変なアイコン、変な名前だからって、マルウェアだと決め付けないで！：その知識、ホントに正しい？ Windowsにまつわる都市伝説（141）

Windows 10をシャットダウンや再起動する際に、「Elara このアプリがシャットダウン（再起動）を妨げています」というメッセージ画面を目にしたことがあるでしょうか。少し古めのノートPCをお使いなら見たことがあるかもしれません。見たことのないアイコンとアプリ名にギョッとするかもしれませんが、心配はありません。

[山市良，テクニカルライター]

Windowsにまつわる都市伝説

シャットダウンや再起動時に目にした謎アプリ実行の痕跡

　「Elara このアプリがシャットダウン（または再起動）を妨げています」というメッセージは、筆者のデル製ノートPCの少し古いモデル（Windows 8プリインストールモデル）をWindows 10にアップグレードしてから、片手で数えるほどですが、何度か目にしたことがあります。いつも一瞬で消えてしまうので正確なメッセージは記憶頼りだったのですが、最近、ついにスクリーンショットを撮ることに成功しました（画面1）。

画面1　シャットダウンや再起動時に表示された謎アプリの存在

　筆者はシャットダウンや再起動を妨げていたこの“謎アプリ”の正体を、初めて目にしたときに調べて知っていたので特に気にしていなかったのですが、先日、久しぶりにこの旧友に遭遇したので今回の記事を書くことにしました。

　結論から言うと、このアプリの正体は、タッチパッドを備えた少し古いモデルのノートPCにインストールされている「タッチパッドのデバイスドライバ」に含まれるコンポーネントの1つです。

謎アプリの捜索の鍵はそのポップなアイコン

　正体を知ってしまえば何ということもないのですが、知らないと気持ち悪いものです。インターネットを検索すれば、これが「タッチパッド関連のアプリ」であるという正しい情報も見つかりますが、マルウェアを疑わせる情報や、マルウェアの警告や駆除を行うという怪しげなサイトも多数見つかります。Windowsのユーザーフォーラムでは、マルウェアと信じてOSの再インストールまでしてしまったユーザーもいるようです（プラグ＆プレイドライバの一部なのでOSを再インストールしたとしても状況は変わりません）。

　しかも、タッチパッドを全く連想させない「人参のようなポップなアイコン」と、“ありゃりゃ（Oh la la）”に似た「Elara」というアプリ名は、これを初めて目にしたユーザーをドキッとさせるでしょう。何らかのマルウェアがひっそりと活動していて、シャットダウンや再起動時にその痕跡を一瞬見せたように思わせるかもしれません。

　再起動後にエクスプローラーで「Elara.exe」というファイルを探しても見つかることはありませんし、「Elara.dll」「Elara.sys」といった「Elara」で始まるファイルも存在しません。レジストリを検索しても何も見つからないでしょう。ウイルスチェックを実行しても何も検出されないので、シャットダウンや再起動時に役目を終えて痕跡を残さず自らを消し去ったのだと怖い想像を膨らませてしまうかもしれません。

　「Elara」で始まるファイルが見つからないとなると、残る鍵はあの“ポップなアイコン”です。謎のアプリの正体は「タスクマネージャー」やWindows Sysinternalsの「Process Explorer」を起動するとすぐに見つかりました（画面2）。

画面2　タスクマネージャーを詳細表示で開くと、謎のアイコンと同じアイコンを持つ「ApntEx.exe」プロセスがすぐに見つかった

　ファイル名は「ApntEx.exe」、ファイルの説明は「Alps Pointing-device Driver for Windows NT/2000/XP/Vista」で、「C:\Program Files\DellTPad」ディレクトリに存在します。

　他にも2つ「Alps Pointing-device Driver」のプロセス（Apoint.exeとhidfind.exe）が存在しますが、これらはプログラム名「Dell Tachpad」として、Windows 10の「C:\Program Files\DellTPad」ディレクトリに自動的にインストールされたタッチパッドドライバのコンポーネントです。インストールされているかどうかは「デバイスマネージャー」の「マウスとその他のポインティングデバイス」ノードに、「Dell Touchpad」があるかどうかで確認できます（画面3）。

