やじうまの杜

「Process Hacker」が「Windows Defender」にマルウェア扱いされて困ってるらしい

「Process Explorer」に匹敵する高機能性が売りのオープンソースタスクマネージャー

 “やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

「Process Hacker」

 オープンソースの高機能タスクマネージャー「Process Hacker」が昨年末より、Microsoftのセキュリティ機能「Windows Defender」によってマルウェア(HackTool:Win64/ProcHack)と判定されてしまい、ハイリスクの脅威だとしてシステムから自動削除される事態が発生していたのだそうです。

 「Process Hacker」は、いわば「タスク マネージャー」の強化版です。プロセスの親子関係をツリーで表示したり、グラフと統計でリソースの占有状況やプロセスの振る舞いをモニタリングできる点は、むしろ“Windows Sysinternals”で開発されている「Process Explorer」に近いかもしれません。

 「Process Hacker」の開発チームはもちろん、この件を誤検知であるとMicrosoftに報告しましたが、“検出の基準を満たしているため、当面はそのままにする”という返答のほかは何も得られず。“RIP 2008-2019(生没2008年~2019年)”というメッセージで開発終了の懸念を示唆するなど、苛立ちを隠しません。

 しかも今年2月には、新たに以下のモジュールがマルウェアと判定されてしまった模様。

  • OnlineChecks.dll - Trojan/Win32/Detplock
  • ProcessHacker.exe - Trojan/Win32/Casdet!rfn
  • ProcessHacker-setup.exe - Trojan/Win32/Wacatac.C!ml

 執筆現在、“Microsoft Security Intelligence”における「processhacker-setup.exe」の検出状況は“Not malware(マルウェアなし)”。編集部でも週末一通り使ってみたものの、実行ファイルが自動削除されることはありませんでした。とりあえず今回の件は無事に解決したようですが、こういうことが続くと、開発チームにとっては大きな負担となることでしょう。改善を期待したいところです。

 もっとも、「Process Hacker」はかなり特殊なソフトで、通常のアプリとは異なる“トリッキー”な実装があちこちで使われているのは容易に想像できます。どちらかというとマルウェア対策エンジンに引っかかりやすいアプリだと言えるでしょう。開発チームに悪意のある人物がいれば、万が一悪用された場合の被害も大きくなるわけで、Microsoftが慎重になるのも仕方ないのかもしれませんが……。単純にリスクの有無で分けてしまうのではなく、“怪しい振る舞いがあるので初心者の環境からは自動削除するが、ITプロフェッショナルが自己責任で使うのであれば許容する”といった仕組みが求められているのかもしれません。