IOC
定義
IOC(Indicators of Compromise:侵害の痕跡)とは攻撃が行われたことを示す証拠となるデータポイントです。不審なIPアドレス・ドメイン・URL・ファイルのSHA256ハッシュ・レジストリキー・プロセス名・ネットワーク通信パターン・メールの件名・添付ファイルのハッシュなどが含まれます。脅威インテリジェンスプラットフォーム(MISP・VirusTotal・商用CTIフィード)で共有・配信され、SIEMやEDRのアラートルールに組み込んで自動検知に活用します。IOCは「既に起きたことの証拠」という性質上、高度なAPTはC2インフラを頻繁にローテーションするため、IOCのみに依存する検知戦略は限界があります。IOCより抽象度の高い「TTPベースの検知」(MITRE ATT&CKのテクニックレベルで検知ルールを構築する)はインフラ変更では回避できないため、より堅牢な検知アプローチです。インシデントレスポンス時にIOCを素早く抽出・共有することで、組織内外での横展開を防止できます。
関連用語
よくある質問
IOCとは?
侵害の痕跡を示す証拠。不審なIPアドレス・ドメイン・ファイルハッシュ・レジストリキー・ネットワークパターンなどが含まれる。脅威インテリジェンスで共有・活用し、SIEMやEDRの検知ルールに組み込む。
同じカテゴリの用語(防御・対策)
利用者が求めたOAuthアプリ権限を、管理者が審査して承認・却下するための運用フロー。…
Kubernetesでリソース作成・更新リクエストを受け付ける前に、検証や変更を行う制御ポイント。…
大量のアラートや低品質な通知により、担当者が重要な警告を見逃しやすくなる状態。…
許可された対象だけを通す制御リスト。アプリ、IP、ドメイン、拡張機能、APIなどで使われる。…
個人を識別できないよう、不可逆にデータを加工すること。再識別リスクを十分に下げる設計と検証が必要。…
APIへのリクエスト回数や頻度を制限する仕組み。過負荷、乱用、認証情報攻撃、コスト増大を抑える。…
関連するレッスン
組織を守る実践的な防御策を学ぶ