Pluton

PlutonはMicrosoftが発表しているWindowsデバイス向けのセキュリティコプロセッサで、通常CPUに付属する形で実装されます。

Microsoftは、Intel、AMD、Qualcommといった主要なシリコンパートナーとの協力があるとしています。

Plutonでは、UEFIの証明書キーを検証することによってWindowsのセキュリティを強化していますが、どうやら、この信頼するUEFIキーはMicrosoftのもののみとなっているようで、Linuxを含めたWindows以外のOSのUEFIキーをサポートしていないようです。

また、Thunderbolt経由での起動も不可能になっているとのこと。

ThinkPad Z13には、このPlutonが搭載されている「Ryzen 7 6860Z」と言う特殊なプロセッサが搭載されており、今回の問題の発覚に至りました。

Win以外のOSが実行不可能

この機能はおそらくOSの偽造や外部からの物理的な攻撃を防ぐためだと見られます。

今回の検証ではLinuxとなっていますが、おそらくHackintoshやBSD、AndroidなどのWindows以外のOSも起動不可となっていると見られます。可能性としてはWindows 10も起動できなくなっているんじゃないでしょうか。

マイクロソフト、Windows 11のセキュリティを強化。セキュリティチップ「Pluton」対応、クラウドのAIを利用する「Smart App Control」など発表

https://www.publickey1.jp/blog/22/windows_11plutonaismart_app_control.html

マイクロソフトは日本時間4月6日未明にオンラインイベント「Windows Powers the Future of Hybrid Work」を開催。ハイブリッドな働き方を支援するとして、Windows 11のセキュリティ強化に関する新機能を発表しました。

マイクロソフトは今回の強化について、PCのチップレベルからクラウドに至るまでの最新のソフトウェアとハードウェアを組み合わせることで、より堅牢なセキュリティを実現すると説明しています。

「Pluton」は、これまでPC内のセキュリティチップとして用いられてきたTPM（Trusted Platorm Module）を置き換えることを目的に開発されました。

Pluton自体の発表は2020年11月に行われていましたが、来月からPlutonを搭載したPCが出荷されるようになり、Windows 11での対応が始まります。

PlutonはPTM 2.0の機能を包含しつつ、ファームウェアの改ざん防止、メモリの一貫性の確保、OSのコア機能やユーザーノクレデンシャルなどの重要なデータをデバイスが起動された瞬間からプロテクトすることでセキュリティを確保するなど、現在行われているさまざまな攻撃パターンに対応できるとのことです。

「Smart App Control」はWindows 11のセキュリティモデルを大幅に強化するもので、OSのコアにプロセスレベルで搭載される保護機能です。

アプリケーションの署名およびコア機能をマイクロソフトクラウド上のAIモデルと照合し、信頼できないアプリケーションや署名されていないアプリケーションをブロックすることで、悪意のあるアプリケーションの実行を防ぎます。

フィッシングの検出と防止機能もWindows 11に組み込まれます。これはMicrosoft Defender SmartScreenを強化したもので、ユーザーが悪意のあるアプリケーションにマイクロソフトの認証情報を入力した場合、それを識別して警告します。

そのほか、IT部門のMDM（Mobile Device Management）ポリシー設定とは異なる内容にWindows 11のレジストリが設定された場合、それを検出して自動的に元に戻す「Config Lock」や、データ暗号化キーとユーザーの認証情報をリンクすることでWindows Hello for Businessで認証しなければ暗号化されたファイルやデータを読み込むことができなくなる「Personal Data Encryption」なども搭載されます。

Windows 12では、セキュリティプロセッサ「Microsoft Pluton」が必須になりそうな感じだしな。
今急いで買い替えるとアップグレードできないパソコンを買うことになりそうだ。という噂が５ｃｈではあります。