Packet Pilot X (Twitter)
2026-06-19

ベンダー署名のUEFIアプリケーションがSecure Bootバイパスの脆弱性を発見

複数のベンダー署名されたUEFIアプリケーションが、Secure Bootをバイパスする脆弱性を持つことが判明しました。この脆弱性は「Bring Your Own Vulnerable Driver」(BYOVD)スタイルの攻撃を通じて悪用される可能性があります。攻撃者が影響を受けたベンダーの証明書を信頼するシステムにおいて、これらのアプリケーションを利用して、オペレーティングシステムが初期化される前の早期ブートフェーズで任意のコードを実行することが可能です。システム管理者は、影響を受けたベンダー署名のバイナリを無効化するために、UEFI Forbidden Signature Database(DBX)を更新することが推奨されます。

メトリクス

このニュースのスケール度合い

5.0 /10

インパクト

8.0 /10

予想外またはユニーク度

7.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

7.5 /10

このニュースで行動が起きる/起こすべき度合い

8.5 /10

主なポイント

  • UEFIアプリケーションの脆弱性により、Secure Bootがバイパスされる可能性があります。
  • 影響を受けたシステムでは、攻撃者が任意のコードを実行できるリスクがあります。

社会的影響

  • ! この脆弱性は、企業や個人のデータセキュリティに深刻な影響を及ぼす可能性があります。
  • ! 特に、重要なシステムやデータを扱う環境では、早急な対策が求められます。

編集長の意見

この脆弱性は、UEFIアプリケーションのセキュリティにおける重要な問題を浮き彫りにしています。Secure Bootは、オペレーティングシステムが起動する前に不正なコードが実行されるのを防ぐための重要なメカニズムですが、今回の脆弱性により、その信頼性が揺らいでいます。特に、攻撃者が物理的にシステムにアクセスできる場合、脆弱なアプリケーションを利用してSecure Bootをバイパスし、悪意のあるコードを実行することが可能です。このような攻撃は、システムの完全性を損なうだけでなく、データの漏洩や不正アクセスを引き起こすリスクも伴います。今後、UEFIアプリケーションのセキュリティを強化するためには、ベンダーが迅速に対応し、影響を受けたバイナリを無効化することが不可欠です。また、システム管理者は、定期的にファームウェアやソフトウェアの更新を行い、最新のセキュリティパッチを適用することが求められます。さらに、UEFI DBXの更新を行い、脆弱なバイナリが実行されないようにすることも重要です。これにより、将来的な攻撃のリスクを軽減し、システムの安全性を確保することができます。

解説

ベンダー署名UEFIアプリがSecure Bootを迂回——“DBX更新+信頼の最小化”が今すぐの勝ち筋です

今日の深掘りポイント

  • 署名済みUEFIアプリが“正規物”として通る構造を突き、早期ブートで任意コード実行に至る経路が再び露呈です。
  • OS起動前=EDRの監視外。検知よりも「ブロック(DBX)と鍵の最小化」を優先する設計判断が要ります。
  • これはBYOVDの前ブート版。ローカル管理者権限や物理アクセスを持つ攻撃者の“確実弾”になり得ます。
  • DBX更新はセキュリティ上の正解ですが、互換性事故の母でもあります。段階展開・回復手順・PCR7/ESPベースラインの三点セットで臨むべきです。
  • デバイスごとの「どの鍵を信頼しているか」を資産台帳に載せられる組織が、この種の事案に強いです。

はじめに

Secure Bootは“ブートチェーンの検疫官”の役目を担いますが、検疫の基準表(信頼済み署名DB)に脆弱なアプリが紛れ込めば、検疫は素通りになります。CERT/CCが公表した「複数のベンダー署名UEFIアプリがSecure Bootの迂回に悪用可能」という指摘は、信頼の中核にある“鍵とリスト”の運用がいかに難しいかを、改めて突きつけています。技術的には目新しくなくとも、実運用に刺さるニュースです。

本稿では、事実関係を整理しつつ、運用・検知・サプライチェーンの三つの視点から、CISO/SOC/Threat Intelにとっての判断材料を深掘りします。

深掘り詳細

事実関係(一次情報の整理)

