5038 コード整合性: ファイルのイメージハッシュが無効
コード整合性(Code Integrity)が、ファイルのイメージハッシュが無効と判定したときに記録される。改ざんされた・破損した実行ファイルやドライバの読み込みを捉える。
概要
サブカテゴリは Audit System Integrity。コード整合性(実行ファイルやドライバの署名・ハッシュを検証する仕組み)が、ロードしようとしたファイルのイメージハッシュが期待値と一致しないと判定したときに生成される。改ざん・破損・不正な署名が原因。
発生契機・方法
- 署名検証時に、実行ファイルやドライバのハッシュが無効だったとき。
- ディスク破損のほか、ファイルの改ざん、不正なドライバの読み込み試行で発生しうる。
セキュリティ上の確認事項
- ハッシュ不一致は、正規ファイルの改ざん(バックドアの埋め込み)や、改ざんされたドライバ/バイナリの実行試行を示しうる(MITRE ATT&CK の改ざん・Bring Your Own Vulnerable Driver 等の文脈)。対象ファイルのパス・名前を確認する。
- とくにドライバ(カーネル空間)のハッシュ不一致は重大。署名強制を無効化する BCD 設定 4826 の変更と併せて、署名検証を回避しようとする動きを監視する。
ログレビュー時の注意観点
- ディスク破損や不完全な更新でも発生しうる。対象ファイルが既知の正規ファイルか、破損か、未知の不正ファイルかを切り分ける。
- システムファイル・ドライバのハッシュ不一致を高優先で確認する。発生したファイルのハッシュ・署名状況を調べる。
主なフィールド
| フィールド | 意味 |
|---|---|
File Name | ハッシュが無効と判定されたファイル |
用語メモ
- コード整合性 (Code Integrity) — ドライバや実行ファイルの署名・ハッシュを検証し、改ざんや未署名の読み込みを防ぐ Windows の仕組み。