対話型ログオンとは【用語集詳細】
対話型ログオン(Interactive Logon)は、ユーザーアカウントを用いてコンピュータにログオンする際に動作するプロセスです。
このログオン形式は、WindowsイベントログではログオンType2に分類されます。
対話型ログオンは、主にローカルログオン、ドメインログオンの2種類に大別されます。
- ローカル・ログオン……ローカルコンピュータから画面およびキーボードを利用して、ユーザー名およびパスワード入力、あるいはトークン(スマートカード)や生体認証等を利用し、認証を行います。ユーザーの入力した認証情報は、ローカルコンピュータ内のSAMに格納されたアカウント情報と照合されます。
- ドメイン・ログオン……ユーザーが入力した認証情報は、Active Directoryの保持するアカウント情報と照合されます。
ターミナルやRDPを利用し、あるコンピュータから別のコンピュータにログオンする形式は、リモート対話型ログオン(RemoteInteractive)に分類され、WindowsイベントログではType10に分類されます。
対話型ログオンが、セキュリティ上のリスクを招く場面が存在します。
通常はサービスやアプリケーションが利用するサービスアカウントに対し、(ローカルあるいはRDP経由の)対話型ログオンを許可した場合、攻撃者はこのプロセスを通じてサービスアカウントの持つ特権を利用することが可能となります。
サービスアカウントに対する対話型ログオンは、攻撃者による活動の明白な兆候です。
また、攻撃者が既に管理者権限を乗っ取っている可能性がある場合、侵害されたシステムにおいて対話型ログオンを利用することは危険です。
対話型ログオンは認証情報をキーボードで入力するため、キーロガーによる窃取の対象となります。また認証情報がメモリやハードディスクにキャッシュされるため、攻撃者は、格納された認証情報のハッシュを奪うことができます。
対話型ログオンと対比される方式として、ネットワークログオンがあります。
