ラテラルムーブメント(横展開)とは?攻撃手口と検知・対策を解説

メインメニューショートカット 本文のショートカット
Login
  • StealthMoleとは
  • 機能・特徴
  • 価格
  • Blog
  • FAQ
  • お問い合わせ
  • Blog

    View
    ラテラルムーブメント(横展開)とは?攻撃手口と検知・対策を解説
    作成日時 26/07/07 (08:45) View 97




    CrowdStrikeの2026 Global Threat Reportによると、攻撃者が初期侵入から最初の横展開に移るまでの平均時間(ブレイクアウトタイム)はわずか29分まで短縮され、最速の事例ではわずか27秒で次の端末へ到達しています。

    防御側がアラートに気づいて状況を把握するころには、攻撃者はすでに内部を移動し終えているという構造的な非対称性が、ここに表れています。さらに厄介なのは、この横方向の移動が正規の認証情報と正規のツールを使って行われるため、従来型の監視では異常として浮かび上がらない点です。

    この記事では、攻撃者がネットワーク内部でどう動くのかをMITRE ATT&CKをもとに段階的に解き明かし、大企業の情報システム部門とSOCが取るべき検知と対策の方向性を解説します。

    ラテラルムーブメント(横展開)とは

    ラテラルムーブメントとは、攻撃者がネットワーク侵入後に内部を横方向へ移動し侵害範囲を拡大する手法です。日本語では横展開や水平移動、水平展開とも呼ばれ、英語ではlateral movementと表記されます。

    最初に侵入した1台の端末から、隣の端末、サーバー、そして最終的にはドメイン全体の管理権限へと、攻撃者が足場を横に広げていく一連の動きを指します。

    MITRE ATT&CKでは、ラテラルムーブメントを戦術カテゴリTA0008として定義し、攻撃者がネットワーク上のリモートシステムへ侵入し制御を維持する技術群として整理しています。

    重要なのは、横展開が単独で完結する攻撃ではなく、より大きな攻撃チェーンの中間に位置する移動フェーズだという点です。以下では、この位置づけと大企業ほど被害が深刻化する理由を掘り下げます。

    攻撃チェーンの中での位置づけ:初期侵入と最終目的をつなぐ移動フェーズ

    横展開は、初期侵入と最終目的のあいだをつなぐ橋渡しの技術です。攻撃者はパスワードスプレーやフィッシング、ダークウェブで調達した認証情報などで最初の1台に侵入しますが、その端末に目当ての資産があるとは限りません。

    本当に狙うランサムウェアの一斉展開先や、窃取したい機密データが置かれたサーバーへたどり着くために、内部を横に移動していきます。

    この移動フェーズは、特定の攻撃に固有のものではありません。ランサムウェア、APT攻撃と呼ばれる標的型の諜報活動、データ窃取、ボットネットの拡散など、目的の異なる攻撃の多くが横展開という共通の土台を経由します。

    つまり、横展開を止められれば、初期侵入を許しても被害を一区画に封じ込められる可能性が高まるのです。

    防御側がこのフェーズを重視する理由は、時間との勝負であるためです。冒頭で触れたブレイクアウトタイムは、攻撃者が最初の端末から次の端末へ移るまでの時間を指し、防御側にとっては封じ込めまでに残された猶予時間を意味します。

    CrowdStrikeはこの猶予内に対応するための目安として、検知1分、調査10分、封じ込め60分という1-10-60ルールを提唱してきました。平均29分というブレイクアウトタイムは、この目標がいかに厳しい水準にあるかを物語っています。

    なぜ大企業ほど横展開の被害が深刻化するのか

    大企業のネットワーク構造そのものが、横展開を許しやすい土壌になっています。

    多くの大規模組織は、内部が比較的フラットに接続されており、ひとたび内部に入った攻撃者は端末間を比較的自由に通信できます。加えてActive Directoryを中心としたID管理を採用しているため、認証の仕組みが共通化されている分、1つの認証情報の侵害が広範囲に波及しやすい構造です。

    さらに大企業では運用上の必要から特権アカウントが数多く存在し、サーバー管理やヘルプデスク業務などのために管理者権限が広く配布されている傾向があります。攻撃者にとっては、奪取できれば一気に支配範囲を広げられる標的が社内に分散している状態です。

