ストライカー社のインシデントから見えてくるHandalaの攻撃手法
ブログを読む

ストライカー社のインシデントから見えてくるHandalaの攻撃手法。ブログを読む →

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
  1. ブログ
    >
  2. 横方向の動き

攻撃者は初期侵入後、ハイブリッドネットワーク内をどのように移動するのか

March 17, 2026
3/17/2026
Lucie Cardiet
サイバー脅威リサーチマネージャー
攻撃者は初期侵入後、ハイブリッドネットワーク内をどのように移動するのか

【本記事は自動翻訳です】攻撃において、最初の侵入が最終目的となることはめったにありません。それはあくまで出発点に過ぎないのです。

攻撃者がネットワーク内に潜伏基盤を確立すると、次の目標は攻撃範囲の拡大となる。彼らは、当初侵害されたシステムから、さらなるホスト、アカウント、サービスへと移動し、価値のある標的を見つけ出すまでその活動を続ける。

この段階は「横方向の移動」として知られています

現代のハイブリッド環境では、横方向の移動はしばしば目立たない形で発生します。攻撃者は、正当な認証情報、承認済みのツール、そして通常の管理プロトコルを利用します。

外から見ると、 何も壊れているようには見えない。

しかし、ネットワーク内部では、攻撃者は着実に支配範囲を広げている

なぜ横方向の動きは検知しにくいのか

従来の防御策は、攻撃者を境界線で阻止したり、検知したりすることを目的としています マルウェア を検知するように設計されています。

横方向の移動によって、これらの制御がトリガーされることはほとんどありません。攻撃者は、通常の管理業務と見分けがつかないような手法や動作を用いて、システム内部を移動します。彼らは、SMB、RDP、PowerShellといった組み込みのプロトコルや、正規のリモート管理ユーティリティを利用することがよくあります。

一つひとつの行動は、一見無害に見えるかもしれません。

単独で見れば、それはごくありふれたIT業務のように見える

これらを総合すると、環境全体に広がりつつある侵入の兆候が浮かび上がる。

1. 攻撃者がネットワーク内部への侵入を開始する方法

横移動の第一歩は、状況把握である。

攻撃者はまず、環境に対して簡単な質問を投げかけます。システムはこうした質問に対して、多くの場合自動的に回答を返します。

まず、ユーザー権限グループ所属 を確認しドメイン構造を特定した上で可視化されたシステムや共有リソースをマッピングします

彼らの目標は、買収候補の候補リストを作成することです。

Active Directoryは 、ユーザー、グループ、およびシステム間の関係を可視化するため、この調査プロセスの中心となることがよくあります。

ADScanやAdFindといったツールを使用すれば、攻撃者はActive Directoryに直接クエリを実行できます。また、BloodHoundを活用する手法もあり、これはID間の関係をマッピングし、ドメイン内の権限昇格経路を可視化します。

これらのツールは、IDインフラストラクチャを攻撃の道筋へと変えてしまう。

2. 認証情報の盗用によるアクセス拡大

攻撃者が環境を把握すると、認証情報の収集を開始する。

多くの侵入攻撃は、新たな脆弱性を悪用するのではなく、認証情報の流用を悪用している。

攻撃者は、侵害されたシステム内で以下のものを検索します:

  • キャッシュされた認証情報
  • Kerberosチケット
  • 保存された認証トークン
  • サーバー上のアクティブなセッション

Mimikatz などのツールを使用すれば、侵害されたホストのメモリから直接、パスワード、NTLM ハッシュ、および Kerberos チケットを抽出することができます。復元された認証情報が増えるほど、攻撃者の活動範囲は広がります。アクセス可能なアカウントが増えれば、調査対象となるシステムも増えることになります。

3. 遠隔実行:横方向の動きが始まる瞬間

攻撃者が2台目のシステム上でコマンドを実行した時点で、横方向への拡散が本格的に始まります。この時点で、攻撃者は次の3点を確認します:

  1. ターゲットシステムに接続できる
  2. 盗まれた認証情報は十分な権限を提供する
  3. リモートからの実行が可能である

攻撃者がこれを実行するために、特注マルウェア必要とすることはめったにない

彼らはしばしば、次のような正当な管理ツールを利用しています

  • PsExec を使用してコマンドをリモートで実行する
  • RDPを使用して別のシステムに対話形式でログインする
  • SMB管理共有を使用してファイルをコピーしたり、プロセスを起動したりする

次のようなフレームワーク Cobalt StrikeBrute Ratel といったフレームワークは、こうした操作の多くを自動化し、攻撃者が複数の侵害されたシステムを同時に制御できるようにします。

防御側の視点から見れば、こうした行動は正当なシステム管理と区別がつかない場合があります。

4. ネットワーク全体でのピボット

攻撃者が他のシステムへのアクセス権を獲得すると、同じ手口を繰り返し行う。

新たな視点から、彼らはさらなる発見を続け、次のようなものを探している:

