権限昇格/横展開とは?
権限昇格/横展開とは、攻撃者がネットワークやシステムに最初に侵入した後、より高い権限(管理者権限など)を獲得すること(権限昇格)と、侵入したシステムから他のシステムやネットワークセグメントに移動して攻撃範囲を拡大すること(横展開)を指します。横断テクニック(広く使われる攻撃手口)として、ほぼすべての高度なサイバー攻撃で使用される、侵入後の必須技術です。
権限昇格/横展開は、攻撃の「第二段階」です。攻撃者は、フィッシングメールやマルウェア、脆弱性の悪用などで、まず一台のパソコンや一つのアカウントに侵入します。しかし、最初の侵入地点は通常、一般社員のパソコンや限定的な権限のアカウントであり、攻撃者の最終目的(機密データの窃取、ランサムウェアの展開、システムの破壊など)を達成するには不十分です。そこで、権限昇格によって管理者権限を獲得し、横展開によって重要なサーバーやデータベースにアクセスできる状態を作り出します。
権限昇格には、「垂直的権限昇格」と「水平的権限昇格」があります。垂直的権限昇格は、一般ユーザーから管理者へと、より高い特権レベルに昇格することです。水平的権限昇格は、同じ権限レベルの別のユーザーのアカウントを乗っ取ることです。例えば、営業部のAさんのアカウントを使って、同じ一般ユーザーである経理部のBさんのアカウントにアクセスするケースです。
横展開は、「ラテラルムーブメント(Lateral Movement)」とも呼ばれ、ネットワーク内を水平方向に移動することを意味します。攻撃者は、最初に侵入したパソコンから、共有フォルダ、Active Directory、リモートデスクトップ、ネットワーク上の脆弱性などを悪用して、他のパソコンやサーバーに移動します。そして、より価値の高い情報が保存されている場所(財務サーバー、顧客データベース、バックアップサーバーなど)を探し当てるまで、横展開を繰り返します。
横断テクニック(広く使われる攻撃手口)として、権限昇格/横展開は、標的型攻撃(APT)、ランサムウェア攻撃、データ窃取など、あらゆる高度な攻撃で使用されます。2021年のMandiantの報告によると、侵入者がネットワーク内で最初の偵察から横展開、そして目的達成まで平均で約3週間滞在していました。この間、攻撃者は検知されないように慎重に権限昇格と横展開を繰り返します。
権限昇格/横展開が成功すると、攻撃者はネットワーク内で「神」のような存在になります。すべてのファイルにアクセスでき、すべてのシステムを制御でき、ログを改ざんして痕跡を消すこともできます。企業の中枢を完全に掌握され、甚大な被害が発生します。
権限昇格/横展開を簡単に言うと?
泥棒がアパートに侵入する様子を想像してください。泥棒はまず、1階の窓の鍵が開いていることを発見し、そこから建物内に入ります(初期侵入)。しかし、泥棒の目的は1階の一般的な部屋ではなく、最上階にある金庫や、管理人室にある全ての部屋の合鍵です。
そこで泥棒は、1階の住人の部屋から管理人の制服を見つけて着用し、管理人になりすまします(権限昇格)。または、廊下を移動して他の部屋のドアを順番に試し、開いているドアを見つけて次々と侵入していきます(横展開)。ある部屋で階段へのアクセスキーを見つければ、上の階に移動できます。別の部屋でマスターキーを見つければ、建物内のすべての部屋に入れます。
デジタルの世界では、攻撃者が最初に一般社員のパソコンに侵入します。しかし、その社員のアカウントでは、重要な財務データや顧客データベースにはアクセスできません。そこで、そのパソコンに保存されていた管理者のパスワードを盗んだり、システムの脆弱性を悪用して管理者権限を獲得したりします(権限昇格)。
さらに、ネットワーク内の他のパソコンやサーバーに、共有フォルダやリモートデスクトップを使って移動します(横展開)。営業部のパソコンから経理部のパソコンへ、そこから財務サーバーへ、最終的にはバックアップサーバーやドメインコントローラー(ネットワーク全体を管理するサーバー)にまで到達します。横断テクニック(広く使われる攻撃手口)として、一つの小さな穴から侵入し、最終的には建物全体を支配するような、段階的で執拗な攻撃手法です。
権限昇格/横展開で発生する被害は?
