横移動攻撃は、ネットワーク内のあるデバイス、アプリケーション、またはアカウントから別のデバイスへ「横方向」に移動することを伴います。攻撃者が組織のネットワークへの不正アクセスを獲得すると、横方向への移動により、データの盗難、ランサムウェア攻撃、その他の悪意のある活動など、目的に向かって密かに、かつ検知されないように移動することができます。
このような攻撃は、多くの場合、盗まれた認証情報から始まり、通常のネットワーク・トラフィックのように見えるため、検出が困難な場合があります。攻撃者はその後、情報を収集し、アクセスや権限をエスカレートさせることができるため、検知はさらに難しくなります。
組織は、データの損失を防ぎ、横移動攻撃の影響を最小限に抑えるために、侵入者を迅速に検出し、排除する必要があります。
横移動攻撃の仕組み
横移動攻撃は、通常3つの段階から始まります。
-
偵察:攻撃者はターゲット・ネットワークを観察し、マップを作成する。ユーザー、デバイス、オペレーティング・システム、潜在的な脆弱性に関する情報を収集します。
-
クレデンシャルの窃盗:ネットワーク内を移動するための有効なログイン認証情報を入手することが重要なステップです。攻撃者は、ソーシャル・エンジニアリングによってユーザーを騙して認証情報を共有させたり、キーロギング・ツールを使用して認証情報を直接盗んだり、あるいはダーク・ウェブ・マーケットプレイスからすでに盗まれたパスワードを購入することもあります。
-
初期アクセスの獲得:攻撃者が正規の認証情報にアクセスできるようになると、単純にネットワークにログインできるようになります。ネットワーク内に入ったら偵察のプロセスを繰り返し、ターゲットに向かって横方向に移動する方法を計画する。ここからの目標は、移動し続け、さらなるアクセスと権限を獲得することである。
実際のケース米国州政府への侵入
横移動攻撃の最近の実例として、元従業員の漏えいした認証情報を使用して、米国州政府の組織のネットワークが侵害されたことがあります。攻撃者は、元従業員の認証情報を使用して、内部の仮想プライベート・ネットワーク(VPN)への認証に成功しました。
そこから仮想マシンにアクセスし、正規のトラフィックに紛れ込んで検知を回避した。その後、攻撃者は別の管理者アカウントにアクセスすることで権限を昇格させ、機密データを流出させました。
攻撃者は検知を回避し、より多くのシステムにアクセスを拡大することができたため、この攻撃では横方向の移動が重要な役割を果たしました。ネットワーク内に侵入すると、攻撃者は侵害された仮想マシンを使用して、仮想化されたSharePointサーバーに保存された一連の認証情報にアクセスしました。
これらの認証情報は、オンプレミスのネットワークとAzure Active Directoryの両方に対する管理者権限を持っていました。
これらの認証情報を使って、攻撃者は被害者のオンプレミス環境を探索し、ドメインコントローラに対してクエリを実行することができました。
侵害された認証情報はなぜハッカーにとって重要なのでしょうか?
認証情報とパスワードは、横移動攻撃において重要な役割を果たします。攻撃者は、有効なログイン認証情報を入手することを目的としています。これは、警告や疑念を招くことなく組織のシステムにアクセスできることを意味するからです。
この最初の足がかりが、ネットワークを探索し、機密データにアクセスし、追加のホストを侵害し、権限をエスカレートさせるチャンスを与えるのです。
盗まれた認証情報は、攻撃者にネットワークへの永続的かつ長期的なアクセスのためのプラットフォームを提供します。一旦内部に侵入すると、正規のユーザーになりすまし、管理者アクセス権を獲得し、他のシステムへ横移動することができます。
この持続性により、攻撃者は制御を維持し、活動を継続し、長期間にわたってさらなる攻撃を行うことができます。
今現在、何人のエンド・ユーザーが漏えいしたパスワードを使用しているか知りたいですか?無料の監査ツールでActive Directoryの読み取り専用スキャンを実行してください:Specops Password Auditorをご利用ください。
攻撃者が認証情報を盗む方法
攻撃者はパスワードを盗むために様々なテクニックやツールを持っています。ここでは、よく使われる4つの方法を紹介します。
ソーシャルエンジニアリング: フィッシングやタイポスクワッティングなど、ハッカーがクレデンシャルを盗むために使用できるソーシャルエンジニアリングのテクニックがいくつかあります。目的は常に、ユーザーを騙して進んでパスワードを共有させることです。
キーロガー:攻撃者は、悪意のあるリンクや感染したファイルを含むフィッシングメールを通じて、キーロガー・プログラムを展開します。被害者のデバイスにインストールされると、キーロガーはすべてのキー入力を記録し、その情報を攻撃者に送信します。これには、パスワードやログイン認証情報も含まれます。
パスザチケット:Mimikatzのようなツールを使ってKerberos認証チケットを抽出すると、攻撃者はユーザーのパスワードを必要とせずに認証を行うことができます。pass-the-ticket攻撃では、悪意のある行為者が正規ユーザーになりすますためにKerberosチケットを傍受し、再利用します。
パス・ザ・ハッシュ:攻撃者は、認証されたパスワードのハッシュをキャプチャし、それを使用してローカルおよびリモートのデバイスや仮想マシンにログインすることができます。これにより、ハッシュを復号化することなくシステムに不正アクセスできるようになる。
組織を守るには
ラテラル・ムーブメント・アタックの被害に遭う可能性を減らすために、組織としてできる対策がいくつかあります:
-
強力なパスワード・ポリシーを導入する。 例えば、15文字以上のランダムなパスフレーズを作成するようエンドユーザーに奨励する。
-
すべてのユーザーアカウントに多要素認証を導入する。
-
システムおよびソフトウェアの定期的な更新とパッチ適用により、脆弱性を排除する。
-
フィッシング攻撃やソーシャル・エンジニアリングの手口について従業員を教育するためのセキュリティおよび意識向上トレーニング
-
ネットワーク・トラフィックを監視し、侵入検知・防止システムを使用して不審な活動を検知・ブロックし、ログを分析して横の動きの兆候を見つける。
-
脅威探索テクニックを使用して、隠れた脅威を積極的に探索する。
-
ネットワーク・セグメンテーションを導入し、攻撃者の横の動きを制限する
-
潜在的な侵害を迅速に検出、調査、修復するためのインシデント対応計画を策定する。
漏洩したクレデンシャルからActive Directoryを保護する
横移動攻撃に対する最も重要な対策の1つは、Active Directoryに漏洩したクレデンシャルがないか確認することです。 Specopsパスワードポリシーと漏洩パスワード保護機能は、40億件を超える漏洩パスワードのデータベースとActive Directoryを毎日照合します。
これには、既知の漏洩パスワード、ブルートフォースアタックをリアルタイムで監視する攻撃監視システム、さらに人間が主導する脅威インテリジェンスチームによるマルウェア盗難データが含まれます。
危殆化した認証情報はハッカーにとって絶好のチャンスです。
パスワードセキュリティの強化について、スペコプス・ソフトウェアのエキスパートにご相談ください。
Specops Softwareがスポンサーとなり、執筆しました。
Comments