出することが可能になります。
ラテラルムーブメントフェーズの基本ステップは、ほとんどのケースで類似したパターンが見られます。通常、いったんネットワークに侵入すると、攻撃者は自分のコマンド&コントロール(C&C)サーバへの接続を確立します。その後、ネットワークの偵察を開始し、ネットワークレイアウトをマッピングして、ユーザとデバイスを見つけます。この目的のためにnetstatやnmapなどのツールが使用されます。
次のステップは資格情報の収集です。攻撃者はシステム間を移動できるように有効なユーザ資格情報を収集しようとします。その際は、Mimikatzやpwdumpなどのツールが使用されます。ログイン情報を収集する他の方法には、キーロガー、プロトコルアナライザー、パスワードのブルートフォースアタックなどがあります。また、フィッシングによりユーザをだまして資格情報を搾取することもあります。攻撃者の目的は、特権昇格により管理者権限を奪取し、最終的にネットワーク内で最高レベルのアクセス権を得ることです。
攻撃者は、ネットワークの偵察を行っている間に、稼働中の古いアプリケーションを発見するかもしれません。その場合は、ラテラルムーブメントにおけるもうひとつの技術として、利用可能なエクスプロイトにより古いアプリケーションを悪用することがあります。また、攻撃者は、従業員に対してフィッシング攻撃を行い、従業員になりすましてその従業員が利用可能なサービスにアクセスする可能性もあります。
2018年版ベライゾン社の「データ漏洩/侵害調査報告書」によると、ラテラルムーブメントは、ランサムウェア攻撃においても大きな役割を果たしています。攻撃者は、感染させた最初のデバイスを単に暗号化するだけでなく、最も重要なサーバやデータにアクセスするためネットワーク内をより深く移動しようとします。
この攻撃段階を利用して、攻撃者をあぶり出し撲滅させることができます。そのためには、ネットワーク上を可視性し、異常な振る舞いを確実に把握するための技術の導入が必要です。また、ネットワークセグメンテーション、アプリケーションのホワイトリスト登録、最小特権の原則の適用、多要素認証と強力なパスワードの適用を要求などを実践することで、攻撃者のネットワーク内の移動を困難にすることができます。
攻撃者がネットワーク内でラテラルムーブメントする際の詳細な手法の例につていは、製造業での標的型攻撃に関するストーリー、The Hunt(追跡)をご覧ください。
カテゴリ