Windows 8 の一般発売が開始されてから、早 1 か月が経とうとしています。Windows 8 の新しい UI や操作性には慣れた頃でしょうか?様々なシーンで Windows 8 を活用いただけているといいなと思います。
日本のセキュリティ チームのブログでは、Windows 8 の発売を記念して、5 回にわたり Windows 8 のセキュリティ機能を特集しています (第 1 回、第 2 回、第 3 回)。第 4 回目の今回は、セキュア ブートについてご紹介します。
セキュア ブートとは? セキュア ブートは、OS 起動時の脅威からシステムを保護するための機能で、UEFI (Unified Extensible Firmware Interface) という起動プロトコルを用い、署名された OS ローダーとウイルス対策ドライバーのみを初期起動することで、ルートキットや改ざんされたドライバーが OS より先に実行されることを防ぎます。悪意のある攻撃者は感染を確実にするために、OS が完全起動する前に自ら作成した悪意のあるソフトウェアが実行されるようにし、ウイルス対策製品の起動を無効化するなどします。セキュア ブートの導入により、こういったマルウェアが早期に起動する機会を与えず、Windows の安全性をより一層高めています。
BIOS 時代の起動の仕組み
比較として、これまでの Windows 端末などで一般的に利用されている BIOS (Basic Input/Output System) の起動時の流れを説明します。BIOS では、下図 1 のように、どの OS ローダーを開始することも可能でした。これは、OS ローダーの代わりにルートキットと呼ばれるマルウェアを起動させることも可能ということを意味しています。マルウェアによるエクスプロイトの進化の中で増加しているのが、攻撃ルートとしてブート パスを標的にするパターンです。この種類の攻撃では、先に起動したマルウェアによりウイルス対策ソフトウェアのロードそのものが妨害されてしまい、起動できないため、システムの保護が非常に困難でした。
セキュア ブートの安全な仕組み Windows 8 では、多くの端末で UEFI セキュア ブートが既定で有効になっています。セキュア ブートでは、まず、改ざんが行われていない署名付きの特定の OS ローダーだけを確実に起動します (図 2)。次に、Early Launch Anti-Malware (ELAM) ドライバーと呼ばれる署名付きのマルウェア対策ソフトウェアのみを先に起動し、その他のサード パーティ ドライバーは、マルウェア対策ソフトウェアの後に起動します。これにより、マルウェア対策が行われている環境での動作を確実にしています。
おわりに Windows 8 から搭載されたセキュア ブートは、OS 起動時におけるルートキットなどのマルウェア実行を防ぐことで Windows の利用をより安全なものにしています。ユーザーにとっては目に見えないところでの変更ですが、より安全で快適なコンピューター体験を提供するために様々なところで強化・改善を行っています。
さて、シリーズ最終回となる次回は、Windows 8 デバイス上で動作する新しい種類のアプリケーション「Windows ストア アプリ」についてご紹介する予定です。
最終回も楽しみにしていてください!
関連ブログ: Windows 8 セキュリティ特集 (全 5 回)