サイバーセキュリティチームは、深刻な現実に直面している。攻撃者がネットワークへの最初のアクセスを獲得すると、わずか18分で重要なシステムに拡散する可能性があるのだ。Illumioの2025 Global Cloud Detection and Response Reportによると、この横方向への動きとして知られる静かな広がりは、現代のサイバー攻撃の特徴となっており、2025年には組織の90%近くに影響を及ぼすという。
横移動のスピードとステルス性は、従来のセキュリティ・アプローチに根本的な挑戦をしている。境界防御が攻撃者の侵入を防ぐことに重点を置いているのに対し、横方向への動きは、攻撃者がすでに内部にいることを前提としています。このテクニックを理解し、阻止することは、単に重要であるだけでなく、平均的な侵害のコストが444万ドルにものぼる今日の脅威の状況で生き残るために不可欠です。
横方向への移動とは、攻撃者が侵害されたネットワーク内を移動し、現在の特権レベルを維持したまま追加のシステムやリソースにアクセスするために使用する手法です。より高い特権を求める垂直方向の移動とは異なり、横方向の移動は環境全体に水平に広がるため、攻撃者はネットワークを探索し、貴重なデータを見つけ、最終的な目的を実行する前に複数の永続ポイントを確立することができます。
横の動きは、従来のセキュリティ・ツールのレーダーの下をくぐり抜けることが多いため、この区別は重要である。攻撃者は正当な認証情報とネイティブ・システム・ツールを活用し、その活動を通常のネットワーク・トラフィックに見せかける。2025年のIllumioのレポートでは、組織の90%近くが過去1年間に何らかの形で横の動きを経験しており、その結果、1インシデントあたり平均7時間以上のダウンタイムが発生していることが明らかになっています。
ビジネスへの影響は、技術的な指標だけにとどまらない。発見されない横の動きが1分増えるごとに、攻撃の潜在的な爆発半径は拡大します。侵害された1台のワークステーションから始まり、ドメイン全体の侵害、データの流出、企業全体のランサムウェアの完全な暗号化へと急速にエスカレートする可能性があります。効果的なzero trust アーキテクチャとプロアクティブな脅威ハンティング機能の実装が、現代のセキュリティ・プログラムにとって譲れないものとなっているのは、このような経過があるからです。
セキュリティ業界では、横方向の移動と権限の昇格をしばしば混同していますが、効果的な防御のためには、両者の違いを理解することが極めて重要です。横方向への移動とは、既存の認証情報と権限を使用して、システムを横方向に拡張することです。あるワークステーションの標準ユーザーとして侵入した攻撃者は、そのユーザーがアクセスできる他のワークステーションに移動します。
これとは対照的に、特権の昇格は、権限階層を垂直方向に移動することを伴う。攻撃者は、脆弱性や設定ミスを悪用して、管理者権限、ドメイン管理者権限、またはルート・アクセスを獲得する。攻撃者は、特権の昇格が可能なシステムを見つけるまで横方向に移動し、昇格した特権を使用して横方向に自由に移動します。
重要インフラを狙った最近のVolt Typhoon キャンペーンを考えてみよう。この脅威者は、数カ月にわたって標準的なユーザー・アクセスを維持し、正規の認証情報を使用してVPNアプライアンスやネットワーク・デバイスを経由して横方向に移動しました。特定の価値の高い標的を特定したときのみ、彼らは特権の昇格を試み、攻撃者がいかに忍耐強く、スピードよりもステルス性を優先させるかを示しました。
現代の横の動きは、予測可能な3段階のパターンに従っており、セキュリティ・チームが効果的な防御を行うには、このパターンを理解する必要がある。攻撃者は、環境をマッピングするための偵察から始まり、クレデンシャルの取得に進み、正規のプロトコルやツールを使用して移動を実行します。この方法論により、攻撃者は通常のネットワーク・アクティビティに紛れ込みながら、標的のシステムを体系的に侵害することができます。
このような攻撃の巧妙さは劇的に進化している。最近の侵害データによると、Living Off the Land (Living Off the Land )攻撃は、2025年の深刻な侵害の84%を引き起こしており、攻撃者はカスタム・malware 使用せず、組み込みのシステム・ツールを使用するようになっています。セキュリティ・チームは、合法的な管理活動と悪意のある動きを区別しなければならないため、この変化は検知を飛躍的に難しくしている。
各段階を理解することは、検知および予防機能を構築するための基盤となる。アイデンティティ脅威の検知と対応ソリューションを導入している組織では、特に通常の移動パターンをベースラインとする振る舞い 分析と組み合わせることで、検知時間が大幅に短縮されると報告されています。
第1段階偵察と発見 攻撃者はまず、ネットワーク・トポロジーをマッピングし、システム、サービス、潜在的な標的を特定します。Active Directoryオブジェクトを列挙し、オープンポートをスキャンし、次のようなコマンドを使ってシステム情報を採取する。 ネットビュー, ヌルテストおよび PowerShell コマンドレットを使用する。これらのツールは正当な管理目的に使用されるため、このフェーズでは通常、最小限のセキュリティアラートが生成される。
ステージ2:クレデンシャル・ダンピングと認証材料 環境に関する知識が確立されると、攻撃者は追加のクレデンシャルを取得することに集中する。LSASSダンプのようなテクニックを使ってメモリからパスワード・ハッシュを抽出したり、Kerberosチケットを採取したり、クレデンシャル・ストレージ・メカニズムを悪用したりする。ツールはMimikatz(カスタムツールが使用されている場合)から、以下のような正規のWindowsユーティリティまで多岐にわたる。 procdump.exe LOTL アプローチの場合。取得したクレデンシャルは、認証の失敗を引き起こすことなく移動を可能にする。
ステージ3:アクセスと移動の実行有効な認証情報を手に入れた攻撃者は、正規のリモート・アクセス・プロトコルを使用して横方向の移動を実行します。RDPセッションを確立し、WMIを介してスケジュールされたタスクを作成し、SMB管理共有を介してペイロードを展開します。移動が成功するたびに、許可された活動のように見せかけながら、足場を広げていきます。
