WindowsおよびLinuxシステムを利用するユーザーにとって、重要なセキュリティ更新の期限が間近に迫っています。米メディア『WIRED』の報道によると、システム起動時のセキュリティを担う暗号化キーの一部が、2026年6月24日から順次期限切れを迎えるとのことです。この更新は、オペレーティングシステムやアンチマルウェアが起動する前に読み込まれる、ファームウェアベースのUEFIブートキットと呼ばれる悪質なマルウェアからPCを保護するために不可欠です。
Secure BootとUEFIブートキットの脅威
今回の更新の中心となるのは、Microsoftが設計した「Secure Boot」という信頼の連鎖です。Secure Bootは、システム起動時に読み込まれるすべてのファームウェアのデジタル署名を検証し、それがマザーボードメーカーなどの信頼できる提供元から発信されたものであることを確認します。これにより、攻撃者が正規の起動ファームウェアを悪意あるものに置き換えることを防ぎます。
UEFIブートキットは、BIOSの後継であるUnified Extensible Firmware Interface(UEFI)を改変するタイプのマルウェアです。OSや他のほとんどのコードよりも先に読み込まれるため、検出が非常に困難という特徴があります。一度インストールされると、資格情報の窃取、システムのバックドア作成、その他の悪意ある活動を行うマルウェアをOSにロードします。さらに厄介なことに、OSをクリーンアップしてもブートキット自体は残存し、システムを再感染させる可能性があります。OSの再インストールさえも生き残るため、根絶が極めて困難な脅威として認識されています。
ブートキットの歴史と進化
ブートキットの概念は、1980年代初頭のApple IIマシンを標的としたマルウェアにまで遡ります。Windows環境では、2000年代初頭に攻撃的セキュリティ研究者によって概念実証が示され、2005年のBlack Hatセキュリティカンファレンスで発表された「BootRoot」がその先駆けとされています。その後もVbootkit、Stoned Bootkit、Mebrootなど、多くの概念実証が登場しました。
2012年には、BIOSやマスターブートレコードではなく、EFIを標的とする新しい形式のブートキットがMac OS Xシステム向けに登場。Windows 8向けには、UEFIの初期段階を感染させる非常に原始的なブートキットも確認されました。2013年には、より高度なWindows向けUEFIブートキット「Dreamboat」が研究者によって実演されています。
実世界でのUEFIを標的とした最初の攻撃は、2018年に発見された「LoJax」マルウェアとされています。これは、クレムリンを後ろ盾とするハッキンググループ「Sednit(Fancy Bear、APT28)」によって作成され、正規の盗難防止ソフトウェア「LoJack」を悪用したものでした。このマルウェアは、UEFIファームウェアのフラッシュメモリの一部をリモートで読み書きするツールを用いてインストールされました。
2020年には、カスペルスキーの研究者によって、UEFIを攻撃する2番目の実世界マルウェア「MosaicRegressor」が発見されました。感染したデバイスが再起動するたびに、UEFIが悪意あるファイルがWindowsのスタートアップフォルダに存在するかを確認し、なければインストールする仕組みです。これ以降もESpecter、FinSpy、MoonBounceといった新たなUEFIブートキットが複数確認されており、その脅威は進化し続けています。
LogoFail脆弱性と暗号化キーの更新
UEFIブートキットの脅威が増大する中、Microsoftはデバイスメーカーと協力してSecure Bootを開発しました。しかし、2023年には「LogoFail」と呼ばれる一連の重大な脆弱性が発見されました。これは、世界中のほぼすべてのWindowsおよびLinuxシステムのUEFI起動時に表示されるハードウェアメーカーのロゴを解析するソフトウェアのバグを悪用するもので、攻撃者はSecure Bootを迂回してUEFIに悪意あるファームウェアを感染させることが可能でした。
