画像提供:マイナビニュース

写真拡大

Windows 10で稼働するプロセスに目をとおし、そのプロセスが意図するものなのか、それともマルウェアなどが呼び出したプログラムなのか、判断する術を身に付けておきたいもの。今回は、タスクマネージャーでコマンドライン情報を表示する手順と、必要性を紹介する。

○「タスクマネージャー」にコマンドライン情報を追加

Windows Defenderセキュリティセンターを備えるWindows 10は、以前のOSほどセキュリティ対策を意識する必要はなくなった。しかし、何らかの理由で不要なプログラムが侵入する可能性は拭い切れない。日頃からWindows 10で稼働するプロセスに目をとおし、そのプロセスが意図するものなのか、それともマルウェアなどが呼び出したプログラムなのか、判断する術を身に付けておくと安全だ(なかなか難しいことを承知で述べるが……)

ただ、タスクマネージャーの詳細タブ、「名前」項目に並ぶアイコンや文字列だけでは、判断しづらい。そこで「コマンドライン」を列に追加しておくとよいだろう。

今回は、PCとiPhoneの接続に用いる「AppleMobileDeviceService.exe」を例に手順を紹介している。先の操作で、実行時のパスが「C:\Program Files\Common Files\Apple\Mobile Device Support」であることが分かる。

この操作が必要な理由だが、著名なアプリケーションを模倣したファイル名を用いて、プライバシー情報の収集や他PCへ攻撃を加えるマルウェアが存在するからだ。筆者が遭遇したマルウェアの中には、ファイルを容易に削除させないため、タスクスケジューラーで一定時間後に実行ファイルを生成するものもあった。

マルウェアは利用者を欺く行動を起こすため、本当の実行ファイル名やパスといった情報を得られる環境を普段から用意すべきだろう。個人的には、Windows Sysinternals製「Process Explorer」の利用をお薦めしたい。作者のMark Russinovich氏は、既にMicrosoft CTO of Microsoft Azureを務める"中の人"だが、今現在もOSの進化に合わせてProcess Explorerはバージョンアップを重ねている。

阿久津良和(Cactus)