【Windows】デュアルブート環境でLinuxが起動しなくなった場合の対応方法(CVE-2022-2601)

Windows
スポンサーリンク

Windowsをもっと使いたおす方法

この記事ではWindowsのかいつまんだ機能について紹介していますが、Windowsをもっと使いたおすための学習方法ついてはこちらにまとめています。

Windowsをもっと使いたおすためのUdemy学習教材 5選
本記事では、WindowsユーザがWindowsをもっと使いたおせるようになるためのUdemy学習教材について紹介します。 はじめに このブログでもWindowsに関する話題をかいつまんで取りあげていますが、体系立った知識を得るためには、や...

デュアルブート環境でLinuxが起動しなくなる問題

2024年8月にリリースされたWindowsのセキュリティ更新プログラムを適用後、Linuxをデュアルブートで使用する際に起動できない事象が報告されていました。

この現象は、デュアルブート環境でWindowsとLinuxを併用している場合に発生します。

個人的にも確認しましたが、以下のような画面が出てOSを起動することができなくなってしまいました

Verifying shim SBAT data failed: Security Policy Violation
Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation

これは、GRUB2 セキュアブートバイパスを狙う脆弱性(CVE-2022-2601)を悪用した攻撃を防ぐためにMicrosoftによって設計されたSecure Boot Advanced Targeting (SBAT) のアップデートが原因とされます。具体的に脆弱なUEFIシムブートローダーをブロックするような機能更新だったようです。

今回のパッチによって多くのLinux ユーザーがこの問題の影響を受けたようですね

Ubuntu、Linux Mint、Puppy Linuxなどさまざまなディストリビューションのユーザから報告があがったみたいですよ

Linuxが起動しなくなった場合の解決策

2024年8月のWindows更新プログラムを既にインストールしていて、デュアルブートでLinuxを起動できなくなった場合、以下の手順でSBAT更新プログラムを削除し、今後のSBAT更新プログラムがインストールされないようにするようMicrosoftは推奨しています。

<手順>

  1. セキュアブートを無効化
    BIOSを起動し、セキュア ブートを無効にします (手順はメーカによって異なります)。
  2. SBAT更新を削除
    Linuxを起動し、ターミナルで以下のコマンドを実行します。求められたらルートパスワードを入力します。 コマンド実行後にLinux を再起動します。
    sudo mokutil --set-sbat-policy delete
  1. SBAT削除を確認
    ターミナルで以下のコマンドを実行します。
    mokutil --list-sbat-revocations

  2. セキュアブートを再度有効化
    BIOSを起動し、セキュアブートを有効化します。
  3. セキュアブート状態を確認
    ターミナルで以下のコマンドを実行します。
    mokutil --sb-state
    “SecureBoot enabled”と出力されるはず。
  4. Windows で今後SBAT更新を無効化
    Windowsを起動し、管理者としてコマンドプロンプトを開き、次のコマンドを実行します。
    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD

Windows更新プログラムを未インストールの場合

2024年8月のWindows更新プログラムをまだ適用していない場合、以下のコマンドでレジストリ追加することで問題発生を防止できます。

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD

このレジストリは、SBAT 更新プログラムが 2024 年 8 月の Windows 更新プログラムや以降のWindows 更新プログラムの一部として適用されないようにします。

後でSBAT 更新プログラムをインストールしたくなった場合は、レジストリキーを削除することで元に戻せます。

参考情報

詳細な情報や解決策については、以下の公式のマイクロソフトのサポートページを参照してください。
Microsoft サポートページ

安心してデュアルブート環境を使用するために、引き続きこの問題を追っていく必要がありそうですね。




本ブログでは業務に役立つ技術情報をこれからも発信していきますので、困った時にはぜひ参考にしてみて下さいね。

\ほかにもWindows11の機能を知りたい人はこちらもおすすめ/

楽天Kobo電子書籍ストア
¥1,188 (2024/11/23 16:45時点 | 楽天市場調べ)

コメント

タイトルとURLをコピーしました