Windows セキュア ブート:簡単にバイパスできる理由と知っておくべきこと

2026 年 4 月 12 日、午後 2 時 EDT に公開

Brady は MakeUseOf のテクノロジー ジャーナリストであり、モバイル、コンピューティング、一般的なテクノロジー全般をカバーする長年の経験があります。彼は Android フォンとオーディオ機器に重点を置いており、理学士号を取得しています。セント ジョーンズ大学でジャーナリズムの博士号を取得。

Brady は、Android Central、Android Authority、XDA、Android Police、iMore などの出版物に寄稿しています。 Google、Apple、Samsung が開催する主要イベントや、Lenovo Innovation World や IFA などの見本市のレポートを担当した経験があります。 

最新のガジェットについて執筆したりテストしたりしていないときは、ブレイディは Big East バスケットボールを見たり、ランニングしたりしていることがわかります。 

Microsoft はセキュア ブートを使用して、オペレーティング システムが完全に読み込まれる前に Windows PC をマルウェア、攻撃、セキュリティの脆弱性から保護します。デフォルトでは、Windows PC でセキュア ブートが有効になっており、Unified Extensible Firmware Interface (UEFI) で実行されているソフトウェアが信頼され、安全であることが確認されます。 UEFI は、簡単に言えば、PC のハードウェアを初期化し、オペレーティング システムを起動するために起動される基本ファームウェアです。組み込みの Windows セキュリティ保護は、オペレーティング システムが完全に起動するまでアクティブになりません。そのため、セキュア ブートは、その前に UEFI をロックダウンする役割を果たします。

10 年以上にわたり、セキュア ブートはまさにそれを行ってきました。このセキュリティ ツールは 2022 年後半まで公にバイパスされることはありませんでした。それ以前は、セキュア ブートをバイパスする方法を特定できたのは研究者だけでした。 BlackLotus エクスプロイトですべてが変わりました。これには、2022 年 10 月に販売されるセキュア ブート バイパスを備えた UEFI ブートキットが含まれていました。このエクスプロイトは、予想よりもパッチを適用するのが難しいことが判明しました。 BlackLotus のようなバイパス方法では、セキュア ブートを「クラッキング」する代わりに、既知の脆弱性を持つ古い信頼できるブートローダー バージョンを使用します。これらはセキュア ブートによって信頼されている公式ブートローダーであるため、セキュリティ ソフトウェアはそれらを脅威として認識しません。

このような脆弱性に対するセキュリティ パッチは、デフォルトでは Windows PC に出荷されません。管理者として PowerShell コマンドを実行する必要があり、重大な運用上のリスクが伴います。どちらの要因も原因で、ユーザーと企業の両方が修正プログラムを手動で適用できなくなり、セキュア ブートを備えた数百万台の Windows PC がバイパスされる危険にさらされます。

関連

セキュア ブートをオフにしましたが、PC は爆発しませんでした

システムはセキュリティ機能なしでも動作しますが、セキュリティ機能を無効にするとどのようなリスクがありますか?

セキュア ブートはもはや破壊不可能ではありません

セキュア ブートが複数回バイパスされました

クレジット:Dave Meikleham \ MakeUseOf

セキュア ブートをバイパスすることは不可能だと思われがちですが、10 年間バイパスされてきたからです。現在でも、悪意のある者はセキュア ブート自体を「破壊」することでそれを妨害しません。代わりに、正規で署名されているものの、重大なセキュリティ脆弱性を含むブートローダーのバージョンが見つかります。これらのダウングレード攻撃は、Windows ブート マネージャーを、攻撃者が悪用しようとしている脆弱性を備えた古いバージョンに戻します。セキュア ブート システムは、古いものの脆弱なバージョンの Windows ブート マネージャーを公式の Microsoft ソフトウェアとして認識するため、ロードが可能になります。

そこからはセキュア ブートがバイパスされ、攻撃者は署名されていないドライバーやマルウェアを実行できるようになります。これが、最も有名なセキュア ブート バイパスである BlackLotus が、何百万もの Windows 10 および Windows 11 PC を脅かすことができた方法です。米国家安全保障局によると、この攻撃は、CVE-2022-21894 として追跡されている「Baton Drop」として知られるセキュリティ脆弱性を利用して、「ソフトウェア起動の初期段階からエンドポイントを制御」しました。

NSA は、現在でも可能であるセキュア ブート バイパスについて 2023 年の文書でどのように説明していますか:

BlackLotus は、Linux ブート セキュリティ チェーンを破壊するのではなく、古いブートローダー (ブート マネージャーとも呼ばれる) の欠陥を悪用して Windows ブートをターゲットにし、エンドポイント セキュリティを侵害する一連の悪意のあるアクションを引き起こします。 Baton Drop (CVE-2022-21894) の悪用により、BlackLotus がセキュア ブート ポリシーを剥奪し、その適用を阻止できるようになります。ブート ホールとは異なり、脆弱なブートローダーはセキュア ブート DBX 失効リストに追加されていません。脆弱なブートローダーは DBX 内にリストされていないため、攻撃者は完全にパッチが当てられたブートローダーを脆弱なバージョンに置き換えて BlackLotus を実行する可能性があります。

