tag
検知
このタグの記事 4 件
2026-06-11
IOA(攻撃指標)とは — 痕跡ではなく『進行中の攻撃の振る舞い』で気づく
IOA(攻撃指標)は、攻撃の“振る舞い”(権限昇格→横移動→外部送信などの手口の流れ)で気づく考え方。事後の痕跡であるIOCと対になる。ハッシュやIPは攻撃者が一瞬で変えられるが、手口(振る舞い)は変えにくい=IOAは長く効く。小規模でも『普段と違う挙動』に注目することで近づける。
2026-06-11
C2(コマンド&コントロール)とは — 侵入後に攻撃者が端末を遠隔操作する通信
C2は、侵入された端末が攻撃者サーバーへ通信を返し(コールバック/ビーコン)、命令受信やデータ送出に使われる遠隔操作チャネル。侵入“後”の段階。検知の鍵は外向きの不審な定期通信と既知の悪い宛先。防御は出口(egress)制御・DNS監視・IOC/IOA照合・最小権限。侵害調査では『常駐C2が無いこと』の確認も重要。
2026-06-11
EDRとは — 端末の“振る舞い”を記録し、すり抜けた攻撃を検知・対応する仕組み
EDRは端末の振る舞いを継続記録し、不審な動き(IOA的)を検知して隔離・調査まで行う仕組み。シグネチャ/IOC照合中心の従来型AVが見逃すファイルレスや正規ツール悪用を、振る舞いとタイムラインで捉える。小規模はフルEDRが不要なことも多く、OS標準の保護+ログ+IOAの考え方で多くの価値が得られる。
2026-06-11
IOC(侵害指標)とは — 攻撃の痕跡から侵害を見つける手がかり
IOC(侵害指標)は、侵害が残す痕跡=既知の悪いファイルハッシュ・通信先IP/ドメイン・URL・異常プロセス等。既知の悪いものを機械的に検知・ブロックできるのが価値。ただし攻撃者が使い捨てで変えられる後追いの手がかりなので、IOC照合は“最後の照合材料”であって万能ではない。本命は燃えない設計(最小権限・パッチ・MFA)。