5063 暗号プロバイダ操作の試行
暗号プロバイダに対する操作が試みられたときに記録される。暗号モジュール(プロバイダ)の登録・操作を捉える。
概要
サブカテゴリは Audit Other Policy Change Events。暗号プロバイダ(暗号アルゴリズムを実装したモジュール。CSP/KSP 等)に対する操作(登録・設定など)が試みられると生成される。成功(S)/失敗(F)がある。
発生契機・方法
- 暗号プロバイダの登録・設定変更・操作。
セキュリティ上の確認事項
- 不正な暗号プロバイダの登録は、認証/暗号の経路に独自モジュールを差し込み、資格情報の窃取やバックドアに使われうる(SSP/認証パッケージ 4610/4622 と同種の懸念)。想定外のプロバイダ操作に注目する。
- 関連する暗号プロバイダ登録イベント(5064〜5070 系)と併せ、プロバイダ構成の変更を追う。
ログレビュー時の注意観点
- 通常はまれ。暗号プロバイダの登録・変更を行う正規コンポーネントを把握し、それ以外による操作を確認する。
- 見慣れないプロバイダの登録・操作を高優先で調べる。
主なフィールド
| フィールド | 意味 |
|---|---|
Provider Name | 対象の暗号プロバイダ |
Operation | 操作種別 |
Subject | 操作主体 |