組織の中を歩き回る
探索と横展開編
第4回で合鍵を手にした攻撃者は、いよいよ組織の内部を動き始めます。まず内部の地図を描き(探索)、奪った鍵で次々と他の端末へ移っていく(横展開)。1台の侵入が“組織全体の災害”へと変わる、この決定的な局面を、防御者の視点で——そして攻撃を食い止める“最後の関門”として——深掘りします。連載・第5回。
📋 連載 第5回の目次
前回の第4回(防御回避・認証情報アクセス編)で、攻撃者は組織内を動き回るための“合鍵”——パスワードやハッシュ——を手に入れました。鍵は、使ってこそ意味があります。今回扱うのは、その鍵を使って攻撃者が実際に組織内へ広がっていく2つの戦術、探索(TA0007)と横展開(TA0008)です。攻撃者はまず内部を見回して“地図”を描き(探索)、次に奪った鍵で隣の端末、また隣のサーバーへと移っていきます(横展開)。第1回の地図でいえば、攻撃が“点”から“面”へと広がる、最も被害が拡大する局面。そしてここは、防御側にとって全社被害を食い止められる「最後の関門」でもあります。
全6回の地図・各回へのリンク・目的別の読み方(初学者/検知エンジニア/IR担当…)は、▶ 連載インデックス(総まとめ)はこちら。
この記事は、攻撃者がどう内部を調べ、どう他の端末へ移るかを防御者が理解し、その動きを検知して断ち切るために解説します。攻撃の手順書ではありません。横展開を実行する具体的な操作やツールの使い方は扱わず、「どんな痕跡が、ネットワークやログのどこに残り、どう検知・分離するか」に徹します。ここで紹介する確認・監視は、必ず自分が管理する、または正式に許可された環境で行ってください。他者のネットワーク内を無断で調査・移動する行為は、不正アクセス禁止法等に触れる重大な犯罪です。相手の動きを知るのは、あくまで“被害を広げさせない”ためです。
🧭 第4回からの接続:地図上の現在地
攻撃が“点”から“面”へ。ここで止められるかどうかが、被害の規模を決めます。
これまでの連載を振り返ると、攻撃は一本の線でつながっています。入口を突破(第2回)し、コードを動かして住みつき(第3回)、身を隠して合鍵を奪った(第4回)。ここまでは、基本的に“1台の端末の中”での出来事でした。しかし今回の探索と横展開で、攻撃はその端末の壁を越え、組織全体へと染み出していきます。
なぜここが「最後の関門」なのか
攻撃のライフサイクルで、横展開は被害の規模を決定づける分水嶺です。もし横展開を許してしまえば、次の第6回で扱う「データの持ち出し」や「ランサムウェアの全社一斉暗号化」——つまり実害そのものへと一直線に進みます。逆に、ここで攻撃者の動きを検知して断ち切れれば、被害を「最初の1台の事故」で封じ込められる。入口(第2回)が“予防の最前線”なら、横展開は“被害拡大を食い止める最後の防衛線”。どちらも、防御側が全力で踏ん張る価値のある関門なのです。
そして、この局面には防御上の大きな難しさがあります。横展開で使われる通信は、多くが「内部の正規通信」に見えるのです。ファイル共有(SMB)、リモートデスクトップ(RDP)、リモート管理——どれも業務で日常的に使われるもの。だから、社外との境界を守るファイアウォールだけでは、内部を横に進む攻撃者を捉えられません。鍵になるのは「内部の通信と認証を可視化する」こと。境界の壁の内側で、誰がどの端末に、いつアクセスしたかを見る——この“内部の目”こそが、横展開と戦う武器になります。
🗺 探索(Discovery):内部地図を描く
戦術ID TA0007。侵入した攻撃者が、内部から組織の構造を調べ上げる段階です。
探索(Discovery)は、攻撃者が侵入先の環境を内部から調べる戦術です。第2回で扱った偵察(Reconnaissance)と似ていますが、決定的な違いがあります。偵察は侵入前に“外から”調べるのに対し、探索は侵入後に“内側から”調べる。すでに中にいるからこそ、外からは見えなかった内部構造が手に取るように分かるのです。攻撃者が探索で知りたいことは、突き詰めると3つの問いに集約されます。
🧭 探索の3つの問い:攻撃者は内部の地図をこう描く
探索の特徴は、その多くが第3回で学んだLOLBins——OS標準の正規コマンド——で行われることです。whoami(自分の権限)、net user・net group(アカウントや管理者グループ)、net view(他の端末)、nltest(ドメインの信頼関係)、ipconfig・arp(ネットワーク構成)……。さらに、Active Directoryの構造を丸ごと可視化するBloodHoundのようなツールを使い、「どの経路をたどれば最短で管理者権限に届くか」という攻撃経路まで描き出すこともあります。
| 探索テクニック | ATT&CK ID | 使われる主なコマンド例 |
|---|---|---|
