侵害の兆候（IOC）

IOC特定のプロセス

IOCを特定するプロセスは、分析（ユーザー行動）と脅威インテリジェンスを徹底的に精査し、不審なアクティビティの中から異常なものと正常なものを識別します。繰り返しになりますが、分析担当者と調査担当者が作業を大幅に進めるためには、コンテキストが非常に重要です。

ただし、進行している侵害の初期の兆候を特定するすべてのプロセスが同じか類似しているとは限らず、ビジネスや使用事例により異なります。一般的なIOCの識別方法としては、以下が挙げられます。

• オペレーティングシステム固有のマルウェアの永続化メカニズムとプロセスインジェクション手法：現在実行中のプロセス、スケジュールされたタスク、攻撃者が身を隠すためによく使う場所を確認することで、行動と通信の異常を検知する戦略です。
• 攻撃者の水平展開：脅威インテリジェンスとユーザー行動分析を活用し、攻撃者の経路をリアルタイムで明らかにする戦略です。
• 一般的な攻撃者用ツール：変更されたレジストリキーや残された実行可能ファイルなど、攻撃者のアクティビティの証拠を見つけることで侵害の疑いを検証する戦略です。
• 調査から得られた指標：特権ユーザーアカウントの異常、地理的な不規則性、不審なレジストリ変更などの侵害の兆候の網羅的なリストを評価する戦略です。
• 環境固有の考慮事項：環境とユーザー、ホスト、プロセス間の関係を時間をかけて把握することで、キルチェーン内のアーティファクトを特定する戦略です。

IOCの例

IOCは、本質的にデジタルフォレンジック作業の後に不正と疑われるものを特定する手がかりとなるため、その手段や規模はさまざまです。特にIOCの例には次のようなものがあります。

• 攻撃時に使用されたIPアドレス：かなり一般的なIOCで、攻撃時にIPアドレスを頻繁に変更する場合があるため、一時的に使用した痕跡となることがあります。
• 悪意のある過剰な値: これらは、ウイルスや侵害の試みを特定するのに役立ちます。 セキュリティチームは、脅威インテリジェンスがしっかりしている場合、悪意のあるハッシュをプロアクティブにブラックリストに登録できます。
• 戦術、技術、手順（TTP）：TTPは、マルウェア、クリプトジャッキング（資産を利用した暗号通貨の採掘）、機密データの流出などに対応します。
• ドメイン：ドメインネームサーバー（DNS）ログには通常、異常なリクエストトラフィックが反映されており、これが定期的に発生する場合はIOCである可能性が高くなります。
• ネットワークアーティファクト：ユーザーアカウントからログ、設定ミスに至るまで、脅威検出の担当者がIOCとして認識し、精査する可能性のあるアーティファクトの例は多数あります。
• 複数回の試行失敗後のログイン成功：ユーザー（またはボット）がネットワークに正常にログインできたとしても、正当なアクセス権限があるとは限りません。複数回にわたるログイン試行失敗後に成功した場合、この可能性が高くなります。
• ネットワークの速度低下：ネットワーク速度低下の原因は通信環境である場合もありますが、通常よりもデータを使用するアクティビティ、つまり攻撃行動を示す可能性もあります。
• 不特定多数が閲覧可能なネットワーク外へのデータ漏洩：プロセスログ、ジョブの出力や構成を確認すると、データの漏洩と侵害の証拠が見つかる可能性があります。

侵害の兆候（IOC）と攻撃の兆候（AOC）の比較

IOCと攻撃の兆候（IOA）には重複する概念がいくつかありますが、分析担当者が問題をIOCかIOAとして判断する材料を把握するには、これらの主な違いに着目することが役立ちます。 

IOCは通常アーティファクトである

アーティファクトについては以前に説明しましたが、コンテキストを追加することで役立つ場合があります。 アーティファクトは通常、本質的に過去の活動に関するものです。 これらは、すでに発生した悪意のあるイベントのデジタルフットプリントであり、特定のインテリジェンスに基づいて 脅威ハンティング を実行することで検出されます。 セキュリティアナリストや脅威ハンターは、外部のアーティファクトライブラリを活用して、自社のネットワークで何を探すべきかを理解することもできます。

