やじうまの杜
友達からもらった実行ファイルでマルウェア感染!? 「Windows Sandbox」を活用しよう!
「作ったゲームを試して」と渡されたファイルでアカウントが乗っ取られる事例も
2022年2月16日 06:45
“やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
コミュニケーションツール「Discord」で悪意ある実行ファイルを送り付け、言葉巧みに実行させるという攻撃が増えているのだそう。最悪の場合「Discord」アカウントを乗っ取られてしまうのですが、そのアカウントでさらに友人を騙すという手法で被害が広がっているようです。
ゲームクリエイターの知り合いから「5分で終わるからゲームのテストプレイをしてほしい」って送られてきて,市販のウイルススキャンも素通りしたから開いてしまいました。
— ゆかたゆ (@yukata_yu)February 13, 2022
隔離環境を開くひと手間をおろそかにしてしまいました。本当に反省……
「そんな攻撃、私は引っかからないよ!」と思う方もいらっしゃるかもしれませんが、もし送られてきたアカウントが仲のよいゲーム友達のものだったり、付き合いの長い知り合いのものだったら? 実はそのアカウントが乗っ取られているとは知らず、心を許してしまうこともあるかもしれません。
このマルウェアはまだあまり知られておらず、ウイルス検索エンジンのチェックをすり抜けてしまうことがあるようですが、有力な対策として、サンドボックス環境で実行するという方法が提案されています。
Discord でもメールでも相手が知人でも誰でも飛んできた exe 踏むなら Windows Sandbox の中でやるんだぞhttps://t.co/qSIDd09dl1
— だんぼーだよ📦 (@Liliaceae)February 14, 2022
「サンドボックス」とは、システムから隔離された実験環境のことです。実験環境ならば万が一マルウェアに乗っ取られても大丈夫、というわけですね。Windows 10以降には「Windows Sandbox」と呼ばれるサンドボックス環境が標準搭載されているので、ぜひ活用したいところです。
Windows 10での利用方法は以前に紹介したので、今回はWindows 11での使い方を軽く紹介しましょう。
まず、「Windows Sandbox」を使用する前に、お使いのPCが以下の条件を満たしていることを確認してください。
- OSのエディションがPro、EnterpriseまたはEducationであること。Homeでは利用できない
- OSが64bit版であること(Windows 11には64bit版しかないので問題なし)
- BIOSで仮想化機能が有効になっていること
- 少なくとも4GBのメインメモリ(推奨は8GB)、1GBの空きディスク領域(SSDを推奨)、2つ以上のCPUコア(推奨は4つ)を備えていること
「Windows 11 Pro」は少し高いですが、国内外の友人とコミュニケーションをとりながらゲームをバリバリやるなら買っておいて損はないです。今回紹介する「Windows Sandbox」をはじめとしたセキュリティ機能が充実しています。
次に、「Windows Sandbox」を利用できるようにします。初期状態ではアクティブになっていないので、「設定」アプリの[アプリ]-[オプション機能]画面にある[Windows のその他の機能]から[Windows の機能の有効化または無効化]ダイアログを表示して有効化しましょう。
マウスでカチカチするのが面倒くさい場合は、コマンドラインでも有効化できるので試してみてください。
- [Windows]+[R]キーを押して[名前を指定して実行]ダイアログを開く
- 「wt」と入力して、[Ctrl]+[Shift]キーを押しながら[Enter]キーを押す。すると「Windows Terminal」が管理者権限で起動する
- 以下のコマンドをコピー&ペーストして「Windows Terminal」で実行する
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online
コマンドが完了したら、案内に従ってOSを再起動します。すると、[スタート]画面に「Windows Sandbox」が追加されているはず。
「Windows Sandbox」を実行すると、ウィンドウの中に英語版のWindows 11がまっさらな状態で起動します。これがマルウェアを実行してもへっちゃらなサンドボックス環境です。
試しに、適当な実行ファイルを起動させてみましょう。まずは転送したいファイルをクリップボードへコピーします。
続いて、「Windows Sandbox」のなかでクリップボードに格納されたファイルを貼り付けます。すると、ファイルがシステムから実験環境に転送されます。あとはこれを実行すればOK。「ゲームを作ったのに試してほしい」と渡されたのに「Windows Sandbox」で起動するとゲームではないものが現れたら……それはマルウェアです!!
最近は実行環境が仮想マシンかどうか判定して振る舞いを変えるマルウェアも存在するので油断は禁物ですが、かなり頼りになるはずです。
挙動を見たら,VMかどうか判定して,VMの時には怪しい事しないようにしているっぽいのです。
— ゆかたゆ (@yukata_yu)February 13, 2022
少なくとも私よりかしこい。
ちなみに、「Windows Sandbox」を終了すると仮想マシンの変更はすべて破棄され、次回の起動時はまっさらな状態になります。設定ファイルを編集し、サンドボックス環境環境をスタートアップ時にカスタマイズする機能も用意されているので、上級者は試してみるのもよいでしょう。