5031 ファイアウォールがアプリの受信接続をブロック

Windows ファイアウォールが、あるアプリケーションのネットワーク受信接続をブロックしたときに記録される。許可されていないプログラムが待ち受けようとした事実を捉える。

概要

サブカテゴリは Audit Filtering Platform Connection。ファイアウォールルールで許可されていないアプリケーションが、ネットワークからの受信接続を受け付けようとしてブロックされると生成される。ブロックされたプログラムのパスが含まれる。

発生契機・方法

受信許可ルールの無いプログラムが、ポートを開いて待ち受けようとしたとき。

セキュリティ上の確認事項

見慣れないプログラムや、本来ネットワーク待ち受けしないはずのプロセスがブロックされていれば、マルウェアがリスナー(バックドア)を開こうとした兆候の可能性がある。ブロックされたアプリのパス・名前を確認する。
一時フォルダや非標準パスのプログラムによる待ち受け試行は要注意。プロセス作成 4688 と相関し、そのプログラムの素性を追う。

ログレビュー時の注意観点

正規アプリが許可ルール未設定で出ることも多い（誤検知になりやすい）。許可すべき正規アプリをベースライン化し、未知・不審なプログラムのブロックに絞る。
ブロックされたプログラムのパス・ハッシュ・親プロセスを起点に調査する。

主なフィールド

フィールド	意味
`Application Path`	ブロックされたプログラム
`Port` / `Protocol`	待ち受けようとした通信

参考

Microsoft Learn: 5031(F) The Windows Firewall Service blocked an application from accepting incoming connections on the network.