Acer・ASUS・東芝などのPCにセキュアブートの穴、消えないウイルスの恐れ
Acer・ASUS・GIGABYTE・東芝など複数メーカーのパソコンで、起動時の安全装置「セキュアブート」をすり抜けられる脆弱性が見つかりました(JVNVU#93024090)。悪用されると、OSを入れ直しても消えず、ウイルス対策ソフトにも見つかりにくいウイルスを奥深くに仕込まれる恐れがあります。攻撃には管理者権限か端末への直接操作が必要で、メーカーの更新とDBX更新で対処します。
堀川 慎
Backend Engineer / AWS / Django / Go
Acer・ASUS・GIGABYTE・東芝など複数メーカーのパソコンで、起動時の安全装置「セキュアブート」をすり抜けられる脆弱性が見つかりました(JVNVU#93024090)。悪用されると、OSを入れ直しても消えず、ウイルス対策ソフトにも見つかりにくいウイルスを奥深くに仕込まれる恐れがあります。攻撃には管理者権限か端末への直接操作が必要で、メーカーの更新とDBX更新で対処します。
Acer・ASUS・GIGABYTE・東芝など複数のパソコンメーカーが署名して配っていたソフトに、パソコン起動時の安全装置「セキュアブート」をすり抜けられる弱点が見つかりました。国の脆弱性情報サイトJVN(JVNVU#93024090)と、米CERT/CCの脆弱性情報(VU#457458)で2026年6月に公表されました。
悪用されると、OSを入れ直しても消えず、ウイルス対策ソフトにも見つかりにくいタイプのウイルスを、パソコンのいちばん奥(起動の土台)に仕込まれる恐れがあります。ただし攻撃には、管理者権限を奪うか、端末を直接操作できる状態が前提になります。対処は、メーカーが配るファームウェア更新と、危険なソフトを無効化リストに登録する「DBX更新」です。
セキュアブートとは何か、すり抜けがなぜ怖いのか
セキュアブートは、パソコンの電源を入れてからWindowsなどのOSが立ち上がるまでの間に、「正規のメーカーが署名した(お墨付きを与えた)ソフトだけを実行する」しくみです。途中で見知らぬプログラムが割り込もうとしても、署名がなければ動かさないことで、起動の土台にウイルスが入り込むのを防ぎます。多くのWindowsパソコンで最初から有効になっています。
この土台に入り込むウイルスは「ブートキット」と呼ばれ、特に厄介です。OSより先に動くため、Windowsの中で動くウイルス対策ソフトからは見えにくく、OSを入れ直しても、パソコンを再起動しても生き残ります。セキュアブートは、まさにこのブートキットを締め出すための門番です。その門番をすり抜けられる弱点が、今回見つかったものです。
問題は、門番が「メーカーの署名さえあれば通す」点にあります。今回は、メーカー自身が署名して配っていた正規のソフト(パソコンの保守や起動に使う小さなプログラム)の中に、危険な操作を許してしまうものが含まれていました。つまり攻撃者は、新しい不正ソフトを作らなくても、すでにお墨付きのある正規ソフトを悪用するだけで門を通れてしまいます。署名済みの正規部品が穴になる構図は、当サイトで取り上げた公式イメージに初期パスワードが残っていた事例とも通じます。
この門をこじ開けに来るのは誰で、何を残していくのか
この弱点は、ネット越しに誰でも一発で踏める種類のものではありません。攻撃者がまず管理者権限を握るか、パソコンを直接いじれる状態になって初めて成立します。だからこそ、その一歩手前まで来ている相手が誰で、門をこじ開けたあとに何を置いていくのかを思い描いておく意味があります。
来るのは、すでに別のウイルスでパソコンに侵入して管理者権限を握った攻撃者、企業の端末を長く監視し続けたい国家ぐるみのスパイ集団、整備や転売の名目で他人の端末を物理的に触れる立場の人間、そして盗んだノートパソコンを解析する窃盗犯です。彼らがこの門の先に残していくのは、OSの入れ直しでも消えない常駐ウイルス、キー入力やパスワードをのぞき見る盗聴の仕掛け、いつでも遠隔操作できる裏口、そしてウイルス対策ソフトの監視を最初から無効化する土台への居座りです。門をすり抜けられた瞬間、その端末は「初期化しても綺麗にならないパソコン」へと変わってしまいます。
