一瞬で消え去る怪しいウィンドウ、「ウソクライアント（usoclient.exe）」のホントの仕事は？：その知識、ホントに正しい？ Windowsにまつわる都市伝説（61）（2/2 ページ）

[山市良，テクニカルライター]

印刷

通知 連載「％」の新着をメールで通知

隕九ｋPost

Shareシェア

はてなブックマーク

SharePocket Button

謎のウィンドウはスケジュールされた「Windows Updateスキャンの開始」でした

　Autorunsによる調査結果から「usoclient.exe」は怪しいマルウェアではないこと、そして、タスクスケジューラから起動されていることが分かりました。

　タスクスケジューラで該当のタスク「\Microsoft\Windows\UpdateOrchestrator\Schedule Scan」を確認すると、説明に「このタスクは、スケジュールされたWindows Updateスキャンを実行します」とあり、コマンドライン「%systemroot%\system32\usoclient.exe StartScan」が設定されています（画面3）。実行トリガーは複数構成されていますが、PCが動作中である限り、少なくとも22時間ごとに繰り返し実行されるようになっています。

画面3　Windows Updateスキャン（usoclient.exe StartScan）を定期的に実行する「Schedule Scan」タスク

　Windows 10の「設定」アプリの「更新とセキュリティ」で「Windows Update」を開いた状態で、コマンドプロンプトから「usoclient.exe StartScan」を実行してみました。すると、「usoclient.exe StartScan」は「更新プログラムのチェック」ボタンをクリックしたのと同じ挙動を示すことが分かりました（画面4）。

画面4　コマンドプロンプトから「usoclient.exe StartScan」を実行すると、「更新プログラムのチェック」ボタンをクリックしなくても更新プログラムの確認が始まる

　また、「usoclient.exe StartScan」を実行すると、停止状態であったサービス「UsoSvc（表示名：Update Orchestrator Service）」が実行中に状態が遷移することも分かりました。

　Windows 10では、Windows Updateの機能がWindows 8.1以前から大きく変更されました。コントロールパネルにあった「Windows Update」は削除され、「設定」アプリの「更新とセキュリティ」の「Windows Update」に一本化されたのは、目に見える大きな変更の1つに過ぎません。

　Windows 8.1以前はWindows Updateのクライアントエージェントのユーティリティー「C:\Windows\System32\wuauclt.exe」（wuaucltコマンド）を使用して、Windows Updateによる更新の確認やインストールの開始を制御できました。

　例えば、「wuauclt /detectnow」コマンドや「wuauclt /updatenow」コマンドは、更新の確認や更新のインストールをバックグラウンドで開始します。また、「wuauclt /showWUAutoScan」コマンドを実行すると、コントロールパネルの「Windows Update」を開いて、更新の確認を開始します（画面5）。

画面5　Windows 8.1以前では「wuauclt /showWUAutoScan」コマンドを実行することで、「Windows Update」コントロールパネルを開いて更新の確認を開始できる。この機能は、Windows 10では利用できなくなった

　Windows 10にも「wuauclt.exe」は存在しますが、Windows 8.1以前で使えていたオプションの多くが削除されているためか、Windows 10では以前と同じようには使えないことがあります。その理由は、コントロールパネルから「Windows Update」が削除されたことが関係しているようです。

　Windows 10では「usoclient.exe」が「UsoSvc（表示名：Update Orchestrator Service）」とやりとりをして、「設定」アプリの「更新とセキュリティ」にある「Windows Update」の機能を制御するようになっているように見えます。この辺りの動作に関するマイクロソフトの公式ドキュメントが見当たらないため、あくまでも筆者の想像です。

USOのホントの名前は何なのさ？

　さて、「usoclient.exe」や「UsoSvc」の「USO」は、何の頭文字なのでしょうか。「UsoSvc」サービスの表示名である「Update Orchestrator Service」の頭文字は近いですが、順番が違います。

　「C:\Windows」フォルダの中で「uso」で始まるファイルを検索し、ファイルの説明を確認したところ、「usoapi.dll」に答えを見つけました。「Update Session Orchestrator API」の「Update Session Orchestrator」の略がホントの「uso」でした（画面6）。

　Windows 10の新しいWindows Updateには謎がいっぱいです。これからも謎の解明に取り組みます。

画面6　「usoclient」の「USO」は「Update Session Orchestrator」の略称でした

縺薙�騾｣霈峨ｒ縲碁€｣霈芽ｨ倅ｺ九い繝ｩ繝ｼ繝医€阪↓逋ｻ骭ｲ縺吶ｋ New

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。