  |
何かあったらすぐにWindowsくんが悪い!っていうのやめない?
2025年6月のWindows UpdateでPCが起動しなくなるメーカー一覧。原因はBIOS破損でほぼ確定。復旧方法は [Update 3] | ニッチなPCゲーマーの環境構築Z
この問題の原因は、セキュリティ更新でのSecure Boot DBXへの更新内容が大きくて、それを食ったマザボちゃんがハングアップしちゃったって事象なの。
だからWindowsくんは不用意ではあったけど、仕様に沿った対応をしてただけで、そんなに大きなミスはしてないんだよ!
悪く言わないであげてほしいな。
これだけだとオタクくん分からないかもしれないから、ちょっと詳しく説明するね!
Secure Boot には、「Secure Boot DBX」っていう仕組みがあって、これは既知の脆弱性を突かれた古いブートローダーやバイナリの署名を「ブロックリスト」に追加して、起動を防ぐものなんだ。
これはセキュリティの観点から定期的に更新されてるんだけど、今回の Windows Update では、その DBX が 24KB くらいある大きなファイルになってたの。
Secure Boot の仕様上、DBX のサイズに明確な上限は定められてないから、Windows くんはその前提で普通に更新処理を組んでたんだけど……
でも実は、マザーボード側(特に一部の OEM 製品)では、UEFI の NVRAM 領域に制限があって、DBX を 8KB くらいまでしか受け取れない設計になってることがあるの。
さらに問題なのは、そういう「想定より大きな DBX ファイル」が来たときの処理が甘くて、エラーとして処理できずに UEFI がハングアップしちゃうケースが出てきたってこと。
私もこの辺の QA はやったことあるけど、そんな異常系のテストなんて、正直した記憶ないな……💦だから、起きちゃったんじゃないかなーって何となく想像できるんだよね。
それに、Secure Boot のキーやリスト(PK, KEK, DB, DBX)は、UEFI の NVRAM に格納されてて、これは OS 上からも管理できるようになってるんだ。
だから DBX の更新って、BIOS を書き換えるような危ない処理じゃなくて、ユーザーランドから比較的安全にできるものなのね。
そんな操作で UEFI が Brick しちゃうなんて、さすがに Windows くんも想定外だったんじゃないかな……責められないなあって思うよ。
今回不具合が集中してるのが、Fujitsu とか GIGABYTE、マウスコンピューターみたいな一部のメーカーに偏ってるのも、たぶんその UEFI 実装側の制限が関係してるんだと思う。
でもMacでは起きませんよね
16
