UEFIを使ったBIOSからのWindows8の起動な話。

セキュア ブートとは？
セキュア ブートは、OS 起動時の脅威からシステムを保護するための機能で、UEFI (Unified Extensible Firmware Interface) という起動プロトコルを用い、署名された OS ローダーとウイルス対策ドライバーのみを初期起動することで、ルートキットや改ざんされたドライバーが OS より先に実行されることを防ぎます。悪意のある攻撃者は感染を確実にするために、OS が完全起動する前に自ら作成した悪意のあるソフトウェアが実行されるようにし、ウイルス対策製品の起動を無効化するなどします。セキュア ブートの導入により、こういったマルウェアが早期に起動する機会を与えず、Windows の安全性をより一層高めています。

BIOS 時代の起動の仕組み
比較として、これまでの Windows 端末などで一般的に利用されている BIOS (Basic Input/Output System) の起動時の流れを説明します。BIOS では、下図 1 のように、どの OS ローダーを開始することも可能でした。これは、OS ローダーの代わりにルートキットと呼ばれるマルウェアを起動させることも可能ということを意味しています。マルウェアによるエクスプロイトの進化の中で増加しているのが、攻撃ルートとしてブート パスを標的にするパターンです。この種類の攻撃では、先に起動したマルウェアによりウイルス対策ソフトウェアのロードそのものが妨害されてしまい、起動できないため、システムの保護が非常に困難でした。

Windows 8 セキュリティ特集 #4 セキュア ブート – 日本のセキュリティチーム