Microsoftは2023年5月以降、セキュアブートのセキュリティ機能がバイパスされる脆弱性(CVE-2023-24932)への対策を段階的に進めています。2024年10月には、その対策は“強制施行フェーズ”となり、セキュアブートが有効な、サポート中のWindowsの全バージョンに対して脆弱性緩和策が強制されます。その影響と現時点でできる備えをまとめました。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Microsoftが2023年5月から段階的に実施している、Windowsの起動プロセスのセキュリティ強化は、「CVE-2023-24932」で追跡されている、「最大深刻度:重要」で「悪用の事実を確認済み」のセキュリティ機能がバイパスされる脆弱(ぜいじゃく)性の緩和策です。
UEFIセキュアブート(「Windows 11」の必須要件)のセキュリティ機能をバイパスする弱性であるため、「セキュアブート」が有効になっていないデバイスや対応していないデバイス(BIOSベースのファームウェア)には影響はありません。しかし、現代において、そもそも“セキュアブートが有効でないこと自体がセキュリティ上の弱点”である(ブート時に悪意のあるコードが読み込まれる可能性がある)ことに留意してください。
Microsoftは2024年10月8日(米国時間)のセキュリティ更新プログラムで、CVE-2023-24932の脆弱性緩和策の強制施行を予定しています。これまで実施されてきた緩和策は、「Windowsブートマネージャー」の更新、古いブートマネージャーを失効させるための「コード整合性ブートポリシー(SKUSiPolicy.p7b)」と、信頼されていないモジュールの読み込みをブロックする「禁止された署名リストデータベース(DBX)」の更新です。
2024年4月9日(米国時間)に予定されている3番目の展開フェーズでは、セキュリティ更新プログラムによって脆弱なブートマネージャーをブロックするための新しい緩和策が追加され、これは「システム修復ディスク」や「回復ドライブ」、企業における「OS展開ツール」(ブートメディアやPXEブートイメージ)などの起動可能メディアの更新を必要とします。
さらに、2024年10月の強制施行フェーズでは、コード整合性ブートポリシーとDBXが強制され、未対策の古い起動可能メディアを使用した起動がブロックされます(画面1)。
2024年10月に予定されている強制施行フェーズになると、セキュアブートが有効なデバイスは、問題の脆弱性の緩和策に対応していない起動可能デバイスからは起動できなくなります(画面2)。
起動可能メディアとしては、Windowsの「システム修復ディスク」(「RecDisc.exe」で作成可能)や「回復ドライブ」(「RecoveryDrive.exe」で作成可能)、古いOSインストールメディア、「Windowsプレインストール環境(Windows PE《WinPE》)」ベースのトラブルシューティングツール(「Microsoft Desktop Optimization Pack《MDOP》」の「Diagnostics and Recovery Toolkit《DaRT》」メディアやベンダー提供の回復用メディア)、企業のOS展開用ブートイメージなどがあります。
なお、2024年1月以降問題となっている「BitLockerドライブ暗号化」をバイパスする脆弱性緩和のための「Windows回復環境(WinRE)」の更新は、セキュアブートをバイパスする脆弱性緩和策の強制施行フェーズには影響しないようです。WinREが更新されていないデバイスでも、ローカルのWinREで起動することができました。
また、2023年5月以前に作成されたシステムイメージ(「Windows 10」やWindows 11の「コントロール パネル\システムとセキュリティ\バックアップと復元(Windows 7)」や、「Windows Server」の「Windows Serverバックアップ」で作成されたシステムイメージ/フルバックアップ)からシステムをリストアできなくなります(画面3)。
現時点で脆弱性緩和策の強制施行をテストするには、「コマンドプロンプト」を管理者として開き、以下のコマンドを実行してからデバイスを再起動し、起動後、5分以上待ってからデバイスをまた再起動します。
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x30 /f
脆弱性緩和策が適用されると、イベントログの「システム」ログに記録されるイベントID「1035」で、DBXの更新が確認できます。また、「Microsoft-Windows-Kernel-Boot/Operational」ログに記録されるイベントID「265」で、コード整合性ポリシーの適用を確認できます(画面4)。
なお、この脆弱性緩和策がデバイスで有効になると、緩和策に対応していない起動可能デバイスが失効され、そのデバイスでセキュアブートを使用し続ける場合、元に戻すことはできなくなります。既に失効が適用されている場合は、ディスクを再フォーマットしても失効は削除されません。そのため、物理デバイスではなく、仮想マシン環境でテスト(更新された起動稼働メディアのテストなど)することをお勧めします。
デバイスが適切に更新されていれば「RecDisc.exe」を実行することで、脆弱性緩和策対応の更新されたシステム修復ディスク(CD/DVD、※Windows 11は700MBのCDには収まらない)を準備できます。
ただし、2024年4月に予定されている3番目の展開フェーズで追加される新たな緩和策に対応するためには、再作成が必要になると思われます。そのため、テストする場合は、2024年4月のセキュリティ更新以後に再作成することをお勧めします。回復ドライブは「RecoveryDrive.exe」を実行することで空のUSBドライブに作成できますが、2023年2月時点では、まだ緩和策に対応した回復ドライブは作成できません(画面5)。
システムイメージ/フルバックアップを定期的に外付けHDDやネットワーク共有に作成している場合は問題ありませんが、1年以上作成していないという場合は一度作成しておくことをお勧めします。2023年5月以前に作成されたバックアップは、正常にリストアできなくなるからです(画面6)。
岩手県花巻市在住。Microsoft MVP 2008 to 2024(Cloud and Datacenter Management)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.