IOCとは？

ほとんどの脅威インテリジェンスは、侵害の痕跡（IOC＝Indicators of Compromise）つまり、悪意のあるアクティビティを知らせるシステムまたはネットワーク上のアーティファクトとして共有されます。

IOCは、サイバー攻撃の「犯罪現場に残された指紋」のようなものです。これらは静的入力であり、ファイルハッシュ、IPアドレス、ドメイン名など、環境内の情報として識別されることがよくあります。

具体的な脅威インテリジェンスとしてのIOCは次のようなものです。

敵対者のIPアドレス：100.35.197.249

ウイルス対策ソフトウェアは、ファイルハッシュ、関数呼び出し、埋め込みコードセクションなどのファイル属性を調べます。一致が見つかると、関連するプロセスの実行を阻止します。

IOCは、マルウェア、C2サーバー、または攻撃者が使用している可能性のあるその他のツールに固有の署名に基づいて、敵対者の攻撃を識別して防止するのに役立ちます。

たとえば、特定の敵対グループに関連付けられた一意のハッシュにフラグを設定して、アラートのコンテキストを強化することができます。

IOCは既知のマルウェアの防止には有効ですが、1日に35万を超える新しい種類のマルウェアが検出されており、ファイルレスマルウェアの攻撃も増加しています。もはやIOC単体では防御策として革新的でも十分でもありません。

IOB（振る舞いの痕跡）の導入

一方、振る舞いの痕跡（IOB＝Indicators of Behavior）は、攻撃のアプローチ方法を描写するものです。IOBは、サイバー攻撃の「犯罪現場の目撃者」のようなものです。敵対者の顔を見られなかったとしても、敵対者が何をしたかを目撃しています。

IOBは、ツールやアーティファクトとは関係なく、攻撃を描写する一連の振る舞いであり、AEPや攻撃のシミュレーションを設計するときに極めて有効です。

ハイレベルのIOBは次のようなものです。

• 最初のアクセスには、悪意のあるMicrosoft Word文書が添付されたフィッシング添付ファイルを使用。
• 後続のペイロードは、PowerShellを利用してスケジュールされたタスクを介して持続性を生み出すコマンドを実行するWord文書内の悪意のあるマクロによってダウンロード。

具体的な脅威インテリジェンスとしてのIOBは次のようなものです。

• T1193スピアフィッシング添付ファイル（Microsoft Word）-> T1093シェルプロセス（PowerShell）-> T1407外部接続-> T1053子プロセス（スケジュールされたタスクの作成）

IOBは、悪意のある振る舞いについて報告することで、攻撃のコンテキストを描写するものです。確かに、手順の描写といった具体的なものから、手法レベルの包括的なものまで、さまざまなIOBがあります。

上記の例では、IOBは包括的なので、これらの手法をさまざまな手順に適用して防御策を広範囲にテストすることができます。ブルーチームの場合は、このIOBを検索条件に簡単に変えることができます。

検索条件を平易な言葉にすると次のようになります。

インターネットに接続して別のシェル（CMDまたはPowerShell）またはインターネットからダウンロードされた署名無しのバイナリを実行するPowerShellの子プロセスをMicrosoft Wordが生成するWordのすべての実行ファイルを識別する。

ブルーチームは、この指示を使用することもできますし、自身の環境でこのIOBを創造的に検索することも可能です。

さらに、レトロマッチングなどの手法を使用することで、過去にさかのぼり、最新の脅威インテリジェンスを使用して過去の環境を評価し、見逃した可能性のある敵対者を検証することができます。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606