IOC(侵害の兆候)
サイバーセキュリティにおけるコンプロマイズとは、セキュリティ侵害や不正アクセスを意味します。侵入が始まる前に、企業はそれを防ぐための兆候に気付き、適切な対策を講じることがあります。これを『侵害の兆候』、すなわちIOCと呼びます。
より技術的に言えば、IOCとは、ネットワークや端末上で観察された際に、システムがハッキングされ不正アクセスにさらされている可能性を示す現象や行動を指します。こうした兆候は、既知のリスクを阻止し、不正行為を初期段階で摘発するために用いられます。
ここでは、IOCの役割、検出と対応、兆候の見分け方、例などについて詳しく説明します。
IoC(侵害の兆候)の定義
IoC(侵害の兆候)と呼ばれる技術的な調査成果によれば、ウェブページやアプリの画面が改ざんされたり、乗っ取られたり、侵入されたりすることがあるです。目に見える証拠が不正行為を見抜くのと同じように、これらのデジタルなヒントは、IT担当者がマルウェア攻撃や情報流出、不正アクセスなどの危険を把握する助けとなります。
予期せぬ動作に気付いた場合、専門家は手作業で侵入の兆候を集めるか、または貴社のセキュリティ監視システムの一部として自動で収集できます。将来的には、これらのデータを利用して、疑わしいファイルを識別・隔離し、進行中の攻撃を食い止めたり、過去のセキュリティ事案に対処する先進の仕組みを構築することも考えられます。
残念ながら、IoCの検出は外部に公開されているため、企業が兆候を発見した時点では、すでに侵入が始まっている可能性が高いです。それでも、侵入が進行中であれば、速やかなIoC検出により、初期段階での被害を最小限に抑え、事業への悪影響を軽減できる可能性があります。
詐欺師の手口が巧妙になったため、侵入の兆候を捉えるのは一層難しくなっています。一般的なIoCであるmd5ハッシュ、ハードコードされたIPアドレス、C2ドメイン、登録キー、ファイル名などは常に変動しているため、認証さえも困難になる場合があります。
兆候の見分け方
予期しないネットワーク動作、アカウントの利用、不審な文書、謎の設定変更など、さまざまな行動が侵入を示す可能性があります:
- 送信ネットワーク通信の異常
送信トラフィックを監視することで、セキュリティ担当者は潜在するサイバー脆弱性を発見できる場合があります。たとえば、組み込まれたスパイウェアがコマンド・アンド・コントロールサイトと通信したり、機密情報を漏洩している可能性があります。侵入検知システムによる監視が、異常なネットワーク事象を捉える手助けとなります。
- ユーザーアカウントの異常
攻撃者はハッキングされたユーザープロフィールを利用して権限を拡大することがよくあります。フィッシング等の不正な手口により、第三者が一定の権限を持つアカウントを作成する危険があります。
適切な多層防御や、最小権限の原則に基づく強固な認証手続きがなければ、脆弱なシステムはより大規模な攻撃に晒される可能性があります。
- データベースの異常
多くの企業が機密情報を保存するデータベースは、攻撃者にとって魅力的な標的です。データベースへのアクセス活動が急増する場合、データの改ざんや破壊が試みられている兆候かもしれません。
- トラフィックの不規則性
地域毎の帯域幅の違いだけでなく、通常と異なる場所からのトラフィックは、悪意ある活動の兆候である可能性があります。
- 不正なレジストリ変更
一部のウイルスは、無断でレジストリを変更します。システム文書やレジストリの初期状態を設定することで、マルウェアによる異常な変更を迅速に発見できます。
攻撃者は、入手または公開されたログイン情報を利用して攻撃を行う可能性があります。流出した認証情報には特に注意が必要です。
侵害の兆候一覧
サイバーリスクや攻撃を評価する際、セキュリティ担当者が探すべき兆候には以下のものが挙げられます:
- ネットワーク上での突発的な活動(送受信ともに)
- 企業が存在しない国や地域からのトラフィックなど、地理的な異常
- 不審なネットワークプログラム
- 認可済みまたは管理者アカウントの異常な動作(権限の追加要求など)
- 認証情報の要求や不適切なログインの急増(ブルートフォース攻撃の兆候)