LogoFailの発見を受け、MicrosoftはSecure Bootの基盤となる既存の暗号化署名を新しいものに置き換える必要に迫られました。現在、2011年付けの古い3つの署名が削除され、2023年付けの新しい署名に更新が進められています。Windows 10およびWindows 11マシンでは、この更新プロセスが進行中です。また、Linuxディストリビューションも、Secure BootキーとLinuxブートローダー間の信頼された橋渡し役となる小規模な初期段階UEFIブートローダーである「shim」の更新を進めています。
Secure Boot関連キーの更新に失敗したマシンは引き続き機能しますが、新たなUEFI脅威に対する保護を失うことになります。実際、これらのマシンは既にLogoFail脆弱性を悪用する新たなUEFI脅威に対して脆弱でしたが、今回のキー更新は、そのリスクを軽減し、将来発生する可能性のある関連性のないUEFI攻撃を防ぐことを目的としています。
ユーザーが取るべき対応
ほとんどのWindowsマシンでは、通常の月次パッチ配布時にSecure Boot関連キーが自動的に更新されますが、一部の古いマシンでは手動での対応が必要になる可能性があります。Windowsユーザーは、以下の手順でキーの更新状況を確認できます。
- 「Windows セキュリティ」設定を開く
- 「デバイスのセキュリティ」を選択
- 「Secure Boot」の項目を確認
緑色のチェックマークが表示されていれば、更新は完了しています。緑色のチェックマークがない場合は、システムのファームウェア(BIOS/UEFI)を最新の状態に更新する必要があるかもしれません。Microsoftは、Secure Boot証明書がスムーズに更新されるために、すべてのファームウェア更新を常に最新の状態に保つことを推奨しています。
Linuxユーザーは、各ディストリビューションからリリースされる新しい「shim」の更新に注意を払う必要があります。利用しているディストリビューションの公式アナウンスやパッケージマネージャーを通じて、最新の更新を適用することが重要です。
【管理人の視点】日本のユーザーが今すべきこと
今回のセキュリティ期限は、日本国内のWindowsおよびLinuxユーザーにも等しく影響を及ぼします。特に、自動更新が適切に適用されていない可能性のある古いPCや、企業環境でIT管理者が一括管理しているシステムでは、注意が必要です。
個人ユーザーは、まず自身のWindows PCでSecure Bootの状態を確認し、緑色のチェックマークがない場合は、PCメーカーのウェブサイトから最新のUEFIファームウェアアップデートを適用することを検討すべきです。ファームウェアの更新はPCの安定性にも関わるため、手順をよく確認し、慎重に行う必要があります。誤った操作はPCの起動不能につながるリスクもあるため、不安な場合は専門家やメーカーサポートに相談するのが賢明でしょう。
Linuxユーザーは、利用しているディストリビューション(Ubuntu、Fedora、Arch Linuxなど)のセキュリティアナウンスやアップデート情報を定期的にチェックし、Secure Boot関連の「shim」が更新されていることを確認してください。多くのディストリビューションでは、通常のリポジトリ更新を通じて提供されるはずですが、念のため公式情報を参照することが重要です。
今回の件は、OSだけでなく、その基盤となるファームウェアレベルでのセキュリティ対策がいかに重要であるかを再認識させるものです。常にシステムを最新の状態に保ち、提供されるセキュリティアップデートを速やかに適用する習慣が、未知の脅威から身を守るための第一歩となります。
まとめ
WindowsとLinuxのセキュリティを支える暗号化キーの期限切れが迫っており、UEFIブートキットという高度なマルウェアからの保護を維持するためには、Secure Boot関連の更新が不可欠です。2023年に発見されたLogoFail脆弱性への対応として、Microsoftは既存の暗号化署名を新しいものに置き換える作業を進めており、Linuxディストリビューションも同様の更新を行っています。
ユーザーは、自身のシステムが最新のセキュリティ保護を受けているかを確認し、必要に応じてファームウェアやソフトウェアのアップデートを適用することが強く推奨されます。特に古いPCを使用している場合は、手動での確認と対応が必要になる可能性があります。今回の更新は、将来的なUEFIレベルの攻撃に対する防御を強化し、より安全なコンピューティング環境を維持するために極めて重要な意味を持ちます。
情報元:wired.com