攻撃者は一貫して4つの主要なプロトコルを横移動のために悪用し、それぞれがステルス性と信頼性において独自の利点を提供している:
SMB/Windows管理者共有(T1021.002)は、依然として最も一般的なベクターであり、横移動インシデントの68%で悪用されています。攻撃者は、ADMIN$、C$、およびIPC$共有を利用して、ペイロードを展開し、リモートでコマンドを実行し、データを流出させます。Windows環境におけるこのプロトコルの偏在性は、悪意のある活動の完璧な隠れ蓑となります。
リモート・デスクトップ・プロトコル(T1021.001)は、正当な管理者の動作を模倣したインタラクティブなアクセスを提供します。最近のキャンペーンでは、攻撃者が何週間も RDP セッションを維持し、通常のリモート管理のように見せかけながら、RDP セッションを主要なコマンド・コントロール・チャネルとして使用していることが確認されています。
Windows Management Instrumentation (T1047) は、企業管理のために設計されたプロトコルを通じて、強力なリモート実行機能を提供します。攻撃者はWMIを使用してプロセスを作成し、レジストリキーを変更し、永続性を確立します。
PowerShell Remoting and WinRM (T1021.006)は、複数のシステムにまたがるスクリプトベースの高度な攻撃を同時に可能にします。このプロトコルは、企業の自動化において合法的に使用されているため、特に攻撃者が符号化されたコマンドやメモリ内実行を使用する場合、検出が難しくなります。
以下の表は、これらのプロトコルが特定の攻撃手法や検知の機会にどのように対応するかを示している:
MITRE ATT&CK フレームワークでは、横移動戦術(TA0008)の下に 9 つの主要テクニックと 20 のサブテクニックを文書化し、攻撃者の行動に関する包括的な分類法を提供しています。これらのテクニックを理解することで、セキュリティチームは標的を絞った検知ルールを構築し、実際の脅威パターンに基づいて防御投資の優先順位を決めることができます。
実際の攻撃では、単一の手法を単独で使用することはほとんどない。現代の脅威者は複数の手法を組み合わせ、環境固有の機会や防御の隙間に基づいてアプローチを適応させています。 MITRE ATT&CKナレッジベースに記載されている。2025年の侵害分析によると、Living Off the Land 攻撃の71%にPowerShellが使用されているように、Living Off the Land 戦術の普及はこれを特に困難なものにしています。
MITRE ATT&CK 横移動に関する完全なマッピングは、攻撃者が利用可能なテクニックの幅の広さを明らかにしている:
Pass the Hash (T1550.002) 攻撃は、従来のパスワードベースの防御を完全に回避するものであり、特に注意が必要である。攻撃者は NTLM パスワードのハッシュをキャプチャし、それを再生することで実際のパスワードを知らずに認証を行います。このテクニックは、適切なクレデンシャル管理が行われていない環境や、NTLM 認証が制限されていない環境において、壊滅的な効果を発揮する。
Pass the Ticket (T1550.003)はKerberosに相当するもので、攻撃者はKerberosチケットを盗んで再生し、正当なユーザーになりすます。 Kerberoasting攻撃と組み合わされることが多い。Golden TicketとSilver Ticketの亜種は、特に持続的なアクセスを提供し、パスワードのリセットや標準的な修復作業にも耐えることがあります。
Living Off the Land 攻撃は、正規のシステム・ツールを悪用することで、カスタム・malware 必要性を排除し、横方向の動きを進化させたものです。このアプローチは、攻撃のタイムラインを加速させる一方で、検知率を劇的に低下させます。セキュリティチームの報告によると、LOTL攻撃は従来のシグネチャベースの検出を76%のケースで回避しています。
PowerShellはLOTLを支配しており、これらの攻撃の71%に登場している。攻撃者は、偵察 (Get-ADコンピュータ, Get-ADUser)からクレデンシャル・ダンピング(Invoke-Mimikatz)およびリモート実行(コマンド呼び出し, PSSセッションに入る).フレームワークの合法的な管理用途は、悪意のある活動を見分けることを特に困難にしている。
Windows Management Instrumentation Command-line (WMIC) は、もう一つの強力な LOTL ベクターを提供する。攻撃者は次のようなコマンドを実行する。 wmic /node:ターゲットプロセス呼び出し create "cmd.exe" を使えば、追加のツールを導入することなくリモート・プロセスを起動できる。このユーティリティはウィンドウズ11で非推奨となったが、ほとんどの企業ではまだ古いウィンドウズ・バージョンを使用しているため、脅威がなくなったわけではない。
PsExecとその亜種は、SMBを通じてリモートコマンドの実行を可能にし、ターゲットシステム上にサービスを作成する。PsExec自体はデプロイを必要とするが、Windowsはスケジュールされたタスク(シュタスク)、サービス作成(sc.exe)、および外部ツールなしで同じ結果を達成するレジストリの修正。
攻撃者が複数の LOTL テクニックを連鎖させると、検知の難易度はさらに高まります。典型的な攻撃シーケンスでは、発見には PowerShell を使用し、横の動きには WMI を使用し、永続化にはスケジュールされたタスクを使用します。
2024-2025年の脅威の状況は、横方向の移動が理論的な懸念から、壊滅的なサイバー攻撃の主要な実現要因へと進化していることを示している。国家行為者、ランサムウェアの運営者、金銭的動機に基づく犯罪者はすべて、ますます洗練され、スピードを上げてこれらの技術を活用しています。