権限昇格/横展開による被害は、攻撃者がネットワーク全体を掌握することで、あらゆる種類の攻撃が可能になり、被害の規模が計り知れないほど拡大します。横断テクニック(広く使われる攻撃手口)として、この技術が成功すると、企業の存続を脅かすレベルの深刻な事態に発展します。
権限昇格/横展開で発生する直接的被害
- 機密データの大量窃取と企業秘密の流出
権限昇格/横展開により、攻撃者は企業の最も機密性の高い情報にアクセスできます。一般社員のパソコンから始まった侵入が、権限昇格を経て管理者権限を獲得し、横展開により財務サーバー、顧客データベース、研究開発部門のファイルサーバーにまで到達します。そして、数年分の財務記録、数百万件の顧客情報、新製品の設計図、M&A計画、知的財産など、企業の中核的な資産がすべて盗まれます。2020年のSolarWinds攻撃では、攻撃者が横展開により複数の政府機関と大企業のネットワーク内を自由に移動し、数ヶ月にわたって機密情報を窃取しました。盗まれた情報は競合他社に売却されたり、ダークウェブで公開されたりして、企業の競争力は完全に失われます。顧客情報の流出により、個人情報保護法違反で巨額の罰金が科され、顧客からの信頼も失います。
- ランサムウェアのネットワーク全域への展開
権限昇格/横展開は、近年のランサムウェア攻撃において中核的な役割を果たしています。攻撃者は、最初にフィッシングメールで一台のパソコンにランサムウェアを感染させるだけでは十分な身代金を得られないことを理解しています。そこで、権限昇格によってドメイン管理者権限を獲得し、横展開によってネットワーク内のすべてのパソコン、サーバー、バックアップシステムに到達します。そして、同時に数百台、数千台のデバイスにランサムウェアを展開し、企業の全データを一斉に暗号化します。2021年のColonial Pipeline攻撃では、横展開により重要なシステムが暗号化され、米国東海岸への燃料供給が停止し、約440万ドルの身代金が支払われました。バックアップサーバーも暗号化または削除されるため、データの復旧が不可能になり、企業は莫大な身代金を支払うか、事業を諦めるかの選択を迫られます。
- インフラの完全な制御と破壊的攻撃
権限昇格/横展開により、攻撃者がドメインコントローラー(Active Directoryサーバー)や重要なインフラ管理システムを掌握すると、ネットワーク全体を自由に操作できます。すべてのユーザーアカウントの作成・削除、すべてのシステムへのアクセス、ログの改ざんと削除、セキュリティ設定の無効化など、あらゆる操作が可能になります。産業制御システム(SCADA)や重要インフラに横展開が到達すれば、製造ラインの停止、電力供給の遮断、化学プラントの暴走など、物理的な被害や人命の危険さえ発生します。2017年のNotPetya攻撃では、ウクライナの企業から始まった攻撃が、VPN接続を通じて世界中の企業ネットワークに横展開し、Maerskなどのグローバル企業で数千台のシステムが破壊され、世界全体で約100億ドルの被害が発生しました。
権限昇格/横展開で発生する間接的被害
- 攻撃の長期化と被害の潜伏拡大
権限昇格/横展開は、検知を回避しながら慎重に実行されるため、攻撃者がネットワーク内に数週間から数ヶ月、場合によっては数年間も潜伏し続けます。この間、攻撃者は継続的に情報を窃取し、バックドアを複数設置し、次の攻撃の準備を整えます。発見が遅れれば遅れるほど、盗まれるデータは増え、設置されるバックドアは多くなり、完全な駆除が困難になります。発見時には既に、すべての重要データが流出済み、すべてのシステムに侵入済み、という最悪の状態になっています。被害の全容把握に数ヶ月かかり、完全な復旧には数年を要することもあります。
- 復旧の困難さと莫大なコスト