- データベースの読み込み量の増加などの異常な動作
- 重複ファイルの複数検索
- データベースやシステムデータファイルの異常な変更
- 通常ではないDNS問い合わせや登録設定
- スマートフォンのプロファイルなど、設定の不正な変更
- 不正な場所や識別不能な箇所に大量の圧縮ファイルやデータパッケージが存在する
IOCと攻撃の兆候の違い
IOCと攻撃の兆候(IOA)の違いは、主に発生タイミングにあります。IOAは即時に発生し、IOCは何が起こったかを知らせます。IOAは進行中の攻撃としてセキュリティ担当者が対応するものであり、違反が確認されるとすぐにIOCがその範囲を評価します。
IOCのライフサイクル
IOCのライフサイクルとは、潜在的なリスクや事象を発見し、検証し、対処するプロセスです。IOCが有効である限り、この手法は継続されます。
検出
IOCのライフサイクルは、様々な手法を用いて潜在的なリスクや異常を検出する段階から始まります。
企業は、以下の方法などを通じて潜在的なIOCを発見できます:
- システムログの追跡
システムログを確認することで、異常な動作からセキュリティ上の問題が示唆される場合があります。例えば、ログインの失敗や無許可の情報アクセスは、侵入の兆候となりえます。
- ネットワーク活動パターンの監視
特定のIPアドレスやサイトからの突発的なトラフィック、または通常とは異なる通信経路からのアクセスなど、予期しない活動を捉えることができます。
- セキュリティ評価の実施
スパイウェア、ウイルス、ネットワーク設定上の欠陥など、侵入の兆候を探すために各種セキュリティツールを活用できます。
- セキュリティ機器やソフトからの通知の取得
多くのセキュリティ機器やソフトは、疑わしい侵入の兆候を検知すると通知するよう設計されており、それにより迅速な対応が可能となります。
評価
この段階では、侵入兆候に対してどのように対処するかを判断します。企業は、潜在するリスクを詳しく知るために以下の方法などを利用できます:
- ランサムウェアの評価
有害なソフトウェアの存在が疑われる場合、専用ツールを用いてマルウェアを解析し、その機能や意図を明らかにします。
- ネットワークトラフィックの評価
ログの確認や専用ソフトによる通信解析を通じて、リスクの規模や種類を把握することが可能です。
- ネットワークの評価
システムや設定を調査して、不正なアクセスや変更の有無を確認し、侵入の範囲を測ることができます。
- セキュリティインテリジェンス
外部の脅威情報を参照することで、リスクの詳細や過去の事例を把握し、より強固な防御策の構築に活かせます。
情報共有
対応策の検討や、さらなる攻撃防止のため、発見したIOCの情報を特定の関係者や他組織、当局に開示します。
IOCの共有が重要な理由は、以下のとおりです:
- サイバーセキュリティの強化のため
共有することで、他の組織も同様の脅威から守る手助けとなり、全体のセキュリティ姿勢を高められます。
- 相関関係やパターンの把握のため
攻撃のパターンや傾向を広い視点で捉えることができ、攻撃者の手口や動機の理解に役立ち、より堅固な対策の構築に寄与します。
- 捜査支援のため
IOCの情報公開が、法執行機関によるハッカーの発見や逮捕、捜査の支援につながる場合があります。
- セキュリティインテリジェンスの収集のため
外部の脅威情報と併せて、リスクの詳細や履歴を把握し、ネットワーク防御の強化に活用できます。
展開
展開段階では、多層防御戦略の一環として、さまざまな予防措置が導入されます。ひとつの防御策やコマンドだけでは完全ではないため、複数の安全対策を組み合わせ、リスクを守る考え方に基づいています。
ファイアウォール、アクセス制限、データ暗号化、また侵入検知・防御システムなどが、多層防御の一要素として用いられます。
検出と対応
本段階では、潜在的な脅威を継続的に監視し、必要に応じて迅速に対策を講じます。企業は、システムログの監視、ネットワーク活動の解析、セキュリティチェックなど、各種ツールを用いて疑わしいIOCを探知します。
IOCが発見されると、あらかじめ定められた手順に沿い、以下のような対応が行われます:
- 影響を受けたネットワークやシステムの切り離し
