セキュアブートはなぜ必要なのか
PCの起動シーケンスにUEFI(Unified Extensible Firmware Interface:ユニファイド・エクステンシブル・ファームウェア・インタフェース)の仕組みを利用するデバイスにおいて、オペレーティングシステムの読み込みに使用されるブートローダー(EFIアプリケーション)およびブートドライバーの侵害を防止するセキュリティ機能とされる。
UEFIではブートローダーやブートドライバーをESP(EFIシステムパーティション)に保存している。この領域は改ざんされる可能性があり、攻撃者がルートキットなどのマルウェアを組み込むことで、OS起動前に不正コードを実行させる恐れがある。このような攻撃を防ぐため、近年のPCにはセキュアブートが標準搭載されている。
セキュアブートはどのように動作するのか
セキュアブートの利用には、UEFI 2.3.1およびTPM(Trusted Platform Module:トラステッドプラットフォームモジュール)を搭載したPCが必要。いずれもWindows 11のシステム要件に合致しており、近年のWindows認定PCでは標準で搭載されている。
Windows認定PCではファームウェア(署名データベース)にMicrosoftの公開鍵証明書認証局(CA: Certificate Authority)証明書の「Microsoft UEFI CA 2011」が保存されており、これを使用して署名の確認が行われる。なお、Linuxの起動には「Microsoft 3rd Party UEFI CA証明書」によって署名されたブートローダーが使用される。
セキュアブートの利用者にとって重要なのが、これら証明書の有効期限と更新である
証明書の有効期限はいつまでか
セキュアブートでは署名確認に使用する電子証明書がファームウェアに保存されている。この電子証明書には有効期限があり、Microsoft証明書の初回発行分(2011年発行)は2026年6月27日に期限を迎える。
新しい証明書は2023年発行のWindows Updateを通じて更新プログラムが配布されている。通常は毎月リリースされているセキュリティ更新プログラムのインストールに伴い、自動的に証明書もアップデートされる。
更新状況の確認
セキュアブートの有効状態と、証明書の更新状態は「Windowsセキュリティ」から確認することができる。
具体的には設定アプリの「プライバシーとセキュリティ」→「Windowsセキュリティ」→「Windowsセキュリティを開く」をクリック→「Windowsセキュリティ」が起動するので「デバイスセキュリティ」をクリック→「セキュアブート」の内容を確認する。
「これ以上の証明書の変更は必要ありません。」と表示されていれば、証明書の更新は完了している。一方で赤または黄色のアイコンが表示され、更新プログラムを受信していないと表示された場合は、証明書の更新は完了していない。
レガシーBIOSを使用しているデバイスへの影響
ハードウェアがセキュアブートに対応していない場合は、証明書のアップデートは行われない
設定で無効化している場合も、意図的に更新処理をエラーで失敗させる。
