侵害の兆候(IOC)とは、潜在的な侵入を示す痕跡です。本ガイドでは、IOCの種類、脅威検知における重要性、効果的な活用方法について解説します。
IOCの監視と対応に関するベストプラクティスを学びましょう。IOCを理解することは、組織がインシデント対応能力を強化するために極めて重要です。IOCは、悪意のある活動の早期警告サインを提供することで、組織が潜在的な脅威を特定し軽減するのに役立つ重要な手段です。
IOCとIOAの違い
IOCについて深く掘り下げる前に、IOCとIOA(攻撃の兆候)の違いを理解することが重要です。IOCは、攻撃者が既にシステムを侵害した時点を特定するために使用されます。一方、IOAは、攻撃者がシステムへのアクセスを試みている時点を検知するために使用されます。
IOCは通常、特定のセキュリティ脅威を検知・対応するために使用されるのに対し、IOAは幅広いセキュリティ脅威を検知・対応するために使用されます。IOCは一般的にIOAよりも明快であり、潜在的なセキュリティ脅威に関するより詳細な情報を提供します。
侵害の兆候(IoC)の種類
サイバーセキュリティでは様々な種類の侵害の兆候(IoC)が使用されます。その一部を以下に示します:
- ファイルベースの指標 – ハッシュ値やファイル名など、特定のファイルに関連付けられた指標です。
- ネットワークベースの指標 –IPアドレスやドメイン名など、ネットワークに関連する指標です。
- 行動指標 –システムやネットワークの行動に関連する指標であり、異常なネットワークトラフィックや異常なシステム活動などが該当します。多くの行動指標が存在します。 MITREEngenuity ATT&CK マップ。
- アーティファクトベースの指標 ― これらは、レジストリキーや設定ファイルなど、攻撃者が残した痕跡に関連する指標です。
侵害の指標(IoC)はどのように機能するのか?
IoCは、脅威インテリジェンス、セキュリティログの監視、ネットワークトラフィックの分析など、様々な手段を通じて作成されます。IoCが特定されると、サイバーセキュリティ専門家またはSOC が、同様の攻撃を検知・防止するセキュリティ対策の開発に活用できます。例えば、IoCが不正なIPアドレスである場合、サイバーセキュリティ専門家はそのIPアドレスをブロックし、攻撃者のシステムと組織のネットワーク間の通信を遮断できます。侵害の兆候(IoC)はなぜ重要なのか?
侵害の兆候(IoC)は、セキュリティチームがサイバー脅威を検知・防止するのに役立つため、非常に重要です。IoC は、マルウェア 感染、フィッシング攻撃、その他のサイバー脅威などのサイバー攻撃を特定し、軽減することができます。その結果、組織はこれらの脅威を検知・軽減することで、システムとデータをサイバー犯罪者から保護できます。
IoCは、組織のセキュリティに対する潜在的な脅威を特定・軽減する上で重要な役割を果たします。IoCを活用することで、組織は以下のことが可能になります:
- セキュリティインシデントの迅速な検知 — IoCは組織がセキュリティインシデントを特定し、潜在的な被害を防止または軽減するための措置を講じるのに役立ちます。
- 将来の脅威を監視する — 既知のIoCを監視することで、組織は潜在的な脅威を検知し、予防のための積極的な対策を講じることができます。
- インシデント対応の改善 – IoCは、悪意のある活動の早期警告サインを提供することで、組織がより効果的なインシデント対応計画の策定を支援します。
- 脅威インテリジェンスの共有 –組織間でIoCを共有することで、協力し資源を統合し、潜在的な脅威をより効果的に特定・軽減することが可能になります。
脅威インテリジェンスの強化侵害の兆候の種類
IoC にはいくつかの種類があり、それぞれ固有の特性と用途があります。それらは以下の通りです。
1.ネットワークIoC
ネットワークIoCは、ネットワーク上の不審な活動を示す指標です。これには、異常なトラフィックパターン、既知の悪意のあるIPアドレスやドメインへの接続、予期しないプロトコルやポートの使用などが含まれます。ネットワークIoCは、侵入検知システム(IDS)やセキュリティ情報イベント管理(SIEM)システムなど、様々なネットワーク監視ツールを通じて検出可能です。
2. ホストベースのIoC
