[RSA Conference 2015 USA] IOC (Indicator of Compromise) は死んだのか? タニウム社 講演レポート | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.01.17(火)

[RSA Conference 2015 USA] IOC (Indicator of Compromise) は死んだのか? タニウム社 講演レポート

研修・セミナー・カンファレンス セミナー・イベント

RSA Conference 2015 USA で、侵害されたネットワークやシステムに存在する脅威の痕跡情報(IOC:Indicator of Compromise)の、現在の課題と今後を考察する講演「IOCs are Dead -- Long Live IOCs ! 」がIOCの専門家によって行われた。

講演者のRyan Kazanciyanは、最近日本に製品が上陸し話題になったTanium社のチーフセキュリティアーキテクトを勤める人物で、前職ではMandiant社(2014年にFireEyeに買収)でインシデントレスポンスに従事していた。MandiantはIOCの事実上の標準であるOpenIOCの生みの親であり、同氏が語るIOCの現在と未来に大きな注目が集まった。

● 現在のIOCの問題点

IOCの目的の一つに、単純なシグネチャでは表現できない攻撃のコンテクストの記述と共有を可能にすることがある。しかし複数の統計が、流通しているIOCでもっとも多いのがファイルハッシュのIOCであることを示している。

講演でRyanは、「マルウェアの95%は1か月以内に消滅するため、ファイルハッシュのIOCは実に短命です。IOCは本来、このような問題を解決するために生み出されたはずなのに」と問題提起を行った。

有償のIOCでもその傾向は変わらないが、IOCの品質評価は実に難しいという。Ryanは会場いっぱいの聴講者に、IOC評価経験の有無を問うたが、挙手したのはわずか数名であった。彼自身でさえ目視確認に頼っていると語ったが、15分見ただけでも「質の低い」IOCを大量に確認できたという。

また、IOCを処理するツールについても、サポートするアイテムや論理構造、データの正規化などの対応が一様でないという問題点を抱えていることを指摘した。

● IOCを最大限活用するには

それでは現状を改善するにはどうすればいいのか。RyanはIOC自体ではなく、IOCの照合対象となるデータを再度確認することを勧めている。たとえば、SIEM用に収集したデータに対してエンドポイント用のIOCを適用したとしても、データ項目不足でIOCの検知能力が大きく損なわれることは容易に想像できるだろう。

Ryanはまた、守るべきシステムの「正常な」状態を把握することの大切さも訴えている。「たとえば、Duqu 2.0には自身の拡散にタスクスケジューラを利用するという特徴がありましたが、当時共有されたのはファイルハッシュのIOCばかりでした」と回想しながら、「通常時にタスクスケジューラログに記録される 『User』と『ActionName』を収集・分析していれば、Duqu 2.0関連のログを異常値として検知できたはずです。それをIOCのTaskItemとして記述・配布していれば、ファイルハッシュでは決して検知できない亜種さえ検知できたでしょう」

● 聴講者へのアドバイスと宿題

講演のまとめの中で、聴講者に向けた実践的なアドバイスがあった。

・購読フィードのIOCの品質と特性の再確認。たとえば適用先はエンドポイントなのに配信IOCがネットワーク系であったら、購読元を変更する。

・配信IOCと適用対象データとの整合性の再確認。不整合があると本来の検知能力を引き出せず、結果的に投資が浪費となってしまう。

・脅威情報への節度ある投資。脅威情報はセキュリティ対策全体のごく一部に過ぎず、いくら投資しても得られる効果は限られている。

なお、講演の後半で特に強調されたのが、監視対象のシステムから得た内部インテリジェンスの重要性である。「守るべきネットワークをよく知ること、これが何よりも大事なのです」という言葉で講演を結んだRyanに対し、会場からは拍手が送られていた。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. 「彼らは本気度が違う」 ~ 専門学校生対象の脆弱性発見コンテストで日本工学院八王子専門学校「WCDI」最優秀賞

    「彼らは本気度が違う」 ~ 専門学校生対象の脆弱性発見コンテストで日本工学院八王子専門学校「WCDI」最優秀賞

  2. 国内11の自動車関連 Android アプリの危険性~遠隔操作は可能か (CODE BLUE 2016)

    国内11の自動車関連 Android アプリの危険性~遠隔操作は可能か (CODE BLUE 2016)

  3. 自動車へのハッキングはどうやって守るのか? カギはHSM

    自動車へのハッキングはどうやって守るのか? カギはHSM

  4. ATMの脆弱性とハッキング、その攻撃事例と安全対策 (CODE BLUE 2016)

  5. スマートテレビがランサムウェアに感染する瞬間を目撃! IoTセミナー(トレンドマイクロ)

  6. 日本の企業・政府機関が備えるべきこと~内閣サイバーセキュリティ情報化審議官 伊東 寛 氏講演

  7. 警視庁ネットバンキングウイルス無力化作戦、セキュアブレインの技術支援全容 (CODE BLUE 2016)

  8. 自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト

  9. [レポート] セキュリティに賭するもの ~ インターポール 福森大喜氏 セキュリティ・キャンプ2016 特別講義

  10. 通信インフラがダウン状態でもスマホ同士をWi-Fi Direct機能を利用して接続する「スマホdeリレー」(構造計画研究所)

全カテゴリランキング

特集

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×