2026/06/23 3:24

Linux のセキュアブート証明書有効期限切れ（2025 年）

RSS: https://news.ycombinator.com/rss

要約▶

日本語訳:

Secure Boot が有効化されている Linux ユーザーは、Microsoft の Legacy シングニチャークイ (shim ブートローダー用) が 9 月 11 日に期限切れになることに備える必要があります。この期限切れにより、製造元がファームウェアアップデートをリリースするか、新しい 2023 年のキーを使用しない限り、新規インストールメディアは起動不能になります。ただし、現在インストールされているディストリビューションは、各自社独自のキーで署名されているため、通常の影響を受けません。しかし、KEK の約 98% とデータベースの更新の約 99% が成功する複雑な更新プロセスが進行中で、古い BIOS バージョンでは失敗が生じる可能性があります。一部の製造元はすでにプラットフォームキーへのアクセスを失っており、これらの特定のデバイスのアップグレードパスが複雑化しています。さらに、

fwupd

(LVFS) などのツールによるファームウェアの最新更新も一般的に成功していますが、

efivarfs

の問題を取り除くためにシステムリセットを必要とする場合があります。これらの更新にもかかわらず、ユーザーは難しい選択に直面します：互換性のあるハードウェアパッチを待つか、Secure Boot を無効化するかです。特に、起動がすぐに妨害されないとしても、既知のセキュリティバグを持つ

shim

と併用することで、Secure Boot のセキュリティ上の利点が失われているためです。

Text to translate:

Linux users with Secure Boot enabled must prepare for a key transition on September 11 when Microsoft's legacy signature key for the

shim

bootloader expires. While this expiration renders new installation media unbootable unless manufacturers release firmware updates or use newer 2023 keys, currently installed distributions typically remain unaffected as they are signed with their own distribution-specific keys. However, a complex update process is underway where approximately 98% of KEK and 99% of database updates succeed, though failures can occur on older BIOS versions. Some manufacturers have already lost access to private platform keys, complicating the upgrade path for those specific devices. Additionally, recent updates to firmware via tools like

fwupd

(LVFS) are generally successful but may require system resets to clear

efivarfs

issues. Despite these updates, users face a difficult choice: wait for compatible hardware patches or disable Secure Boot, especially given that running

shim

alongside known security bugs currently negates the security benefits of Secure Boot even if booting is not immediately disrupted.

本文

Linux システムにおける Secure ブート有効期限への対応と課題

記事の背景と重要性

購読の必要性: LWN.net の存続と発展には購読収入が不可欠であり、有意義と感じられる方は購読をご検討ください。詳細は公式サイトをご覧ください。

問題の概要：Microsoft キーの有効期限

期限の到来: Microsoft が発行するマウントキー（Secure ブート第一段階ブートローダー「Shim」への署名に使用）が2024 年 9 月に期限を迎えます。
- これを承知で使用している、あるいは気づいていないユーザーが多数存在します。
Microsoft の方針変更: 期限到来後、Microsoft は Shim への署名から当該キーを使用停止し、代替キー（2023 年より存在する）へ移行します。
- 多くのシステムでまだ代替キーのインストールが行われていない可能性があります。
ハードウェア制約: 代替キーの導入にはベンダによるファームウェアアップデートが必要です。しかし、その有無は不透明です。
- 現時点では大多数のシステムが事象を乗り越えられますが、追加の手間が生じることは確実です。

コミュニティでの動向と現状分析

問題の発見: Fedora-devel mailing list（Mateus Rodrigues Costa 氏）で最初に提起されました。
- Windows 11 の累積更新プログラムにある警告（「2026 年 6 月」期限との混同点明）をきっかけに議論が深まりました。
複雑な状況: Daniel P. Berrangé 氏らが、Linux Vendor Firmware Service (LVFS) を通じて状況を解説しています。
- LVFS と
```
fwupd
```
  ツールは、2020 年の LWN 記事でも触れられてきた重要なリソースです。

