ニュース

Microsoft、「Windows Defender」をサンドボックスで実行する機能を追加

万が一攻撃を受けてもシステムへ影響を及ぼさない

公式ブログ“Microsoft Secure”

 米Microsoftは10月26日(現地時間)、「Windows Defender Antivirus」がサンドボックス内で実行できるようになったことを明らかにした。「Windows Defender」を狙う攻撃からシステムを守ることができる。

 「Windows Defender」に限らず、ウイルス対策ソフトはシステム全体を保護する必要から、他のアプリケーションよりも高い動作権限が与えられているのが一般的だ。そのため、万が一攻撃が成功してしまうと被害は甚大なものとなる。今のところ「Windows Defender」でそのような事例が確認されたことはないが、いくつかの脆弱性が報告されているのも事実だ(参考記事1参考記事2参考記事3)。

 そこで導入されたのが、「Windows Defender Antivirus」をサンドボックス内で実行する機能だ。“サンドボックス(Sandbox)”とは、システムから隔離された安全な実験環境のこと。サンドボックスで動作するプロセスには低い権限しか与えられないため、想定外の動作が引き起こされてしまう心配が少ない。また、万が一攻撃が成功してしまったとしても、システムの他の部分に影響が及ぶこともない。気になるのはパフォーマンスへの影響だが、この点に関しても保護データをメモリマップドファイルで保持するなどの工夫でクリアしているという。

 この機能は“Windows Insider”で順次リリースされ、プレビュー版の「Windows 10」でテストされるとのこと。「Windows 10 バージョン 1703」(Creators Update)以降であれば、リリース版の「Windows 10」でも動作を確かめることができる。

 「Windows Defender Antivirus」のサンドボックス実行を有効化するには、「コマンド プロンプト」などを管理者権限で起動し、“setx / M MP_FORCE_USE_SANDBOX 1”コマンドでマシン全体の環境変数を書き換え、OSを再起動すればよい。「Windows Defender Antivirus」の実体である“MsMpEngine.exe”とは別に、コンテンツプロセスである“MsMpEngineCP.exe”が現れるはずだ。「Process Explorer」などのプロセス管理ツールを利用すれば、“MsMpEngineCP.exe”がサンドボックス(“System”権限ではなく“AppContainer”権限)で動作しているのがわかる。

“AppContainer”権限で動作するコンテンツプロセス“MsMpEngineCP.exe”