特定のMSIマザーボードで、UEFIセキュアブートの設定が不適切だと判明

セキュリティ研究者がMSIマザーボードにおけるUEFIセキュアブートの設定について調査し、好ましくない設定がデフォルトになるように変更されていると指摘した。多くのマザーボードモデルが対象となっており、セキュアブートが本来の目的通りに機能していない可能性がある。

[後藤大地，有限会社オングス]

　セキュリティ研究者のダウィド・ポトキ氏は2023年1月13日（現地時間）、自身のブログで、MicroStar International（MSI）のマザーボードを調査した結果、本来機能することが期待されるUEFIセキュアブートのデフォルト設定が好ましくない状態にセットされており、不適切な署名のOSであってもそのまま起動する状態になっていると指摘した。ポトキ氏は不適切な状態になっているとみられるマザーボードのリストを公開している。

セキュリティ研究者はMSIマザーボードの不適切な設定について伝えた（出典：ダウィド・ポトキ氏のブログ）

セキュアブート設定が不適切なマザーボードは？

　最近のPCにはUEFIを実装したBIOSと呼ばれるファームウェアが搭載されている。BIOSは幾つかの機能を提供しており、それらの一つにセキュアブートと呼ばれるセキュリティ機能がある。

　UEFIのセキュアブートはOS起動時にOSの署名をチェックする。署名が不適切なものであればOSは起動しない。しかしポトキ氏は、MSIの特定のマザーボードでこのセキュアブートの設定がいずれかの段階で変更されており、不適切な署名であってもOSが起動する設定になっていることが明らかになったと説明している。

　この設定変更については文書化されておらず、どの段階でどのような目的があってデフォルトの設定が変更されたのかは本稿執筆時点では判明していない。

　ポトキ氏は不適切な設定になっているマザーボードについて以下のページで情報を提供している。数百のマザーボードが対象になっているため注意が必要だ。

• （1） MSI has very insecure Secure Boot defaults ・ Issue #181 ・ Foxboron/sbctl

　本稿執筆時点でMSIから発表は行われていない。