ミニオレンジのロゴ

ホーム

製品

Services

プラグイン

価格

資料

会社

横方向への動きを伴う攻撃を検知し、防止する方法

プラディープクマールPAMエンジニアリングリード
13th April、2026

数年前、フィッシング攻撃後の定例調査において、セキュリティチームは被害は限定的であると判断した。攻撃の際、従業員1名のノートパソコンが侵害された。セキュリティチームはマルウェアを削除し、パスワードをリセットした。

しかし翌朝、アナリストたちが認証ログの調査を開始したところ、奇妙な事実が判明した。同じ不正アクセスされたアカウントが、一晩のうちに3つの内部サーバーにログインしていたのだ。続いてデータベースサーバー、そしてバックアップコントローラーにもログインしていた。

すべての操作に正当な認証情報と組み込みの管理ツールが使用されたため、当初は何も問題視されませんでした。

まさにその通りです 横方向への動きによる攻撃 攻撃者は防御を突破するのではなく、信頼できるシステムから別のシステムへと静かに移動し、最終的に価値のある情報にたどり着く。

ほとんどの侵害は、最初の侵害の段階では壊滅的な事態にはならない。 サイバーセキュリティ環境における横方向の移動攻撃者がネットワーク全体にアクセスを拡大する場所。本当の課題は最初の侵入を阻止することではない。 その後に起こることを検知し、封じ込める.

サイバーセキュリティにおける横方向の移動とは何か

サイバーセキュリティにおける横方向の動きとは何か?

横方向移動とは、攻撃者が最初にシステムを侵害した後、盗んだ認証情報と信頼できるツールを使用してシステム間を移動し、権限を昇格させ、最終的に価値の高い資産を見つけ出す手法である。

これは、検出を回避しネットワークをマッピングするために、マシンからマシンへと(横方向に)移動するもので、一般的には盗まれた認証情報や正規のツールが使用されます。

横方向の移動が特に危険なのは、攻撃者が新しいツールを導入することがほとんどないためです。彼らは、リモートデスクトッププロトコル、PowerShell、Windows Management Instrumentation、PsExec、正規の管理者アカウントなど、既に環境に存在するものに依存します。これは「既存の環境を利用する」とも呼ばれ、つまり、自社のインフラストラクチャ自体が攻撃ベクトルとなることを意味します。

これが、検出が難しい理由でもあります。企業全体でRDPの使用を全面的にブロックすることはできませんし、すべてのPowerShellコマンドを検出することもできません。そのため、攻撃者は通常の動作の中に潜り込みますが、まさにそこにほとんどの監視戦略の盲点があるのです。

横方向移動の仕組み(攻撃ライフサイクル)

横方向の移動において、攻撃者は盗んだIDや正規のツールを用いて検出を回避しながら、段階的にアクセス範囲を拡大していきます。攻撃のライフサイクルを理解することが、効果的な制御策を構築するための第一歩となります。

ステージ1:初期妥協

横方向への動きを伴う攻撃はすべて、どこかから始まります。一般的な侵入ポイントは以下のとおりです。

  • 認証情報を盗み取るフィッシングメール
  • 脆弱なウェブアプリケーション
  • 公開されているRDPまたはVPNサービス
  • 侵害された開発者ツール

攻撃者にとって、侵入経路そのものが標的となることは稀です。最初の侵入後、彼らの優先事項は静かに潜伏し、そこから攻撃を拡大していくことです。そのため、セキュリティチームは調査を途中で止めてしまうことがあります。

ステージ2:資格情報の収集

いったんシステムに侵入すると、攻撃者は認証情報を探し出そうとします。ここでよく標的となるのは以下のとおりです。

  • キャッシュされたドメイン認証情報
  • ケルベロスのチケット
  • NTLMパスワードハッシュ
  • サービスアカウントのパスワード
  • メモリに保存されたトークン

