侵害の痕跡(IoC)とは？

侵害の痕跡 (IOC) は、エンドポイントまたはネットワークが侵害された可能性があることを示すデジタルフォレンジックの一部です。こういったデジタルな手がかりは、物的証拠と同様、情報セキュリティの専門家が、データ侵害、インサイダー脅威、マルウェア攻撃などの悪質なアクティビティやセキュリティの脅威を特定するのに役立ちます。

調査者は、疑わしいアクティビティに気付いた後に手動で侵害の痕跡 (IOC) を収集することも、組織のサイバーセキュリティ監視機能の一部として自動的に侵害の痕跡 (IOC) を収集することもできます。このような情報は、進行中の攻撃を軽減したり、既存のセキュリティインシデントを修復したり、将来、疑わしいファイルを検知して隔離できる「よりスマート」なツールを作成したりする際に役立ちます。

残念ながら、IOCの監視は本質的に事後対応であるため、組織が痕跡を見つけた時には、ほぼ確実にすでに侵害されています。ただし、攻撃が進行中の場合は、IOCをすばやく検知することで、攻撃ライフサイクルの早い段階で攻撃を封じ込め、ビジネスへの影響を抑えることができます。

サイバー犯罪者の手口がより巧妙になるにつれて、侵害の痕跡 (IOC) を検知することはより困難になっています。md5ハッシュ、C2ドメイン、ハードコードされたIPアドレス、レジストリキー、ファイル名など、最も一般的なIOCが常に変化していることで、検知が難しくなっています。

侵害の痕跡 (IOC) の特定方法

組織が攻撃の標的や被害者である場合、サイバー犯罪者はシステムやログファイルに活動の痕跡を残します。脅威ハンティングチームは、ログファイルやシステムからデジタルフォレンジックデータを収集し、セキュリティ上の脅威やデータ侵害が発生したか、現在発生中なのかを判断します。

IOCの特定は、ほぼ例外なく、訓練を受けた情報セキュリティの専門家が行う作業です。多くの場合、このような専門家は高度なテクノロジーを活用して、膨大な量のネットワークトラフィックをスキャンして分析し、不審なアクティビティを隔離します。

最も効果的なサイバーセキュリティ戦略は、人的資源と高度な技術ソリューション（AI、ML、その他のインテリジェントオートメーションなど）を組み合わせて、異常なアクティビティをより適切に検知し、対応時間と修復時間を短縮することです。

組織が侵害の痕跡 (IOC) を監視すべき理由

侵害の痕跡 (IOC) を検知する能力は、すべての包括的なサイバーセキュリティ戦略において重要な要素です。IOCは、検知の精度と速度、および修復時間の向上に役立ちます。一般的に、組織が攻撃を早期に検知できれば、ビジネスへの影響は小さくなり、解決が容易になります。

IOCの中でも、特に繰り返し発生しているものからは、攻撃者のテクニックや手法を知る手掛かりを得ることができます。そのため、組織はこうしたインサイトをセキュリティツール、インシデント対応機能、サイバーセキュリティポリシーに組み込むことで、将来のイベントを防ぐことができます。

侵害の痕跡 (IOC) の例

セキュリティチームがサイバー脅威やサイバー攻撃を調査する際に探している警告サインは何でしょうか。侵害の痕跡 (IOC) には以下のようなものがあります。

• 異常な送受信ネットワークトラフィック
• 地理的な不規則性（組織が存在しない国や場所からのトラフィックなど）
• システム内の不明なアプリケーション
• 管理者アカウントや特権アカウントからの異常なアクティビティ（追加の権限要求を含む）
• ブルートフォース攻撃の可能性がある不適切なログインやアクセス要求の増加
• 異常なアクティビティ（データベース読み取り量の増加など）
• 同じファイルに対する多数のリクエスト
• 疑わしいレジストリーまたはシステムファイルの変更
• 異常なドメインネームサーバー (DNS) リクエストおよびレジストリー設定
• 不正な設定変更（モバイルデバイスのプロファイルなど）
• 間違った場所または不明な場所に存在する大量の圧縮ファイルまたはデータバンドル

侵害の痕跡 (IoC) と攻撃の痕跡 (IoA) の違い

攻撃の痕跡 (IOA) は、情報セキュリティチームが侵害やセキュリティイベントを評価する場合に役立つデジタルアーティファクトであるという点で、IOCに関連しています。ただし、IOCとは異なり、IOAは本質的に能動的であり、進行中のサイバー攻撃の特定に重点を置いています。IOAはまた、脅威アクターのアイデンティティと動機も探索しますが、IOCは発生したイベントを組織で把握する場合に役立つだけです。