対象試験と出題頻度
ラテラルムーブメント(Lateral Movement)は、情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験で出題される可能性がある用語です。
頻出度はランクC(余裕があれば覚える)ですが、情報セキュリティマネジメント試験のシラバスver4.0で追加された比較的新しい用語であり、今後の出題が予想されます。
詳細をクリックして確認
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★☆☆☆
ランクC(余裕があれば覚える)
用語の定義
ラテラルムーブメント(Lateral Movement)とは、一言で言うと「攻撃者がネットワークに侵入した後、内部を『水平方向(横方向)』に移動しながら、侵害範囲を段階的に拡大していく攻撃手法」のことです。「水平展開」「横展開」とも呼ばれます。
「ラテラル(Lateral)」は英語で「横の」「側面の」という意味です。攻撃者がネットワーク内を「縦」ではなく「横」に移動するイメージから、この名前がつきました。
イメージとしては、「泥棒が一度建物に侵入した後、1階の部屋から隣の部屋へ、そしてまた隣の部屋へと移動しながら、最終的に金庫室にたどり着く」ようなものです。
最初に侵入する場所は必ずしも重要な場所ではありませんが、そこを足がかりにして、より価値のある目標(機密情報、管理者権限など)へと近づいていきます。
📊 ラテラルムーブメントのイメージ
| 段階 | 攻撃者の行動 |
|---|---|
| ①初期侵入 | フィッシングメールなどで従業員のPCに侵入(足がかり確保) |
| ②偵察 | ネットワーク構造を調査し、重要システムの場所を特定 |
| ③権限昇格 | 認証情報を盗み、より高い権限(管理者など)を獲得 |
| ④横移動 | ネットワーク内を水平移動し、機密情報や基幹システムに到達 |
解説
ラテラルムーブメントは、APT攻撃(高度で持続的な脅威)やランサムウェア攻撃でよく使われる手法です。
攻撃者は最初から重要なシステムを直接狙うのではなく、まずセキュリティの弱い端末(従業員のPCなど)に侵入し、そこを「踏み台」にして内部ネットワークを探索します。
この攻撃手法が厄介なのは、「正規のユーザーになりすまして行動する」点にあります。攻撃者は従業員のアカウント情報を盗み、そのアカウントを使って他のシステムにアクセスします。正規ユーザーの認証情報を使っているため、セキュリティシステムからは「通常の業務活動」に見え、検知が非常に困難です。
ラテラルムーブメントの具体的な流れ
攻撃者がネットワークに侵入してから目標に到達するまでの流れを、もう少し詳しく見てみましょう。
- ①初期侵入:フィッシングメール、マルウェア感染、VPNの脆弱性悪用などで、組織のネットワークに最初の足がかりを確保。この時点では一般従業員のPCなど、それほど重要でない端末が標的になることが多い。
- ②ネットワーク偵察:侵入した端末から、ネットワーク構造を調査。どこに重要なサーバーがあるか、どのアカウントが高い権限を持っているかを特定する。
- ③認証情報の窃取と権限昇格:キーロガー、パスワードダンプツールなどで認証情報を盗む。「Pass-the-Hash」などの手法で、パスワードそのものを知らなくても他のシステムに認証できるテクニックも使われる。
- ④横移動(ラテラルムーブメント):盗んだ認証情報を使い、リモートデスクトップ(RDP)、SSH、PowerShellなどの正規の管理ツールを悪用して、ネットワーク内を水平移動。最終目標である機密情報や基幹システムに到達する。
- ⑤目的の達成:機密情報の窃取、ランサムウェアの展開、システムの破壊など、攻撃者の最終目的を実行。
💡 ラテラルムーブメントがなぜ危険なのか?
