ラテラルムーブメントとは？ わかりやすく10分で解説

サイバー攻撃は「侵入された時点で終わり」ではなく、侵入後にどこまで内部へ広がるかで被害の深刻さが決まります。この記事では、侵入後の代表的な行動であるラテラルムーブメント（水平移動）を取り上げ、仕組み・典型的な流れ・検知の勘所・対策を、現場で判断できる粒度で整理します。

ラテラルムーブメントとは

ラテラルムーブメント（Lateral Movement）とは、攻撃者が最初に侵入した端末やサーバーを起点に、組織ネットワーク内の別のシステムへと移動しながら権限や到達範囲を広げていく一連の行動を指します。最終目的（機密情報の窃取、業務停止、身代金要求など）に到達するために、攻撃者が「横方向」に足場を広げる工程です。

重要なのは、ラテラルムーブメントは「特別な裏技」ではなく、組織が日常的に使う認証・共有・管理の仕組み（ID、権限、リモート管理、ファイル共有、業務アプリなど）が、悪用されることで成立しうる点です。つまり、侵入を100%防ぐのが難しい以上、「侵入後に広がらせない」「広がり始めを早く見つける」ことが被害抑止の主戦場になります。

なぜラテラルムーブメントが被害を大きくするのか

侵入直後の端末（例：一般社員のPC）だけで攻撃者が得られる価値は限定的なことが多く、攻撃者はより価値の高い場所へ移動します。代表例は、次のような「価値が集中する地点」です。

• ファイルサーバーや業務システム（顧客情報、設計情報、契約情報など）
• 認証基盤や管理系（AD/ID基盤、管理サーバー、運用端末など）
• バックアップ基盤（復旧手段の無力化を狙われやすい）

この工程が進むほど、攻撃者は監視回避に有利になり、同時に防御側の復旧コストは跳ね上がります。結果として「一部端末の侵害」から「組織全体の停止」へと被害が連鎖します。

典型的な攻撃の流れ

ラテラルムーブメントは、単独の手口というより「侵入後の行動の連続」です。一般的には、次のような順序で進みます（※あくまで概念図であり、順序は前後します）。

1. 初期侵入（メール、脆弱性、認証情報の漏えいなどで最初の足場を得る）
2. 内部探索（どこに重要資産があるか、どのアカウントで届くかを探る）
3. 権限・到達範囲の拡大（より強い権限、より広いアクセスを得る）
4. 横展開（複数端末・複数サーバーへ移動し、持続性や影響範囲を広げる）
5. 目的達成（窃取、破壊、暗号化、恐喝など）

防御の観点では、特に「内部探索〜横展開」の段階で検知・封じ込めができるかが分岐点になります。

ラテラルムーブメントでよく見られるアプローチ

実際の現場では、次のようなアプローチが組み合わさることが多く、単一の対策だけで止めるのは困難です。

• 認証情報の悪用：盗まれたID/パスワードやセッション情報等を使い、正規ユーザーになりすまして移動する
• 管理・運用機能の悪用：組織内で許可されている管理手段を悪用し、別ホストへ操作を広げる
• マルウェア等の展開：侵入後に別端末へ感染を広げ、操作点や持続性を増やす
• 人を起点に広げる：不審な連絡や誘導で追加の情報・権限を得る（ソーシャルエンジニアリング）

ここでのポイントは、「攻撃者だけが使える特殊な仕組み」ではなく、組織の運用上“便利だから存在する経路”が、結果として横展開の通路になりやすいということです。

ラテラルムーブメントを成立させる前提条件

ラテラルムーブメントが起きやすい組織には共通する前提があります。対策はツール導入だけでなく、前提そのものを整えるほど効果が上がります。

• 権限の集中：強い権限が少数アカウントに集まり、使い回しや兼務で露出が増えている
• ネットワークの平坦さ：端末間・サーバー間の通信が広く許可され、到達範囲が大きい
• 資産・IDの把握不足：何がどこにあり、誰が何にアクセスできるかが追えない
• ログの不足/未活用：認証・アクセス・管理操作が追跡できず、検知が遅れる

この「前提」をつぶすことが、そのままラテラルムーブメントの難易度を引き上げます。

検知のポイント

ラテラルムーブメントは「侵入の瞬間」よりも、「侵入後の不自然な動き」に痕跡が出やすい領域です。検知では、次の観点が有効です。

認証の異常

• 普段使わない端末・サーバーへのログオンが増える
• 短時間に複数の宛先へ認証が発生する（横展開の探索・試行の可能性）
• 権限の強いアカウントの利用が急に増える