権限昇格/横展開により攻撃者がネットワーク全体を掌握した場合、どこにバックドアが設置されているか、どのアカウントが侵害されているか、どのシステムが改ざんされているか、完全に把握することが極めて困難です。安全のためには、すべてのシステムを再構築し、すべてのパスワードを変更し、すべてのネットワーク機器を再設定する必要があります。この作業には、通常業務を停止した状態で数週間から数ヶ月かかり、外部の専門家への依頼費用、システム再構築費用、ビジネス機会の損失など、数億円から数十億円のコストが発生します。従業員は通常業務ができず、顧客へのサービス提供も停止し、収益は大幅に減少します。
- サプライチェーン全体への波及と連鎖的被害
企業ネットワークから、VPN接続やパートナーポータルを通じて、取引先企業のネットワークに横展開が到達することがあります。一つの企業の権限昇格/横展開が、サプライチェーン全体に波及し、数十社、数百社が同時に被害を受けます。2020年のSolarWinds攻撃では、まずSolarWinds社のネットワークが侵害され、そこから同社の顧客である政府機関や大企業のネットワークに攻撃が横展開しました。被害を受けた企業は、自社では何も悪いことをしていないのに、取引先の侵害により連鎖的に被害を受け、顧客や監督官庁から「サプライチェーン管理が不十分」と批判されます。業界全体の信頼が失墜し、規制が強化され、ビジネス環境が悪化します。
権限昇格/横展開の手法と段階
権限昇格/横展開は、段階的に進行し、それぞれの段階で異なる技術が使用されます。
権限昇格の主な手法
- 脆弱性の悪用
オペレーティングシステムやアプリケーションの脆弱性を悪用して、一般ユーザーから管理者権限に昇格します。Windowsの特権昇格脆弱性、Linuxのカーネル脆弱性、アプリケーションのバッファオーバーフローなどが利用されます。パッチが適用されていない古いシステムほど、このリスクが高くなります。
- 設定の不備の悪用
システムやアプリケーションの不適切な設定を利用します。例えば、一般ユーザーが書き込み可能なフォルダに管理者権限で実行されるプログラムが置かれている場合、そのプログラムを悪意のあるものに置き換えることで、管理者権限で任意のコードを実行できます。
- 認証情報の窃取
パスワードファイル、メモリ内の認証情報、設定ファイル内のパスワードなどを盗み出します。Windowsでは、Mimikatzなどのツールでメモリからパスワードやハッシュを抽出します。Linuxでは、/etc/shadowファイルや環境変数、履歴ファイルなどから認証情報を探します。
- トークンの奪取
Windowsでは、既にログインしている管理者ユーザーのアクセストークンを奪取し、そのトークンを使って管理者権限のプロセスを起動します。攻撃者は、自分のプロセスに管理者のトークンを注入することで、実質的に管理者として動作できます。
横展開の主な手法
- 認証情報の再利用
一つのシステムで窃取した認証情報を、他のシステムで試します。多くの企業では、同じパスワードを複数のシステムで使い回しているため、一つのパスワードが漏れると、複数のシステムに横展開できます。
- リモートデスクトップ(RDP)の悪用
WindowsのRDP、LinuxのSSHなどのリモート管理プロトコルを使って、他のシステムに接続します。窃取した認証情報、脆弱性の悪用、ブルートフォース攻撃などでアクセスを獲得します。
- 共有フォルダとネットワークドライブ
ネットワーク上の共有フォルダに、マルウェアを仕込んだファイルを置いたり、自動実行される設定ファイルを改ざんしたりして、他のユーザーやシステムに感染を拡大します。
- WMIとPowerShell Remoting
WindowsのWMI(Windows Management Instrumentation)やPowerShell Remotingを使って、リモートでコマンドを実行します。これらは正規の管理機能であるため、セキュリティソフトに検知されにくい特徴があります。
- Active Directoryの悪用
ドメイン環境では、Active Directoryに保存された情報(ユーザーリスト、グループポリシー、信頼関係など)を利用して、効率的に横展開します。Kerberos認証の脆弱性(Golden Ticket、Silver Ticketなど)を悪用することもあります。
