ラテラルムーブメント:境界防御の内側で起こる静かなる侵攻

**ラテラルムーブメント(Lateral Movement:横展開)**とは、攻撃者が最初に確保した末端PCの足場(Foothold)から、より価値の高いターゲット(顧客データベース、財務システム、ドメインコントローラー)を求めて内部ネットワークを這い回るプロセスです。MITRE ATT&CK では TA0008 に分類されています。

「攻撃者は一度ネットワーク内部に入り込めば、もはやマルウェアを必要としない。管理者が使う正規のツールを使って移動するからだ」

IBM X-Force の調査によれば、侵入から検知までの平均滞留時間(Dwell Time)は数十日に及びます。その大半はラテラルムーブメントと情報収集に費やされており、その間ずっと正規の管理ツールに偽装した通信が続きます。

Active Directory 支配への道程

世界中の企業ネットワークの認証基盤である Active Directory(AD) は、攻撃者にとっても究極のターゲットです。Domain Admin 権限の奪取に至るまでの、APT グループやレッドチームが多用する代表的な手法を解説します。

1. Pass-the-Hash (PtH) 攻撃

Windows のレガシーな NTLM 認証の仕組みを突いた、古典的かつ依然として強力な手法です。

Windows はパスワードを「NTLM ハッシュ」という形でメモリ(LSASS プロセス等)に保持しています。攻撃者は権限昇格後、Mimikatz などのツールでこのハッシュ値を抽出し、「平文パスワードの代わり」として別サーバーの認証 API に直接流し込みます。パスワードを知らなくてもハッシュさえあれば認証できる、というのが NTLM の構造的な脆弱点です。

# パスワードは不要。抽出した Administrator のNTLMハッシュをそのまま投げつける

python3 psexec.py CORP/[email protected] -hashes aad3b435…:8846f7eaee8fb117…

# 成功すれば、対象端末で SYSTEM 権限の対話型シェル(cmd.exe)が返ってくる

2. Kerberoasting (T1558.003)

より現代的な Kerberos 認証環境で多用される手法です。

AD 上でサービスを動かすアカウントには SPN(Service Principal Name)が設定されています。攻撃者はドメイン内のどんなユーザーでもこのサービスチケット(TGS)を要求できる仕様を悪用します。DC から返されたチケットの一部はサービスアカウントのパスワードハッシュで暗号化されているため、手元(オフライン)に持ち帰り、GPU を使った高速ブルートフォースでパスワードを解読できます。

# 1. Impacket で SPN が付与されたアカウントのチケット要求を全自動で行う

python3 GetUserSPNs.py CORP.local/low_priv_user:Password1 -dc-ip 192.168.1.1 -request

# 出力されるハッシュ($krb5tgs$23$*…)をファイルに保存

# 2. オフラインで Hashcat を使って暗号化されたチケットのパスワードを解読する

hashcat -m 13100 kerberoast_hashes.txt /usr/share/wordlists/rockyou.txt —force

3. DCSync 攻撃の凶悪性

Domain Admin 権限を獲得した攻撃者が使う、究極の情報収奪テクニックです。

AD には複数のドメインコントローラー間でパスワード情報を同期(レプリケーション)する正規の仕組みがあります。攻撃者はこの仕様を逆手に取り、「私は新しいドメインコントローラーだ」と偽装して本物の DC へ「全ユーザーのパスワードハッシュを同期してくれ」と要求します。コマンド一発でドメイン全体の認証情報が手に入る、いわばゲームエンドのテクニックです。

mimikatz # lsadump::dcsync /domain:corp.local /all /csv

# → KRBTGTアカウントを含む、ドメイン内の全従業員の現在のパスワードハッシュが一挙にダンプされる

EDRをすり抜ける Living off the Land(環境寄生)

攻撃者が横展開する際、独自のマルウェアを持ち込むことはほぼありません。OS に標準搭載された正規の管理ツールやプロトコル(WMI・WinRM・SMB・PowerShell 等)を悪用する Living off the Land 戦術を採るため、シグネチャベースのアンチウイルスでは検知が困難です。

ラテラルムーブメントの主要プロトコルとEDRの監視ポイント
悪用されるプロトコル攻撃者のツール例ブルーチームの監視・防御ポイント(SIEM/EDR)
SMB (ポート445)PsExec, smbexec.pyWindowsイベントID 7045(新規サービスのインストール)。一過性のランダムな名前のサービス登録はPsExecの典型的な痕跡。
WMI (ポート135 等)wmiexec.pyプロセスツリー監視。`WmiPrvSE.exe`(WMIプロバイダーホスト)から不審な子プロセス(cmd.exeやpowershell.exe)がスポーンされていないか。
WinRM (ポート5985/5986)Evil-WinRMPowerShellスクリプトブロックロギング(EID 4104)の有効化。ネットワーク越しのリモートPowerShellセッションの監視。

ラテラルムーブメントを封じ込めるアーキテクチャ

フラットなネットワークと過剰な権限付与は、攻撃者にとって速度無制限の高速道路です。以下の設計原則で、侵害の爆発半径(Blast Radius)を最小化します。

  1. ゼロトラスト・ネットワーク・セグメンテーション サーバー・DB・一般業務端末を VLAN で厳格に分離する。クライアント PC 同士が SMB(ポート 445)で直接通信できる状態は、ランサムウェアの大規模拡散を招く最大の構造的欠陥です。

  2. LAPS(Local Administrator Password Solution)の導入 全 Windows 端末のローカル Administrator パスワードをユニークにランダム化し、定期ローテーションさせる無料の Microsoft ツール。1台の Local Admin パスワードが漏洩しても、他端末への Pass-the-Hash を封じられます。

  3. Privileged Access Workstation(PAW) Domain Admin 権限での作業は、インターネットに接続できない専用の管理端末(PAW)からのみ許可する(Tier モデルの運用)。

  4. Kerberoasting 対策 SPN 付与アカウントのパスワードを 30 文字以上にし、Kerberos の暗号化タイプを AES-256(0x12)に強制する。弱いパスワードのサービスアカウントは Kerberoasting の格好の標的です。

理解度チェック

【確認問題】Active Directory環境において、攻撃者が「一般ドメインユーザー」の権限しか持っていなくても、特定の条件を満たすサービスアカウントのチケットを要求し、それをオフラインに持ち帰ってパスワードを解読(クラック)しようとする攻撃手法を何と呼びますか?