ホストベースのIoCは、特定のコンピュータやシステム上で不審な活動を示す指標です。これには、異常なファイル活動、不審なプロセスやサービスの実行、システム構成設定への予期せぬ変更などが含まれます。ホストベースのIoCは、エンドポイント検出と対応(EDR)や拡張検出と対応(XDR)ツールを含む、様々なエンドポイントセキュリティソリューション(エンドポイント検出・対応(EDR)や拡張検出・対応(XDR)ツールなど)を通じて検出可能です。
3.ファイルベースのIoC
ファイルベースのIoCとは、システム上に悪意のあるファイルやマルウェアが存在することを示唆する指標です。これにはファイルハッシュ、ファイル名、ファイルパスなどが含まれます。ファイルベースのIoCは、EDRソフトウェアやサンドボックスツールを含む様々なファイルスキャンツールを通じて検出可能です。
4. 行動ベースのIoC
行動ベースのIoCは、ネットワークやシステム上で不審なユーザー活動を示す指標です。これには、複数回のログイン失敗、異常なログイン時間、機密データへの不正アクセスなどが含まれます。行動型IoCは、ユーザー・エンティティ行動分析(UEBA)ソリューションを含むユーザー監視ツールを通じて検出可能です。SentinelOne XDRは、行動型IoC、高度な分析、機械学習、行動分析を組み合わせて、脅威をリアルタイムで検知・対応します。
侵害の兆候(Indicators of Compromise)の例
1. 異常なアウトバウンドネットワークトラフィック
ネットワークトラフィックのパターンや量における異常は、セキュリティ侵害の最も一般的な兆候です。侵入者をネットワークから遮断することはますます困難になっています。潜在的な侵害の兆候として、送信トラフィックを監視することは有用です。侵入者がネットワークからデータを抽出しようとしたり、感染したシステムがコマンドアンドコントロールサーバーに情報を中継したりすると、異常な送信ネットワークトラフィックが検出される可能性があります。
2.地理的異常
もう一つの一般的な侵害の兆候は地理的異常です。特定の国や地域から異常な量のトラフィックが発生している場合、システムが侵害された可能性を示しています。例えば、ロサンゼルスに拠点を置く企業が、国際的なサイバー犯罪で悪名高い国からネットワークに接続するユーザーを確認した場合、懸念材料となります。ネットワーク上のIPアドレスとその位置情報を監視することで、組織に損害を与える前にサイバー攻撃を検知できます。予期せぬ場所からのアカウントへの複数接続は、侵害の有力な指標となり得ます。
3. 特権ユーザーアカウントによる説明不能な活動
高度な持続的脅威(APT攻撃)などの複雑なサイバー攻撃では、攻撃者は特権を昇格させる前に低特権ユーザーアカウントを侵害することが多い。セキュリティ運用担当者は特権ユーザーアカウントの異常行動を監視する必要がある。これは組織システムに対する内部・外部攻撃の証拠となり得る。
4.アカウントの異常な動作
アカウント動作の異常、たとえばログイン時間の変化、ファイルやデータベースへの異常なアクセス、ログインの失敗などは、データ侵害を示している可能性があります。セキュリティ担当者は、潜在的なセキュリティ侵害を検知・防止するため、これらの行動を監視する必要があります。
5. 異常なファイル変更
システムファイルへの予期せぬ変更や不正なソフトウェアのインストールは、データ侵害を示している可能性があります。攻撃者は、システムを制御したり、機密データを盗み出したりするために、こうした変更を利用する場合があります。訓練を受けた担当者は、こうした変更を追跡し、検出した場合は直ちに対処しなければなりません。
6. 既知の悪意のある IP との通信
攻撃者は、感染したシステムを制御したり、機密データを盗み出したりするために、既知の悪意のある IP をよく利用します。セキュリティ専門家は、潜在的なデータ侵害を検知・防止するため、これらのIPとの通信を監視する必要があります。
7. 不正なネットワークスキャン
不正なネットワークスキャンは、攻撃者がオープンソースまたは独自のスキャンツールを使用して標的ネットワークに関する情報を収集しようとする偵察攻撃の兆候となる可能性があります。
8. 疑わしいファイルやプロセス
マルウェアは正当なソフトウェアを装うことが多く、悪意のあるファイルやプロセスがネットワーク上で目立たない形で潜んでいる可能性があります。システム上で認識できない疑わしいファイルやプロセスを発見した場合、攻撃の兆候である可能性があります。これらのファイルやプロセスの正当性を判断するには、徹底的な調査が不可欠です。
