11種類のマルウェアに見える正当なWindowsプロセス

Windowsプロセスは、PCやラップトップが正常に動作する上で重要な役割を果たしています。csrss.exeやwinlogon.exeのように、非常に重要なものもあり、誤ってそれらを終了するとデバイスがクラッシュしてしまう可能性があります。マルウェアの作成者は、このような重要性を利用して正常なWindowsシステムに感染させます。ウイルス、アドウェア、スパイウェア、トロイの木馬などは、何にでもラベルを貼ることができ、標準のWindowsシステムプロセスにちなんで命名されることもあります。

以下は、しばしばその名前からマルウェアと混同されるWindows 11および10の主要なプロセスのいくつかです。これらのプロセスがシステムに表示された場合、偽物を見分ける方法を学びましょう。

目次

• 正当なWindowsプロセスかどうかの確認方法
• 1. Explorer.exe
• 2. lsass.exe
• 3. RuntimeBroker.exe
• 4. Winlogon.exe
• 5. Svchost.exe
• 6. OfficeClickToRun.exe
• 7. igfxem.exe
• 8. Csrss.exe
• 9. GoogleCrashHandler.exe
• 10. Spoolsv.exe
• 11. タスクマネージャー
• まとめ: Windowsプロセスに似たマルウェアの警告サイン
• よくある質問

関連記事: WindowsでFAT32でドライブをフォーマットする方法

正当なWindowsプロセスかどうかの確認方法

Windowsプロセスが正当かマルウェアのソースかを確認する方法は2つあります: アプリケーションのプロパティを通じて確認する方法と、CrowdStrikeのCrowdInspectのような外部ツールを使用する方法です。

1. プロパティを通じてWindowsプロセスの正当性を確認する

すべての正当なWindowsプロセスファイルは、Microsoft Corporation、公式のプログラム/アプリ開発者、またはTrustedInstaller.exeなどの組み込みMicrosoftアカウントに接続されています。これはWindowsAppsのようなフォルダーを管理します。

Windows 11または10のプロセスが正当であり、マルウェアのソースでないかを判断するには、そのアプリケーションプロパティの詳細を確認する必要があります。“詳細”タブに移動し、そのプロセスの正式な著作権所有者を見つけてください。もしそれがMicrosoft、アプリ開発者、またはTrustedInstallerであれば、問題ありません。

また、Windows 11/10では、プロセスのプロパティの“デジタル署名”タブを確認することもできます。ここには、公式のデジタル署名が最新のタイムスタンプと共に表示され、さらなる安心感を与えます。

これらのプロセスのドライバに署名するには標準のMicrosoft権限が必要であり（さらに、デバイスのルートへの不正アクセスはUEFIセキュアブートによって防止されています）、現在はマルウェア作成者がWindows 11のデジタル署名を偽装することは不可能です。

一般的なプロセスから、“services.exe”や“svchost.exe”のような非常に重要なものまで、すべてのWindows 11プロセスにはタイムスタンプ付きのデジタル署名があります。Windowsの各成功した更新ごとに、この認証が再確認されます。

一方で、Windows 10のプロセスプロパティにはデジタル署名タブが全く存在しない場合があります。また、一部のプロセスは著作権情報が正しく表示されないこともあります。

しかし、Windows 10でも、Winlogon.exeのようなミッションクリティカルな内部システムプロセスは必ずこの情報を表示します。他の手段でソフトウェアの真実性を確認することができます。また、Windows 10または11で署名されていないドライバをインストールすると、以降の再起動時にデジタル署名は表示されません。

関連記事: マルウェアに見える正当なWindowsプロセス11種類

2. CrowdInspectを使用したWindowsプロセスの正当性の確認

Windows 10および11の双方で、外部のソフトウェアアプリケーションでプロセスファイルの真実性を確認することができます: CrowdStrikeのCrowdInspectです。CrowdInspectは、VirusTotalなどの検出エンジンを使用してバックグラウンドのマルウェアをスキャンする無料のホストベースのリアルタイムプロセス検査ツールです。

1. 公式リンクからCrowdInspectのZIPファイルをダウンロードし、解凍したプログラムをクリックして起動します。何もインストールする必要はありません。
2. 利用規約に同意して、Windowsデバイスのすべてのバックグラウンドプロセスのハイブリッド分析を行う画面に進みます。組み込みのAPIキーを使用して“OK”をクリックします。

