権限昇格(けんげんしょうかく、Privilege Escalation)とは、攻撃者がシステム上で本来持つはずのない上位の権限を不正に獲得する行為です。一般ユーザーの権限で侵入した攻撃者が、管理者(Administrator)やSYSTEM/root へと権限を引き上げることで、被害は「1台の乗っ取り」から「組織全体の掌握」へと一気に拡大します。侵入初期の足がかりと、その後の本格的な被害をつなぐ“結節点”にあたる重要な概念です。
この記事でわかること:
- 権限昇格の定義と、なぜ攻撃者がこれを狙うのか
- 垂直・水平の2タイプと、代表的な手口
- 情シスが押さえるべき対策の勘所(最小権限・脆弱性管理・監視)
権限昇格とは何か
権限昇格とは、あるユーザーやプロセスが、割り当てられた権限の範囲を超えて、より高い権限や本来アクセスできない資源・データにアクセスできるようにする行為・状態を指します。攻撃者は、フィッシングや脆弱なVPN経由などで最初に手に入れるのは多くの場合“一般ユーザー相当”の限られた権限です。しかしランサムウェアの一斉展開やデータの持ち出しといった最終目的を果たすには、管理者権限が欠かせません。この「限られた権限」から「管理者権限」へのギャップを埋める一連の技術が、権限昇格です。
攻撃者の行動を体系化したフレームワーク MITRE ATT&CK でも、権限昇格は独立した戦術カテゴリ(Privilege Escalation, TA0004)として定義され、「攻撃者はより高いレベルの権限を得ようとする」と説明されています。攻撃の“定番の一手”として整理されているわけです。
なぜ攻撃者は権限昇格を狙うのか
一般ユーザー権限のままでは、攻撃者にできることは限られます。他ユーザーのファイルは読めず、セキュリティ製品の停止もできず、ドメイン全体の制御も握れません。管理者権限を得ると、次のような“次の一手”が可能になります。
- EDR やウイルス対策ソフトの停止・無効化(防御の解除)
- 認証情報の窃取(メモリ上のパスワードやハッシュの抜き取り)
- 他端末へのラテラルムーブメント(横展開)とドメイン全体の掌握
- ログの改ざん・削除による痕跡隠し
つまり権限昇格は、それ単体の被害というより、後続の深刻な攻撃を成立させる“てこ”として機能します。標的型攻撃やランサムウェア攻撃の多くが、途中でこの権限昇格を経由します。
権限昇格の2つのタイプ
権限昇格は、権限の“向き”によって大きく2つに分けられます。
| タイプ | 内容 | 例 |
|---|---|---|
| 垂直権限昇格 (Vertical) |
低い権限から、より上位の権限へと“縦”に引き上げる | 一般ユーザー → 管理者/SYSTEM/root |
| 水平権限昇格 (Horizontal) |
同じ権限レベルのまま、本来アクセスできない“他人”の資源へ“横”に広げる | 利用者Aが、利用者Bのアカウント情報やデータを不正閲覧 |
一般に危険度が高いのは垂直権限昇格ですが、水平権限昇格もWebアプリの認可(アクセス制御)不備として頻出し、個人情報漏えいに直結します。「ログインは正しく本人確認できているのに、他人のデータが見えてしまう」という不具合は、この水平権限昇格に該当します。
代表的な手口
権限昇格は単一の手法ではなく、さまざまな“弱点の突き方”の総称です。現場で押さえておきたい代表例を挙げます。
OS・ソフトウェアの脆弱性の悪用
OSカーネルやサービスの脆弱性を突き、本来より高い権限でコードを実行させます。ゼロデイ攻撃で使われる“権限昇格の脆弱性(Elevation of Privilege, EoP)”は、Windows の月例更新でも常連です。脆弱性分類の共通言語 CWE では「CWE-269: 不適切な権限管理」などに整理されています。
設定不備・弱い権限の悪用
誤ったファイル権限、緩すぎるサービスアカウント、Linux の setuid ビットの不備、Windows の UAC(ユーザーアカウント制御)バイパスなど、“設定のスキ”を突く手口です。脆弱性のパッチが不要な分、攻撃者にとって手軽で、見落とされやすいのが厄介な点です。
認証情報の窃取・悪用
メモリやレジストリから管理者のパスワードやハッシュを抜き取り、正規の管理者としてログインします。脆弱性を突く“エクスプロイト”ではなく、正規の認証情報を使うため、検知が難しいのが特徴です。
アクセストークン操作・プロセスインジェクション
より高い権限で動いている正規プロセスにコードを注入したり、正規ユーザーのアクセストークンを複製・偽装して、その権限を“借りる”手口です。信頼されたプロセスの陰に隠れるため、これも検知が難しい部類です。
情シスはどう向き合うべきか
権限昇格は「一つの決定打」で防ぐものではなく、地道な運用の積み重ねで“昇格させにくい環境”を作ることが基本になります。要点を絞ると次の3つです。
- 最小権限の原則(Least Privilege):ユーザーやサービスに与える権限を必要最小限にとどめる。日常業務に管理者権限を常用させない(管理作業のみ別アカウントで実施する)だけでも、昇格の“伸びしろ”を大きく削れます。
- 脆弱性管理とパッチ適用:権限昇格の脆弱性は毎月のように公開されます。特にOSと基盤ソフトの更新を遅らせないこと。多要素認証(MFA)で認証情報悪用のハードルを上げることも有効です。
- 監視と検知:新しい管理者アカウントの作成、権限グループへの追加、セキュリティ製品の停止といった“昇格の兆候”をログで拾える体制を整える。EDR やログ監視が力を発揮する領域です。
正直なところ、多数の端末やサーバーの権限設定を一つひとつ完璧に保つのは、限られた人員の情シスには重い作業です。だからこそ「まず管理者権限の常用をやめる」「OS更新だけは確実に回す」といった“効きやすい一手”から着実に固めていくのが現実的です。具体的な進め方は、公的機関の指針を土台にするのが近道です。中小規模の組織はまず IPA「中小企業の情報セキュリティ対策ガイドライン」 を、従業員向けの基礎啓発には IPA「対策のしおり」 を参照してください。権限管理は技術だけでなく、運用ルールと利用者教育がそろって初めて機能します。
まとめ
- 権限昇格とは、攻撃者が本来持たない上位権限を不正に獲得する行為で、垂直(縦)と水平(横)の2タイプがある。
- OS脆弱性の悪用、設定不備、認証情報の窃取、トークン操作などが代表的な手口。侵入初期と深刻な被害をつなぐ“結節点”となる。
- 防御の要は、最小権限の徹底・OSや基盤ソフトの迅速なパッチ適用・昇格の兆候の監視。公的指針を土台に、効きやすい一手から着実に固めるのが現実的。
出典・参考
- MITRE ATT&CK: Privilege Escalation (TA0004) — https://attack.mitre.org/tactics/TA0004/
- CWE-269: Improper Privilege Management — https://cwe.mitre.org/data/definitions/269.html
- IPA「中小企業の情報セキュリティ対策ガイドライン」 — https://www.ipa.go.jp/security/guide/sme/index.html
- IPA「対策のしおり」 — https://www.ipa.go.jp/security/guide/shiori.html

