Windows 10に搭載されるセキュリティ機能「Windows Defender Antivirus」がサンドボックス内で実行できるようになったとマイクロソフトが発表しています。
サンドボックスって何?
サンドボックス(sandbox)とは、「外部から受け取ったプログラムを保護された領域で動作させることによって、システムが不正に操作されるのを防ぐセキュリティ機構」のことをいう
外部との通信や命令実行を厳しく制限できるようになっています。
iPhoneやiPadにはアンチウイルスソフトがありません。Androidにはいくつかありますよね。
なぜか、iPhoneやiPadはアプリをこのサンドボックス内で実行しており、生成されるデータなどもサンドボックス内で制御されています。
なので、必要のないことになってます。
少し話しがそれましたが、PCはどうなっているのだろうか。
PC用OSのWindowsはUWPアプリ(Microsoft Store)に限れば、サンドボックス内で実行されています。
しかし、従来方式でインストールされているアプリに関しては従来どおりになってます。
アンウイルスソフトは通常、悪意あるプログラムをスキャンするためにそのファイルに直接アクセスしなければならないため、上位の権限が必要になります。
近年では、このWindows Defenderを狙い、システムが自動的にファイルをスキャンした際に悪意あるコードを実行させてしまうマルウェアも登場しており、安全性に不安がでていました。
Windows Defender Antivirus自体をサンドボックス内で動作させることで、動作を安全は方に置く方式になるので、有効な手段になりそうです。
サンドボックス化には基本的な変更が必要?
Windows Defender Antivirusの立場としては、これまでの上位のアクセス権から可能な限りI/Oを最小限にした動作に制限されるため、
ほぼすべての保護情報を起動時に読み取り専用のメモリマップファイルに格納するよう変更されたそうです。
それにより、実際のコンテンツやプロセスへのアクセスは大きく制限されることになります。
これはこれで、動作重くならんのかな・・・
立ち上がりが遅くなるような・・・
実用まであと少し
現在、Insider Preview版で順次この機能を有効化しつつある段階にあるようで、想定どうりに働くならマルウェアはWindows Defenderを標的にすることは難しくなり、Windows Defenderはユーザーに対してセーフネットとしての機能をより堅牢なものになるはず。
それと引き換えに起動に時間が掛かるかもしれないけども・・・