1. CrowdInspectがウィンドウにWindowsデバイス上のすべてのバックグラウンドプログラムとプロセスを表示するのを待ちます。

プログラムの状態を色のシンボルで確認できます。クリーンなアイテムは緑のアイコンで表示されます。疑わしい場合は、そのアイコンの隣に疑問符が表示されます。低リスク脅威のあるアイテムは黄色のアイコンで表示され、高リスク脅威のあるアイテムは赤のアイコンで表示されます。デバイスが健全な場合、黄色や赤のアイコンを見ることはありません。

1. マルウェアの懸念がないことをさらに確認するため、プロセスを右クリックし、“HAテスト結果を表示”をクリックします。エラーが見られない場合、それはマルウェアが存在しないことを示す安全な兆候です。

関連記事: Windowsのシャットダウンと起動をスケジュールする方法

マルウェアに似た一般的なWindows 11/10プロセスの一覧

1. Explorer.exe

一般的なWindowsファイルエクスプローラプログラムであるexplorer.exeは、タスクバーやデスクトップから簡単にアクセスできます。主な目的は、Windows 11/10デバイスのすべてのファイルやフォルダのファイルマネージャーとして機能することです。その重要性のため、explorer.exeプログラムは攻撃者の好きな標的となります。

ウイルス 検出: explorer.exeのマルウェアは通常、トロイの木馬やランサムウェア（特にメール）、Adobe Flashファイルとして現れます。正当なプログラムは常に“C:\Windows”にあり、複製はDドライブ、プログラムファイル、隠しフォルダ、その他のPCの場所に現れることがあります。

対応策: デバイスに2〜3のexplorer.exeインスタンスがあっても、それらすべてが有効なデジタル署名と場所を持っていれば心配はありません。複数のプロセスがCPUを消費している場合は、CrowdInspectで偽のものを特定し、右クリックして“プロセスを終了”します。

2. lsass.exe

lsass.exeはローカルセキュリティ認証局サブシステムサービスの略で、Windowsユーザー認証の背後で動作します。マルウェアとは異なり、元のプロセスを終了させると、Adminおよびローカルアカウントへのアクセスを失い、デバイスの再起動を促されることになります。

ウイルス 検出: lsassを偽装する一般的な方法は、小文字の“l”を大文字の“I”や“L”に置き換えることです。意図的なスペルミスに注意してください。また、“C:\Windows\System32”フォルダーの外にある無効なデジタル署名やファイルも明らかな手がかりです。

対応策: タスクマネージャーから偽のlsassプロセスを終了してください。“l”か“i”か不明な場合は、CrowdInspectから同様の行動を取ります。複数の正当なlsassのインスタンスは問題ありませんが、触れないでください。

3. RuntimeBroker.exe

RuntimeBroker.exeは安全なMicrosoftプロセスで、Microsoft Storeからダウンロードされたアプリの権限を管理する役割を担います。フォトアプリなどのプログラムの真実性を確認します。アプリがWindowsデバイスに存在しない場合、Runtime Brokerは大量のメモリを消費して警告します。

ウイルス検出: WindowsデバイスがRuntimeBroker.exeウイルスに感染している場合、“C:\Windows\System32”以外のPCの他の場所にそのPresenceが見られます。プログラムが正当でない場合、メモリリークは急増し、CPUに過剰な負担がかかります。また、偽のインスタンスには無効なデジタル署名が見られます。

対応策: タスクマネージャーを開き、複数の有効なRuntime Brokerインスタンスをクリックして“タスクの終了”をクリックします。これにより対象のアプリに関連する問題が解決します。偽のRuntimeBroker.exeエントリはCrowdInspectから終了してください。

4. Winlogon.exe

Windowsのバックグラウンドプロセスについて言えば、最も重要なものはwinlogon.exeです。このプロセスはログインプロセスを管理するだけでなく、ユーザープロファイルを読み込み、スクリーンセーバーを制御し、複数のネットワークに接続します。これは“C:\Windows\System32”にあります。

ウイルス検出: 通常、スパイウェアやキーロガーツールであるwinlogon.exeは非常に危険なマルウェアで、システムのクラッシュを引き起こす可能性があるため、簡単に認識できます。Windows Defenderが動作している場合、このファイルを直ちに削除するよう警告します。

対応策: 安全なwinlogon.exeの実行ファイルはCrowdInspectで複数のインスタンスを持ってはいけません。他の偽のインスタンスはWindows Defenderの推奨に従って削除することが重要です。

5. Svchost.exe

Svchost.exeはWindowsの“サービスホスト”を指し、さまざまなWindowsサービスを読み込むためのシェルとして機能する共有サービスプロセスです。オープンアプリケーションの数に応じて、通常は多数のsvchost.exeインスタンスが個別のプロセスとして実行されています。

