用語辞典
IOA(攻撃指標)とは — 痕跡ではなく『進行中の攻撃の振る舞い』で気づく
IOA(Indicator of Attack/攻撃指標)は、すでに残った痕跡(IOC)ではなく、いま進行している攻撃の“振る舞い”——権限昇格→横移動→外部送信といった手口の流れ——で侵害に気づく考え方です。IOCとの違い、なぜ振る舞いは痕跡より変えにくいのか、小規模でもできる活かし方を防御目線で解説します。
「侵害の痕跡(IOC)を照合する」だけでは、攻撃者が痕跡を変えると追いつけません。そこで効くのが、振る舞いで気づくIOAです。意味と使い方を解説します(攻撃手順は載せません)。
IOC と IOA — 結果の痕跡 と 進行中の振る舞い
IOC(侵害指標)=結果の痕跡
- ハッシュ・IP・ドメインなど事後の証拠
- 既知の悪に機械的に照合できる=速い
- だが攻撃者が簡単に変えられる
- 本質的に後追い
IOA(攻撃指標)=進行中の振る舞い
- 「権限昇格→横移動→外部送信」等の手口の流れ
- リアルタイムに近い段階で気づける
- 攻撃の本質なので変えにくい
- 仕組みの理解が要るぶん導入は重い
なぜ振る舞いは変えにくいのか
攻撃者にとって、ファイルのハッシュやIPは“使い捨て”です。一方で、「どう攻めるか」という手口の流れは、目的(権限を得て、広げて、持ち出す)に縛られるため、そう簡単には変えられません。
小規模でもできる活かし方
専用のEDR(端末の振る舞いを監視する製品)が無くても、「普段と違う挙動」に注目するのがIOAの本質です。
“普段”を知っておく
振る舞いの異常に注目する
気づいたら隔離して調べる
痕跡照合(IOC)と両輪で持つ
当サイトの視点:気づく力と、起こさない力は別。両方持つ
IOAは「振る舞いで気づく」強力な考え方ですが、当サイトは「気づく」だけに寄りかからないことを勧めます。検知(IOA/IOC)は事故が起きてからの話で、本命はそもそも起こさない・広げない設計——最小権限、素早いパッチ(CVE監視)、フィッシング耐性MFA、秘密を平文で置かない、です。とはいえ完全な予防は無いので、予防(起こさない)と検知(IOA/IOCで気づく)は両輪。振る舞いベースのIOAは、痕跡照合より一歩早く異常を示せるのが価値です。
次に読む
- 用語:IOC(侵害指標)とは / CVE とは
- 速報:脆弱性速報フィード
よくある質問
QIOAとIOCの違いは何ですか?
IOC(侵害指標)は『すでに起きた侵害の痕跡』——ファイルのハッシュ、通信先IP/ドメインなど、事後に残る証拠です。IOA(攻撃指標)は『いま進行している攻撃の振る舞い』——権限昇格→横移動→外部送信、といった手口の流れに注目します。IOCは事後・静的、IOAはリアルタイムに近く・振る舞いベース、という違いです。
QなぜIOAのほうが『長く効く』のですか?
攻撃者はファイルのハッシュやIPアドレスを一瞬で使い捨て・変更できます(IOCはすぐ陳腐化)。一方で、攻撃の“やり方”そのもの(権限を上げ、横に広げ、外へ持ち出す、という流れ)は、攻撃の本質なので簡単には変えられません。だから振る舞い=IOAに注目するほど、防御は長持ちします。
Q小規模でもIOAは使えますか?
高度なEDR製品が無くても、考え方は使えます。『普段と違う挙動』に注目するのがIOAの本質です。例えば、深夜の大量データ送信、見慣れないプロセスの常駐、ふだん使わない管理機能の連続実行、短時間の大量ログイン試行など。これらは個別のIOCより、攻撃の進行を早く示すことがあります。