どこまで侵害されたのか？痕跡を追え！IoC（侵害指標）

はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております

今回のテーマは、「IoC」（Indicators of Compromise）です！IoC（Indicators of Compromise）は、情報システムがサイバー攻撃を受けたこと、そしてその範囲を判断するための指標をいいます。日本語にすると、「侵害の痕跡」や「侵害の指標」などです（ITの世界ではCompromiseは「侵害」という意味で使います。「妥協」ではないですよ）。

攻撃された範囲をしっかり確認できれば、その後の対策も迅速にできますね！ではIoCとは何か早速見てみましょう！

IoCとは何か？

IoCは攻撃者やマルウェアの活動の痕跡や、システムやネットワークが受けた影響を示すデータを集めたものです。例えば、攻撃者のIPアドレスやドメイン名、マルウェアとそのハッシュ値、覚えのないシステム設定の変更履歴などが挙げられます。これらのデータは、OSやアプリケーションのログとして保存されたり、専用の監視システムなどから生成されたりします。

これらのデータは被害の実態を把握すれば、その後の対処を円滑に行えます。

概要は分かりました。

IoCで記録される主な情報

その記録される情報について、もう少し掘り下げましょうか。

システムが攻撃を受けると、何かしらの痕跡が残ります（「●●の法則」といった気がするのですが思い出せません💦）。それを記録します。主な情報には以下のようなものがあります。

• 攻撃の発信元情報：攻撃元のIPアドレスやドメイン名が記録されます。

• マルウェアの識別情報：攻撃に使用されたマルウェアのファイル名やその内容のハッシュ値が含まれます。

• 不審なシステム変更：システム設定の不審な変更履歴や、システムファイルの削除・上書き履歴が記録されます。

• ログイン試行の痕跡：不審なログイン試行の記録、例えば複数回の失敗したログイン試行やランダムなユーザーIDの使用履歴が含まれます。

• プロセスの挙動記録：不審な挙動を示したプロセスの記録も重要な情報源となります。

これらの情報をベースにすれば、侵害された事実を認識の上、侵害の範囲を特定することができます。

攻撃を記述するための共通仕様

IoCは複数のツールによって生成されますが、データ形式がバラバラでは異なるツール間で情報交換するのに不便です。となると、異なるツールで情報共有できる仕様が必要ですね。はい、あります。

代表的なものに、米非営利団体マイターが開発した「STIX」（Structured Threat Information eXpression）があります。

STIX言語は、XMLやJSONをベースに作られていて、何となく読みやすいです（いや、私は読めないのですが）。

IoCとIoAの違い

これまで、ざっくりではありますが、IoCとは何かを見てきました。他方、IoCと類似する用語にIoA（Indicators of Attack）があります。これは何でしょうか？

IoCがサイバー攻撃を受けた後に残る痕跡情報であるのに対して、IoAは現在進行中の攻撃パターンを示す情報です。

このように、IoCは攻撃されてしまった後の調査をするためのデータという位置づけです。一方、IoAは、現在進行している攻撃にフォーカスして対処するためにあります。

はい、本日はここまで！今回は、侵害範囲を特定するのに役立つ「IoC」をご紹介しました。