影響を受けたコンピュータや接続を隔離することで、他システムへの波及被害を抑制できます。
- 対策の実施
不審な通信の遮断、影響システムの隔離、その他予防措置など、適切な対応策が選択されます。
- 関係者への通報
従業員、顧客、関係機関などへ事案および対応状況が報告される場合もあります。
終了
侵入の兆候が有効期限に達すると、セキュリティ上の識別や対策としての価値がなくなります。これは、脅威が完全に排除された場合や、対象が時代遅れとなった場合などに生じます。
IOCの有効期限に影響する主な要因は、以下のとおりです:
- 技術の変化
技術進歩に伴い、従来のIOCは有効性を失う場合があります。たとえば、古いソフトウェアやハードウェアに依存するIOCは効果が薄れることがあります。
- 脅威環境の変化
企業が直面する脅威は時とともに変化するため、かつて有効だったIOCが当てはまらなくなることがあります。
- 企業のセキュリティ体制の変化
セキュリティ体制が向上すれば、従来のIOCは不要または時代遅れになる場合があります。例えば、新たな防御策が導入されると、以前のIOCは有用でなくなることがあります。
IOCとKubernetes
多くの大企業は、主要な運用タスクを含む様々な業務で、世界的に人気のあるKubernetesを活用しています。Kubernetes環境における一般的なIOCを理解することは、Kubernetes導入時に重要です。
- cluster-adminロールへの参加
侵入者は、cluster-adminロールに参加して権限を昇格させるなど、特定の操作を行う可能性があります。Kubernetesにおける巧妙な攻撃は、通常、権限昇格(例:2018年のTeslaやWeightWatchersの事例)から始まり、その後、コマンド実行やネットワーク内での横展開へと進みます。
オンプレミスやパブリッククラウドの各Kubernetesクラスターにおいて、rootユーザーで実行されるコンテナの分布を示すトポロジーマップは、こうした侵入兆候を検知する一方法です。これにより、権限の不正な拡大が明らかになる恐れがあります。また、認可されたコンテナ起動時に通知するルールを設定することで、監視体制の強化につながります。
- 異常なHTTP応答時間
予期しないHTTP応答は、情報漏洩の兆候である可能性があります。たとえば、PCI定義のドメイン内で、不正なアクセスによりオンラインアプリから取得されるHTTPレスポンスが、通常より大きなデータ量を示す場合があります。http_response_size_byteなどの指標を利用して、Kubernetes環境で異常なHTTP応答サイズを監視し、漏洩を察知できます。
- HTTPエラーコード403と404の増加
HTTPでのリクエストの失敗、特に403(アクセス拒否)や404(見つからない)のエラーが多数発生する場合、侵入試行や初期段階の攻撃手法の兆候と考えられます。攻撃者は、保護されたエリアへの侵入や情報収集を試みるため、HTTPの指標やエラーの急増に注意する必要があります。
なぜIOCの監視が必要か
企業は、侵入の兆候を監視することで、攻撃の初期段階で侵入を発見し、迅速に対策を講じることで、被害の拡大を防いだり、損失を最小限に留めたりできます。
情報セキュリティやIT担当者は、IOCという手がかりをもとに攻撃の連鎖の初期段階で不正行為を検知できます。こうした異常な行動は、データ漏洩やネットワーク侵入に至る可能性のある攻撃の前触れです。
ただし、IOCは単純なメタデータから複雑な悪意あるプログラムやサンプルにまで及ぶため、識別が難しい場合もあります。潜在的なリスクや事象を解析するため、各種IOCを収集し、その相関関係を分析して総合的に判断することが必要です。
結論
IOCは主に企業資産を守る際に重要視されますが、一般利用者にも発生することがあります。たとえば、多くのウェブサービスでは、異なる国やデバイスからのログイン要求があると利用者に通知されます。不審な場合は、内容をよく確認し、速やかにログイン情報を変更することが推奨されます。
FAQ
References
Subscribe for the latest news
.jpeg)
.jpeg)
