【Win】 Windows7 / 10でユーザープロファイルが突然死する現象が発生 [Update 12: 収束。そして犯人はMMPEで確定]

Windows,WindowsUpdate

2018年4月5日以降、Windows7および10のユーザープロファイルが突然死する現象が発生しています。 「ユーザープロファイル」 でツイッター検索をしたところ、4月3日は0件、4月4日は4件でしたが、4月5日は十数件、4月6日は二十数件ヒットしました。件数的に阿鼻叫喚というほどではありませんが、4月5日以降から急に増えています。

約1ヶ月近く、被害状況を調査したところ、MSEやDefenderで使用されているMicrosoft Malware Protection Engine(MMPE)の4月4日のアップデート(1.1.14700.5)が原因と判明しました。

以下、ユーザープロファイルの突然死に関する情報ですが、発生から時系列順の内容となっています。結論はUpdate 12をご覧くださいませ。


    [ ユーザープロファイルの突然死に関する情報 ]

  • 「User Profile Serviceサービスによるログオン処理に失敗しました」 と表示される。
  • 再起動だけで直る場合あり。この現象に遭遇したらまずは再起動をお試しください。
  • 直っても再発する場合あり。
  • 再起動しても直らない場合、レジストリの編集で直ります。編集方法は下記の記事をご覧くださいませ。

    ただし、これは対症療法です。根本的な原因をどうにかしないかぎり、再発する可能性は残ります。

  • システムの復元でも直ります。しかし、こちらも再発する可能性は残ります。
  • 海外記事によるとログオン時にアンチウイルスソフトがコンピュータをスキャンしているなどの理由により、ユーザープロファイルが正しく読み取れないことがあるらしい。
  • 依然としてはっきりとした原因は特定されていませんが、2018年4月4日にWindows DefenderやMicrosoft Security Essentialsなどに含まれるMicrosoft Malware Protection Engineのアップデートがあったのでこのへんが怪しいかも?

    < Update 8 >

  • 時期的に見てやはりMicrosoft Malware Protection Engine(MMPE)のアップデート(1.1.14700.5)が怪しく思えます。これが犯人だと仮定するなら、このエンジンが使われている、

    Windows Defender
    Microsoft Security Essentials
    悪意のあるソフトウェアの削除ツール(KB890830)
    Microsoft Exchange Server 2016
    Windows Intune Endpoint Protection
    Microsoft Forefront Endpoint Protection 2010
    Microsoft Exchange Server 2013
    Microsoft Endpoint Protection
    Microsoft Forefront Endpoint Protection
    (Windows DefenderとMicrosoft Security Essentialsと悪意のあるソフトウェアの削除ツール以外は主にエンタープライズ向け)

    を無効化することで突然死が発生しなくなるかもしれません。個人のPC環境なら

    • Microsoft Security Essentialsをインストールしている場合はアンインストール
    • Windows Defenderを無効化
    • WindowsUpdateに毎月配信される悪意のあるソフトウェアの削除ツール(KB890830)はインストールしない

    でOKです。 (:Windows DefenderやMicrosoft Security Essentialsなどを無効化すると、当然ながらこれらのセキュリティ機能が止まってしまうため、代替となるセキュリティソフトのインストールを推奨します)

  • Youtubeにアップされている英語でのレジストリ編集による復旧動画のコメント欄を新しい順で並べると、

    2018年3月27日 ~ 3月21日
    18コメント
    2018年3月28日 ~ 4月3日
    23コメント
    2018年4月4日 ~ 4月10日PM23:30時点
    275コメント

    4月4日以降、コメントが爆発的に伸びています。とりあえずわかったことは日本限定ではなく、世界規模でこの問題が発生している模様。

    < Update 11: 収束の気配……か? >

  • 2018年4月20日にMSEやDefenderなどに使われているMicrosoft Malware Protection Engine(MMPE)のアップデートが入り、1.1.14700.5から1.1.14800.3になりました。その後の被害状況の推移がこちら。

    ツイッター 『ユーザープロファイル』で-RT検索
    被害報告っぽいツイート    		Youtube 復旧動画のコメント数
    内容までは不明
    		備考
    2018/04/17(火)2034 MMPE 1.1.14700.5
    2018/04/18(水)1535
    2018/04/19(木)2433
    2018/04/20(金)1928MMPEが1.1.14700.5から1.1.14800.3になる。アップデートタイミングは環境によってバラバラ。概ね48時間以内に自動で適用される。
    2018/04/21(土)931 
    2018/04/22(日)626 
    2018/04/23(月)314 

    ツイッターでは4月21日からがっつりと被害報告が減っています。Youtubeのレジストリ編集による復旧動画のコメントは内容までは確認していませんが、少しずつ減っていっています。

    まだ 「収束した」 と断言することはできませんが、MMPEのアップデート後は収束に向かっている傾向が見られます。

    また、メッセージで下記の報告を4月21日にいただきました。

    ユーザープロファイル突然死の件の続報です。MSEのエンジンのバージョンが変わってからシャットダウンと起動を数回繰り返してみたところ、例の症状は現れなくなりました。根本的に直った可能性が高いような気がしています。しかし偶然ということもあり得ますので、再発するようなことがあれば、すぐにお知らせします。

