| 「Windows 10ミニTips」は各回の作成時点で最新のWindows 10環境を使用しています。 |
|---|
Windows 10で稼働するプロセスに目をとおし、そのプロセスが意図するものなのか、それともマルウェアなどが呼び出したプログラムなのか、判断する術を身に付けておきたいもの。今回は、タスクマネージャーでコマンドライン情報を表示する手順と、必要性を紹介する。
「タスクマネージャー」にコマンドライン情報を追加
Windows Defenderセキュリティセンターを備えるWindows 10は、以前のOSほどセキュリティ対策を意識する必要はなくなった。しかし、何らかの理由で不要なプログラムが侵入する可能性は拭い切れない。日頃からWindows 10で稼働するプロセスに目をとおし、そのプロセスが意図するものなのか、それともマルウェアなどが呼び出したプログラムなのか、判断する術を身に付けておくと安全だ(なかなか難しいことを承知で述べるが……)
|
「Ctrl」+「Shift」+「ESC」キーを押すなどして「タスクマネージャー」を起動し、「詳細」タブで稼働中のプロセスを確認 |
ただ、タスクマネージャーの詳細タブ、「名前」項目に並ぶアイコンや文字列だけでは、判断しづらい。そこで「コマンドライン」を列に追加しておくとよいだろう。
|
列の部分を右クリック/長押しし、「列の選択」をクリック/タップ |
|
「コマンドライン」→「OK」ボタンと順にクリック/タップして、同項目にチェックを入れる |
今回は、PCとiPhoneの接続に用いる「AppleMobileDeviceService.exe」を例に手順を紹介している。先の操作で、実行時のパスが「C:\Program Files\Common Files\Apple\Mobile Device Support」であることが分かる。
|
これで「AppleMobileDeviceService.exe」の実行パスが確認できる |
この操作が必要な理由だが、著名なアプリケーションを模倣したファイル名を用いて、プライバシー情報の収集や他PCへ攻撃を加えるマルウェアが存在するからだ。筆者が遭遇したマルウェアの中には、ファイルを容易に削除させないため、タスクスケジューラーで一定時間後に実行ファイルを生成するものもあった。
|
プロセスのコンテキストメニューから「プロパティ」を選択すれば、プロパティダイアログも呼び出せる |
マルウェアは利用者を欺く行動を起こすため、本当の実行ファイル名やパスといった情報を得られる環境を普段から用意すべきだろう。個人的には、Windows Sysinternals製「Process Explorer」の利用をお薦めしたい。作者のMark Russinovich氏は、既にMicrosoft CTO of Microsoft Azureを務める"中の人"だが、今現在もOSの進化に合わせてProcess Explorerはバージョンアップを重ねている。
|
「タスクマネージャー」と異なりキーワード検索も供える「Process Explorer」なら、実行ファイルを参照するプロセスを容易に確認できる |
阿久津良和(Cactus)