Volt Typhoon 、現代の横移動の最も危険な例を示している。この中国国家に支援されたグループは、もっぱらLiving Off the Land テクニックを駆使して、300日以上にわたって米国の重要インフラにおけるプレゼンスを維持しました。彼らは、侵害されたフォーティネットやシスコのデバイスを経由して横方向に移動し、正規のWindowsツールを悪用し、通常の管理者行動を模倣することで検知を回避しました。彼らの忍耐強いアプローチ(時には数週間も移動の間隔を空ける)は、高度な持続的脅威がいかにスピードよりもステルス性を優先するかを示している。
AIによって強化されたランサムウェアは、攻撃のタイムラインを以前では考えられなかった速度にまで圧縮している。2025年初頭に検出されたLockBit 4.0は、最初のアクセスからわずか18分で完全なネットワーク暗号化を達成する。このランサムウェアの亜種は、機械学習を使用して最適な横方向の移動経路を特定し、発見された脆弱性を自動的に悪用し、検出されたセキュリティ制御に基づいてその手法を適応させる。この進化により、組織は対応タイムラインと自動化の要件を再考する必要に迫られている。
Windows Server 2025で発見されたGolden gMSAの脆弱性は、横移動攻撃のための完璧な嵐を引き起こした。ドメインに結合された1つのシステムを侵害した攻撃者は、Active Directoryドメイン全体にわたって無制限に横移動できるグループ管理サービス・アカウントの認証情報を引き出すことができた。マイクロソフトの2025年8月のパッチは、この脆弱性に対処しましたが、いくつかの有名な侵害事件が、その壊滅的な可能性を示すまでには至りませんでした。
TheWizards APTグループは、ハイブリッド・クラウド環境におけるIPv6 SLAAC(Stateless Address Autoconfiguration)攻撃による新たなアプローチを導入した。デュアルスタックネットワークのIPv6自動設定を悪用することで、従来のIPv4中心のセキュリティ制御を回避し、検知されることなくオンプレミスとクラウドインフラの間を横移動しました。このテクニックは、新たなプロトコルが、組織が防御の準備をしていない新たな横方向の移動ベクトルをどのように生み出すかを浮き彫りにしている。
2025年においても、横の動きを利用した情報漏えいが財務に与える影響は深刻なままである。IBMの「Cost of Data Breach Report 2025」によると、平均的な情報漏えいのコストは全世界で444万ドルに上る。この数字には、即時の対応コスト、事業の中断、規制当局による罰金、長期的な風評被害が含まれる。
IBMの調査によると、医療機関の侵害コストは常に1,000万ドルを超えており、医療機関は特に深刻な事態に直面しています。身代金2,200万ドルの支払いにつながった2024年2月のChange Healthcareランサムウェア攻撃は、相互接続されたヘルスケア・ネットワーク間での横方向の移動を可能にする盗まれた認証情報から始まりました。この攻撃により、数百万人の患者の処方箋処理が中断され、重要な分野における横方向の移動が連鎖的に影響を及ぼすことが浮き彫りになりました。
金融サービスは、最も速い横方向の移動速度を報告しており、攻撃者は平均31分で高価値のターゲットに到達しています。CrowdStrike Global Threat Reportは、このスピードについて、この業界が相互接続されたシステムに大きく依存していること、および金融データの価値が高いことが攻撃者のイノベーションを促進しているためだとしています。
製造業と重要なインフラは、運用技術(OT)環境における横方向の移動による独自の課題に直面している。ITとOTネットワークの融合は、5年前には存在しなかった横方向の移動経路を生み出す。侵害されたオフィスのワークステーションが、知的財産の盗難から物理的な損害や安全事故に至るまで、潜在的な影響を及ぼす生産システムへの経路を提供することができるようになりました。
横の動きに対する効果的な防御には、事前の予防、リアルタイムの検知、迅速なインシデント対応能力を組み合わせた多層的なアプローチが必要です。包括的な戦略を導入している組織では、従来の境界線に焦点を当てたセキュリティに依存している組織よりも、横方向の動きを73%速く検出できたと報告しています。
重要なのは、妥協を想定すること、つまり攻撃者が最初のアクセスを獲得することを受け入れ、攻撃者の拡散能力を制限する防御を構築することにある。この哲学は、ワークロード間にきめ細かなセキュリティ境界を設けることで攻撃の伝播を劇的に制限するマイクロセグメンテーションのような最新のアプローチを推進します。ネットワーク検出と応答機能、および適切なイベント相関と組み合わせることで、組織は重大な被害が発生する前に、横方向の動きを検知 封じ込めることができます。
Windows セキュリティ・イベントは、横方向の動きを検出するための豊富な遠隔測定を提供しますが、ほとんどの組織では適切な相関ルールが実装されていません。横方向の動きを検出するために重要な4つのイベントIDは、一緒に分析すると攻撃者の行動を明らかにするパターンを作成します:
イベント ID 4624(ログオンの成功)は、ユーザがシステムに認証されたことを示す。ログオン・タイプ 3(ネットワーク・ログオン)とタイプ 10(リモート対話型)は、特に横の動きの検知に関連します。特にサービス・アカウントから、または通常とは異なる時間帯に、短い時間枠の中で複数のシステムにわたって連続したタイプ 3 ログオンのパターンを探します。
イベント ID 4625(失敗したログオン)は、偵察とパスワード・スプレーの試みを明らかにする。複数の 4625 イベントが発生し、その後に 4624 が成功すると、多くの場合、クレデンシャルの推測を示す。単一のソースからの複数のシステムにわたる失敗パターンには特に注意してください。
イベント ID 4648(Explicit Credential Usage)は、プロセスがログインユーザとは異なる明示的なクレデンシャルを使用した場合に発生します。このイベントは、Pass the Hash および overpass-the-hash 攻撃を検知するために極めて重要です。プロセス作成イベント(4688)との相関により、正当なツールがクレデンシャルの盗用に悪用されていることが明らかになります。
