【ITニュース解説】The Silent Intruder: Mastering the Art of Lateral Movement and Network Reconnaissance

ネットワークへの侵入は、攻撃者にとっての最初の小さな成功に過ぎない。巧妙なフィッシングメールや、外部に公開されたサーバーの脆弱性の悪用、あるいは盗まれた一つのパスワードによって、企業ネットワーク内に「足がかり」を得た後も、本当の目的はネットワークの奥深くに隠された「王冠の宝石」と呼ばれる重要な情報、例えば企業の頭脳ともいえるドメインコントローラーや、顧客データを含む財務データベース、会社の知的財産などに到達することにある。システムエンジニアを目指す人にとって、初期の侵入はまだ始まりに過ぎないという認識が重要だ。この最初の侵入後の攻撃フェーズは、「ポストエクスプロイテーション」と呼ばれ、攻撃者が内部ネットワークを探索し、権限を昇格させ、システムからシステムへと移動する行動は「ラテラルムーブメント」と称される。これは、スパイのような忍耐力と戦略家の狡猾さを組み合わせた、目に見えない、しかし非常に緻密な戦いであり、しばしば数週間から数ヶ月にわたって展開され、組織に最も甚大な被害をもたらす段階となる。攻撃者は、この内部のネットワークを航海しながら、徐々に認証情報やアクセス権限を集め、最終的には組織の心臓部を完全に支配しようとする。

攻撃者がシステムに侵入した直後は、いわば目隠しされた状態にある。ネットワークの構成、重要なサーバーの場所、ユーザーの階層、そしてどのようなセキュリティ対策が施されているか、何も知らない。そのため、最初の最も重要な任務は、この未知のネットワークの地図を作り上げることになる。これは「内部ネットワーク偵察」と呼ばれるプロセスである。この段階では、あまりにも性急に、あるいは目立つ行動を取ると、組織のセキュリティチームに警戒されてしまうため、攻撃者は細心の注意を払う。現代の攻撃者は、「Living-off-the-Land（ランドに住まう）」という戦略をほぼ排他的に用いる。これは、攻撃用の特別なツールを外部から持ち込むのではなく、標的のシステムに元々備わっている正規のツールやプロトコルを利用して情報を収集するという考え方だ。

例えば、ネットワーク全体をスキャンするような派手なツール、Nmapなどを使う代わりに、攻撃者はオペレーティングシステム自体に情報を問い合わせる。コマンドプロンプトからnet user /domainのような簡単なコマンドを実行するだけで、Active Directoryに登録されている全てのユーザーリストを入手できる。また、net group "Domain Admins" /domainと入力すれば、企業内で最も特権を持つ「ドメイン管理者」が誰であるかを即座に特定できる。さらに、nltest /dclist:domain.localといったコマンドを使えば、ドメインコントローラー（ネットワーク内で最も重要なターゲット）の名前とIPアドレスが明らかになる。これらは、システム管理者が日常的に使うツールやコマンドであり、ハッキング行為とはみなされず、疑われることなく多くの情報が得られてしまう。

この手動での情報収集作業は、BloodHoundのような洗練された偵察ツールによってさらに強化される。BloodHoundは単にユーザーやコンピューターを見つけるだけでなく、それらの間の「経路」を発見する。ネットワークから収集したデータを分析し、グラフ理論という数学的な手法を応用して、大規模なActive Directory環境内に存在する、隠されたり意図しない特権昇格の経路を視覚的にマッピングする。これにより、「この一般ユーザーアカウントを乗っ取った場合、どのような権限の連鎖やグループメンバーシップをたどれば、最短でドメイン管理者の権限を得られるか？」といった質問に答えることができる。その結果は、ネットワーク全体を掌握するための驚くほど明確な視覚的ロードマップとなり、人間が手作業で見つけ出すのはほぼ不可能な複雑な信頼関係の連鎖を暴き出す。この初期のマップ作成フェーズが、その後の全てのラテラルムーブメント攻撃の基盤となる。

攻撃者がネットワークの地図を手に入れたら、次に必要なのは「鍵」である。WindowsのActive Directory環境において、究極の鍵となるのは、強力なサービスアカウントの認証情報だ。サービスアカウントとは、データベース（MSSQL）やウェブサーバー（IIS）、自動化エンジンといった重要なサービスを実行するために使われる特殊なアカウントである。これらのアカウントは、しばしば広範なシステム権限を持っており、しかも一般ユーザーのパスワードに比べて変更される頻度が低い傾向があるため、攻撃者にとって非常に魅力的な標的となる。これらの認証情報を盗む最も巧妙で目立たない方法が、「Kerberoasting」と呼ばれる手法である。

