キヤノンMJ/サイバーセキュリティ情報局
動作が重いからといってプロセスを停めると大変なことに! Windowsの主要なプロセスを解説
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「csrss.exeとは?Windowsの主要なプロセスをおさらいしよう」を再編集したものです。
Windowsの機能は、多数のプロセスと呼ばれるプログラムが動作することで実現している。しかし、常駐するプロセスが高負荷、処理速度の原因となるだけでなく、マルウェアの侵入口として狙われる場合もある。この記事では、Windowsの主要なプロセスと動作が重たいと感じた際の対処方法を解説する。
Windowsのプロセスとは
プロセスとは一般的に、過程、あるいは工程といった意味で使われるが、OS(オペレーティングシステム)の関連用語として使われる場合のプロセスにおいては、それぞれが独立して動作するプログラム(アプリケーション)を意味する。
例えば、オフィスソフトであるExcelやWordなどのアプリケーションはそれら自体がプロセスとなる。WindowsなどのOSは、アプリケーションを一切起動していない状態であっても、ユーザーから見えない裏側(バックグラウンド)にて、数多くのプロセスが常時動作している。
動いているプロセスの数が増えるに伴い、CPUやメモリーなどのリソース使用量が増加するため、パソコンに負荷がかかり、処理速度が遅くなる要因となる。Windowsのプロセスとしては主に、「アプリケーションプロセス」、「バックグラウンドプロセス」、「Windowsプロセス(システムプロセス)」の3種類に分けられる。
・アプリケーションプロセス
ユーザーが直接操作するExcelやWord、ウェブブラウザーなどのアプリケーションのプロセスである。Windowsのタスクマネージャー上では「アプリ」と表示される。
・バックグラウンド プロセス
ユーザーに見えない状態で動作しているプログラムであり、パソコン起動直後から常駐するものが少なくない。ユーザーインターフェースを持つWindowsサービスやタスクバーに常駐するプログラムが該当する。パソコンに常駐してマルウェアを監視・隔離するセキュリティソフトも、バックグラウンドプロセスとして動作する。
・Windowsプロセス(システムプロセス)
Windowsを支える重要なプロセスであり、セッションマネージャーやログオンマネージャーなどがある。これらのプロセスは原則としてユーザーインターフェースを持たない。
主要なWindowsプロセス
先述したように、プロセスの中でもWindowsプロセスは、Windowsの基本的な機能を担うプロセスであり、重要度が高い。不用意にWindows プロセスを強制的に終了させてしまうと、Windowsが正常に動作しなくなる場合もあるため注意が必要だ。以下に主要なWindows プロセスとその役割を解説する。
・svchost.exe
Windowsの各種プログラムの起動を担う、ホスト役を務めるプロセス。複数のサービスをまとめてグループ化している。
・csrss.exe
クライアントサーバーランタイムプロセスと呼ばれるプロセスであり、プロセスやスレッド(プログラムの実行単位)の作成および削除を行なう。
・conhost.exe
コンソールホストと呼ばれるプロセスであり、コマンドプロンプトの実行を担う。
・lsass.exe
セキュリティ・ポリシーの執行やパスワードの認証、アクセストークンの作成などを担う。セキュリティ上、重要なプロセスとなるため、動作の停止、削除などを行なうとパソコンに不具合が生じる恐れがある。
・winlogon.exe
ログオン関連のプロセスであり、ログオン・プロンプトの生成・実行、スクリーンセーバーの実行などを担う。
・explorer.exe
Windows Explorerのプロセスであり、フォルダー(エクスプローラー)の閲覧やスタート・メニューの表示、GUI(グラフィカルユーザーインタフェース)によるユーザー操作への応答を担う。
・smss.exe
セッションマネージャー サブシステムと呼ばれる、システムプロセス。システムブート時に最初に実行され、ユーザー・セッションの生成を担う。
動作が重い場合のプロセス終了という対処方法
