Windows 11 KB5101650/KB5094126で10年以上放置されていたセキュアブートの「歴史的欠陥」がようやく修正

Wait 5 sec.

Microsoftは Windows 11の更新プログラムKB5101650 / KB5094126で、セキュアブートに関する重大な問題を修正しました。セキュアブートは起動時に信頼できるソフトウェアだけが動くようにする仕組みで、MicrosoftのUEFI証明書を使ってブートローダーの署名を検証します。この信頼チェーンの中に、古いブートローダーが残っていたことが今回の問題の原因となっていました。問題の核心: 古い「shim」ブートローダーがずっと信頼されていたESETの研究者が発見したのは、Linux環境で使われるMicrosoft署名付きの「shim」ブートローダーのうち、2015年以前の古い11種類(v0.9以前)がセキュアブートで信頼されたままになっていたという事実です。shimはLinuxをセキュアブート対応にするための最初のブートローダーですこれらの古いshimは、SBAT(Secure Boot Advanced Targeting)やMOK(Machine Owner Key)による拒否リストといった近年の防御機能を備えていません。攻撃者が、脆弱な古いshimを自分で持ち込むだけでセキュアブートをすり抜けることができるというリスクが存在しました。これは「BYOVB(Bring Your Own Vulnerable Bootloader)」と呼ばれる典型的な攻撃手法として知られています。なぜ10年以上気づかれなかったのか今回の問題はWindows 11そのものの欠陥ではなく、セキュアブートの信頼チェーンの管理が長年アップデートされていなかったことに起因します。多くのPCは今も「Microsoft Corporation UEFI CA 2011」証明書を信頼しており、結果として古いshimが「有効な署名」をもつとして扱われ続けていました。仕組みの古さと互換性維持のための設計が、長期的に脆弱性を温存してしまったわけです。Microsoftの対応:脆弱なshimを正式に失効ESETは2026年2月にCERT/CCへこの問題を報告し、Microsoftは11種類のshimをUEFI Forbidden Signature Database(DBX)に追加して失効させました。この更新はWindows 11の6月の月例更新プログラムKB5094126と、7月の月例更新プログラムKB5101650に含まれており、最新の累積更新を適用すれば対策は完了します。ちょうど2026年6月はセキュアブート証明書が15年の有効期限を迎えたタイミングでもあり、Microsoftが新しい証明書体系へ移行を進めている流れとも一致しています。まとめ今回の修正は、単なる脆弱性パッチではなく、セキュアブートの長年の構造的な問題を是正する大きな一歩です。古いブートローダーが信頼され続けるという歴史的負債がようやく解消され、今後はSBATなどの仕組みにより、より細かく安全にブートローダーの世代管理が行われるようになります。[via Neowin]