Windowsのタスクマネージャで「csrss.exe」が見えると、ウイルスなのか正規なのか判断に迷うことがあります。csrss.exe自体はWindowsに必要なプロセスですが、攻撃者が同じ名前を使って別フォルダに偽装し、常駐や外部通信に悪用する事例もあります。
見た目だけで削除や停止を試すと、Windowsが不安定になったり、ログや痕跡の確認が遅れて被害が拡大する可能性があります。まずは「正規の配置」「署名」「起動経路」「挙動」を落ち着いて確認し、必要なら専門調査につなげることが大切です。
そこで本記事では、csrss.exeの基本から、マルウェア偽装を疑うサイン、現場での一次切り分け、ハッキング調査(フォレンジック)の進め方までを解説します。
目次
csrss.exeとは何か
csrss.exeは「Client/Server Runtime Subsystem」と呼ばれるWindowsの重要プロセスで、プロセスやスレッドの作成など、OSの基盤に関わる処理を担います。
正常なcsrss.exeは、通常 C:\Windows\System32\csrss.exe に存在し、Microsoftのデジタル署名が付いています。タスクマネージャで2つ程度見えること自体はWindowsの仕様内であり、両方ともSystem32配下で署名が正しければ、即マルウェアとは言い切れません。
csrss.exeの疑いのあるサイン
csrss.exeは正規プロセスのため「名前」だけでは判断できません。次のような条件が重なる場合に、偽装や侵害の可能性を優先して確認します。
System32以外から実行されている
ユーザープロファイル配下、Temp、ProgramData、見慣れないサブフォルダなど、System32以外の場所にある「csrss.exe」は要注意です。偽装マルウェアが、目立たないフォルダに自分自身をコピーして常駐するケースがあります。
スタートアップやRunに登録されている
csrss.exeは通常、スタートアップ項目やRun系レジストリで自動起動させる設計ではありません。Run/RunOnce/Policies\Explorer\Runなどに「csrss.exe」が登録されている場合は、永続化の疑いが強まります。
数が不自然に多い/高負荷・不審通信がある
csrss.exeのプロセス数が明らかに多い、あるいは特定のcsrss.exeが高いCPU使用率や外部への通信を発生させている場合は、通常挙動とは合いにくいです。特に業務端末で継続的な負荷があると、原因特定が困難になりやすいため、記録を残しながら確認します。
署名がない/署名がMicrosoft以外
正規のcsrss.exeにはMicrosoftのデジタル署名が付与されます。署名が確認できない、または発行元がMicrosoft以外の場合、偽装の可能性を疑います。
セキュリティ製品がcsrss.exe関連で検知している
検知名に「csrss.exe」が含まれるトロイの木馬、ダウンローダ、ボット等として報告されることがあります。検知が出ている場合は、誤検知の可能性も含めて「どのパスのcsrss.exeが対象か」を起点に整理します。
判断が難しいときはどうすればいい?
ここまでのサインが当てはまる場合でも、運用上の事情(サードパーティ製品の挙動や監視ツールの影響)で見え方が変わることがあります。一方で、自己判断で削除や初期化を進めると、ログや痕跡が追えなくなり、被害が拡大するケースもあります。
不審なcsrss.exeが「どの場所から起動しているか」「何を起点に起動したか」を整理するには、プロセスツリーやレジストリ変更、通信先の突合など、複数の証跡を合わせた確認が必要です。少しでも違和感がある段階で、状況整理の相談を活用することが安全です。
私たちデジタルデータフォレンジックでは、官公庁・上場企業・捜査機関を含む幅広いインシデント対応の実績があります。状況のヒアリングから初期診断・お見積りまで24時間365日無料でご案内していますので、不安を感じた段階でのご相談もご検討ください。
csrss.exe偽装の手口
csrss.exeを名乗るマルウェアは「正規っぽく見せる」ことが目的です。代表的な悪用パターンを把握しておくと、調査の当たりを付けやすくなります。
別フォルダにcsrss.exeとしてコピーして常駐
攻撃者は自分の実行ファイルを「csrss.exe」という名前にして、ユーザー配下やProgramDataなどに配置することがあります。名称だけでは判断できないため、まずはファイルの所在と作成時刻、親プロセスを確認します。
Run系レジストリやタスクで自動起動
永続化の典型は、Run/RunOnceなどへの登録や、タスクスケジューラでの起動設定です。csrss.exeが「スタートアップにいる」時点で、正規プロセスの挙動とは一致しにくく、調査優先度が上がります。
外部通信(C2)で追加機能を取得
初期段階では小さな実行ファイルとして潜み、外部の指令サーバ(C2)へ接続して追加のマルウェアを取得する流れもあります。不審な通信先や、社内の別端末への横展開の兆候がないかを合わせて確認します。
csrss.exe偽装で想定される被害
csrss.exeが偽装されていた場合、単なる「1ファイルの問題」では終わらず、認証情報の窃取や横展開などに発展することがあります。被害の全体像を押さえるため、想定される影響を整理します。
認証情報の窃取とアカウント悪用
マルウェアが認証情報を奪うと、Microsoft 365やVPN、社内システムへの不正ログインに悪用される可能性があります。端末側の症状が軽くても、アカウント起点で被害が広がるケースがあります。
端末の遠隔操作と情報持ち出し
外部からの遠隔操作が成立すると、ファイルの探索や外部送信が行われる恐れがあります。後から事実確認をするには、通信履歴や操作履歴など、証拠となり得るデータの保全が重要になります。