侵害されたマシンが管理者の所有物である場合、攻撃者は既に複数のサーバーにアクセスできる認証情報を入手している可能性がある。

ステージ3:内部偵察

有効な認証情報を入手した攻撃者は、環境のマッピングを開始します。この段階は、正当な管理活動のように見えます。通常、以下の内容が含まれます。

  • Active Directoryのユーザーとグループを列挙する
  • ドメインコントローラーの識別
  • 内部IPアドレス範囲のスキャン
  • ファイル共有とデータベースの場所を特定する
  • バックアップサーバーの特定

この偵察によって、どのシステムに機密データが保存されているか、どのユーザーアカウントに高い権限が付与されているかが明らかになる。攻撃者はここから次の行動を決定する。

ステージ4:横方向への伝播

攻撃者はここで動き出す。入手した認証情報と構築したネットワークマップを利用して、多くの場合、環境内で既に信頼されているネイティブの管理ツールに頼る。この段階には以下の要素が含まれる。

  • 侵害されたワークステーションからサーバーへのRDPセッション
  • 収集したNTLMハッシュを使用したSMB接続
  • PowerShell リモート処理
  • スケジュールされたタスクの作成

攻撃者は慎重だ。アクセスをテストし、静かに検証し、確信が持てた場合にのみ行動を起こす。そして、これらのツールは正規のものであるため、監視が行動ベースではなくイベントベースである場合、悪意のある活動は見逃されることが多い。

ステージ5:クラウンジュエルへのアクセス

これが最終局面だ。攻撃者は最終的に、ドメインコントローラー、財務データベース、バックアップインフラストラクチャ、ソースコードリポジトリ、クラウド管理コンソールといった高価値資産に到達する。

これらのシステムが侵害されると、組織はデータ漏洩、ランサムウェアの展開、または永続的なバックドアのインストールといった脅威に直面する。

この時点で既に被害は発生しており、封じ込めは極めて困難となる。この段階に至るまでの全てが攻撃であり、ここでの発見とは、まさにそれが起こったことを知った時のことだ。

一般的な横方向の動きのテクニックと例

攻撃者は、ネットワーク間を移動するためによく知られた手法を利用します。こうした横方向の移動の例を理解することで、セキュリティチームは不審な活動をより早期に察知できるようになります。

  • パス・ザ・ハッシュ(PtH)/パス・ザ・チケット(PtT): 攻撃者は、傍受したNTLMハッシュを解読する代わりに、それを直接使用して他のシステムに対して認証を行います。パスワードは不要です。これにより、そのアカウントがアクセスできるすべてのシステムで認証が回避され、Windows認証ではハッシュが有効なものとして認識されるため、攻撃は静かに実行されます。
  • RDPの悪用: リモートデスクトッププロトコル(RDP)は管理者によって広く利用されており、攻撃者もそれを知っています。攻撃者は、入手した認証情報を使ってサーバーに直接RDP接続したり、複数のRDP接続を連鎖させて経路を隠蔽したりします。また、RDPはグラフィカルなセッションを作成するため、コマンドライン操作よりも監視が困難な場合があります。
  • WMIとPowerShellリモート処理: Windows Management Instrumentation(MIN)とPowerShell Remotingは、ネットワーク上で動作する正規の管理ツールです。攻撃者はこれらを利用して、ファイルをコピーすることなくリモートマシン上でコマンドを実行するため、攻撃の痕跡を大幅に減らすことができます。
  • トークンのなりすまし: 攻撃者がローカル管理者権限を持つシステムでは、実行中のプロセス(最近ログインしたドメイン管理者に属するものを含む)から認証トークンを盗み出し、基となる認証情報を一切必要とせずに、それらのIDになりすますことができます。
  • リモートサービスの作成: 攻撃者は、sc.exeやSysinternals PsExecなどのツールを使用して、リモートマシン上にサービスを作成して起動し、任意のコードを実行します。この手法ではイベントログにエントリが残りますが、監視している人がいないような大量のデータ処理環境では、それらのエントリは埋もれてしまうことがよくあります。

横方向の動きを早期に検出する方法

ベースラインの識別情報と資産の挙動

正常なID動作を理解することは、最も効果的な検出手法の一つです。環境内の各アカウントおよび各システムにおける正常な動作を把握していなければ、異常を効果的に検出することはできません。専用ツールまたはSIEMに組み込まれたユーザーおよびエンティティ行動分析(UEBA)アプローチは、横方向の移動パターンを可視化するベースラインを作成します。

