一瞬で消え去る怪しいウィンドウ、「ウソクライアント(usoclient.exe)」のホントの仕事は?:その知識、ホントに正しい? Windowsにまつわる都市伝説(61)(1/2 ページ)
今回は「Windows 10版スカイフィッシュ」のお話です。Windows 10を使用中、「C:\Windows\System32\usoclient.exe」と書かれたウィンドウが一瞬表示されるのを目撃したことはありませんか。この不思議な現象は何でしょうか。また、怪しげな名前の実行ファイル「usoclient.exe」の正体は……。それでは、調査報告といきましょう。
Windows 10版スカイフィッシュ「usoclient.exe」はマルウェア?
Windows 10を使っていると、まれにタイトルバーに「C:\WINDOWS\system32\usoclient.exe」と書かれたコマンドプロンプトウィンドウが出現し、一瞬で消えることがあります(画面1)。
筆者は1年近くWindows 10を使っていますが、複数のPCで何度もこの「usoclient.exe」を目撃しています。本当に一瞬なので、鮮明に画像をキャプチャーすることはまだできていません。その昔、オカルト系の雑誌やテレビを騒がせた「スカイフィッシュ(Sky Fish)」のようです。
管理者必携ツール、SysinternalsのAutorunsで調査開始
Windows 10の「C:\Windows\System32」フォルダには、確かに「usoclient.exe」が存在します。しかし、ファイルのプロパティを見ても、このファイルの目的が何なのか、ヒントになるようなものはありません。プロパティで確認できるファイルの説明は「UsoClient」になっています。このファイルは、Windows 8.1以前には存在しません。
これは日本人だけかもしれませんが、「ウソクライアント」とも読める「usoclient.exe」は、いかにも怪しく見えます。一瞬で消えるその挙動から“マルウェアの類いでは?”と疑う人もいるかもしれません。結論から言いましょう。安心してください。「usoclient.exe」は、Windows 10に含まれる“正規のシステムファイルの1つ”です。
本連載第8回では、Windows 7以降に存在する怪しげなスクリプトファイル「C:\Windows\system32\GatherNetworkInfo.vbs」がマルウェアでないことを確認するために、「Windows Sysinternals」の「Autoruns」を利用しました。
- System32に潜むGatherNetworkInfo.vbsの謎を追え!(本連載 第8回)
- Autoruns for Windows(Windows Sysinternals)
Windows SysinternalsのAutorunsは、Windowsの起動問題やマルウェアの疑いのあるファイルの調査、解決に役立つ便利なツールです。Windowsに存在する「自動開始ポイント」を検索し、不審なエントリーを一時的に無効にしたり、削除したり、コード署名を確認したりすることができます。最新版のAutorunsには「VirusTotal」を利用した、複数エンジンによるウイルス検査機能も搭載されています。
Autorunsで「Options」メニューの「Hide Windows Entries」をオフに設定し、フィルター条件に「uso」を指定して検索してみると、「タスクスケジューラ」に登録されているタスクに「usoclient.exe」が設定されていることがヒットしました。
コード署名の検証結果(x64環境では「not verified」になりますが、GUI版のAutoruns側の不具合であり、「usoclient.exe」の署名に問題があるわけではありません)も、VirusTotalのウイルス検査結果も問題ありません(画面2)。また、「usoclient.exe」と“対”になっていると予想されるサービス名「UsoSvc」も見つかりました。
画面2 タスクスケジューラに「usoclient.exe」の登録を発見。コード署名の確認結果(verified)と、VirusTotalによるウイルス検査結果(検出0)は問題なし。Windows 10の正規のシステムファイルなので当然の結果
Copyright © ITmedia, Inc. All Rights Reserved.