この攻撃の巧妙さを理解するには、Kerberos認証プロトコルの仕組みの一部を知る必要がある。あるサービスにアクセスしようとするユーザーは、ドメインコントローラーに対して「TGS（Ticket-Granting Service）チケット」を要求する。このチケットは、そのサービスを実行するサービスアカウントのNTLMパスワードハッシュという情報を使って、部分的に暗号化されている。この点が、Kerberoastingが利用する決定的な設計上の特徴となる。攻撃者は、たとえ何の権限も持たないごく普通のドメインユーザーアカウントに足がかりを得ていたとしても、ネットワーク上の任意のサービスに対するTGSチケットを要求することができる。ドメインコントローラーは、これがKerberosの通常の動作であるため、何の疑いもなくそのチケットを発行してしまう。

攻撃者はこれで、サービスアカウントのパスワードハッシュによってロックされた、小さな暗号化されたデータの一部を手に入れたことになる。次のステップがこの攻撃の最も見事な部分だ。攻撃者はこのチケットをオフラインに持ち出す。つまり、チケットを自分の強力なクラッキングマシン（複数の高性能GPUを搭載したコンピューターなど）に転送し、そこでパスワードを割り出すための執拗で高速な総当たり攻撃（ブルートフォースアタック）や辞書攻撃を開始する。

Kerberoastingがこれほどまでに破壊的でステルス性が高いのは、このパスワードクラッキングの全プロセスが、攻撃者自身のマシン上で行われるためだ。ドメインコントローラーには、ログイン失敗のイベントが一切記録されない。セキュリティアラートも発生しない。セキュリティチームには、サービスチケットに対する一回の正規のリクエストとしてしか見えない。数日、あるいは数週間後、攻撃者はオフラインでパスワードを割り出すことに成功し、その特権的なサービスアカウントとして簡単にログインできるようになる。これで、組織の重要な部分への鍵を、誰もその鍵を試すところを見ることなく盗み出したことになる。

Kerberoastingが平文のパスワードを割り出すことを目的とする一方で、別の強力な手法はパスワードを完全に必要としない。それが「Pass-the-Hash（PtH）」である。これは古典的だが、依然として非常に効果的なラテラルムーブメントの手法であり、NTLM認証プロトコルの内部動作を悪用する。その原理は驚くほどシンプルだ。Windowsネットワーク内での多くの種類の認証では、システムは実際のパスワード自体を必要とせず、パスワードの「暗号学的ハッシュ値」さえあれば認証が成立する。もし攻撃者がこのハッシュ値を盗むことができれば、それを使ってユーザーになりすますことができる。

この攻撃は、攻撃者が単一のワークステーション（多くの場合、最初の足がかりとなったマシン）の管理者権限を奪取した後から始まる。次の目的は、そのマシンにログインしたことがある他のユーザーの認証情報ハッシュを収穫することだ。攻撃者は、悪名高いMimikatzのようなツールを使って、メモリ内にある「LSASS（Local Security Authority Subsystem Service）」プロセスの中身をダンプする。LSASSプロセスは、ログイン中のユーザーの認証情報をキャッシュする役割を担っており、ローカル管理者権限を持つ攻撃者は、このメモリにアクセスして、標準ユーザーから、メンテナンスのために最近ログインした可能性のあるドメイン管理者まで、あらゆるユーザーのNTLMパスワードハッシュを抽出することができる。

攻撃者はこのハッシュを手に入れれば、それはまさに黄金の鍵となる。このハッシュを使って、ファイルサーバーや他のワークステーションなど、NTLM認証を受け入れるネットワーク上の他のマシンに認証できる。攻撃者はパスワードをクラッキングしているわけではない。単にハッシュ自体を身元証明として提示しているだけだ。ターゲットのサーバーから見れば、その認証は完全に正当なものとして扱われる。攻撃者は、なりすましているユーザーがアクセス権を持つあらゆるリソースにアクセスできるようになる。

この手法は連鎖的な効果を生む。攻撃者はまず一つのマシンを侵害し、ハッシュをダンプし、そのハッシュを使って二つ目のマシンにアクセスする。二つ目のマシンで同じプロセスを繰り返し、さらに多くのハッシュをダンプし、より特権的なユーザーの認証情報を見つけ出そうとする。こうして、システムからシステムへと「ハッシュを受け渡し（Pass the Hash）」しながら、ネットワーク内を横方向に移動し、飛び移るたびに権限を昇格させていき、最終的に探し求めている「ドメイン管理者」のハッシュを見つける。その時点で、攻撃者の目的は達成される。

