IoC（Indicators of Compromise）

「IoC（Indicators of Compromise）」とは、サイバー攻撃による侵害を示唆する痕跡情報のことです。例えば、攻撃に利用されたマルウェアの痕跡やその通信先のIPアドレスなどがIoCに該当します。日本語では、「侵害の指標」「侵害指標」「インディケータ情報」などとも呼ばれることがあります。

＜IoCの主な例＞

• マルウェアのファイル名やハッシュ値
• マルウェアの通信先IPアドレス
• C2サーバーとして使われるドメイン
• 不正な通信の通信プロトコル／ポート番号
• 通信の発生日時

など

こうした情報は、自組織のシステムに侵害の痕跡がないかを探すための指標として利用することができます。例えば、特定のマルウェアの痕跡がないかを確認したい場合、公共のサイバーセキュリティ機関やセキュリティベンダーなどが共有している当該マルウェアのIoC情報を基に自組織の通信ログなどを精査し、同じ通信先へのアクセスが発生していないか、同じような不審なプログラムが存在していないか等を調べることができます。

しかし、ドメインや通信先インフラを頻繁に変更する攻撃者や、バージョン変更を繰り返して進化を続けるマルウェアなども存在しています。このため、IoC情報は短期間で無効になる可能性があり、継続的に更新して利用する必要がある点に注意が必要です。