サンドボックスとは直訳すれば"砂場"という意味合いになるものの、コンピューター関連用語としては"攻撃されても影響が出ないように準備されたスペース"とされ、外部との通信や命令実行を厳しく制限できるようになっています。たとえばiPhoneやiPadはアプリをこのサンドボックス内で実行するため、生成されるデータなどもサンドボックス内で制御されます。これは事実上、iOSにアンチウィルスアプリが必要ない理由にもなっています。

一方、基本的にPC用のOSであるWindowsの場合はUWPアプリこそサンドボックス内で実行されるものの、従来方式のプログラムは従来どおり。アンチウィルスソフトは通常、悪意あるプログラムをスキャンするためにそのファイルに直接アクセスせねばならず、高い権限を必要とします。

そのため、近年はこのWindows Defenderを狙い、システムが自動的にファイルをスキャンした際に悪意あるコードを実行させてしまうマルウェアも登場していました。

そうした背景を考えると、Windows Defender Antivirus自体をサンドボックス内で動作させるというのは、動作を安全サイドに置くという意味で有効な手立てと言えるでしょう。

サンドボックス化にはいくつかの基本的な変更が必要だったとマイクロソフトは説明します。Windows Defender Antivirusの立場としては、これまでの高いアクセス権から可能な限りI/Oを最小限にした動作に制限されるため、ほぼすべての保護情報を起動時に読み取り専用のメモリマップファイルに格納するよう変更されました。したがって実際のコンテンツやプロセスへのアクセスは大きく制限されることになります。

現在、WindowsはInsider Preview版で順次この機能を有効化しつつある段階です。この機能が目論見通りに働くなら、マルウェアはWindows Defenderを標的にすることは難しくなり、Windows Defenderはユーザーに対してセーフネットとしての機能をより安全に提供できるようになるはずです。