- ホーム >
- FMVサポート >
- Q&A・パソコン活用情報をコーナーから探す >
- ウイルス・セキュリティ情報 >
- マイクロソフトセキュリティ情報 >
- Windows 8 セキュリティ特集 >
- 第4回 セキュア ブート
Windows 8 セキュリティ特集
第4回 セキュア ブート
起動時からシステムを保護するセキュア ブート
今回は、「セキュア ブート」についてご紹介します。
セキュア ブートは、OS(オペレーティング システム)起動時の脅威からシステムを保護するための機能で、UEFI(Unified Extensible Firmware Interface)という起動プロトコルを用い、署名されたOSローダーとウイルス対策ドライバーのみを初期起動することで、ルートキット(#1)や改ざんされたドライバーがOSより先に実行されることを防ぎます。悪意のある攻撃者は感染を確実にするために、OSが完全起動する前に自ら作成した悪意のあるソフトウェアが実行されるようにし、ウイルス対策製品の起動を無効化するなどします。セキュア ブートの導入により、こういったマルウェアが早期に起動する機会を与えず、Windowsの安全性をより一層高めています。
BIOS時代の起動の仕組み
比較として、これまでのWindows端末などで一般的に利用されているBIOS(Basic Input/Output System)の起動時の流れを説明します。BIOSでは、下図1のように、どのOSローダーを開始することも可能でした。これは、OSローダーの代わりにルートキットと呼ばれるマルウェア
を起動させることも可能ということを意味しています。マルウェアによるエクスプロイト(#2)の進化の中で増加しているのが、攻撃ルートとしてブート パスを標的にするパターンです。この種類の攻撃では、先に起動したマルウェアによりウイルス対策ソフトウェアのロードそのものが妨害されてしまい、起動できないため、システムの保護が非常に困難でした。
図1:BIOS での起動の流れ
セキュア ブートの安全な仕組み
Windows 8では、多くの端末でUEFIセキュア ブートが既定で有効になっています。セキュア ブートでは、まず、改ざんが行われていない署名付きの特定のOSローダーだけを確実に起動します(図 2)。次に、Early Launch Anti-Malware(ELAM)ドライバーと呼ばれる署名付きのマルウェア対策ソフトウェアのみを先に起動し、その他のサード パーティ ドライバーは、マルウェア対策ソフトウェアの後に起動します。これにより、マルウェア対策が行われている環境での動作を確実にしています。
図2:UEFI での起動の流れ
おわりに
Windows 8から搭載されたセキュア ブートは、OS起動時におけるルートキットなどのマルウェア実行を防ぐことでWindowsの利用をより安全なものにしています。ユーザーにとっては目に見えないところでの変更ですが、より安全で快適なコンピューター体験を提供するために様々なところで強化・改善を行っています。
- #1:
- ウイルス、スパイウェア、トロイの木馬などのマルウェアが、スパイウェア ブロッカー、ウイルス対策ソフトウェア、およびシステム管理ユーティリティからマルウェアの存在を隠すために使用するメカニズムまたは技術
- #2:
- ソフトウェアの脆弱性を利用する悪意のあるコード
提供:日本マイクロソフト社
Twitterで最新の更新情報やおすすめQ&A、アドバイスをお届けしています。