  • CERT/CCは、複数のベンダー署名UEFIアプリケーションがSecure Bootの保護をすり抜ける形で悪用され得ると公表し、UEFI Forbidden Signature Database(DBX)の更新による失効を推奨しています。早期ブート段階(OS初期化前)で任意コード実行に繋がり、いわゆるBYOVD(Bring Your Own Vulnerable Driver)に類似した“署名済みだが脆弱なコンポーネント持ち込み”のパターンです。CERT/CC VU#457458
  • 影響条件は「当該ベンダーの証明書(あるいは当該バイナリの署名チェーン)がUEFI Authorized DBに含まれ、Secure Bootがそれを信頼していること」です。信頼下にある限り、攻撃者が当該アプリをブートチェーンへ差し込めば実行され得ます。失効(DBX)により“通行止め”にするのが一次対処の中核です。[同上]

この範囲は一次情報に基づく事実です。個別ベンダー名やバイナリ詳細の列挙は、該当する公開情報をご参照ください(本稿では一般化して扱います)。

インサイト(技術事実から読み解ける運用上の論点)

  • 信頼の土台は“鍵の集合”で変わる
    Secure Bootの実効性は、DB/DBXの中身に大きく依存します。一般論として、3rd-party CAや複数ベンダー鍵を広く信頼しているクライアント環境ほど、今回のような「署名済みだが脆弱」バイナリの混入リスクは上がります。逆に、データセンターや重要業務端末のように信頼鍵を最小化している環境は被弾面が狭まります。ここに“ゼロトラスト”の文脈がそのまま当てはまります。
  • DBX更新は“安全策”かつ“互換性リスク”
    過去の事例からも、DBX更新は古いブートローダやレスキューメディアの起動不能を招きやすい施策です。正しい方針である一方、現場へは“可逆性(ロールバック手段)”“段階展開”“対象外例外の判断基準”がセットで必要です。ここを用意できる組織は、Secure Boot関連のインシデントで優位に立てます。
  • 可視化が肝——“ブートチェーンの在庫管理”
    SOCの視界に入りづらい早期ブート領域は、「どの鍵を信頼しているか」「ESP(EFI System Partition)に何があるか」「PCR7の測定値ベースラインは何か」を資産台帳化できるかが勝負です。これがないと、失効対象の影響面も、検知のしやすさも、意思決定もすべて不透明になります。

脅威シナリオと影響

以下は公開情報をもとにした仮説シナリオです。実環境・攻撃者能力により変動します。

  • シナリオA:侵入後の持続化と防御妨害(EDRバイパス)

    • 前提:攻撃者は既に管理者権限を確保。
    • 振る舞い(仮説):署名済みだが脆弱なUEFIアプリをESPに配置し、ブート順やブートマネージャ設定を改変。次回起動時に早期ブートで任意コードを実行し、BitLocker/ディスク保護の無効化やEDRのドライバ読み込み前妨害を試みる。
    • MITRE ATT&CK(仮説マッピング):T1553.002(Subvert Trust Controls: Code Signing)、T1542.003(Pre-OS Boot: Bootloader)、T1562.001(Impair Defenses: Disable Security Tools)。

  • シナリオB:物理アクセスを伴うサプライチェーン/現地妥協

    • 前提:保守作業・荷受け・委託先拠点などで短時間の物理アクセス。
    • 振る舞い(仮説):信頼された署名チェーン下にある脆弱UEFIアプリを外部メディア経由で起動に混ぜ、測定系をすり抜けてバックドア的な永続化を仕込む。
    • MITRE ATT&CK(仮説マッピング):T1542.003(Pre-OS Boot: Bootloader)、T1078(Valid Accounts:後段操作のための資格情報悪用)。

  • シナリオC:標的型の初期足掛かり強化

    • 前提:フィッシング等で単発のフットホールドを得た攻撃者。
    • 振る舞い(仮説):OS権限昇格後、ブートチェーンにフックを挿入し再起動で持続化。以降はカーネルより下層での観測困難性を活かし、ゆっくり横展開。
    • MITRE ATT&CK(仮説マッピング):T1542.001(Pre-OS Boot: System Firmware、広義のブートチェーン改変)、T1553.002。

影響は端末種別で濃淡が分かれます。ドメインコントローラ、仮想化/ハイパーバイザ宿主、暗号鍵管理系、開発ビルド署名マシンなど“機密性+可用性”が高いシステムは優先対応が妥当です。一般事務端末は段階展開で副作用を抑えつつ、可視化と検知の仕組みを先に整えるのが現実解です。

