用語集 › 🔒 セキュリティ › IoC(侵害指標)
【あいおーしー】

IoC(侵害指標) とは?

💡 サイバー犯罪の「指紋」や「足あと」を集めて、次の被害を防ぐ手がかりにする情報
📌 このページのポイント
IoC(侵害指標)の種類と活用フロー 攻撃者 サイバー攻撃 被害システム 痕跡が残る IoC収集 証拠を抽出 防御 検知/遮断 代表的なIoCの種類 IPアドレス 不審な接続元 例: 192.168.x.x ドメイン名 C2サーバの宛先 例: evil.example ファイルハッシュ マルウェアの指紋 例: SHA-256値 URL/パス 不正な通信先 例: /malware/dl STIX/TAXIIで組織間共有 → 業界全体の防御力を向上
IoCの種類と活用フローのイメージ
ひよこ ひよこ

IoCって何のこと?セキュリティのニュースでよく見かけるんだけど…

ペンギン先生 ペンギン先生

IoCは「攻撃を受けた痕跡」のことだよ。たとえば泥棒が残した足あとや指紋みたいなもので、不審なIPアドレスマルウェアのファイルハッシュ、怪しいドメイン名なんかが該当するよ。

ひよこ ひよこ

なるほど、犯人が残した手がかりみたいなものなんだね!それを集めてどうするの?

ペンギン先生 ペンギン先生

集めたIoCSIEMEDRに登録しておくと、同じ攻撃パターンが来たときに自動で検知・ブロックできるんだ。たとえば「このIPアドレスは攻撃に使われた」と分かれば、次にそのIPから通信が来たら即座にアラートを出せるよ。

ひよこ ひよこ

他の会社とも共有したりするの?

ペンギン先生 ペンギン先生

するよ!STIXやTAXIIといった標準フォーマットを使って、組織間でIoCを交換する仕組みがあるんだ。ある会社が見つけた攻撃の痕跡を業界全体で共有すれば、同じ攻撃者による被害を防げるからね。

ひよこ ひよこ

IoCさえあれば攻撃は全部防げるの?

ペンギン先生 ペンギン先生

残念ながらそうでもないんだ。IoCは「何が使われたか」は分かるけど、「どうやって攻撃したか」までは分からない。攻撃者はIPアドレスドメインを頻繁に変えるから、IoCだけだとイタチごっこになりがちだよ。

ひよこ ひよこ

じゃあどうすればいいの?

ペンギン先生 ペンギン先生

そこでTTPsと組み合わせるのが大事なんだ。IoCが「犯人の指紋」なら、TTPsは「犯人の行動パターン」。MITRE ATT&CKフレームワークではIoCTTPsを紐づけて管理していて、セキュリティの世界では「IoCは消耗品、TTPsは資産」と言われるくらい、両方を組み合わせた分析が重要視されているよ。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
IoC」って出てきたら「攻撃の痕跡・証拠データ」と思えればだいたいOK!
📖 おまけ:英語の意味
「Indicator of Compromise」 = 侵害の指標
💬 Compromise(侵害)のIndicator(指標)、つまり「やられた証拠」を意味する略語だよ
🔗 あわせて読みたい
← 用語集にもどる