// シス担のミカタ
インシデント対応

IOC分析 あいおーしーぶんせき

侵害指標サイバー脅威インテリジェンスマルウェア解析フォレンジックSIEMインシデントレスポンス
IOC分析について教えて

簡単に言うとこんな感じ!

IOC(侵害指標)分析とは、「サイバー攻撃を受けた証拠の痕跡」を集めて調べることだよ!不審なIPアドレス・ファイルのハッシュ値・ドメイン名などを手がかりに、「攻撃者がどこから来て、何をしたか」を追跡するんだ。犯罪捜査の指紋採取みたいなイメージ!

IOC分析とは

IOC(Indicators of Compromise:侵害指標) とは、コンピューターやネットワークが攻撃・侵害された事実を示す「デジタルな証拠の断片」のことです。IPアドレス、URLドメイン、マルウェアのファイルハッシュ値、レジストリキーの変更など、多岐にわたる情報が含まれます。IOC分析とは、これらの断片を収集・照合・調査することで、インシデント(セキュリティ事故)の全体像を明らかにする作業です。

IOC分析の目的は大きく2つあります。一つは 「何が起きたかを特定する(事後対応)」、もう一つは 「同じ攻撃の兆候を早期検知する(予防・監視)」 です。発見されたIOCは組織内の他のシステムへの横展開チェックや、セキュリティ製品への登録(ブロックリスト化)にも活用されます。

ITセキュリティの現場では、IOCは 脅威インテリジェンス(Threat Intelligence) と組み合わせて運用されることが多く、外部機関やセキュリティベンダーが共有するIOCデータベースを取り込むことで、自社環境に既知の攻撃の痕跡がないかを自動的にチェックするしくみが広まっています。

IOCの種類と主な指標

IOCはいくつかのカテゴリに分類できます。実務上の重要度・検出しやすさとあわせて整理すると以下のとおりです。

カテゴリ具体例特徴
ネットワーク系IPアドレス、ドメイン名、URL、通信ポート検出しやすいが攻撃者が変えやすい
ファイル系MD5/SHA-256ハッシュ値、ファイル名、ファイルパス高精度だがファイルを少し変えると変化する
ホスト系レジストリキー、プロセス名、サービス名侵害後の痕跡として有効
メール系送信元アドレス、件名パターン、添付ファイル名フィッシング調査で活用
証明書系SSL証明書のSHA-1/フィンガープリントC2(指令サーバー)の特定に有効
行動系(TTP)攻撃手順・ツール・戦術変更コストが高く最も価値が高い

「痛みのピラミッド」で覚えるIOCの価値

セキュリティ研究者David Bianco氏が提唱した 「Pyramid of Pain(痛みのピラミッド)」 は、各IOCを攻撃者が変更する際の「コスト(痛み)」で分類したフレームワークです。

          / TTP(戦術・技術・手順) ← 攻撃者にとって最も痛い
         /─────────────────────────
        /  ツール
       /───────────────────────────
      /  ネットワーク・ホスト情報
     /─────────────────────────────
    /  ドメイン名
   /───────────────────────────────
  /  IPアドレス
 /─────────────────────────────────
/  ハッシュ値                      ← 攻撃者が最も簡単に変更できる

IPアドレスやハッシュ値は攻撃者がすぐに変えられますが、攻撃の「手口(TTP)」を特定できれば、ツールを変えても攻撃者を追跡・防御できるため、より価値が高いとされています。

IOC分析の一般的な手順

  1. 収集: ログ・マルウェアサンプル・通信記録などからIOC候補を抽出
  2. 整理: IOCを種別・信頼度・日時などで整理・構造化
  3. 照合: SIEMEDRなど社内ツールで自社環境への影響範囲を確認
  4. エンリッチメント: VirusTotal・脅威インテリジェンスサービスで追加情報を付加
  5. 共有・活用: STIXなどの標準フォーマットで他組織・ツールへ展開
  6. 対応: 該当IPのブロック、感染端末の隔離、アカウント無効化など

歴史と背景

  • 2000年代初頭: マルウェア解析の現場でハッシュ値・IPアドレスが「証拠」として活用され始める
  • 2010年: David Bianco氏が「Pyramid of Pain」を提唱し、IOCの価値階層が整理される
  • 2012年: MITRE社が STIX(Structured Threat Information eXpression)TAXII を開発し、IOC情報の標準化・自動共有が可能になる
  • 2013年: OpenIOC(Mandiant社)が公開され、IOCの記述フォーマットが普及
  • 2015年: STIX 2.0 / TAXII 2.0 がリリース。JSON形式に移行し実装が容易に
  • 2015年〜: ISAC(情報共有・分析センター) を通じた業界横断のIOC共有が活発化
  • 2018年〜: SIEMやEDR製品が脅威インテリジェンスフィードと連携し、IOC分析の自動化が加速
  • 2020年代: AIを活用したIOCの自動分類・優先順位付けが普及し始める

関連する技術・規格・ツールとの比較

IOC分析は単独では機能せず、多くのツール・規格・フレームワークと連携して使われます。

技術・規格役割IOCとの関係
STIX 2.1IOCの記述フォーマット(標準)IOCを構造化して表現する言語
TAXII 2.1IOCの自動転送プロトコルIOCを組織間で自動共有する仕組み
MITRE ATT&CK攻撃者のTTPカタログ行動系IOCの分類・マッピングに使用
SIEMログ一元管理・相関分析IOCと社内ログを照合する基盤
EDRエンドポイント監視ホスト系IOCの検出・対応
VirusTotalファイル・URL評判照会IOCのエンリッチメントに使用
OpenIOCIOCの記述フォーマット(Mandiant製)STIXと並ぶIOC記述形式

IOCとIOAの違い

混同されやすい概念に IOA(Indicators of Attack:攻撃指標) があります。

IOC(侵害指標) Indicators of Compromise 侵害された「後」の痕跡を示す 事後対応・フォレンジックに強い 例: ハッシュ値・不審IP・レジストリ 静的・既知の情報が中心 IOA(攻撃指標) Indicators of Attack 攻撃が「進行中」の挙動を示す リアルタイム検知・予防に強い 例: 異常なコマンド実行・権限昇格 行動ベース・未知の脅威にも対応 IOCは「証拠の痕跡」、IOAは「攻撃の動き」を捉える

関連する規格・RFC

規格・番号内容
STIX 2.1OASIS標準のサイバー脅威情報記述フォーマット。IOCを構造化JSON形式で表現する
TAXII 2.1STIX形式のIOCをHTTPS経由で自動共有・配信するためのプロトコル
RFC 5070IODEF(Incident Object Description Exchange Format):インシデント情報の交換フォーマット
RFC 7970IODEF version 2。RFC 5070を更新し拡張性を向上

関連用語

  • 脅威インテリジェンス — 攻撃者・手口・IOCに関する情報を収集・分析・活用する実践
  • SIEM — ログを一元管理しIOCと照合してアラートを上げるセキュリティ基盤
  • EDR — エンドポイント(PC・サーバー)でのホスト系IOCをリアルタイム検出する技術
  • マルウェア解析 — マルウェアのファイルハッシュや挙動からIOCを抽出する分析作業
  • MITRE ATT&CK — 攻撃者のTTPを体系化したフレームワーク。行動系IOCの分類に活用
  • インシデントレスポンス — セキュリティ事故発生時の対応手順。IOC分析はその中核プロセス
  • フォレンジック — デジタル証拠を収集・保全・解析する技術。IOC収集の基礎
  • STIX/TAXII — IOCを構造化・自動共有するための業界標準フォーマットとプロトコル