5168 SMB/SMB2 の SPN チェック失敗
SMB/SMB2 の SPN チェックに失敗したときに記録される。SMB 署名や SPN 検証の不一致を示し、NTLM リレー攻撃の兆候となりうる。
概要
サブカテゴリは Audit File Share。SMB/SMB2 接続時の SPN(サービスプリンシパル名)チェックが失敗すると生成される。SMB 署名や、想定される SPN との不一致が原因。
発生契機・方法
- SMB 接続で、提示された SPN が一致しない、または署名検証に失敗したとき。
- 設定不整合のほか、中継を伴う攻撃でも発生しうる。
セキュリティ上の確認事項
- SPN チェックの失敗は、
NTLM リレー攻撃(認証を別のサーバへ中継して、なりすましでアクセスする攻撃)の兆候となりうる。SMB 署名はリレー対策の要であり、その検証失敗が特定の送信元・サーバに集中する場合は調査する。 - ネットワークログオン 4624(Type 3, NTLM)・NTLM 検証 4776 と相関し、中継の疑いがある認証フローを追う。
ログレビュー時の注意観点
- 設定不整合(SPN 登録ミス等)でも発生する。攻撃か設定起因かを、送信元・対象サーバ・頻度から切り分ける。
- 特定サーバへの SPN チェック失敗の多発に注目する。
主なフィールド
| フィールド | 意味 |
|---|---|
Source Address | 接続元 |
| 期待/提示された SPN | 不一致の内容 |
用語メモ
- NTLM リレー攻撃 — 盗んだ/中継した認証を別サーバへ転送し、被害者になりすましてアクセスする攻撃。SMB 署名で緩和する。