Windows 10 の Remediation(治療)プログラムに注意
年度末に起きたWindows 10の強制アップデートは、「KB4023057」という更新プログラムを封じることで対処可能です。
ただし、プライバシーなどで注意すべき点が、他にもありました。
「Remediations」の意味
2018年の2月から3月に起きたWindows 10の強制アップデートは、「Windows 10 更新アシスタント」というプログラムが実行犯なのですが、いろいろと根深いものがあります。
こちらのサイトの記事では「KB4023057」によって登録された「remsh.exe」(記事では「rempl.exe」と記されていますが、「remsh.exe」の間違いのようです)が、「Windows 10 更新アシスタント」と、何度も復活させるタスクを登録しているとのことです。
- KB4023057 と Windows 10 更新アシスタント(るなおーびっと!)
「KB4023057」のパッケージはキャッシュから入手できますので、実際に手動で「KB4023057」をインストールしてみました。しかし、インストールしただけでは「Windows 10 更新アシスタント」やタスクは登録されませんでした。
では「KB4023057」とは何なのかということですが、「KB4023057」がインストールする「Windows Setup Remediations (x64) (KB4023057)」というプログラム名にある「Remediations」にヒントがあります。
「Remediation」とは治療という意味です。治療するためには、症状を調べて、専門家に相談し、適切に処置することが重要です。
それらを行うプログラムをインストールするのが「KB4023057」の目的だったのです。
「rempl」の構成
原点に戻って「KB4023057」とは何かを調べてみます。
説明には、
- Drvdbfix.exe
- Rempl.xml
- Remsh.exe
- unlock.xml
が登録されるとあります。
これらは、まとめて「rempl」というフォルダーにインストールされるため、以下「rempl」と呼ぶことにします。
「KB4023057」をインストールすると、
- C:\Program Files\rempl
に「rempl」はインストールされます。
これはWindows 10 バージョン1703(x64)の場合ですが「KB4023057」の対象となっています。また、最新のバージョンではunlock.xmlは無いようです。
フォルダーにあるXMLは「remsh.exe」のタスクを登録するためのものです。
このフォルダーにある実行ファイルとDLLのプロパティは以下となります。
remsh.exe
drvdbfix.exe
Laudgmgt.dll
そしてレジストリーにこのような設定を書き込みます。
「sihboot」とは「Silent Install Helper Boot」の略でバックグラウンドで実行するということです。
また、タスクには「Microsoft」「Windows」「rempl」の下に7つのタスクを登録します。
- shell
- shell-maintenance
- shell-restore
- shell-unlock
- shell-unlock-sih
- shell-unlock-storagesense
- shell-usoscan
見て頂きたいのは、各タスクに登録された説明と実行するコマンドです。
「remsh.exe」はオプションスイッチにより他のプログラムを起動しているようです。
shell
shell-maintenance
shell-restore
shell-unlock
shell-unlock-sih
shell-unlock-storagesense
shell-usoscan
「rempl」とは何なのか
「remsh.exe」で調べてみると、このようなページが見つかります。
- What is remsh.exe? (Microsoft Community US)
MVPのコミュニティモデレーターが、マルウェアだと回答して叩かれています。
また、こちらの記事のコメントによると「remsh.exe」はパソコンの情報を調査しているようです。
- What is REMSH.exe for? (Born's Tech and Windows World)
まず、「remsh.exe」の「remsh」ですが、これは「Remediation Shell」の略でしょう。治療シェルです。
「rempl」は更新プログラムが正しく適用されない状態の解析、報告、修正を行うプログラムだと思われます。
これらはバックグラウンドで動作するもののみで、ユーザーに気付かれないように動作しています。
タスクにある「usoscan」とはWindows Updateの「更新プログラムのチェック」をクリックするのと同じ動作なのですが、通常は22時間ごとに行われます。しかし、ここでは12時間ごとに行われるタスクが登録されています。両方動作するので1日に何回も確認していることになります。
「KB4023057」を手動でインストールしただけでは「Windows 10 更新アシスタント」がインストールされないことから、やはり何かしらの指示に従って動作しているようです。
これは推測ですが、「KB4023057」により「rempl」がインストールされるとパソコンの状態を調査してMicrosoftに報告します。これらのデータを元にMicrosoft側での指示がサーバーに登録されます。「rempl」は頻繁にその指示を確認します。指示には「Windows 10 更新アシスタント」のインストールやタスクの登録などが含まれているのでしょう。
「rempl」は必要なのか
「rempl」はWindows 10 バージョン1709にはインストールされません。
既に、その機能が内包されている可能性もありますが、「rempl」を配布し始めたのが最近ですので、その可能性は低いでしょう。
そして「rempl」の本来の目的はWindows Updateでエラーが発生する不具合を修正することだと思われます。
今回はその仕組みを利用して、強制アップデートを行ったのでしょう。本来の目的とは違うのです。
「rempl」は頻繁にパソコンをスキャンすることでパソコンに負荷をかけます。しかもWindows 10 バージョン1709にアップデートしていないということは、古いパソコンである可能性が高くなります。古いパソコンということは性能が低いということで、そこに更に負荷をかけていることになります。
やはり「rempl」は不要なプログラムと言えるでしょう。
企業ユーザーが注意すべき点
「rempl」は更新プログラムの適用状況の調査と違い、更新を妨げる要因を広範囲で調査している可能性があります。しかもUWPアプリではないため、プライバシー設定は無視されます。
動作を詳しく解析しないと分かりませんが、出したくない情報を吸い上げられている可能性があります。
基本的には「KB4023057」をブロックすれば安全
「KB4023057」をアンインストールすると「rempl」の実行ファイルは削除されます。
タスクとレジストリーは残りますが、実行ファイルが無いので被害は無いでしょう。
あとは再度、「KB4023057」がインストールされないようにすればよいでしょう。
まとめ
調べても、調べて、必要性が感じられないのが、今回の強制アップデートです。
定常的ではなく、週末に合わせて波状攻撃してくるのも、いやらしいところです。
