Windowsの不正アクセス検知方法｜イベントログ・RDP・監視設定まで解説

社内PCやサーバーに不正アクセスの兆候がないか、まずは自分で確認したいと感じるケースは少なくありません。
Windowsには「イベントログ」という標準の記録があり、ログオン履歴や権限変更、RDPの試行などを時系列で追うことで、何が起きたのかを時系列で把握しやすくなります。

本記事では、Windowsの標準機能で行える不正アクセス検知の手順と、アラート設定やログ監視の自動化までをわかりやすく解説します。

イベントビューアーで不正アクセスの兆候を確認する方法

Windowsの「Security」ログには、ログオンの成功・失敗やアカウント操作などが記録されます。まずはイベントビューアーから、確認すべきイベントIDを絞り込み、不審な動きがないかを点検します。

Securityログを開く手順

イベントビューアーを起点に、Securityログを確認します。サーバの場合は対象サーバ上で確認する方法に加えて、ログの集中管理（イベント転送やSIEM）へ切り替えると、見落としを減らしやすくなります。

ログオン履歴の確認方法（イベントID：4624／4625／4634／4647）

まずはログオン関連のイベントを押さえると、外部からのログオン試行や、不審な成功ログオンの有無を把握しやすくなります。特に4625が多発している場合は、パスワード総当たりのような試行が疑われます。

• 4624：ログオン成功（ユーザー、時刻、ログオン種類、接続元IPなどを確認）
• 4625：ログオン失敗（同一IP・同一アカウントへの連続試行がないか確認）
• 4634 / 4647：ログオフ（不自然に短い滞在や深夜帯の連続などを確認）

不審なログの見つけ方（時間帯・IPアドレス・ログオン種類）

「成功ログがある＝直ちに侵害」とは限りませんが、業務実態と合わないログは優先して確認・精査することが重要です。たとえば深夜帯の成功ログオンや、海外IPからの大量試行は典型的な注意ポイントです。

Windowsの不正アクセス検知：アカウント・権限変更のログを確認する方法

侵入後の典型的な動きとして、「新規ユーザーの作成」「管理者権限の追加」「監査ポリシーの変更」などが挙げられます。認証系イベントとあわせて確認すると、侵害状況を把握しやすくなります。

ユーザーの作成・有効化・削除のログ確認（イベントID：4720／4722／4725／4726）

見覚えのないユーザー作成（4720）や、突然の有効化・無効化・削除は、確認の優先度が高いポイントです。特にサーバやADでは、影響範囲が一気に広がる可能性があります。

管理者グループへの追加ログの確認（4728など）

管理者グループへの追加は、攻撃者が権限を広げる典型パターンです。想定外の追加がある場合は、短時間で影響範囲を確認した方が安全です。

セキュリティポリシー変更のログ確認（4704〜4719）

監査設定やユーザー権限に関する変更は、痕跡を追いにくくする目的で行われることがあります。変更が記録されている場合は、「いつ・誰が・どの設定を変えたか」を整理しておくと後の確認が進めやすくなります。

ログだけでは判断が難しい場合や、すでに不審な挙動がある場合は、早い段階で専門家に相談することも重要です。

Windowsの不正アクセス検知：RDP（リモートデスクトップ）の不正接続を確認する方法

RDPを公開している環境では、パスワードの総当たり試行（ブルートフォース攻撃）が発生しやすくなります。まずは「失敗の連続」「成功の発生」「接続元の偏り」を軸に確認します。

ログオン失敗が連続するIPアドレスの確認

4625を中心に、同一IP・同一アカウントへの連続試行を確認します。IPが頻繁に変わる場合でも、短時間に多数の失敗が出ていれば注意が必要です。

公開RDPのリスクと最低限行うべき制限対策

公開RDPは攻撃者に見つかりやすく、試行が継続的に発生しがちです。IP制限やVPN経由にするなど、入口を絞るだけでも検知と運用が現実的になります。

不審な成功ログオンが確認された場合の初動対応

失敗が多発した直後に成功（4624）が出ている場合は、侵害の可能性を前提に「影響範囲の把握」と「記録の保全」を優先します。慌ててログを消したり設定を大きく変えると、データ喪失につながり、証拠となり得るデータが失われる可能性があります。

Windowsの不正アクセス検知：自動検知とログ監視の仕組みを構築する

目視確認だけでは追い切れない場合は、監査の有効化とアラートの自動化を組み合わせると運用が安定します。まずは「必要なログが出る状態」を作り、次に「通知する条件」を決めます。

監査ポリシーを有効化してログ取得を行う

ログオン/ログオフ、アカウント管理、ポリシー変更など、必要な監査が有効になっていないとSecurityログに記録が残りません。特にサーバやADは、監査の設計が検知の土台になります。

タスクスケジューラでイベント連動のアラートを設定する

小規模環境では、イベントID（例：4625）をトリガーにして通知やスクリプト実行を行う方法が現実的です。まずは「失敗多発」「管理者追加」など、少数の重要ルールから始めると運用が崩れにくくなります。

ログ監視ツールやSIEMで相関ルールを設定する

複数サーバや多数端末を扱う場合は、ログの集中収集と相関分析が効果的です。たとえば「4625多発→4624成功→4728（管理者追加）」のように、攻撃シナリオの流れで検知条件を設計すると、単発イベントより検知精度を高めることができます。

Windowsの不正アクセス検知と対策の基本

不正アクセスの検知は重要ですが、入口を絞るだけでもアラートのノイズが減り、運用負荷を下げられます。特にRDPやアカウントポリシーは、検知と相性のよい強化ポイントです。

Windows Firewallで外部からのアクセス経路を制限する

不要なポートを閉じ、RDPなどはVPNや特定IPに限定すると、試行自体を減らせます。外向き通信まで監視できると、不審な通信先（C2など）の早期発見にもつながります。

アカウントロックアウトとパスワードポリシーを見直す

ロックアウトは総当たりを困難にし、検知のシグナルにもなります。ロックアウト発生時のイベントを監視対象に含め、状況に応じてアラートを上げる運用が有効です。

多要素認証（MFA）と不審サインイン通知を有効化する

MicrosoftアカウントやEntra ID（旧Azure AD）を利用している場合は、多要素認証と不審サインイン通知を有効にし、異常な場所・デバイスからのサインインがあれば速やかにセッション失効やパスワード変更を検討します。

詳しく調べる際はフォレンジック調査会社に相談を