コンテンツにスキップ

4624 アカウントのログオン成功

ログオンセッション(利用者がマシンを使い始めてから終わるまでの一区切り)が、ログオン先のマシン上で確立されたときに記録される、認証成功の証跡。Windows のセキュリティログでもっとも数が多いイベントであり、その分だけ「読み方」を決めておかないとノイズに埋もれる。

概要

サブカテゴリは Audit Logon。アクセスを受けた側、つまりセッションが作られたマシンで生成される点が重要で、ログオンした人がいる端末ではなく、ログオンされた先のホストに記録される。誰が・どこから・どの方式で入ってきたかは、本文中の LogonType(ログオンの種類)、AuthenticationPackageName(認証方式)、IpAddress(接続元 IP)といった項目の組み合わせで読み解く。Windows 10 以降の新しい版では ElevatedToken(管理者権限で動いているか)などの項目が増え、権限昇格やリモート管理の状況を補足できるようになった。

発生契機・方法

ログオンの「種類」は LogonType という数値に表れ、ここが調査の入口になる。実務で頻出するのは次のあたり。

  • 2 対話 (Interactive): その PC の前に座って直接サインインした。
  • 3 ネットワーク (Network): ネットワーク越しのアクセス。SMB (Windows のファイル共有の仕組み) でのフォルダ共有、PsExec (遠隔からコマンドを実行する管理ツール)WinRM (Windows をリモート管理する仕組み) などが該当する。
  • 10 リモート対話 (RemoteInteractive): RDP (リモートデスクトップ接続) での遠隔操作。
  • 5 サービス (Service): OS の常駐プログラム(サービス)が起動したとき。
  • 9 新しい資格情報 (NewCredentials): 今のログオンはそのままに、外部への接続にだけ別のアカウント情報を使う方式(runas /netonly 相当)。

定常状態では、SubjectUserSid(ログオンを報告したアカウントの識別子)が S-1-5-18 の自動ログオンが大半を占める。S-1-5-18 は Windows 自身が使う SYSTEM アカウント(人ではなく OS 内部の動作用アカウント)を指す。人やリモートからのアクセスはこの大量の自動ログオンに紛れて記録されるため、後述のノイズ除去と相関(複数のログを突き合わせて判断すること)が前提になる。

セキュリティ上の確認事項

侵入後の「横展開 (lateral movement: 最初に入った 1 台から、社内の他のマシンへ侵害を広げていく動き)」と、盗んだ資格情報の悪用が、このイベントの主な見どころになる。

  • ネットワークログオンの広がり: 同じアカウントが短時間に複数のホストへ LogonType 3 で次々ログオンしていれば、ファイル共有やリモート管理を使った横展開を疑う。普段は決まった用途でしか動かないサービスアカウント(人ではなくプログラム用のアカウント)が、見慣れない送信元から LogonType 3 で入る動きも要注意。
  • NTLM によるネットワークログオン: LogonType 3 かつ AuthenticationPackageNameNTLM (Windows の古いほうの認証方式) の組み合わせは、pass-the-hash (盗んだパスワードのハッシュ値をそのまま使い、平文パスワードを知らなくても認証を通す攻撃) の典型的な着地点。同じマシンの 4776 や、共有フォルダへのアクセスを示す 5140 と併せて見る。
  • LogonType 9(NewCredentials): LogonProcessNameseclogoAuthenticationPackageNameNegotiate の 4624 は、Mimikatz (資格情報を盗む代表的な攻撃ツール) による overpass-the-hash(pass-the-hash の発展版)の挙動と一致する。別アカウントの情報を明示的に使ったことを示す 4648 と相関させる。
  • 権限と対象: ElevatedTokenYes の管理者セッションや、特権の付与を示す 4672 との組み合わせで、強い権限を持つアカウントの動きを追う。Kerberos (Windows の標準的な認証方式) のチケット要求 4768 / 4769 とは、LogonGuid(ログオンに振られる識別子)で突き合わせできる。
  • 文脈の異常: 業務時間外のログオン、想定外の送信元 IP、本来使われないはずの無効アカウントやゲストアカウントでの成功は、単体でもまず調べる対象になる。

ログレビュー時の注意観点

そのまま検知ルールに使うと誤検知(実際は問題ないのにアラートが鳴ること)の山になるイベントなので、ノイズの正体を先に押さえる。

  • DWM-*(画面描画を担う内部プロセス)や UMFD-*(フォント処理の内部プロセス)、SYSTEM による自動ログオンは大量に出る。これらは「除外リスト」に入れて最初から落とすのが定石。
  • IpAddress::1 または 127.0.0.1 は、そのマシン自身からのログオン(ローカルループバックと呼ぶ)を意味し、外部からのリモートアクセスとは区別する。
  • 接続元の情報が空欄でも異常とは限らず、仕様によるもの。Kerberos のネットワークログオンではワークステーション名が空になりやすく、NTLM では IP やポートの詳細が載らない。LSASS (Windows の認証処理を担う中核プロセス) が認証サービスから受け取れた情報だけが記録されるためである。
  • ドメインコントローラ(社内の認証を一手に引き受けるサーバ)やファイルサーバでは件数が膨大になる。4624 単発で判断せず、「見慣れない IP からのログオン → 数分以内に機微なファイルへアクセス」のように複数のイベントを時系列でつなぐルールにして、初めて精度が出る。
  • アカウント・送信元・ログオンタイプの「正常な組み合わせ」をあらかじめ把握しておき(ベースライン化)、そこからの逸脱を見る運用が現実的。

主なフィールド

フィールド意味
Subject\Security IDログオンを報告したアカウント。多くは SYSTEMS-1-5-18)。これ以外なら着目する
New Logon\Security ID / Account Name実際にログオンしたアカウント。監視対象の主役
LogonTypeログオン種別。2/3/9/10 などで意味が大きく変わる
Authentication PackageKerberos / NTLM / Negotiate。NTLM が多用されていれば調査の手がかり
Workstation Name / Source Network Address / Source Portログオン元。プロトコルによっては空になる
Elevated TokenYes なら管理者権限に昇格済みのセッション
Logon Process / Process Nameログオンを発生させたプロセス。seclogo などは攻撃手法の推定に使える

用語メモ

  • SID — アカウントやグループごとに割り振られる、一意の識別番号。S-1-5-18 は SYSTEM など、よく出るものは値で覚えておくと早い。
  • サービスアカウント — 人が使うのではなく、プログラムやサービスを動かすために用意されたアカウント。
  • 相関 (correlation) — 複数のログを突き合わせ、単体では分からない一連の動きを再構成すること。
  • ベースライン — 平常時の正常な状態をあらかじめ記録しておき、異常検知の基準にすること。

参考