山市某氏は2024年2月末でフリーライターとしての活動を終了し、個人ブログサイト「山市良のえぬなんとかわーるど（アーカイブ）」（リンク先は将来予告なく削除される可能性があります）の更新も終了しました。彼の役割や業務の一部は、この度、不肖この私めが引き継いだわけです。

・・・ この三文芝居にしばらくお付き合いください ・・・

某氏からの伝言、Windows Updateの監視を怠るな！

　山市某氏がオンプレミスおよびクラウド上に抱える多数の評価、検証環境を常に最新状態に保つため、毎月のWindows Updateは一日がかりだったそうです。毎月のWindows Updateのその日（米国時間の第2火曜日、Bリリース）には、彼のブログには更新情報のURLリンクが大量に掲載され、気になる点、重大な問題など、リアルタイムに追記されていました。最初は、自分用のメモ程度で始めたことらしいですが、いつの間にか自分がやらなければならない役割のように、ライフワークのようになっていたそうです。

　弊社ブログの公開までのプロセスの関係もあって、彼のようにリアルタイムに情報を更新することはできませんが、毎月のWindows Updateの状況は3月以降も私が続けています。彼の評価、検証環境もほとんどそのままを引き継ぎました（かなり掃除した結果半減しましたが）。

　三文芝居これくらいにして、2024年4月のWindows Updateでは、このブログで取り上げてきた2024年1月からのWinREのセキュリティ更新プログラムの問題は未解決（回避策あり）のままですが、新たに重大なトラブルは報告されていないようです。

　ただし、4月のWindows向けセキュリティ更新プログラムには、近い将来対処しなければならなくなる重要な変更が行われています。その変更とは、最大深刻度「重要」で、「悪用の事実を確認済み」のセキュリティ機能のバイパスの脆弱性「CVE-2023-24932」に対して、2023年5月から段階的に行われている脆弱性対策が、新たなフェーズ（第3フェーズ、評価フェーズ）への移行したことです。

KB5025885: CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法
https://support.microsoft.com/ja-jp/help/5025885
KB5025885: How to manage the Windows Boot Manager revocations for Secure Boot changes associated with CVE-2023-24932（最新情報はこちらで確認を）
https://support.microsoft.com/en-us/help/5025885
セキュア ブートのセキュリティ機能のバイパスの脆弱性（CVE-2023-24932）
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932

　今回は、旧サイト2024年1月の記事「セキュアブート関連のセキュリティ対策、2024-04B に第3フェーズ、2024-10 B に強制施行フェーズへ」（外部サイト、リンク先は将来予告なく削除される可能性があります）に対するフォローアップになります。

重要な変更：新フェーズが追加され、最終施行フェーズは今後発表

　「CVE-2023-24932」（外部サイト）の脆弱性の内容と、段階的に行われる各フェーズの内容については、「KB5025885」（外部サイト）をよく読んでいただくとして、これまで最終的な「施行フェーズ（Mandatory Enforcement Phase）」は2024年10月8日（米国時間）以降とされてきました。つまり、10月のセキュリティ更新プログラムで、既に脆弱性軽減策は実装済みでありながら、既定で無効になっている軽減策が、強制される予定でした（これまた、当初の2024年第1四半期から延期されたスケジュールです）。

　2024年4月のセキュリティ更新プログラムによって、予定されていた「第3フェーズ（Third Deployment Phase）」（新しいスケジュールでは「評価フェーズ≪Evaluation Phase≫）に移行しました。以前のスケジュールでは、第3フェーズにおいて、さらに新たな軽減策が追加され、この新しい軽減策に対応するために、起動可能メディアを更新する必要があるとされていました。

　4月の新「第3フェーズ（評価フェーズ）」では、新たな軽減策が追加され、それを評価するために新たにイベントログが追加されています。そして、起動可能メディアの更新については、新たに追加された「最終展開フェーズの開始（Final Deployment Phase Begins）」が行われる2024年7月9日（米国時間）に先送りされました。そして、すべての軽減策が強制される最終的な「施行フェーズ（Mandatory Enforcement Phase）」の実施時期は未定となり、今後の発表となりました（画面1、米国時間4月２２日に、最終展開フェーズから6か月後と案内されました）。

画面1　「CVE-2023-24932」の脆弱性への段階的な対策のスケジュールが変更。2024年10月予定だった施行フェーズは未定（今後発表）

将来、更新が必要になる「回復ドライブ」の更新手順が明らかに

　現在の評価フェーズでは、施行フェーズを待たずに脆弱性軽減策を強制し、テストすることができますが、脆弱性軽減を強制した場合、適切に更新されていない起動可能メディアではデバイスを起動できなくなります。評価フェーズでは、対策済みの起動可能メディアを作成してテストすることが可能です。起動可能メディアの1つは、Windows 10/11で作成可能な「回復ドライブ」があります（※）。