技術的な背景とメカニズム

Secure ブートの仕組み:
- Linux カーネル起動には、UEFI プロセスでファームウェアに登録された有効な鍵での署名が必須です。
- ```
Shim
```
  はディストリビューション固有の鍵を持ち、GRUB などを信頼基盤（root of trust）として実行します。
現在の移行状況:
- ```
Shim
```
  は 2011 年の Microsoft キーで署名されており、2024 年 9 月 11 日に期限切れになります。
- 期限後には、Windows のアップデートで言及されている特定のキー（Microsoft 2023）を使用した Shim で再署名する必要があります。
ファームウェアの不一致:
- ファームウェア DB に新キーが含まれていない、旧・新キー双方がある、新キーのみを持つなど多様な状態があります。
- ベンダ側からのファームウェアアップデートと、インストール媒体側の Shim 署名両方の準備が必要です。

解決策：LVFS と fwupd の活用

ツールの役割:
```
fwupd
```
は LVFS（各種ベンダのファームウェアアップデートリポジトリ）を活用し、Linux からシステムファームウェアを更新します。
開発者の見解 (Berrangé 氏):
- 最新版の
```
fwupd
```
  では必要となる拡張機能が追加され、最悪の影響は軽減されています。
- ただし、OS ベンダやメンテナンス担当者が不安な部分への対処を進めることを強く願うとしています。
管理者の見解 (Richard Hughes 氏):
- システムの Secure ブート更新には以下の複数手段が存在します。

更新方法と成功率

方法	詳細	成功率	備考
完全なファームウェアアップデート	ベンダによる新規 DB（新キー含み）の追加	約 99%	リポジトリへの登録も必要。
KEK (Platform Key) 更新	ベンダ固有鍵で署名された Microsoft KEK を用い、DB を新キーへ更新	約 98%	`fwupd` を通じて実行可能。

失敗時の対策

efivarfs の書き込み失敗: 数百万人のユーザー規模で 1% の失敗率も多数の事例となり得ます。
- 有効な回避策: 再起動してBIOS/UEFI を工場出荷状態にリセット。
  - efivar スペースの「デフラグメンテーション」をトリガーし、アップデートに必要な領域を確保します。
  - 特に古い BIOS で効果的です（Hughes 氏の指摘）。

ベンダ対応がない場合とリスク

唯一の選択肢: ベンダからアップデートがない場合、Secure ブートの無効化が新インストールを行うための唯一の手立てになります。
- 今後数ヶ月以内に、既存イメージも動作停止する可能性があります（新キー保持システムは既にその状況）。
潜在的なリスク:
- 秘密鍵の喪失: ベンダが PK の秘密鍵を失った事例があり、認証観点で極めて不都合です。これによりハードウェア内の PK 変更が必要になり、検証不能な状態に陥る可能性があります（Hughes 氏）。
- 未知の問題: KEK 更新プロセス自体が新規であり、ベンダ側での失敗による機能停止の可能性もあると警告されています（Gerd Hoffman 氏）。

システムの将来性と結論

Shim 更新とセキュリティ:
- 旧キーでは署名できず、Shim を更新する必要があるケースがあります。
- アダム・ウィリアムソン氏は「古い Shim を提供すれば理論的には動く」と提言しましたが、実用性は低いと考えられています。
最終的な推奨事項:
- ユーザー側は、Secure ブートを無効化すべきと結論付けられています。
- ホフマン氏によれば、「既知のセキュリティ欠陥を抱えたまま Shim を運用し続ける意義」は薄れるためです。
コミュニティの現状:
- Linux コミュニティは最大限の努力をしていますが、ハードウェアベンダ側のサポートには課題（Windows 重視、Linux サポートの不備など）が残っています。
- 今後の展開が円滑に進むことを願う次第です。