  • ドメイン コントローラー
  • アイデンティティ基盤
  • 機密性の高いリポジトリ
  • 特権アカウント

新しいシステムが導入されるたびに、認証情報とネットワークの可視性がさらに向上します

この反復プロセスは、攻撃者が最終的に制御したいシステムに到達するまで続く。

それは、アイデンティティ・インフラストラクチャ、クラウド環境、あるいはデータリポジトリなどである可能性があります。

その時点で、攻撃者は事実上、環境を掌握している。

現代のアクセスモデルが横移動のあり方を変えつつある

現代のITアクセスモデルは、横方向の移動を容易にしている

インフラへのアクセスを容易にするために設計されたツールは、一度IDが侵害されると、攻撃者の動きも容易にしてしまう可能性がある。

例えば、Teleport のようなプラットフォームは、IDベースの認証を通じてインフラへのアクセスを一元管理しています 。攻撃者が適切なアカウントを乗っ取れば、環境の大部分へのアクセス権を掌握してしまう可能性があります。

同様に、Tailscaleのようなネットワークプラットフォームは、従来のVPNインフラに依存することなく、デバイス間の安全な接続経路を構築します。

攻撃者がこうしたIDやデバイスのいずれかを乗っ取ると、インターネットに直接接続されていないシステムへのアクセス権を獲得する可能性があります。

つまり、利便性を重視して設計されたアクセスアーキテクチャは、強力な横方向の移動経路となり得る。

なぜ従来のセキュリティツールはここで苦戦するのか

ほとんどの防御ツールは、個別の信号を分析します。

EDRはエンドポイントの動作に焦点を当てています。IAMプラットフォームは認証に焦点を当てています。ネットワークセキュリティツールは境界での活動に焦点を当てています。

これらの層の間では、横方向の移動がしばしば生じます。

攻撃者は、正当な認証情報、ネイティブプロトコル、および承認済みの管理ツールを使用します。その活動は、正当な権限に基づいており、暗号化され、ポリシーに準拠しているように見えます。

一見、悪意のあるものは何も見当たりません。ただし、環境全体の動作を分析するまでは。

横方向の動きを検知するために実際に必要なこと

横方向の移動を検知するには、ネットワーク全体におけるIDの挙動を把握する必要があります。SOCチームは、次のようなパターンを探すべきです:

  • システム間の不正なリモート実行
  • 複数のホストにまたがる異常なID活動
  • 短期間にわたり、複数のシステム間で繰り返し認証を行う
  • 内部偵察活動
  • インフラ全体に急速に広がる認証情報の再利用パターン

こうした行動は、個々の動作が正当なものに見えても、攻撃者の動きを明らかにする。

検知においては、個別のアラートではなく、一連の行動に焦点を当てる必要がある。

Vectra AI がネットワーク上の攻撃者の動きをどのように検知するか

横方向の移動には、明らかなマルウェア関与することはほとんどありません。攻撃者は通常、正当な認証情報や承認済みの管理プロトコルを利用します。リモート実行ツール、ファイル共有、およびIDサービスは、管理者が使用するのとまったく同じ方法で利用されます。

個別にみると、これらの行動は正当なものと見受けられる。

The Vectra AI は、ネットワーク全体でIDがシステムとどのようにやり取りしているかを分析し、攻撃者の拡大を示すパターンを特定します。複数のホスト間での認証情報の再利用、異常なリモート実行パス、および内部偵察活動は、IDが環境内を移動するために使用されていることを明らかにします。

このプラットフォームは、ネットワークトラフィックとユーザー行動を関連付けることで、ハイブリッドインフラストラクチャ全体における攻撃者の動きを再現しますこれにより、SOCチームは侵害がシステム間でどのように拡散しているかを把握し、攻撃者がドメイン制御権、機密データ、またはランサムウェアの展開に到達する前に介入することが可能になります。

アナリストは、個別のアラートを追いかけるのではなく、ネットワーク内を移動する攻撃者の経路を追跡することができます。

次のステップ

攻撃者が横方向への移動を開始する頃には、侵入はすでにかなり進行している。

この段階では、攻撃者は認証情報を流用し、リモートでコマンドを実行し、ID管理インフラや機密データ、あるいはランサムウェアを起動できるシステムに到達するまで、システムからシステムへと攻撃の足場を移していきます。

『Attack Lab』第3話:ラテラル・ムーブメント ― 攻撃者がネットワーク内でどのように移動するか、 では、現代の攻撃者が正当な管理ツールや盗まれたIDを利用して、ハイブリッド環境内でどのように制御範囲を拡大していくかを解説します。

このセッションをご覧いただき、実際の侵入攻撃において横方向の移動がどのように進行するのか、またSOCチームが侵害が環境全体に広がる前に攻撃者の行動をどのように検知できるのかをご確認ください。

攻撃者の行動の全容を把握するには、以下のトピックを扱う他のAttack Labセッションもご参照ください 初期アクセス および 「持続性」」を扱った他のAttack Labセッションもぜひご覧ください。これらのセッションでは、侵入がどのように始まり、攻撃者がどのように長期的な足場を築くかが解説されています。

---

* 引用元:Vinny Troia 著『 “Grey Area: Dark Web Data Collection and the Future of OSINT”

よくある質問 (FAQ)