Written by WizLANSCOPE編集部
目 次
IoC(Indicator of Compromise)とは、サイバー攻撃を受けた際に残る、攻撃の詳細を知るための証拠・手がかりとなる情報を指します。攻撃を早期に検知し、その影響範囲を最小限に抑えることを目的としています。
IoCで取得できる情報の例としては
- マルウェアのファイル名
- 通信先のURL
- IPアドレス
- ドメイン
- エクスプロイトコード
などが挙げられます。
IoCは共通フォーマットで記録されるため、企業・組織間でサイバー攻撃に関する情報を共有することも可能です。ただし、公開・共有されている膨大なIoCの中から、有益なもの・自社に関連するものを抽出するには、多くのリソースが必要となります。
この記事では、IoCの概要、活用するメリットから運用する際の注意点まで詳しく解説いたします。
▼この記事を要約すると
- IoC(Indicator of Compromise)とは、サイバー攻撃を受けた際に残る指標のことで、「セキュリティ侵害インジケーター」や「侵害指標」と呼ばれる
- IoCで取得できる情報の例としては、「マルウェアのファイル名やハッシュ値」「通信先のIPアドレス」「不審なログイン試行」「ネットワークトラフィックの異常」「機密情報への不正なリクエスト」「不審な設定変更」などがある
- IoCのメリットとしては、「他の企業・組織とサイバー攻撃の情報を共有できる」「サイバー攻撃による被害の拡大を阻止できる」などが挙げられる
- IoCの活用における注意点としては、「日々進化するマルウェアの検出は困難」「活用には膨大なリソースとコストが必要」などがある
- IoCは「事後対応」を目的としており、侵害が発生した後にその痕跡を検出するが、IoAは「事前予防」を目的としており、攻撃が進行中であることをリアルタイムで検出するという点が異なる
IoCとは
IoC(Indicator of Compromise)とは、サイバー攻撃を受けた際に残る指標を指し、一般的には「セキュリティ侵害インジケーター」や「侵害指標」と呼ばれます。
IoCで取得できる情報の例としては
- マルウェアのファイル名
- 通信先のURL
- IPアドレス
- ドメイン
- エクスプロイトコード
などが挙げられます。
これらの情報は、データ侵害が発生しているかの判断材料になるだけでなく、サイバー攻撃に使用されたツール・手法を明らかにするための手掛かりとしても有用です。
IoCは企業のサイバーセキュリティにおいて不可欠な要素であり、攻撃からの防御や迅速な対応において重要な役割を果たします。
IoCで取得できる情報の例
IoCで取得できる情報の例としては、以下が挙げられます。
- マルウェアのファイル名やハッシュ値
- 通信先のIPアドレス
- 不審なログイン試行
- ネットワークトラフィックの異常
- 機密情報への不正なリクエスト
- 不審な設定変更
マルウェアのファイル名やハッシュ値
マルウェアのファイル名は、開発者のプロファイリングや、既知のマルウェアとの共通点を見つける際に役立ちます。また、マルウェアのハッシュ値は、既知のマルウェアとの照合に活用できます。
既知のマルウェアに関するハッシュ値を遮断するよう設定すれば、同様のマルウェア感染を防ぐことも可能です。
※ハッシュ値…ハッシュ関数の戻り値のことで、入力されたデータを特定のルールに沿って固定長のランダムな値に置き換えたもの。
通信先のIPアドレス
情報窃取を目的とするマルウェアに感染すると、C&Cサーバーを経由し、重要な情報を外部に送信されてしまいます。
この時、通信先として使用されたIPアドレスが特定できれば、IPアドレスに対するブロックやフィルタリングを実施することで、攻撃の拡大を防止することが可能です。
※C&Cサーバー…攻撃者が窃取した情報を送受信するためにボットネットワークをコントロールする指令サーバー。
不審なログイン試行
サインインの失敗が何度も繰り返される、あるいは異なる地域・国からログインが試行されるなど、システムへの不審なログイン試行の情報は、不正アクセスの早期検知に役立ちます。
ネットワークトラフィックの異常
ネットワークトラフィックの異常も、IoCとして記録されるものの一つです。
「通信先のIPアドレス」の部分でも説明したように、マルウェアはC&Cサーバーを経由して、盗んだ情報を外部に送信しようとします。
こうした外部への不審なトラフィックは、攻撃の兆候である可能性が高いといえます。
機密情報への不正なリクエスト
