4781 アカウント名の変更

アカウントの名前が変更されたときに記録される。正規の改名のほか、正規アカウントを装う偽装や追跡回避の文脈でも意味を持つ。

概要

サブカテゴリは Audit User Account Management。ユーザーまたはコンピュータアカウントの名前が変更されると生成され、変更前後の名前が含まれる。

発生契機・方法

• AD/ローカルでのアカウント名変更（姓変更に伴う改名、Rename-ADObject など）。

セキュリティ上の確認事項

• 攻撃者が作成したアカウントを正規アカウントらしい名前に改名して紛れ込ませる、または既存アカウントを改名して監視・追跡を混乱させる、といった使い方がありうる。変更前後の名前を確認する。
• 特権アカウントや既知の重要アカウントの改名は、混乱や偽装を狙う可能性があるため調査する。

ログレビュー時の注意観点

• 改名は頻度が低い。変更前後の名前・対象・主体を確認し、命名規則からの逸脱や紛らわしい名前に注目する。
• アカウント作成 4720・変更 4738 と併せ、アカウントの来歴を追う。

主なフィールド

参考

• Microsoft Learn: 4781(S) The name of an account was changed.