やじうまの杜

友達からもらった実行ファイルでマルウェア感染!? 「Windows Sandbox」を活用しよう!

「作ったゲームを試して」と渡されたファイルでアカウントが乗っ取られる事例も

 “やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

友達からもらった実行ファイルをいきなり起動するのは厳禁! 「Windows Sandbox」を活用しよう

 コミュニケーションツール「Discord」で悪意ある実行ファイルを送り付け、言葉巧みに実行させるという攻撃が増えているのだそう。最悪の場合「Discord」アカウントを乗っ取られてしまうのですが、そのアカウントでさらに友人を騙すという手法で被害が広がっているようです。

 「そんな攻撃、私は引っかからないよ!」と思う方もいらっしゃるかもしれませんが、もし送られてきたアカウントが仲のよいゲーム友達のものだったり、付き合いの長い知り合いのものだったら? 実はそのアカウントが乗っ取られているとは知らず、心を許してしまうこともあるかもしれません。

 このマルウェアはまだあまり知られておらず、ウイルス検索エンジンのチェックをすり抜けてしまうことがあるようですが、有力な対策として、サンドボックス環境で実行するという方法が提案されています。

 「サンドボックス」とは、システムから隔離された実験環境のことです。実験環境ならば万が一マルウェアに乗っ取られても大丈夫、というわけですね。Windows 10以降には「Windows Sandbox」と呼ばれるサンドボックス環境が標準搭載されているので、ぜひ活用したいところです。

 Windows 10での利用方法は以前に紹介したので、今回はWindows 11での使い方を軽く紹介しましょう。

 まず、「Windows Sandbox」を使用する前に、お使いのPCが以下の条件を満たしていることを確認してください。

  • OSのエディションがPro、EnterpriseまたはEducationであること。Homeでは利用できない
  • OSが64bit版であること(Windows 11には64bit版しかないので問題なし)
  • BIOSで仮想化機能が有効になっていること
  • 少なくとも4GBのメインメモリ(推奨は8GB)、1GBの空きディスク領域(SSDを推奨)、2つ以上のCPUコア(推奨は4つ)を備えていること

 「Windows 11 Pro」は少し高いですが、国内外の友人とコミュニケーションをとりながらゲームをバリバリやるなら買っておいて損はないです。今回紹介する「Windows Sandbox」をはじめとしたセキュリティ機能が充実しています。

 次に、「Windows Sandbox」を利用できるようにします。初期状態ではアクティブになっていないので、「設定」アプリの[アプリ]-[オプション機能]画面にある[Windows のその他の機能]から[Windows の機能の有効化または無効化]ダイアログを表示して有効化しましょう。

[Windows の機能の有効化または無効化]ダイアログで有効化

 マウスでカチカチするのが面倒くさい場合は、コマンドラインでも有効化できるので試してみてください。

  1. [Windows]+[R]キーを押して[名前を指定して実行]ダイアログを開く
  2. 「wt」と入力して、[Ctrl]+[Shift]キーを押しながら[Enter]キーを押す。すると「Windows Terminal」が管理者権限で起動する
  3. 以下のコマンドをコピー&ペーストして「Windows Terminal」で実行する
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online
[Windows]+[R]キーを押して[名前を指定して実行]ダイアログを開く。「wt」と入力して、[Ctrl]+[Shift]キーを押しながら[Enter]キー
管理者権限で「Windows Terminal」が起動。コマンドを実行する。完了したらOSを再起動

 コマンドが完了したら、案内に従ってOSを再起動します。すると、[スタート]画面に「Windows Sandbox」が追加されているはず。

[スタート]画面に「Windows Sandbox」が追加されている

 「Windows Sandbox」を実行すると、ウィンドウの中に英語版のWindows 11がまっさらな状態で起動します。これがマルウェアを実行してもへっちゃらなサンドボックス環境です。

「Windows Sandbox」を実行。一般の仮想マシンよりもかなり高速に起動するはず

 試しに、適当な実行ファイルを起動させてみましょう。まずは転送したいファイルをクリップボードへコピーします。

転送したいファイルをクリップボードへコピー

 続いて、「Windows Sandbox」のなかでクリップボードに格納されたファイルを貼り付けます。すると、ファイルがシステムから実験環境に転送されます。あとはこれを実行すればOK。「ゲームを作ったのに試してほしい」と渡されたのに「Windows Sandbox」で起動するとゲームではないものが現れたら……それはマルウェアです!!

「Windows Sandbox」のなかでクリップボードに格納されたファイルを貼り付け。ファイルがシステムから実験環境に転送される
実行ファイルをサンドボックス環境で実行した様子。どうやら安全らしい

 最近は実行環境が仮想マシンかどうか判定して振る舞いを変えるマルウェアも存在するので油断は禁物ですが、かなり頼りになるはずです。

 ちなみに、「Windows Sandbox」を終了すると仮想マシンの変更はすべて破棄され、次回の起動時はまっさらな状態になります。設定ファイルを編集し、サンドボックス環境環境をスタートアップ時にカスタマイズする機能も用意されているので、上級者は試してみるのもよいでしょう。

「Windows Sandbox」を終了すると仮想マシンの変更はすべて破棄される