[RSA Conference 2015 USA] IOC (Indicator of Compromise) は死んだのか? タニウム社 講演レポート | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.07.16(火)

[RSA Conference 2015 USA] IOC (Indicator of Compromise) は死んだのか? タニウム社 講演レポート

講演でRyanは、「マルウェアの95%は1か月以内に消滅するため、ファイルハッシュのIOCは実に短命です。IOCは本来、このような問題を解決するために生み出されたはずなのに」と問題提起を行った。

研修・セミナー・カンファレンス セミナー・イベント
米タニウム社 チーフセキュリティアーキテクト Ryan Kazanciyan 氏
米タニウム社 チーフセキュリティアーキテクト Ryan Kazanciyan 氏 全 13 枚 拡大写真
RSA Conference 2015 USA で、侵害されたネットワークやシステムに存在する脅威の痕跡情報(IOC:Indicator of Compromise)の、現在の課題と今後を考察する講演「IOCs are Dead -- Long Live IOCs ! 」がIOCの専門家によって行われた。

講演者のRyan Kazanciyanは、最近日本に製品が上陸し話題になったTanium社のチーフセキュリティアーキテクトを勤める人物で、前職ではMandiant社(2014年にFireEyeに買収)でインシデントレスポンスに従事していた。MandiantはIOCの事実上の標準であるOpenIOCの生みの親であり、同氏が語るIOCの現在と未来に大きな注目が集まった。

● 現在のIOCの問題点

IOCの目的の一つに、単純なシグネチャでは表現できない攻撃のコンテクストの記述と共有を可能にすることがある。しかし複数の統計が、流通しているIOCでもっとも多いのがファイルハッシュのIOCであることを示している。

講演でRyanは、「マルウェアの95%は1か月以内に消滅するため、ファイルハッシュのIOCは実に短命です。IOCは本来、このような問題を解決するために生み出されたはずなのに」と問題提起を行った。

有償のIOCでもその傾向は変わらないが、IOCの品質評価は実に難しいという。Ryanは会場いっぱいの聴講者に、IOC評価経験の有無を問うたが、挙手したのはわずか数名であった。彼自身でさえ目視確認に頼っていると語ったが、15分見ただけでも「質の低い」IOCを大量に確認できたという。

また、IOCを処理するツールについても、サポートするアイテムや論理構造、データの正規化などの対応が一様でないという問題点を抱えていることを指摘した。

● IOCを最大限活用するには

それでは現状を改善するにはどうすればいいのか。RyanはIOC自体ではなく、IOCの照合対象となるデータを再度確認することを勧めている。たとえば、SIEM用に収集したデータに対してエンドポイント用のIOCを適用したとしても、データ項目不足でIOCの検知能力が大きく損なわれることは容易に想像できるだろう。

Ryanはまた、守るべきシステムの「正常な」状態を把握することの大切さも訴えている。「たとえば、Duqu 2.0には自身の拡散にタスクスケジューラを利用するという特徴がありましたが、当時共有されたのはファイルハッシュのIOCばかりでした」と回想しながら、「通常時にタスクスケジューラログに記録される 『User』と『ActionName』を収集・分析していれば、Duqu 2.0関連のログを異常値として検知できたはずです。それをIOCのTaskItemとして記述・配布していれば、ファイルハッシュでは決して検知できない亜種さえ検知できたでしょう」

● 聴講者へのアドバイスと宿題

講演のまとめの中で、聴講者に向けた実践的なアドバイスがあった。

・購読フィードのIOCの品質と特性の再確認。たとえば適用先はエンドポイントなのに配信IOCがネットワーク系であったら、購読元を変更する。

・配信IOCと適用対象データとの整合性の再確認。不整合があると本来の検知能力を引き出せず、結果的に投資が浪費となってしまう。

・脅威情報への節度ある投資。脅威情報はセキュリティ対策全体のごく一部に過ぎず、いくら投資しても得られる効果は限られている。

なお、講演の後半で特に強調されたのが、監視対象のシステムから得た内部インテリジェンスの重要性である。「守るべきネットワークをよく知ること、これが何よりも大事なのです」という言葉で講演を結んだRyanに対し、会場からは拍手が送られていた。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 華為のウェブに■■■■の脆弱性、■■■■の顧客情報や■■■■にリスクが及んだ可能性、■■■■を修復済(The Register)

    華為のウェブに■■■■の脆弱性、■■■■の顧客情報や■■■■にリスクが及んだ可能性、■■■■を修復済(The Register)

  2. 仮想通貨不正流出判明、被害額概算約35億円(リミックスポイント、ビットポイントジャパン)

    仮想通貨不正流出判明、被害額概算約35億円(リミックスポイント、ビットポイントジャパン)

  3. 「カテエネ」へパスワードリスト型攻撃、個人情報最大234件閲覧可能状態に(中部電力)

    「カテエネ」へパスワードリスト型攻撃、個人情報最大234件閲覧可能状態に(中部電力)

  4. 複数の高度な機能を持つランサムウェア「Sodin」、アジアを中心に拡大(カスペルスキー)

    複数の高度な機能を持つランサムウェア「Sodin」、アジアを中心に拡大(カスペルスキー)

  5. Windowsの複数のDNS関連機能に脆弱性(JPRS)

    Windowsの複数のDNS関連機能に脆弱性(JPRS)

  6. キャッシュDNSサーバ「Knot Resolver」に複数の脆弱性(JPRS)

    キャッシュDNSサーバ「Knot Resolver」に複数の脆弱性(JPRS)

  7. グローバルIPを割り振るモバイルルータなどによる感染事例が国内で増加(Secureworks)

    グローバルIPを割り振るモバイルルータなどによる感染事例が国内で増加(Secureworks)

  8. 犯罪者に身代金支払い顧客へマージン上乗せ ~ 英データ復旧サービス大繁盛(The Register)

    犯罪者に身代金支払い顧客へマージン上乗せ ~ 英データ復旧サービス大繁盛(The Register)

  9. 「ご登録パスワード変更完了のお知らせ」、ウェブマネーを騙るメール確認(フィッシング対策協議会)

    「ご登録パスワード変更完了のお知らせ」、ウェブマネーを騙るメール確認(フィッシング対策協議会)

  10. 無料セキュリティ調査ツールがメモリ領域にも対応(ラック)

    無料セキュリティ調査ツールがメモリ領域にも対応(ラック)

ランキングをもっと見る