IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
ピボッティングとは? 10分でわかりやすく解説
目次
ピボッティングは、攻撃者が侵害済みの端末やサーバーを踏み台にして、内部ネットワーク上の別システムへ到達範囲を広げる手口です。最初の侵入口そのものより、その後にどこまで横展開できるかが被害の大きさを左右します。対策の軸は、足掛かりを作らせにくくすること、侵入後の移動経路を絞ること、異常な移動を早く見つけることの三つです。
- 向いている読み方:内部侵入後の広がり方と、ネットワーク側での防ぎ方を整理したい場面
- 見落としやすい点:境界防御だけでは足りず、内部の到達制御と権限設計まで見直す必要がある
- 先に確認する項目:踏み台になりやすい端末、過剰権限、共有認証情報、セグメント間の不要通信
ピボッティングとは何か
ピボッティングの定義
ピボッティングとは、攻撃者が最初に侵入したシステムを支点にし、そこから別のシステムへ移動して侵害範囲を広げる手口です。公開サーバーや VPN 機器が最初の侵入口であっても、攻撃者の本命はその機器ではなく、内部にある業務サーバー、管理端末、共有ストレージであることが少なくありません。
ラテラルムーブメントとの関係
ピボッティングは、内部での ラテラルムーブメント を進める際に使われる代表的な手口の一つです。ラテラルムーブメントが「内部で別システムへ移動する行為全体」を指すのに対し、ピボッティングは「侵害済みシステムを中継点や踏み台として使う」という色合いが強くなります。
攻撃者がピボッティングを使う目的
| 到達範囲の拡大 | 外部から直接見えない内部サーバーや端末へ届くために使われます。 |
|---|---|
| 権限の拡大 | より強い権限を持つアカウントや管理端末へ近づくために使われます。 |
| 重要資産への到達 | データベース、ファイルサーバー、認証基盤、管理基盤などを狙う経路として使われます。 |
| 痕跡の分散 | 複数のシステムを経由することで、侵入経路や意図を追いにくくする狙いがあります。 |
ピボッティングが進む流れ
1. 最初の足掛かりを得る
攻撃者は、公開サーバー、リモートアクセス環境、VPN 機器、利用者端末などの 脆弱性 や認証不備を突いて最初の侵入に成功します。ここで押さえるべき点は、最初の侵入点がそのまま最終目標とは限らないことです。
2. 情報収集を行う
侵入後は、ネットワーク構成、接続先、共有フォルダー、保存済み資格情報、管理ツールの有無などを調べます。どこへ到達できるか、どの認証情報が使えそうか、どの端末が管理経路として使えそうかを見極める段階です。
3. 権限や到達経路を増やす
攻撃者は、得た認証情報や設定不備を使って別のシステムへ接続し、さらに権限の高いアカウントや端末を狙います。使い回しパスワード、過剰権限、広すぎる共有設定があると、この段階が進みやすくなります。
4. 横展開を繰り返す
新たに侵害したシステムをさらに踏み台として使い、内部ネットワーク内での移動を続けます。これにより、当初の侵入点からは直接届かなかったシステムにも手が届くようになります。
5. 重要システムやデータへ到達する
最終的には、顧客情報、人事情報、設計情報、認証基盤、バックアップ、管理コンソールなどの重要資産が狙われます。ここまで進むと、情報窃取、改ざん、ランサムウェア 展開などの被害へつながりやすくなります。
ピボッティングで起きやすいリスク
機密情報の漏えい
ピボッティングによって内部の重要システムまで到達されると、顧客情報、契約情報、設計資料、認証情報などが持ち出される可能性があります。最初の侵入口が小さく見えても、そこから重要資産へ届く経路があれば被害は大きくなります。
システム改ざんと業務停止
データの改ざん、設定変更、バックアップ削除、サービス停止などが起きると、情報漏えいだけで終わりません。業務継続そのものが損なわれるため、影響は長引きやすくなります。
検知の遅れ
内部での通信は正規の管理ツールや共有機能を悪用する形を取りやすく、外部境界だけを見ていると不審な移動を捉えにくくなります。これが、発見時にはすでに複数システムが侵害されている理由の一つです。
二次被害の拡大
情報漏えい後の取引停止、業務再開の遅延、調査コスト、対外説明、信用低下まで含めると、ピボッティングの被害は単一システム障害より重くなりがちです。
ピボッティング対策
ネットワーク分離とセグメンテーション