Windowsの動作が重い場合の対処として、その原因となっているプロセスを終了させるという手段がある。ただし、先述のようにWindowsの基本かつ重要な機能を担うWindowsプロセスを勝手に終了させることはできない。しかし、ユーザーが起動したアプリケーションのプロセスや自動的に起動されたプロセスのうち、特に負荷が高いものを終了させることで、動作が重いという状態を改善できる場合がある。
図1:タスクマネージャーの画面
動作しているプロセスの確認や終了のためには図1の「タスクマネージャー」を利用する。Windows 11/10にてタスクマネージャーを起動するには、「Ctrl」+「Shift」+「Esc」を押下して直接タスクマネージャーを立ち上げるか、スタートボタン(Windowsロゴ)を右クリックすることで表示されるメニューから選択すればよい。
タスクマネージャーの画面上で「プロセス」を選ぶことで、現在動作しているプロセス一覧が表示される。その中で「アプリ」として表示されるアプリケーションプロセスの中からCPUやメモリーのリソースの消費が大きいものを選択。プロセス名を右クリックして「タスクの終了」を選べば、そのプロセスを強制終了することができる。
csrss.exeの脆弱性を狙った攻撃とは
先述したように、csrss.exeはプロセスやスレッドの作成および削除を行なう重要なWindowsプロセスのひとつであり、停止させることはできない。2022年7月、マイクロソフト社が公開した月例のセキュリティアップデートにて、csrss.exeの脆弱性に対する修正プログラムが公表された。
この脆弱性は特権昇格に関する脆弱性である。特権昇格とは、本来持っていない特別な権限を何かしらの方法で獲得する行為のことで、この脆弱性が悪用された場合、遠隔からの攻撃によって任意のコードが実行される可能性がある。マイクロソフト社の発表によると、すでに悪用の事実が確認されている。
2022年7月のセキュリティアップデートを適用することでcsrss.exeの脆弱性は修正される。脆弱性を放置しておくことはセキュリティインシデントを招く恐れがあるため、速やかに適用しておくようにしたい。また、直接的にcsrss.exeを狙う攻撃だけでなく、csrss.exeのプロセスが複数動作するという特性を悪用し、悪意のあるプログラムがcsrss.exeに偽装することで、発覚を免れようとするものも発見されている。
ランサムウェアをばらまくスパムがロシアにて新たに出現
https://eset-info.canon-its.jp/malware_info/special/detail/190604.html
プロセスの脆弱性を狙う攻撃への対策
こうしたプロセスの脆弱性を狙う攻撃からシステムを守るためには、以下に挙げる2つの対策は徹底するようにしたい。
・OSとアプリケーションを最新の状態にしておく
ソフトウェアから完全に脆弱性をなくすことはほぼ不可能であり、脆弱性は何かしら発生するものだということを理解しておきたい。その前提の上で、新たに脆弱性が発見された場合は迅速に修正対応のアップデートを適用することが重要だ。アップデートによって、脆弱性への対処が完了する。
パソコンの中核となるOSはもちろんのこと、インストールしているソフトウェアも常に最新の状態を維持するようにしたい。
・セキュリティソフトを導入する
脆弱性を狙う攻撃では、脆弱性を突いて何かしらのマルウェアに感染させられてしまう可能性がある。そのため、マルウェア感染を防ぐための対策として、高度な機能を有する総合セキュリティソフトの導入が有効だ。例えば、「ESETインターネット セキュリティ」では中枢部分のプロセスも監視する。
最近ではこうしたシステムプロセスに偽装するマルウェアも多く開発されている。また、タスクマネージャーが立ち上がると動作を停止するといった巧妙かつ悪質なマルウェアも確認されている。こうしたマルウェアの場合、一度感染してしまうと検出されづらいため、感染しないための対策が重要となる。マルウェアに感染する隙を与えないためにも、常時監視状態に置くような対策を講じるようにしたい。
YouTubeを悪用した、クリプトマイニング(暗号資産の発掘)モジュールを拡散する「Stantinko」
https://eset-info.canon-its.jp/malware_info/trend/detail/191224.html