Windows Insider向けだがバージョン1809でも動作

Microsoftは米国時間2018年10月26日、公式ブログでWindows Defender Antivirusがサンドボックス機能を備えたことを明らかにした。サンドボックスとは保護領域でプログラムなどを実行し、システムへの不正アクセスなどを防ぐセキュリティ機能を指す。

Windows Defender Antivirusはプログラム実行時に、マルウェアなどのコードを含んでいないか調査しているが、本機能を有効にすることで、同処理をサンドボックスで実行することが可能になる。

先の公式ブログによれば、サンドボックス機能はWindows Insider Program参加者に順次提供するという。

  • 「Win」+「R」キーを押して「ファイル名を指定して実行」を起動し、テキストボックスに「cmd」と入力して、「Ctrl」+「Shift」キーを押しながら「OK」ボタンをクリック/タップする

  • 管理者権限を持つコマンドプロンプト上で「setx /M MP_FORCE_USE_SANDBOX 1」と入力して「Enter」キーを押す

  • スタートメニューの「電源」ボタン→「再起動」と順にクリック/タップする

今回、サンドボックスの有効化を、Windows 10 Insider Previewで試してみた。するとマルウェア対策サービスである「MsMpEng.exe」のサブプロセスとして、「MsMpEngCP.exe」が稼働し、サンドボックス機能が有効になることを確認した。

  • 実行前(左)と実行後(右)のプロセスをProcess Explorerで確認

  • MsMpEngCP.exeのプロパティダイアログ

Microsoftは「低い特権で実行するコンテンツプロセスは、利用可能なすべての緩和ポリシーを活用して攻撃の被害を抑止する」と述べており、将来的にはサンドボックス上でASLR(アドレス空間配置のランダム化)やランタイム解析なども提供するという。まずは転ばぬ先の杖として本機能を有効にしておくことをお薦めする。

阿久津良和(Cactus)