セキュアブートの話

2026-03-22
ストーリーを整理

自分の理解確認用。

セキュアブート関連確認ツール

Windows利用者はWindowsUpdateでKEKの差し替えを実施しよう！
KEK差し替えを実施しないと、お前のPCは詰むぞ！

これのはなし。こっちも見といた方がいいかな。

• KEK：更新を許可する鍵（管理者）
• DB ：起動していい名簿（ホワイトリスト）
• DBX：絶対ダメな名簿（ブラックリスト）
• Win：Windowsのブートローダー

この順で更新が行われる。

1. 新しいKEKに更新
2. 新しいDBに更新
3. 新しいブートローダーに更新
4. 新しいDBXに更新

期限を過ぎても起動できるのはDBXに失効日が登録されていない場合。要素が古くても動き続けられる。
しかし、ユーザのあずかり知らないところでシレっとDBXに更新が入っていると詰む事になる。

シナリオ的には大きく2点ある。

• シナリオ1：WindowsUpdateがDBXを更新して詰む
• シナリオ2：ファームウエアアップデートがDBXを更新して詰む

どちらもKEKが無効になっているので起動不可イベントに遭遇してしまうとOS側から対処できず手遅れとなる。

WindowsUpdateがDBXに失効日を登録して詰むパターン。

WindowsUpdateがDBXに失効日を登録した。
※失効日の登録がいつ実施されるか不明（MSが実施時期不明と言ってるそうだ）

WindowsUpdateでKEKの更新をしていなければ、KEKの期限切れでKEK自身を更新できなくなった。
KEKが期限切れのままなので、DB・DBXの更新もできなくなった。

KEK無効でWindowsUpdateはDB・DBXを変更できずWindowsは起動できなくなった。

UEFIファームウェアアップデートによりDBXが更新されて詰むパターン。

DBXに失効日が無いので、そのままWinはWindowsを起動し続ける。

WindowsUpdateではなくファームウエアアップデートによりDBXに失効日が登録された時、失効日を過ぎているならWindowsは起動できなくなる。

Win(ブートローダー)を現在のDB・DBXの内容に対応する版に差し替えるか、UEFIのファームウエア側アップデートでKEK・DB・DBXを更新した後にWinの再インストールが行えれば動く。

DBXを更新前の状態に戻せればWinはそのまま動作するだろうけど、セキュリティ上DBXはロールバックできない建前なので、失効日の情報を無かった事にはできない。