セキュリティ対策に活用できる「侵害の痕跡(IOC)」とは何か？

セキュリティ関連の文書を読んでいると、「侵害の痕跡」または「IOC ((Indicators Of Compromise)」という用語が頻繁に登場する。Kaspersky Labは公式ブログ「Securelist」の記事「Indicators of compromise (IOCs): how we collect and use them」において、「IOC」について、どのようなものであり、どのようにして収集および活用するのかについて解説している。以下、そのポイントを紹介しよう。

IOCは、セキュリティ侵害に利用された悪意のあるインフラストラクチャや通信に関する情報、ファイルやWindowsレジストリキーといったインプラントなどをまとめた共有情報である。一般的に、IOCには次のような情報が含まれている。

悪意のあるインフラのホスト名、ドメイン名、IPアドレス
通信に使用されたURL
ネットワーク通信パターン
ファイルやファイルパス（を指定するハッシュ）
Windowsレジストリキー（を指定するハッシュ）
悪意のあるプロセスによってメモリに書き込まれたアーティファクト（を指定するハッシュ）

Kasperskyのグローバル調査分析チーム(GReAT: Global Research & Analysis Team)では、脅威インテリジェンスにまつわる活動の一貫として、脅威または脅威アクターに関するIOCを可能な限り収集している。その収集方法はケースバイケースで多岐にわたるものの、一般的な情報ソースとしては以下があるという。

社内におけるテレメトリや独自のデータコレクションなどの技術データ
商用利用可能なオープンデータ
同業者やデジタルサービスプロバイダ、非営利組織、政府のサイバーセキュリティ機関、信頼できる顧客やパートナーなどによる協力
収集された悪意のあるアーティファクトに対する分析結果
ツールやロボットなどを用いた積極的な脅威調査

セキュリティ専門機関によって公開されたIOCは、自組織のセキュリティ対策の強化に活用することができる。具体的には、IOCに含まれるホストや通信内容の情報を利用すれば、早期に悪意のある通信をブロックするなど、脅威の予防を行えるようになる。また、管理対象のシステムを定期的に精査してIOCと照合することで、侵害が発生した場合の早期発見につなげることができる。

さらにKasperskyのセキュリティオペレーションセンター(SOC)では、IOCをインシデントの追跡調査や、特定のインシデントの封じ込めや完全な排除にも活用しているという。Securelistの記事では、KasperskyのGReATやSOCにおける具体的なIOCの活用方法が紹介されている。