東西交通を監視する

ほとんどの組織は、南北方向のネットワーク(ネットワークへの出入りトラフィック)をしっかりと監視しています。しかし、内部システム間の東西方向のトラフィックは攻撃の伝播経路となりやすく、監視されていないことがよくあります。エンドポイント、サーバー、ドメインコントローラー間の接続をログに記録するツールを使用して、内部ネットワークの可視性を確保しましょう。

環境全体で認証イベントを関連付ける

認証失敗が1回だけなら、それは単なるノイズに過ぎません。しかし、短期間に同じアカウントから異なるシステムに対して15回もの認証失敗が発生した場合は、攻撃パターンが存在することを示唆します。普段アクセスしないシステムへのログインが確認できた場合は、調査を開始すべきです。

異常な認証経路を検出する

通常は営業時間中に特定のサブネットからのみログインする開発者ワークステーションが、午前2時に管理者認証情報を使用してドメインコントローラーに認証を行う場合、それは調査に値する異常事態です。通常の認証パターンのベースラインを作成し、逸脱があった場合にアラートを発するようにしてください。

管理ツールが通常とは異なる状況で使用されている場合に警告を発する

ユーザーのワークステーションから実行される PsExec、管理者権限を持たないホストから開始される PowerShell リモート処理、複数のシステムに対して連続して実行される WMI クエリなど、これらのパターンは、個々のイベントが正当に見えても、潜在的な横方向の移動を示唆しています。

横方向の動きを防ぐ方法

横方向の動きを防ぐ方法

検知だけでは不十分です。目標は、攻撃者が横方向の移動を密かに実行できないほど運用上困難にし、理想的には、侵害が発生した最初の地点で被害を封じ込めることです。

最小権限アクセスの強制

永続的な管理者権限は、横方向の移動を助長する最大の要因の一つであり、最小権限の原則を徹底することは、それを防止するための基本的な対策です。特権アカウントが真に必要とするシステムとリソースにのみ、必要な期間だけアクセスできるようにすれば、侵害が発生した場合の影響範囲は限定されます。

セキュリティチームは以下のことを行うべきです。

  • 不要なローカル管理者権限を削除する
  • 管理者アカウントと標準ユーザーアカウントを別々に設定する
  • ジャストインタイム(JIT)権限昇格を実装する

しかし実際には、最小権限の原則を維持するのは困難です。なぜなら、継続的なガバナンスが必要となるからです。組織はアカウントのプロビジョニング時にアクセス権を寛大に付与することが多く、その後取り消すことはほとんどありません。このような場合、特権アクセスガバナンスシステムを導入することで、アクセスレベルを継続的に見直し、監査し、最小権限を徹底することができます。

特権アクセス管理(PAM)を導入する

横方向の移動の試みはすべて、制限されたシステムへの特権認証情報を取得するために行われる。 特権アクセス管理 (PAM) miniOrange PAMのようなシステムは、以下のような制御を行うことで、このような場合に役立ちます。

  • 資格情報の保管とローテーション

PAMソリューションは、インフラストラクチャ全体にわたって特権パスワードを検出し、安全な保管庫に保存します。パスワードは、管理されたワークフローを通じて必要な場合にのみ取り出されます。パスワードは定期的に更新されるため、たとえ盗まれたとしても、すぐに無効になります。

  • ジャストインタイムアクセス管理

PAM を使用すると、管理者は特権アクセスを付与できます。 ジャストインタイム方式 必要な期間、必要な権利のみを付与することで、横方向への異動をより困難にする。

  • セッション監視

PAMツールは 特権セッションの記録とリアルタイム監視これにより、悪意のある横方向の活動をリアルタイムで検知し、調査のために記録を保存することができます。

最新のPAMプラットフォームは、組織を横方向の移動攻撃から保護するのに十分であることが多く、ほぼすべての種類のサイバー攻撃に対して厳格なセキュリティ対策を実施し、組織のセキュリティコンプライアンスを確保します。