| アカウント探索 | T1087 | net user / net group "Domain Admins" |
| リモートシステム発見 | T1018 | net view / nltest |
| ネットワークサービス探索 | T1046 | 内部ポートスキャン |
| システム情報の収集 | T1082 | systeminfo / hostname |
| ドメイン信頼関係の探索 | T1482 | nltest /domain_trusts |
| 権限グループの探索 | T1069 | net localgroup administrators |
とりわけ警戒したいのが、こうした探索の結果を“攻撃経路図”に変換する動きです。BloodHoundのようなツールは、収集したアカウントと権限の関係を解析し、「いま乗っ取った一般ユーザーから、最短何ステップでドメイン管理者に届くか」を自動で描き出します。攻撃者はこの地図を見て、次にどの端末・どのアカウントを狙えば効率よく権限を広げられるかを決める。つまり探索は、次の横展開の“標的選定”に直結しているのです。だからこそ、探索の段階で気づけることには、大きな価値があります。
では、これをどう検知するのか。ここに探索の“やっかいさ”があります。whoami も net user も、システム管理者が日常的に使う正規コマンド。1つ1つを見ても、まったく怪しくありません。だから検知の鍵は、「単発ではなく、流れで見る」こと。短時間に探索系コマンドが立て続けに実行されたら、それは“誰かが内部の地図を描いている”サインです。Sigmaでは、とくに危険度の高い「管理者グループの探索」などを起点に検知します。
▲ 一般の従業員のPCで「ドメイン管理者は誰か」を調べるコマンドが走るのは、強い異常信号。単発の検知に加え、探索コマンドの“連続・集中”を相関で捉えると精度が上がります。
探索のもっとも危険な点は、使われる道具がすべて正規のものであることです。マルウェアも、怪しいファイルも要りません。だから「悪いファイルを探す」発想の防御では、まず引っかからない。見るべきは「振る舞いの異常」です——ふだん管理コマンドを打たない一般ユーザーのPCで、突然 net コマンドや内部スキャンが連発される。それは“偵察者が中にいる”という、見逃してはならないサインです。プロセス生成ログとコマンドラインの記録(第3回のSysmon)が、ここでも効いてきます。
↔ 横展開(Lateral Movement):1台から全体へ
戦術ID TA0008。奪った鍵を使い、隣の端末・サーバーへと移っていく段階です。
内部地図を描き終えた攻撃者は、いよいよ横展開(Lateral Movement)に移ります。これは、最初に侵入した端末から、組織内の他の端末やサーバーへと“横方向”に移動していく戦術です。なぜ「横」なのか。上下(権限の昇格)ではなく、同じネットワーク内を端末から端末へと渡り歩くイメージだからです。そして、この移動の燃料こそが、第4回で奪った認証情報。盗んだ正規の鍵を使うからこそ、攻撃者は“正規ユーザーのふり”をして、堂々と隣の部屋のドアを開けられるのです。
攻撃者の最終目標は「ドメインコントローラー(DC)」
横展開には、明確なゴールがあります。多くの場合、それはドメインコントローラー(DC)——組織内のすべてのアカウントと認証を司る“司令塔”です。DCを掌握されれば、攻撃者は組織内のほぼあらゆる端末・サーバーへ正規の権限でアクセスでき、いわば“王手”の状態になります。ランサムウェアの全社一斉暗号化が可能になるのも、まさにこの段階。だから防御側は、攻撃者をDCに到達させないことを最優先に考えます。横展開の一歩一歩を遅らせ、検知し、断ち切る——その積み重ねが、最悪の結末を防ぎます。
🌐 横展開の連鎖:1台の侵入が、組織全体へ
横展開が恐ろしいのは、そのスピードと連鎖です。1台から2台、2台から4台へと、奪った認証情報を使って指数関数的に広がることもあります。実際のランサムウェア事案では、最初の侵入から全社の暗号化までわずか数時間〜数日で到達した例も報告されています。だからこそ、横展開の“最初の一歩”をいかに早く捉えるかが勝負。次の章では、攻撃者が具体的にどんな手口で隣へ移るのか——その主要テクニックを見ていきましょう。
🖥 横展開の主要テクニック
攻撃者が“隣のドア”を開ける手口。どれも正規の管理機能を悪用するのが特徴です。
横展開の手口に共通するのは、「組織が業務で使っている、正規のリモート接続・管理機能」を悪用する点です。新しい攻撃ツールを持ち込むより、もともとある仕組みに奪った鍵で乗るほうが、自然に紛れて見つかりにくい。第3回のLOLBinsの発想が、ネットワークをまたいで使われると考えると分かりやすいでしょう。代表的なテクニックを見ていきます。