ラテラルムーブメントの脅威が深刻な理由は、「境界防御を突破された後の内部防御が弱い」企業が多い点にあります。多くの組織はファイアウォールやIDS/IPSなど「外から内への侵入」を防ぐことに注力していますが、一度内部に入られると、ネットワーク内での移動を制限する仕組みが不十分なケースが少なくありません。
また、正規の認証情報や管理ツールを使われるため、不正な活動と正常な業務活動の区別がつきにくく、APT攻撃では数ヶ月〜数年にわたって発見されないこともあります。
ラテラルムーブメントへの主な対策
この攻撃手法への対策は、「侵入を防ぐ」だけでなく、「侵入された後の被害拡大を防ぐ」視点が重要です。
- 多要素認証(MFA)の導入:パスワードだけでなく、スマートフォンや生体認証など複数の要素で認証。認証情報が盗まれても不正ログインを防止できる。
- 最小権限の原則:各ユーザーには業務に必要最小限の権限のみを付与。管理者権限を持つアカウントを厳格に管理し、攻撃者が高い権限を獲得しにくい環境を作る。
- ネットワークセグメンテーション:ネットワークを機能別・重要度別に分割し、セグメント間の通信を制限。横移動の範囲を限定する。
- EDR(Endpoint Detection and Response)の導入:端末の挙動をリアルタイムで監視し、不審な活動を検知。攻撃の早期発見と封じ込めを可能にする。
- ゼロトラストセキュリティ:「すべてを疑い、継続的に検証する」アプローチ。内部ネットワークであっても信頼せず、常に認証・認可を要求する。
⚠️ 試験ではここまででOK
「Pass-the-Hashとか、具体的な攻撃テクニックまで覚える必要ある?」と不安に思った方もいるかもしれません。試験対策としては、「ラテラルムーブメント=侵入後にネットワーク内を横方向に移動して被害を拡大する攻撃手法」「正規の認証情報を悪用するため検知が困難」という2点を押さえておけば十分です。
具体的な攻撃テクニック名(Pass-the-Hash等)や対策ツール名(EDR等)までは、基本情報やセキュリティマネジメント試験では出題されにくいでしょう。
試験ではこう出る!
ラテラルムーブメントは、情報セキュリティマネジメント試験のシラバスver4.0で追加された用語です。APT攻撃やランサムウェア攻撃の仕組みを問う問題で、攻撃の一段階として登場する可能性があります。
【重要キーワード】
- 侵入後のネットワーク内「横移動」「水平展開」
- 権限昇格しながら段階的に侵害範囲を拡大
- 正規の認証情報・管理ツールを悪用
- 検知が困難で長期間潜伏
- APT攻撃 / ランサムウェア攻撃で使われる手法
試験問題で「攻撃者が組織内ネットワークに侵入後、内部を水平方向に移動しながら侵害範囲を拡大する」や
「最初に侵入したシステムを踏み台にして、組織内の他のシステムへ感染を拡大させていく活動」といった記述があれば、それは「ラテラルムーブメント」に関する記述です。
📊 ラテラルムーブメントと関連する攻撃用語
| 用語 | 意味 |
|---|---|
| ラテラルムーブメント | 侵入後にネットワーク内を横移動して侵害範囲を拡大 |
| 権限昇格 | より高い権限(管理者権限など)を不正に獲得すること |
| APT攻撃 | 高度で持続的な標的型攻撃。ラテラルムーブメントを含む |
| C&Cサーバー | 攻撃者が侵入した端末に指令を送るための外部サーバー |
📝 IPA試験での出題ポイント
ラテラルムーブメントは「標的型攻撃」「APT攻撃」「ランサムウェア」の文脈で出題される可能性があります。「侵入→偵察→権限昇格→横移動→目的達成」という攻撃の流れの中で、「横移動」の部分がラテラルムーブメントだと理解しておきましょう。
また、対策として「ゼロトラスト」「ネットワークセグメンテーション」「EDR」などが問われる可能性もあります。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. ラテラルムーブメント(Lateral Movement)に関する説明として、最も適切なものはどれでしょうか?
- A. 外部から組織のネットワークに侵入するために、ファイアウォールの脆弱性を突く攻撃手法
- B. マルウェアが感染したPCのデータを暗号化し、身代金を要求する攻撃手法
- C. 攻撃者が組織のネットワークに侵入した後、内部を横方向に移動しながら侵害範囲を段階的に拡大していく攻撃手法
正解と解説を見る
正解:C
解説:
ラテラルムーブメント(Lateral Movement、水平展開)とは、攻撃者がネットワークに侵入した後、内部を横方向に移動しながら、侵害範囲を段階的に拡大していく攻撃手法です。攻撃者はまずセキュリティの弱い端末に侵入し、そこを足がかりにして認証情報を盗み、より高い権限を獲得しながら、最終目標である機密情報や基幹システムへの到達を目指します。正規の認証情報や管理ツールを悪用するため検知が困難という特徴があります。
選択肢Aは「外部からの侵入」の説明であり、ラテラルムーブメントは侵入「後」の活動です。選択肢Bは「ランサムウェア」の説明であり、ランサムウェア攻撃ではラテラルムーブメントが使われることもありますが、両者は異なる概念です。
