サイトマップ

マルウェア関連のトピックス

レジストリキーHKEY_USERSとは?

「HKEY_USERS」は、定義済みレジストリキーの一つで、ユーザー個別の設定情報が格納されています。このキーの下にSID(ユーザー識別番号、Security Identifier)のキーが作成されています。マルウェアによる改変では、ほとんどがHKLMまたはHKCUに対して攻撃が行われるのですが、ごくまれにこのキーに感染が見られることがあります。

本来、「HKEY_USERS」におけるログオンユーザーのSID以下のキーは、HKCUのミラーとなりますので、改変しても意味が無いはずです(後で述べる.DEFAULTを除く)し、HKCUを正常に戻せば自動的に「HKEY_USERS」も正常に戻るはずです。

ですが、実際に「Internet Explorer関連レジストリの完全なリセット」の後で「HKEY_USERS」のみに値が発見された例があります。このあたり、まだはっきりとは解っていません。

レジストリの概要

まず最初に、基本となるレジストリエディタの使い方へのリンクを貼っておきます

レジストリの定義済みキーには5種類あります。
image

HKEY_USERSとHKEY_CURRENT_USER (HKCU)との関係

Windowsの起動時には、「HKEY_USERS」のログオンユーザーのSID以下のキーが、HKCUにコピーされます。

起動後は、逆にHKCUに対する変更が「HKEY_USERS」のログオンユーザーのSID以下のキーに反映されます。

HKEY_USERSの詳細

HKEY_USERSを開いてみると、SIDにいくつか種類があることが解ります。
image

これらは次の様に分類できます。

S-1-5-18〜S-1-5-20まではシステムが作成する特殊な固定SIDですから、ここではあまり関係がありません。

「.DEFAULT」は、Windows MEとXPとで役割が違います。

問題は「S-1-5-21」です。上の画像を見てもらうと解りますが、この番号の後にズラズラと数字が羅列されてます。これがログオンユーザーを識別するための数字で、人によって違います。従って、「HKEY_USERS」の修正のためのレジストリパッチは、HKCUやHKLMの場合の様な汎用性のあるものを作ることができません。

そのため、「HKEY_USERS」の修正パッチを作るためには、まずこのSIDを知る必要があります。

レジストリエディタを使ったSIDの調べ方

さて、それではどうやってこのSIDを調べるかです。登録されているユーザーが一人であれば、レジストリエディタを使って「HKEY_USERS」を開けば上の画像の通りすぐに解ります。「S-1-5-21」ではじまっているものが一種類あってそれがログオンユーザーのSIDです。

複数ユーザーが設定してある場合は、「HKCU\Software\Microsoft\Protected Storage System Provider」を確認します
image
ここでサブキーとして現れるのが、現在のログオンユーザーのSIDです。

右クリックから、「キー名のコピー」をクリックすることで掲示板等に貼り付け可能になります。上の例だと、

HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider\S-1-5-21-1734489360-2652302155-2607440544-1004

がコピーされます。この中の「S-1-5-21-1734489360-2652302155-2607440544-1004」がログオンユーザーのSIDです。

SID番号の意味について

この長いSIDに関して気になるのは、「SID番号にどの程度の個人情報が含まれるか」という点です。こちらはMech.Mozillaさんの解析の抜粋です。

基本的に、SIDはログオン名をモロに反映する訳ではなく、Windowsから与えられた一意の整理番号みたいなものです。例えば「山田」というログオン名を作成した後削除、再度「山田」を登録しても同じSIDが再利用されると言う事はありません。

SIDの構造はこうなっています

S-1-5-21-XXXXXXXX-XXXXXXXX-XXXXXXXX-XXXXXXX

実際には赤の部分と青の部分には明確な区別はなく、二つを併せて特定のユーザーを認識する番号になっているようです。当該PCが特定のドメインに参加している場合には、この部分が固定される可能性もありますが、通常の個人ユーザーであれば、特定のドメインに参加していないので変動します。

情報を纏めると、『「特定のPC+特定のログオンユーザー」を認識するためにSIDは一つだけ定義されますが、それは背番号の様なものであり、「特定のPC+特定のログオンユーザー」の情報の全部または一部を含むものではない』ということになります。

従って、「SIDだけからはログオン名やPCを特定できない」→「SIDを晒しても特に問題は無い」というのが結論になります。。

以下Mech.Mozillaさんの実験結果のツリーおよびその中での参考リンクです


このサイトの掲示板で改ざんが報告されているレジストリキー

HKEY_USERS\S-1-5-21-(残りのSID)\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*

HKEY_USERS\S-1-5-21-(残りのSID)\Software\Microsoft\Windows\CurrentVersion\uninstall

HKEY_USERS\S-1-5-21-(残りのSID)\Software\Microsoft\Internet Explorer\Search

HKEY_USERS\S-1-5-21-(残りのSID)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\

HKEY_USERS\S-1-5-21-(残りのSID)\Software\Microsoft\Windows\CurrentVersion/Run

HKEY_USERS\S-1-5-21-(残りのSID)\Software\Microsoft\Windows\ShellNoRoam\MUICache

HKEY_USERS\S-1-5-21-(残りのSID)\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CLSID}

関連スレッド


HEKY_USERS改変へどう対応するか

SIDが解れば、レジストリエディタを使うなりレジストリパッチを使うなりして問題を修正することができます。

それにしても不思議なのは、何度も繰り返している通り、PCの起動中はHKCUが修正されると「HKEY_USERS」のログオンユーザーのSID以下のキーに反映されますので、「HKEY_USERS」を改ざんしても意味が無いはずです。ですが、掲示板での例を見ると「HKEY_USERS」のみに変なURLがセットされていたケースがありました。謎です。

実際には、「HKEY_USERS」の場合は「.DEFAULT」の方が重要かもしれません。MEの場合は「.DEFAULT」そのものが使われることがあり、XPなどの場合は新規ユーザーを作成したときに「.DEFAULT」が適用されますから。

謝辞

何しろ自分がよく解ってないことを、人に聞いたり調べたりしながら解説ページを作るというんだから図々しいといえば図々しい話です。でも、これまで良く解らない数字の羅列だと思っていたSIDの回りについてちょっと深く理解できました。色々教えていただいたcheshire-catさんの深くて広い知識に敬意を表します。

更新履歴

2005.10.18 改訂

【文頭に戻る】