攻撃指標(IoA)

Q: 攻撃指標(IoA) とは何ですか?

攻撃者が現在進行形で侵入を試みていることを示す行動的証拠で、事後アーティファクトではなく意図と手口に焦点を当てる。 サイバーセキュリティの 防御と運用 カテゴリに属します。

Q: 攻撃指標(IoA) の別名は何ですか?

一般的な別名: IoA, 行動的指標。

監修Florian AmetteCybersecurity entrepreneur & security researcher

攻撃指標(IoA) とは何ですか?

攻撃指標(IoA)攻撃者が現在進行形で侵入を試みていることを示す行動的証拠で、事後アーティファクトではなく意図と手口に焦点を当てる。

攻撃指標(IoA)は、コード実行、永続化の試み、権限昇格、認証情報のダンプ、ラテラルムーブメント、データ持ち出しといった「進行中の攻撃者行動」を表します。アトミックで容易に置き換え可能な IoC とは異なり、IoA は手口そのものに結び付いており、それを変えるには攻撃手法を根本から変える必要があるため回避が難しいのが特徴です。IoA は MITRE ATT&CK のテクニックへ自然にマッピングされ、EDR・XDR・現代の SIEM 分析における行動検知の土台となります。優れた IoA は「なぜ」「どのように」その行為が行われたかを捉え、たとえば Office プロセスから外部ドメインへダウンロードする PowerShell を起動するような挙動から、被害発生前に対応を発動させます。

● 例

01
winword.exe がエンコードされたコマンドラインで powershell.exe を起動した際に発火する IoA。
02
認証情報窃取の IoA:未署名プロセスが LSASS のメモリにアクセスする。

● よくある質問

攻撃指標(IoA) とは何ですか?

攻撃者が現在進行形で侵入を試みていることを示す行動的証拠で、事後アーティファクトではなく意図と手口に焦点を当てる。サイバーセキュリティの防御と運用カテゴリに属します。

攻撃指標(IoA) とはどういう意味ですか?

攻撃者が現在進行形で侵入を試みていることを示す行動的証拠で、事後アーティファクトではなく意図と手口に焦点を当てる。

攻撃指標(IoA) からどのように防御しますか?

攻撃指標(IoA) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

攻撃指標(IoA) の別名は何ですか?

一般的な別名: IoA, 行動的指標。

攻撃指標(IoA)

攻撃指標(IoA) とは何ですか?

● 例

● よくある質問

● 関連用語

● 関連項目