4664 ハードリンク作成の試行
NTFS のハードリンクが作成されたときに記録される。1 つのファイル実体に別名の入り口を作る操作で、監査回避やファイル隠蔽に使われることがある。
概要
サブカテゴリは Audit File System。NTFS ハードリンク(同一のファイル実体を指す複数のディレクトリエントリ)が正常に作成されたときに生成される。ハードリンクを使うと、元のファイルとは別のパス・名前から同じ中身にアクセスできる。
発生契機・方法
mklink /HやCreateHardLinkAPI などでハードリンクが作られたとき。- 監査対象(File System 監査が有効)の環境で記録される。
セキュリティ上の確認事項
- ハードリンクは、監査やアクセス制御が元ファイルのパスに紐づく場合に、別名からアクセスして検知・制限を回避する手口に使われることがある。誰が・どのプロセスでリンクを作ったかを確認する。
- 重要ファイルや保護対象に対する想定外のハードリンク作成は、ファイルの隠蔽や持ち出し準備の兆候となりうる。
ログレビュー時の注意観点
- 通常運用での発生は多くない。出た場合は、対象ファイルとリンク作成元プロセス・アカウントを確認する。
- バックアップソフトや一部の正規ツールがハードリンクを使うため、既知の正規プロセスはベースライン化して除外する。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | リンクを作成したアカウント |
File Name / Link Name | 元ファイルと作成されたリンク |
Process Name | 作成を行ったプロセス |
用語メモ
- ハードリンク — 同じファイル実体を指す複数の名前。どの名前からも同じ中身にアクセスできる。