イベントID 4769(Kerberos Service Ticket Request)は、Pass the Ticket攻撃とゴールデン・チケットの使用を特定するのに役立ちます。異常なサービス・チケット・リクエスト、特にハイ・プリビレッジ・サービスや通常リクエストしないシステムからのチケット・リクエストは調査が必要です。
以下の相関パターンは、横方向への移動の可能性を示している:
ネットワーク・セグメンテーションは、従来のVLAN分離をはるかに超えて進化し、横方向の動きを防止するための基礎となっています。最新のマイクロセグメンテーション・アプローチは、個々のワークロードの周囲にきめ細かなセキュリティ境界を作り出し、最初の侵害後でも攻撃の伝播を劇的に制限します。
Zero Trust ネットワーク・アクセス(ZTNA)の原則は、ネットワーク・セグメント間の暗黙の信頼を排除します。すべての接続は、接続元ネットワークや以前の認証に関係なく、明示的な検証を必要とします。このアプローチにより、攻撃者が侵害された認証情報を活用して無制限に横移動することを阻止し、各境界で認証することを強制します。
ソフトウェア定義境界(SDP)は、許可されたユーザーと特定のリソースとの間に、動的で暗号化されたマイクロトンネルを作成します。広範なネットワークアクセスを提供する従来のVPNアプローチとは異なり、SDPはビジネス機能に必要なものだけに接続を制限します。このきめ細かさにより、たとえ有効な認証情報があっても、攻撃者がネットワークを探索することを防ぎます。
効果的なセグメンテーションのベスト・プラクティスとしては、重要な資産を特定し、その周囲に保護ゾーンを設定すること、セグメント間で厳格な東西トラフィック・フィルタリングを実施すること、ユーザー、デバイス、アプリケーションのコンテキストを考慮したID認識コントロールを導入することなどが挙げられる。組織はまた、セグメント間のトラフィックに異常がないか監視し、侵入テストを通じてセグメンテーションの有効性を定期的にテストする必要がある。
マイクロセグメンテーションのビジネスケースは説得力があり、企業は侵害コストの削減と運用の効率化を通じて大きなROIを報告している。横方向の動きを制限し、攻撃の爆発半径を縮小することで、マイクロセグメンテーションへの投資は、測定可能なセキュリティとビジネス価値をもたらします。
最新の検知には、エンドポイント、ネットワーク、アイデンティティに特化したテクノロジーを組み合わせて連携させる必要がある。単一のツールで横の動きを完全に可視化することはできませんが、複数のドメインのシグナルを相関させる統合プラットフォームが最も高い検出率を達成します。
Endpoint Detection and Response (EDR)ソリューションは、個々のシステム上のプロセス実行、ファイルアクセス、レジストリ変更に対する深い可視性を提供します。高度な EDR プラットフォームは振る舞い 分析を使用して、PowerShell の異常な使用、プロセスインジェクション、またはクレデンシャルダンプの試行などの疑わしいパターンを識別します。脅威インテリジェンスとの統合により、既知の横移動ツールやテクニックを検出することができます。
ネットワーク・ディテクション・アンド・レスポンス(NDR)テクノロジーは、ネットワーク・トラフィックを分析し、横方向の動きを検出します。機械学習モデルは、通常の通信パターンをベースラインとし、異常な SMB トラフィック、予期しない RDP 接続、疑わしいサービス・アカウントの動作などの異常について警告を発します。NDR は、エンドポイント制御を回避する可能性のある LOTL 攻撃の検出に優れています。
XDR(Extended Detection and Response)プラットフォームは、エンドポイント、ネットワーク、クラウド環境全体の信号を相関させ、複雑な横移動パターンを特定します。複数のソースからのテレメトリを組み合わせることで、XDR は、個別のツールでは見逃してしまうような多段階の攻撃を検知 ことができます。また、プラットフォームのアプローチは、関連するイベントを統合インシデントに相関させることで、アラートの疲労を軽減します。
Identity Threat Detection and Response(ITDR)は、特に ID ベースの攻撃に特化した最新のカテゴリである。これらのソリューションは、認証フローを監視し、クレデンシャルの不正使用を検知 し、横の動きを可能にする特権昇格の試みを特定します。侵害の80%が漏洩した認証情報であることを考えると、ITDRは検出スタックの重要なギャップを埋めるものです。
クラウド環境は、従来のセキュリティ対策では対応できなかった独自の横移動ベクトルをもたらします。責任共有モデル、動的なインフラ、API駆動型のアーキテクチャは、オンプレミス環境では不可能な方法で攻撃者が横方向に移動する機会を生み出します。コンテナベースの横移動攻撃は著しく増加しており、クラウドに特化した防御の緊急性が浮き彫りになっています。
クラウドプラットフォームの抽象化レイヤーは、インフラからプラットフォーム、ソフトウェアサービスに至るまで、それぞれに明確な横移動リスクが存在する。攻撃者は設定ミスを悪用し、サービスアカウントを悪用し、クラウドを強力にしている自動化そのものを活用する。このようなクラウドネイティブのテクニックを理解することは、最新のクラウドセキュリティアーキテクチャを保護するために不可欠です。
コンテナのエスケープは、コンテナ化された環境における最も直接的な横移動の形態です。攻撃者はコンテナランタイム、カーネルサブシステム、またはオーケストレーションプラットフォームの脆弱性を悪用し、コンテナの隔離から抜け出す。MITRE ATT&CK テクニック T1611 には、特権コンテナの悪用からマウントされたホスト・ファイルシステムの悪用まで、さまざまなエスケープ手法が記載されています。
