仮想通貨の採掘を秘密裏に行うツールをバンドルした「oCam」を窓の杜で収録中止

「oCam」

　窓の杜ライブラリに収録していた動画キャプチャーソフト「oCam」をインストールすると、仮想通貨を採掘（マイニング）するツール「BRTSvc」も併せてインストールされます。窓の杜では1月26日に「oCam」のライブラリ収録を中止すると同時に、開発元であるOhsoftに対して事実の確認と影響の調査を実施しておりました。その結果、「BRTSvc」はユーザーにとって悪影響を与えると判断しました。

　OhsoftのWebサイトで配布されている「oCam」v428をダウンロードし、インストールして起動すると、アップデート通知の画面が表示されます。通知に従ってアップデートを実行すると、「oCam」v430のインストーラーが起動しますが、「BRTSvc」の追加インストールを促されます。利用規約をしっかりと読まずに安易にインストールを続行すると、「oCam」とともに「BRTSvc」がインストールされます。

「oCam」v428をインストールして起動すると、アップデート通知の画面が表示される

「oCam」v430のインストーラーでは利用規約の最後に「BRTSvc」についての記述がある

「BRTSvc」は個別にアンインストールする必要がある

　「oCam」v430のインストール時に表示される利用規約の画面で［Install BRTSvc］のチェックボックスをオフにすれば、「BRTSvc」のインストールを拒否し、「oCam」のみを使用することは可能です。「BRTSvc」をインストールしてしまった場合には、Windowsの「設定」アプリの［アプリと機能］画面で「oCam」をアンインストールしても、「BRTSvc」はアンインストールされないので注意してください。「BRTSvc」は個別にアンインストールする必要があります。

「BRTSvc」がバックグラウンドで40～50％ほどのCPUパワーを占有

　編集部で確認したところ、「BRTSvc」はWindowsの「タスク スケジューラ」に登録されて自動起動しますが、ウィンドウやタスクボタン、タスクトレイアイコンなどを一切表示しません。一定時間パソコンへの入力などを行わなかったときに、構成ファイルである“BRT.exe”がバックグラウンドで40～50％ほどのCPUパワーを占有するほか、PCのスリープへの移行を妨害します。

　窓の杜の取材に対して、Ohsoftは「oCam」に「BRTSvc」をバンドルしていることを認めた上で、「BRTSvc」は仮想通貨“Monero”をマイニングするスポンサープログラムであると主張しています。また、同社は「BRTSvc」のバンドルについては利用規約に明記しており、インストールの可否をユーザーが選べるほか、アンインストールも可能であると述べ、「BRTSvc」のバンドルが問題であるとは考えていませんでした。

　しかし、ユーザーが意図せず「BRTSvc」をインストールしてしまった後は、「BRTSvc」の存在を認識することが困難であるほか、CPUパワーの占有、スリープへの移行の妨害、そのほかバッテリーなどのリソースを消費し続けることから、窓の杜では「BRTSvc」を悪質なツールだと判断しました。その「BRTSvc」をバンドルする「oCam」については、窓の杜ライブラリでの収録を中止します。

「ウイルスバスター クラウド」は“COINMINER_MALXMR.A-COMPONENT”として削除

　なお、調査開始時の1月26日とは状況が変化しており、本稿を執筆している3月12日時点では、「ウイルスバスター クラウド」が「BRTSvc」を検出された脅威“COINMINER_MALXMR.A-COMPONENT”としてインストールを遮断するようになりました。そのため、通常の窓の杜でのウイルスチェック体制の基準で判断しても、「oCam」の収録を再開する可能性は低いです。