Ubuntuは、PCの安全性確保に向けたMicrosoftの取り組みを阻害しています。最近のWindows PCは、Microsoftが承認したOSへのアクセスを制限する安全対策であるセキュアブートを有効にして出荷することが義務付けられています。Linuxユーザーの利便性向上のため、MicrosoftはLinuxディストリビューションのブートローダーにMicrosoftの署名鍵を提供しています。しかし、Ubuntuの署名済みブートローダーは署名されていないコードも問題なく起動し、信頼チェーン全体を破壊してしまいます。幸いなことに、この状況は近日リリース予定のUbuntu 16.04 LTSで改善される予定です。
セキュアブートは、UEFIファームウェアからオペレーティングシステムに至るまで、信頼チェーンを確立することを目的としています。例えば、Windowsで使用する場合、UEFIファームウェアはWindowsブートローダーが正しい署名鍵を持ち、改ざんされていないことを確認します。その後、Windowsブートローダーは次の段階に引き継ぎ、そこでも正当性が確認されます。その目的は、ルートキットがブートプロセスに干渉していないことを確認することです。
Linuxディストリビューションは、Microsoftの署名付きブートローダーを搭載しており、UEFIファームウェアからの承認を得ています。しかしUbuntuでは、UEFIファームウェアから権限が委譲されると、ブートローダーは起動するLinuxカーネルがCanonical(Ubuntuの開発元)によって署名されているかどうかを確認しません。これは、セキュアブートがUbuntuユーザーにとってセキュリティ機能ではないことを意味するだけでなく、ハッカーがUbuntuの信頼できるブートローダーを利用して、セキュアブート対応のほぼすべてのPCで信頼できないマルウェアを起動できることを意味します。Ubuntuが使用するGrubブートローダーにはWindowsを起動する方法があり、セキュアブート対応のWindowsシステムへの攻撃が可能になります。
これは周知の事実ではありませんが、Canonicalが隠蔽したわけでもありません。2015年半ばのバグレポートへのコメントで、UbuntuのセキュリティエンジニアであるMarc Deslauriers氏は、「Ubuntuのセキュアブートのサポートは、セキュアブート対応のコンピューターでメディアを起動できるようにするための互換性対策としてのみ意図されています。現時点では、セキュリティ対策としてセキュアブートを有効にする予定はありません」と述べています。
著名なフリーソフトウェア開発者のマシュー・ギャレット氏は、2016年1月6日にこの脆弱性を発見しました。彼は、一連の罵詈雑言を交えたツイートで、Ubuntuを「犯罪的な無能さ」と非難しました。ギャレット氏は、Microsoftによって署名されたブートローダーが他のオペレーティングシステムへの攻撃に転用される可能性を指摘し、ツイートでこう付け加えました。「これはUbuntuユーザーだけに影響する決定ではありません。UEFIセキュアブートを使用する*すべての人*のセキュリティが、これによって弱体化されるのです。」
Ubuntu の署名済み Grub ブートローダーは何でも起動するため、セキュア ブートにセキュリティ ホールが発生します。
Ubuntu 16.04では問題が修正されるはずだ
Canonicalはセキュリティ上の脆弱性を軽々しく認めているものの、セキュアブートの実装のセキュリティ強化に取り組んでいます。UbuntuのWikiのセキュアブートのページには次のように記載されています。
Canonicalは、「Ubuntu 15.10およびそれ以前のバージョンにおけるセキュアブートの実装は、主にハードウェアによる有効化を目的としています」と述べています。「セキュアブートをセキュリティメカニズムとして利用する場合、適切な解決策は、独自のキーを使用し(オプションで追加キーを登録することもできます。詳細は上記を参照)、ブートローダーを更新して署名のないカーネルの起動を禁止することです。Ubuntu 16.04 LTSでは、セキュアブートの強制を有効にする予定です(詳細はLP: #1401532を参照)。」
Ubuntu 16.04は2016年4月のリリースが予定されており、Canonicalにはセキュリティを考慮してブートローダーを再設定する時間があと数ヶ月しかありません。しかし、Garrett氏が指摘するように、古いUbuntuブートローダーもブラックリストに登録する必要があります。現在、これらのブートローダーは出回っており、セキュアブートのエコシステムに潜在的なセキュリティリスクをもたらしています。
残念なことに、セキュアブートはWindows 10認定PCの必須ハードウェア機能であり、PCメーカーはMicrosoftがLinuxディストリビューション向けに提供する署名鍵を組み込む必要はありません。署名されたLinuxブートローダーが潜在的なセキュリティ脅威となる場合、MicrosoftとPCメーカーはLinuxユーザーにとっての利便性を諦める理由となる可能性があります。