Kubernetesクラスタは、サービスアカウントトークンの悪用によるリスクにも直面している。すべてのPodはデフォルトでサービスアカウントトークンを受け取り、攻撃者が偵察や横移動に活用できるAPIアクセスを提供します。過剰なパーミッションで単一のPodを侵害すると、Kubernetes APIを介したクラスタ全体へのアクセスが可能になります。
最近のサイドカー・コンテナ攻撃の増加は、進化するテクニックを示している。攻撃者はポッド内の1つのコンテナを侵害し、ボリュームやネットワーク・ネームスペースなどの共有リソースを使用して近隣のコンテナにアクセスします。この横移動は同じポッド内で発生し、多くの場合、ネットワークベースの検出を回避します。
危殆化したコンテナイメージを介したサプライチェーン攻撃は、事前に配置された横移動能力を可能にする。バックドアや暗号通貨マイナーを含む悪意のあるイメージは、組織がインフラ全体に展開する際に自動的に拡散します。2024年12月に発生したDocker Hub事件では、何千ものイメージにmalware隠されていましたが、これはこのリスクの一例です。
クラウドサービスのアカウントと管理されたアイデンティティは、侵害された場合に強力な横移動のベクトルとなります。AWSでは、攻撃者はIAMロールの仮定を悪用してアカウントとサービス間をホップします。ロールがアタッチされた侵害されたEC2インスタンスは、ロールが許可するあらゆるリソースにアクセスでき、複雑な組織の複数のAWSアカウントにまたがる可能性がある。
Azure のサービスプリンシパルも同様の悪用に直面しています。サービスプリンシパルを持つアプリケーションを侵害した攻撃者は、そのパーミッションを使用してAzureリソースにアクセスし、ディレクトリを列挙し、他のサブスクリプションに移動する可能性があります。サービスプリンシパル認証のプログラム的な性質は、この活動が正当な自動化と同じように見えるため、検知を困難にします。
サーバーレス関数の連鎖は、巧妙な横移動経路を生み出す。攻撃者は1つのLambda関数またはAzure Functionを侵害し、その実行コンテキストを使用して他の関数を呼び出したり、データベースにアクセスしたり、ストレージサービスとやり取りしたりする。サーバーレス実行のエフェメラルな性質は、フォレンジックと検知を複雑にします。
ハイブリッド・クラウド環境におけるTheWizards APTグループのIPv6 SLAAC攻撃は、プロトコルレベルの脆弱性がいかに横展開を可能にするかを示している。オンプレミスとクラウドのインフラを接続するデュアルスタックネットワークのIPv6自動設定を悪用することで、彼らはIPv4トラフィックに焦点を当てたセキュリティ制御を回避しました。この手法は、クラウド接続がいかに予期せぬ横方向の移動ベクトルを生み出すかを浮き彫りにしています。
横移動攻撃の進化は、同様に進化した防御を要求している。zero trust ような最新のアプローチを導入している組織では、成功した攻撃が67%減少したと報告されており、侵害を想定し、暗黙の信頼を排除することの有効性が実証されている。これらの戦略は、最初の侵害を防ぐことではなく、その影響を抑えることに重点を置いている。
マイクロセグメンテーション、AI主導 検知、アイデンティティ中心のセキュリティなど、複数の防御技術の融合により、攻撃者の目的を挫く深層防御が実現します。PCI DSS v4.0ではネットワーク・セグメンテーションの検証が明示的に義務付けられ、NIS2指令では横の動きに対する回復力が強調されている。
横の動きに対する防御への投資は、測定可能なリターンをもたらします。成功した攻撃を減らすだけでなく、包括的なzero trust 戦略を導入している組織は、侵害コストを大幅に削減しています。IBMの2021年の調査では、成熟したzero trust 導入している組織は、zero trust 導入していない組織と比較して176万ドル節約できたことが実証されています。インシデント発生頻度の低減と侵害発生時の影響の最小化の組み合わせは、最新の防御アプローチへの投資を正当化する。
Zero trust アーキテクチャは、信頼された内部ネットワークという概念を排除し、ソースに関係なくすべての接続に対して継続的な検証を必要とする。このアプローチは、攻撃者が悪用する暗黙の信頼を排除することで、横移動に直接対抗します。zero trust 導入している組織では、セキュリティ体制の劇的な改善が報告されており、横方向の移動インシデントが90%減少した例もあります。
NIST SP 800-207フレームワークは、zero trust 実施のための包括的なガイダンスを提供している。主な原則には、すべてのトランザクションの明示的な検証、最小特権アクセスの実施、すべてのセキュリティ決定における違反の想定が含まれる。これらの原則は、横の動きを可能にする条件に直接対処している。
AI主導の検知能力は著しく成熟しており、機械学習モデルは現在、横の動きを示す微妙な振る舞い 異常を特定することができる。これらのシステムは、通常のユーザーやエンティティの行動をベースラインとし、侵害を示す可能性のある逸脱を検知 します。シグネチャベースの検知とは異なり、AIアプローチは新しい攻撃手法やLiving Off the Land 手口を特定することができます。
マイクロセグメンテーション市場は2030年までに520億8,000万ドルに成長すると予測されているが、これは横方向の動きを防止する効果を反映したものである。最新のマイクロセグメンテーション・プラットフォームは、ID、ワークロード属性、アプリケーションの依存関係を利用して、動的なセキュリティ・ポリシーを作成する。このアプローチは、静的なネットワーク境界を越えて、リスクとコンテキストに基づいて調整する適応型防御を実現します。
Vectra AIは、シグネチャや既知のパターンではなく、攻撃者の行動に焦点を当てた方法論であるAttack Signal Intelligence™を通じて、横方向の移動検知にアプローチします。このアプローチは、ツールや技術が進化する一方で、横の動きに必要な基本的な行動は一貫していることを認識しています。
