イベントIDを使用してWindowsのログオン失敗イベントをトラブルシューティングする方法
最近、イベント ビューアーでイベント ID 4625、4624、または 413x シリーズなどのエラーに頻繁に遭遇し、正直なところ、少し神経をすり減らすことがあります。たとえば、ログイン試行の失敗が繰り返し表示されると、セキュリティ侵害が発生したのか、それとも単に Windows が誤作動を起こしているだけなのかと疑問に思うかもしれません。ほとんどの場合、これらのエラーは、Windows 資格情報マネージャーに保存されている古いパスワード、ネットワークの不具合、認証プロセスを妨害する破損したファイルなどの単純な問題が原因です。問題を解決するには、ログインしようとしているものを確認し、古い資格情報を削除し、システム関連のすべてが正常であることを確認する必要があります。Windows はこれらのエラーについて非常に分かりにくいので、明確な手順でトラブルシューティングする方法を知っておくと、多くのフラストレーションを回避でき、繰り返し発生するエラーがログを絶えず埋め尽くすのを防ぐことができるかもしれません。
Windows 11/10でこれらの認証イベントを修正する方法
イベントビューアーでエラーの原因を確認してください。
これが重要です。ログインしようとしているのが誰または何なのかを確認したいのです。特に、ログイン失敗ID(4625)が繰り返し表示される場合はなおさらです。Windowsキー + Xキーを押してイベントビューアーを選択するか、スタートメニューで「イベントビューアー」を検索してください。Windowsログの下にあるセキュリティを選択します。4625、4624、4131~4137などのイベントIDを探します。イベントをダブルクリックして、アカウント名、失敗理由、送信元ネットワークアドレスなどの詳細を確認します。
設定によっては、同じアカウントが間違ったパスワードで繰り返しログインを試み、場合によっては未知のIPアドレスからアクセスしていることがあります。これは、何らかの悪意のある行為、あるいは古い認証情報が残っているアプリの存在を示唆している可能性があります。逆に、正規のアカウントが常にログインに失敗している場合は、キャッシュされた認証情報や破損したファイルに問題がある可能性が高いでしょう。
Windowsのパスワードが実際に機能することを確認してください。
これは当然のことのように思えますが、見落とされがちです。最近パスワードやアカウントを変更した場合は、オンラインで有効かどうかを確認してください。ブラウザを開き、Microsoft アカウントにサインインするか、別のデバイスでログインを試みてください。パスワードが正しければ、入力ミスが原因ではないことがわかります。また、lusrmgr.mscを使用してアカウントの状態を確認することもできます(「ファイル名を指定して実行」を開いWindows + Rて入力します)。ユーザーフォルダで該当のユーザーを探し、無効化またはロックアウトされていないことを確認してください。
資格情報マネージャーで古い資格情報を削除する
古いパスワードが残っていると、システムが誤った認証情報でログインを試み続け、イベントIDが記録される原因となります。スタートメニューから資格情報マネージャーを開き、 「Windows資格情報」に移動してください。Microsoftログイン、VPN、リモートデスクトップ、ネットワークドライブに関連付けられた保存済みのパスワードをスキャンします。古くなったものや疑わしいものは、特に最近パスワードを変更した場合は、すべて削除してください。再起動して、Windowsが新しい認証情報の入力を求めるかどうかを確認してください。通常、これでログイン失敗ログが解消されます。
破損したファイルを修復するためにシステムファイルのスキャンを実行します。
もちろん、Windowsは必要以上に難しくしています。管理者としてコマンドプロンプトを開きます( Windowsキー + Xを押して「コマンドプロンプト(管理者)」またはPowerShell)。実行すると、sfc /scannowシステムファイルの破損をチェックし、破損している箇所を修復しようとします。次に、DISMを使用してより詳細なチェックを実行します。
DISM /Online /Cleanup-Image /CheckHealth DISM /Online /Cleanup-Image /ScanHealth DISM /Online /Cleanup-Image /RestoreHealth
その後、再起動してイベントビューアーを監視してください。認証エラーの原因は、ファイルの破損である場合があり、ファイルを修復することでログを消去できることがあります。
Windows認証サービスを再起動します
資格情報マネージャー、Netlogon、リモートプロシージャコール(RPC)などのサービスがハングアップすることがあります。これらのサービスを再起動するには、services.mscを開きます(キーを押して入力します)。資格情報マネージャー、Netlogon、ワークステーションWindows + Rなど、それぞれのサービスを右クリックして「再起動」を選択します。スタートアップの種類が「自動」に設定されていることを確認してください。一部のマシンでは、これらのサービスを再起動することで、認証の問題がほぼ即座に解消されることがあります。
マルウェアや不審なログインアクティビティがないかスキャンします。
エラーが頻繁に発生する場合は、PCが攻撃を受けているか、マルウェアが認証情報を悪用しようとしている可能性があります。Windowsセキュリティを使用してフルスキャンを実行してください。より高度な検出を行うには、Microsoft Defenderオフラインスキャンを実行することを検討してください。これはWindows回復環境で起動し、システムが読み込まれる前にスキャンを実行するため、巧妙な脅威を検出できます。イベントビューアーでブルートフォース攻撃や不明なIPアドレスの兆候がないか確認してください。不審な点が見つかった場合は、すぐにパスワードを変更し、二要素認証を有効にして、マルウェア駆除を実行してください。
