IOC(Indicator of Compromise) あいおーしー(いんじけーたー おぶ こんぷろまいず)
簡単に言うとこんな感じ!
IOCは「攻撃された痕跡のリスト」だよ!たとえば「このIPアドレスからアクセスがあったらアウト」「このファイルのハッシュ値が一致したら危険」みたいな”お尋ね者リスト”のこと。セキュリティ製品がそのリストと照合して、侵入されてないかチェックするんだ!
IOC(Indicator of Compromise)とは
IOC(Indicator of Compromise) とは、日本語で「侵害指標」と呼ばれ、システムやネットワークがサイバー攻撃を受けた(もしくは受けている)ことを示す「証拠の断片」のことです。具体的には、悪意あるIPアドレス、マルウェアのファイルハッシュ値、攻撃で使われたドメイン名などが該当します。これらの情報を一覧化して「お尋ね者リスト」として活用します。
セキュリティ担当者やSIEM(Security Information and Event Management)などのツールは、ログやトラフィックをIOCと照合することで、既知の攻撃パターンや悪意ある活動を自動検知します。IOCは「事件が起きたあとの証拠」として収集されることが多く、過去の攻撃から学んだ「次の攻撃への備え」として機能します。
近年は世界中のセキュリティ機関や企業がIOCを共有し合う脅威インテリジェンス(Threat Intelligence) の文化が広まっています。1つの組織が発見したIOCを共有することで、世界中の組織が同じ攻撃から身を守れるエコシステムが育ってきています。
IOCの種類と具体例
IOCにはさまざまな種類があります。どれも「攻撃の証拠」として使われる情報の断片です。
| IOCの種類 | 具体例 | 何がわかるか |
|---|---|---|
| IPアドレス | 198.51.100.42 | 攻撃元・C2サーバーのIP |
| ドメイン名 | evil-update.example.com | フィッシングや通信先ドメイン |
| URLパス | /admin/malicious.php | 攻撃に使われたURLのパス |
| ファイルハッシュ | e3b0c44298fc1c14...(MD5/SHA256) | マルウェアファイルの指紋 |
| メールアドレス | attacker@spoofed.com | フィッシングメール送信元 |
| レジストリキー | HKCU\Software\Malware\persist | マルウェアの永続化の痕跡 |
| ミューテックス名 | Global\MalwareMutex123 | マルウェアが使う識別子 |
| ユーザーエージェント | Mozilla/4.0 (compatible; EVIL) | 攻撃ツール特有のUA文字列 |
IOCとIOA——「痕跡」と「行動」の違い
IOCとよく比較されるのが IOA(Indicator of Attack:攻撃指標) です。
- IOC:攻撃が「起きた後」に残る証拠(静的・過去の痕跡)
- IOA:攻撃が「起きている最中」の不審な行動パターン(動的・リアルタイム)
たとえば「このIPが悪い」はIOC、「深夜3時に大量のファイルを暗号化している」はIOAです。IOCは既知の脅威に強く、IOAはゼロデイ攻撃など未知の脅威にも対応できます。
IOCの鮮度問題
IOCには「賞味期限」があります。攻撃者はIPアドレスやドメインを頻繁に変えるため、古いIOCは役に立たなくなります。
高精度(変えにくい) ←─────────────→ 低精度(変えやすい)
TTP・行動パターン ファイルハッシュ ドメイン IPアドレス
(戦術・技術・手順) (マルウェアの指紋) (数日〜週単位で変化) (数時間で変化)このため、精度の高いIOCほど長く使える反面、取得が難しいというトレードオフがあります。
歴史と背景
- 2000年代前半:セキュリティ研究者がマルウェア解析の過程で「この特徴があれば感染している」という情報を非公式に共有し始める
- 2010年:APT(Advanced Persistent Threat)攻撃の増加により、組織間でのIOC共有の重要性が高まる
- 2011年:Mandiant社がAPT1レポートを発表。大量のIOCを公開し「IOC共有文化」の先駆けとなる
- 2012年:OpenIOCフォーマット(Mandiant社)が公開。IOCを構造化して記述する標準形式が登場
- 2013年:STIX(Structured Threat Information eXpression) と TAXII(Trusted Automated eXchange of Indicator Information) がMITRE/DHS主導で策定される。IOCの共有が自動化・標準化へ
- 2015年:STIX 2.0の策定が始まり、OASIS標準として整備が進む
- 2016年以降:クラウド型脅威インテリジェンスサービス(VirusTotal、MISP等)の普及で、IOCのリアルタイム共有が当たり前に
- 現在:EDR・SIEM・SSOCへのIOCフィードの自動統合が標準的な運用となっている
IOCの共有・活用エコシステム
IOCは単独では機能せず、収集→共有→検知というサイクルで価値を発揮します。
主要なIOC共有フォーマット比較
| フォーマット | 提唱者 | 特徴 |
|---|---|---|
| STIX 2.1 | OASIS | JSON形式。現在の業界標準。TAXIIと組み合わせて自動共有 |
| OpenIOC | Mandiant | XML形式。IOC記述の先駆け。現在は少数派 |
| YARA | VirusTotal | ファイルパターンマッチングに特化したルール言語 |
| MISP形式 | CIRCL | MISP専用のJSON形式。コミュニティで広く使われる |
関連する規格・RFC
| 規格 | 内容 |
|---|---|
| STIX 2.1 (OASIS) | 脅威インテリジェンス情報をJSON形式で構造化する標準仕様 |
| TAXII 2.1 (OASIS) | STIXデータをHTTPS経由で自動共有するためのAPIプロトコル |
関連用語
- SIEM — ログを集約してIOCと照合しアラートを上げるセキュリティ管理プラットフォーム
- SOC — IOCを活用してセキュリティ監視・インシデント対応を行う専門組織
- 脅威インテリジェンス — IOCを含む攻撃者・手口・傾向の情報を収集・分析・共有する活動
- EDR — エンドポイントでIOCを照合し侵害を検知・対応するセキュリティツール
- マルウェア — IOCの主な収集源。解析によってハッシュ値やC2サーバーのIOCが得られる
- STIX/TAXII — IOCを標準フォーマットで記述・自動共有するための業界標準仕様
- インシデントレスポンス — IOCを手がかりに攻撃の影響範囲を特定し対処する一連のプロセス
- ゼロデイ攻撃 — 未知の脆弱性を突くためIOCが事前に存在せず、IOAでの対応が必要になるケース