5025 Windows ファイアウォールサービスの停止

Windows ファイアウォールサービスが停止したときに記録される。防御の停止は攻撃者の通信確保・防御回避に直結するため、注目度が高い。

概要

サブカテゴリは Audit Other System Events。ファイアウォールサービス(MPSSVC)が停止すると生成される。起動 5024 と対で、ファイアウォールが効いていない区間を把握する。

発生契機・方法

• 管理操作・サービス停止コマンド・シャットダウン等によるファイアウォールサービスの停止。

セキュリティ上の確認事項

• ファイアウォールの停止は、通信制限を一括で外す防御回避の典型。攻撃者が C2 通信や横展開のためにファイアウォールを止める場合があり、業務時間外・予定外の停止は最優先で調査する。
• 停止後に起動 5024 が続いているか、停止中に不審な通信・ログオンが発生していないかを確認する。設定変更 4950（プロファイル無効化）とも関連づける。

ログレビュー時の注意観点

• 正常なシャットダウンでも停止する。停止時刻と運用予定・再起動の有無を突き合わせ、説明のつかない停止を残す。
• 停止のみで起動が伴わない（防御が落ちたまま）状況に注目する。

主なフィールド

参考

• Microsoft Learn: 5025(S) The Windows Firewall Service has been stopped.