技術的に見ると、攻撃者は事前の偵察で対象の端末がどのメーカー製かを把握し、そのメーカーの署名が付いた脆弱なソフトを正規の手順で読み込ませます。署名があるためセキュアブートはこれを止めません。読み込まれたソフトが備える危険な操作を踏み台に、署名のないプログラム(=本来の門番なら弾くはずのブートキット)を起動の土台に書き込みます。一度居座れば、OSより先に主導権を握るため、上で動くあらゆる防御の手前から監視と改ざんを行えます。標的型の長期スパイやランサムウェアの初期侵入後の足場固めに使われやすく、こうした集団の手口は主要なハッカー・ランサム集団のまとめでも整理しています。
「管理者権限か物理アクセスが必要」という条件は、一見ハードルが高く見えます。ですが本当に怖いのは、いったん門を抜けられたあとに「何をしても消えない」状態が完成してしまうことです。普通のウイルスなら初期化すれば消えますが、起動の土台に居座られると、買い替え以外に確実な駆除手段がなくなる場合すらあります。
JVNVU#93024090で実際に何が起きるのか
弱点の正体は、メーカーが署名して配っていた一部の「UEFIアプリ」と呼ばれる小さなプログラム(起動前に動くシェルやブートローダ、保守ツール類)に、危険な操作がそのまま使える状態で残っていたことです。CERT/CCの情報によると、これらのソフトは mm(メモリ直接書き換え)、dmpstore / setvar(起動時の設定領域NVRAMの読み書き)、insmod(署名確認なしのドライバ読み込み)といった強力なコマンドを、アクセス制限なしで実行できてしまいます。
これは「正規の鍵で開く道具を悪用する」タイプの攻撃で、新しい不正ソフトを持ち込む必要がありません。攻撃者は、メーカーの署名が付いた正規ソフトをセキュアブートに正規の手順で通したうえで、その中の危険コマンドを使い、署名のないプログラムを起動の土台に書き込みます。結果として、本来は弾かれるはずのブートキットが、メーカーのお墨付きを借りて起動できてしまうわけです。OSが立ち上がる前に主導権を握られるため、Windows上のウイルス対策ソフトでは検知が難しくなります。
成立には条件があります。攻撃者があらかじめ管理者権限を持っているか、端末を物理的に操作できることです。ネット越しに何もしていない人がいきなり乗っ取られるものではありません。とはいえ、別のウイルスで管理者権限を奪う手口は珍しくなく、いったんこの段階に達した攻撃者にとっては、検知も駆除も困難な「居座りの完成形」を作れる強力な一手になります。報告時点で、この弱点が実際に悪用されたという公的な確認は出ていません。
自分のパソコンは対象なのか
影響を受けるかは、パソコンのメーカーと、その端末に上記の脆弱なソフトの署名が信頼登録されているかで決まります。CERT/CCが対象として挙げているメーカーと、影響なしと回答したメーカーを下の表に整理しました。
| 区分 | メーカー・部品 |
|---|---|
| 対象として 挙げられた | Acer、ASUS、GIGABYTE、東芝、 ECS、Getac、Uniwill、Emdoor、 Schenker/XMG など (UEFIシェル・GRUB2・efiflash.efi 等) |
| 「影響なし」と 回答 | Intel、AMI、Insyde、 Phoenix、Supermicro |
| 対応表明 | GIGABYTE は脆弱な efiflash.efi の削除を表明 |
| 項目 | 内容 |
|---|---|
| 識別番号 | JVNVU#93024090 / CERT/CC VU#457458 |
| 弱点の種類 | 署名済みソフト悪用による セキュアブートのすり抜け |
| 悪用の前提 | 管理者権限 または物理アクセス |
| 主な被害 | 消えにくいブートキットの 常駐・検知回避 |
| 公表 | 2026年6月 |
表のメーカーのパソコンを使っていても、すぐ被害に遭うわけではありません。攻撃には管理者権限か物理アクセスという前提があるためです。ただし、対象メーカー製の端末は「門番がすり抜けられうる」状態にあるため、後述の更新で穴を塞いでおくのが安全です。なお、個別のCVE番号は付番されておらず、CERT/CCとJVNの管理番号でまとめて扱われています。
どう対処すればいいのか
対処は2つの方向から行います。1つは、パソコンメーカーが配るファームウェア(BIOS/UEFI)の更新を適用することです。各メーカーのサポートページで、自分の機種向けの最新更新が出ていないか確認してください。GIGABYTEのように、脆弱なソフトそのものの削除を表明しているメーカーもあります。