ウイルス検出: svchost.exeマルウェアのエピソードは、複製のプロセスや、“svhosts.exe”のようなスペル変種によって保護されたフォルダやプログラムがブロックされた場合に見つかります。これらは主にランサムウェアや銀行詐欺ツールであり、PDFファイル、ZIPファイル、JavaScriptなどが発信元として存在します。

対応策: これらのトロイの木馬は通常低レベルの脅威ですが、できるだけ早く削除すべきです。標準のウイルス対策ツールとWindows Defenderが、“C:\Windows\System32”に存在しないサービスホストのインスタンスを削除するために適しています。

関連記事: 最新のWindowsアップデートの問題とその修正方法

6. OfficeClickToRun.exe

Office関連のツール（Word、Excel、PowerPointなど）を使用している場合、OfficeClickToRun.exeと呼ばれる実行ファイルに遭遇したことがあるでしょう。このプログラムは、デバイス上で最新のMicrosoft Officeバージョンを実行し、更新を処理する役割のものです。マルウェアではない場合でも、OfficeClickToRun.exeはCPUに対してメモリを大量に使用することがあります。しかし、一時ファイルを定期的に削除すれば、大きな負担ではなくなります。

ウイルス検出: 実行可能ファイルがMicrosoft SharedフォルダのProgram Files以外の場所に存在する場合、その余分なファイルはシステムに対して健康ではありません。また、Windowsデバイスには、OfficeClickToRun.exeの稼働インスタンスが1つだけであるべきです。これ以外のデジタル署名を確認してください。

対応策: 自体が有害ではありませんが、偽のOfficeClickToRun.exeインスタンスはシステムメモリを圧迫する場合があります。それらは感染したファイルや文書経由で発生することが多く、迅速に削除すべきです。

7. igfxem.exe

igfxEM.exeはあまり知られていないバックグラウンドプロセスで、Intel Graphicsカードの管理に重要な役割を果たします。そのため、ビデオカードディスプレイにとって非常に重要です。デバイスにプリインストールされており、システムの負担をかけないのでそのままにしておくべきです。

ウイルス検出: igfxEMのインスタンスが複数あり（およびそのスペル誤り）、デジタル署名を確認してください。IntelおよびMicrosoftが表示されている場合、マルウェアは存在しません。それ以外の場合は、本物のigfxEMファイルではないため、そのプロセスを削除する必要があります。

対応策: 有効なデジタル署名がある場合には何のアクションも取るべきではなく、複数のIntelインスタンスがあっても問題ありません。元のIntel Graphicsカードが破損しているようであれば、スタートメニューの“devmgmt.msc”でドライバを再インストールしてみてください。

8. Csrss.exe

Csrss.exeはClient Server Runtime Subsystemの略で、Windows Graphics活動を管理するために意図された正当なユーザープロセスです（GUIシャットダウンやシステムコンソールサービスなど）。マルウェアと非常によく間違えられます。これを終了すると、システムがクラッシュする確実な致命的な結果を招くことがあります。

ウイルス検出: “C:\Windows\System32”にある他のプログラムと同様に、csrss.exeはバックグラウンドで静かに存在し、CrowdInspectで1、2のインスタンスしか見つからないでしょう。疑わしいファイルは無効なデジタル署名や著作権詳細が欠如しています。

対応策: csrss.exeは、不正投資プログラムを装ったりテクニカルスキャマーが偽装材料として利用したりすることがよくあります。これは本物のマルウェアではないため、テクニカルアドバイスの誤りから退出することなく、存在するプロセスを終了してはいけません。

関連記事: WindowsにDirectXを再インストールする方法

9. GoogleCrashHandler.exe

WindowsデバイスにGoogleプログラム（Google Chromeを含む）をインストールしている場合、GoogleCrashHandler.exeという実行可能ファイルが見つかります。これはGoogleアップデータパッケージの一部です。これは重要なWindowsコンポーネントではなく、安全に削除できるものですが、必ずしもマルウェアではありません。

ウイルス検出: Google CrashHandler.exeのデジタル署名が無効であれば、Googleによって署名されていない場合、スパイウェアやルートキット感染の兆候が見られます。通常のプロセスは安全です。

対応策: GoogleCrashHandler.exeのインスタンスを、必ずしもマルウェアではない場合でも、タスクマネージャーから削除します。無駄にCPUに負担をかけたくない場合は、Googleに崩れた報告を送信したくない場合は、これを削除します。

10. Spoolsv.exe

Spoolsv.exeは、印刷スプーラーサービスに統合された正当なWindowsプロセスで、フォントやグラフィックをプリンタハードウェアや仮想プリンタに変換します。これはMS-DOSの開始から存在するコアWindowsプロセスです。有効なspoolsv.exeプロセスのエントリを終了すると、マシン障害やシステム再起動につながります。

