4948 ファイアウォール例外リストのルール削除

Windows ファイアウォールの例外リストからルールが削除されたときに記録される。ブロックルールの除去による防御の穴あけを捉える。

概要

サブカテゴリは Audit MPSSVC Rule-Level Policy Change。例外リストからルールが削除されると生成される。追加 4946・変更 4947 と対で、ルールの変遷を追う。

発生契機・方法

• 既存ファイアウォールルールの削除（netsh、Remove-NetFirewallRule、GUI 等）。

セキュリティ上の確認事項

• 防御目的のブロックルールの削除は、塞いでいた通信を再び許すことを意味し、攻撃の足場づくり（防御回避）でありうる。削除されたルールが許可だったかブロックだったかを確認する。
• 攻撃者が自分の追加した許可ルール（4946）を後で削除して痕跡を消す動きもある。追加・変更の履歴と突き合わせる。

ログレビュー時の注意観点

• アンインストール等で正規に発生する。削除されたルールの性質（ブロック/許可）・削除主体の正常パターンと照合する。
• セキュリティ上重要なブロックルールの削除に注目する。

主なフィールド

参考

• Microsoft Learn: 4948(S) A change has been made to Windows Firewall exception list. A rule was deleted.