Net Applicationの報告によればWindowsが占めるOSシェアは全体の91%を超えて圧倒的な立場にある。広大なシェアを持ち、PCに詳しくないコンシューマユーザにも使用されているということから、もっとも多くセキュリティ脆弱性の攻撃対象となるOSでもある。大抵の場合はアンチウィルスソフトウェアを併用して使うことで、こうした未知の脅威からの攻撃に備えることになる。
しかしながらアンチウィルスソフトはそれほど軽い処理ではないため、PCの操作をもっさりとした感じにすることも多い。低スペックのPCであればなおさらだ。これを嫌ってアンチウィルスソフトを使わないユーザもいる。更新期限が切れた古いアンチウィルスソフトを使っていることもある。結局のところ、ユーザが今どのソフトウェアが動作しているのか把握できるようになることが、何かと手っ取り早い対策方法といえる。
そうした場合に使えるツールがIs that Windows Process Legitimate or a Virus? - Digital Inspirationで紹介されている。Process Explorerと呼ばれるツールで、Windowsに標準で搭載されているタスクマネージャをもっと拡張したようなアプリケーションだ。プロセスの詳しい情報を簡単にチェックできる。
Process Explorer実行例 |
Optionsメニューの「Verify Image Signatures」にチェックを入れてから、Viewメニューの「Select Columns...」を選択し「Verified Signer」にチェックを入れる。ベリファイ済みバイナリかどうかが表示されるようになる |
Process Explorerで表示したプロセス一覧をクリックすると、そのプロセスの詳細情報をチェックできる。記憶にないプロセスはここでどのベンダが開発したどのアプリケーションのものかをチェックできる。また、Optionsメニューの「Verify Image Signatures」にチェックを入れてから、Viewメニューの「Select Columns...」を選択し「Verified Signer」にチェックを入れと、ベリファイ済みかどうかを一覧に表示できるようになる。Microsoft製のプロセスでベリファイも通っているなら、Windowsで使われるシステム関連のプロセスということがわかる。
Process Explorerほど詳しくではないが、Windows 7とVistaのタスクマネージャではプログラムのパスを表示させることができる。表示メニューから「列の選択」をクリックし「イメージパス名」を選択すればいい。パスを見ればシステムのプロセスかあとからインストールしたプログラムかの区別を付けやすい。もちろんファイル名を偽装したり内容を書き換えられているとこれだけでは判断できないため、ベリファイのチェックやアンチウィルスソフトによる判定が必要になるが、必要最小限の知識として覚えておいて損はないだろう。