4690 オブジェクトハンドルの複製試行

既存のオブジェクトハンドルを複製しようとしたときに記録される。あるプロセスが持つハンドルを別プロセスへ渡す操作で、権限の受け渡しに関わる。

概要

サブカテゴリは Audit Handle Manipulation。オブジェクトへのハンドル（資源へのアクセス権を表す内部的な参照）を複製しようとしたときに生成される。複製により、あるプロセスのハンドルが別のプロセス・コンテキストでも使えるようになる。

発生契機・方法

• DuplicateHandle API 等で、既存ハンドルが複製されたとき。
• Audit Handle Manipulation を有効にした環境で記録される。

セキュリティ上の確認事項

• ハンドル複製は、攻撃者が特権プロセスの持つハンドル（特に LSASS などのプロセスハンドル）を奪い、資格情報窃取や権限昇格につなげる手口と関わることがある。複製元・複製先のプロセスを確認する。
• ハンドル要求 4656 / 4661 と併せ、機微オブジェクトへのアクセス経路を追う。

ログレビュー時の注意観点

• Audit Handle Manipulation は非常にノイズが多い。常時有効にはせず、特定調査時に絞って使う。
• 単体での判断は難しく、複製対象オブジェクトと関与プロセスの文脈で評価する。

主なフィールド

参考

• Microsoft Learn: 4690(S) An attempt was made to duplicate a handle to an object.