4622 セキュリティパッケージの読み込み
LSA がセキュリティパッケージ(Kerberos や NTLM など認証プロトコルの実装 DLL)を読み込んだときに記録される。既定一覧にない名前が出たら、認証経路への細工を疑う。
概要
サブカテゴリは Audit Security System Extension。セキュリティパッケージとは、Kerberos・NTLM・Schannel などのセキュリティプロトコルを実装したソフトウェア部品。LSA(認証を担う中核プロセス)が起動時にレジストリ HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages から DLL を読み込むたびに発生する。AddSecurityPackage API を使えば起動時以外にも動的に追加できる。
発生契機・方法
- システム起動時の LSA 初期化。Windows 10 既定では
kerberos/msv1_0 (NTLM)/schannel/wdigest/tspkg/pku2u/cloudAP/negoexts/Negotiateなどが読み込まれる。 - 実行中に
AddSecurityPackageで動的に追加されたとき。
セキュリティ上の確認事項
Security Package Nameが既定一覧にない、または System32 以外のパスにある場合は調査する。攻撃者が独自のセキュリティパッケージ(SSP: Security Support Provider)を仕込むと、資格情報の窃取や永続化に使われる。- 起動時以外のタイミングでの読み込み(動的追加)は特に注目する。4610(認証パッケージ)と同じく認証まわりの拡張モジュールなので、まとめて監視する。
ログレビュー時の注意観点
- 通常は起動時に既定一覧が読み込まれるだけで、値は安定している。許可リストを作って逸脱を検知する。
- なお
wdigestは平文資格情報をメモリに残す設定(UseLogonCredential)と関連するため、4622 で wdigest の存在を確認しつつ、その設定変更(レジストリ監査)も併せて見るとよい。
主なフィールド
| フィールド | 意味 |
|---|---|
Security Package Name | 読み込まれたパッケージ。DLL パス : パッケージ名 の形式 |
用語メモ
- SSP (Security Support Provider) — 認証プロトコルを LSA に提供するモジュール。悪性 SSP は資格情報窃取に悪用される。