効きやすい対策の一つは、内部ネットワークを分け、セグメント間の通信を必要最小限にすることです。侵入されても自由に横断できない構成にすれば、踏み台の価値を下げられます。単に VLAN を分けるだけでは足りず、どのセグメントからどこへ通信できるかを明示的に制御する必要があります。
重要システムの隔離
認証基盤、バックアップ基盤、管理端末、重要データを持つサーバーは、一般利用端末と同じ到達圏に置かない方が安全です。管理経路を限定し、日常利用端末から直接届かない構成にすると、侵入後の広がりを抑えやすくなります。
最小特権の原則に沿った権限管理
過剰権限は、ピボッティングの加速要因です。端末や利用者が不要な共有へアクセスできる、管理者権限を広く持つ、退職者や異動者の権限が残る、といった状態では、攻撃者が使える経路が増えます。権限付与は業務単位で絞り、不要な権限は早く削除する必要があります。
多要素認証と認証情報管理
ピボッティングでは、盗んだ認証情報が横展開の燃料になります。多要素認証を導入し、使い回しパスワードや共有アカウントを減らし、管理者アカウントの利用を分離すると、次の足掛かりを得にくくできます。
ログ監視と異常検知
侵入後の横移動を早く捉えるには、認証ログ、接続ログ、管理操作ログを継続的に見る必要があります。特に、短時間での多数接続、通常使わない管理ツールの実行、深夜帯の横断的アクセスなどは要注意です。監視基盤としては IDS、IPS、SIEM のような仕組みを組み合わせることが多くなります。
継続的な棚卸し
セグメント設計や権限設定は、一度作って終わりではありません。新しいシステム追加、部門再編、例外設定の積み重ねで、到達経路はすぐに広がります。定期的に「どこからどこへ届くか」を見直さないと、防いでいるつもりでも横断経路が残ります。
対策を進める順番
| 最初にやること | ネットワーク構成、管理経路、共有設定、権限を棚卸しし、踏み台になりやすいシステムを洗い出します。 |
|---|---|
| 次にやること | 重要システムの隔離、セグメント間通信の制限、管理者権限の整理を進めます。 |
| 並行してやること | 多要素認証、ログ監視、脆弱性対応、教育、インシデント対応体制の整備を進めます。 |
まとめ
ピボッティングは、侵害済みのシステムを踏み台にして内部ネットワーク内の別システムへ到達範囲を広げる手口です。問題は最初の侵入そのものより、その後にどこまで広がれるかにあります。したがって、対策の中心は、内部の到達経路を絞ること、過剰権限を減らすこと、横展開の兆候を早く見つけることです。境界防御だけで止めようとすると、侵入後の広がりを見落としやすくなります。
Q.ピボッティングとはどのような攻撃ですか?
A.一度侵入に成功したシステムを踏み台にして、内部ネットワーク内の別システムへ侵害範囲を広げる手口です。
Q.ピボッティングとラテラルムーブメントの違いは何ですか?
A.ラテラルムーブメントが内部での移動行為全体を指すのに対し、ピボッティングは侵害済みシステムを支点として使う色合いが強い手口です。
Q.なぜピボッティングは検知が難しいのですか?
A.内部の正規経路や管理機能を悪用することが多く、外部境界だけの監視では不審な移動として見えにくいためです。
Q.最初に狙われやすいシステムは何ですか?
A.公開サーバー、VPN 機器、リモートアクセス環境、利用者端末など、外部から到達可能で管理が甘い場所が足掛かりになりやすくなります。
Q.ピボッティングの主な目的は何ですか?
A.重要システムや機密データへ到達し、情報窃取、改ざん、ランサムウェア展開などを行うことです。
Q.ネットワークセグメンテーションが有効な理由は何ですか?
A.侵害されたシステムから別セグメントへ自由に移れない構成にすることで、横展開の経路を減らせるためです。
Q.アクセス権限の管理はどう役立ちますか?
A.最小権限を徹底すると、侵害されたアカウントや端末から届く範囲が狭くなり、攻撃の拡大を抑えやすくなります。
Q.ログ監視では何を見ればよいですか?
A.深夜帯の不自然なログイン、短時間での多数接続、通常使わない管理ツールの実行、横断的なアクセス増加などを重点的に見ます。
Q.ビジネス上の影響には何がありますか?
A.情報漏えい、業務停止、復旧コスト増加、信用低下、対外説明負担の増加などが生じる可能性があります。
Q.ピボッティング対策の第一歩は何ですか?
A.現在のネットワーク構成、管理経路、共有設定、権限を把握し、どこが踏み台や横展開の経路になり得るかを洗い出すことです。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
