【Windows】パスワード入力の試行回数を記録して不正なログインを監視する手順

Windowsデバイスへの不正なログイン試行は、セキュリティ上の大きな懸念点です。パスワード入力の試行回数を記録することで、不審な活動を早期に発見し、対策を講じられます。

この記事では、Windows 11のセキュリティ監査機能を活用し、パスワード入力の試行失敗を記録・監視する具体的な手順を解説します。

これらの設定を行うことで、お使いのWindowsデバイスのセキュリティレベルを向上させることが可能です。

Windowsのセキュリティ監査機能の概要と不正ログイン監視の重要性

Windowsには、システム上で発生する様々なイベントを記録する「セキュリティ監査」機能が組み込まれています。この機能は、誰が、いつ、どこから、どのような操作を行ったかをログとして残します。

特に、ログイン試行の失敗を記録することは、不正なアクセス試行を早期に検知するために非常に重要です。パスワードの総当たり攻撃や推測攻撃を受けた場合、システムログにその痕跡が残ります。

この監査機能を適切に設定し、定期的にログを確認することで、潜在的なセキュリティリスクを把握し、必要な対策を講じることが可能になります。これらの設定には管理者権限が必要です。

セキュリティ監査が提供する情報

セキュリティ監査は、以下のような情報を提供します。

• ログオンおよびログオフの成功と失敗の記録。
• ファイルやフォルダへのアクセス試行の記録。
• ユーザーアカウントやグループの変更履歴。
• システムの再起動やシャットダウンの記録。

これらの情報は、イベントビューアーと呼ばれるツールで確認できます。

Windows 11でパスワード入力試行失敗を記録する手順

パスワード入力の試行失敗を記録するには、ローカルセキュリティポリシーエディターを使って監査ポリシーを設定します。Windows 10でも同様の手順で設定できます。

1. ローカルセキュリティポリシーエディターを開く
   WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。「secpol.msc」と入力し、Enterキーを押します。
2. 監査ポリシーの項目を展開する
   左側のナビゲーションペインで、「セキュリティの設定」→「ローカルポリシー」→「監査ポリシー」の順に展開します。
3. 「アカウントログオンイベントの監査」を設定する
   右側のペインで「アカウントログオンイベントの監査」をダブルクリックします。表示されたプロパティウィンドウで、「失敗」にチェックを入れ、「OK」をクリックします。
4. 「ログオンイベントの監査」を設定する
   右側のペインで「ログオンイベントの監査」をダブルクリックします。表示されたプロパティウィンドウで、「失敗」にチェックを入れ、「OK」をクリックします。
5. 設定を適用する
   ローカルセキュリティポリシーエディターを閉じます。設定をすぐに適用するには、管理者権限でコマンドプロンプトを開き、「gpupdate /force」と入力してEnterキーを押します。

記録されたログイン試行イベントを確認する手順

設定した監査ポリシーに基づいて記録されたログイン試行イベントは、イベントビューアーで確認できます。

1. イベントビューアーを開く
   WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。「eventvwr.msc」と入力し、Enterキーを押します。
2. セキュリティログにアクセスする
   左側のナビゲーションペインで、「Windowsログ」を展開し、「セキュリティ」を選択します。
3. ログオン失敗イベントをフィルターする
   右側の「操作」ペインで「現在のログをフィルター」をクリックします。「フィルター」タブで「<すべてのイベントID>」の欄に「4625」と入力し、「OK」をクリックします。これにより、ログオン失敗イベントのみが表示されます。
4. イベントの詳細を確認する
   表示されたイベントID 4625のログをダブルクリックすると、詳細情報が表示されます。ここには、どのユーザーアカウントが、どのコンピューターから、いつログインに失敗したかなどの情報が含まれています。
5. 認証失敗イベントも確認する
   イベントID 4625に加えて、Kerberos認証失敗を示すイベントID 4776も確認すると良いでしょう。同様に「現在のログをフィルター」でイベントIDを追加して確認できます。

不正ログイン試行に対するアカウントロックアウトポリシーの設定

監査ポリシーでログを記録するだけでなく、不正なパスワード試行が一定回数に達した場合にアカウントを一時的にロックする設定も重要です。これにより、総当たり攻撃を物理的に阻止できます。

