利便性を封じ込めより優先する企業姿勢が、ラテラルムーブメントのリスクを高めている

企業ネットワークはレガシープロトコルや信頼された管理経路への依存度が高すぎるため、いったんネットワークに侵入されると内部サーバーに容易に到達されてしまうことが、テレメトリデータから明らかになりました。

実際の企業セキュリティテレメトリに基づく最近の調査によると、セグメンテーションが不十分なネットワークやセキュリティ管理の甘さが、セキュリティ組織による攻撃の検知・封じ込め能力を依然として損ない続けており、初期侵害後の攻撃者にやりたい放題を許しているといいます。

Zero Networksの「2026 Lateral Movement Exposure Report」は、312の実稼働企業環境における54兆件のアクティビティを分析したもので、企業サーバーの80%以上がネットワーク内部のどこからでも到達可能であることが判明しました。

同調査によると、企業サーバーの87%が、広範な内部ソースからのRDP(リモートデスクトッププロトコル)接続またはSSH(セキュアシェル)接続を受け入れており、いったんネットワーク内部に侵入した攻撃者に広範なアクセス経路を与えています。

さらに、企業サーバーの78%がSMB(サーバーメッセージブロック)またはWinRM(Windowsリモート管理)経由で到達可能です。これらのネットワークプロトコルは、ランサムウェアなどの攻撃の一環として、攻撃者がラテラルムーブメントを達成するために一般的に悪用するものです。

加えて、内部認証トラフィックの43%は依然としてNTLM(New Technology Lan Manager)に依存しています。これはレガシープロトコルであり、クレデンシャルリレー攻撃や権限昇格攻撃に頻繁に悪用されています。さらに、組織の12%はユーザーからサーバーへの直接的な管理経路を維持しており、これは1台の侵害された従業員デバイスが、価値の高いシステムへの即座のアクセスを許してしまうことを意味します。

「これらの調査結果は、当社Huntressのスレットハンターが最前線で日々目にしている現実と完全に一致しています」と、マネージド検知・対応(MDR)企業Huntressのセキュリティオペレーション担当シニアマネージャーであるドレイ・アガ氏はCSOに語っています。「ほとんどのネットワーク境界は外側では強固ですが、その厳格さは内部ネットワークでは失われ、フラットな状態になってしまいます」。

侵害されたネットワーク内部からほとんどの企業サーバーにアクセスできてしまうということは、攻撃者は境界を突破しさえすれば、高度なゼロデイエクスプロイトをほとんど必要としないことを意味します。

「攻撃者は、ITチームが使用しているのとまったく同じ管理ツールやオープンな経路(RDPやSMBなど)を使って、単純に『環境寄生型(Living off the Land)』の手口を取っているだけなのです」とアガ氏は付け加えます。

サイバーセキュリティ企業SpecterOpsのチーフ・グローバル・プロフェッショナルサービス・オフィサーであるロビー・ウィンチェスター氏も、Zero Networksの調査結果は「私たちが通常観測している内容とまさに一致している」と述べています。

「私たちが実施したほぼすべてのレッドチーム演習やペネトレーションテストにおいて、テスターはラテラルムーブメントを達成できています」とウィンチェスター氏は説明します。「BloodHoundのようなツールを使うと、攻撃経路がいたるところに存在しており、可視性なしにはそれを排除することが難しいことがわかります。これは、ラテラルムーブメントを防ぐことがいかに困難であるかを浮き彫りにしています」。

設計上、相互接続されている

問題の核心は、セキュリティチームがネットワーク内部において相当程度の暗黙的な信頼を許容しながら、長年にわたって境界防御の強化に注力してきたという点にあります。

しかし、こうしたアプローチから脱却することは決して容易ではない、とトレンドマイクロのシニア脅威リサーチャーであるデビッド・サンチョ氏は指摘します。

「不都合な現実として、多くの企業環境は設計上、高度に相互接続されたままになっています」とサンチョ氏は言います。「RDP、SMB、SSH、WinRMが存在するのは、管理者が業務を遂行する必要があるからです」。

NTLMのようなレガシープロトコルが残り続けているのは、置き換えが運用上困難な場合があるためですが、それでもこうした老朽化した技術を置き換えることは望ましい対応です。なぜなら、その存在によって、攻撃者が侵害したネットワークのさらに奥深くへと入り込みやすくなってしまうからです。

とはいえ、広範な露出が必ずしもあらゆる状況下での広範な悪用に直結するわけではない、とサンチョ氏は指摘します。

「到達可能性が示すのは潜在的な被害範囲であって、侵害の確実性ではありません」と同氏は説明します。「同時に、今回の調査結果は、セキュリティと使いやすさのバランスを取るという、継続的な運用上の課題を浮き彫りにしています」。

さらにサンチョ氏は、「管理経路を制限すること、レガシープロトコルを廃止すること、より強固なセグメンテーションを実装することは、いずれも妥当な対策です。しかし、何十年もかけて構築された複雑な環境においては、こうした対策の実行は往々にして困難です」と付け加えます。

GolfWiz AIの創業者兼共同CTOであるドルーヴ・ダッタ氏も、到達可能なサーバーは、企業セキュリティのレジリエンスというより広範な問題の一側面にすぎないと見ています。

「到達可能なサーバーであっても、ID管理、エンドポイント監視、アクセスポリシー、その他の防御策によって依然として保護されている可能性があります」とダッタ氏はCSOに語ります。「実際のリスクは、攻撃者が獲得した権限の程度、各プロトコルを取り巻く管理体制、そして不審な活動がどれだけ迅速に検知されるかにも左右されます」。

それでも、機密システムを保護できる見込みを少しでも持つためには、防御側は攻撃者の移動先を制限する取り組みをさらに強化する必要がある、とペネトレーションテスト・アズ・ア・サービス企業CobaltのOffensive Security Research担当ディレクターであるジョー・ブリンクリー氏は主張します。この必要性は、自動化・AI主導型のラテラルムーブメントの利用が拡大するにつれ、ますます切迫したものになりつつあります。

「組織は、純粋な検知に頼る戦略から脱却し、マイクロセグメンテーションと厳格なID駆動型の最小権限による、確定的な封じ込めを優先させなければなりません」とブリンクリー氏は助言します。

対策

機密システムが内部から到達可能な状態にあることは、ランサムウェアや権限昇格の重大なリスクを生み出します。境界防御の強化だけに注力するのでは、まったく不十分です。

攻撃経路のリスクを軽減し、攻撃者にとって行動しづらい環境を作るには、ネットワークセグメンテーションの改善、ID管理、レッドチームテスト、そして特権アクセスのより厳格な分離を組み合わせて実施する必要があります。

翻訳元: https://www.csoonline.com/article/4194708/lateral-movement-risk-rises-as-enterprises-emphasize-convenience-over-containment.html

ソース: csoonline.com