4695 監査対象の保護データの復号試行
監査フラグ付きで保護された DPAPI データの復号(unprotect)が試みられたときに記録される。4694 で保護したデータの解除に対応する。
概要
サブカテゴリは Audit DPAPI Activity。CryptUnprotectData() 関数が、CRYPTPROTECT_AUDIT フラグ付きで CryptProtectData() により保護された「監査対象」データを復号しようとしたときに生成される。原文にも例は示されていない。
発生契機・方法
- 監査フラグ付きで保護されたデータが
CryptUnprotectData()で復号されたとき。
セキュリティ上の確認事項
- 保護データの復号は「中身を取り出す」操作。想定外の主体・プロセスによる復号は、保護データへのアクセスとして着目しうる。保護側 4694 と対で、保護→復号の流れを追う。
- 攻撃者が DPAPI 保護データ(資格情報等)を復号して窃取する文脈で、対象アプリの活動を確認する。
ログレビュー時の注意観点
- 監査フラグ付きデータに限られるため件数は少なめ。復号を行う主体・プロセスが正規かを確認する。
- DPAPI Activity 監査が有効な環境でのみ記録される。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 復号を行った主体 |
Data Description | 対象データの説明 |