4648 明示的な資格情報を使ったログオン試行
あるアカウントが、別アカウントの資格情報を明示的に指定してログオンを試みたときに記録される。runas や PsExec のような「別人になりすます」操作を捉えるため、横展開の検知で重視されるイベント。
概要
サブカテゴリは Audit Logon。プロセスが、対象アカウントの資格情報を明示的に指定してログオンを試みると生成される。スケジュールタスクのようなバッチ構成や RUNAS コマンドの使用で典型的に発生する一方、OS の通常動作でも定期的に出る routine な側面もある。重要なのは「誰が(Subject)」「誰の資格情報を使って(Account Whose Credentials Were Used)」を両方記録する点。
発生契機・方法
runasによる別アカウントでのプロセス実行。- スケジュールタスク(
SchTasks)、PsExec、WinRM、SMB 経由など、明示的な資格情報を伴う接続。 - パスワードスプレーをそのマシン上で実行している場合にも記録される。
セキュリティ上の確認事項
- 攻撃者は横展開(侵入後に他マシンへ広げる動き)でこの操作を多用する。
runas/ PsExec で盗んだ資格情報を使うと 4648 が残るため、横移動の有力な手がかりになる。 - 着目点:
Subject\Security ID(操作した本人)とAccount Whose Credentials Were Used(使われた資格情報の持ち主)の組み合わせ。本来その資格情報を知り得ない・使うべきでない主体が使っていれば不審。 Process Nameが標準フォルダ外、またはmimikatz等の不審名を含むものを調査する。Network Addressが内部の許可 IP リスト外なら要注意。ワークステーション上で 4648 が短時間に多発(目安: 1 分間に 100 件超)する場合はスプレーや自動化を疑う。- 同一セッションの 4624 や Kerberos の 4769 と
Logon GUIDで相関できる。
ログレビュー時の注意観点
- スケジュールタスクやサービスなど正規の自動処理でも定常的に出るため、
localhost(::1/127.0.0.1)宛てや既知の正規プロセスによるものはベースライン化して除外する。 - 価値が高いのは「人手の
runas/リモート実行で、別アカウントの資格情報が使われた」ケース。送信元・実行プロセス・使われたアカウントの 3 点で絞り込む。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 操作を行った本人のアカウント |
Account Whose Credentials Were Used | 実際に使われた資格情報の持ち主 |
Target Server Name | 接続先サーバ。ローカルなら localhost |
Process Name | 明示的資格情報で実行されたプロセス |
Network Address / Port | 試行元 |