    この構造的リスクが集約されるのが、ドメインコントローラに代表されるTier 0資産です。

    Tier 0とは、組織全体のID基盤を制御する最上位の資産群を指し、ここを掌握されると組織内のあらゆるアカウントを攻撃者が自由に作成し、なりすませる状態に陥ります。1台の末端端末の侵害が、最終的にドメイン全体の掌握へ直結しうるという点が、大企業における横展開の深刻さの本質です。

    攻撃者は内部でどう動くか:MITRE ATT&CKで読み解く横展開の手口

    攻撃者は内部で行き当たりばったりに動いているわけではありません。認証情報を盗み、それでなりすまし、正規の経路で隣の端末へ移動するという、再現性のある手順を踏みます。

    ここではMITRE ATT&CKの技術IDを軸に、攻撃者の一連の動きを盗む、なりすます、移動するという物語として追っていきます。

    ステップ1:認証情報を盗む

    横展開の起点は、移動に使うための認証情報を手に入れることです。攻撃者は侵入した端末のメモリ上に残る認証情報を抜き取ります。

    代表的な手口が、Windowsの認証処理を担うLSASSというプロセスのメモリから、ログイン中のユーザーのNTLMハッシュやKerberosチケットを抽出する方法です。Mimikatzに代表されるツールがこの目的で広く悪用されています。

    MITRE ATT&CKはこの手口をT1003(OS Credential Dumping)として分類しています。ここで攻撃者が手にするのは、必ずしも平文のパスワードそのものではありません。NTLMハッシュやKerberosチケットといった、パスワードから生成された認証用のデータです。

    次のステップで説明するように、Windowsの認証はこうしたハッシュやチケットだけでも成立してしまうため、攻撃者は平文パスワードを解読する手間をかけずに、盗んだ材料をそのまま移動に使えます。

    ステップ2:盗んだ認証情報でなりすます

    盗んだハッシュやチケットを使い、攻撃者は正規ユーザーになりすまします。MITRE ATT&CKがT1550(Use Alternate Authentication Material)として整理するこの手口の代表が、Pass-the-HashPass-the-Ticketです。

    Pass-the-HashT1550.002)は、平文パスワードの代わりにNTLMハッシュをそのまま提示して認証を通す手法です。Pass-the-TicketT1550.003)は、盗んだKerberosチケットを再利用して別のサービスへアクセスする手法です。

    いずれも、攻撃者はパスワードそのものを知らなくても正規の認証フローを通過できます。関連する手口として、サービスアカウントのKerberosチケットを要求し、それをオフラインで時間をかけて解読するケルベロスティングもあります。

    この段階こそ、横展開が止めにくい理由の本質です。

    攻撃者は正規の認証情報そのものとして振る舞うため、パスワードを変更しても盗まれたハッシュやチケットが有効なあいだは通用してしまう場合があり、多要素認証が設定されていても、認証材料を直接使う経路では回避されうるのです。

    ステップ3:正規の遠隔サービスで隣の端末へ移動する

    なりすましに成功した攻撃者は、正規の遠隔操作サービスを使って隣の端末へ移ります。

    MITRE ATT&CKがT1021(Remote Services)として分類するこの段階では、リモートデスクトップのRDPT1021.001)、ファイル共有や管理共有に使われるSMBT1021.002)、遠隔管理プロトコルのWinRMT1021.006)といった、IT部門が日常的に使う正規の経路がそのまま悪用されます。

    ここに横展開検知の最大の難しさがあります。

    攻撃者は専用のマルウェアや不審な外部通信を持ち込むのではなく、OSに標準で備わる正規の機能やツールだけで移動を完結させます。この、環境にあるものを使って攻撃するふるまいはLiving off the Land (環境寄生型攻撃)と呼ばれます。

    正規の認証情報を持った正規ユーザーが、正規のプロトコルで端末間を移動している通信を、シグネチャ型の検知やアンチウイルスが異常と判定するのは原理的に困難です。横展開が静かな侵入と呼ばれるのは、このためです。

    ステップ4:権限を広げ、最終目的に到達する

    横方向への移動を繰り返しながら、攻撃者は同時に権限を上へ広げていきます。一般ユーザー権限からローカル管理者、さらにドメイン管理者へと昇格し、最終的には先述のTier 0資産であるドメインコントローラの掌握を狙います。

