4610 認証パッケージの読み込み

LSA が認証パッケージ（認証方式を実装した DLL）を読み込んだときに記録される。既定以外のパッケージが現れたら、認証経路への細工を疑う手がかりになる。

概要

サブカテゴリは Audit Security System Extension。LSA（Local Security Authority: 認証を担う中核プロセス）が起動時に、レジストリ HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages に登録された DLL を読み込むたびに発生する。Windows 10 の既定では msv1_0.DLL : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 の 1 つだけが読み込まれる。

発生契機・方法

• システム起動時の LSA 初期化。
• 認証パッケージが追加され、読み込まれたとき。

セキュリティ上の確認事項

• Authentication Package Name が既定の msv1_0 以外なら必ず調査する。攻撃者がレジストリに悪性 DLL を登録して LSA に読み込ませると、資格情報の窃取や再起動をまたいだ居座り（永続化）に使われる。MITRE ATT&CK では T1547.005 (Security Support Provider: LSA に独自モジュールを仕込む手口) に対応する。
• System32 以外のパスにある DLL や、見慣れない名前のパッケージは特に疑わしい。

ログレビュー時の注意観点

• 通常は起動時に少数出るだけで、平常時の値は固定的。既定 DLL の許可リストを作り、それ以外を検知する運用が有効。
• 4614（パスワードフィルタの読み込み）も同じ Security System Extension サブカテゴリ。両者をまとめて「LSA や SAM に何が読み込まれたか」を監視すると、認証まわりの細工を一括で捉えやすい。

主なフィールド

参考

• Microsoft Learn: 4610(S) An authentication package has been loaded by the LSA.
• ired.team: Intercepting Logon Credentials via Custom SSP and Authentication Packages
• Ultimate Windows Security: Event ID 4610