社内の機密情報にアクセスしようとする不審なリクエストや、機密情報への不正なダウンロード試行などがこれに該当します。
企業はIoCを活用することで、機密情報に関する不審なアクセスやリクエストを監視し、適切なアラートやアクセス制御を実施することが必要です。
不審な設定変更
マルウェアに感染した際、セキュリティソフトが無効化されるなど、設定が勝手に変更されてしまうことがあります。不審な設定変更をIoCとして記録・監視することで、被害の拡大防止につながります。
IoCで取得できるこうした情報は、企業のセキュリティチームやセキュリティシステムによって収集・分析され、サイバー攻撃の検知や対策に役立てることができます。
IoCを活用するメリット
IoCを活用するメリットとして、以下が挙げられます。
- 他の企業・組織とサイバー攻撃の情報を共有できる
- サイバー攻撃による被害の拡大を阻止できる
IoCは共通フォーマットで記録されるため、企業・組織間でサイバー攻撃に関する情報を共有することが可能です。様々なフォーマットがありますが、中でもMandiant社が作成したXMLベースの「OpenIOC」が有名です。
IoCで記述される項目としては
- 脅威の持つ特徴
- その脅威に起因するシステムの変化
- 使用されるプロセス
- 通信先のURI
- IPアドレス
などです。
これらをもとに端末をスキャンすることで、同様の攻撃を受けたことがあるか判別できます。
IoCを積極的に活用しセキュリティを強化することで、脅威を迅速に検知し、被害を最小限に抑えることが可能です。
IoCの注意点
セキュリティを強化する上で役立つIoCですが、以下のような注意点もあります。
- 日々進化するマルウェアの検出は困難
- 活用には膨大なリソースとコストが必要
日々進化するマルウェアの検出は困難
サイバー攻撃者はセキュリティツールの検知を逃れるべく、常に新たな攻撃手法やマルウェアを開発しています。
そのため、IoCとして記録した情報は、時間が経つにつれて有効性が低下する可能性があります。
企業は常に最新の情報やテクノロジーを取り入れることで、この問題に対処する必要があります。
活用には膨大なリソースとコストが必要
公開・共有されている膨大なIoCの中から、有益なもの、自社に関連するものを抽出するには、多くのリソースが必要です。
またIoCを効果的に使うには、IoCを使いこなせる技術をもった人材の確保、システムの構築が必要となります。
IoCとIoAの違い
IoCと混同されやすいものとして「IoA(Indicator of Attack)」があります。
IoAとは、攻撃が進行中であることを示す情報であり、実際のインシデントに発展する前に攻撃の兆候やパターンを迅速に検出します。
▼IoCとIoAの違い
| Indicators of Compromise (IoC) | Indicators of Attack (IoA) | |
|---|---|---|
| 定義 | 既に侵害されたことを示す証拠や痕跡 | 攻撃の試みやプロセスを示す兆候 |
| タイミング | 攻撃が成功した後に識別 | 攻撃が成功する前に識別 |
| 具体例 | ファイルハッシュ、悪意のあるIPアドレス、改ざんされたファイル | 異常なユーザー活動、プロセスの異常な挙動、ネットワークトラフィックの異常 |
| 目的 | 侵害の証拠を収集し対応と復旧に役立てる | 攻撃の兆候を早期に検出し防御する |
IoCとIoAの違いは、その目的とタイミングにあります。IoCは「事後対応」を目的としており、侵害が発生した後にその痕跡を検出します。これにより、既知の攻撃手法に基づいて対処策を講じることが可能となります。
一方、IoAは「事前予防」を目的とし、攻撃が進行中であることをリアルタイムで検出することで、未知の攻撃や新たな脅威に対処することができます。
IoCとIoAは補完関係にあるため、両方を活用することで効果的なサイバーセキュリティ対策が可能となります。
サイバー攻撃の事後サポートなら「インシデント対応パッケージ」にお任せください
「マルウェアに感染してしまったかも」
「システムへ不正アクセスされた痕跡がある」
このようにサイバー攻撃を受けた”事後”にいち早く復旧するためには、IoCの活用は勿論有効ですが、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用もおすすめです。
フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。ランサムウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。
