89
PCをシャットダウンしてもWindows Defenderサンドボックスは無効のまま

画像クレジット: Microsoft

(画像提供:Microsoft)

先週、マイクロソフトはWindows Defenderがサンドボックス化された初のウイルス対策ソフトになると発表しました。しかし、セキュリティ研究者のディディエ・スティーブンス氏は、バグのため、PCを再起動せずにシャットダウンすると、この機能が正しく有効化されないことを発見しました。

Windows Defender サンドボックスの悪いスタート

現在、最新のWindows InsidersプレビュービルドでWindows Defenderのサンドボックス機能を有効にするには、「MP_FORCE_USE_SANDBOX」というシステム環境変数を作成し、その値を1に設定する必要があります。そして、この機能を有効にするには、PCを再起動する必要があります。しかし、Didier氏は、PCをシャットダウンすると、この機能が有効にならないことを発見しました。

ディディエ氏は、SANS 研究所の Web サイトのハンドラーの日記でバグを発見した経緯を次のように語りました。

サンドボックスを有効化する際に問題が発生しました。システム環境変数を作成した後、マシンをシャットダウンしてから電源を入れたのですが、サンドボックスは有効化されませんでした。サンドボックスを有効化するには、再起動(スタートメニュー/電源/再起動)する必要がありました。サンドボックスを無効化しようとした時も同じ問題が発生しました。必ず再起動(文字通り)を実行してください。この問題はMicrosoftに報告されており、今後のリリースで修正される予定です。

ディディエ氏はまた、サンドボックスがアクティブになっていることを確認するには、プロセス エクスプローラーなどのプログラムを使用して、Windows Defender プロセス「MsMpEng.exe」に「MsMpEngCP.exe」という子プロセスが付属しているかどうかを確認できるとも述べています。

画像クレジット: ディディエ・スティーブンス

(画像提供:ディディエ・スティーブンス)


子プロセスが表示されない場合は、MP_FORCE_USE_SANDBOX 変数が作成され、1 に設定されていることを確認してから、PC を再起動してください。

デフォルトのウイルス対策ソリューションの影響

MicrosoftはWindows 8のリリース時に、Windows Defender(旧称Microsoft Security Essentials)をデフォルトで搭載しました。これにより、ユーザーは(理論上は)サードパーティ製のウイルス対策ソフトを必要としなくなりましたが、必然的に独自の問題が発生しました。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

問題の一つは、他のウイルス対策会社が、Microsoft によって自社のウイルス対策ソフトが時代遅れになっていくことを快く思っていなかったことです。なぜなら、間もなくほとんどのユーザーが、自分の PC を保護するために別のウイルス対策ソフトは必要ないということに気付くかもしれないからです。 

Windows Defenderをデフォルトのウイルス対策ソフトに設定したことは、悪意のある攻撃者にとってWindows Defenderが主要なウイルス対策ソフトの標的になることを意味しました。Windowsマシンでマルウェアを実行するには、攻撃者はまずDefenderの保護を回避する方法を習得する必要がありました。そうでなければ、マルウェアはユーザーのPCに侵入した途端、すぐにブロックされてしまうでしょう。

他のアンチウイルス企業が、自社のアンチウイルス製品がこれまで認識していなかった新たな攻撃を知った際に通常行うように、マイクロソフトも最終的にはこれらの新たな攻撃を把握し、防御策を講じるでしょう。しかし、攻撃と具体的なDefenderのバイパスが発見されるまでには、まだ数ヶ月、あるいは数年かかる可能性があります。

新しい Windows Defender サンドボックス機能

Windows Defender が何億台もの PC のデフォルトのウイルス対策ソリューションになったことで生じたもう 1 つの問題は、より高度な攻撃者が Defender をユーザーに対して攻撃する方法を見つけようとするようになることです。

多くのセキュリティソリューションと同様に、Windows Defender も効果を発揮するためには、ユーザーの介入なしに Windows マシン上のあらゆるファイルにアクセスし、スキャンするための高い権限が必要でした。しかし、これは攻撃者が Windows Defender を悪用できれば、ユーザーのシステムを乗っ取ることも可能であることを意味します。昨年、Windows Defender に同様の脆弱性が既に発見されており、これが Microsoft がサンドボックス機能を開発するきっかけとなった可能性があります。

サンドボックス機能は、Windows Defender の権限の一部を制限することで、攻撃者が Windows Defender を乗っ取った場合に生じる可能性のある損害を最小限に抑えます。完全な権限が絶対に必要なウイルス対策コンポーネントのみがサンドボックス化されず、その他のほとんどのコンポーネントはサンドボックス内で実行されます。

この Windows Defender サンドボックス機能は、Microsoft がさらにテストを実施し、ユーザーやセキュリティ研究者からより多くのフィードバックを受け取った後、将来的に Windows 10 の安定したビルドに搭載される予定です。

Deals
Posted by Lorlink