閉じる

lsass.exeとは?Windowsの重要プロセスを解説|CPU負荷やウイルス感染の確認方法

広告

Windowsを日常的に使用している中で、タスクマネージャーを開いた際に「lsass.exe」というプロセスが動作しているのを見かけたことはないでしょうか。

多くのユーザーにとって、見慣れない実行ファイルが常にリソースを消費している状態は、不安を感じる要因となります。

特にCPU使用率が異常に高くなっていたり、複数の同じ名前のプロセスが動いていたりすると、「ウイルスではないか」と疑ってしまうこともあるでしょう。

しかし、lsass.exeはWindows OSの根幹を支える極めて重要なシステムプロセスであり、これが正常に機能していなければ、私たちはPCにログインすることすらできません。

一方で、その重要性を逆手に取り、ウイルスやマルウェアがこのファイル名に偽装してシステムに侵入するケースも後を絶ちません。

本記事では、lsass.exeの正体とその役割、高い負荷がかかった際の対処法、そして本物と偽物を見分けるための具体的な確認手順を詳しく解説します。

目次 [ close ]
  1. lsass.exeとは?その役割と重要性
    1. ユーザー認証の管理
    2. セキュリティトークンの発行
    3. パスワード変更とポリシーの適用
  2. なぜ lsass.exe のCPU負荷が高くなるのか
    1. 1. 大規模なユーザー認証や同期処理
    2. 2. Windows Updateの影響
    3. 3. セキュリティソフトとの競合
    4. 4. 特定のアプリケーションによる頻繁なクエリ
  3. lsass.exe を装うウイルスの危険性
    1. よくある偽装の手法
    2. 資格情報の窃取 (Mimikatzなど)
  4. 本物か偽物かを見分ける3つの確認方法
    1. 1. 保存場所を確認する
    2. 2. デジタル署名を確認する
    3. 3. ユーザー名を確認する
  5. CPU負荷が高い時の具体的な対処法
    1. システムファイルチェッカー (SFC) の実行
    2. セーフモードでの挙動確認
    3. セキュリティ設定の確認 (LSA保護)
  6. 注意:lsass.exe を強制終了してはいけない
  7. まとめ

lsass.exeとは?その役割と重要性

lsass.exe は、Local Security Authority Subsystem Service (ローカルセキュリティ権限サブシステムサービス) の略称です。

その名の通り、Windowsにおけるセキュリティポリシーの適用や、ユーザー認証を一手に引き受けているプロセスです。

ユーザー認証の管理

PCを起動してパスワードやPIN、あるいは生体認証 (Windows Hello) を入力した際、その情報が正しいかどうかを照合するのがこのプロセスの主な役割です。

ユーザーが入力した資格情報を、システム内に保存されている安全なデータと比較し、一致した場合にのみデスクトップへのアクセスを許可します。

セキュリティトークンの発行

認証が成功すると、lsass.exe はそのユーザーに対して「アクセス許可証」のような役割を果たすアクセス権限トークンを発行します。

これにより、ユーザーは一度ログインすれば、ファイルを開いたりアプリケーションを実行したりするたびにパスワードを再入力する必要がなくなります。

パスワード変更とポリシーの適用

ユーザーがパスワードを変更する際の処理や、一定回数ログインに失敗した際のアカウントロックアウトなどのセキュリティポリシーの強制も、このプロセスが行っています。

また、Active Directory (アクティブディレクトリ) 環境下のドメインに参加しているPCの場合、サーバーとの認証連携も担当します。

なぜ lsass.exe のCPU負荷が高くなるのか

通常、lsass.exe はバックグラウンドで静かに動作しており、システムリソースを大量に消費することはありません。

しかし、特定の条件下では CPU使用率やメモリ消費量が跳ね上がる ことがあります。

主な原因は以下の通りです。

1. 大規模なユーザー認証や同期処理

Active Directory を利用している企業環境では、多数のユーザー情報やグループポリシーを同期する際に一時的に負荷が高まることがあります。

特にログインが集中する時間帯や、システム管理者が大規模な設定変更を行った直後などは、処理が追いつかずにCPU負荷が上昇する傾向にあります。

2. Windows Updateの影響

Windows Updateがバックグラウンドで動作している際、セキュリティ関連のパッチ適用に伴って lsass.exe が再検証作業を行うことがあります。

これは一時的な現象であることが多く、アップデートの完了とともに正常な数値に戻るのが一般的です。

3. セキュリティソフトとの競合

サードパーティ製のウイルス対策ソフトがシステムの深部をスキャンする際、lsass.exe と情報のやり取りが頻繁に発生し、結果として両方のプロセスがリソースを奪い合う形になることがあります。

4. 特定のアプリケーションによる頻繁なクエリ

データベースソフトや、独自のユーザー認証プロセスを持つ古いアプリケーションが、短時間に何度もセキュリティ照会を繰り返すことで、プロセスの負荷を増大させることがあります。

lsass.exe を装うウイルスの危険性

lsass.exe 自体は必須のシステムファイルですが、サイバー攻撃者はこの名前を悪用することがあります。

本物のプロセスになりすますことで、ユーザーや一部のセキュリティソフトの目を欺こうとするのです。

よくある偽装の手法

マルウェアがよく使う手口として、「綴りを微妙に変える」 というものがあります。

人間の目には一瞬同じに見えても、プログラム上は全く別のファイルとして動作します。

プロセス名 (例)状態判別ポイント
lsass.exe本物小文字の L (エル) から始まる。
Isass.exe偽物大文字の I (アイ) から始まっている。
lsas.exe偽物「s」が一つ足りない。
lsassa.exe偽物最後に余計な文字がついている。

