横展開(Lateral Movement)
横展開(Lateral Movement) とは何ですか?
横展開(Lateral Movement)侵害したホストから環境内の他システムへと攻撃者が横移動するための手法をまとめた MITRE ATT&CK 戦術(TA0008)。
横展開(MITRE ATT&CK 戦術 TA0008)は、攻撃者が初期侵入ホストから他のシステム・アカウント・クラウドテナントへと足場を広げるためのテクニック群です。pass-the-hash、pass-the-ticket、overpass-the-hash、RDP・SSH セッションの乗っ取り、SMB・WinRM・WMI・PsExec などのリモートサービスの悪用、Cobalt Strike などのツールの利用、有効な OAuth・SAML トークンのクラウド API への再利用などが代表的です。ホスト境界を越える行為が多いため、テレメトリ上では最も「目立つ」段階の 1 つとされます。防御側はネットワークセグメンテーション、ID 階層化、Just-in-Time 管理、リモートプロトコルでの MFA、複数ホスト間での EDR 相関、SMB/RPC ピボット向けの Sigma/MDE 検知を組み合わせます。
● 例
- 01
窃取した NTLM ハッシュを用いた pass-the-hash でファイルサーバに認証する。
- 02
RDP セッション Cookie を盗み、ワークステーションから踏み台サーバへ移動する。
● よくある質問
横展開(Lateral Movement) とは何ですか?
侵害したホストから環境内の他システムへと攻撃者が横移動するための手法をまとめた MITRE ATT&CK 戦術(TA0008)。 サイバーセキュリティの 防御と運用 カテゴリに属します。
横展開(Lateral Movement) とはどういう意味ですか?
侵害したホストから環境内の他システムへと攻撃者が横移動するための手法をまとめた MITRE ATT&CK 戦術(TA0008)。
横展開(Lateral Movement) からどのように防御しますか?
横展開(Lateral Movement) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
横展開(Lateral Movement) の別名は何ですか?
一般的な別名: ピボット, 内部移動。