5058 鍵ファイル操作
暗号鍵ファイルに対する操作(読み取り・書き込み・削除等)が行われたときに記録される。秘密鍵や証明書に紐づく鍵へのアクセスを捉え、資格情報窃取の検知に使える。
概要
サブカテゴリは Audit Other System Events。CNG/CryptoAPI が管理する鍵ファイル(証明書の秘密鍵、DPAPI 鍵などを格納するファイル)に対して、読み取り・エクスポート・削除といった操作が行われると生成される。操作の種類・対象鍵・実行プロセスが含まれる。
発生契機・方法
- 鍵コンテナ/鍵ファイルへのアクセス(証明書の利用、秘密鍵のエクスポート、鍵の削除など)。
- 操作の種類(read/write/delete/export 等)が記録される。
セキュリティ上の確認事項
- 秘密鍵のエクスポートや読み取りは、証明書のなりすまし用秘密鍵や、DPAPI 保護データの復号鍵を盗む手口に関わりうる。想定外のプロセス・アカウントによる鍵ファイル操作(とくにエクスポート)に注目する。
- DPAPI 関連 4692/4693 や、証明書サービス系イベントと併せて、資格情報・鍵マテリアルへのアクセスを追う。
ログレビュー時の注意観点
- 正規アプリ・証明書利用でも発生する。操作の種類(とくにエクスポート/削除)・対象鍵・プロセスの正常パターンと照合する。
- 一時フォルダの実行ファイルや見慣れないプロセスによる鍵ファイル操作を高優先で確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
Key Name / Key Type | 対象の鍵 |
Operation | 操作種別(read/export/delete 等) |
Process Name / Subject | 操作元プロセス・アカウント |
用語メモ
- 鍵ファイル — 証明書の秘密鍵や DPAPI マスターキー等を格納するファイル。盗まれると、なりすましや保護データ復号に悪用される。