このプラットフォームは、ネットワーク、エンドポイント、ID間の弱いシグナルを相関させ、個々のアラートが見逃す可能性のある横の動きのパターンを特定します。エンティティ間の関係や通常の通信パターンを分析することで、Attack Signal Intelligence 、攻撃者が正規のツールやプロトコルを使用している場合でも、横方向の動きを示す異常な動作を特定します。
この振る舞い アプローチは、従来の検知を回避するLiving Off the Land 攻撃に対して特に効果的です。このプラットフォームは、特定のツールやコマンドを探すのではなく、横移動の結果(異常なアカウントの使用、非定型のシステム・アクセス・パターン、異常なデータ・フロー)を特定します。この手法により、既知と未知の両方の横移動テクニックを検出することが可能になり、進化する攻撃手法に対する耐性を提供します。
攻撃側と防御側の双方が新たなテクノロジーを活用することで、横移動の状況は今後12~24カ月の間に大きな変化を遂げるだろう。人工知能は攻撃と防御の両方の能力に革命を起こしており、MLを搭載した攻撃ツールは自動的に横移動の機会を特定し悪用する一方、防御AIは振る舞い 検知においてますます洗練されていく。
IoTやエッジ・コンピューティング・デバイスの急増により、攻撃対象は飛躍的に拡大しています。接続された各デバイスは、特にIT/OTの融合が進む製造業やヘルスケア環境において、横方向の動きの潜在的な支点となります。ガートナーは、2024年の15%から2026年までに60%の組織がIoTデバイスを介した横の動きを経験すると予測しています。組織は、このような非従来型のエンドポイントを包含するように、横の動きに対する防御を拡張する必要がある。
耐量子暗号は、認証と横方向の移動を驚くべき方法で再構築する。組織が新しい暗号標準を導入して量子コンピューティングの脅威に備える一方で、移行期間には脆弱性が生じます。攻撃者はすでに将来の復号化のために暗号化された認証情報を採取しており、移行期間中に混在する暗号環境は、プロトコルのダウングレード攻撃を通じて新たな横移動ベクトルを導入することになる。
EUのNIS2指令や、今後予定されている米国連邦政府の要件では、横方向の移動防止を明確に取り上げており、規制の圧力は高まり続けている。ネットワーク・セグメンテーションと横移動対策が不十分であった場合、企業は全世界の売上高の最大 2%に相当する制裁金を科される可能性がある。規制の焦点は、基本的なコンプライアンスから、巧妙な横移動攻撃に対する回復力の実証へと移っている。
サプライチェーンのセキュリティは、特にソフトウェアの依存関係やサードパーティの統合を介した、重要な横の動きのベクトルとして浮上している。2025年の予測では、侵害の40%がサプライチェーン接続を介した横の動きに関与している。組織は、zero trust 原則をベンダーのアクセスにも適用し、サードパーティの接続とコアのインフラとの間に厳格なセグメンテーションを導入する必要がある。
今後 24 ヶ月間の投資の優先順位は、ID を中心としたセキュリティ対策に重点を置くべきである。組織は、パスワードレス認証、継続的な本人確認、特権アクセス管理を優先すべきである。さらに、攻撃のスピードが加速し続け、横の動きを封じ込めるには人間の対応時間ではもはや十分でないため、自動化された対応機能が不可欠となる。
ラテラル・ムーブメントは、技術的な好奇心から、現代のサイバーセキュリティの決定的な課題へと発展している。組織の90%近くがこの脅威に直面しており、攻撃は1時間以内に広がる可能性があり、平均的な侵害のコストは全世界で444万ドルとなっている。しかし、これらの数字は物語の一部を語っているに過ぎない。真のインパクトは、横の動きが意味する根本的な転換にある。つまり、侵害を防ぐことから、侵害を想定し、被害を抑えることへと転換することである。
技術やツールは進化し続けるだろうが、効果的な防御の原則は不変である。組織は、暗黙の信頼を排除するzero trust 採用し、攻撃の伝播を制限するマイクロセグメンテーションを実装し、使用するツールに関係なく攻撃を特定する振る舞い 検知を導入しなければならない。成功した攻撃の削減と侵害コストの大幅な削減が証明されていることから、これらの投資は測定可能なリターンをもたらすことがわかります。
セキュリティ・リーダーは明確な選択を迫られている。巧妙化する攻撃者に追いつき続けるか、横の動きが可能であるばかりでなく起こりうる世界に向けてセキュリティ・アーキテクチャを抜本的に見直すかである。成功する組織は、この現実を受け入れ、壊滅的な被害が発生する前に横の動きを封じ込め、検知 するレジリエントな防御を構築するものである。
横移動検知へのアプローチを変革する準備はできていますか?Vectra AIのAttack Signal Intelligence 、攻撃者が使用する手法に関係なく、お客様の環境における横方向の動きを特定し、阻止する方法をご覧ください。
横方向への移動と特権の昇格は、攻撃の連鎖の中で異なる目的を果たしますが、攻撃者は最大限の効果を得るために、この2つを組み合わせることがよくあります。横方向への移動は、同じ特権レベルを維持したまま、システム間で横方向に拡散することを意味し、一般ユーザーが標準的な権限を持つ複数のワークステーションにアクセスするようなものです。攻撃者の目標は、探索、持続、そして昇格の試みが引き起こす可能性のあるセキュリティ警告をトリガーすることなく、貴重なデータに到達することです。
特権の昇格は、逆に、権限階層を垂直方向に移動することを含む。攻撃者は、脆弱性、設定ミス、または盗まれた認証情報を悪用して、管理者、ルート、またはシステムレベルのアクセス権を獲得します。この特権の昇格は1つのシステム上で発生し、攻撃者に以前は持っていなかった能力を提供します。
実際の攻撃では、このテクニックは相乗的に機能する。攻撃者は通常、特権昇格に脆弱なシステムを見つけるまで、標準的なユーザー認証情報を使って横方向に移動する。いったん特権を昇格させると、より自由に横方向に移動できるようになり、より機密性の高いシステムにアクセスできるようになります。Volt Typhoon キャンペーンは、このパターンを例証するもので、数カ月にわたってユーザーレベルのアクセス権を維持しながら横方向に移動し、特定の目的が管理者アクセスを必要とする場合にのみ特権を昇格させました。この関係を理解することで、セキュリティ・チームは、1つの手法に対する防御だけでは十分ではないこと、つまり、包括的なセキュリティには、横方向と縦方向の両方の移動経路に対処する必要があることを認識することができます。
