4771 Kerberos 事前認証の失敗
KDC が事前認証の失敗により TGT を発行できなかったときに記録される。Kerberos 経路でのパスワードスプレーやブルートフォースを捉える、認証失敗監視の要。
概要
サブカテゴリは Audit Kerberos Authentication Service。事前認証(パスワードを正しく持っていることを TGT 発行前に確認する仕組み)が失敗すると生成され、ドメインコントローラ上でのみ記録される。パスワード誤り・期限切れ・スマートカード証明書の不備などが原因。事前認証が無効なアカウントでは生成されない(その場合は 4768 を参照)。
発生契機・方法
- ドメインアカウントでの誤ったパスワードによるログオン試行。
- 失敗理由は
Failure Codeに表れる。代表例:0x18パスワード誤り(正しいユーザー名 + 誤パスワード)= スプレー/総当たりの主シグナル0x12アカウントが無効/ロック/期限切れ/時間外0x6存在しないユーザー名(列挙の兆候)
セキュリティ上の確認事項
- パスワードスプレー: 1 つの送信元から多数のアカウントへ
Failure Code 0x18の失敗が広がるパターン。目安として 1 分間に 50 件超の 0x18 をしきい値にする。4625(NTLM 等の失敗)が出ない LDAP/Kerberos 経路の攻撃は、この 4771 で捉える。 - ブルートフォース: 単一アカウントへの 0x18 の連続。ロックアウト 4740 と相関する。
0x6(不明ユーザー)の多発はユーザー名列挙を示す。送信元 IP(Client Address)を軸に集計する。
ログレビュー時の注意観点
- 古い資格情報を保持した端末・サービスによる「自爆」失敗も多い。送信元 IP と対象アカウントで、攻撃か設定起因かを切り分ける。
- 4771 だけでなく、TGT 要求 4768・NTLM 検証 4776・ロックアウト 4740 を組み合わせて、認証失敗の全体像を作る。
主なフィールド
| フィールド | 意味 |
|---|---|
Account Name | 失敗対象のアカウント |
Client Address | 試行元の IP。集計の軸 |
Failure Code | 失敗理由(0x18 誤パスワード、0x6 不明ユーザー 等) |
Pre-Authentication Type | 使われた事前認証種別 |