セキュリティ担当者のアクション

DBX更新は“正しい”が“一気呵成は危ない”。短期・中期のロードマップとして以下を提案します。

  • 影響サーフェスの特定(最優先)

    • Secure Bootが有効な資産を棚卸し。
    • 可能なら各資産の信頼鍵セット(Authorized DB)とDBXの状態を収集し、ベンダー鍵の分布を可視化します。
    • 重要度マトリクス(機密度×可用性×代替容易性)で優先順位を決めます。

  • 失効(DBX)更新の段階展開

    • 検証リング→パイロット→本番の三段階で適用し、ブート不可・レスキューメディア起動不能などの事象をチェックします。
    • 回復計画を文書化(回復メディア、BIOS/UEFIへのアクセス手順、BitLocker/フルディスク復旧鍵の所在確認)。
    • 運用上やむを得ない例外は、有効期限付きの承認プロセスで管理します。

  • “信頼の最小化”設定

    • 運用が許す範囲で3rd-party UEFI CAの信頼を無効化、あるいは特定ベンダー鍵のみの最小集合に絞ります(Linuxデュアルブートやレスキュー手順への影響を必ず検証します)。
    • 新規調達要件に「Secure Boot鍵の分離・最小化」「DB/DBXの管理性」を盛り込むと、次の更新サイクルから効果が出ます。

  • 早期ブート可視化と検知の仕組み

    • ESP(EFI System Partition)のファイルハッシュ・ツリー構造のベースライン化と差分監視(Windows/Linuxともに可能)。OS側からの見える化で“変化”を捉えます。
    • ブートエントリ/NVRAM変数の変更検知(変更イベントの収集・監査)。測定ブートのPCR7値のベースラインと逸脱検知も有効です。
    • SOC運用に「再起動を伴う持続化疑い」のユースケースを追加し、EDRが拾えない前段を監査イベントで補完します。

  • インシデント対応のプレイブック拡張

    • 兆候(ESP改変、PCR7逸脱、突然のセーフブート不可など)からの一次封じ込め、証跡保全(ディスク・NVRAM・ファームウェアイメージ)、安全な復旧パス(クリーンなブート媒体)を明文化します。
    • 取引先・委託先の保守アクセスが絡む場合のエスカレーション経路を定義します。

  • Threat Intel/サプライヤ連携

    • ベンダーごとのDBX更新・失効告知をウォッチし、資産台帳の鍵分布と突き合わせて即座に影響評価できる体制にします。
    • 調達・RFPで「脆弱UEFIコンポーネントの失効時に事前周知・代替手段を提供すること」を要求事項化します。

  • 注意:エンドユーザ向け詳細手順は控える
    本件は“ブートチェーン”という極めてセンシティブな層に関わります。個別環境に即した手順設計が不可欠です。画一的なレジストリ操作やEFI変数変更の“虎の巻”は、むしろリスクになります。各社の標準構成・回復手順に沿って慎重に進めてください。

最後に、メトリクスの含意を総合すると、この事案は広範囲で起こり得る一方、対処の実効性も高く、組織の準備度の差が結果を分けるタイプだと読めます。いま動ける組織が、次の大規模失効イベントでも混乱を最小化できます。今日の一歩は「見える化」と「段階展開」です。

参考情報

  • CERT/CC Vulnerability Note VU#457458: Multiple vendor-signed UEFI applications allow Secure Boot bypass(DBX更新推奨) https://kb.cert.org/vuls/id/457458

(注)本稿は上記一次情報に基づき、一般化した分析・運用示唆を提供しています。個別ベンダーや特定バイナリの詳細は各社の告知をご確認ください。

背景情報

  • i Unified Extensible Firmware Interface(UEFI)は、ハードウェアを初期化し、オペレーティングシステムに制御を移すための現代的なファームウェアアーキテクチャを定義しています。Secure Bootが有効なシステムでは、UEFIアプリケーションとドライバは実行前に暗号的に署名され、検証される必要があります。
  • i この脆弱性は、特定のベンダーの証明書がUEFI Authorized Signature Database(DB)内で信頼されているシステムに影響を与えます。攻撃者は、管理者権限または物理的アクセスを持つ場合、これらのアプリケーションを利用してSecure Bootの保護をバイパスし、任意のコードを実行することができます。
Packet News 一覧へ戻る