最近の攻撃の進化に伴い、横方向の移動速度は劇的に加速している。2024年から2025年にかけての最新データによると、横方向への移動は最初の侵害から平均48分で発生し、観測された最速の攻撃はわずか18分でネットワークの完全な伝播を達成しています。AI機能で強化されたLockBit 4.0ランサムウェアは、2025年のいくつかのインシデントにおいて、最初のアクセスから完全なネットワーク暗号化まで20分未満で移動し、この極端なスピードを実証しました。
これらの期間は、いくつかの要因によって大きく異なります。Volt Typhoon ような国家レベルの攻撃者は、発見されないように何カ月もかけてじっくりと動くことが多いが、ランサムウェアのグループはステルス性よりもスピードを優先する。ネットワーク・アーキテクチャもスピードに影響します。最小限のセグメンテーションしかないフラットなネットワークは迅速な動きを可能にしますが、zero trust 備えた適切にセグメンテーションされた環境では、伝播を遅らせたり、完全に停止させたりすることができます。
標的環境のセキュリティ成熟度が最も大きな変動要因となる。強力なアイデンティティ管理、ネットワーク・セグメンテーション、振る舞い 検知を備えた組織は、横方向の移動にかかる時間を数分から数時間、数日に延長することができ、重要 な対応時間を提供することができる。逆に、過剰な権限、パッチが適用されていないシステム、見通しの悪い環境では、ほぼ瞬時の移動が可能です。CrowdStrike 1-10-60ルールは、1分以内に侵入を検知 、10分以内に脅威を理解し、60分以内に対応するという実践的なフレームワークを提供します。
攻撃者は、正当な Windows の機能やプロトコルを悪用する、実績のあるいくつかの横移動テクニックを一貫して利用している。パスザハッシュ(T1550.002)は、攻撃者が実際のパスワードを知らなくても、盗んだ NTLM ハッシュを使用して認証できるようにするもので、依然として壊滅的な効果があります。このテクニックは、従来のパスワード制御をバイパスし、強力で複雑なパスワードでも機能するため、ドメイン侵害事例の60%以上に見られます。
リモート・デスクトップ・プロトコルの不正使用(T1021.001)は、正当な管理者の活動を完全に模倣した対話型アクセスを提供します。攻撃者は、RDP を横方向への移動と持続的なアクセスの両方に活用し、通常のリモート管理のように見せかけながら、セッションを数週間にわたって維持することがよくあります。このプロトコルは企業環境に広く普及しており、悪意のある使用と正当な使用を区別することが難しいため、魅力的なベクターとなっています。
Living Off the Land 攻撃の 71% に PowerShell が使用されているなど、Living Off the Land 戦法は現代の横方向の移動の主流となっています。攻撃者は、WMI、スケジュールされたタスク、サービス作成のようなWindowsネイティブツールを使用して、malware展開することなくシステム間を移動します。これらの手法は、従来のアンチウイルスを回避し、ツール自体が正規のものであるため、フォレンジック分析が困難となります。PowerShellリモーティングとPsExecやWMIのようなツールの組み合わせは、防御制御に適応する強力で柔軟な横移動機能を提供します。攻撃者は同じ基本的なアプローチを維持しながら、継続的にそのテクニックを進化させているため、セキュリティ・チームは特定のツールではなく、振る舞い パターンの検出に焦点を当てる必要があります。
クラウド環境は、従来のオンプレミス攻撃とは大きく異なる、独自の進化を遂げる横移動リスクに直面しています。攻撃者は、コンテナのランタイムやオーケストレーション・プラットフォームの脆弱性を悪用して隔離境界を突破します。2025年にコンテナベースの横移動攻撃が34%増加したことは、攻撃者がいかにクラウドネイティブなアーキテクチャに適応しているかを示している。Kubernetes環境は、サービスアカウントトークンの悪用によるリスクに特に直面しており、過剰な権限を持つ単一のポッドを侵害することで、Kubernetes APIを介したクラスタ全体の横移動が可能になります。
クラウド・サービス・アカウントと管理IDの悪用は、クラウド・リソースを横断する強力な横移動経路を生み出します。AWSでは、攻撃者はIAMロール・チェーニングを悪用してアカウントとサービス間をホップし、クラウドの自動化を可能にする信頼関係を活用します。Azureのサービスプリンシパルも同様の機会を提供し、侵害されたアプリケーションは割り当てられたアクセス許可を使用して、サブスクリプション間のリソースにアクセスします。これらのIDはプログラム的な性質を持っているため、悪意のあるアクティビティが正規の自動化と同じように見えるため、検知は困難です。
サーバーレスアーキテクチャは、関数の連鎖とイベントドリブントリガーを通じて、微妙な横移動ベクトルを導入する。攻撃者は1つのLambda関数またはAzure Functionを侵害し、その実行コンテキストを使用して他の関数を呼び出したり、データベースにアクセスしたり、ストレージサービスを操作したりする。サーバーレス実行のエフェメラルな性質は、検知とフォレンジックを複雑にする。マルチクラウド環境では、攻撃者がクラウド間の接続性を悪用して異なるプロバイダー間を横方向に移動するため、こうした課題がさらに複雑化し、シングルクラウドの脅威に焦点を当てたセキュリティ制御をバイパスすることが多くなります。
WindowsイベントIDは、横の動きを検出するための重要な遠隔測定を提供するが、効果的な検出には、個々のIDで警告するのではなく、複数のイベントを相関させる必要がある。イベント ID 4624(ログオンの成功)は、特にログオンタイプ 3(ネットワークログオン)とタイプ 10(リモート対話)イベントなど、横方向の動きを検知するための基礎を形成します。数分以内に複数のシステムで連続するタイプ3のログオン、特にサービス・アカウントからのログオンや営業時間外のログオンは、横方向の移動を強く示しています。ソース IP 分析およびアカウント使用パターンと組み合わせることで、4624 イベントはネットワークを介した攻撃者の移動経路を明らかにします。