9. 異常なシステム動作
予期せぬ再起動、クラッシュ、パフォーマンスの低下といった異常なシステム動作も、IoC(侵害の兆候)のサインとなり得ます。攻撃者は、システムを妨害またはダウンさせるために、サービス拒否攻撃やリソース枯渇攻撃を使用する場合があります。システムに予期しない動作が見られた場合は、セキュリティ上の脅威の有無を調査し判断することが不可欠です。
10. フィッシングメール
フィッシングメールは、攻撃者が機密情報にアクセスしたり、被害者のシステムにマルウェアをインストールしたりするための一般的な手段です。これらのメールは、信頼できる送信元からの正当な通信のように見えるため、見分けるのが難しい場合があります。ただし、ログイン情報の要求や見慣れないウェブサイトへのリンクなど、不審なメールに気づいた場合は、警戒し、さらに調査することが重要です。
11. ソーシャルエンジニアリング攻撃
ソーシャルエンジニアリング攻撃も、攻撃者が機密情報にアクセスするために用いる一般的な手法です。この攻撃では、個人を操作して機密情報を開示させたり、本人の利益に反する行動を取らせたりします。例えば、攻撃者はベンダーや従業員などの信頼できる情報源を装い、機密データへのアクセスやマルウェアのインストールを試みます。ソーシャルエンジニアリング攻撃の危険性、その識別方法、回避方法について従業員を教育することが不可欠です。
12. ウェブトラフィックレベル
侵害の兆候を示すもう一つの一般的な指標は、ウェブトラフィックレベルです。特定のウェブサイトやIPアドレスへのウェブトラフィックが異常に急増した場合、システムが侵害された兆候である可能性があります。さらに、異常な入出ネットワークトラフィック、ドメインネームサーバー(DNS)リクエストやレジストリ設定、不正なログインやアクセス要求の増加にも注意を払う必要があります。これらはブルートフォース攻撃の可能性を示している可能性があります。
13.DDoS インジケーター
DDoS インジケーターは、分散型サービス妨害 (DDoS) 攻撃を検知し、対応します。特定のIPアドレスまたはIPアドレス範囲から異常な量のトラフィックが発生した場合、システムが攻撃を受けている兆候である可能性があります。
侵害の兆候(IoC)だけでは不十分な理由とは?
IoCを理解することは不可欠ですが、高度な脅威を検知するには技術的指標のみに依存する以上の対策が必要です。攻撃者は手法を高度化させており、従来のIoC検知手法を容易に回避できます。したがって、IoCへの包括的なアプローチでは、機械学習ベースの異常検知や行動分析といった高度な脅威検知技術もカバーすべきです。さらに、IoCは単独で考慮すべきではなく、最新の脅威アクター、戦術、動機に関する情報を含む広範な脅威インテリジェンスプログラムの一部として位置付ける必要があります。このアプローチにより、組織は脅威が発生する前に積極的に検知し対応することが可能になります。
侵害の兆候(IoC)の活用
組織はIoCを効果的に活用するために堅牢なセキュリティ戦略を必要とします。この戦略には以下を含めるべきである:
-
- 拡張検知・対応(XDR) –XDRは、組織がIoCを含む複数のソースからのセキュリティデータを収集・分析・相関させ、潜在的な脅威を検知することを可能にします。一部の組織では、XDRが提供できる機能の一部をカバーするために、セキュリティ情報イベント管理(SIEM)ツールを使用しています。
- エンドポイントセキュリティプラットフォーム – これらのプラットフォームにより、セキュリティチームはIoCに対するルールの収集、検索、適用が可能になります。
- 脅威インテリジェンスプラットフォーム(TIP) — TIPは、IoCを含む精選された脅威インテリジェンスフィードへのアクセスを提供し、組織が最新の脅威情報を把握できるようにします。&
- インシデント対応計画(IRP) – 組織は、セキュリティインシデント発生時に取るべき手順を詳細に定めたIRPを策定すべきです。これには、潜在的な脅威を検知・対応するためのIoCの活用も含まれます。
IOC管理のベストプラクティス
IOCを効果的に管理するには、以下のベストプラクティスに従う必要があります:
- アイデンティティセキュリティを優先する –強力な ID およびアクセス管理 制御が確実に導入されていることを確認してください。これにより、誰が何にアクセスできるかを特定し、異常な活動を検出できるようになります。