1. ローカルセキュリティポリシーエディターを開く
   WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。「secpol.msc」と入力し、Enterキーを押します。
2. アカウントロックアウトポリシーの項目を展開する
   左側のナビゲーションペインで、「セキュリティの設定」→「アカウントポリシー」→「アカウントロックアウトポリシー」の順に展開します。
3. 「アカウントロックアウトのしきい値」を設定する
   右側のペインで「アカウントロックアウトのしきい値」をダブルクリックします。不正なログオン試行回数を設定します。例えば「5」と入力し、「OK」をクリックします。
4. 関連するポリシーを確認する
   「アカウントロックアウトのしきい値」を設定すると、「アカウントロックアウト期間」と「アカウントロックアウトカウンターのリセット時間」の設定を促されます。これらも合わせて設定します。
5. 「アカウントロックアウト期間」を設定する
   アカウントがロックされる時間(分単位)を設定します。例えば「30」分と入力し、「OK」をクリックします。
6. 「アカウントロックアウトカウンターのリセット時間」を設定する
   不正なログオン試行回数がリセットされるまでの時間(分単位)を設定します。例えば「30」分と入力し、「OK」をクリックします。
7. 設定を適用する
   ローカルセキュリティポリシーエディターを閉じます。設定をすぐに適用するには、管理者権限でコマンドプロンプトを開き、「gpupdate /force」と入力してEnterキーを押します。

不正ログイン監視における注意点とよくある誤解

セキュリティ監査とアカウントロックアウトポリシーの設定は有効ですが、いくつかの注意点があります。誤解しやすいポイントや、設定がうまくいかない場合の対処法を確認しましょう。

監査ポリシー設定が適用されない

設定を変更しても、すぐにイベントが記録されない場合があります。これはポリシーがシステムに反映されていないことが原因です。

• 原因: グループポリシーの更新が遅れている、または上位のドメインポリシーが競合している可能性があります。
• 対処法: 管理者としてコマンドプロンプトを開き、「gpupdate /force」と入力してEnterキーを押します。これにより、グループポリシーが強制的に更新されます。ドメイン環境では、ドメイン管理者に確認が必要です。

イベントビューアーのログが多すぎる

イベントビューアーの「セキュリティ」ログには、成功イベントも記録されるため、情報量が膨大になることがあります。

• 原因: 監査ポリシーで成功イベントも記録するように設定されている、またはログのフィルター設定が不十分です。
• 対処法: 「Windows 11でパスワード入力試行失敗を記録する手順」で説明したように、監査ポリシーでは「失敗」のみにチェックを入れます。イベントビューアーでは、イベントID 4625などの失敗イベントのみでフィルターをかけます。

アカウントロックアウトがすぐに解除されない

不正なパスワード試行でアカウントがロックされた場合、設定した期間が経過するまでログインできません。

• 原因: 「アカウントロックアウト期間」の設定が長い、またはロックアウトカウンターがリセットされていないためです。
• 対処法: 「アカウントロックアウトポリシーの設定」で設定した「アカウントロックアウト期間」を確認します。設定期間が経過するまで待つか、管理者が手動でアカウントのロックを解除する必要があります。

セキュリティ監査のログオンイベントID一覧

イベントビューアーで確認できる主要なログオン関連のイベントIDは以下の通りです。

イベントID	説明
4624	アカウントへのログオンに成功
4625	アカウントへのログオンに失敗
4634	アカウントからのログオフに成功
4647	ユーザーがログオフを開始
4740	ユーザーアカウントがロックアウトされた
4776	資格情報の検証に失敗

まとめ

この記事では、Windowsのセキュリティ監査機能とアカウントロックアウトポリシーを活用し、パスワード入力の試行回数を記録して不正なログインを監視する手順を解説しました。

ローカルセキュリティポリシーとイベントビューアーを使いこなすことで、デバイスのセキュリティを強化し、不審な活動を早期に検知できます。

定期的なログの確認と、必要に応じたポリシーの見直しで、Windowsデバイスの安全性を維持しましょう。