6410 コード整合性: プロセスへのロード要件を満たさず
コード整合性が、あるファイルがプロセスへのロード要件を満たさないと判定したときに記録される。署名・整合性ポリシーに反する DLL/モジュールのロード試行を捉える。
概要
サブカテゴリは Audit System Integrity。コード整合性が、ファイルがプロセスにロードされるためのセキュリティ要件(署名・WDAC ポリシー等)を満たさないと判定したときに生成される。ハッシュ不一致 5038 と異なり、要件(ポリシー)不適合によるロード可否を示す。
発生契機・方法
- プロセスが DLL/モジュールをロードしようとし、コード整合性ポリシー(署名要件、WDAC/アプリ制御ポリシー等)を満たさなかったとき。
セキュリティ上の確認事項
- 要件を満たさないモジュールのロード試行は、未署名・不正な DLL の注入(DLL サイドローディング等)や、許可されていないコードの実行試行を示しうる。対象ファイル・ロード先プロセスを確認する。
- WDAC(アプリケーション制御)を運用している環境では、ポリシー違反の検知に直結する。ハッシュ不一致 5038・ページハッシュ 6281 と併せ、改ざん・不正コードの実行兆候を追う。
ログレビュー時の注意観点
- 署名要件・アプリ制御ポリシーを運用している環境で意味を持つ。ロードを拒否されたファイルの素性(未署名か、未知か)を確認する。
- システムプロセスへの未署名 DLL のロード試行を高優先で確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
File Name | ロード要件を満たさなかったファイル |
Process | ロード先のプロセス |