IoC（Indicator of Compromise / 侵害の痕跡）

サイバーセキュリティインシデントにおいて、データ侵害の手掛かりや証拠となるのが「IoC (Indicators of Compromise)」です。日本語では、「侵害の痕跡」を意味し、攻撃が発生したことだけでなく、多くの場合、攻撃にどのようなツールが使用されたか、その背後に誰がいるかを明らかにします。

また、IoCは、侵害が組織にどの程度の影響を与えたかを判断し、今後の攻撃から環境を守るための対策案を収集するためにも使用できます。IoCは通常、アンチマルウェアやアンチウイルスシステムなどのソフトウェアから収集されますが、その他の人工知能型サイバーセキュリティツールを使って、インシデント対応時にこれらの痕跡を集約・整理することもできます。

マルウェアの作成者は、常に検出を回避するソフトウェアを作ろうとしますが、どのアプリケーションでも必ず、その存在を示す証拠をネットワーク上に残します。これらの手がかりは、ネットワークが攻撃を受けているかどうか、あるいはデータ侵害が発生しているかどうかを判断するために使用できます。サイバー犯罪の捜査官は、これらの手がかりをもとに、サイバーセキュリティインシデント後の証拠を集約し、対策を準備したり、攻撃者に対する刑事責任を追及したりします。また、IoCは、どのようなデータが盗まれたのか、サイバーセキュリティインシデントの深刻度を明らかにします。

IoCとは、サイバーセキュリティ事件の後に攻撃者が残した証拠品のようなものだと考えてください。マルウェア対策アプリケーションは、インシデントを部分的に食い止めることができます。一方で、IoCは攻撃者がアクセス可能だったデータやファイルを特定します。攻撃者がデータを盗むために使用した脆弱性やエクスプロイト (悪用できる欠陥) を発見する上で非常に重要であり、今後のネットワークセキュリティ保護を強化するための情報を提供してくれます。

次に、攻撃の手がかりを意味する「IoA (Indicators of Attack) 」との違いについてご紹介します。サイバーセキュリティインシデントにはいくつかのフェーズがあります。しかし、調査に関しては、攻撃が継続しているのか、問題が収束したのか、という2つの重要な観点があります。調査担当者は、攻撃者が残した侵害の手がかり (IoC) を使って、この2つの質問への答えを導き出します。

IoCは、インシデント対応の際に、攻撃の範囲や侵害されたデータを判断するために使用されます。攻撃の手がかり（IoA）は、攻撃が継続しており、被害が拡大する前に食い止める必要があるかどうかを判断するために使用します。

IoCとIoAはどちらも、調査員が攻撃の状態を知る手がかりとなる証拠やメタデータを扱います。IoCは、攻撃が終わった後、企業が「どこで」「何を」「どのように」行われたかを調査する場合に使用します。IoAは、現在進行中の攻撃に焦点を当て、それを阻止する必要があります。

非常にステルス性の高いマルウェアの場合、管理者が気づくまでに侵害が何ヶ月も続く可能性があります。IoAは、疑惑が正確であるか、誤検知であるかを判断するのにも役立ちます。

大規模なネットワークでは、何千ものIoCが存在する可能性があります。そのため、ほとんどの証拠は集約され、サイバー犯罪の捜査官がデータを整理できるように、SIEMシステム (セキュリティ情報のログ管理システム) に読み込みます。証拠は様々な場所から入手できますが、ここではIoCと言えるいくつかの兆候を紹介します。

• 不審な外部へのトラフィック： 攻撃者は、マルウェアを使ってデータを収集し、自身のサーバに送信します。ピーク時以外の時間帯の送信トラフィックや、不審なIPで通信しているトラフィックは、侵害の痕跡である可能性があります。
• 機密情報に対する高権限ユーザーの不正なアクティビティ： 侵害されたユーザーアカウントが機密情報へのアクセスに使用されている場合があります。攻撃者が、ロックされているデータに不正にアクセスするには、管理者アカウントが必要です。高権限のユーザアカウントが、業務時間外に機密データにアクセスしていたり、滅多にアクセスされないファイルにアクセスしていたりすると、認証情報がフィッシングされたり盗まれたりしている可能性があります。
• 見慣れない地域からのアクティビティ： ほとんどの組織では、所在地からのトラフィックが発生します。国家が関与する攻撃や他国からの攻撃では、通常の地域以外からのトラフィックが発生します。
• 認証失敗の多さ： アカウントの乗っ取りでは、攻撃者は自動化を利用して、フィッシングで得た認証情報を使って認証を行います。認証失敗率が高いということは、攻撃者が認証情報を盗み、ネットワークにアクセスできるアカウントを見つけようとしている可能性があります。
• データベースの読み取り回数の増加： SQLインジェクションであろうと、管理者アカウントを使って直接データベースにアクセスした場合であろうと、データベースのテーブルからのデータの出力は、攻撃者がデータを盗んだことを示す可能性があります。
• 重要なファイルに対する過剰なリクエスト： 高権限のアカウントがないと、攻撃者はさまざまなエクスプロイト (悪用できる欠陥) を駆使して、ファイルにアクセスするための適切な脆弱性を見つけようとします。同じIPや地域からの多数のアクセス試行は確認する必要があります。
• 不審な設定変更： ファイル、サーバ、デバイスの設定を変更すると、攻撃者にネットワークへの第二のバックドア (侵入経路) を与えてしまう可能性があります。また、設定変更によって、マルウェアが悪用できる脆弱性を追加してしまう可能性もあります。
• 特定のサイトや場所にトラフィックが集中： デバイスが侵害されると、ボットネットになる可能性があります。攻撃者は、侵害されたデバイスに信号を送り、特定のターゲットにトラフィックを殺到させます。複数のデバイスから特定のIPに大量のトラフィックが発生した場合、内部のデバイスがDDoS攻撃に加担している可能性があります。

侵害は、上記の手がかりの1つまたは複数によって特定されます。サイバー犯罪の捜査官の仕事は、すべてのIoCを調べ、どのような脆弱性が悪用されたかを特定することです。

インシデントが発生した後、何が悪かったのかを明らかにし、同じ脆弱性を将来的に悪用されることを回避するために、IoCは活用できます。

場合によっては、企業が適切なリソースの記録と監視を怠ることがあります。このような場合、調査を行っても攻撃者が発見されない可能性があります。攻撃を検知するためには、まずネットワーク上で監視を行うことが重要ですが、調査のためには、ログや監査証跡も同様に重要です。

IoCのデータをリアルタイムに収集することで、調査時の応答時間は短縮できます。SIEMは、攻撃とその狙いを特定するために必要な貴重な証拠から、ノイズを分離するために使用されます。また、現行のインシデント対応手順をマニュアル化することで、調査にかかる時間を短縮することもできます。これらの手順は、侵害が発生した後に見直し、改善する必要があります。

インシデント対応では、「教訓を得る」段階が最後のステップです。IoCは、この段階で、どのようなサイバーセキュリティ防御が正しく設定されていなかったのか、あるいは攻撃者を阻止するには不十分だったのかを特定するのに役立ちます。ログや監査証跡が充実しているほど、インシデント対応時の調査は効果的になります。