アーティファクトを発見し、侵害となる可能性のあるものや進行中の侵害があると判断した後は、インシデント対応計画を実行に移すことができます。セキュリティ担当者が実際の侵害発生をより早期に検知できれば、何が起こったかをより早く特定して対応でき、今後注目すべき種類のアーティファクトについてもヒントを得やすくなります。

IOAは通常差し迫った攻撃の兆候である

IOAは、攻撃の阻止などに活用することができます。攻撃が差し迫っている可能性を示す兆候です。IOAでは、攻撃可能領域が拡大する中で、チームはネットワーク境界を越えるExtended Detection and Response（XDR）脅威テレメトリに基づき、積極的な対応を取ることができます。

適切に解釈すれば、IOAは、チームが将来発生する侵害や進行中の侵害に対応する上で役立ち、加えて攻撃者の行動内容や次に向かう先を予測することにも有用です。したがって、標的となっているシステム、アクセスや漏洩が試行されているデータに基づいて、対応と修正の取り組みに優先順位を付ける上でも非常に役立ちます。

IOCのメリットとは？

IOCの利点はたくさんありますが、主な利点は、企業が侵害を修復する上で役立ち、将来的に注目すべきと思われれる攻撃者行動の種類に関するコンテキストを提供できることです。その他の利点には以下が含まれます。

• 後期の攻撃を阻止：もちろん、IOCはすでに発生した攻撃のアーティファクトとなりますが、被害の拡大を阻止できる段階で、大規模な攻撃の進行段階を示すヒントとなる可能性もあります。
• 優先順位付けの標準化：IOCは単独でも有用ですが、あらゆるコンテキストを取得する上でも役立ちます。これは、攻撃者行動をより明確に把握し、さらに最初に実行すべきアクション、攻撃の阻止や次の攻撃への防備のために最適な方法を優先順位付けるためにも役立ちます。多くのソリューションには、チームが最も重大な脆弱性の解消に取り組めるよう、IOCをコンテキストで強化する機能が組み込まれています。
• 疲労の防止：堅牢なリスク軽減ソリューションであれば、セキュリティチームがデータ分析に圧倒され、重大な脅威を見落とす可能性を防ぐ自動対応計画にIOCを活用できる機能が備わっているはずです。
• カスタム警告の作成：組織のIOCを理解することで、懸念すべきアーティファクトが見つかった際にアラートを受け取れるよう、プラットフォームやテクノロジー内でカスタマイズされたセキュリティ警告を詳細に作成することができます。

効果的な検知・対応プログラムの管理にIOCが重要な理由

MDRプロバイダにとっては、顧客エコシステム全体でIOCを識別できることが最重要となるため、効果的なマネージド検知対応サービス（MDR）プログラムにとってIOCは重要です。

これにより、プロバイダは攻撃者の行動の傾向を見極め、IOCが見つかったときにネット検知機能を構築し、インシデント対応計画を調整し、その情報を主な顧客層に広めることができ、最終的に個々のセキュリティ組織がIOCデータを独自の防止技術に実装できるようになります。

MDRプログラムでは、IOCを活用した侵害対応の通知で得られる効率の向上とコスト削減を考慮することも重要です。とりわけ、MDRプロバイダ推奨のプランの導入に成功した場合や、プロバイダがIOCを自動テストし、それを顧客ログに適用してネットワークにこうした指標が現れたときにアラートを通知するようにした場合には、顧客満足度も高まり、これが企業成長の原動力となります。

これらすべての側面を組み合わせることで、MDRプロバイダは顧客を維持し、自社の運用を改善できるほか、調査結果の共有を通じてより広範なセキュリティコミュニティを強化することができます。

続きを読む

• Rapid7ブログ：1年の振り返り：Rapid7の脅威インテリジェンス