[RSA Conference 2015 USA] IOC (Indicator of Compromise) は死んだのか? タニウム社 講演レポート | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.06.25(日)

[RSA Conference 2015 USA] IOC (Indicator of Compromise) は死んだのか? タニウム社 講演レポート

研修・セミナー・カンファレンス セミナー・イベント

RSA Conference 2015 USA で、侵害されたネットワークやシステムに存在する脅威の痕跡情報(IOC:Indicator of Compromise)の、現在の課題と今後を考察する講演「IOCs are Dead -- Long Live IOCs ! 」がIOCの専門家によって行われた。

講演者のRyan Kazanciyanは、最近日本に製品が上陸し話題になったTanium社のチーフセキュリティアーキテクトを勤める人物で、前職ではMandiant社(2014年にFireEyeに買収)でインシデントレスポンスに従事していた。MandiantはIOCの事実上の標準であるOpenIOCの生みの親であり、同氏が語るIOCの現在と未来に大きな注目が集まった。

● 現在のIOCの問題点

IOCの目的の一つに、単純なシグネチャでは表現できない攻撃のコンテクストの記述と共有を可能にすることがある。しかし複数の統計が、流通しているIOCでもっとも多いのがファイルハッシュのIOCであることを示している。

講演でRyanは、「マルウェアの95%は1か月以内に消滅するため、ファイルハッシュのIOCは実に短命です。IOCは本来、このような問題を解決するために生み出されたはずなのに」と問題提起を行った。

有償のIOCでもその傾向は変わらないが、IOCの品質評価は実に難しいという。Ryanは会場いっぱいの聴講者に、IOC評価経験の有無を問うたが、挙手したのはわずか数名であった。彼自身でさえ目視確認に頼っていると語ったが、15分見ただけでも「質の低い」IOCを大量に確認できたという。

また、IOCを処理するツールについても、サポートするアイテムや論理構造、データの正規化などの対応が一様でないという問題点を抱えていることを指摘した。

● IOCを最大限活用するには

それでは現状を改善するにはどうすればいいのか。RyanはIOC自体ではなく、IOCの照合対象となるデータを再度確認することを勧めている。たとえば、SIEM用に収集したデータに対してエンドポイント用のIOCを適用したとしても、データ項目不足でIOCの検知能力が大きく損なわれることは容易に想像できるだろう。

Ryanはまた、守るべきシステムの「正常な」状態を把握することの大切さも訴えている。「たとえば、Duqu 2.0には自身の拡散にタスクスケジューラを利用するという特徴がありましたが、当時共有されたのはファイルハッシュのIOCばかりでした」と回想しながら、「通常時にタスクスケジューラログに記録される 『User』と『ActionName』を収集・分析していれば、Duqu 2.0関連のログを異常値として検知できたはずです。それをIOCのTaskItemとして記述・配布していれば、ファイルハッシュでは決して検知できない亜種さえ検知できたでしょう」

● 聴講者へのアドバイスと宿題

講演のまとめの中で、聴講者に向けた実践的なアドバイスがあった。

・購読フィードのIOCの品質と特性の再確認。たとえば適用先はエンドポイントなのに配信IOCがネットワーク系であったら、購読元を変更する。

・配信IOCと適用対象データとの整合性の再確認。不整合があると本来の検知能力を引き出せず、結果的に投資が浪費となってしまう。

・脅威情報への節度ある投資。脅威情報はセキュリティ対策全体のごく一部に過ぎず、いくら投資しても得られる効果は限られている。

なお、講演の後半で特に強調されたのが、監視対象のシステムから得た内部インテリジェンスの重要性である。「守るべきネットワークをよく知ること、これが何よりも大事なのです」という言葉で講演を結んだRyanに対し、会場からは拍手が送られていた。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. [速報] Interop Tokyo 2017 Best of Show Award 2017 セキュリティカテゴリ受賞プロダクト一覧と受賞理由

    [速報] Interop Tokyo 2017 Best of Show Award 2017 セキュリティカテゴリ受賞プロダクト一覧と受賞理由

  2. IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)

    IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)

  3. セキュリティとユーザーエクスペリエンスは本当にトレードオフなのか

    セキュリティとユーザーエクスペリエンスは本当にトレードオフなのか

  4. AWS 環境に構築した SNS サイトへのハッキングデモ(MBSD)

  5. アジア人初の DEF CON CTF ファイナリスト集団によるハンズオントレーニング、虎ノ門ヒルズに開校

  6. 緊急会見~ランサムウェア「WannaCry」特徴と対策(トレンドマイクロ)

  7. 高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件

  8. ランサムウェアの歴史と未来 - 世界最初のランサムウェアはフロッピーを郵送?(ESET)[Security Days Spring 2017 レポート]

  9. 「Trend Micro CTF 2017」を6月24日から開催、優勝賞金は100万円(トレンドマイクロ)

  10. [Security Days Spring 2017 インタビュー] ソフトバンクが惚れ込んだ標的型攻撃対策のEDR製品(サイバーリーズン・ジャパン)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×