    その後、再発したとのメッセージはいただいていないため、症状は出ていない模様です。

    はたしてこのまま収束に向かうのでしょうか。それとも報告が減っているのはたまたまなのでしょうか。そしてMicrosoftはこのまま何も発表しないのでしょうか。

    にしても、予想どおりにMMPEが犯人であったのなら、PCを守るためのアンチウイルス機能がPCをぶっ壊していたって、冗談にもなりませんね……。

    < Update 12: 収束。そして犯人はMMPEで確定 >

  • 引き続き被害状況のデータを取っていました。下記の推移をご覧ください。
    ツイッター 『ユーザープロファイル』で-RT検索
    被害報告っぽいツイート    		Youtube 復旧動画のコメント数
    内容までは不明
    		備考
    2018/04/11(水)37 未カウント MMPE 1.1.14700.5
    2018/04/12(木)20
    2018/04/13(金)30
    2018/04/14(土)23
    2018/04/15(日)12
    2018/04/16(月)15
    2018/04/17(火)2034
    2018/04/18(水)1535
    2018/04/19(木)2433
    2018/04/20(金)1928MMPEが1.1.14700.5から1.1.14800.3になる。アップデートタイミングは環境によってバラバラ。概ね48時間以内に自動で適用される。
    2018/04/21(土)931 
    2018/04/22(日)626 
    2018/04/23(月)314 
    2018/04/24(火)311 
    2018/04/25(水)310 
    2018/04/26(木)04 
    2018/04/27(金)36 
    2018/04/28(土)14 
    2018/04/29(日)16 

    Update 11でMicrosoft Malware Protection Engine(MMPE)のアップデート後から被害報告が減っていましたが、その後もガッツリと減っていっています。

    MMPEのバージョンが4月4日に1.1.14700.5になってからユーザープロファイルの突然死が発生し、4月20日に1.1.14800.3になってから被害が減っていっていることから、これはもう犯人はMMPEで確定と断じてしまっても良いでしょう。

    もちろん他にも可能性はあるかもしれませんが、これだけ状況証拠が揃っていて、他が原因というのは考えにくいものがあります。

    MSEやDefender等、お使いのMS製アンチウイルスソフトを4月20日以降にアップデートしてMMPEが1.1.14800.3以降になっていれば、これに起因するユーザープロファイルの突然死の心配はないものと思われます。が、MSのことなので、修正が不完全で何かの拍子に発症したり、またやらかさないとも限らないので、不安な方はMS製アンチウイルスソフトを窓から投げ捨てて、サードパーティ製に乗り換えるのも手かと思います。

    結論。PCを守るためのアンチウイルス機能がPCをぶっ壊していましたとさ。これは酷い。

    なお、MSからの発表は何もありません。

更新履歴
① メッセージにて 「ユーザープロファイル突然死の件ですが、認証に失敗しているだけの様で、うちでは再起動で直りました」 との報告をいただきました。再起動で直る旨を加筆。
② メッセージにて 「再起動でなおりましたが、ときおり再発します(win7 64)。つまり、完全になおるわけではないということです。どういう条件で再発するかは分かりません」 との報告をいただきました。再発する旨を加筆。
③ レジストリ編集による復旧方法のページへのリンクを追記。その他情報を加筆。
④ 2018年4月6日の被害状況をツイッター検索で調べてみました。4月6日に被害に遭っていると思われるツイートは22件ほどヒットしました。4月6日AM8:30以前には遡れなかったので実際にはもう少し多いと思います。被害は増えている模様。

記事に予想を加筆。あと、4月7日の被害状況もツイッター検索で調べてみました。被害に遭っているっぽいツイートは25件ほどヒットしました。4月6日と同じくらいですね。

⑥ ③のレジストリによる対処方法の日本語訳を書いたので記事へのリンクを掲載。未だ根本的な原因は不明です。なお、ツイッターでの被害に遭っているっぽいツイートは4月8日が21件、4月9日が25件ほどヒットしました。未だに収束はしていない模様。
⑦ 世界規模で発生している模様。例によりツイッターでの被害に遭っているっぽいツイートは4月10日は27件ほどヒットしました。
⑧ 悪意のあるソフトウェアの削除ツール(KB890830)もMicrosoft Malware Protection Engineが使われていたので記事に加筆。4月11日のツイッター調査は37件ほどヒットしました。
⑨ MSフォーラムでKB4099950が怪しいとのスレッドが立っている旨を加筆。
[9-2] Update 9に加筆。9-2へ変更。4月12日のツイッター調査は20件ほどヒットしました。
⑩ Update 9-2を削除。9-2の内容は一応保存してますので、見たい人はこちらへどうぞ。KB4099950未インスト環境でも発生していることや、Win10での発生も考慮するとどうにも考えづらいものがあります。KB4099950のアンインストールだけで解決しないことや、KB4099950のインストール前にシステムの復元をした時点で、MSE等で使われているMicrosoft Malware Protection Engineのバージョンも戻っているから発生しなくなったのではと予想。やはり第一容疑者はMicrosoft Malware Protection Engineだと思います。
⑪ 収束の傾向にある旨を加筆。
⑫ 収束。犯人と結論を加筆。うーんこの。

Windows,Windows10,Windows7,WindowsUpdate

Posted by にっち