Windowsが最新の状態であることを確認してください。
マイクロソフトは認証バグの修正パッチを頻繁にリリースしているため、古いアップデートが原因でログインに不具合が生じる場合があります。設定 > Windows Updateを開き、「更新プログラムの確認」をクリックしてください。セキュリティ更新プログラム、ドライバー更新プログラム、機能アップグレードなど、見つかった更新プログラムはすべてインストールしてください。インストール後、システムを再起動して問題が解決するかどうか確認してください。
状況が本当に悪化している場合は、セキュリティポリシーをリセットしてください。
セキュリティ設定がめちゃくちゃになっている場合(ポリシーをいじったり、破損したりした場合など)、リセットすることでデフォルト設定に戻すことができます。[ファイル名を指定して実行]を開きWindows + R、と入力して、 [ローカル ポリシー] > [セキュリティ オプション]secpol.mscに移動します。アカウント ロックアウトのしきい値や認証レベルなどのポリシーを確認してください。すべてのセキュリティ ポリシーをリセットするには、コマンド プロンプト(管理者として)で、次のコマンドを実行します。
secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
これにより、セキュリティポリシーがデフォルトの状態に戻ります。その後、再起動して、厄介なイベントIDが消えているかどうかを確認してください。
最終手段として、新しいユーザーアカウントを作成する
場合によっては、古いまたは破損したユーザープロファイルがこれらのログを急増させることがあります。設定 > アカウント > その他のユーザーから新しいアカウントを設定してください。[アカウントの追加]を選択し、 [このユーザーのサインイン情報を持っていません]を選択して、Microsoft サインインなしのローカルアカウントを追加します。管理者権限を割り当て、ログアウトしてから、この新しいユーザーとしてサインインします。エラーが止まった場合は、元のプロファイルが破損していた可能性があります。ファイルを新しいプロファイルに移動することをお勧めします。
不要なスタートアップアプリとサードパーティサービスを無効化する
VPN、クラウド同期ツール、リモートデスクトップクライアントなどのバックグラウンドアプリは、バックグラウンドで再認証やログインを試みることがよくあります。これらを一時的に無効にするには:
- Ctrl + Shift + Esc キーを押してタスク マネージャーを開きます
- スタートアップタブに移動して、不審なアプリを無効にします。
または、Windows キーと Rキーを同時に押して「サービス」と入力し、サービスmsconfigを開きます。「すべての Microsoft サービスを非表示にする」にチェックを入れ、サードパーティ製サービスを一時的に無効にします。再起動してエラーが解消されるかどうかを確認してください。解消されれば、原因が特定できた可能性が高いです。
よくある質問
イベントID 4625はウイルスですか?
いいえ、ウイルスではありません。単にログイン失敗を知らせるものです。ただし、それが頻繁に発生し、見慣れないIPアドレスやアカウントからのアクセスである場合は、マルウェアやハッキングの試みがないか念のため確認することをお勧めします。
これらのログインエラーの原因は何ですか?
多くの場合、原因は古い認証情報、間違ったパスワード、破損したファイル、あるいは時折発生するネットワークの問題です。場合によっては、サードパーティ製アプリやマルウェアが不正な情報でログインしようとすることでも発生することがあります。
イベントID 4624を無視してもいいですか?
一般的にはそうです。4624番ポートはログイン成功をログに記録するだけで、不審なソースからのログインや予期せぬ頻繁なログインでない限り、ほとんど情報提供のみを目的としています。
なぜこれらのエラーは繰り返し発生するのでしょうか?
バックグラウンド同期、VPN、リモートアプリなど、何らかのプログラムやサービスが、古い認証情報や間違った認証情報でログインを試み続けていることが原因です。認証情報を修正し、起動時に使用するアプリをクリーンアップすることで、通常は解決します。
Windowsをリセットすると、これらの問題は解決しますか?
可能ですが、最終手段と言えるでしょう。通常は、設定の確認、認証情報のクリーンアップ、システムスキャンで十分です。リセットは、他の方法がすべてうまくいかない場合の最後の手段として考えてください。
まとめ
これらのイベントIDへの対処は面倒な場合もありますが、保存されているパスワードの削除、Windowsのアップデート、破損したシステムファイルの修復など、多少の手間をかければほとんどは解決可能です。すべてがセキュリティリスクとなるわけではありませんが、ログを監視し、定期的に発生する問題をクリーンアップすることで、後々の多くのトラブルを回避できます。
まとめ
- イベントビューアーで特定のイベントIDと詳細を確認してください。
- 現在のパスワードとアカウントの状態を確認してください
- 資格情報マネージャーから古い資格情報を削除します
- システムファイルチェック(sfc /scannow および DISM)を実行します。
- 主要なWindowsセキュリティサービスを再起動します
- マルウェアと不審なアクティビティをスキャンします。
- Windowsを完全にアップデートする
- 必要に応じてセキュリティポリシーをリセットしてください。
- プロファイルが破損している場合は、新しいユーザープロファイルを作成してください。
- 問題を引き起こすスタートアップアプリとバックグラウンドサービスを無効にします
これで誰かの作業時間を数時間短縮できれば幸いです。これらのイベントログのトラブルシューティングは華やかではありませんが、原因が分かれば通常は簡単に解決できます。