攻撃者が攻撃を行う為に必要な行動や、マルウェア/ツールの動きを捕捉する為のパターンを指します。
例えば、ランサムウェアは実行されると端末上のファイルを暗号化し、その復号化キーの提供と共に被害者から金銭を要求します。そのため、ランサムウェアを利用するサイバー犯罪者は、容易に元の状態に戻すことができないような攻撃手法も併せて利用しています。その一つとして、Windows 端末におけるVolume Shadow Copy と呼ばれるバックアップ領域を削除する機能があります。
この様な攻撃者が行う動作において、IOAではVolume Shadow Copy を削除するステップに着目し、例えば、正規のプロセス以外がこのVolume Shadow Copy の削除を試みた場合に、未然に防止し、ランサムウェアの暗号化行為を中断させることができます。
類似する言葉として、IOC (Indicator Of Compromise)というものがあります。このIOCは、感染した痕跡、つまり攻撃によって侵害された結果として残るマルウェア/ツールのハッシュやレジストリーキーなどに着目して検出を行うコンセプトです。
これらの “痕跡” は、攻撃者にとって比較的容易に変更が可能な為、多くの場合はすぐに形骸化してしまう可能性があります。
IOAは上述の通り攻撃者がとる行動パターンに着目している為、攻撃者にとって容易に変更が出来ず、IOCよりも形骸化し難い傾向があります。