セキュリティ侵害インジケーター
表示
セキュリティ侵害インジケーター (セキュリティしんがいインジケーター、IoC: indicator of compromise) とは、コンピュータ・フォレンジクスにおいてコンピューター侵入を高い確信度で示す、ネットワーク上またはオペレーティングシステム内で観測されたアーティファクト (痕跡) のことである[1]。
通常、IoCはウィルスシグネチャーとIPアドレス、マルウェアファイルのMD5ハッシュ値、またはボットネットのC&C (コマンドアンドコントロール) サーバーのURLまたはドメイン名である。IoCは、インシデントレスポンスとコンピュータ・フォレンジクスのプロセスで特定された後、侵入検知システムとアンチウイルスソフトウェアを用いて将来起こり得る攻撃試行の早期検知に活用することができる。
より効率的な自動化処理については、IoCのフォーマットを標準化する取り組みがいくつかある[2][3]。既知のインジケーターは通常、業界内で交換される (トラフィックライトプロトコルが使われている[要出典])。
関連項目
[編集]脚注
[編集]- ^ “Understanding Indicators of Compromise (IoC) Part I”. RSA (2012年). 2013年2月27日閲覧。
- ^ “The Incident Object Description Exchange Format”. RFC 5070. IETF (2007年). 2013年2月27日閲覧。
- ^ “Cyber Observable eXpression (CybOX)”. Mitre. 2013年2月27日閲覧。