用語辞典
IOC(侵害指標)とは — 攻撃の痕跡から侵害を見つける手がかり
IOC(Indicator of Compromise/侵害指標)は、すでに起きた侵害が残す“痕跡”——不審なファイルのハッシュ、通信先のIPやドメイン、異常なプロセスなどです。意味と種類、ログとの照合での使い方、そして「痕跡は後追いで変えられやすい」という限界までを、防御目線で解説します。
「侵害されたかどうか、どこを見れば分かるの?」——その手がかりがIOC(侵害指標)です。意味と種類、使い方、そして過信してはいけない理由までを、防御目線で解説します(攻撃手順は扱いません)。
IOCの主な種類
「どこに残る痕跡か」で大きく4つに分かれます。
| 種類 | 例 | どこで照合するか |
|---|---|---|
| ネットワーク系 | 攻撃者サーバのIP/ドメイン、C2のURL | ファイアウォール/プロキシ/DNSログ |
| ファイル系 | マルウェアのSHA-256ハッシュ、特徴的なファイル名 | EDR/ウイルス対策/ファイル一覧 |
| ホスト系 | 不審なレジストリキー、見慣れない常駐プロセス | OSのログ・プロセス一覧 |
| 挙動系 | 普段と違う時間/国からのログイン、急な大量通信 | 認証ログ・通信量の監視 |
IOC と IOA — 「痕跡」と「振る舞い」
よく対比されるのが IOA(Indicator of Attack=攻撃指標) です。違いを押さえると、IOCの強みと弱みが見えます。
IOC(侵害指標)=結果の痕跡
- すでに起きたことの証拠(ハッシュ・IP等)
- 既知の悪に機械的に当てられる=速い
- だが攻撃者が簡単に変えられる(使い捨て)
- 本質的に後追い
IOA(攻撃指標)=進行中の振る舞い
- 「権限昇格→横移動→外部送信」等の手口の流れ
- リアルタイムに近い段階で気づける
- 痕跡より変えにくい(攻撃の本質だから)
- 仕組みの理解が要るぶん導入は重い
攻撃者にとっての“変えやすさ”(痛みのピラミッド)
同じIOCでも、攻撃者がそれを変える手間(=こちらが押さえたときの効き目)は段違いです。下ほど変えやすく、上ほど変えにくい。
つまり、ハッシュやIPの照合は手早く効く反面すぐ陳腐化します。手口(どう攻めてくるか)まで理解して備えるほど、防御は長持ちします。
小規模でもできるIOCの使い方
専用のEDRや脅威インテリジェンス契約が無くても、現実的にできることがあります。
信頼できる出典からIOCを得る
自分のログ・依存と照合する
ヒットしたら隔離して調査
自分の環境のIOCを記録し横展開
当サイトの視点:IOCは“火事の後の焦げ跡”。本命は燃えない設計
IOC照合は大事ですが、それは火事が起きた後の焦げ跡を確認する作業です。痕跡が見つかる頃には、もう侵入されています。だから当サイトは、IOC照合を“点検の道具”として持ちつつ、力点はそもそも燃えない設計に置きます——最小権限・素早いパッチ適用(CVE監視)・フィッシング耐性MFA・秘密を平文で置かない、といった根本対策です。後追いの痕跡照合に依存した守りは、いつも一歩遅れます。痕跡で“気づく”力と、痕跡を残させない“防ぐ”力は、両輪で持つのが正解です。
次に読む
- 用語:CVE とは(穴の識別子) / ランサムウェア とは / フィッシング とは
- 復旧:バックアップと復旧の基本
よくある質問
QIOCとは何ですか?
Indicator of Compromise(侵害指標)の略で、すでに起きた侵害が残す“痕跡”です。具体的には、不審なファイルのハッシュ値、攻撃者の通信先IPアドレスやドメイン、悪意あるURL、異常なプロセスやレジストリの変更などを指します。これらを既知の悪いもの一覧として持っておき、自分のログや端末と照合して『侵害された形跡がないか』を見つけるために使います。
QIOCとCVEはどう違いますか?
CVEは『どこに穴があるか(脆弱性の識別子)』、IOCは『侵害された痕跡があるか(攻撃の証拠)』で、別物です。CVEはパッチを当てる対象、IOCは『すでに踏まれていないか』を確認する照合材料。順番としては、CVEで穴を塞ぎ、IOCで踏まれた形跡を点検します。
QIOCだけ見ていれば守れますか?
守れません。IOCは本質的に“後追い”で、攻撃者はファイルハッシュやIPを簡単に使い捨て・変更できます。IOC照合は『既知の悪いものに当たっていないか』の最終確認には有効ですが、本命は燃えない設計(最小権限・パッチ適用・フィッシング耐性MFA)と、痕跡より変えにくい“振る舞い”の監視です。