セキュアブートとは~30秒で解説~

PCやサーバが起動する際に信頼できるソフトウェアだけが起動されるよう確認する仕組みのこと

セキュリティの“最初の関門”として機能する

マルウェアがOS起動前に入り込むタイプの攻撃(ブートキット、ルートキットなど)を防止できる

目次 [ close ]
  1. セキュアブートってなんだろう?
  2. セキュアブートについて
  3. セキュアブートにおけるデジタル署名について
  4. PCの起動時を狙った攻撃の種類について
  5. まとめ

セキュアブートってなんだろう?

レータ

今回はセキュアブートについて解説するね

セキュアブートを簡単に説明すると、PCやサーバーの起動時に変なプログラムが混ざってないかチェックしてくれる門番だよ

チャイ

起動時にチェック?

起動時に変なプログラムが混ざることがあるの?

レータ

PCの起動と同時にマルウェアが起動してしまうことがあるんだ

OSが起動するより早くマルウェアが動くからセキュリティソフトでは対策が出来ないことがあるよ、そこで活躍するのがセキュアブートだよ

詳しく解説するね

セキュアブートについて

セキュアブートとは、パソコンを起動するときに「変なプログラムが混ざっていないか」を確認する仕組みです。PCの電源を入れると、まずUEFIという基本ソフトが動き、OSを起動する前にブートローダーやOSが正規のものかどうかをチェックします。この確認には「デジタル署名」が使われており、正しく署名された信頼できるプログラムだけが起動できます。もし改ざんされたプログラムや、正体不明のものが見つかると、PCは起動を止めて被害を防ぎます。
この仕組みによって、OSより前に動くマルウェア(ブートキットなど)を防ぐことができ、パソコンを安全な状態で使い始められるようになります。

セキュアブートにおけるデジタル署名について

デジタル署名とは、「このプログラムは本物で、途中で書き換えられていません」ということを証明するための目印です。セキュアブートでは、パソコンの起動時に読み込まれるプログラム(ブートローダーやOS)が、この目印を持っているかを確認します。

たとえるなら、学校の入校証のようなものです。正規の生徒は決められた入校証を持っており、門番(UEFI)はそれを見て「正規の人だから通っていい」と判断します。入校証がなかったり、偽物だったりすると、中には入れません。

デジタル署名は、ソフトウェアの作成者が「秘密鍵」という特別な鍵で作ります。パソコン側は、それに対応する「公開鍵」を使って署名を確認します。もしプログラムの中身が少しでも改ざんされていると、署名は一致せず、不正なものだと判断されます。

PCの起動時を狙った攻撃の種類について

起動時を狙った攻撃は、OSより前に動くため発見や駆除が難しく、特に危険とされています。主な種類は以下の通りです。

① ブートキット攻撃

ブートローダーや起動領域を書き換え、OS起動前にマルウェアを実行する攻撃です。ウイルス対策ソフトより先に動くため、長期間気づかれにくい特徴があります。

② ルートキット(ブート型)

OSの深い部分や起動処理に潜み、管理者権限を奪ってシステムを完全に支配する攻撃です。動作の隠蔽能力が高く、検知が困難です。

③ MBR/ブートセクタ改ざん

ディスクの最初の領域(MBRやブートセクタ)を改ざんし、起動時に不正コードを読み込ませる攻撃です。古くからあるが、現在でも被害があります。

④ UEFIファームウェア攻撃

UEFI自体を書き換え、OSの再インストール後も残り続ける非常に高度な攻撃です。再起動しても消えないのが大きな特徴です。

まとめ

今回はセキュアブートについて解説しました。

セキュアブートはパソコンの電源を入れた瞬間から安全性を確保するための重要な仕組みです。

日常的に意識されにくい機能ですが、基本的なセキュリティ対策の一つですので覚えてくださいね。

それでは、最後まで閲覧頂きありがとうございました!