ウイルス検出: マルウェアに似ていることがあっても、spoolsv.exeは安全な正当なWindowsプロセスです。追加のプロセスにはMicrosoftからのデジタル署名が欠如しています。マルウェア作成者が同じ名前を使用してシステムをターゲットにする場合、Windows Defenderが警告します。

対応策: spoolsv.exeプロセスがMicrosoftのデジタル署名で確認されている場合、アクションを取る必要はありません。それ以外の場合は、タスクマネージャーに行ってプロセスを終了します。

11. タスクマネージャー

Windowsタスクマネージャー（taskmgr.exe）は、すべての基幹Windowsプロセス及びアプリケーションを制御する非常に重要なプログラムです。この重要なプログラムやその派生物（例：taskhostw.exe）をシャットダウンすると、システムに致命的な影響を与える可能性があるため、マルウェア作成者はこれに気づいています。

ウイルス検出: タスクマネージャに関連するプログラムが正常に機能していないと感じた場合、そのファイルの場所を確認してください。それは“C:\Windows\System32”にあるべきです。デバイスを再起動して問題が解決したか確認してください。疑わしいタスクマネージャーインスタンスが続く場合は、マルウェアの可能性があります。もう一つのサインは、無効なデジタル署名です。

対応策: マルウェアに感染した“タスクマネージャー”のような実行可能ファイルを特定して終了できます。しかし、Windows 10でTaskSchedulerHelper.dllエラーが発生した場合は、表示された手順に従って修正を行ってください。

まとめ: Windowsプロセスに似たマルウェアの警告サイン

標準のWindowsシステムプロセスに似た疑わしいプロセスの扱い方の概要を示します。マルウェアに関与しているかどうかわからない場合でも、これらの警告サインに注意を払うことが重要です。

• 正しい著作権のためにアプリケーションプロパティ詳細を確認する: Windows 11および10のすべてのプログラムにはファイルの場所があります。従って、プロパティタブの“詳細”にアクセスできます。著作権がWindows、TrustedInstaller、またはGoogle、Intel、NVIDIAなどの正当なプロセス所有者に帰属していることを確認してください。そうでなければ、それはマルウェアの潜在的なソースである可能性があり、システムから削除する必要があります。
• WindowsプロセスプログラムのCPU使用率を確認する: WindowsのCPU使用率が複数のシステムが同時に動作している場合に急上昇するのは正常です。しかし、同じプログラムの複数のインスタンスがシステムを遅くするときは、懸念すべき事態です。不要なプログラムは特定して直ちにシャットダウンすべきです。
• 疑わしいWindowsプロセスに対するデジタル署名を確認する: これはプロセスの真実性を確認する最も重要で簡単な方法です。プロセスのデジタル署名が無効で、信頼できるソースからの場合、マルウェアである可能性が高いです。
• 疑わしいプロセスのファイルの場所を確認する: 大部分のWindowsファイルプロセスにはPC上の明確な場所があります。“C:\Windows\System32”、Program Files、または他の定義された場所であるべきです。このプロセスのインスタンスがDドライブなど他のエリアで見つかることはないはずです。これはマルウェアの可能性を示しています。

関連記事: WindowsにOpenVPNを設定する方法

よくある質問

1. あるWindowsプロセスが実際に有害な場合、何をすべきか？

正当なWindowsプロセスがシステムに害を及ぼすことはありません。しかし、マルウェアを含むそのようなプロセスの重複インスタンスがある場合は、CrowdInspectにアクセスし、そのプロセスを右クリックして“プロセスを終了”を選択します。Windows Defenderが有効になっている場合、そのようなマルウェアインスタンスに対処します。また、Windows Defenderが必要な唯一のウイルス対策である理由についても読んでください。

2. 正当なWindowsプロセスを終了させた場合、どうなるか、またどのように回復すれば良いか？

正当なWindowsプロセスを誤って終了させた場合、その影響はプロセスの重要性に依存します。非重要なソフトウェアプロセスであれば、Windowsデバイスには影響がありません。

winlogon.exeやcsrss.exeなどの高影響プロセスについては、Windowsに誤って終了を防ぐための組み込まれたメカニズムがあります。しかし、もしそれでもタスクマネージャからシステムを終了させようとする場合、デバイスが自動的にオフになり、再起動が必要になります。最悪のケースでは、完全なブラックアウトとクラッシュによる永続的な損傷を引き起こす可能性があります。

スケジュールされたWindowsの運用やメンテナンスに不可欠な低影響プロセスの場合、システムは重大な失敗を報告し、自動的にシャットダウンします。再起動後に問題は解決されます。