横方向への拡散を阻止せよ

常時アクセスを排除し、認証情報を保護し、セッションの完全な可視性を提供する、集中型の特権アクセス戦略を実装する。

miniOrange PAMを探索しよう

ネットワークセグメンテーションの実装

フラットなネットワークは、横方向の移動を容易にする高速道路のようなものです。侵害されたワークステーションが環境内のすべてのサーバー、データベース、ドメインコントローラーと自由に通信できる場合、攻撃者はその自由度を組織的に悪用します。セグメンテーションは、この自由度を排除します。

原則として、ゾーン間ではデフォルトで通信を拒否します。ユーザーワークステーションとサーバー間、サーバーとドメインコントローラー間、および環境間のトラフィックは、文書化されたビジネスニーズに基づいて明示的に許可されるべきであり、何もブロックされていないから許可されるべきではありません。クラウド環境では、マイクロセグメンテーションによってこの原則がさらに強化され、広範なネットワークゾーン間だけでなく、個々のワークロード間の通信も制限されます。

レガシー環境では、セグメンテーションが非常に困難です。長年にわたる非公開のアプリケーション依存関係により、ポートをブロックすると予期せぬ問題が発生することがよくあります。現実的なアプローチとしては、ドメインコントローラー、バックアップインフラストラクチャ、データベースなど、最も価値の高い対象から始めることです。まずこれらをセグメント化し、そこから範囲を広げていきましょう。

あらゆる場所で強力な認証を強制する

多要素認証(MFA)を導入することで、盗まれたパスワードがすぐに悪用されるのを防ぐことができます。しかし、MFAだけでは横方向の移動を完全に阻止することはできません。VPN、RDP、SSH、そして機密性の高い特権操作におけるステップアップ認証には、MFAは依然として重要です。ただし、エンドポイントレベルでの認証情報保護と組み合わせる必要があります。

Windows Credential Guard による LSASS メモリの保護は、認証情報の機密情報をメインのオペレーティングシステムが直接アクセスできない隔離された環境に移動します。これにより、攻撃者が最初の侵害後に頼るメモリスクレイピングの手法を封じ込めることができます。サービス アカウントには特に注意が必要です。何年も更新されておらず、複数のシステムで共有されている認証情報は、攻撃の標的になりやすいからです。クラウド ワークロード向けのマネージド ID とサービス アカウントの自動ローテーションにより、この攻撃対象領域を排除できます。

認証情報を発生源で保護する

多くの横方向移動の手法は、盗まれた認証情報に依存している。エンドポイントから認証情報を盗むことができない場合、攻撃のライフサイクルは早期に中断される。

  • 認証情報のキャッシュを無効にする 運用上必要のないワークステーションでは、キャッシュされた認証情報は使用されません。キャッシュされた認証情報は、メモリベースの攻撃において主要な標的となります。
  • LSASSメモリを保護する Windows Credential Guardを使用することで、認証情報の秘密情報を、メインOSからアクセスできない隔離された仮想化環境に移動させることができます。
  • マネージドサービスIDを使用する クラウドサービスやAPIへの認証が必要なアプリケーションやワークロードの場合、コードや設定からハードコードされた認証情報を完全に削除してください。
  • サービスアカウントの認証情報をローテーションする 定期的に発生しています。多くの情報漏洩は、何年も変更されていないサービスアカウントの認証情報が複数のシステムで使用されていることが原因です。

ゼロトラストを採用し、Active Directoryのセキュリティを強化する

ゼロトラストは、ネットワーク上の場所に関係なく、暗黙の信頼を一切持たないという原則に基づいて動作します。企業ネットワーク内のワークステーションは、同じネットワーク上のサーバーへのアクセスを自動的に許可されるわけではありません。すべての接続は、認証、認可、および検証される必要があります。

実際には、これは次のことを意味します。

  • 継続的な検証 初回ログイン時だけでなく、IDとデバイスの状態に関する情報も
  • デバイス姿勢検証 管理された準拠デバイスのみが機密リソースにアクセスできるようにする
  • 暗黙の内部信頼関係は存在しない つまり、内部サービス間通信でさえ認証が必要になるということだ。

