Windows 10で増殖する“謎サービス”の正体を追え!:その知識、ホントに正しい? Windowsにまつわる都市伝説(82)(1/2 ページ)
Windows 10になって、Windows 8.1以前には存在しなかった「CDPUsersvc_XXXXX」のように「_XXXXX(XXXXXはランダム)」で終わるサービス名のサービスが追加されたことに気が付いた人はいるでしょうか。“マルウェアやスパイウェアが入り込んだのでは”と不安に思った人も少なくないかもしれません。でも安心してください。謎は多いものの、Windows 10の正規のコンポーネントであることは確かです。
怪しげなサービス名と足りない説明……
Windows 10には「_XXXXX」(XXXXXはランダムな字数の英数字)で終わるサービス名/表示名のサービスが幾つか追加され、ログオンユーザーの権限で必要時に実行されるようになりました。
Windows 10初期リリース(便宜上のバージョン1507、以下同)では、「_Session#」(#は番号)というサービス名/表示名でした。この謎のサービス群は、Windows 10初期リリース(バージョン1507)では4つ、Windows 10 November Update(バージョン1511)では5つ、Windows 10 Anniversary Update(バージョン1607)では7つと、その数は機能更新(旧称、機能アップグレード)とともに増えてきました(画面1、表1)。
画面1 Unistackサービスグループ(UnistackSvcGroup)として「svchost.exe」により制御される謎のサービス群。画面は、Windows 10 Anniversary Update(バージョン1607)の場合
| サービス名 | 表示名 | 説明 | 実行ファイルのパス | 1507 | 1511 | 1607 |
|---|---|---|---|---|---|---|
| CDPUserSvc _XXXXX |
CDPUserSvc _XXXXX |
<説明を読み取れませんでした。エラー コード: 15100 > | C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup | − | − | ○ |
| MessagingService _XXXXX |
MessagingService _XXXXX |
テキスト メッセージと関連する機能をサポートしているサービスです。 | C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup | − | ○ | ○ |
| OneSyncSvc _XXXXX |
ホストの同期 _XXXXX |
このサービスはメール、連絡先、カレンダー、および他のさまざまなユーザー データを同期します。このサービスが実行中でないときは、メールと、この機能に依存する他のアプリケーションは正しく機能しません。 | C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup | ○ | ○ | ○ |
| PimIndexMaintenanceSvc _XXXXX |
Contact Data _XXXXX |
連絡先のインデックスを作成して、連絡先の検索を高速化します。このサービスを停止または無効にすると、連絡先が検索結果に含まれなくなる可能性があります。 | C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup | ○ | ○ | ○ |
| UnistoreSvc _XXXXX |
User Data Storage _XXXXX |
構造化されたユーザー データのストレージを処理します。ユーザー データには、連絡先情報、予定表、メッセージなどのコンテンツが含まれます。このサービスを停止または無効にすると、このデータを使用するアプリが正しく動作しなくなる可能性があります。 | C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup | ○ | ○ | ○ |
| UserDataSvc _XXXXX |
User Data Access _XXXXX |
構造化されたユーザー データへのアクセスをアプリに提供します。ユーザー データには、連絡先情報、予定表、メッセージなどのコンテンツが含まれます。このサービスを停止または無効にすると、このデータを使用するアプリが正しく動作しなくなる可能性があります。 | C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup | ○ | ○ | ○ |
| WpnUserService _XXXXX |
Windows プッシュ通知ユーザー サービス_XXXXX |
このサービスは、ローカル通知とプッシュ通知をサポートする Windows 通知プラットフォームをホストします。タイル通知、トースト通知、直接通知がサポートされています。 | C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup | − | − | ○ |
| 表1 Windows 10に追加された謎のサービス。機能更新のたびに増えている | ||||||
「タスクマネージャー」(Taskmgr.exe)の「プロセス」タブでは、「サービス ホスト:Unistack サービス グループ」として表示されます。これらのサービスは「svchost.exe」(Windowsサービスのホストプロセス)によって、「UnistackSvcGroup」というサービスグループ名でホストされます。
サービスグループの登録は、「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost」キーに「REG_MULTI_SZ」(複数行文字列)値として定義されています(画面2)。先日リリースされたWindows 10 Creators Update(バージョン1703)については、UnistackSvcGroupサービスグループに含まれる項目は変わっていませんでした。2017年初めの時点のInsider Previewビルドでは、UnistackSvcGroupのメンバーに増減はありませんでしたが、新たに「DevicesFlowUserSvc_XXXXX」という名前のサービスを含む「DevicesFlow」グループが追加されていました。
