4782 アカウントのパスワードハッシュへのアクセス
アカウントのパスワードハッシュがアクセスされたときに記録される。正規にはアカウント移行時に発生するが、ハッシュの取り出しは資格情報窃取に直結するため注目度が高い。
概要
サブカテゴリは Audit Other Account Management Events。ドメインコントローラ上で、Active Directory Migration Toolkit (ADMT) などによるアカウントのパスワード移行時に、パスワードハッシュがアクセスされると生成される。
発生契機・方法
- ADMT 等の移行ツールによる、ドメイン間のパスワードハッシュ移行。
- パスワードハッシュを読み出す正規 API の呼び出し。
セキュリティ上の確認事項
- パスワードハッシュへのアクセスは、
pass-the-hashやオフライン解析の材料になりうる。移行プロジェクトの予定が無いのに 4782 が出る、または想定外の主体・対象で発生する場合は、資格情報窃取の試みを疑う。 - DCSync(4662 で検知)など別経路のハッシュ取得とは記録のされ方が異なる。4782 はあくまで「移行 API 経由のハッシュアクセス」を示す点を踏まえ、複数の窃取経路を併せて監視する。
ログレビュー時の注意観点
- 通常運用ではまれ。移行の正規文脈が無い発生は高優先で調査する。
- 対象アカウント・主体・タイミングを確認し、移行プロジェクトの記録と突き合わせる。
主なフィールド
| フィールド | 意味 |
|---|---|
Target Account\Account Name | ハッシュがアクセスされた対象 |
Subject\Account Name | アクセスを行った主体 |