Windows 10で増殖する“謎サービス”の正体を追え!その知識、ホントに正しい? Windowsにまつわる都市伝説(82)(1/2 ページ)

Windows 10になって、Windows 8.1以前には存在しなかった「CDPUsersvc_XXXXX」のように「_XXXXX(XXXXXはランダム)」で終わるサービス名のサービスが追加されたことに気が付いた人はいるでしょうか。“マルウェアやスパイウェアが入り込んだのでは”と不安に思った人も少なくないかもしれません。でも安心してください。謎は多いものの、Windows 10の正規のコンポーネントであることは確かです。

» 2017年05月01日 05時00分 公開
[山市良テクニカルライター]
「Windowsにまつわる都市伝説」のインデックス

怪しげなサービス名と足りない説明……

 Windows 10には「_XXXXX」(XXXXXはランダムな字数の英数字)で終わるサービス名/表示名のサービスが幾つか追加され、ログオンユーザーの権限で必要時に実行されるようになりました。

 Windows 10初期リリース(便宜上のバージョン1507、以下同)では、「_Session#」(#は番号)というサービス名/表示名でした。この謎のサービス群は、Windows 10初期リリース(バージョン1507)では4つ、Windows 10 November Update(バージョン1511)では5つ、Windows 10 Anniversary Update(バージョン1607)では7つと、その数は機能更新(旧称、機能アップグレード)とともに増えてきました(画面1表1)。

画面1 画面1 Unistackサービスグループ(UnistackSvcGroup)として「svchost.exe」により制御される謎のサービス群。画面は、Windows 10 Anniversary Update(バージョン1607)の場合
サービス名 表示名 説明 実行ファイルのパス 1507 1511 1607
CDPUserSvc
_XXXXX
CDPUserSvc
_XXXXX
<説明を読み取れませんでした。エラー コード: 15100 > C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
MessagingService
_XXXXX
MessagingService
_XXXXX
テキスト メッセージと関連する機能をサポートしているサービスです。 C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
OneSyncSvc
_XXXXX
ホストの同期
_XXXXX
このサービスはメール、連絡先、カレンダー、および他のさまざまなユーザー データを同期します。このサービスが実行中でないときは、メールと、この機能に依存する他のアプリケーションは正しく機能しません。 C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
PimIndexMaintenanceSvc
_XXXXX
Contact Data
_XXXXX
連絡先のインデックスを作成して、連絡先の検索を高速化します。このサービスを停止または無効にすると、連絡先が検索結果に含まれなくなる可能性があります。 C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
UnistoreSvc
_XXXXX
User Data Storage
_XXXXX
構造化されたユーザー データのストレージを処理します。ユーザー データには、連絡先情報、予定表、メッセージなどのコンテンツが含まれます。このサービスを停止または無効にすると、このデータを使用するアプリが正しく動作しなくなる可能性があります。 C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
UserDataSvc
_XXXXX
User Data Access
_XXXXX
構造化されたユーザー データへのアクセスをアプリに提供します。ユーザー データには、連絡先情報、予定表、メッセージなどのコンテンツが含まれます。このサービスを停止または無効にすると、このデータを使用するアプリが正しく動作しなくなる可能性があります。 C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
WpnUserService
_XXXXX
Windows プッシュ通知ユーザー
サービス_XXXXX
このサービスは、ローカル通知とプッシュ通知をサポートする Windows 通知プラットフォームをホストします。タイル通知、トースト通知、直接通知がサポートされています。 C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
表1 Windows 10に追加された謎のサービス。機能更新のたびに増えている

 「タスクマネージャー」(Taskmgr.exe)の「プロセス」タブでは、「サービス ホスト:Unistack サービス グループ」として表示されます。これらのサービスは「svchost.exe」(Windowsサービスのホストプロセス)によって、「UnistackSvcGroup」というサービスグループ名でホストされます。

