4816 RPC メッセージ復号時の整合性違反
RPC が受信メッセージの復号時に整合性違反を検出したときに記録される。通信の改ざんや、RPC を狙った攻撃の兆候となりうる。
概要
サブカテゴリは Audit System Integrity。RPC(Remote Procedure Call: プロセス間/マシン間で機能を呼び出す仕組み)が、暗号化された受信メッセージの復号時に整合性違反(改ざんの検出)を検出すると生成される。原文に例は示されていない。
発生契機・方法
- 暗号化/署名された RPC メッセージが、途中で改ざんされた、または整合性チェックに失敗したとき。
セキュリティ上の確認事項
- 通信路上での改ざん(中間者攻撃など)や、RPC を悪用する攻撃で不正なメッセージが送り込まれた可能性を示しうる。発生源・対象サービスを確認する。
- 散発的ならネットワーク障害・実装不整合のことも多い。特定の相手・サービスで繰り返すなら、攻撃の可能性を視野に調査する。
ログレビュー時の注意観点
- 通常はまれ。発生したら、関与する RPC エンドポイント・送信元を起点に精査する。
- ネットワーク機器・ドライバの不具合と攻撃の切り分けが必要。
主なフィールド
固有のフィールドはドキュメント上に詳細が示されていない。発生ホストと時刻、関連する RPC 情報を確認する。
用語メモ
- RPC (Remote Procedure Call) — 別プロセスや別マシンの機能を、ローカル関数のように呼び出す仕組み。Windows の多くのサービス間通信で使われる。