4768 Kerberos 認証チケット(TGT)の要求
KDC が Kerberos の TGT(チケット交付チケット)を発行したときに記録される。ドメイン認証の起点であり、AS-REP ロースティングやアカウント列挙の検知に使える中核イベント。
概要
サブカテゴリは Audit Kerberos Authentication Service。KDC(鍵配布センター: ドメインの認証を担う DC 上のサービス)が TGT を発行するたびに生成され、ドメインコントローラ上でのみ記録される。要求アカウント・送信元 IP・チケットの暗号化方式・事前認証の種別が含まれる。なお Windows Server 2016 以降では、2025 年 1 月 14 日以降の累積更新を適用するとイベント形式が更新版になる。
発生契機・方法
- ユーザー/コンピュータがドメインにログオンし、TGT を取得するとき。
- 失敗時(F)は事前認証以外の理由(不明なユーザー名など)で出る。事前認証の失敗は 4771 で記録される。
セキュリティ上の確認事項
- AS-REP ロースティング:
Pre-Authentication Typeが0(事前認証なし)の 4768 は、事前認証が無効なアカウントを狙ったこの攻撃の条件。攻撃者は AS-REP の暗号化部分を取得し、オフラインでパスワードを解析する。暗号化方式が0x17(RC4)だと解析が容易。 - 暗号化方式の異常: AES が既定の現代環境で、
Ticket Encryption Typeが0x17(RC4)の TGT は不審。ダウングレードや古い実装の悪用を疑う。 - アカウント列挙: 存在しないユーザー名での失敗 4768 が短時間に多発すれば、ユーザー名の総当たり(列挙)を疑う。送信元 IP を軸に集計する。
ログレビュー時の注意観点
- DC では正規のログオンで大量に出る。
Pre-Authentication Type = 0やRC4 (0x17)といった条件で絞り込んで初めて攻撃検知として機能する。 - 送信元 IP・対象アカウント・暗号化方式・事前認証種別を相関の軸にする。サービスチケットの 4769、事前認証失敗の 4771 と組み合わせる。
主なフィールド
| フィールド | 意味 |
|---|---|
Account Name / Account Domain | TGT を要求したアカウント |
Client Address | 要求元の IP |
Ticket Encryption Type | 暗号化方式。0x17(RC4) は要注目、0x12 は AES256 |
Pre-Authentication Type | 0 は事前認証なし=AS-REP ロースティングの条件 |
Result Code | 成功/失敗の理由コード |
用語メモ
- TGT (Ticket Granting Ticket) — ログオン時に最初に得る「チケットを得るためのチケット」。これを使ってサービスチケット 4769 を要求する。
- AS-REP ロースティング — 事前認証無効なアカウントの応答を取得し、パスワードをオフラインで解析する攻撃。