リモートデスクトップ(RDP)
奪った認証情報でRDPログインし、まるで自分の画面のように相手の端末を操作する。最も直感的で、よく使われる横展開。
SMB/管理共有
Windowsの管理共有(C$・ADMIN$)へアクセスし、ファイルを送り込む・実行する。ファイル共有プロトコルSMBを悪用。
WMI/WinRM
リモート管理の仕組みを使い、他端末でコマンドを実行する。GUIを使わず静かに動けるため、検知を逃れやすい。
リモートサービス(PsExec等)
遠隔でサービスを作成・起動してコマンドを走らせる。PsExecが代表格で、痕跡として固有のサービス名が残る。
Pass-the-Hash/Ticket
第4回で奪ったハッシュやチケットを“そのまま”使って認証を通す。平文パスワードなしで横展開できる、燃料の直接利用。
ツールの横方向転送
侵入済みの端末から次の標的へ、攻撃ツールやマルウェア本体をコピーして送り込む。感染を“面”に広げる運び屋。
これらを表に整理すると、「すべてに正規の業務用途がある」という共通点がより鮮明になります。だからこそ、単に「使われたか」ではなく、「いつ・誰が・どの端末からどの端末へ・どんな文脈で」使ったかを見る必要があります。
| テクニック | ATT&CK ID | 本来の正規用途 | 検知の着眼点 |
|---|---|---|---|
| RDP | T1021.001 | 遠隔での端末操作・保守 | ログオンタイプ10/普段RDPしない端末間の接続 |
| SMB/管理共有 | T1021.002 | ファイル共有・配布 | ログオンタイプ3/管理共有への異常アクセス |
| WMI/WinRM | T1021.006 | リモート管理・自動化 | WMI/WinRM経由のプロセス生成 |
| PsExec等 | T1569 | 遠隔管理ツール | サービス作成(EID 7045)/固有サービス名 |
| Pass-the-Hash | T1550.002 | (正規用途なし) | NTLM認証の異常/同一ハッシュの多用 |
実際のインシデントでは、これらのなかでもRDPと、奪った正規認証情報の組み合わせが突出して多く観測されます。攻撃者にとって、盗んだ管理者アカウントでRDPログインするのは、もっとも手軽で確実な横展開だからです。特別なマルウェアもエクスプロイトも要らず、ただ“正規にログインする”だけ。だから防御の出発点は、「その管理者は、本当にその時間に、その端末へ接続するはずだったのか?」という素朴な問いを、ログで検証できる体制を作ることにあります。
🧱 横展開を“くびれ”で断つ
通り道を物理的に狭め、通った足跡を確実に捉える。この2段構えが横展開を止めます。
横展開への対抗策は、大きく2つの発想に分かれます。ひとつは「通り道を物理的に狭める」=ネットワークの分離。もうひとつは「通った足跡を確実に捉える」=認証とネットワークの可視化です。まず通り道の話から。
横展開は、端末から端末へ“横に”進む攻撃でした。ということは、端末同士が自由に通信できる「平らなネットワーク」ほど、攻撃者にとって動きやすい。そこで効くのがネットワークセグメンテーション(分離)です。部門ごと・役割ごとにネットワークを区切り、不要な端末間通信を遮断する。とくに、一般のPC同士が直接SMBやRDPで通信する必要はめったにありません。こうした“横の通り道”を塞ぐ「マイクロセグメンテーション」や、すべての通信を信頼せず検証するゼロトラストの考え方は、横展開を物理的に困難にします。1か所破られても、被害がそのセグメントに“くびれ”で封じ込められるのです。
認証ログの相関——「ありえない動き」を見つける
足跡を捉える主役は、Windowsの認証ログです。横展開では、1つのアカウントが短時間に多数の端末へ次々とログオンします。これは正規の利用ではまず起きない動き。ログオンイベント(ネットワークログオン=タイプ3、RDP=タイプ10)をSIEMで相関分析し、「1アカウントが普段アクセスしない複数端末に、立て続けにログインしている」といった“ありえない動き”を炙り出します。JPCERT/CCも、PsExecやMimikatzなどの横展開ツールが残すイベントログ痕跡を体系的にまとめた調査報告書を公開しており、検知設計の格好の手引きになります。
足跡の代表例が、PsExecです。PsExecで遠隔実行が行われると、接続先に固有の名前のサービスが作られ、サービスインストールのイベント(EID 7045)が残ります。これは横展開検知の定番ポイント。Sigmaで表すと、こうなります。
▲ 攻撃者はサービス名を変えることもありますが、「遠隔からの不審なサービス作成」というTTP自体は残ります。Wiresharkでの内部SMB/RDP通信の解析や、Velociraptorでの全端末ハントと組み合わせると、横展開の全体像が見えてきます。
