4649 リプレイ攻撃の検出
ドメインコントローラが、Kerberos のリプレイ(同一要求の再送)を検出し KRB_AP_ERR_REPEAT を返したときに記録される。攻撃の可能性とネットワーク不具合の両方がありうる。
概要
サブカテゴリは Audit Other Logon/Logoff Events。ドメインコントローラ(社内認証を司るサーバ)で生成される。DC は最近受け取ったチケットの情報をキャッシュしており、サーバ名・クライアント名・時刻・マイクロ秒が直近の受信と一致すると、リプレイと判断して KRB_AP_ERR_REPEAT を返す(RFC 1510)。要件として Active Directory ドメインコントローラが必要。
発生契機・方法
- 同一の認証要求(Authenticator)が二重に届いたとき。
- 攻撃以外の原因として、クライアントとサーバの間にある誤設定のネットワーク機器が、同じパケットを繰り返し送ってしまうケースがある。
セキュリティ上の確認事項
リプレイ攻撃 (replay attack: 正規の認証データを盗み、そのまま再送して認証を突破しようとする手口)の兆候となりうる。発生したらアラートを上げ、原因を調査することが推奨される。- 一方でネットワーク機器の設定・ルーティングの問題で出ることも多い。攻撃と機器起因のどちらかを、発生源(
Workstation Name、関係するクライアント/サーバ)から切り分ける。
ログレビュー時の注意観点
- 単発・散発であればネットワーク起因の可能性が高い。特定の経路・機器で繰り返すなら設定問題を疑う。
- 特定アカウントやサービスに集中して発生する場合は、攻撃の可能性を優先して、関連する Kerberos イベント(4768 / 4769)と併せて精査する。
主なフィールド
| フィールド | 意味 |
|---|---|
Credentials Which Were Replayed\Account Name | 再送された資格情報のアカウント |
Workstation Name | 発生元の端末名 |
Request Type / Authentication Package | 要求種別・認証方式 |