ゼロトラストは製品ではなく、アーキテクチャの方向性です。完全に実装するには時間がかかり、ネットワーク、ID管理、セキュリティチーム全体の賛同が必要です。まずはリスクの高いアクセスパスから着手しましょう。

ハードン Active Directory

Active Directoryは、ほとんどの企業環境において最も価値の高い攻撃対象です。ADを制御すれば、すべてを制御できます。攻撃者はこのことを知っています。多くの横方向移動の手法は、特にADの脆弱性を標的としています。

  • 階層型管理者モデルを実装する ティア0(ドメインコントローラーとIDインフラストラクチャ)、ティア1(サーバーとアプリケーション)、ティア2(ワークステーション)を分離することで、下位ティアの認証情報が上位ティアに対して認証できないようにします。
  • ドメイン管理者の使用を制限する ドメインコントローラーのみにログイン可能です。ドメイン管理者は、ワークステーションやメンバサーバーにログインしてはなりません。ログインすると、認証情報が盗難される危険性があります。
  • ADレプリケーショントラフィックを監視する DCSync攻撃の場合、十分な権限を持つ攻撃者がドメインコントローラーをシミュレートし、すべてのアカウントのパスワードハッシュを要求します。
  • 制約なしのKerberos委任を無効にする 厳密に必要な場合を除き、すべてのシステムで権限が制限されます。権限委譲が制限されていない場合、ドメイン全体で認証情報のなりすましが可能になる、よく知られた攻撃経路となります。

miniOrange PAMが横方向の動きを止める仕組み

特権アクセスを制御することは、横方向の移動を阻止する最も効果的な方法の一つです。 ミニオレンジPAM 横方向の動きを防止するための重要な制御機能を、単一の管理しやすいプラットフォームに統合します。

認証情報の保管とパスワードのローテーション

特権認証情報は、管理者間で手動で共有されるのではなく、安全な保管庫に保存されます。エンドポイントにパスワードが存在しないため、攻撃者はパスワードを盗み出すことはできません。

たとえ認証情報が漏洩したとしても、自動ローテーションによって速やかに無効化されるため、多くの横方向の移動手法を阻止できる。

特権セッション監視

特権セッションはすべて監視および記録できるため、セキュリティチームはどのコマンドが実行されたか、アクセスがどこから発生したかを完全に把握できます。

miniOrangeのAIベースの異常検知機能により、悪意のある活動をリアルタイムで検知できるため、セキュリティチームはセッションを終了させることができます。

ジャストインタイム最小権限の適用

常時有効な権限は、時間制限付きのアクセス権限に置き換えられます。管理者は、必要な場合にのみ上位のアクセス権限を取得します。永続的な管理者権限を廃止することで、横方向の移動攻撃を可能にする主要な要因の一つが排除されます。

サーバーやインフラストラクチャへの不正アクセスは、発生する前に阻止されます。

これらのコントロールはすべて強力な 横方向の動きに対する保護 認証情報の漏洩を制限し、環境全体における特権的な活動を監視することによって実現します。

PAMセキュリティで横方向の移動と内部脅威を排除

miniOrange PAMは、内部脅威や横方向の移動に対して、完全な可視性、制御、およびリアルタイム対応を提供します。

今すぐ無料トライアルを開始

著者について

プラディープクマール

PAMエンジニアリングリード

PradeepはminiOrangeのシニアソフトウェアエンジニアであり、エンタープライズアクセスインフラストラクチャの設計とセキュリティ確保において7年以上の経験を有しています。彼はminiOrangeの特権アクセス管理ソリューションのアーキテクチャ設計と実装を主導し、組織が最小権限の原則を適用し、重要なシステムを保護し、クラウド環境とオンプレミス環境全体でIDベースのリスクを軽減できるよう支援しています。彼はセキュリティチームおよびITチームと緊密に連携し、コンプライアンスと運用要件に沿った拡張性の高い特権ガバナンスフレームワークを構築しています。彼の専門知識は、PAMアーキテクチャ、セキュアなシステム設計、そして現代のエンタープライズ向けIDファーストセキュリティエンジニアリングに及びます。

コメント