GIGABYTE、「設計上の仕様」によりUEFIパスワードのバイパスが可能と認める

GIGABYTE、UEFIパスワードのバイパスが可能と認める　「設計上の仕様」と説明

CyberInsider – June 23, 2026

Microsoft Windows回復環境（WinRE）にセキュリティ上の問題が見つかり、GIGABYTE製マザーボード上のUEFIまたはBIOSパスワードを回避できる可能性が判明した。これによってファームウェアのセキュリティ制御が損なわれ、データへの不正アクセスが可能になるという。

この問題はセキュリティ研究者のBeatriz Fresno Naumova氏によって報告され、VU#226679として追跡されている。米CERT/CCの説明によると、WinREは通常の起動プロセスで適用されるファームウェアレベルの認証要件を強制しない代替の起動パスでシステムを再起動できる可能性があるため、実装によっては管理者が設定したUEFIパスワード保護を回避し、外部オペレーティングシステムを起動される恐れがあるようだ。

さらにCERT/CCは、このようなアクセスで「悪意のあるメイド攻撃」（所有者が目を離したデバイスに物理的にアクセスして不正な活動を行う攻撃）が容易になると警告。設定によっては攻撃者が起動設定を変更したり、OSのセキュリティ制御を回避したり、保存されたデータに対してオフライン攻撃を試みたりすることも可能になるほか、追加のブート前認証メカニズムが有効になっていない場合、BitLockerによる保護が部分的に弱まる危険性もあると指摘した。

CERT/CCはこの問題をセキュリティ上の懸念事項と位置づけているが、ハードウェアベンダーのGIGABYTEはこの動作をファームウェアの欠陥とみなしていない模様。UEFI管理者パスワードをサポートする特定のマザーボードやノートPCにおいて、ユーザーがWinREに入り、「デバイスを使う（Use a device）」オプションを選択して外部メディアから起動しようとした際に発生し得る挙動であることは認めたものの、これを「設計上の仕様」と説明したそうだ。

GIGABYTEは問題解決に向け、パートナー企業やOSベンダーと引き続き連携・検討する意向を示したが、ファームウェアのアップデートについては何も言及していない。CERT/CCはBitLocker保護機能TPM + PINの使用、回復環境の制限、外部起動メディアの厳格な管理、より強力な物理的セキュリティ対策など多層的な防御策を講じるよう推奨している。

米トランプ大統領、耐量子計算機暗号（PQC）への移行を加速する大統領令に署名

SecurityWeek – June 23, 2026

ドナルド・トランプ米大統領は22日、実用的な量子コンピューティングの到来に備え、データ保護を強化するための大統領令に署名した。

この新しい大統領令は「ハーベスト攻撃」の脅威に焦点を当てている。これは攻撃者が暗号化されたデータを今のうちに盗み出し、将来的に量子コンピューターを使って暗号を解読しようとする手法だ。Google、Dell、HPといった企業や民間部門では耐量子計算機暗号（PQC）への移行に向けてすでに大きな動きが見られるため、米政府も明確なロードマップを策定し、PQCへの移行を加速させようとしていることが読み取れる。

大統領令第14409号は行政管理予算局（OMB）、国立標準技術研究所（NIST）、国家安全保障局（NSA）、国土安全保障省（DHS）、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）に対し、連邦各機関によるPQC導入支援に向けた包括的な技術ガイダンスを策定し、その実施を監督するよう連携を求めている。各機関は重要度の高い資産や影響の大きいシステムを特定・把握し、それらをPQCへ移行させる必要があるとのこと。鍵確立は2030年12月31日までに、デジタル署名は2031年12月31日までに移行を完了させなければならないようだ。

また、各機関はPQC移行の責任者を指名するよう指示されているほか、2027年末までに商務省がパイロットプロジェクトを実施する予定。国務省は重要インフラ事業者や外国政府によるPQC移行を奨励・支援する役割を担う一方、国防総省、NASA、一般調達局（GSA）はコスト削減の機会を特定するよう指示された。連邦政府の請負業者もまた、2030年末までにPQC準拠アルゴリズムの使用に関するNISTの基準を遵守することが求められるという。