社内ネットワークへの横展開
1台の感染を起点に、資格情報の再利用やスキャンで別端末に広がることがあります。複数台で似た兆候がある場合は、端末単体ではなく「組織内の感染範囲」を前提に確認します。
システム改ざんと復旧コストの増大
重要ファイルの改ざんやセキュリティ設定の変更が起きると、復旧の工数が増えます。見えない変更が残ったまま復旧すると再侵入を招くこともあり、不正利用の恐れが続く可能性があります。
放置するとどうなるのか
csrss.exeの偽装が疑われる段階で、見た目の症状だけを消す対応を優先すると、侵入経路や影響範囲の確認が後回しになりがちです。結果として、同じ端末や別端末で再発することがあります。
安全に収束させるには「起点となったcsrss.exeがどこから起動し、何を行ったか」を事実で確認する必要があります。自己判断の削除や初期化で、原因特定が困難になる前に、状況の整理を進めることが重要です。
csrss.exeが疑われるときの確認方法と対処法
csrss.exeは正規プロセスを装われやすいため、いきなり停止や削除をせず、記録を残しながら確認します。ここでは現場での一次切り分けとして、実行しやすい順序でまとめます。
実体ファイルの場所と署名を確認する
タスクマネージャやProcess Explorerでcsrss.exeを右クリックし、「ファイルの場所を開く」でパスを確認します。C:\Windows\System32\csrss.exe以外であれば、調査優先度が上がります。次にプロパティからデジタル署名を確認し、Microsoft署名かを見ます。
- タスクマネージャまたはProcess Explorerでcsrss.exeのパスを確認します。
- プロパティでデジタル署名の有無と発行元を確認します。
- System32以外や署名不一致があれば、該当ファイル名とパスを記録します。
プロセス数と挙動を確認する
csrss.exeの数、CPU・メモリ消費、ネットワーク接続の有無を確認します。高負荷や不審な外部接続がある場合は、感染の可能性が高まります。確認結果はスクリーンショットやログとして残しておくと、後続調査に役立ちます。
- csrss.exeごとのCPU・メモリ使用率を確認し、異常値がないか見ます。
- ネットワーク接続(外部IP宛)が発生していないか確認します。
- 不審点があれば、時刻と対象プロセス(PID)を控えます。
自動起動(永続化)の有無を確認する
Run/RunOnce/Policies\Explorer\Runなどのレジストリキーや、スタートアップフォルダに「csrss.exe」が登録されていないか確認します。本来csrss.exeはスタートアップ項目として現れにくいため、登録があれば強い違和感です。
- スタートアップ項目とRun系レジストリにcsrss.exeがないか確認します。
- 見つかった場合は、値の内容(実行パス・引数)を記録します。
- 無闇に削除せず、関連ファイルやタスクの有無も合わせて確認します。
疑わしいファイルの判定と隔離を検討する
System32以外にある疑わしいcsrss.exeは、ハッシュ取得やマルチエンジンスキャンで判定を進めます。検体扱いになるため、持ち出しやアップロードは社内ポリシーに沿って実施します。隔離は手動削除よりも、信頼できるウイルス対策ソフトやEDRの検疫機能を優先します。
- 疑わしいcsrss.exeのハッシュ値を取得し、判定材料として保管します。
- 社内ルールに従い、マルチエンジンでの判定やEDRの解析結果を確認します。
- 隔離やブロックは検疫機能を使い、手動削除は最小限にします。
不審な兆候が見られても、「どこまで対応すれば十分か」を個人で判断するのは簡単ではありません。表面的な症状が落ち着いたように見えても、原因が特定できていないまま操作を続けると、かえって状況を見誤る可能性があります。
特に、アプリの削除や初期化、設定変更などを先に進めてしまうと、重要な手がかりが失われ、原因特定が困難になるケースもあります。また、見えない部分で情報の送信や不正な動作が続いている場合、気づかないうちに被害が広がるおそれもあります。
サイバーセキュリティの専門業者に相談する
csrss.exeは正規プロセスを装われやすく、単発の確認だけでは「侵入の有無」「侵入経路」「影響範囲」を断定しにくいことがあります。異常が一時的に収まっても、裏で外部通信や権限悪用が続いている場合は、気づかないうちに被害が広がる可能性があります。
サイバーセキュリティの専門業者であれば、プロセスの起動経路、関連するファイルやレジストリ変更、通信先、他端末への波及などを証跡に基づいて整理できます。操作を進める前に調査へ切り替えることで、証拠となるデータが失われる可能性を抑えやすくなります。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
詳しく調べる際はフォレンジック調査会社に相談を
サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数47,431件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積47,431件以上(※1)のご相談実績があります。また、警察・捜査機関から累計409件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、17年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2023年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
