セキュリティ侵害の痕跡 (IoC) とは?

Sophos XDR 無償評価版

セキュリティ侵害インジケータ(IOC)は、しばしば「デジタル証跡」と見なされます。これらは、サイバー攻撃が進行中であることを示す証拠から構成されています。さらに、IOC はサイバー攻撃中に使用されたツールに関する洞察、攻撃の背後にいる人物などの情報を提供できます。 

セキュリティ侵害インジケータ

セキュリティチームは、セキュリティ侵害インジケータを使用して、悪意のあるアクティビティや脅威を検知します。これらの指標は、組織のサイバーセキュリティ監視に組み込むことができます。進行中のサイバー攻撃を阻止するのに役立ちます。さらに、IOC(侵害指標)を活用することで、ランサムウェア、マルウェア、その他のサイバー脅威がデータ侵害を引き起こす前に、それらを検知、阻止する方法を特定できます。

セキュリティ侵害インジケータが機能する仕組み

サイバー犯罪者が組織を攻撃すると、犯罪者はデジタルの足跡を残します。たとえば、セキュリティチームはサイバー攻撃後にシステムやログファイルでサイバー犯罪者のアクティビティを確認する場合があります。この段階では、チームはこれらのシステムとファイルからデジタル フォレンジック データを収集できます。ここから、チームはサイバー攻撃またはデータ侵害が進行中か、すでに発生したかどうかを判断できます。

セキュリティチームは、IT インフラストラクチャ全体でセキュリティ侵害インジケータを検知できます。または、代わりに IOC を検索するマネージド セキュリティ サービス プロバイダ(MSSP)を採用することもできます。いずれのシナリオにおいても、高度な技術とツールを活用して、ネットワークトラフィックやその他のソースから IOC をスキャンして分析できます。不審なアクティビティが検知された場合、適切に隔離できます。

セキュリティ侵害インジケータの種類

ネットワーク

ネットワーク IOC には、異常なトラフィックパターン、悪意のある IP アドレスまたはドメインへの接続、またはネットワーク上のその他の不審なアクティビティの兆候が含まれます。侵入検知システム(IDS)、セキュリティ情報イベント管理(SIEM)システム、およびその他のネットワーク監視ツールを使用して、これらの IOC を検知できます。

ホストベース

これには、不審なファイルのアクティビティ、システム構成設定の変更、およびコンピュータまたはシステムにおけるその他の不審なアクティビティが含まれます。EDR、XDR、およびその他のエンドポイント セキュリティ ソリューションを活用することで、ホストベースの IOC を検知できます。

ファイルベース

ファイルベースのセキュリティ侵害インジケータは、悪意のあるシステムファイルまたはマルウェアの存在を示唆しています。ファイルベースの IOC の例には、不審なハッシュ値、ファイル名、およびファイルパスが含まれます。EDR ツールやサンドボックスツールは、ファイルベースの IOC を検知するために一般的に使用されています。

動作

複数のログイン失敗や不審なログイン時間などの動作に基づくセキュリティ侵害インジケータは、システムやネットワークにおける不審なユーザーアクティビティを示します。ユーザーやエンティティの行動分析(UEBA)ソリューションなどのユーザー監視ツールは、動作に基づく IOC を特定するために使用できます。

セキュリティ侵害インジケータの例

  • ネットワークトラフィックの急増または急減、またはその他の異常な送信ネットワーク トラフィック アクティビティ
  • 特定のアカウントに対するユーザーアクセス特権の昇格、ユーザーに追加の特権を提供する他者へのアクセスにアカウントを使用すること、またはその他の特権ユーザーアカウントの異常
  • 事業拠点がある国以外の地域から行われたアカウントへのログイン
  • 同一アカウントでの複数回のログイン失敗
  • 単一のファイルへのアクセス要求が複数回発生
  • 以前に使用されていなかったネットワークポートの使用
  • レジストリまたはシステムファイルへの不正な変更
  • ドメインネームシステム(DNS)の要求が突然かつ通知なく発生

セキュリティ侵害インジケータのライフサイクル

1.探索

セキュリティ侵害インジケータは以下の方法で検知できます。

  • システムログを確認する。
  • ネットワークトラフィックを分析する。
  • セキュリティスキャンを実行する。
  • デバイスとソフトウェアからセキュリティアラートを受信する。

2.評価

潜在的な脅威について調査するために使用できるツールや技術は数多く存在します。具体的には以下のものが挙げられます。

  • ネットワークトラフィックの分析
  • マルウェア分析
  • システム分析
  • 脅威インテリジェンス

3.共有

IOC を取得した後は、従業員、法執行機関、または同業他社と共有できます。そうすると、以下のことが可能になります。

  • 脅威から防御するための新しい方法を見出す。
  • サイバー攻撃の傾向とパターンを特定する。
  • インシデント対応と修正を迅速化する。

4.導入

この段階では、セキュリティ統制を導入してサイバーセキュリティ体制を改善できます。複数の制御層を確立することで、サイバーセキュリティを最適化できるため有益です。

5.検知と対応

複数のツールと手法を活用して、IOC を検知できます。IOC 特定された場合、以下のことが可能です。

  • 脅威の拡散を防ぐため、影響を受けたシステムまたはネットワークを隔離する。
  • 不審なネットワークトラフィックをブロックしたり、感染したシステムを隔離したり、その他の措置を講じて脅威に対処する。
  • 関連する関係者にインシデントが発生したことと、その対応状況について通知する。