    ここを押さえれば、組織内のほぼすべての端末とサーバーに正規の権限でアクセスできるようになります。

    この過程で攻撃者は、奪取した正規アカウントを使い続けます。MITRE ATT&CKがT1078(Valid Accounts)として分類するこのふるまいにより、攻撃者の活動は正規の業務アクセスと見分けがつきにくくなります。

    時系列で描くと、攻撃の流れはこうなります。

       初期侵入: ある朝、経理部の1台のPCがフィッシング経由で侵害される。

       窃取(T1003): 攻撃者がその端末のメモリから管理者のハッシュを抜き取る。

       なりすまし(T1550): Pass-the-Hashで隣のファイルサーバーに正規ユーザーとして接続。

       横展開(T1021): そこからRDP(リモートデスクトップ)で基幹サーバーへ移動。

    数十分のうちにドメイン管理者権限を奪い、夜間にランサムウェアを全社の端末へ一斉展開する、という具合です。

    この一連の動きが、平均29分というブレイクアウトタイムの実像です。

    横展開はなぜ従来の監視で見つからず、止められないのか

    ここまで見てきた手口には、共通する一つの性質があります。

    攻撃者が正規の認証情報と正規のツールを使うため、何が異常で何が正常かの境界が、従来の監視では引けないという点です。以下では、検知が難しい構造的な理由を整理したうえで、2026年時点でより深刻になっている、検知できても止められないという封じ込めの壁まで踏み込みます。

    第一に、シグネチャ型の検知やアンチウイルスは、既知のマルウェアや既知の攻撃パターンを照合する仕組みです。

    横展開で使われるRDPSMBWinRMはいずれも正規のプロトコルであり、Pass-the-Hashで通過する認証も形式上は正しい認証です。照合すべき悪意のシグネチャが存在しないため、これらの仕組みはすり抜けられてしまいます。

    第二に、ファイアウォールに代表される境界型防御は、組織の内と外を出入りする南北方向(North-South)の通信を監視するよう設計されています。一方で横展開は、内部の端末どうしを行き来する東西方向(East-West)の通信です。

    境界に立つ防御は、内部で完結するこの東西通信をそもそも見ていないため、横移動を捉えられません。

    第三に、エンドポイントごとのログが分断されている問題があります。

    端末Aへの不審なログインと、その30分後の端末Bへの異常な接続は、それぞれの端末のログを別々に見ているかぎり点でしかありません。攻撃者が端末から端末へ渡り歩く動きを線として相関させるには、複数のログソースを横断した分析が必要で、これは多くの組織で運用上の難所になっています。

    そして2026年に最も深刻化しているのが、検知できても止められないという封じ込めの壁です。@ITが報じたIllumioの調査によれば、95%の企業が自社の対応管理に不十分さを認識しており、攻撃を即座に封じ込められると答えた企業はわずか17%にとどまります。

    同調査では、ラテラルムーブメントへの対応に数カ月から1年を要すると回答した企業が51%にのぼり、その間にデータ損失のリスクが続くと指摘されています。検知に自信を持つ企業が増える一方で、検知から封じ込めまでのあいだに大きなギャップが横たわっている、というのが現在の実像です。

    この検知と封じ込めの時間差は、攻撃者の滞留時間にも表れています。Google傘下のMandiantによるM-Trends 2025では、攻撃者が侵入してから検知されるまでのグローバル中央値(dwell time)は11日とされています。

    攻撃者が数十分で横展開を終える一方、それが発覚するまでには日単位の時間がかかっているわけです。検知と封じ込めのギャップこそが被害拡大の根因であり、後段で述べるマイクロセグメンテーションは、まさにこのギャップを物理的に埋めるための設計思想です。

    ダークウェブと横展開:初期アクセスはどこから来るのか

    横展開は、攻撃者がすでに内部にいる前提から始まります。では、その最初の侵入はどこから来るのでしょうか。実は近年、攻撃者は侵入そのものをダークウェブで買えるようになっており、横展開の前段を理解するうえでこの市場構造は欠かせません。

