4740 ユーザーアカウントのロックアウト
アカウントがロックアウトされたときに記録される。ロックアウトはパスワード失敗の積み重ねの結果であり、ブルートフォースやパスワードスプレーの兆候を捉える。
概要
サブカテゴリは Audit User Account Management。アカウントがロックアウト(規定回数のログオン失敗による一時的な使用停止)されると生成される。ドメインアカウントのロックアウトはドメインコントローラに、ローカルアカウントは該当ホストに記録される。Caller Computer Name(失敗を発生させた端末)が手がかりになる。
発生契機・方法
- アカウントロックアウトポリシーのしきい値を超えるログオン失敗(4625 や Kerberos 事前認証失敗 4771 の積み重ね)。
- 古い資格情報を保持したサービス・マッピングドライブ・モバイル端末が、無効化された旧パスワードで繰り返し認証して起きる「自爆ロックアウト」も多い。
セキュリティ上の確認事項
- 単一アカウントの繰り返しロックアウトは、そのアカウントへのブルートフォースを疑う。多数アカウントが短時間にロックアウトされる場合は、パスワードスプレーが(しきい値に達して)露見した可能性がある。
Caller Computer Nameを確認し、ロックアウトの発生源を特定する。攻撃なのか、古い資格情報を持つ正規端末(自爆ロックアウト)なのかを切り分ける。失敗の詳細は 4625 / 4771 で補完する。
ログレビュー時の注意観点
- 業務影響(ユーザーがログインできない)を伴うため、運用上も監視されることが多い。攻撃由来か設定/資格情報起因かの切り分けが肝心。
- 発生源端末が空欄・不明な場合があり、その際は同時刻の失敗ログ(4625 の送信元 IP/ワークステーション)から追う。
主なフィールド
| フィールド | 意味 |
|---|---|
Target Account\Account Name | ロックアウトされたアカウント |
Caller Computer Name | ロックアウトを引き起こした端末 |
Subject\Account Name | 報告元(多くは DC のシステム) |