SecureBootは時期尚早? メッセージを無効にする更新プログラム
Windows 8.1にアップグレードしたユーザーの一部は、デスクトップの右下隅に現れた「SecureBootが正しく構成されていません」というメッセージに辟易(へきえき)していたことだろう。そもそもSecureBoot(セキュアブート)はハードウェア制限の一種であり、OSを安全に起動するための仕組みである。当初はARMベースのデバイスに限られると思われたが、x86/x64ベースのコンピューターでは、Windows 8およびWindows 8.1のロゴ認定に含まれるようになった(図07)。
 |
図07 デスクトップ右下に現れるSecureBoot無効を強調するメッセージ |
SecureBootはコンピューターのNV-RAMに、署名データベースおよび執行したデータベース、キー登録キーデータベースを格納し、これらのデータベースを参照してファームウェアの状態が正しいか否かで、OSの起動を制御するというもの。例えばマルウェアが独自のブートローダーを組み込むことを抑制し、安全性が高まるという仕組みだ。より詳しく知りたい方はTechNetに用意されたWebページをご覧頂きたい。
その一方でSecureBootは、以前"Trusted Boot(トラステッドブート)"と呼ばれていたように、コンピューターの信頼性を高めるための有用な機能だが、Linuxなど他OSとのデュアルブートが妨げられるという欠点も持ち合わせている。SecureBootの稼働条件には、UEFI(Unified Extensible Firmware Interface)2.3.1、Errata C以降が含まれるため、BIOSベースで実行すれば回避可能だという(筆者は検証していない)。
しかし、Windows 8が起動しなくなる可能性があるため、Linux FoundationはSecureBootが有効な環境でLinuxを起動可能にする「Linux Foundation Secure Boot System」をリリースするなど、さまざまな対策を講じている(図08)。
 |
図08 データベースの整合性が正しくないとOSが起動しなくなる(動画より抜粋) |
今後のコンピューターセキュリティを踏まえれば、SecureBootが有用な機能であることは間違いないものの、ユーザーに状態をうながす前述のメッセージは非常に邪魔な存在となったのだろう。Microsoftは10月28日にKB2902864を発表し、同番号を付けた更新プログラムをダウンロードセンターで公開した。
同更新プログラムは、「Windowsのロックダウンポリシー」という説明を持つ「%SystemRoot%\System32\Wldp.dll」ファイルを更新し、メッセージを非表示にするというものだ。もちろんSecureBootが構成されていないことに変わりはないが、煩雑なメッセージが消えるのは素直に歓迎したい。
ただし、本情報は広く告知されたものではない。筆者はダウンロードセンターの更新情報をRSSリーダーでチェックしていたため、本更新プログラムに気付いたが、GoogleやBingで確認した限り、Microsoftの公式ブログで本情報に関する投稿を確認できなかった。同社にとって本更新プログラムは些事(さじ)に類することかも知れないが、Windows 8.1のデスクトップ環境を中心に利用中のユーザーには大きな更新プログラムである。Windows Updateでは提供されないため、お困りの方は先のリンクから更新プログラムを適用して欲しい。
阿久津良和(Cactus)
