4625 アカウントのログオン失敗

あらゆるログオン失敗で記録される。失敗の理由コードと発生パターンを読み解くことで、ブルートフォースやパスワードスプレーといった認証攻撃の検知につながる重要イベント。

概要

サブカテゴリは Audit Account Lockout と Audit Logon。ログオンを試みたマシン上で生成され、ドメインコントローラ・メンバーサーバー・ワークステーションのいずれでも記録される。なぜ失敗したかは Status / Sub Status の理由コードに、どの方式かは LogonType に表れる。成功時の 4624 と対になるイベント。

発生契機・方法

• 誤ったパスワード、存在しない・無効・ロックされたアカウントでのログオン試行。
• ネットワーク経由（LogonType 3）、対話（2）、RDP（10）など各種の失敗。
• 失敗理由は Status/Sub Status コードで区別できる。代表的なもの:
  • 0xC0000064 存在しないユーザー名（ユーザー名の総当たり＝列挙の兆候）
  • 0xC000006A パスワード誤り（既存ユーザーに対する試行）
  • 0xC0000072 無効化されたアカウント
  • 0xC0000234 ロックアウト中のアカウント
  • 0xC000006F 許可時間外のログオン / 0xC0000070 許可されていない端末からのログオン

セキュリティ上の確認事項

• ブルートフォース（総当たり）: 同一アカウントに対し、同一送信元から短時間に大量の失敗。目安として 1 分間に 50 件超など、しきい値で検知する。
• パスワードスプレー: 1 つの送信元から多数のアカウントへ、少数回ずつ失敗する手口（MITRE ATT&CK T1110.003）。アカウントごとの失敗は少なくても、横断すると異常。SMB へのスプレーは DC 上に 4625 を残すが、LDAP や Kerberos 経由だと 4625 が出ないことがあり、その場合は 4771（Kerberos 事前認証失敗）も併せて見る必要がある。
• Process Name が標準フォルダ外、または mimikatz 等の不審な名前を含むものは要調査。LogonType と実行アカウントの不整合（管理者が Batch/Service で失敗等）も着目点。

ログレビュー時の注意観点

• 単発の失敗は日常的（パスワードの打ち間違い等）。件数より「同一送信元・短時間・多数」のパターンで見る。
• 送信元 IP・ワークステーション名・対象アカウント・理由コードを軸に集計すると、総当たりとスプレーを切り分けやすい。
• LDAP / Kerberos 経由の攻撃は 4625 に現れにくい。4625 だけに頼らず、Kerberos のログ（4771 / 4768）と NTLM 検証 4776 を組み合わせる。

主なフィールド

参考

• Microsoft Learn: 4625(F) An account failed to log on.
• ADSecurity: Detecting Password Spraying with Security Event Auditing
• MITRE ATT&CK: T1110.003 Password Spraying