【自作PC】MSI製マザーボードのセキュアブートの設定を確認＆対処！

先月の2023年1月18日、「MSI製マザーボードでセキュアブートが全く起動していないことが判明」との記事を見かけました。

290モデル以上のMSI製マザーボードでセキュアブートがまったく機能していないことが判明

「セキュアブート(Secure Boot)」とは直訳すると”安全な起動”という意味で、「セキュアブート」を簡単に言うと電子署名を使って信頼できるソフトウェアでしか起動できないようにする仕組みみたいです。ただ、そのセキュアブートBIOS(UEFI)で有効化しているにもかかわらず未署名のソフトウェアがOSを起動できてしまうことが明らかになったということみたいです。

ただ、記事タイトルを見るとBIOSに不具合があるかのような印象を受けますが、初期設定がそうなっているというだけのようにも読み取れますし、安全でないOSが実行されてしまう可能性がどのような状況かもよく分かりません。

セキュア ブート

Windows 11 とセキュア ブート

影響を受けるマザーボードのリストは以下のリンクから確認したら筆者が使用している「msi MPG Z690 EDGE WIFI DDR4」もリストに載っていました。型番の後ろにBIOSのバージョンが記載されているんですがこれが何を意味しているかはよく分かりません。

MSI has very insecure Secure Boot defaults #181

 

 

BIOS(UEFI)でセキュアブートの設定を確認

とりあえず、BIOS(UEFI)でセキュアブートの設定がどのようになっているか確認してみました。BIOSバージョンは「E7D31MS.140」で確認日は1月24日です。

msi MPG Z690 EDGE WIFI DDR4

msiのマザーボードはPCを再起動してPOST画面が出る前にDelキーを連打するとBIOS画面に入れます。

「Setting」→「Security」→「Secure Boot」でセキュアブートの設定が確認できます。セキュアブートは「有効」と表示されていましたが「Image Execution Policy」などの他の項目はグレイアウトして選択不能になっていました。

「Secure Boot Mode」を「Custom」にすると「Image Execution Policy」などの項目を確認できます。

「Image Execution Policy」の項目はすべて「Always Execute(常に実行)」となっていました。

「Option ROM」、「Removable Media」、「Fixed Media」の設定にはそれぞれ「Always Deny」、「Always Execute」、「Defer Execute」、「Deny Execute」、「Query User」の項目がありました。

それぞれの項目を「Always Deny」か「Deny Execute」のいずれかを選択しておけばいいみたいですが、「Deny Execute」が推奨されているようです。

Always Deny  ・・・・ 常に拒否
Always Execute ・・・ いかなる場合もOSを実行
Defer Execute ・・・・ 遅延実行
Deny Execute  ・・・・ 実行を拒否
Query User  ・・・・・ ユーザーのクエリ

最新のファームウェアのパーションは「7D31v1A」になっていました。不具合の記事が公開された時にはまだ公開されていませんでしたし、日付もその記事が出る前のものなので対策バージョンなのかも不明です。

設定を変えてトラブルが発生している方もいるようなのでしばらく様子見しようかとも思っていましたが、「Option ROM」、「Removable Media」、「Fixed Media」の設定をすべて「Deny Execute」に変更してみました。

設定の変更をしたのは以下の通りです。

再起動後、普通にWindows 11 Pro (22H2)は起動したのでそのまま様子見します。

 

参考記事

セキュア ブートに関する MSI ステートメント(英語:msi)

セキュア ブートに関する MSI ステートメント(英語:reddit)

MSI、数百のマザーボードで誤ってセキュアブートを解除してしまう

MSIがマザーボードのセキュアブートバグに対応する事を表明