安全启动

本文约需 2 分钟阅读

セキュアブートとは、コンピューターの電源投入からOS の起動完了までの各段階で、 実行されるコードが正規の署名を持つことを検証し、改ざんされたソフトウェアの 実行を阻止する仕組みです。UEFI (Unified Extensible Firmware Interface) ファームウェアの機能として実装されており、ルートキットや ブートキットのように OS 起動前に潜伏するマルウェアに対する 根本的な防御策として位置づけられています。

UEFI ファームウェアとの関係

セキュアブートは UEFI 仕様 (バージョン 2.3.1 以降) に組み込まれた機能です。 従来の BIOS にはコードの署名検証機構がなく、ブートセクターに書き込まれた 任意のコードが無条件に実行されていました。UEFI はこの問題を解決するために、 公開鍵暗号基盤を起動プロセスに導入しました。ファームウェア自体が 「信頼の起点 (Root of Trust)」となり、以降のすべてのコンポーネントを 連鎖的に検証します。

起動チェーンの検証フロー

セキュアブートは 4 種類の鍵データベースで署名の信頼関係を管理しています。

PK はハードウェアベンダーが設定する最上位鍵で、通常は 1 つだけ存在します。 KEK は OS ベンダー (Microsoft など) が保持し、db と dbx を更新する権限を 持ちます。起動時、UEFI はブートローダーの署名を db と照合し、dbx に 含まれていないことを確認してから実行を許可します。

起動プロセスの検証ステップ

ブートキット・ルートキットへの防御

ブートキットは OS が起動する前にメモリに常駐し、OS のセキュリティ機構を すべて迂回できる極めて危険なマルウェアです。2020 年に発見された 「FinSpy ブートキット」や 2022 年の「BlackLotus」は、MBR や UEFI の 脆弱性を突いてセキュアブートを回避した実例として知られています。 セキュアブートが有効であれば、署名のないコードは起動チェーンの 最初の段階で拒否されるため、ブートキットの大半は実行に至りません。エンドポイントセキュリティの 観点からも、セキュアブートは最も基礎的な防御層です。

TPM との連携 - Measured Boot

セキュアブートが「署名の検証」に焦点を当てるのに対し、TPM と連携する Measured Boot は「起動プロセスの測定と記録」を行います。

Measured Boot では、起動プロセスの各段階 (ファームウェア、ブートローダー、 カーネル、ドライバー) のハッシュ値が TPM の PCR (Platform Configuration Register) に順次記録されます。この記録を外部サーバーが検証する 「リモートアテステーション」により、端末が改ざんされていないことを ネットワーク越しに証明できます。

Linux でのセキュアブート対応

Linux カーネルのセキュアブート対応は、Microsoft の署名鍵に依存する構造が 長年議論の的でした。主要ディストリビューションは Microsoft の UEFI 署名を 取得した「shim」ブートローダーを介して起動する方式を採用しています。 shim が GRUB2 を検証し、GRUB2 がカーネルを検証する多段構成です。 カーネルモジュールの署名検証も有効になるため、未署名のサードパーティ ドライバー (NVIDIA の独自ドライバーなど) を使う場合は MOK (Machine Owner Key) の登録が必要になります。

「セキュアブートを無効にすれば動く」というアドバイスをネット上で見かけますが、 これはセキュリティを根本から放棄する行為です。MOK の登録手順は数分で 完了するため、セキュアブートを維持したまま対処するのが正しい方法です。

暗号化技術の 基礎は暗号化の基本の記事で、 物理セキュリティとの関連は物理セキュリティの記事で 詳しく解説しています。ランサムウェア対策や生体認証のリスクも あわせて参照してください。UEFI セキュリティの関連書籍は Amazonでも探せます。