4724 アカウントパスワードのリセット試行

あるアカウントが別アカウントのパスワードをリセットしようとしたときに記録される。本人変更 4723 と違い「他者による強制的な再設定」を示し、アカウント乗っ取りで多用される。

概要

サブカテゴリは Audit User Account Management。あるアカウントが別アカウントのパスワードをリセットしようとすると生成される。Subject（リセットを行う側）と Target（リセットされる側）が異なるのが通常。ドメインアカウントでは、新パスワードがポリシー不適合だと失敗イベントになる。

発生契機・方法

管理者やヘルプデスクによるパスワードリセット（旧パスワードを知らずに再設定）。
net user <user> <newpass>、AD のリセット操作、Set-ADAccountPassword -Reset など。

セキュリティ上の確認事項

アカウント乗っ取りの典型手口。攻撃者が標的アカウントのパスワードをリセットして制御を奪う場合、4723（本人変更）ではなく 4724 が出る。Subject が本来そのアカウントを管理しないはずなら強く疑う。
高権限アカウント（管理者、サービスアカウント、KRBTGT 等）へのリセットは最優先で調査する。直後のログオン 4624 と併せ、リセット→ログオンの乗っ取りフローを追う。

ログレビュー時の注意観点

ヘルプデスク運用で日常的に発生する。正規のリセット主体（ヘルプデスクアカウント等）をベースライン化し、それ以外による 4724 を浮かび上がらせる。
とくに「自分以外の高権限アカウントのリセット」「業務時間外」「普段リセットを行わない主体」に注目する。

主なフィールド

フィールド	意味
`Subject\Account Name`	リセットを行ったアカウント
`Target Account\Account Name`	パスワードをリセットされた対象

用語メモ

アカウント乗っ取り — 正規アカウントの制御を奪う攻撃。パスワードリセットはその代表的手段。

参考

Microsoft Learn: 4724(S, F) An attempt was made to reset an account’s password.