- Pass-the-Hashとpass-the-Ticket
Windowsでは、パスワードそのものではなく、パスワードのハッシュ値やKerberosチケットを使って認証できる場合があります。攻撃者は、盗んだハッシュやチケットを使って、パスワードを知らなくても他のシステムに認証します。
典型的な攻撃フロー
- 1.初期侵入
フィッシングメール、脆弱性の悪用などで、一般社員のパソコンに侵入
- 2.偵察
ネットワーク構造、Active Directory、ユーザーアカウント、共有フォルダなどを調査
- 3.認証情報の窃取
ブラウザ、設定ファイル、メモリなどから認証情報を収集
- 4.初回の権限昇格
ローカル管理者権限を獲得
- 5.横展開の開始
同じセグメント内の他のパソコンに移動
- 6.さらなる権限昇格
ドメイン管理者権限を獲得
- 7.重要資産への到達
サーバー、データベース、バックアップシステムへ横展開
- 8.目的の達成
データ窃取、ランサムウェア展開、システム破壊など
権限昇格/横展開の対策方法
権限昇格/横展開の対策は、攻撃者がネットワーク内を自由に移動できないようにする「防御層」を複数設けることが重要です。横断テクニック(広く使われる攻撃手口)として、一つの対策では防ぎきれないため、多層防御が必須です。
組織として実施すべき基本対策として、最小権限の原則の徹底が最優先です。すべてのユーザーとサービスアカウントに、業務に必要な最小限の権限のみを付与します。「とりあえず管理者権限」は絶対に避けます。日常業務では一般ユーザー権限を使い、管理作業が必要な時だけ、別の管理者アカウントでログインします。
特権アカウントの厳格な管理により、ドメイン管理者、ローカル管理者、データベース管理者などの特権アカウントは、特に厳重に管理します。特権アカウント管理(PAM)ソリューションを導入し、使用時には多要素認証を必須とし、すべての操作をログに記録し、定期的にパスワードを変更します。特権アカウントでの日常的なメール閲覧やWebブラウジングは禁止します。
ネットワークのセグメンテーションにより、ネットワークを複数のセグメント(サブネット、VLAN)に分割し、セグメント間の通信を制限します。一般社員のネットワーク、サーバーネットワーク、管理ネットワーク、ゲストネットワークなどを分離し、ファイアウォールで通信を制御します。これにより、一つのセグメントが侵害されても、他のセグメントへの横展開を防ぎます。
多要素認証の必須化により、特に管理者アカウント、VPNアクセス、重要システムへのログインには、パスワードだけでなく、スマートフォンアプリ、物理セキュリティキー、生体認証などの追加要素を必須とします。認証情報が盗まれても、第二の要素がなければアクセスできません。
パッチ管理の徹底として、オペレーティングシステム、アプリケーション、ネットワーク機器のファームウェアなど、すべてのソフトウェアを常に最新の状態に保ちます。権限昇格の多くは、既知の脆弱性を悪用するため、パッチ適用が最も効果的な対策です。
エンドポイント検知・対応(EDR)の導入により、各パソコンやサーバーに、高度な検知機能を持つセキュリティソフトを導入します。EDRは、ファイルベースのマルウェアだけでなく、メモリ内での悪意のある活動、不審なプロセスの実行、異常なネットワーク通信などを検知します。
異常なアカウント活動の監視として、普段使われない時間帯のログイン、いつもと異なる場所からのアクセス、短時間での大量のログイン試行、管理者権限の不正な使用などを検知し、アラートを発します。SIEM(セキュリティ情報イベント管理)システムで、ログを集約・分析します。
横方向の通信の制御により、通常、一般ユーザーのパソコン同士が直接通信する必要はありません。パソコン間の通信を制限し、サーバーとの通信のみを許可することで、横展開を困難にします。
定期的な侵入テストと脆弱性診断により、外部の専門家に依頼して、実際に権限昇格/横展開を試みてもらい、自社の防御体制の弱点を発見します。発見された問題は速やかに修正します。
権限昇格/横展開の対策を簡単に言うと?