もうひとつ、横展開検知の“仕掛け”として強力なのがハニートークン(おとり)です。実際には誰も使わない“いかにも管理者らしいアカウント”や、おとりのファイル共有をあえて置いておき、それに少しでも触れたら即アラートとする方法です。正規の利用者は決して触らないので誤検知がほぼなく、触れたら高い確率で“内部を探索中の攻撃者”。低コストで仕掛けられて効果が高い、防御側の賢い罠です。ネットワーク分離や認証ログ監視と組み合わせれば、横展開を捉える網はさらに密になります。
🛡 防御の実践:探索・横展開への多層対策
「広げさせない」設計と「気づく」監視。効果の大きい順に並べました。
探索と横展開への対策を、優先順位で整理します。狙いは明確——攻撃者を最初の1台に閉じ込め、ドメインコントローラーへ到達させないこと。そのために「広がりにくい設計」と「広がりを捉える監視」を重ねます。
ネットワークの分離(セグメンテーション)
部門・役割ごとに区切り、不要な端末間通信を遮断。横展開の“通り道”を物理的に狭め、被害をくびれで封じ込める。
管理共有・RDPの制限と特権分離
不要な C$・ADMIN$ やRDPを絞り、管理者アカウントを分離(第4回のTier分離)。鍵を1つ奪われても全部は開かない。
認証ログの相関監視
「1アカウントが短時間に多数端末へログオン」などの“ありえない動き”をSIEMで検知。横展開の最強の検知点。
探索・遠隔実行の検知ルール化
管理者グループの探索(EID/コマンドライン)やPsExecのサービス作成(EID 7045)をSigmaで高優先アラートに。
横断ハントと迅速な封じ込め
疑いがあれば全端末をハントして感染範囲を特定し、隔離。横展開はスピード勝負——早さが被害を分ける。
□ 一般PC同士の不要な端末間通信(SMB/RDP)を遮断しているか/□ 重要システムをネットワーク分離しているか/□ 管理共有・RDPの利用を必要最小限に制限したか/□ 管理者アカウントをTier分離したか/□ 認証ログ(ログオンタイプ3/10)をSIEMで相関監視しているか/□ 探索コマンドやPsExec(EID 7045)を検知ルール化したか/□ ドメインコントローラーを重点的に監視・保護しているか/□ 全端末を横断ハントする準備はあるか。まずはネットワーク分離と認証ログ監視——この2つが、横展開を止める二大対策です。
そして、横展開の兆候をつかんだら、迷わずインシデント対応へ。横展開は時間との勝負です。攻撃者がドメインコントローラーへ到達する前に、感染端末を隔離し、奪われた認証情報をリセットして“燃料”を断つ。これが、全社被害という最悪の結末を防ぐ分かれ道になります。実務の地図はDFIR完全ロードマップを索引に。
📚 用語集・FAQ・次に読む
今回の用語の整理と、よくある疑問。そして連載・第6回(最終回)の予告です。
探索と横展開——攻撃が“点”から“面”へ広がる、被害規模を決める分水嶺を見てきました。勘所は2つ。「探索は正規コマンドの“連続・集中”で見抜く」「横展開はネットワーク分離で通り道を狭め、認証ログの相関で足跡を捉える」。そして横展開はスピード勝負——早く気づき、早く断つ。用語とFAQで仕上げましょう。
📖 用語集
| 用語 | 意味 |
|---|---|
| 探索(Discovery) | 侵入後、内部から環境を調べる戦術。TA0007。偵察(外から)の対。 |
| 横展開(Lateral Movement) | 他の端末・サーバーへ移動して感染を広げる戦術。TA0008。 |
| LOLBins(探索での) | whoami・net等、正規コマンドでの内部調査。検知が難しい。 |
| BloodHound | Active Directoryの攻撃経路を可視化するツール。最短の権限奪取経路を描く。 |
| RDP(T1021.001) | リモートデスクトップ。奪った鍵での画面操作による横展開。 |
| SMB/管理共有 | C$・ADMIN$ 等。ファイル送り込み・遠隔実行に悪用。 |
| PsExec | 遠隔サービス実行ツール。EID 7045(サービス作成)が痕跡に。 |
| Pass-the-Hash(T1550) | 奪ったハッシュをそのまま使う横展開。平文パスワード不要。 |
| ドメインコントローラー(DC) | 組織の認証を司る司令塔。攻撃者の最終目標。 |
| ネットワークセグメンテーション | ネットワークを区切り、横展開の通り道を狭める分離策。 |
| ゼロトラスト | 内部通信も無条件に信頼せず、都度検証する設計思想。 |
| ログオンタイプ3/10 | ネットワークログオン(3)・RDP(10)。横展開検知の鍵。 |
❓ よくある質問(FAQ)
探索は正規コマンドばかりなら、検知は無理では?