    その担い手が、イニシャルアクセスブローカー(IAB)と呼ばれる仲介者です。IABは侵害済みの企業環境へのアクセス権を商品としてダークウェブで販売します。

    買い手はランサムウェアグループなどで、彼らはIABから足場を買うことで、自ら初期侵入を行う手間を省き、いきなり横展開のフェーズから攻撃を始められます。

    この市場を支えているのが、インフォスティーラーと呼ばれる認証情報窃取型のマルウェアです。LummaRedlineVidarといったインフォスティーラーが感染端末からブラウザ保存のパスワードやセッションクッキー、VPNSaaSの認証情報を抜き取り、それがダークウェブに流通します。

    IBMのX-Force Threat Intelligence Index 2025によれば、2024年の侵入の約30%が有効な認証情報の悪用から始まっており、フィッシング経由のインフォスティーラー配布は前年比で84%増加しています。

    窃取された認証情報がIABの手を経てランサムウェアグループへ渡る、という分業構造が成立しているのです。

    ここから導かれる結論は明快です。横展開は、初期アクセスを許した瞬間に始まります。そして、その初期アクセスの多くは、自社の認証情報がダークウェブに流通した時点ですでに準備が整っているのです。

    大企業が取るべきラテラルムーブメント検知・対策

    横展開対策の要点は、移動を物理的に絞り、ふるまいで異常を捉え、特権を最小化する、という三層の組み合わせです。単一の製品で完結する課題ではなく、SOC運用を前提とした設計と監視の総合戦として取り組む必要があります。

    ここでは大企業の情報システム部門が押さえるべき対策を解説します。

    ネットワークを分割し横移動を物理的に止める

    横展開を物理的に止める最も直接的な手段が、ネットワークの分割です。攻撃者が1台に侵入しても、そこから移動できる先が制限されていれば、被害は一区画に封じ込められます。従来のセグメンテーションとマイクロセグメンテーションは、その制御の細かさが異なります。

    観点

    従来のセグメンテーション

    マイクロセグメンテーション

    制御の単位

    ネットワークのサブネットやVLAN単位

    ワークロードやアプリケーション単位

    主な制御対象

    南北方向(境界)の通信

    東西方向(内部)の通信も制御

    横展開への効果

    区画間の移動は制限できる

    区画内の端末間の移動まで制限できる

    前提となる思想

    境界の内側は信頼する

    暗黙の信頼を排除する(ゼロトラスト)

     

    マイクロセグメンテーションの背景にあるのが、ゼロトラストの原則です。

    ゼロトラストとは、ネットワークの内側だからといって暗黙に信頼せず、東西方向の通信も含めてアクセスのたびに検証するという考え方です。

    横展開対策の文脈でいえば、攻撃者が正規の認証情報でなりすましたとしても、そのワークロードからの通信が業務上許可された経路でなければ遮断される、という防御設計になります。検知と封じ込めのギャップを埋める打ち手として、この東西通信の制御は中核を担います。

    振る舞いで異常な横移動を検知する

    シグネチャで捉えられない以上、横展開はふるまいの異常として検知するしかありません。役割の異なる複数のソリューションを組み合わせ、エンドポイント、ネットワーク、IDの各レイヤーを監視します。

    ● EDR(エンドポイント検知応答):端末上の不審なプロセスの起動や、LSASSへのアクセスといった認証情報窃取の挙動を検知

    ● NDR(ネットワーク検知応答):これまで通信のなかった端末どうしが突然RDPSMBで接続するといった、東西方向の通信の異常を検知

    ● ITDR(アイデンティティ脅威検知応答):IDレイヤーに特化し、Pass-the-HashKerberosの異常といった認証そのものの不審な兆候を検知

    これらの基盤となるのがUEBAUser and Entity Behavior Analytics)です。

    UEBAは、ユーザーとエンティティの行動分析を意味し、平常時のログインの傾向を学習したうえで、そこからの逸脱を異常として検知します。深夜の普段ない時間帯の横方向ログインや、ある利用者が一度もアクセスしたことのない端末への接続などを、統計的な逸脱として浮かび上がらせます。

    シグネチャに依存しないため、正規ツールを悪用する横展開に対して有効です。とくに横展開検知の要となるのが、ITDRActive Directoryの認証ログ監視です。

