4778 セッションの再接続

ターミナルサービス（RDP）セッションへの再接続、またはユーザー切り替えによる既存デスクトップへの復帰時に記録される。リモートセッションの利用追跡に使える。

概要

サブカテゴリは Audit Other Logon/Logoff Events。ユーザーが既存の RDP セッションに再接続したとき、または高速ユーザー切り替えで既存デスクトップに切り替えたときに生成される。接続元の端末名・IP・アカウントが含まれる。

発生契機・方法

• 切断していた RDP セッションへの再接続。
• 高速ユーザー切り替えによる既存セッションへの復帰。

セキュリティ上の確認事項

• 再接続元（Client Name / Client Address）が想定と異なる場合、セッションの乗っ取りや不正なリモートアクセスを疑う。切断 4779 と対で、誰がいつセッションを離れ・戻ったかを追う。
• RDP ログオン 4624（Type 10）と相関し、リモートアクセスの一連を把握する。攻撃者が既存セッションに再接続して活動を継続する場合もある。

ログレビュー時の注意観点

• リモート運用では日常的に発生する。接続元 IP・端末・アカウントの正常パターンと照合し、異常な送信元からの再接続に注目する。
• 切断 4779 とセットで、セッションの利用区間を組み立てる。

主なフィールド

参考

• Microsoft Learn: 4778(S) A session was reconnected to a Window Station.