システムファイルに潜む「Windows 10 更新アシスタント」の危険性

いろいろな対処方法で、どうにか「Windows 10 更新アシスタント」を封じ込めたと安心していたのですが、どうも爆弾を埋め込まれたようです。

「Windows 10 更新アシスタント」の実体

「Windows 10 更新アシスタント」の実体は、

• C:\Windows\UpdateAssistant
• C:\Windows\UpdateAssistantV2

だと思っていました。

しかし、本当の実体は別のところにあり、そこからハードリンク(ファイルとしては別でも、ディスク上は同じ場所を指定しているファイル)されているそうです。

• KB4023057 と Windows 10 更新アシスタント(るなおーびっと！)

これをタスクで起動しているので、タスクを削除し、見えているハードリンクを削除することで、通常使用では問題は発生しなくなります。

「Windows 10 更新アシスタント」が爆弾と化す可能性

「Windows 10 更新アシスタント」の本当の実体は、64ビット版では、

• C:\Windows\WinSxS\amd64_microsoft-windows-oobe-gwe_31bf3856ad364e35_10.0.15063.994_none_97dcb848d9b226f1

32ビット版では、

• C:\Windows\WinSxS\x86_microsoft-windows-oobe-gwe_31bf3856ad364e35_10.0.15063.994_none_3bbe1cc52154b5bb

にあります。累積更新プログラムに同梱されるので、稼働している期間によってはインストールされていない場合もあります。

Windows 10 バージョン1709にはありません。

フォルダー名に含まれるOOBEとはOut of Box Experienceの略で、Windows 10の初期セットアップで動作するプログラムです。

初期セットアップは、既に稼働しているWindows 10では使われることはありません。しかし、Windows 10には初期状態に戻す機能があります。

「設定」アプリの「更新とセキュリティ」「回復」にある「このPCを初期状態に戻す」がその機能です。

パソコンを使っていて不安定になった場合に、Windows 10をクリーンインストールした直後の状態に戻すものです。ユーザーデータは残すこともできますが、アプリは再インストールが必要です。

試しに「ユーザーデータを残す」設定で初期状態に戻したところ「Windows 10 更新アシスタント」はインストールされませんでした。ただし、実体のファイルは引き継がれていました。

「ユーザーデータを消す」設定で初期状態に戻したところ、作業が完了してデスクトップが表示された後すぐに、この画面が表示されました。

これは「Windows 10 更新アシスタント」による画面です。

「プログラムのアンインストールまたは変更」を見ても「Windows 10 更新アシスタント」はインストールされていません。しかし「Windows」フォルダーには「UpdateAssistantV2」というフォルダーができていることが分かります。

これはOOBEによって登録されたものです。

OOBEについてはこちらに説明があります。

• oobeSystem(Microsoft)

表示された画面で「今は実行しない」を選択しても、対策をしない限り何度でもアップデートしようとするでしょう。

本当の実体を削除するのは不可能

「Windows\WinSxS」の下のファイルは、TrustedInstallerの管理下にあり通常の方法では削除できません。

そのため「このPCを初期状態に戻す」を使用する場合は「ユーザーデータを残す」設定で実行するようにしてください。

「ユーザーデータを消す」設定で使用するならクリーンインストールした方がよいでしょう。

まとめ

初期状態に戻すぐらいならバージョンアップしろ、ということなのでしょうが、密かに「このPCを初期状態に戻す」を書き換えるのはどうかと思います。