セキュアブート(Secure Boot)
セキュアブート(Secure Boot) とは何ですか?
セキュアブート(Secure Boot)起動の各コンポーネントの暗号署名を検証する UEFI 機能。信頼された発行元の署名がないブートローダー、カーネル、ドライバーの実行を拒否する。
セキュアブートは UEFI 仕様の機能で、プラットフォームファームウェアから OS まで信頼の連鎖を構築します。各段階でファームウェアは、保護変数 PK、KEK、db、dbx に格納された鍵を用いて次段(ブートローダー、カーネル、ドライバー)の署名を検証します。署名が欠落したり失効していたりすれば起動を停止します。LoJax や BlackLotus のような OS 前マルウェアや永続化 Rootkit/Bootkit からの防御に有効です。Windows 11 では必須で、主要な Linux ディストリビューションは shim 経由でサポートし、TPM PCR を用いた計測起動や Intel BootGuard などのリモート証明と組み合わせます。
● 例
- 01
BlackLotus の公表後、Microsoft が UEFI dbx を通じて脆弱な起動バイナリを失効させた。
- 02
Linux ディストリが Microsoft の UEFI CA 配下の shim で GRUB に署名し、OEM ファームウェアで起動する。
● よくある質問
セキュアブート(Secure Boot) とは何ですか?
起動の各コンポーネントの暗号署名を検証する UEFI 機能。信頼された発行元の署名がないブートローダー、カーネル、ドライバーの実行を拒否する。 サイバーセキュリティの 暗号 カテゴリに属します。
セキュアブート(Secure Boot) とはどういう意味ですか?
起動の各コンポーネントの暗号署名を検証する UEFI 機能。信頼された発行元の署名がないブートローダー、カーネル、ドライバーの実行を拒否する。
セキュアブート(Secure Boot) はどのように機能しますか?
セキュアブートは UEFI 仕様の機能で、プラットフォームファームウェアから OS まで信頼の連鎖を構築します。各段階でファームウェアは、保護変数 PK、KEK、db、dbx に格納された鍵を用いて次段(ブートローダー、カーネル、ドライバー)の署名を検証します。署名が欠落したり失効していたりすれば起動を停止します。LoJax や BlackLotus のような OS 前マルウェアや永続化 Rootkit/Bootkit からの防御に有効です。Windows 11 では必須で、主要な Linux ディストリビューションは shim 経由でサポートし、TPM PCR を用いた計測起動や Intel BootGuard などのリモート証明と組み合わせます。
セキュアブート(Secure Boot) からどのように防御しますか?
セキュアブート(Secure Boot) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- cryptography№ 1178
Trusted Platform Module(TPM)
TCG が標準化したセキュリティチップで、マザーボード実装またはファームウェアとして提供され、ハードウェアに根ざした鍵保管、リモート証明、計測起動を行う。
- malware№ 117
ブートキット
MBR、VBR、UEFI などの起動プロセスを感染させ、OS より前に動作して持続的かつ高権限の制御を獲得するマルウェア。
- malware№ 949
ルートキット
OS や機器上で高い権限を取得・維持しつつ、その存在を一般的な検知ツールから隠蔽するステルス型マルウェア。
- cryptography№ 462
ハードウェアトークン
暗号秘密情報を保管し認証処理を行う物理デバイス。MFA の所持要素として用いられる。
- cryptography№ 321
デジタル署名
メッセージや文書の真正性・完全性・否認防止を証明する公開鍵暗号方式のメカニズム。
- cryptography№ 879
公開鍵暗号方式
公開鍵と秘密鍵のペアを用い、事前共有の秘密なしに暗号化・鍵交換・電子署名・認証を実現する暗号学の分野。
● 関連項目
- № 445グリッチ攻撃
- № 060ARM TrustZone
- № 679Microsoft Pluton
- № 460ハードウェア証明