※　2023年5月以降の更新プログラムのインストール後に作成された「システム修復ディスク」（RecDisc.exeで作成可能）は、作成ツールが対応済みと個人ブログやIT系メディアで書いたことがありますが、現在の「KB5025885」（外部サイト）にはシステム修復ディスクに関する記述はありません。追加の軽減策の関係で、カスタムWinPEイメージと同様の追加の手順が必要になるものと思います。

　旧ブログ（外部サイト、リンク先は将来、予告なく削除される可能性があります）でも触れましたが、第3フェーズの内容を含むセキュリティ更新プログラムがインストールされたWindowsでも、「回復ドライブの作成」ツール（RecoveryDrive.exe）は「CVE-2023-24932」対応にはなっていません。Microsoftはこれまで、解決策を検討中で、将来のリリースで最新情報を提供する予定としていましたが、今回、「KB5025885」に回復ドライブをマニュアルで更新する手順が追加されました。

　具体的には、まず、2024年4月以降のセキュリティ更新プログラムがインストールされたWindows 10/11を準備し、「回復ドライブの作成」ツール（RecoveryDrive.exe）を実行して、USBメディアを回復ドライブに作成します（画面2）。このとき、システムファイルの回復ドライブへのバックアップは必要ありません。


画面2　2024年4月以降の更新プログラムがインストールされた環境で、新たに「回復ドライブ」を作成する

　次に、回復ドライブが接続されている状態で、コマンドプロンプト（管理者）を開いて、次のコマンドラインを実行します。以下の例は、WindowsがC:ドライブにインストールされていて、回復ドライブがG:ドライブにマウントされている場合の例です（画面3）。

　これで回復ドライブは対応済みになるようです。オプションで追加の手順が必要な場合もあります。

画面3　作成された回復ドライブを更新する

更新された回復ドライブをテストするには

　将来的に強制される脆弱性の軽減策は、永続化され、完全に元の状態（強制前の状態）に戻すことはできなくなります。そのため、物理環境でのテストはお勧めしません。Hyper-Vの仮想マシンなど、ロールバック可能な環境でテストすることを強くお勧めします。Hyper-Vであれば、軽減策を実施する前にチェックポイントを作成しておけば、実施後も元の状態にロールバックすることができます。

　USBドライブである回復ドライブを利用して、仮想マシンを起動できるのかと思うかもしれません。その懸念は、USBドライブの内容をコピーして仮想ハードディスクを作成することで簡単に解決できます（画面4）。更新前と更新後の回復ドライブの両方の仮想ハードディスクを準備しておき、軽減策を実施した仮想マシンに割り当て、起動順序を最上位に持ってくればよいのです。


画面4　回復ドライブ（USBドライブ）の内容をコピーして、仮想ハードディスク（容量可変のVHDX）を作成する

　画面5は更新前の回復ドライブ（画面左）と更新後の回復ドライブ（画面右）で、軽減策が実施された仮想マシンを回復ドライブのディスクから起動したときの違いです。


画面5　更新前の回復ドライブのVHDXからは起動せず、通常のOSが起動する（画面左）。一方、更新された回復ドライブのVHDXからはWinREが起動した（画面左）

　更新前の回復ドライブからは起動できずに、起動順序の次（システムパーティションのbootmgfw.efi）の場所からOSパーティションのWindows 11が起動しています。一方、更新された回復ドライブを使用した場合、回復ドライブのWinREが起動しています。つまり、更新前の回復ドライブは、軽減策が実施されたデバイスでは起動可能メディアとして機能しない（起動可能メディアではない）ということになります。

慌てる必要はありませんが...

　2024年7月に予定されている新たなフェーズが加わり、またいろいろと変更になる可能性があります。慌ててテストしたり、強制を全社的に実施したりする必要はありません。運用環境での現時点での実施は、変更の可能性がある以上、まったくお勧めできません。私も今回は、軽減策の実施や更新された起動可能メディアについて、これ以上のテストをするつもりはありません。

　しかしながら、企業のIT担当部門は、回復ドライブだけでなく、Windowsのインストールメディアや、Microsoft Deployment Toolkit（MDT）、Microsoft Configuration Manager（旧称、Microsoft Endpoint Configuration Manager）、Windows展開サービス、PxEブートなどで使用するブートイメージ、トラブルシューティング用のWindows PE（WinPE）ベースのカスタムブートメディアなど、影響を受けるものの更新を、未発表の強制施行フェーズまでに準備しておく必要があることに留意してください。2024年7月に予定されている「最終展開フェーズの開始（Final Deployment Phase Begins）」が、それを本格的に始めるタイミングになるでしょう。

　最後に、来週の5月15日明後日の5月9日（日本時間）は、5月のセキュリティ更新の日（Bリリース）です。Windows向けの更新プログラムは通常その日の未明（3時頃）に利用可能になるようですが、Microsoft 365 Appsの更新については5月14日5月8日（日本時間）の17時頃（UTC 0:00）から利用可能になると予想します。ここ数か月はそうだったと、山市何某からの伝言にありました。

※ 初出時5月のBリリースの日付が間違っていました。訂正します。今年使っているカレンダー、初めて月曜始まりのものにしてみたのですが、たびたび曜日を間違えてしまいます（言い訳です）。