大きな建物のセキュリティ対策に似ています。まず、各部屋に入れる人を制限します(最小権限)。一般社員は自分のオフィスだけ、経理部員は経理フロアだけ、管理人は全館、というように、必要な場所にだけアクセスできるようにします。
建物をいくつかのゾーンに分け、ゾーン間の移動には追加の認証を要求します(ネットワークセグメンテーション)。一般オフィスエリアから経理フロアに移動するには、セキュリティゲートを通過する必要があります。
重要な部屋(金庫室、サーバールーム)には、鍵だけでなく、指紋認証や顔認証も必要にします(多要素認証)。ドアの鍵は最新の防犯性能が高いものを使います(パッチ管理)。
各部屋に監視カメラを設置し、不審な動きをリアルタイムで検知します(EDR)。誰がいつどの部屋に入ったか、すべて記録されます(ログ監視)。一般社員が深夜に金庫室の前をうろついていたら、警報が鳴ります(異常検知)。
一般社員のオフィス同士を直接つなぐ廊下は封鎖し、すべての移動は中央の廊下(サーバー)を経由するようにします(横方向通信の制限)。これにより、泥棒が一つの部屋から隣の部屋へと順番に侵入することを防ぎます。
定期的に、プロの泥棒役を雇って、実際に侵入を試みてもらい、セキュリティの弱点を見つけます(侵入テスト)。横断テクニック(広く使われる攻撃手口)への対策は、多層的な防御を組み合わせることが鍵です。
権限昇格/横展開に関連した攻撃手法
権限昇格/横展開は、横断テクニック(広く使われる攻撃手口)の中でも、他の攻撃手法と密接に連携して使用される中核的な技術です。
認証情報の窃取は、権限昇格/横展開を実現するための最も重要な前提条件です。認証情報の窃取では、パスワード、ハッシュ値、トークン、APIキーなどを様々な方法で盗み出します。メモリダンプ(Mimikatzなど)、ブラウザに保存されたパスワード、設定ファイル、環境変数、ネットワーク通信の傍受など、あらゆる場所から認証情報を探します。権限昇格/横展開を実行するには、上位の権限を持つアカウントの認証情報、または他のシステムにアクセスできるアカウントの認証情報が必要です。認証情報の窃取に成功すれば、攻撃者は正規のユーザーとしてログインでき、権限昇格や横展開が容易になります。特に、管理者アカウントの認証情報が窃取されると、ネットワーク全体が危険にさらされます。認証情報の窃取は「手段の獲得」であり、権限昇格/横展開はその「手段の使用」です。両者とも横断テクニック(広く使われる攻撃手口)として、ほぼすべての高度な攻撃で組み合わせて使用され、多要素認証の実装、特権アカウントの厳格な管理、認証情報の定期変更、メモリ保護機能の有効化が重要な対策となります。
常駐化・足場確保は、権限昇格/横展開の前提となる基盤を作る技術です。常駐化・足場確保では、攻撃者が最初に侵入したシステムに、再起動後も残り続けるバックドアや自動起動の仕組みを設置します。レジストリキーの追加、スタートアップフォルダへのファイル配置、スケジュールタスクの作成、サービスの登録など、様々な手法で常駐化を実現します。権限昇格/横展開を実行する前に、まず最初の侵入地点に確実な足場を確保することで、仮に一時的に接続が切れても、再び戻ってこられるようにします。また、権限昇格に成功した後も、その高い権限で新たなバックドアを設置し、複数の侵入経路を確保します。横展開により新しいシステムに到達するたびに、そこにも足場を確保し、ネットワーク内に多数の侵入口を作ります。常駐化・足場確保は「拠点の構築」であり、権限昇格/横展開は「拠点からの拡大」です。両者とも横断テクニック(広く使われる攻撃手口)として、長期的な攻撃を可能にする組み合わせであり、エンドポイント保護、スタートアップ項目の監視、定期的なシステムスキャン、異常なプロセスの検知が対策として有効です。
正規ツール悪用(Living off the Land)は、権限昇格/横展開を検知されにくくする重要な技術です。正規ツール悪用(Living off the Land)では、攻撃者が独自のマルウェアを持ち込むのではなく、OSやアプリケーションに標準で搭載されている正規のツール(PowerShell、WMI、PsExec、RDP、Mimikatzなど)を悪用します。権限昇格では、PowerShellスクリプトで脆弱性を悪用したり、WMIで特権プロセスを起動したりします。横展開では、PsExecやWMI、PowerShell Remotingなどの正規のリモート管理ツールを使って他のシステムに接続します。これらは管理者が日常的に使用する正規のツールであるため、セキュリティソフトが悪意のある活動と判断しにくく、ログに記録されても「正規の管理作業」として見逃されやすい特徴があります。正規ツール悪用(Living off the Land)は「ステルス性の確保」であり、権限昇格/横展開はその「隠れた移動」です。両者とも横断テクニック(広く使われる攻撃手口)として、検知を回避しながら攻撃を進める組み合わせであり、PowerShellのログ記録強化、スクリプト実行ポリシーの制限、異常なコマンド実行の監視、ホワイトリスト方式のアプリケーション制御が対策として重要です。