Active Directoryが主要な標的となることが多いが、熟練した侵入者は、どんな複雑なネットワークにも他の「柔らかい標的」が数多く存在することを知っている。内部ネットワークは、しばしば「信頼されたゾーン」として扱われるため、そこで実行されるアプリケーションやサービスは、外部に公開されているものほど厳重にセキュリティ対策が施されていないことが多い。このような内部ネットワークの設定ミスは、攻撃者がActive Directoryの複雑な防御を迂回して侵入を可能にする「開かれたドアや窓」のようなものだ。

最も一般的で成果の出やすい標的の一つは、内部のファイル共有だ。攻撃者は、権限設定が不十分であったり、存在しなかったりするオープンなSMB共有をネットワーク上でスキャンする。プロジェクトのために一時的に設定されたものの、決して廃止されなかった共有や、「Everyone」グループに読み取り権限、さらには書き込み権限まで与えられている部門共有などが驚くほど頻繁に見つかる。これらの共有は、機密データが詰まった宝の山である。攻撃者は、passwords.xlsx、credentials.txt、config.xml、backup.sqlといった名前のファイルを検索するスクリプトを実行し、しばしば平文のパスワードや接続文字列を発見し、それによって他のより重要なシステムへの即時アクセス権を獲得する。

内部のウェブアプリケーションもまた、大きな弱点となる。これらには、忘れ去られた開発サーバー、ハードウェアデバイスの管理ポータル、あるいはConfluenceやSharePointのような内部Wikiなどが含まれる。これらのアプリケーションは、パッチ適用サイクルでしばしば見落とされ、脆弱なバージョンのソフトウェアが実行されていることが多い。さらに、これらはデフォルトの認証情報（例: admin:admin）がそのまま残されていることがよくあり、攻撃者は必ずこれを試す。たった一つの、忘れ去られ、パッチが適用されていない内部ウェブサーバーが、攻撃者に新たな足がかりを提供し、しばしば特権的なサービスアカウントで実行されているため、侵入をさらに進めるために利用される可能性がある。

これが「最も抵抗の少ない道」だ。攻撃者は、ゼロデイ脆弱性（誰も知らないような新たな脆弱性）を悪用しているわけではない。セキュリティ管理の不備、内部ネットワークのセグメンテーション（分割）不足、そして内部ネットワークは安全だという根強く誤った前提によって開かれたままになっているドアを、単に通り抜けているに過ぎない。

現代の攻撃者が使うポストエクスプロイテーションの戦略は、繊細さ、忍耐力、そして暗黙の信頼の悪用という点でまさに傑作である。彼らは「Living-off-the-Land」の手法で、組織が持つ正規のツールを悪用して目に見えない存在として活動する。Active Directoryの根幹をなすプロトコルを悪用し、ネットワークの心臓部を主要な武器に変える。また、複雑なシステム運営の避けられない副産物である、小さく忘れ去られた設定ミスを辛抱強く探し出して悪用する。

このような現実が、全てのセキュリティチームに厳しい結論を突きつける。それは、境界防御だけではもはや不十分だということだ。外側には強力な壁を築き、内側は信頼して甘いセキュリティにするという古いモデルは、失敗した戦略である。防御側の使命は、攻撃者を外部から締め出すことだけに留まらず、攻撃者がすでに内部にいると仮定して対策を講じる方向へと転換しなければならない。これが「ゼロトラスト」アーキテクチャの核となる考え方だ。

「サイレントな侵入者」に対する唯一効果的な防御策は、内部ネットワークを、あたかも公共のインターネットのように、攻撃者にとって航行が困難で敵対的な環境にすることだ。これには、「最小権限の原則」を徹底し、全てのユーザーアカウントとサービスアカウントに、機能するために必要な最小限のアクセスレベルのみを付与することが不可欠となる。さらに、攻撃者がサーバー間を自由に移動できないようにするための「ネットワークマイクロセグメンテーション」という積極的なネットワーク分割も求められる。そして、マルウェアのシグネチャ（特徴）だけでなく、攻撃者が正規のツールを悪意ある目的で使用する際の異常な振る舞いを特定できる「高度なエンドポイント検出および対応（EDR）」ソリューションが必要となる。現代の攻撃者との戦いは、境界線ではなく、私たちのネットワーク内部の深い場所で勝敗が決まる。