Microsoftは2023年5月以降、セキュアブートのセキュリティ機能がバイパスされる脆弱性(CVE-2023-24932)への対策を段階的に進めています。2024年10月には、その対策は“強制施行フェーズ”となり、セキュアブートが有効な、サポート中のWindowsの全バージョンに対して脆弱性緩和策が強制されます。その影響と現時点でできる備えをまとめました。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Microsoftが2023年5月から段階的に実施している、Windowsの起動プロセスのセキュリティ強化は、「CVE-2023-24932」で追跡されている、「最大深刻度:重要」で「悪用の事実を確認済み」のセキュリティ機能がバイパスされる脆弱(ぜいじゃく)性の緩和策です。
UEFIセキュアブート(「Windows 11」の必須要件)のセキュリティ機能をバイパスする弱性であるため、「セキュアブート」が有効になっていないデバイスや対応していないデバイス(BIOSベースのファームウェア)には影響はありません。しかし、現代において、そもそも“セキュアブートが有効でないこと自体がセキュリティ上の弱点”である(ブート時に悪意のあるコードが読み込まれる可能性がある)ことに留意してください。
Microsoftは2024年10月8日(米国時間)のセキュリティ更新プログラムで、CVE-2023-24932の脆弱性緩和策の強制施行を予定しています。これまで実施されてきた緩和策は、「Windowsブートマネージャー」の更新、古いブートマネージャーを失効させるための「コード整合性ブートポリシー(SKUSiPolicy.p7b)」と、信頼されていないモジュールの読み込みをブロックする「禁止された署名リストデータベース(DBX)」の更新です。
2024年4月9日(米国時間)に予定されている3番目の展開フェーズでは、セキュリティ更新プログラムによって脆弱なブートマネージャーをブロックするための新しい緩和策が追加され、これは「システム修復ディスク」や「回復ドライブ」、企業における「OS展開ツール」(ブートメディアやPXEブートイメージ)などの起動可能メディアの更新を必要とします。
さらに、2024年10月の強制施行フェーズでは、コード整合性ブートポリシーとDBXが強制され、未対策の古い起動可能メディアを使用した起動がブロックされます(画面1)。
2024年10月に予定されている強制施行フェーズになると、セキュアブートが有効なデバイスは、問題の脆弱性の緩和策に対応していない起動可能デバイスからは起動できなくなります(画面2)。
Copyright © ITmedia, Inc. All Rights Reserved.