「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。
IoCの活用と併用したい、「LANSCOPEサイバープロテクション」のAIアンチウイルス
IoCは攻撃の証拠や痕跡を記録したデータであり、単体でサイバー攻撃を防ぐことはできません。IoCで取得した情報をアンチウイルスやEDRといったセキュリティツールと組み合わせて活用することで、強固なセキュリティ対策を実現します。
弊社では高精度なAIアンチウイルス「LANSCOPE サイバープロテクション」を提供しています。
▼2種類のアンチウイルスソリューション
- アンチウイルス ✕ EDR ✕ 監視サービスをセットで利用できる「Aurora Managed Endpoint Defense」
- 各種ファイル・デバイスに対策できる次世代型アンチウイルス「Deep Instinct」
1.アンチウイルス✕EDR✕監視サービスをセットで利用可能な「Aurora Managed Endpoint Defense」
「Aurora Managed Endpoint Defense」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。
たとえば、「アンチウイルスとEDRを両方使いたい」「できるだけ安価に両機能を導入したい」「EDRの運用に不安がある」などのニーズをお持ちの企業の方には、エンドポイントセキュリティを支援する「Auroraシリーズ」の導入が最適です。
「Auroraシリーズ」では、以下の3つのサービスをお客様の予算や要望に応じて提供します。
- 最新のアンチウイルス「Aurora Protect」
- EDR「Aurora Focus」
- EDRを活用した監視サービス「Aurora Managed Endpoint Defense」
高精度なアンチウイルスとEDRの併用が可能となり、セキュリティの専門家が24時間365日体制で監視をおこなうことで、マルウェアから確実にエンドポイントを守ります。
アンチウイルスのみ、またはアンチウイルス+EDRのみの導入など、柔軟な対応も可能です。詳細は以下のページをご覧ください。
2. 各種ファイル・デバイスに対策できるNGAV「Deep Instinct」
以下のニーズをお持ちの企業・組織の方は、AIのディープラーニング技術を活用し、未知のマルウェアを高い精度でブロックする、次世代型アンチウイルス「Deep Instinct」がおすすめです。
- 未知のマルウェアも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応できる製品が必要
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。
ファイル形式を問わず対処できる「Deep Instinct」であれば、多様な形式のマルウェアを形式に関係なく検知可能です。
また、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。
まとめ
本記事では「IoC」をテーマに、その概要や対策について解説しました。
▼本記事のまとめ
- IoC(Indicator of Compromise)とは、サイバー攻撃を受けた際に残る指標のことで、「セキュリティ侵害インジケーター」や「侵害指標」と呼ばれる
- IoCで取得できる情報の例としては、「マルウェアのファイル名やハッシュ値」「通信先のIPアドレス」「不審なログイン試行」「ネットワークトラフィックの異常」「機密情報への不正なリクエスト」「不審な設定変更」などがある
- IoCのメリットとしては、「他の企業・組織とサイバー攻撃の情報を共有できる」「サイバー攻撃による被害の拡大を阻止できる」などが挙げられる
- IoCの活用における注意点としては、「日々進化するマルウェアの検出は困難」「活用には膨大なリソースとコストが必要」などがある
- IoCは「事後対応」を目的としており、侵害が発生した後にその痕跡を検出するが、IoAは「事前予防」を目的としており、攻撃が進行中であることをリアルタイムで検出するという点が異なる
IoCの適切な活用によって、企業はセキュリティ侵害の発生を迅速に検出し、サイバー攻撃による被害の拡大を阻止することができます。IoCを効果的に活用し、サイバーセキュリティを強化していきましょう。
おすすめ記事