端末間通信（東西トラフィック）の変化

• 通常は通信しないセグメント間で接続が発生する
• 管理系の通信が一般端末から発生する

管理操作・設定変更の不審点

• セキュリティ設定の無効化、例外追加、監視回避を疑う変更
• アカウント作成・権限付与などの「将来の再侵入に効く」操作

これらは単体で即断できないことも多いため、「誰が・いつ・どこへ・何をしたか」を追えるログ設計と、アラートの優先順位付けが重要です。

ラテラルムーブメントの基本的な対策

基本対策は、派手さはありませんが「横に広がる前提」を確実に潰すために効きます。特に、次の4本柱を優先すると整理しやすくなります。

ネットワークのセグメンテーション

端末やサーバーを用途・重要度で区切り、セグメント間通信を必要最小限にします。重要資産（認証基盤、ファイルサーバー、バックアップ、運用管理）ほど、到達経路を絞ることが効果的です。セグメンテーションは「分ける」だけでなく、「例外を増やしすぎない運用」が成否を分けます。

最小特権の徹底

強い権限を「常時持つ」状態を減らします。管理者権限は用途を明確化し、利用時だけ付与する運用や、管理専用アカウントの分離などで露出を下げます。特権アカウントが突破されると横展開が一気に進むため、ここは投資対効果が高い領域です。

エンドポイント監視と隔離

端末での異常兆候を把握し、感染・侵害が疑われる端末を迅速に隔離できる状態を作ります。重要なのは「検知」だけではなく、封じ込めまでの時間を短くすることです。手順（誰が、何を根拠に、どこまで遮断するか）まで運用に落ちているほど効果が上がります。

認証強化とアカウント保護

認証情報の悪用を難しくします。多要素認証（MFA）や、使い回しの抑止、退職・異動時の権限棚卸し、パスワード運用の見直しなどは、横展開の最頻出の足場を弱らせます。

ラテラルムーブメント対策の高度化戦略

基本対策を土台にしたうえで、組織全体の設計として「横展開しにくい構造」を作るのが高度化です。ここでは代表的な考え方を整理します。

ゼロトラストの考え方を取り入れる

「社内だから安全」という前提を置かず、アクセス要求ごとに本人性・端末状態・権限・状況を確認する発想です。ネットワーク境界ではなく、アイデンティティとポリシーで横展開を抑えます。

ゼロトラストについては以下の記事で詳しく解説しています。
ゼロトラストとは？ 境界型セキュリティに変わる概念で情報資産を守ろう

IAM/PAMを軸に「権限の扱い」を強くする

横展開は「到達できる権限」があって初めて成立します。IDおよびアクセス管理（IAM）でアクセス制御を整理し、特権アクセス管理（PAM）の考え方で強い権限の利用を可視化・制御します。特に、管理者操作のログ取得とレビューは、検知・抑止の両面で効きます。

攻撃を前提にした検証（テスト/演習）

ペネトレーションテストや演習は、「理屈では対策しているつもり」の穴を現実の手触りで見つけるために有効です。重要なのは実施自体ではなく、検知・封じ込め・復旧の一連が回るか、そして改善が継続できるかです。

ペネトレーションテストについては以下の記事で詳しく解説しています。
ペネトレーションテストとは？ わかりやすく10分で解説

運用でつまずきやすいポイント

• 例外だらけのセグメンテーション：分けたつもりでも、業務都合の例外が増えると横展開経路が復活する
• 権限棚卸しが形骸化：退職・異動・兼務の影響で、不要な権限が積み上がる
• ログはあるが見ていない：収集・保管だけで満足し、検知ルールやアラートの運用が回らない
• 隔離判断が遅い：誰が決めるか不明確で、横展開が進むまで止められない

対策の完成度は、設計よりも「例外を増やさない力」「継続して回す力」で決まりやすいのが現実です。

まとめ

ラテラルムーブメントは、侵入後に被害を拡大させる代表的な行動です。侵入の完全阻止が難しい以上、横に広がらせない設計と、広がり始めを早く見つけて封じ込める運用が重要になります。

セグメンテーション、最小特権、端末監視と隔離、認証強化といった基本対策を土台に、ゼロトラストやIAM/PAM、テスト/演習で「現実に効く状態」へ近づけていくことが、ラテラルムーブメント対策の近道です。