  |
何かあったらすぐにWindowsくんが悪い!っていうのやめない?
2025年6月のWindows UpdateでPCが起動しなくなるメーカー一覧。原因はBIOS破損でほぼ確定。復旧方法は [Update 3] |ニッチなPCゲーマーの環境構築Z
この問題の原因は、セキュリティ更新でのSecure BootDBXへの更新内容が大きくて、それを食ったマザボちゃんがハングアップしちゃったって事象なの。
だからWindowsくんは不用意ではあったけど、仕様に沿った対応をしてただけで、そんなに大きなミスはしてないんだよ!
悪く言わないであげてほしいな。
これだけだとオタクくん分からないかもしれないから、ちょっと詳しく説明するね!
Secure Boot には、「Secure BootDBX」っていう仕組みがあって、これは既知の脆弱性を突かれた古いブートローダーやバイナリの署名を「ブロックリスト」に追加して、起動を防ぐものなんだ。
これはセキュリティの観点から定期的に更新されてるんだけど、今回のWindows Update では、そのDBX が 24KB くらいある大きなファイルになってたの。
Secure Boot の仕様上、DBX のサイズに明確な上限は定められてないから、Windows くんはその前提で普通に更新処理を組んでたんだけど……
でも実は、マザーボード側(特に一部のOEM製品)では、UEFI の NVRAM領域に制限があって、DBX を 8KB くらいまでしか受け取れない設計になってることがあるの。
さらに問題なのは、そういう「想定より大きなDBXファイル」が来たときの処理が甘くて、エラーとして処理できずにUEFI がハングアップしちゃうケースが出てきたってこと。
私もこの辺の QA はやったことあるけど、そんな異常系のテストなんて、正直した記憶ないな……💦だから、起きちゃったんじゃないかなーって何となく想像できるんだよね。
それに、Secure Boot のキーやリスト(PK,KEK,DB,DBX)は、UEFI の NVRAM に格納されてて、これはOS 上からも管理できるようになってるんだ。
だからDBX の更新って、BIOS を書き換えるような危ない処理じゃなくて、ユーザーランドから比較的安全にできるものなのね。
そんな操作でUEFI がBrick しちゃうなんて、さすがにWindows くんも想定外だったんじゃないかな……責められないなあって思うよ。
今回不具合が集中してるのが、Fujitsu とかGIGABYTE、マウスコンピューターみたいな一部のメーカーに偏ってるのも、たぶんそのUEFI実装側の制限が関係してるんだと思う。
でもMacでは起きませんよね
3