単発では難しくても、「流れ」で見れば捉えられます。ふだん管理コマンドを使わない一般PCで、net group や nltest が立て続けに実行されたら、それ自体が強い異常信号です。プロセス生成ログとコマンドラインを記録し、探索コマンドの“連続・集中”を相関で見る——これが探索検知の基本戦略です。
横展開を止める、いちばん効果的な対策は?
ネットワークの分離(セグメンテーション)と認証ログの相関監視の2つが柱です。前者は通り道を物理的に狭めて被害を局所化し、後者は「1アカウントが多数端末に短時間でログオン」という“ありえない動き”を捉えます。加えて、管理共有・RDPの制限とTier分離で、奪った鍵が全部に効かないようにします。
ネットワーク分離は大がかりで、うちには無理では?
全面的なゼロトラストはハードルが高くても、小さく始められます。まず「一般PC同士の直接通信(SMB/RDP)を遮断する」「重要なサーバーだけを別セグメントに隔離する」といった部分的な分離でも、横展開は大幅に困難になります。完璧を目指すより、効果の大きい“くびれ”から作るのが現実的です。
偵察(第2回)と探索(今回)は何が違うのですか?
調べる対象は似ていますが、立ち位置が違います。第2回の偵察は侵入前に“外から”標的を調べる活動で、痕跡が残りにくい。今回の探索は侵入後に“内側から”調べる活動で、端末上にコマンド実行の痕跡が残ります。だから探索は、偵察より検知のチャンスが大きいのです。
こうした内部調査の手口を学ぶのは危険では?
この記事は「攻撃者の内部での動きを、防御者が検知して断ち切る」ための知識であり、攻撃手順書ではありません。ネットワーク分離やログ監視は、正当な防御策です。ただし、これらの確認・検証は必ず自分が管理する、または許可された環境で行ってください。他者のネットワーク内を無断で調査・移動するのは重大な犯罪です。許可された検証はペネトレーションテストの枠組みで行います。
第4回・第6回とは、どうつながっていますか?
第4回で奪った認証情報が、今回の横展開の“燃料”です。そして横展開でドメインコントローラーや重要サーバーに到達した攻撃者は、いよいよ最終目的——データの持ち出しやランサムウェアによる暗号化——を実行します。それが次回・最終回の第6回「C2・持ち出し・影響編」です。連載は、いよいよ攻撃の“結末”へ向かいます。
🧭 次に読む
🔬 検知と可視化
📚 参考・出典(一次情報)
- MITRE ATT&CK 公式 — Discovery(TA0007)/Lateral Movement(TA0008)、T1018・T1087・T1046・T1021・T1550・T1570 等の各技術ページ
- JPCERT/CC —「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」(PsExec・WMI 等の横展開ツールとイベントログ痕跡)
- Microsoft Learn — Windowsログオンタイプ/管理共有/RDP・SMB・WinRM のセキュリティ、ネットワーク分離の指針
- NIST SP 800-207(ゼロトラスト・アーキテクチャ)/IPA「情報セキュリティ10大脅威」
- MITRE D3FEND(ATT&CKに対応する防御技術のナレッジベース)
コメント