headless 曰く、

Microsoftは10月26日、Windows 10のWindows Defenderウイルス対策をサンドボックス内で実行できるようになったことを発表した(Microsoft Secureの記事、 Neowinの記事、 On MSFTの記事)。

Windows Defenderウイルス対策は高い特権で実行されるため、攻撃の標的になりやすい。実際に、細工したファイルをスキャンさせることでリモートからの任意コード実行が可能になる脆弱性などが過去に発見されている。このような脆弱性を狙った攻撃に対しては、Windows Defenderウイルス対策のサンドボックス内実行が有効な防御策となる。

Microsoftでは現在、Windows Insider Program参加者を対象にサンドボックス内実行を順次有効化しており、フィードバック内容を分析して実装を改善していくという。ほかのユーザーもWindows 10 バージョン1703以降ではシステム環境変数「MP_FORCE_USE_SANDBOX」を追加して値に「1」をセットしてから再起動すれば、サンドボックス内実行を有効化できる。サンドボックス内実行が有効になった状態では、「MsMpEng.exe」とともに「MsMpEngCP.exe」が実行されるようになる。これらのプロセスの実行状態を確認するには、Process Explorerを使用すればいい。