4723 アカウントパスワードの変更試行
ユーザーが自分のパスワードを変更しようとしたときに記録される。本人による変更を示す点が、管理者によるリセット 4724 との違い。
概要
サブカテゴリは Audit User Account Management。ユーザーが自身のパスワード変更を試みると生成され、ドメインコントローラ・メンバーサーバー・ワークステーションのいずれでも記録される。Subject(操作者)と Target(対象アカウント)が通常一致するのが特徴。
発生契機・方法
- ユーザーが旧パスワードを知った上で自分のパスワードを変更したとき(Ctrl+Alt+Del → パスワード変更、
net user等)。 - パスワードポリシー不適合で失敗すると失敗イベントになりうる。
セキュリティ上の確認事項
- 通常は
SubjectとTargetが同一(本人による変更)。これが食い違う、または短時間に多数の変更が発生する場合は異常を疑う。 - 管理者によるリセット 4724 と区別することが重要。アカウント乗っ取りでは、本人変更 4723 ではなくリセット 4724 が使われることが多い。
ログレビュー時の注意観点
- 正規のパスワード変更は日常的に発生する。件数より「Subject ≠ Target」「高権限アカウント」「短時間の連続」といった異常パターンに注目する。
- パスワードポリシーやリセット運用と併せ、4723/4724 をセットで監視する。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 変更操作を行ったアカウント |
Target Account\Account Name | パスワードを変更された対象 |