マイクロソフトがWindowsメディア更新用の新スクリプトを公開ブートキットマルウェア対策を強化

マイクロソフトは、新たなPowerShellスクリプトを公開し、Windowsのブートメディアを最新のセキュリティ基準に適合させる手段を提供した。このスクリプトを適用することで、新しい「Windows UEFI CA 2023」証明書をブートメディアに組み込み、BlackLotusなどのUEFIブートキットによる攻撃への耐性を強化できる。

BlackLotusはSecure Bootを回避し、Windowsの重要なセキュリティ機能を無効化する高度なマルウェアである。マイクロソフトはすでに関連する脆弱性（CVE-2023-24932）に対する修正パッチを提供しているが、その適用には慎重な対応が求められている。

誤って適用するとシステムが起動不能になるリスクがあるため、今回のスクリプトを活用することで、事前にブートメディアを適切に更新し、安全な環境を整えることが推奨される。

このスクリプトは、ISOイメージやUSBメディアなどの複数のフォーマットに対応しており、管理者は容易に更新を実施できる。マイクロソフトは、この修正が2026年までに強制適用される予定であり、十分な準備期間を確保するために6か月前の事前通知を行うとしている。今後、Windowsデバイスの安全性を確保するために、このスクリプトを活用した適切な対策が求められる。

BlackLotusの脅威とマイクロソフトの対応策の進化
新スクリプトの仕組みとユーザーに求められる準備
Secure Bootの今後の展望とユーザーの選択肢

BlackLotusの脅威とマイクロソフトの対応策の進化

BlackLotusは、WindowsのSecure Bootを回避し、システムの起動プロセスに介入する高度なUEFIブートキットである。このマルウェアは、Windowsの主要なセキュリティ機能を無効化し、攻撃者にとって極めて有利な環境を作り出す。

特に、BitLockerやHypervisor-Protected Code Integrity（HVCI）、Microsoft Defender Antivirusといった防御機能が無効化されることで、マルウェアがほぼ検出されずに実行される可能性がある。

この脅威に対抗するため、マイクロソフトはSecure Bootの脆弱性（CVE-2023-24932）を修正する更新プログラムを提供している。しかし、これらの修正はデフォルトでは無効になっており、ユーザーや管理者が適用するかどうかを選択する必要がある。その背景には、誤った適用によるシステムの起動不能リスクがあるため、慎重な導入が求められている。

今回発表されたPowerShellスクリプトは、Secure Bootの保護を適切に機能させるために重要な役割を果たす。新しい「Windows UEFI CA 2023」証明書を活用し、BlackLotusによって悪用される脆弱なブートマネージャーを排除できる。これにより、セキュリティ強化のための環境が整い、将来的なブートプロセスの安全性が確保されることが期待される。

新スクリプトの仕組みとユーザーに求められる準備

今回マイクロソフトが提供したPowerShellスクリプトは、Windowsのブータブルメディアを最新の「Windows UEFI CA 2023」証明書に対応させるものである。

このスクリプトを適用すると、既存のISOイメージやUSBインストールメディアが更新され、新しいセキュリティ証明書を使用するブートマネージャーを含むようになる。これにより、脆弱なブートローダーが排除され、Secure Bootの保護機能が強化される。

このスクリプトを利用するためには、Windows ADK（Windows アセスメント＆デプロイメントキット）のインストールが必要になる。また、対象となるメディアはISOファイルやUSBフラッシュドライブ、ローカルドライブ、ネットワークドライブなど幅広く対応しており、管理者は自分の環境に合わせた形式で更新作業を実施できる。

しかし、ブートメディアを更新することで発生する可能性のある問題にも注意が必要だ。例えば、旧バージョンのブートマネージャーを使用しているシステムでは、新しい証明書を認識できないため、起動に失敗するリスクがある。そのため、管理者は更新前に十分なテストを行い、必要なバックアップを確保することが推奨される。

今後、Secure Bootの強制適用が予定されているため、今回のスクリプトを活用して早めに移行準備を整えることが、安定したWindows環境の維持につながるだろう。

Secure Bootの今後の展望とユーザーの選択肢

マイクロソフトは、Secure Bootの強制適用を2026年までに実施すると発表している。これにより、「Windows UEFI CA 2023」証明書に対応していない旧ブートマネージャーは、Secure Boot環境下で起動できなくなる可能性が高い。この変更が正式に適用される前に、マイクロソフトは6か月前の事前通知を行うとしているが、それまでにユーザーが準備を整えることが重要となる。

今回のスクリプト公開により、管理者は早い段階でSecure Bootの新しい仕組みに適応する手段を得た。特に、企業や個人ユーザーが使用するWindows環境の安全性を高めるためには、ブートメディアの更新と適切な設定の確認が欠かせない。また、今回の更新が適用された環境では、BlackLotusのような脅威が回避しづらくなるため、マルウェア対策の強化にもつながる。

一方で、すべてのユーザーがこの変更に対応できるとは限らない。旧型のハードウェアを使用している場合、新しい証明書に非対応のブートマネージャーが存在する可能性があり、互換性の問題が発生するケースも考えられる。そのため、すぐにスクリプトを適用するのではなく、自身のシステム環境を確認し、慎重に対応することが求められる。

今後、Secure Bootの強制適用が実施されるまでの間、マイクロソフトがさらなる互換性向上の措置を講じる可能性もある。しかし、ユーザー側でも事前にブートメディアの更新やテストを行い、トラブルを未然に防ぐ準備を進めておくことが、安全なWindows環境を維持する上で不可欠となる。

Source：BleepingComputer