4616 システム時刻の変更
システム時刻が変更されたときに記録される。多くは時刻同期サービスによる正常な補正だが、攻撃者による証跡の時刻ずらしや認証妨害の手段にもなりうる。
概要
サブカテゴリは Audit Security State Change。このイベントはサブカテゴリの設定にかかわらず常に記録される。通常は Subject\Security ID が LOCAL SERVICE の正常な時刻補正(Windows Time サービスによるもの)が大半を占める。変更前後の時刻と、変更を行ったプロセス・アカウントが記録される。
発生契機・方法
- Windows Time サービス(
w32tm)による定常的な時刻同期。これが正常系。 - 管理者による手動の時刻変更。
- 時刻変更を行えるアプリケーションやスクリプトの実行。
SeSystemTimePrivilege(システム時刻の変更権限)を持つ主体が実行できる。
セキュリティ上の確認事項
Subject\Security IDがLOCAL SERVICE以外、またはProcess Nameがsvchost.exe(時刻サービスの実行プロセス)以外の場合は、正規の時刻同期ではないので調査する。- 時刻を 5 分以上ずらすと Kerberos 認証(時刻同期に依存する認証方式)が破綻する。とくにドメインコントローラ(社内認証を司るサーバ)での変更はドメイン全体に波及するため最優先で監視する。
- 時刻を過去に戻す操作は、ログのタイムスタンプを狂わせて調査を妨げる証跡操作(アンチフォレンジック)になりうる。
mimikatzなど不審なプロセス名がProcess Nameに出ないかも確認する。
ログレビュー時の注意観点
LOCAL SERVICE+svchost.exeによる微小な補正は大量に出る正常ノイズ。これを除外し、「それ以外の主体・プロセスによる変更」だけを残すと精度が上がる。- 変更前後 (
PreviousTime/NewTime) の差が大きいもの、過去方向への変更、業務時間外の変更を優先して見る。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Security ID | 時刻変更を要求したアカウント。正常時は LOCAL SERVICE |
Process Name | 変更を行ったプロセス。正常時は svchost.exe |
Previous Time / New Time | 変更前後の時刻(UTC) |
用語メモ
- アンチフォレンジック — 調査・分析を妨げるために証跡を消す・改変する手口。