4614 通知パッケージ（パスワードフィルタ）の読み込み

SAM が通知パッケージを読み込んだときに記録される。実体はパスワードフィルタ DLL で、パスワード変更時に平文パスワードを渡される位置にあるため、悪性 DLL が混じると深刻な脅威になる。

概要

サブカテゴリは Audit Security System Extension。SAM（Security Account Manager: アカウント情報を管理する仕組み）が、レジストリ HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages に登録された DLL を起動時に読み込むたびに発生する。Windows Vista 以降、通知パッケージは実質的にパスワードフィルタ（パスワードの設定・変更時に呼び出される DLL）を指す。

発生契機・方法

• システム起動時の初期化で、登録済みの通知パッケージ DLL が読み込まれたとき。
• パスワードフィルタが追加されたとき。

セキュリティ上の確認事項

• パスワードフィルタはパスワード変更時に平文のパスワードを受け取る。悪性の通知パッケージは、認証パッケージより作成・設置が容易でありながら平文を盗めるため、極めて危険。MITRE ATT&CK の T1556.002 (Password Filter DLL: パスワードフィルタを悪用して資格情報を奪う手口) に対応する。
• Notification Package Name が、組織で許可した既知の値（既定では scecli / rassfm など環境依存の標準パッケージ）以外なら必ず調査する。

ログレビュー時の注意観点

• 起動時に少数出るだけで、値は安定している。許可リストを用意し、見慣れない名前の通知パッケージを検知する運用が有効。
• 4610（認証パッケージ）と同じサブカテゴリ。LSA・SAM に読み込まれる拡張モジュールはまとめて監視するとよい。

主なフィールド

用語メモ

• パスワードフィルタ — パスワードのポリシー検証などのために、設定・変更時に呼ばれる DLL。平文パスワードを受け取れる。

参考

• Microsoft Learn: 4614(S) A notification package has been loaded by the SAM.
• Ultimate Windows Security: Event ID 4614