ラテラルムーブメントとは？ わかりやすく10分で解説

サイバー攻撃は、侵入された時点だけで被害範囲が決まるわけではありません。攻撃者が侵入後に社内ネットワークを探索し、重要なサーバーや認証基盤へ移動すると、情報窃取、業務停止、ランサムウェア被害へ発展しやすくなります。

この侵入後の移動をラテラルムーブメント（水平移動）と呼びます。対策では、侵入を防ぐだけでなく、認証情報の悪用、端末間通信、管理操作の異常を早く検知し、ネットワーク分離、最小特権、端末隔離、認証強化によって被害範囲を抑える設計が必要です。

ラテラルムーブメントとは

ラテラルムーブメント（Lateral Movement）とは、攻撃者が最初に侵入した端末やサーバーを起点に、組織ネットワーク内の別システムへ移動しながら、権限や到達範囲を広げていく行動です。機密情報の窃取、業務停止、身代金要求などの目的に到達するために、攻撃者が内部で移動する工程に当たります。

ラテラルムーブメントは、攻撃者専用の特殊な経路だけで成立するものではありません。組織が日常的に使っているID、権限、リモート管理、ファイル共有、業務アプリケーションが悪用されることで発生します。そのため、侵入を完全に防ぐ前提ではなく、侵入後の拡大を抑え、早期に封じ込める対策が必要になります。

なぜラテラルムーブメントが被害を大きくするのか

侵入直後の端末で攻撃者が得られる情報や権限は限定的な場合があります。そこで攻撃者は、より価値の高いシステムや、より広い権限を持つアカウントへ移動しようとします。

• ファイルサーバーや業務システム：顧客情報、設計情報、契約情報などが保存されている
• 認証基盤や管理系システム：AD、ID基盤、管理サーバー、運用端末などが含まれる
• バックアップ基盤：復旧手段を無力化されると、業務復旧が難しくなる

この工程が進むほど、攻撃者は重要情報や管理権限に近づき、防御側の復旧負担は大きくなります。端末1台の侵害で済むはずだった事案が、組織全体の停止や情報漏えいへ拡大する可能性があります。

典型的な攻撃の流れ

ラテラルムーブメントは、単独の手口ではなく、侵入後の行動が連続して進む工程です。一般的には、次のような流れで発生します。実際の攻撃では順序が前後する場合もあります。

防御側では、特に内部探索から横展開に移る段階で検知し、通信制御や端末隔離によって被害範囲を抑えることが重要です。

ラテラルムーブメントでよく見られるアプローチ

ラテラルムーブメントでは、複数の手法が組み合わされます。単一のセキュリティ製品だけで止めるのではなく、認証、端末、ネットワーク、ログを組み合わせて対策します。

• 認証情報の悪用：盗まれたID、パスワード、セッション情報を使い、正規ユーザーになりすまして移動する
• 管理・運用機能の悪用：リモート管理や管理ツールなど、組織内で許可された手段を悪用する
• マルウェアの展開：侵入後に別端末へマルウェアを配布し、操作対象を増やす
• ソーシャルエンジニアリング：利用者や管理者をだまし、追加の情報や権限を得る

ラテラルムーブメントでは、業務上必要な通信や管理経路が悪用されることがあります。業務で必要な通信と不要な通信を区別し、許可範囲を最小化する設計が必要です。

ラテラルムーブメントを成立させる前提条件

ラテラルムーブメントが起きやすい環境には共通点があります。ツールを導入するだけではなく、権限、ネットワーク、資産管理、ログの前提を整えることで、横展開の難度を上げられます。

• 権限の集中：強い権限が少数のアカウントに集中し、使い回しや兼務によって露出が増えている
• ネットワークの平坦さ：端末間やサーバー間の通信が広く許可され、到達範囲が大きい
• 資産・IDの把握不足：何がどこにあり、誰が何にアクセスできるかを追跡できない
• ログの不足または未活用：認証、アクセス、管理操作を追跡できず、検知が遅れる

これらの前提を放置すると、侵入後の移動を許しやすくなります。ラテラルムーブメント対策では、侵入後に攻撃者が使える経路、権限、認証情報を減らすことが基本になります。

ラテラルムーブメントの検知ポイント

ラテラルムーブメントは、初期侵入の瞬間よりも、侵入後の不自然な認証、通信、管理操作に痕跡が出やすい領域です。検知では、単発のアラートだけでなく、普段の利用状況との差分を確認します。

認証の異常

• 普段使わない端末やサーバーへのログオンが増える
• 短時間に複数の宛先へ認証が発生する
• 権限の大きいアカウントの利用が急に増える
• 通常とは異なる時間帯や場所から管理者アカウントが使われる

認証の異常は、盗まれた認証情報が使われている兆候になり得ます。ID、端末、時刻、接続元、接続先を組み合わせて確認することが必要です。

端末間通信の変化

• 通常は通信しないセグメント間で接続が発生する
• 一般端末から管理系の通信が発生する
• 短時間に複数端末への接続試行が発生する
• ファイル共有やリモート管理系の通信量が増える

端末間通信、いわゆる東西トラフィックの変化は、内部探索や横展開を把握する手がかりになります。ネットワーク境界だけでなく、社内通信の監視も必要です。

管理操作・設定変更の不審点

• セキュリティ設定の無効化や例外追加が行われる
• 新しいアカウントの作成や権限付与が行われる
• ログ取得、監視、バックアップに関わる設定が変更される
• 通常の変更申請にない管理操作が行われる

