QQやTIMと一緒に動く謎のプログラムは、なにをしているのか?

シェアする

中国おすすめVPNサービス

QQ2013以降(最新のQQ9.x含む)やTIMをパソコン上で使うと、目的のよくわからないプログラムが2つ一緒に動き始める。AndroidやiOS上でも類似のプログラムが内包されているようだ。これらはなにをしているのだろうか?

タスクマネージャーで見てみると…

TIMやQQを動かすと、本体以外に意図しないプログラムが起動する。次の画面は、OSのプロセスを見たときの画面。

TIM本体のプログラムが動くのは当然である。

もっとも、TIMのリリース時期は2017年と最近なのに、内部コードはなぜか32ビット。QQ本体からプログラムを流用しているためなのか。それとも、単に64ビットに移植すると不都合があるからなのか。

謎プログラム その1

この本体プログラムが動くと、一緒に動き始めるプログラム その1が”TIM多客服端管理服务”という中国語名のもの。

プロセスからプログラムを見てみると、”TXPlatform.exe”というファイル名。百度をやってもGoogleしても、それらしいヒットがない。

ファイル名で検索をすると2つの記載があった。まず、同ファイルがシステムディレクトリ(C:\WINDOWS\system32など)にある場合は、トロイの木馬。Programフォルダ以下であれば、Tencentがリリースしている正規のファイルとのこと。

このアプリケーションには可視ウィンドウがありません。このファイルはぺリサインの署名付きファイルです。このファイルにはデジタル署名が付いています。これはWindows のシステムファイルではありません。TXPlatform.exe は、アプリケーションの監視 ができます。このため、テクニカルセキュリティ評価では18% 危険です。

観察してみると、このプログラムはTIMやQQの本体が更新されているかどうかをチェックしているようだ。たまたま、今日は本体が更新されたので起動してみると最新ファイルのダウンロードをして、バックでファイル更新を行ってくれた。

パッと見はAcrobat Readerを入れると勝手に動く”Adobe Acrobat Update Service”に類似したサービスに思える。なお、TIMが起動したあとにプロセスを止めても(強制停止)TIM本体に影響がない。

謎プログラム その2

もう1つが”QQ安全防护进程”である。このプログラム、別名Q盾と呼ばれており(別名がプログラムのプロパティにも記載されている)、百度上のBBSでよく議論される迷惑セキュリティソフトである。

このプログラムはサービスとして勝手に起動する上に、サービスの設定を変更しようとしても阻止される。さらに、TIMやQQが起動するときに、その都度サービスの設定状態を確認・変更するという凶悪さである。

サービスをレジストリ上で無効フラグを立てると、TIMやQQ自体の起動ができなくなる。なんという仕様だ…。

その割に、このプログラムは、TIMが起動したあとに個別でプロセス停止するとしっかり止まる。つまり、TIMの挙動に一切影響を与えないのである。なんだこりゃ?

同様の議論は中国ネットでも盛んにされており、迷惑プログラムらしい扱いを受けている。同プログラムで検索すると、削除と永久停止などがザックザク出てくる。

如何禁用QPCore service启动项?

セキュリティ評価がダントツ最下位

どちらのプログラムも建前上は、ユーザの便益向上をうたっている。

ただ、中国ベンダが言うユーザのためにが、ユーザのためだった試しは、私の記憶の中では1度もない。意図しないユーザ情報をリークをしているのでは?と思うのだ。

実際、Tencent社が作るメッセンジャアプリは、アムネスティーインターナショナルのメッセンジャアプリのプライバシーランキングで、プライバシー配慮0点でダントツの最下位である。

We’ve ranked 11 companies that run the world’s most popular messaging apps – including Skype, Snapchat and Facebook Messenger – on how well they’re using encryption to protect your online privacy.

How private are your favourite messaging apps?

調査時期は2016年12月であるものの、この1年6ヶ月の間にTencent社が心変わりしてユーザを神様に見立てて改善した…というのは、国際法を遵守する中国当局くらいあり得なさそうだ。

中国で生活をしていて、QQやTIM、WeChatを使わないというのは、なかなか困難である(引きこもったら別かもしれないが)。幸い、今回のプログラム2つは、どちらも起動後にプロセス停止できるのでバッチファイルなどで殺しておくのが良さそうだ。

ご参考までに。