専門用語はさておき、知っておくべき重要なことは、脆弱なブートローダーには問題がないということです。 セキュア ブート DBX 失効リストに追加されました。言い換えれば、この重大なセキュリティ上の欠陥がある古いブートローダーは、更新後も現在でもセキュア ブートによって信頼されています。セキュア ブート DBX 失効リストには、かつては署名されたものの、現在は脆弱であることが判明している、ブロックされたコードと証明書が含まれています。

信頼できない UEFI モジュールのロードをブロックすることになっています。ただし、Baton Drop エクスプロイトで使用されているようなモジュールや証明書はこのリストに含まれていないため、引き続き実行でき、セキュア ブートもバイパスできます。

これは Microsoft にとって不可能な選択です

侵害されたセキュア ブート キーを取り消すと、Windows PC が機能しなくなる可能性があります

おそらく、Microsoft がなぜこれらの欠陥のあるブートローダーをセキュア ブート DBX 失効リストに追加しなかったのか疑問に思っているでしょう。セキュア ブート バイパス手法に対する Microsoft の対応は非常に遅く、Baton Drop や BlackLotus などのエクスプロイトに対する自動パッチはまだ提供されていません。 BlackLotus が 2022 年 10 月に市場に投入された後、正式なセキュリティ アップデートは 2023 年 5 月まで Windows ユーザーに届きませんでした。これだけではすべてがわかりません。Microsoft が 2023 セキュリティ アップデート ガイドで説明しているように、更新された Windows ブート マネージャーはデフォルトでは有効になっておらず、有効化するには手動の手順が必要です。

これらの手順は、2026 年の時点でも、必ずしも簡単またはユーザーフレンドリーとは言えません。2025 年 7 月に Windows ブート マネージャー用にリリースされたセキュリティ更新プログラムなど、その後のセキュリティ更新プログラムでは、依然として CVE-2022-21894 の修正が自動的に有効になりません。 Microsoft サポート ドキュメントの概要にあるように、このプロセスには、Windows レジストリの編集、管理者として PowerShell コマンドの実行、影響を受ける証明書をセキュア ブート UEFI 禁止リスト (DBX) に手動で追加し、ファームウェアにセキュア バージョン番号 (SVN) を適用することが含まれます。

平均的な Windows ユーザーはそんなことはしていません。おそらく、Windows レジストリが何なのか、管理者として PowerShell コマンドを実行する方法さえ知りません。 BlackLotus のエクスプロイトが知られてから数年が経った 2026 年になっても、セキュア ブートが依然として簡単にバイパスされる可能性があるのはこのためです。では、なぜ Microsoft は自動アップデートでセキュア ブートを強化しないのでしょうか?

Microsoft が一般ユーザーに伝えていないのは、自動アップデートでセキュア ブート システムを保護すると、未知の数の PC が機能不全に陥り、無数のアクセサリとの互換性が損なわれる可能性があるということです。一部のデバイスでは、Windows ブート マネージャーが正常に適用されないか、動作不能になる場合があります。さらに、CD/DVD、PXE ブート、または USB ドライブとして保存されているリカバリ メディアまたはシステム バックアップは、パッチをインストールした後は、別途リカバリ メディアをアップデートしないと機能しなくなります。

ほとんどのユーザーには影響しないこのエクスプロイトにパッチを適用すると、コンピューターが機能しなくなり、リカバリ メディアやバックアップとの互換性が損なわれる可能性がある場合、パッチを適用する価値はありますか? Microsoft は、その決定を Windows ユーザーの手に委ねることを決定したため、手動プロセスとなっています。繰り返しになりますが、必要な条件が満たされていると仮定すると、セキュア ブートが比較的簡単にバイパスできる理由でもあります。

関連

データを保護するためにできること

BIOS を定期的に更新し、BitLocker プリブート PIN を設定します

クレジット:Tashreef Shareef / MakeUseOf

これらのセキュア ブートの脆弱性を悪用するには、Windows PC への物理的アクセスまたは管理アクセスが必要となるため、実際に使用されることはまれです。逆に言えば、あなたの PC に物理的にアクセスできる誰かが、ブートローダーのバージョンをセキュア ブートの欠陥に対して脆弱なバージョンにロールバックし、エクスプロイトを実行する可能性があります。危険な Windows ブート マネージャー アップデートを手動で適用する以外にも、システムを保護し、データを保護するために誰もが実行できる手順がいくつかあります。

1 つは、ハードウェアを正しい人の手に渡しておいて、信頼できないものを PC に接続しないことです。同じ前提がオペレーティング システムにも当てはまります。システム管理者に、それを必要としないものや誰かにアクセス権を付与すべきではありません。予防策を講じるには、PIN を使用して BitLocker を有効にし、セキュア ブートがバイパスされた場合でもデータをロックしたままにします。さらに、ブートローダーが侵害された場合に Windows カーネルを保護するためにデバイスをセキュアコア PC として設定することもできますが、これには TPM 2.0 チップやサポートされている CPU などの適切なコンポーネントが必要です。

要約すると、セキュア ブートは、攻撃者が解読していないため、簡単にバイパスできます。攻撃者は、悪用される可能性のあるセキュリティ上の脆弱性を備えた、信頼できる公式のブートローダー証明書を使用しているからです。これらの証明書の失効は危険なプロセスであるため、証明書は依然として信頼されており、セキュア ブートをバイパスすることができます。