イベント ID 4625(失敗したログオン)は、偵察とクレデンシャルの推測を明らかにする。成功した 4624 に続く複数の 4625 イベントは、パスワードの散布または総当たり攻撃を示します。単一のソースからの複数のターゲット・システムにわたる失敗のパターンは、特に自動化された横移動ツールを示唆します。イベント ID 4648(明示的なクレデンシャルの使用)は、プロセスがログインしているユーザとは異なるクレデンシャルを使用する場合に、パスザハッシュやクレデンシャルの盗難を検出するために非常に重要です。
イベントID 4769(Kerberos Service Ticket Request)は、Pass the Ticket攻撃とゴールデン・チケットの使用を特定するのに役立ちます。異常なサービス・チケット・リクエスト、特に通常はリクエストしないシステムからの高プリビレッジ・サービスのリクエストは、早急な調査が必要です。効果的な検出には、これらのイベントをネットワーク・トラフィック解析およびプロセス作成イベント(4688)と組み合わせる相関ルールが必要です。例えば、4648イベントの直後にタイプ3の4624イベントが続く場合、Pass the Hash攻撃を強く示唆し、一方、サービス作成と組み合わされた4769イベントの異常なパターンはSilver Ticket攻撃を示唆するかもしれません。
Zero trust アーキテクチャは、横の動きを可能にする暗黙の信頼を排除することで、ネットワーク・セキュリティを根本的に変革する。従来の境界ベースのセキュリティは、ネットワーク内のユーザーとデバイスが信頼に足ることを前提としており、一度認証されれば幅広いアクセスを許可する。Zero trust この前提を取り除き、発信元や以前の認証に関係なく、すべての接続に対して継続的な検証を要求します。このアプローチでは、攻撃者にすべてのステップで認証を強制することで、横方向の移動に直接対抗し、検出のリスクを劇的に高めます。
zero trust 原則を導入することで、横の動きに対する複数の障壁が生まれる。マイクロセグメンテーションは、ネットワークをきめ細かいゾーンに分割し、ゾーン間のアクセス制御を厳密に行うことで、有効な認証情報があっても攻撃者の拡散能力を制限する。アイデンティティ・ベースのポリシーは、アクセスが認証情報だけでなく、ユーザーの行動、デバイスの健全性、場所や時間などのコンテキスト要因にも依存することを保証します。最小特権アクセスは、ユーザーとアプリケーションがその機能に不可欠なリソースにのみアクセスすることを保証し、横方向の移動に利用可能な攻撃対象領域を縮小します。
実際の結果は、zero trust横の動きに対して有効であることを示している。包括的なzero trust アーキテクチャを導入している組織では、成功した攻撃が67%減少し、横移動インシデントが90%減少したと報告しています。このアプローチは、使用されているツールに関係なく、振る舞い 分析が異常な使用パターンを検知 ため、正当なツールを悪用するLiving Off the Land 攻撃に対して特に効果的であることが証明されています。侵害が発生した場合、zero trust 、爆発半径を制限し、攻撃者が重要な資産に到達するのを防ぐことで、侵害コストを大幅に削減します。
IBMの「Cost of Data Breach Report(データ侵害のコストレポート)」によると、世界平均の侵害コストは444万ドルである。横移動攻撃を受けた組織は、攻撃速度の高速化と、検知前に侵害範囲を拡大するより洗練された手法によって、さらなるコスト増に直面しています。このコストには、即時のインシデント対応、復旧時のビジネスの混乱、規制当局による罰則、弁護士費用、顧客獲得と維持に影響する長期的な風評被害などが含まれる。
業界特有の影響は、データの機密性や規制要件によって大きく異なります。IBMの調査によると、医療機関の侵害コストは常に1,000万ドルを超えています。Change Healthcareのランサムウェア攻撃はその典型で、2,200万ドルの身代金支払いに加え、数百万人の患者に影響を与える大規模な業務中断をもたらしました。金融サービスでは、最も速い横移動攻撃が発生し、平均31分で重要なシステムに到達するため、直接の侵害コストを上回ることが多い規制上の精査やコンプライアンス上の罰則が課されることになります。
横の動きを防止するための投資対効果は、あらゆる部門で説得力があることが証明されています。zero trust マイクロセグメンテーションを含む包括的な防御戦略を導入している組織は、侵害コストの削減や運用の改善を通じて、大きなROIを報告しています。侵入を完全に防止するだけでなく、これらの管理策は攻撃者の拡散を制限することで、侵入が発生した場合のインシデントコストを削減します。検知と封じ込めが迅速化されることで、ビジネスの中断が最小限に抑えられるだけでなく、ベンダー選定の際にセキュリティ態勢を評価する顧客が増加する中、セキュリティの強靭性が実証されるという競争上のメリットも得られます。
スレット・ハンティングは、横方向の動きを示す兆候を含め、既存のセキュリティ対策を回避するサイバー脅威をプロアクティブに探索します。熟練した脅威ハンターは、侵害の微妙な兆候を特定することができ、ネットワーク内のステルス的な攻撃者の動きを発見し、対処するのに役立ちます。
組織は、先進的なサイバーセキュリティ・ツールに投資し、定期的なセキュリティ評価、脅威インテリジェンス、強固なエンドポイント保護を含む全体的なセキュリティ戦略を採用し、全従業員にセキュリティに対する意識を高める文化を醸成することで、防御力を向上させることができる。
今後の展開としては、異常な活動をより的確に検知するためのAIや機械学習技術の進歩、zero trust 原則の広範な採用、横移動の手口をより効果的に特定・軽減するための組織間での脅威インテリジェンス共有の強化などが考えられる。