脅威インテリジェンス・IOC きょういとインテリジェンス・あいおーしー
脅威情報IOCインジケーターAPTSTIXTAXII
脅威インテリジェンス・IOCについて教えて
脅威インテリジェンス・IOCとは
脅威インテリジェンス(Threat Intelligence) とは、サイバー攻撃の手法・攻撃者・標的・動機などに関する収集・分析・共有された情報のことです。単なる「脅威データ」ではなく、意思決定に使える形に整理・文脈化された「知識」です。
IOC(Indicators of Compromise:侵害の痕跡) は脅威インテリジェンスの中核をなす具体的なデータ要素で、攻撃が発生したことを示すデジタル的な証拠を指します。代表的なIOCには以下があります。
- ファイルのハッシュ値(MD5/SHA256):マルウェアの電子指紋
- 悪意のあるIPアドレスやドメイン名:C2サーバーの連絡先
- 悪意のあるURL:フィッシングやマルウェア配布に使われたURL
- レジストリキーや異常なプロセス名:感染後にシステムに残る痕跡
IOCに対してTTP(Tactics, Techniques, and Procedures:戦術・技術・手順)はより高レベルな情報で、MITRE ATT&CKフレームワークで体系化されています。
脅威インテリジェンスの種類
| 種類 | 対象 | 更新頻度 | 活用者 |
|---|---|---|---|
| 戦略的インテリジェンス | 攻撃者の動機・目的・地政学的文脈 | 低(月次〜年次) | 経営層・CISO |
| 作戦的インテリジェンス | 特定のキャンペーンや攻撃グループの行動 | 中(週次〜月次) | セキュリティマネージャー |
| 戦術的インテリジェンス | TTP(攻撃の手法・手順) | 中(週次〜月次) | SOCアナリスト |
| 技術的インテリジェンス | IOC(IPアドレス・ハッシュ等の具体的指標) | 高(日次〜リアルタイム) | セキュリティツール・SIEM |
歴史と背景
- 2000年代:CERT/CCなどによる脆弱性情報共有が始まり、脅威情報共有の文化が形成される
- 2012年:STIX(Structured Threat Information eXpression)とTAXII(Trusted Automated eXchange of Indicator Information)がMITRE社によって開発
- 2014年頃:ISAC(Information Sharing and Analysis Center)が各業界で活発化
- 2016年:STIX 2.0/TAXII 2.0がOASISによって標準化
- 2020年代:国内でも内閣サイバーセキュリティセンター(NISC)やJPCERTが情報共有体制を強化
IOCの共有フォーマット・プラットフォーム
| 名称 | 種類 | 特徴 |
|---|---|---|
| STIX 2.1 | データフォーマット | JSONベース。脅威情報の標準構造化形式 |
| TAXII 2.1 | 配信プロトコル | STIXデータをHTTPS経由で共有するAPI |
| MISP | プラットフォーム | オープンソースの脅威情報共有プラットフォーム |
| VirusTotal | サービス | ファイル・URLのハッシュ照合サービス |
| AlienVault OTX | サービス | オープンな脅威情報共有コミュニティ |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| STIX 2.1 (OASIS) | 脅威情報の標準データモデル |
| TAXII 2.1 (OASIS) | 脅威情報の配信プロトコル |
| RFC 8274 | Incident Object Description Exchange Format (IODEF) |
関連用語
- MITRE ATT&CK — TTPを体系化した攻撃フレームワーク
- DNSファイアウォール — IOCのドメインリストを活用するセキュリティ機能
- ネットワークフォレンジック — IOCを使って攻撃を調査する技術
- SNMP監視 — 監視データとIOCを照合してインシデントを検知