同じ日のほかのニュース

一覧に戻る →

2026/06/23 2:09

Steam マシンが本日発売開始

## Japanese Translation: このフッターセクションは、Valve Corporation からの法的通知であり、コンテンツに対する留保された権利を主張するとともに、商標が世界中でそれぞれの所有者に帰属することを示しています。これは厳格な知的財産権の境界線を定め、プライバシーポリシー、アクセシビリティ基準、Steam サブスクライバー契約、返金手続き、クッキー情報を含む重要なポリシーへのアクセスを案内します。これらの契約的および法的枠組みを確立することで、本テキストはユーザーが自身のデータ権利、返金の有無、利用条件について理解できるよう通知し、企業資産と国際的・地域的な合意に基づく消費者保護に関する明確さを確保しています。

2026/06/23 5:48

LG スマート TVs の約半分が住宅用プロキシ SDK を内蔵しています

## Japanese Translation: LG webOS および Samsung Tizen TV 向けに導入されている 6,038 アプリについて調査したところ、そのうち 2,058 を超えるアプリが SDK（ソフトウェア開発キット）を介して静かにユーザーの IP アドレスを販売し、レジデンシャルプロキシとして機能することが明らかとなりました。従来の広告ベースの収益化モデルとは異なり、これらのアプリはスクリーンセーバーや水槽などの distractions なユーティリティ内に偽装された SDK を通じて、インターネット接続を静かに収益化しています。Amazon は明確に此类サービスを禁止しているほか、Roku も接触後に同様の SDK をブロックしたと報じられていますが、LG および Samsung では同様の公的ポリシーが存在せず、このビジネスモデルが検出されずに拡大することを許容する規制上の空白を生み出しています。特定企業のうち、Bright Data（367 件のフラグ付けされたアプリに関連）および Honeygain UAB（16 件のアプリの発行元）が含まれています。単なるデータ共有を超えた深刻なセキュリティリスクが存在します。一部の SDK はプライベート IP の範囲に対する適切なブロックリストを欠いており、その結果 TV が攻撃者のローカルデバイス（ルーターやカメラなど）へのアクセス手段となる可能性があります。これは Kimwolf ボットネットの事例で実証されています。提供者は同意フロー、KYC、監査などがリスクを軽減すると主張していますが、ユーザーがこれらの統制を検証するのは困難です。このため、研究者たちは、LG および Samsung に顕著な開示とユーザークントロールを要件とする明確なポリシーの確立を促しており、これによってこの目に見えない経済活動が検出されずに続かないよう求めています。

2026/06/23 6:21

Unsloth GLM-5.2 — ローカルで実行する方法

## Japanese Translation: Z.ai の GLM-5.2 は、40B（アクティブ）のパラメータを備えた 7440 億パラメータを持つ大規模オープンソースモデルであり、コーディング、推論、エージェントタスクにおいて GPT-5.5 や Claude 4.8 Opus などの主要なクローズドモデルと同等の最先端性能を発揮します。大きな進歩の一つは、Unsloth の Dynamic quantization を用いて標準ハードウェアでローカル実行可能な点であり、例えば推奨されている 2 ビットバージョン（UD-IQ2_M）では、必要な容量が 1.51TB からわずか 239GB に削減されつつ約 82% の上位 1% の精度を維持し、高メモリワークステーションや 256GB ユニファイドメモリの Mac、GPU オフロードを利用するシステムなどで動作します。また、「Non」「High」「Max」の 3 つの思考モードを Unsloth Studio インターフェースまたはコマンドラインからアクセスでき、必要に応じて推論深度を切り替え可能です。MacOS、Windows、Linux のすべてで動作し、Unsloth Studio や llama.cpp を通じて高速な推論を実行できます。さらに、KV キャッシュの quantization による最多 3.5 倍までのコンテキスト長延伸や、クラウド API に依存せず迅速なローカル展開を可能とする柔軟なインストールスクリプトなどの追加最適化も提供されます。