画面3　謎のアプリと同じアイコンを持つ「ApntEx.exe」は、「Dell Touchpad」ドライバのコンポーネントの1つ

　コントロールパネルの「プログラムのアンインストールまたは変更」でも「Dell Touchpad」がインストールされていることを確認できます。このドライバの上位フィルターとなるシステムドライバ（カーネルドライバ）は「ApfiltrService（Alps Touch Pad Filter Driver for Windows x64）」で、これは「システム情報」（Msinfo32.exe）の「ソフトウェア環境」→「システムドライバー」や「レジストリエディター」の「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ApfiltrService」で確認できます。

　この「Dell Touchpad」ドライバをアンインストールすると「デバイスマネージャー」には「PS/2互換マウス」と表示され、タッチパッドの機能が利用できなくなります。「ドライバーの更新」を実行すればWindows Updateから再びドライバがダウンロードされて、インストールされます。このタッチパッドデバイスを利用している限り、葬り去ることはできないということです。

　なお、このドライバに対応するタッチパッドは、デル純正のものではなく、Alps Electric（アルプス電気、現在のアルプスアルパイン）製なので、別のメーカーのノートPCにも別のプログラム名で別のパスにインストールされているかもしれません。最近の購入したWindows 10プリインストールのデルのノートPCには、このドライバは存在せず、Windows 10標準の「HID準拠タッチパッド」ドライバが使用されていました（画面4）。

画面4　最近購入したデルのノートPCのタッチパッドは、Windows 10標準のドライバで動作していた

「Elara」と名乗る謎

　ところで、シャットダウンや再起動を阻んでいるアプリとしてなぜこの「ApntEx.exe」がリストされるのかは不明です。何らかのタイミングの関係でしょう。Windows Updateを完了させるために再起動したときに、シャットダウンや再起動を阻んでいるアプリとして「Windows Update」がリストされた場面に遭遇したこともあります。そのときは“お前が言うな”と思わず言いたくなりました。

　1つ問題が残っています。それは「ApntEx.exe」が「Elara」と名乗る理由です。Windows Sysinternalsの「Strings」ユーティリティーで「C:\Program Files\DellTPad」ディレクトリ下のバイナリに含まれる文字列を抽出して検索してみたところ、「ApntEx.exe」を含む複数のバイナリから「Elara」（エラーラ）という文字列が見つかりました。

　そして「Europa」（エウロパ）という文字列も見つかりました。どちらも、木星の衛星の名前であり、ギリシャ神話の登場人物でもあります。コードネーム（開発コード名）か何かなのかもしれません（画面5）。

画面5　ドライバの複数のバイナリファイルに「Elara」の文字列を発見

　いずれにしろ、幾つかのバイナリファイルに「Elara」の文字列は含まれますが、ファイルのバージョン情報（Windows PowerShellで「get-item apntex.exe|select *」を実行して確認可能）に含まれる情報ではありませんし、上位フィルターの登録名や表示名でもありません。なぜ、シャットダウンや再起動の際に「Elara」が表示されるのか謎は残りますが、関連性があることは証明されました。

　もう1つ謎が残っていました。他の実行可能ファイル（.exe）には適切なアイコンが採用されているのに、「ApntEx.exe」にだけ「人参」のように見えるアイコンが採用された理由です。

　こちらも調べていくと、ギリシャ神話にたどり着きました。さまざまな人参の学名に共通で含まれる「Panax」は、ギリシャ神話に登場する癒やしの女神「Panacea」（パナケイア）に由来するものであり、「万能薬」という意味もあるそうです。

　だからといって、人参アイコンの理由にはなっていませんし、そもそも人参ではないのかもしれません。1ついえることがあるとすれば、ちゃんとタッチパッドを連想させるアイコンで、本名（ファイル名）をそのまま名乗ってくれさえすれば、誰もマルウェアとは思わなかったということでした。

　今回はさほど活躍しませんでしたが、Windows Sysinternalsの「Process Explorer（Procexp）」「Process Monitor（Procmon）」「Autoruns」「Sigcheck」「Strings」といったツールを使うと、謎のプロセスの起動方法や挙動を調べたり（Autoruns、Procexp、Procmon）、「VirusTotal」によるマルウェア検査（Procexp、Autoruns、Sigcheck）を実施して疑いを解消したりできます。

　また、本物のマルウェアの場合は、プロセスの一時停止や停止（Procexp）、駆除（Autoruns）で影響を最小化できる場合があります。Windows Sysinternalsのユーティリティーは、以下のサイトから無料で入手できます。

• Windows Sysinternals［英語］（Microsoft Docs）

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2019-2020）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。