この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

連載目次

Windows 10版スカイフィッシュ「usoclient.exe」はマルウェア？

Windows 10を使っていると、まれにタイトルバーに「C:\WINDOWS\system32\usoclient.exe」と書かれたコマンドプロンプトウィンドウが出現し、一瞬で消えることがあります（画面1）。

画面1 ついに謎の「usoclient.exe」の捕獲（スクリーンキャプチャー）に成功。というのはウソで、これは筆者による再現です

筆者は1年近くWindows 10を使っていますが、複数のPCで何度もこの「usoclient.exe」を目撃しています。本当に一瞬なので、鮮明に画像をキャプチャーすることはまだできていません。その昔、オカルト系の雑誌やテレビを騒がせた「スカイフィッシュ（Sky Fish）」のようです。

管理者必携ツール、SysinternalsのAutorunsで調査開始

Windows 10の「C:\Windows\System32」フォルダには、確かに「usoclient.exe」が存在します。しかし、ファイルのプロパティを見ても、このファイルの目的が何なのか、ヒントになるようなものはありません。プロパティで確認できるファイルの説明は「UsoClient」になっています。このファイルは、Windows 8.1以前には存在しません。

これは日本人だけかもしれませんが、「ウソクライアント」とも読める「usoclient.exe」は、いかにも怪しく見えます。一瞬で消えるその挙動から“マルウェアの類いでは？”と疑う人もいるかもしれません。結論から言いましょう。安心してください。「usoclient.exe」は、Windows 10に含まれる“正規のシステムファイルの1つ”です。

本連載第8回では、Windows 7以降に存在する怪しげなスクリプトファイル「C:\Windows\system32\GatherNetworkInfo.vbs」がマルウェアでないことを確認するために、「Windows Sysinternals」の「Autoruns」を利用しました。

Windows SysinternalsのAutorunsは、Windowsの起動問題やマルウェアの疑いのあるファイルの調査、解決に役立つ便利なツールです。Windowsに存在する「自動開始ポイント」を検索し、不審なエントリーを一時的に無効にしたり、削除したり、コード署名を確認したりすることができます。最新版のAutorunsには「VirusTotal」を利用した、複数エンジンによるウイルス検査機能も搭載されています。

Autorunsで「Options」メニューの「Hide Windows Entries」をオフに設定し、フィルター条件に「uso」を指定して検索してみると、「タスクスケジューラ」に登録されているタスクに「usoclient.exe」が設定されていることがヒットしました。

コード署名の検証結果（x64環境では「not verified」になりますが、GUI版のAutoruns側の不具合であり、「usoclient.exe」の署名に問題があるわけではありません）も、VirusTotalのウイルス検査結果も問題ありません（画面2）。また、「usoclient.exe」と“対”になっていると予想されるサービス名「UsoSvc」も見つかりました。

画面2 タスクスケジューラに「usoclient.exe」の登録を発見。コード署名の確認結果（verified）と、VirusTotalによるウイルス検査結果（検出0）は問題なし。Windows 10の正規のシステムファイルなので当然の結果

1|2 次のページへ