権限昇格/横展開のよくある質問
権限昇格は「縦方向」の移動で、一般ユーザーから管理者へと、より高い特権レベルに昇格することです。横展開は「横方向」の移動で、同じまたは異なる権限レベルの他のシステムやアカウントに移動することです。両者はしばしば組み合わせて使われ、権限昇格で管理者になってから、横展開でネットワーク全体に広がります。
環境によって大きく異なります。脆弱性が多く、セキュリティ対策が弱い環境では、数時間から数日で達成されることもあります。セキュリティが堅固な環境では、数週間から数ヶ月かけて慎重に進められます。攻撃者は検知を避けるため、急がずに長期間潜伏することもあります。
ゼロトラストは「何も信頼しない」という前提で、すべてのアクセスを厳格に検証するアプローチです。ネットワーク内にいるからといって信頼せず、常に認証と認可を要求するため、横展開を大幅に困難にします。ただし、完全に防げるわけではなく、適切な実装と継続的な監視が必要です。
セキュリティ上は、一般社員には管理者権限を付与しないことが理想です。ただし、ソフトウェアのインストールや設定変更が必要な場合もあるため、完全に禁止すると業務に支障が出ます。管理者権限が必要な操作はIT部門が代行する、一時的に管理者権限を付与する、など、バランスを取る工夫が必要です。
Active Directory(特にドメインコントローラー)は、ドメイン環境の中核です。ここが侵害されると、攻撃者はドメイン内のすべてのユーザーアカウントを作成・削除でき、すべてのシステムにアクセスでき、グループポリシーでマルウェアを配布できるなど、完全な支配権を得ます。最も深刻な侵害と言えます。
Windowsの認証の仕組みを悪用する攻撃です。通常、認証にはパスワードが必要ですが、一部の認証方式では、パスワードのハッシュ値(暗号化された形式)があれば認証できます。攻撃者は、メモリからハッシュを盗み、パスワードを知らなくても他のシステムに認証して横展開します。
はい、いくつかあります。異常なネットワークトラフィック(パソコン間の直接通信、大量のポートスキャン)、通常と異なるアカウント活動(深夜のログイン、複数システムへの短時間での連続ログイン)、正規ツールの不審な使用(PowerShellの大量実行、WMIの異常な呼び出し)などを、SIEMやEDRで監視します。
VLANで物理ネットワークを論理的に分割し、ファイアウォールでVLAN間の通信を制御します。例えば、「ユーザーVLAN」「サーバーVLAN」「管理VLAN」を作成し、ユーザーはサーバーにアクセスできるが、他のユーザーのパソコンには直接アクセスできないようにします。クラウド環境では、VPCやセキュリティグループで同様の分離を実現します。
パッチ適用は非常に重要ですが、それだけでは不十分です。ゼロデイ脆弱性(パッチが存在しない脆弱性)、設定の不備、認証情報の漏洩など、パッチでは対処できない権限昇格の方法もあります。パッチ適用に加えて、最小権限、多要素認証、監視など、多層的な対策が必要です。
はい、規模に関わらず必要です。むしろ、中小企業はセキュリティ対策が手薄で、攻撃者の標的になりやすい傾向があります。また、大企業のサプライチェーンの一部として、中小企業が攻撃され、そこから大企業に横展開されることもあります。予算に応じた対策を講じることが重要です。
はい、発生します。クラウド環境では、IAM(Identity and Access Management)の設定不備による権限昇格、一つのクラウドアカウントから別のアカウントへの横展開、コンテナ環境でのエスケープとクラスター内の横展開など、オンプレミスとは異なる形で発生します。クラウド特有の対策が必要です。
ログの分析が重要です。同一のアカウントで短時間に複数のシステムにログインしている、通常使用しないアカウントが突然活発に使われている、管理者ツール(PsExec、WMIなど)が不審な時間帯に実行されている、などの兆候を探します。EDRやSIEMツールは、これらの異常を自動的に検知してアラートを発します。
更新履歴
- 初稿公開