これらの操作は、攻撃者が再侵入や監視回避のために行う場合があります。管理操作のログを取得し、変更申請や運用記録と照合できる状態にしておく必要があります。

ラテラルムーブメントの基本対策

ラテラルムーブメント対策では、侵入されても横展開しにくい構造を作ります。基本対策は、ネットワーク分離、最小特権、端末監視と隔離、認証強化の4つに整理できます。

ネットワークのセグメンテーション

端末やサーバーを用途、重要度、管理区分で分け、セグメント間通信を必要最小限にします。認証基盤、管理サーバー、ファイルサーバー、バックアップ基盤など、侵害時の影響が大きい領域ほど、到達経路を絞る必要があります。

ネットワーク分離は、単にセグメントを分ければ完了する対策ではありません。業務都合の例外通信が増えると、横展開の経路が残ります。許可通信の棚卸し、例外の期限管理、変更時のレビューを継続します。

最小特権の徹底

最小特権の原則では、利用者やシステムに業務上必要な範囲の権限だけを付与します。管理者権限を常時付与したり、複数用途で使い回したりすると、侵害時の影響範囲が大きくなります。

管理者権限は用途を明確にし、管理専用アカウントを分離します。必要な作業時だけ権限を付与する運用や、特権操作のログ取得、定期的な権限棚卸しも有効です。特権アカウントが侵害されると横展開が急速に進むため、優先して管理します。

エンドポイント監視と隔離

EDRなどのエンドポイント監視は、端末上の不審なプロセス、外部通信、認証試行、ファイル操作を把握するために使います。感染や侵害が疑われる端末を早く隔離できれば、横展開の進行を抑えやすくなります。

重要なのは、検知後の手順です。誰が、どの条件で、どの端末を、どの範囲まで隔離するのかを事前に決めます。判断基準が曖昧だと、封じ込めが遅れ、被害範囲の確認も難しくなります。

認証強化とアカウント保護

ラテラルムーブメントでは、認証情報の悪用が大きなリスクになります。多要素認証、パスワード使い回しの抑止、退職・異動時の権限削除、休眠アカウントの整理により、攻撃者が横展開に使える認証情報を減らします。

特に、VPN、リモートデスクトップ、管理画面、クラウドサービス、認証基盤には優先的に多要素認証を適用します。認証ログを監視し、通常と異なる場所、時間、端末からのアクセスも検知対象にします。

ラテラルムーブメント対策の高度化

基本対策を整えた後は、組織全体の設計として、横展開しにくい構造を作ります。代表的な考え方は、ゼロトラスト、IAM/PAM、攻撃を想定したテストや演習です。

ゼロトラストの考え方を取り入れる

ゼロトラストは、社内ネットワークにいることだけを理由に信頼しない考え方です。アクセス要求ごとに、利用者、端末、権限、接続状況、リスクを確認し、必要な範囲だけアクセスを許可します。

ラテラルムーブメント対策では、ネットワーク境界だけに依存せず、アイデンティティとポリシーでアクセス範囲を制御することが有効です。認証、端末状態、アクセス先の重要度を組み合わせて、内部移動の自由度を下げます。

IAM/PAMを軸に権限の扱いを強化する

横展開は、到達できる権限があって初めて進みます。IAMでIDとアクセス権を整理し、PAMで特権アカウントの利用を可視化・制御します。管理者操作のログ取得、承認、レビューは、検知と抑止の両面で効果があります。

特権アカウントは、共有を避け、個人にひも付けて利用状況を追跡します。権限付与は必要な期間に限定し、作業終了後に失効させます。権限の棚卸しを定期的に実施し、不要な管理権限を残さない運用にします。

攻撃を想定したテストと演習

ペネトレーションテストや演習は、設計上は対策済みと見なしている箇所に、実際の抜けがないかを確認するために有効です。ラテラルムーブメントの観点では、侵入後にどこまで移動できるか、どの段階で検知できるか、隔離と復旧が実行できるかを確認します。

テストや演習は、実施して終わるものではありません。検知できなかった通信、権限設定の不備、隔離判断の遅れ、ログ不足を洗い出し、設定、手順、教育、監視ルールへ反映します。

運用でつまずきやすいポイント

ラテラルムーブメント対策は、設計時点では妥当に見えても、運用で崩れることがあります。特に、例外通信、権限棚卸し、ログ活用、隔離判断は継続的な管理が必要です。

まとめ

ラテラルムーブメントは、攻撃者が侵入後に組織ネットワーク内を移動し、権限や到達範囲を広げる行動です。最初の侵入を完全に防ぐことが難しい以上、侵入後に横展開しにくい構造を作り、広がり始めを早く検知して封じ込める必要があります。

基本対策は、ネットワーク分離、最小特権、エンドポイント監視と隔離、認証強化です。重要資産への到達経路を絞り、特権アカウントの利用を管理し、認証と端末の異常を監視することで、被害範囲を抑えやすくなります。

さらに、ゼロトラスト、IAM/PAM、ペネトレーションテストや演習を組み合わせることで、設計と運用の弱点を確認できます。ラテラルムーブメント対策は、一度設定して終わるものではなく、通信、権限、ログ、隔離手順を継続して見直す運用として扱う必要があります。