もう1つは、「DBX」と呼ばれる無効化リストの更新です。これは、危険と判明したソフトの署名を「もう信頼しない」と登録して、セキュアブートに通さなくするしくみです。Windowsでは、Microsoftが配布するセキュアブート関連の更新を通じてDBXが更新されることがあります。基本の備えとして、Windows Updateを最新に保つことが重要です。CERT/CCも、ファームウェア更新とDBX更新の両方を対策として挙げています。
あわせて、土台の弱点を突かれる前段階を防ぐ基本対策も有効です。管理者権限を簡単に渡さない(不審なソフトを入れない・管理者で常用しない)、ノートパソコンの物理的な持ち出しや放置に気をつける、社内端末ではディスク暗号化(BitLocker等)を有効にする、といった日頃の運用が、攻撃者を「管理者権限か物理アクセス」という前提の手前で止める助けになります。
なぜ署名済みの正規ソフトが穴になるのか
セキュアブートの安全性は「署名された正規ソフトは安全だ」という前提に支えられています。ところが、その正規ソフト自身が危険な操作を許してしまうと、攻撃者は新しい不正ソフトを作らずに、お墨付きのある部品を踏み台にして門を通れます。今回のように、保守用の小さなツールやシェルに強力なコマンドが残っていると、それがそのまま「合法的に通れる抜け道」になってしまうわけです。
この「信頼の連鎖のどこか1か所が崩れると全体が崩れる」構図は、近年のセキュリティで繰り返し問われているテーマです。メーカーが署名して配る部品も、初期設定や初期パスワードのまま配られる部品も、利用者が「正規だから安全」と信じる土台が共通しています。だからこそ、メーカーからの更新を欠かさず取り込み、土台の安全装置を最新の状態に保つことが、いちばん確実な守りになります。
✓ 確認済みの事実
- ✓複数メーカー署名のUEFIアプリでセキュアブートのすり抜けが可能(JVNVU#93024090 / CERT/CC VU#457458)
- ✓mm / dmpstore / setvar / insmod など危険コマンドがアクセス制限なしで使えた
- ✓成立には管理者権限または物理アクセスが必要。被害はOS再インストールでも消えないブートキット常駐
- ✓対策はメーカーのファームウェア更新とDBX更新。Intel・AMI・Insyde・Phoenix・Supermicroは「影響なし」と回答
? 現時点で未確認の点
- ?この弱点が実際に悪用されたという公的な確認 ― 公表時点では出ていない
- ?対象として挙がった一部メーカーの正式な対応状況 ― 多くは「不明」のまま
よくある質問
Q. ネットを見ているだけで突然乗っ取られますか?
A. いいえ。今回の弱点は、攻撃者が先に管理者権限を握るか、端末を直接操作できることが前提です。何もしていない人がネット越しに一発で乗っ取られるものではありません。ただし、別のウイルスで管理者権限を奪われた後の「居座り」に使われると厄介です。
Q. 自分のパソコンが対象か、どう確認すればいいですか?
A. まずメーカー名を上の表で確認し、メーカーのサポートページで自分の機種向けのファームウェア更新やセキュリティ情報が出ていないかを見てください。あわせてWindows Updateを最新にしておくと、DBX(無効化リスト)の更新も取り込まれます。
Q. すでにブートキットを仕込まれていないか心配です。
A. 一般利用者が自力で確実に確認するのは困難です。動作が不審で心配な場合は、メーカーや専門業者に相談してください。企業では、端末の調達・廃棄時の管理やディスク暗号化、管理者権限の絞り込みが予防に有効です。
まとめ
JVNVU#93024090は、Acer・ASUS・GIGABYTE・東芝など複数メーカーが署名して配っていたUEFIアプリに、起動時の安全装置セキュアブートをすり抜けられる弱点が見つかった事案です。悪用されると、OSを入れ直しても消えず、ウイルス対策ソフトにも見つかりにくいブートキットをパソコンの土台に仕込まれる恐れがあります。
成立には管理者権限か物理アクセスが必要で、ネット越しに誰でも踏める種類ではありません。それでも「いったん入られると消せない」という被害の重さから、対象メーカーの端末はメーカーのファームウェア更新とDBX更新で早めに塞いでおくのが安全です。署名された正規部品も、安心しきらず更新を取り込み続けることが、起動の土台を守るいちばんの近道です。