6.サポート終了日 (EOL)

IOC が EOL 段階に達するのは、そのIOCを適切に軽減したときです。IOC が関連性を失う要因は以下のとおりです。

  • 技術の変化:IOC は、特定の技術が使用されなくなったことにより、古くなる可能性があります。
  • 変化し続ける脅威の動向:サイバー脅威の動向が変化し続ける中、直面する脅威も変化する可能性があります。
  • セキュリティの強化:最先端のセキュリティツールや技術に投資した後、IOC が不要になったり、重複したりする可能性があります。      

攻撃インジケータ(IOA)とは?

攻撃インジケータ(IOA)とは、サイバー犯罪者がビジネスを攻撃する意図を示す証拠を指します。IOA の仕組みを理解するために、例を考えてみましょう。

フィッシング攻撃では、サイバー犯罪者は、リンクをクリックしたり、デバイスに感染する文書を開いたりするように、標的を誘導しようとします。攻撃者は潜在的な標的を特定し、その注意を向ける方法を検討する必要があります。また、複数のステップを実行して、被害者に悪意のあるソフトウェアをダウンロードさせる必要があります。

IOA は、サイバー犯罪者が攻撃を実行するために取るステップを強調しています。これらのステップを注視することで、セキュリティギャップを解消できます。最も重要な点は、サイバー攻撃を初期段階または発生する前に阻止できることです。

攻撃インジケータの例

  • 通常は相互に通信しないパブリックサーバー間の通信
  • 事業を展開する国以外の地域にある受信者を対象とした、社内ホスト間の通信
  • 非標準ポートへの接続
  • 感染したデバイスから削除されてから数分以内に再出現するマルウェア
  • 複数の地域から行われるユーザーログイン

侵害インジケータと攻撃インジケータの違い

侵害の兆候は、サイバー攻撃が現在進行中であるか、すでに発生したことを示す証拠です。サイバー犯罪者がシステムに攻撃を仕掛けるとすぐに、IOC を検知できます。これらのインジケータは、攻撃の影響を分析するのに役立ちます。 

一方、攻撃インジケータは、近いうちにサイバー攻撃を受ける可能性があることを示す証拠です。 サイバー攻撃やデータ侵害が発生する前に、IOA を検知できます。IOA を適切に処理すれば、データ侵害を回避できる可能性があります。

侵害インジケータを監視する利点

IOC の監視は、セキュリティインシデントを迅速に特定し対応するのに役立ちます。インシデントに対処しない場合、業務、従業員、および顧客に悪影響を及ぼす可能性があります。これらのインシデントは、ブランドイメージと利益を損なう可能性があります。また、企業の機密情報を危険にさらし、規制違反や罰金につながる可能性があります。

侵害インジケータを監視する際の課題

IOC の検知は事後対応的であり、予防的ではありません。ITインフラストラクチャ全体にサイバー脅威が現れるまで、その脅威の IOC を検知できません。サイバーセキュリティ対策に積極的に取り組むためには、より強固なサイバーセキュリティ対策製品やサービスに投資できます。 これにより、IOC を活用して、全体的なサイバーセキュリティ戦略を補完できます。 

IOC 管理のベストプラクティス

  • アイデンティティ・アクセス管理(IAM)の統制を確立し、データ、システム、ネットワークへのアクセスが許可されたユーザーを迅速かつ容易に特定できるようにします。
  • ネットワークをセグメント化します。そうすると、サイバー犯罪者がネットワークの 1 つに侵入した場合でも、その犯罪者がすべてのネットワークを侵害するリスクを軽減できます。
  • 脅威インテリジェンスを活用し、サイバー脅威の動向を常に把握して、現在の脅威と新たに発生する脅威を追跡し、それらに対抗する最善の方法を特定します。
  • MDR、EDR、XDR、脅威インテリジェンスプラットフォーム、およびその他のセキュリティツールと技術を活用して、IOC を管理します。
  • IOC 分析と相関分析を自動化することで、重大度に基づいて最も緊急性の高い IOC アラートを優先し、重要な脅威に即座に対応できます。
  • インシデント対応計画を策定し、IOC を活用してインシデントの重大度を評価し、可能なかぎり迅速かつ効率的に対応できるようにします。
  • サイバーセキュリティ体制を分析し、脆弱性を特定し、現在および将来のセキュリティ脆弱性に対処するための最適な方法を検討する支援ができる MSSP と提携します。
  • 業界パートナーと IOC を共有することで、業界の同業者と協力し、業界全体におけるサイバー脅威に対処できます。
  • IOC を定期的に見直し、業界の規制要件と自社のニーズに基づいて保持ポリシーを策定します。

従業員に IOC の定義、機能、およびサイバー脅威から保護するための対策について教育します。

 

関連するセキュリティトピック:サイバーセキュリティのハニーポットとは?

サイバーセキュリティニュースを確認