資格情報の窃取 (Mimikatzなど)

lsass.exe はメモリ上にユーザーの認証情報を一時的に保持する特性があるため、ハッカーにとって非常に魅力的な標的です。

例えば、Mimikatz のようなツールを使用されると、メモリ内から平文のパスワードやハッシュ化された認証情報を盗み出されるリスクがあります。

近年の Windows 11 等では、これを防ぐために LSA保護 (Local Security Authority Protection) という機能が標準で強化されています。

本物か偽物かを見分ける3つの確認方法

自分のPCで動いている lsass.exe が安全なものかどうかを確認するには、以下の手順を実行してください。

1. 保存場所を確認する

最も確実な方法は、実行ファイルの保存場所を特定することです。

  1. Ctrl + Shift + Esc を押してタスクマネージャーを開きます。
  2. 「詳細」タブをクリックします。
  3. リストから lsass.exe を探し、右クリックします。
  4. 「ファイルの場所を開く」 を選択します。

開かれたフォルダが C:\Windows\System32 であれば、それは本物のシステムプロセスです。

もしこれ以外の場所 (例: デスクトップや Temp フォルダ、Appdata フォルダなど) が開かれた場合は、ウイルスである可能性が極めて高い と判断してください。

2. デジタル署名を確認する

本物のファイルには、Microsoftによる電子的な署名が付与されています。

  1. 先ほど開いたフォルダ内の lsass.exe を右クリックし、「プロパティ」を選択します。
  2. 「デジタル署名」タブを確認します。
  3. 署名者名が Microsoft WindowsMicrosoft Corporation になっているかを確認してください。署名がない場合や、身に覚えのない組織名になっている場合は注意が必要です。

3. ユーザー名を確認する

タスクマネージャーの「詳細」タブにある「ユーザー名」の列を確認してください。

本物の lsass.exe は、通常 SYSTEM というユーザー権限で動作しています。

これがログインしている自分のユーザー名 (例: Taro や Admin) で実行されている場合は、不正なプログラムである疑いがあります。

CPU負荷が高い時の具体的な対処法

もし lsass.exe が本物であるにもかかわらず、CPUやディスクの使用率が異常に高い場合は、以下の手順を試してみてください。

システムファイルチェッカー (SFC) の実行

システムファイルが破損していることが原因で、lsass.exe がループ処理に陥っている可能性があります。

  1. スタートメニューで「cmd」と入力し、コマンドプロンプトを 「管理者として実行」 します。
  2. 次のコマンドを入力して Enter を押します。
    sfc /scannow
  3. 修復が完了したら、PCを再起動して状況を確認します。

セーフモードでの挙動確認

インストールしたばかりのアプリやドライバーが干渉している場合、最小構成のセーフモードで起動することで問題が切り分けられます。

セーフモードで負荷が下がるのであれば、最近導入したソフトウェアに原因がある可能性が高いと言えます。

セキュリティ設定の確認 (LSA保護)

設定アプリから「プライバシーとセキュリティ」>「Windows セキュリティ」>「デバイス セキュリティ」>「コア分離」へと進み、「ローカル セキュリティ機関の保護」 がオンになっているか確認してください。

これがオフになっていると、プロセスへの攻撃が容易になり、結果として不安定な動作を招くことがあります。

注意:lsass.exe を強制終了してはいけない

タスクマネージャーで「タスクの終了」を試みようとすると、Windowsから警告が表示されます。

lsass.exe はシステムの心臓部であるため、強制終了するとシステムは即座にクラッシュし、PCは自動的に再起動します

これはバグではなく、セキュリティ上の仕様です。

重要な認証プロセスが停止した状態では、OSの整合性を保てなくなるため、Windowsは強制的にシャットダウンを行うよう設計されています。

未保存のデータがある状態で強制終了を行うと、データ消失のリスクがあるため、絶対に避けてください。

まとめ

lsass.exe は、Windowsのセキュリティとユーザー認証を司る、なくてはならない存在です。

ログイン時のパスワード照合から、PC内での権限管理まで、私たちのデジタルライフの安全を守るために24時間稼働し続けています。

もし動作が重いと感じた際は、まずは本記事で紹介した「ファイルの場所」と「デジタル署名」を確認しましょう。

本物であればシステムファイルの修復やアップデートの適用で解決することがほとんどですが、もし不審な場所で動作していることが判明した場合は、直ちに最新のウイルス対策ソフトでフルスキャンを実行してください。

正しい知識を持ってシステムプロセスと向き合うことで、Windowsをより安全かつ快適に使い続けることができるようになります。

トラブルに直面した際は、慌てずに一つひとつの項目をチェックしていくことが、解決への最短ルートとなります。

クラウドSSLサイトシールは安心の証です。

URLをコピーしました!