Secure Bootは、パソコンの起動時に悪意のあるソフトウェアが実行されるのを防ぐセキュリティ機能です。
UEFI(BIOSに相当するコンピュータの起動とハードウェア制御を担うファームウェア)の機能として提供され、デジタル署名によって起動するソフトウェアが信頼できるか確認します。
Secure Bootは、UEFIで起動するソフトウェアを検証し、悪意のあるソフトウェアや改ざんされたソフトウェアが起動するのを防ぎます。
このSecure Bootに、また新たに脆弱性が確認されました。
- CVE-2025-3052
これは、Secure Bootを信頼できない状態にするともいえる脆弱性です。
Secure Boot Bypassです。
もともと、この仕組みは有効な認証情報を持つソフトウェアモジュール以外は起動に利用できない、という機構を提供するものです。
しかし、Microsoftの提供するBIOS更新ユーティリティを悪用することで、脅威アクターは自身の用意したコードを正規のものであるかのように装って、ブート用プログラムの状態に仕立てることができるようになります。
脆弱性は特定のソフトウェアの利用が脆弱性の前提となる場合がよくありますが、この脆弱性はこの点が異なります。
MicrosoftのUEFI CA 2011証明書を信頼する、ほぼすべてのシステムに影響を及ぼします。
これは、Secure Bootをサポートする ほぼすべてのハードウェアに当てはまるということを意味します。
この点で、この脆弱性は非常に危険なものであるといえます。
安全を提供するための機構を信じることで、安全でないモジュールをインストールしてしまうということが起こるということになります。
安全のための機構は、その機構があるから安心してよいということを意味しません。
いくつもの安全機構を効果的に組み合わせ、安全にほころびが生じるのを防いでいく必要があります。
これがあればとにかく安心、という魔法のようなものはありません。
この脆弱性の対策は2025年6月のMicrosoft Tuesdayで提供されています。
ちょうど今日は第2火曜日の翌営業日です。これを適用するべきタイミングですね。
パッチはタイムリーに適用し、それに安心することなく、日々注意してまいりましょう。
Another Crack in the Chain of Trust: Uncovering (Yet Another) Secure Boot Bypass
https://www.binarly.io/blog/another-crack-in-the-chain-of-trust
| この記事をシェア |
|
|---|
表紙.png)