 サービスグループの登録は、「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost」キーに「REG_MULTI_SZ」(複数行文字列)値として定義されています(画面2)。先日リリースされたWindows 10 Creators Update(バージョン1703)については、UnistackSvcGroupサービスグループに含まれる項目は変わっていませんでした。2017年初めの時点のInsider Previewビルドでは、UnistackSvcGroupのメンバーに増減はありませんでしたが、新たに「DevicesFlowUserSvc_XXXXX」という名前のサービスを含む「DevicesFlow」グループが追加されていました。

画面2 画面2 サービスグループは、レジストリの「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost」キーに登録されている。画面は、Windows 10 Anniversary Update(バージョン1607)の場合

従来のWindowsサービスとは異なる特徴

 この謎のサービス群は、従来のWindowsサービスとは異なる幾つかの特徴を備えています。その特徴には、マルウェアやスパイウェアを想像させるものもあります。例えば、サービス名/表示名に付加されたランダムな文字列は、マルウェアが正規のWindowsサービスを装っているように見えるかもしれません。

 サービス名をインターネットで検索すると、怪しげなツールやコンポーネントのダウンロードサイトへのリンクが表示されたり、マイクロソフト自身がデータ収集のために組み込んだスパイウェア的なものであると主張する投稿が出てきたりします。

 さらに不審さを増すものとして、マイクロソフトの公式情報が1つも検索結果に引っ掛からないことがあります。このサービス群がマルウェアの類いではなく、Windowsの正規コンポーネントであることは先に指摘しておきます。

 また、マイクロソフトがデータ収集の目的で使用しているものであるという“うわさ”については、その真偽について筆者は興味ありません。Windows 10を使用しているということは、プライバシーデータを含む情報がマイクロソフトに送信されることに同意しているということです。データ収集に同意できないなら、Windows 10を使用しなければいいのです。

 この謎のサービス群の目的や用途について、マイクロソフトから公開されている情報はないため(少なくとも筆者は見つけられませんでした)、前出の表1のサービスの説明以上のことは分かりません。「ユニバーサルWindowsプラットフォーム(Universal Windows Platform:UWP)アプリ」(ストアアプリ、モダンアプリとも呼ばれます)に対して、ユーザーデータの同期、メッセージング、検索、保存、通知に関係する機能を提供しているようです。任意のUWPアプリを開始すると、必要に応じて謎のサービス群が開始状態になることを確認できます。

 謎のサービスが追加されたことに、Windows 10 Anniversary Update(バージョン1607)で初めて気が付いたという人も多いのではないでしょうか。「CDPUserSvc_XXXXX」は、Windows 10 Anniversary Updateで追加されたサービスで、説明には「<説明を読み取れませんでした。エラー コード: 15100 >」と表示されます。このことから、マルウェア作成者が説明を作成するのが面倒だったのではと勘繰る人もいそうです。

 しかし、説明が表示されない理由は、恐らくWindows 10のバグでしょう。サービスを登録しているレジストリのDescription値「@%SystemRoot%\system32\cdpusersvc.dll,-101」に対応する、多言語リソースのMUI(Multilingual User Interface)ファイルが「%SystemRoot%\system32\言語名(ja-jpなど)\cdpusersvc.dll.mui」に本来あるべきなのですが、日本語版にも英語版にもこのファイルが存在しないのです。なお、先日、リリースされたWindows 10 Creators Updateでは、サービスの表示名が「Connected Devices Platform ユーザー サービス_XXXXX」、説明が「このユーザー サービスは、Connected Devices Platform のシナリオに使用されます」となっていました。

 Windows 10 Anniversary Update(バージョン1607)で初めて気が付いた人が多いという理由は、もう1つあります。Windows 10 November Update(バージョン1511)までは、これらのサービスは「タスクマネージャー」(「プロセス」タブおよび「サービス」タブ)には表示されるものの、管理ツールの「サービス」スナップイン(Services.msc)には表示されませんでした(画面3)。

画面3 画面3 Windows 10 November Update(バージョン1511)以前のWindows 10の場合、「タスクマネージャー」で確認できるサービスが、「サービス」スナップイン(Services.msc)には表示されない
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。