    横展開のほとんどがAD上の認証を経由する以上、認証ログを継続的に相関分析し、なりすましの兆候を捉える体制が、検知力を左右します。MITRE ATT&CKは各技術のDetectionで、こうした認証ログやプロセス監視による検知の着眼点を技術ごとに示しており、検知ルール設計の出発点になります。

    特権アクセスを最小化する

    横展開の影響は、攻撃者が奪える権限の大きさに比例します。したがって、平常時に露出している特権を減らしておくことが、被害の上限を下げる直接的な対策になります。中心となるのがPAM(特権アクセス管理)です。

    PAMは、管理者権限を常時付与したままにせず、必要なときに、必要な時間だけ、都度払い出す仕組みです。あわせて特権セッションを記録することで、万一悪用された場合の追跡も可能になります。

    攻撃者がメモリから管理者の認証情報を抜き取ろうとしても、そもそも管理者としてログインしている端末が限られていれば、窃取できる材料が減ります。

    構造面では、Tier モデルによる分離が有効です。これは管理対象をTier 0からTier 2に階層化し、ドメインコントローラなどのTier 0資産を扱う管理者アカウントを、一般業務端末では決して使わせない運用です。

    こうすることで、末端の端末が侵害されてもTier 0の認証情報が露出せず、横展開がドメイン掌握まで連鎖するのを断ち切れます。

    加えて、ローカル管理者パスワードをLAPSなどで端末ごとに一意かつ自動管理すれば、1台で窃取したローカル管理者パスワードが他の端末でも通用する、という横展開の典型経路を塞げます。

    攻撃者が侵入する前に初期アクセスの兆候を掴む

    ここまでの対策は、いずれも攻撃者が内部に侵入した後の防御です。しかし先に見たとおり、横展開は初期侵入を許した瞬間に始まり、その初期アクセスの多くは、自社の認証情報がダークウェブに流通した時点ですでに準備されています。

    であれば、最も上流の打ち手は、侵入される前に自社の認証情報や初期アクセスがダークウェブに出回っていないかを把握することです。

    StealthMoleのダークウェブインテリジェンスと認証情報モニタリングは、ダークウェブやディープウェブ上で自社ドメインに紐づく認証情報の流出やIABによる初期アクセスの売買の兆候を可視化します。

    インフォスティーラーに窃取された認証情報がIABの手を経てランサムウェアグループへ渡るまでには、市場で流通する時間差があります。この時間差のあいだに該当アカウントを特定し、認証情報をリセットできれば、攻撃者が横展開を始める前提そのものを崩せます。

    平均29分のブレイクアウトを内部で迎え撃つのは、防御側にとって過酷な勝負です。その手前、ダークウェブで初期アクセスが準備される段階で兆候を掴み、先手を打つことが、横展開を起こさせないための最も効率的な一手になります。

    まとめ

    横展開は、正規の認証情報と正規のツールを使って内部を静かに渡り歩く侵入であり、攻撃者は平均29分という短時間で次の端末へブレイクアウトします。

    正規の経路をたどるがゆえに従来の監視では浮かび上がらず、検知できても即座に封じ込められる企業は17%にとどまる、というのが現在の構造的な課題です。

    この課題に向き合う出発点は、移動の経路を絞ることです。

    マイクロセグメンテーションとゼロトラストの設計で東西通信を制御し、攻撃者が1台を奪っても被害を一区画に閉じ込める備えを整えます。

    そのうえでEDRNDRITDRUEBAを組み合わせ、シグネチャでは捉えられない横移動をふるまいの異常として検知し、PAMTier モデルで奪われる特権そのものを最小化してください。

    そして最も上流では、自社の認証情報がダークウェブに流通していないかを常時監視し、攻撃者が初期アクセスを手にする前に兆候を掴みます。

    こうして、侵入前の兆候把握、侵入後の移動の制限、ふるまいによる検知、特権の最小化が一つの体制としてかみ合うとき、攻撃者にとっての横展開のコストは跳ね上がり、防御側は29分の勝負を侵入される前の段階へと前倒しできます。

    横展開を止める力とは、個々のツールの性能ではなく、初期アクセスの段階から先手を打ち続ける運用の連続性そのものです。





    StealthMoleを試してみましょう!

    ※お申し込みは法人に限定致します。個人でのお申し込みはご遠慮ください。