IoC / IoA

IoC（Indicators of Compromise：侵害指標）とは、システムやネットワークがサイバー攻撃によって侵害された可能性を示す技術的な痕跡や証拠のことです。具体的には、不審なIPアドレス、マルウェアのハッシュ値、悪意のあるドメイン名、不正なレジストリ変更、異常なネットワーク通信パターンなどが該当します。IoCはすでに発生した攻撃の「事後的な証拠」として機能し、セキュリティチームがインシデントを検知・調査する際の重要な手がかりとなります。

IoA（Indicators of Attack：攻撃指標）とは、攻撃が進行中であることを示す行動パターンや振る舞いの指標です。IoCが「何が起きたか」を示すのに対し、IoAは「何が起きようとしているか」を示します。例えば、正規プロセスから不審な子プロセスの起動、通常とは異なる時間帯の大量データアクセス、権限昇格の試みなどがIoAに該当します。IoAはリアルタイムの脅威検知に重点を置いた概念です。

現代のサイバーセキュリティでは、IoCとIoAの両方を組み合わせた多層的な検知アプローチが求められています。IoCは既知の脅威に対して迅速なマッチングが可能である一方、IoAは未知の攻撃手法やファイルレス攻撃のような痕跡が残りにくい攻撃にも対応できます。脅威インテリジェンスプラットフォームやSIEM、EDRなどのツールと連携し、IoCとIoAを効果的に活用することが、インシデント対応の迅速化と被害最小化に不可欠です。

IoCの種類と具体例

IoCにはさまざまな種類があり、それぞれ異なるレベルの情報を提供します。ネットワーク系IoCとしては、C2（コマンド＆コントロール）サーバーのIPアドレスやドメイン名、不審なDNSクエリ、異常な通信ポートの使用などがあります。ホスト系IoCとしては、マルウェアのファイルハッシュ（MD5/SHA-256）、不正なレジストリキーの変更、異常なスケジュールタスクの登録、不審なサービスのインストールなどが代表的です。

IoCの有効性は時間とともに低下する傾向があります。攻撃者はインフラを頻繁に変更し、マルウェアを改変してハッシュ値を変えるため、IoCの鮮度管理が重要です。このため、脅威インテリジェンスフィードを活用して最新のIoCを継続的に取得し、セキュリティシステムに反映させる運用が必要です。

IoAの概念と検知手法

IoAは攻撃者の行動パターンに着目するため、特定のマルウェアやツールに依存しません。MITRE ATT&CKフレームワークで定義される攻撃テクニック（初期アクセス、実行、永続化、権限昇格、防御回避、認証情報アクセス、探索、横展開、収集、持ち出し）に沿った異常な振る舞いを検知対象とします。

例えば、PowerShellから難読化されたコマンドが実行される、Officeアプリケーションから直接シェルが起動される、短時間に大量の認証失敗が発生する、通常アクセスしないファイルサーバーへの大量アクセスが行われるといった行動は、典型的なIoAです。EDR製品やUEBA（ユーザー・エンティティ行動分析）ツールが、これらの異常を検知する役割を担います。

脅威インテリジェンスとIoCの共有

IoCの効果を最大化するためには、組織間での脅威情報の共有が重要です。STIX（Structured Threat Information eXpression）とTAXII（Trusted Automated eXchange of Indicator Information）は、IoCを含む脅威情報を標準化されたフォーマットで自動的に共有するための国際規格です。

日本では、JPCERT/CCやIPAが脅威情報を発信するほか、業界別のISAC（Information Sharing and Analysis Center）が同業種間でのIoC共有を推進しています。また、VirusTotalやOTX（Open Threat Exchange）といったプラットフォームも、グローバルなIoC共有の基盤として広く活用されています。

IoCのライフサイクルと鮮度管理

IoCには明確なライフサイクルがあります。新たに発見されたIoCは即座にセキュリティシステムに取り込まれ、検知ルールやブロックリストに反映されます。しかし、攻撃者がインフラを廃棄・変更すると、そのIoCは有効性を失います。古いIoCをシステムに残し続けると、誤検知（フォールスポジティブ）の増加を招き、運用効率を低下させます。

効果的なIoC管理のためには、各IoCに信頼度スコアと有効期限を設定し、定期的に見直す運用フローを確立することが重要です。TLP（Traffic Light Protocol）によるIoCの共有範囲の管理も、適切な情報共有を行う上で欠かせません。

Pyramid of Pain（痛みのピラミッド）

セキュリティ研究者David Biancoが提唱したPyramid of Painは、IoCの種類ごとに攻撃者に与える「痛み」の大きさを階層化したモデルです。最下層のハッシュ値やIPアドレスは攻撃者にとって変更が容易であり、検知されても影響は軽微です。一方、上層に位置するTTP（戦術・技術・手順）やツール、ネットワーク・ホストアーティファクトは、変更に大きなコストがかかるため、検知できれば攻撃者に大きなダメージを与えられます。

このモデルは、IoCベースの防御だけでなく、IoA（TTPレベルの検知）への投資がいかに重要であるかを示しています。組織はハッシュ値やIPアドレスの単純なマッチングにとどまらず、攻撃者の行動パターンそのものを検知する能力を構築すべきです。

• 01
  脅威インテリジェンスフィードの統合：商用・オープンソースの脅威インテリジェンスフィードをSIEMやファイアウォールに統合し、最新のIoC（不審なIP、ドメイン、ハッシュ値）を自動的に検知ルールへ反映してください。STIX/TAXII形式での自動取得を推奨します。
• 02
  EDR/XDRによるIoA検知の実装：エンドポイントやネットワーク上の異常な振る舞いをリアルタイムに検知するため、EDR/XDRソリューションを導入してください。プロセスの異常な親子関係、不審なPowerShell実行、横展開の兆候などをIoAとして検知するルールを整備しましょう。
• 03
  IoCの鮮度管理と自動更新：取得したIoCに信頼度スコアと有効期限を設定し、古くなったIoCを自動的にアーカイブまたは削除する仕組みを構築してください。誤検知の増加を防ぎ、セキュリティ運用チームの負荷を軽減します。
• 04
  MITRE ATT&CKフレームワークとの連携：検知したIoCやIoAをMITRE ATT&CKのテクニックIDにマッピングし、攻撃者のTTPを体系的に把握してください。これにより、攻撃の全体像を理解し、防御の抜け漏れを特定できます。
• 05
  プロアクティブな脅威ハンティング：既知のIoCだけに頼らず、仮説ベースの脅威ハンティングを定期的に実施してください。ログやネットワークトラフィックを能動的に分析し、検知システムをすり抜けた潜在的な脅威を発見しましょう。
• 06
  業界ISACへの参加とIoC共有：同業種間での脅威情報共有体制に積極的に参加し、自組織で発見したIoCを適切な範囲（TLPに基づく）で共有してください。相互の情報共有により、業界全体のセキュリティレベル向上に貢献できます。