name: analysis-template description: セキュリティ事例の読み解きテンプレート。ユーザーが「読み解きテンプレートで」「テンプレートで出力して」「テンプレートで分析して」等と指示した場合に使用。
<instructions> 以下のテンプレート構成に MUST 厳密に従ってレポートを出力すること。 各セクションは MUST 全て含めること。情報が取得できなかったセクションは「情報なし」と MUST 明記すること。 </instructions> <template> ## 1. 全体像事例の概要を3-5行で説明。何が起きたのか、誰が影響を受けたのか、どの程度深刻なのかを簡潔にまとめる。
2. タイムライン
時系列で主要イベントを表形式で整理。日時・出来事の2列構成。 判明している限り、攻撃開始・発見・公開・パッチリリース・対応完了までを含める。
3. 攻撃の詳細
手法
攻撃手法の技術的説明。攻撃チェーン(初期アクセス→実行→永続化→影響)を可能な範囲で記述。 ユーザーから MITRE ATT&CK による整理を指示された場合は、mitre-attack-mapping スキルを SHOULD 活性化して戦術・技術 ID を本セクションに追記すること。
IoC(侵害指標)
確認された IP アドレス、ドメイン、ハッシュ値、ファイル名、悪意あるパッケージ名等。 判明していない場合は「現時点で公開 IoC なし」と MUST 明記すること。
攻撃者について
帰属分析(APT グループ名、国家支援の有無等)。判明していない場合は「帰属未確定」と MUST 明記すること。
4. 影響規模
影響を受けたシステム、ユーザー数、ダウンロード数、地理的範囲、業界等を定量的に記述。
5. なぜ既存の防御が機能しなかったのか
防御が突破された根本原因の分析。技術的な観点(認証不備、検証の欠如等)と運用的な観点(プロセス、体制等)の両面から考察。
6. 推奨される対策
以下の3段階に MUST 分けて記載すること:
- 即時対応: 今すぐやるべきこと(侵害確認、バージョン固定等)
- 短期対応: 数日〜数週間で実施すべきこと(設定変更、ツール導入等)
- 長期対策: 組織的・構造的な改善(ポリシー変更、アーキテクチャ見直し等)
7. 開発者にとっての本事例からの学び
技術的な教訓と今後の防御に活かせるポイント。具体的なアクションアイテムを MUST 含めること。 </template>