画面2 サービスグループは、レジストリの「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost」キーに登録されている。画面は、Windows 10 Anniversary Update(バージョン1607)の場合
従来のWindowsサービスとは異なる特徴
この謎のサービス群は、従来のWindowsサービスとは異なる幾つかの特徴を備えています。その特徴には、マルウェアやスパイウェアを想像させるものもあります。例えば、サービス名/表示名に付加されたランダムな文字列は、マルウェアが正規のWindowsサービスを装っているように見えるかもしれません。
サービス名をインターネットで検索すると、怪しげなツールやコンポーネントのダウンロードサイトへのリンクが表示されたり、マイクロソフト自身がデータ収集のために組み込んだスパイウェア的なものであると主張する投稿が出てきたりします。
さらに不審さを増すものとして、マイクロソフトの公式情報が1つも検索結果に引っ掛からないことがあります。このサービス群がマルウェアの類いではなく、Windowsの正規コンポーネントであることは先に指摘しておきます。
また、マイクロソフトがデータ収集の目的で使用しているものであるという“うわさ”については、その真偽について筆者は興味ありません。Windows 10を使用しているということは、プライバシーデータを含む情報がマイクロソフトに送信されることに同意しているということです。データ収集に同意できないなら、Windows 10を使用しなければいいのです。
- マイクロソフトソフトウェアライセンス条項|WINDOWSオペレーティングシステム(Microsoft License Teams)
この謎のサービス群の目的や用途について、マイクロソフトから公開されている情報はないため(少なくとも筆者は見つけられませんでした)、前出の表1のサービスの説明以上のことは分かりません。「ユニバーサルWindowsプラットフォーム(Universal Windows Platform:UWP)アプリ」(ストアアプリ、モダンアプリとも呼ばれます)に対して、ユーザーデータの同期、メッセージング、検索、保存、通知に関係する機能を提供しているようです。任意のUWPアプリを開始すると、必要に応じて謎のサービス群が開始状態になることを確認できます。
謎のサービスが追加されたことに、Windows 10 Anniversary Update(バージョン1607)で初めて気が付いたという人も多いのではないでしょうか。「CDPUserSvc_XXXXX」は、Windows 10 Anniversary Updateで追加されたサービスで、説明には「<説明を読み取れませんでした。エラー コード: 15100 >」と表示されます。このことから、マルウェア作成者が説明を作成するのが面倒だったのではと勘繰る人もいそうです。
しかし、説明が表示されない理由は、恐らくWindows 10のバグでしょう。サービスを登録しているレジストリのDescription値「@%SystemRoot%\system32\cdpusersvc.dll,-101」に対応する、多言語リソースのMUI(Multilingual User Interface)ファイルが「%SystemRoot%\system32\言語名(ja-jpなど)\cdpusersvc.dll.mui」に本来あるべきなのですが、日本語版にも英語版にもこのファイルが存在しないのです。なお、先日、リリースされたWindows 10 Creators Updateでは、サービスの表示名が「Connected Devices Platform ユーザー サービス_XXXXX」、説明が「このユーザー サービスは、Connected Devices Platform のシナリオに使用されます」となっていました。
Windows 10 Anniversary Update(バージョン1607)で初めて気が付いた人が多いという理由は、もう1つあります。Windows 10 November Update(バージョン1511)までは、これらのサービスは「タスクマネージャー」(「プロセス」タブおよび「サービス」タブ)には表示されるものの、管理ツールの「サービス」スナップイン(Services.msc)には表示されませんでした(画面3)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Windowsで起動時に自動実行される不要なプログラムを「見つける」方法
アプリケーションのインストールなどを繰り返していると、いつのまにかWindowsの起動時に自動実行されるプログラムが増殖する。これらを確認するには、Windows 2000なら[コンピュータの管理]を、Windows XPなら[システム情報]を使う。またWindows XPでは[システム構成ユーティリティ]で削除指定ができる。
Windowsのsvchost.exeプロセスとは? ―sc.exeでサービスをコマンドラインから制御する―
リッスンしているネットワーク・ポートを調べていると、svchost.exeというプロセスが所有者となっていることがよくある。svchost.exeは、ネットワーク関連の基本的なサービスを起動するための親となるプロセスであり、いくつかのグループに分けてサービスを起動している。scコマンドを使うと、サービスをコマンド・プロンプトから制御することができる。
Windows 10のWindows Updateサービスを停止しようと考えている方へ
Windows 10のWindows Updateは、以前のWindowsから大きく変わりました。Windows 10になってからも変更は続いています。半ば強制的なWindows Updateに対抗する最終手段は「Windows Updateサービス」の無効化ですが、どうしてもというなら、影響を知った上で一時的に無効化するのがよいでしょう。
Windows 10初期リリース(1507)のサービス終了のお知らせ
マイクロソフトは2017年4月12日(日本時間、以下同)、当初の予定通り、Windows Vista(Service Pack 2)に対する全ての製品サポートを終了しました。次にサポートが終了するのはWindows 7ですが、まだ3年もあると思っていませんか。それよりも前に、セキュリティ更新提供が終了するWindows 10があります。