- ネットワークのセグメント化 – ネットワークをセグメント化することで、侵害による被害を最小限に抑えることができます。重要システムと重要度の低いシステムを分離することで、攻撃者が機密情報にアクセスする可能性を低減できます。
- サイバー脅威インテリジェンスの収集 – 最新のサイバー脅威や動向に関する最新情報を入手しましょう。これにより、新たな脅威を特定し、その影響を軽減するための対策を講じることができるようになります。
- IOC ツールを使用する – IOC を効果的に管理するのに役立つツールは数多くあります。脅威インテリジェンスプラットフォーム、拡張検知・対応(XDR)システム、エンドポイント検知・対応(EDR)ソリューションなどが含まれます。
IOCの管理に特に有用なツールの一種が、EDR(エンドポイント検知・対応)または XDR(拡張検知・対応)ソリューションです。これらのソリューションは、高度な分析、機械学習、行動分析を組み合わせて、脅威をリアルタイムで検知し対応します。
SentinelOneでサイバーセキュリティを強化
最も効果的なサイバーセキュリティ戦略は、人的リソースと高度な技術ソリューション(例:人工知能(AI)、機械学習(ML)その他のインテリジェント自動化技術などの先進的技術ソリューションを組み合わせます。これらのツールは異常活動を検知し、対応と修復時間を短縮するのに役立ちます。サイバーセキュリティ強化のためのEDRまたはXDRソリューションをお探しなら、SentinelOneが優れた選択肢です。SentinelOneは包括的なAI搭載セキュリティプラットフォームを提供し、脅威を迅速かつ効果的に検知・対応することを支援します。
結論
侵害の兆候(IoCs)は、組織が潜在的なセキュリティインシデントを検知・軽減するための重要なツールです。IoCsを活用することで、組織は脅威を迅速に検知し、将来の脅威を監視し、インシデント対応を改善し、他の組織と脅威インテリジェンスを共有できます。ただし、IoCsを効果的に活用するには、XDRツール、TIPs、詳細なIRPを含む堅牢なセキュリティ戦略が必要です。
侵害の兆候に関するよくある質問
侵害の兆候(IoC)とは、システムがサイバー犯罪者によって侵害または攻撃されたことを示す証拠です。これらはセキュリティチームがネットワークやシステム上の悪意ある活動を特定するために使用するデジタルフォレンジックの痕跡です。IoCには、異常なネットワークトラフィック、改変されたファイル、不審なプロセス、不正アクセス試行などが含まれます。これらは攻撃発生後の検知と将来のインシデント防止に役立ちます。
例としては、未知のIPアドレスへの異常なアウトバウンドネットワーク接続、予期せぬファイル変更や削除、許可なく作成された新規ユーザーアカウント、通常とは異なる場所から実行されているプロセスなどが挙げられます。例えば、不審なドメインへのネットワーク通信、予期しない拡張子のファイル、外国からのログイン試行などが確認された場合、システムが侵害されている可能性を示す明確な指標となります。
IoCを監視する必要があるのは、初期のセキュリティ防御を迂回する攻撃を検知するのに役立つからです。早期検知により、攻撃者が機密データを窃取したり重大な損害を引き起こす前に侵害を封じ込めることが可能です。定期的なIoC監視は、セキュリティチームが攻撃パターンを理解し、インシデント対応時間を短縮し、将来の類似攻撃を防止するのに役立ちます。これは強固なサイバーセキュリティ態勢を維持する上で不可欠な要素です。
異常なネットワーク接続、予期せぬファイル変更、新規ユーザーアカウント、不審な実行プロセス、システム設定の変更を確認すべきです。通常とは異なる場所にあるファイル、予期しないネットワークトラフィックパターン、ログイン失敗の試み、重要なシステムファイルの変更を探してください。また、異常なCPUやメモリ使用量、新規スケジュールされたタスク、セキュリティ設定やアンチウイルス設定の変更も監視してください。
攻撃の指標(IoA)はリアルタイムで攻撃が発生していることを示す一方、侵害の指標(IoC)は攻撃が既に発生した証拠です。IoAは、不審なネットワークスキャンやマルウェア実行の試みなど、進行中の攻撃を検知・阻止するのに役立ちます。
一方、IoCは事後的に発見されるフォレンジック証拠(改変されたファイルや不正アクセスログなど)であり、何が起きたかを理解するのに役立ちます。