セキュアブートが無効になっている場合、悪意のあるコード（14.10および15.04 / Winマルチブートセットアップ）に長期的な脆弱性はありますか？

あなたの質問は、「安全な」慣行や「安全でない」慣行などがあるという誤った前提に基づいています。ありません。安全性の尺度は相対的のみです-プラクティスAはより安全かもしれません練習Bよりも、練習Aを「安全」と呼ぶことは、せいぜい誤解を招くだけです。

そのことを念頭に置いて、名前が示すとおり、セキュアブートは安全性を高めるように設計されています。これを行うことの有効性については議論できますが、非常に懐疑的であっても、セキュアブートをアクティブ化しても安全性が低下する可能性は低く、アクティブ化することには少なくとも理論上の利点があります。

Ubuntuは、OSがセキュアブートを有効にしてブートできるように、署名されたShimプログラムが同梱されているという意味で、セキュアブートをサポートしています。ダグが指摘するように、UbuntuのGRUBは署名されていないカーネルを起動しますが、それはセキュリティへの唯一の可能な脅威です。セキュアブートが無効になっているコンピューターは、古いEFIバイナリを起動します。GRUBまたはLinuxカーネル。このようなバイナリは悪意がある可能性があるため、ブートプロセスの一部として誰かがコンピューターにインストールすると、ブートごとにメガバイトのランダムデータをディスク上のランダムセクターに書き込むプログラムが発生し、問題が発生します。このようなプログラムは、GRUBまたはLinuxカーネルに依存する必要はありません。スタンドアロンのEFIアプリケーションでもかまいません。セキュアブートは、このような悪意のあるプログラムをブロックする可能性が少なくともあります。

16.04で議論されているGRUBの変更により、UbuntuはFedoraのように動作するようになります。その変更により、UbuntuのGRUBは署名なしのLinuxカーネルのみを起動します。 Ubuntuはすでに署名済みのカーネルを出荷しているため、ローカルでコンパイルされた独自のカーネルを使用している場合を除き、Ubuntuを起動することは難しくありません。いずれの場合でも、セキュアブートを有効にすると、Shimを使用してGRUBを起動する必要があり、Ubuntuには適切なShimバイナリが付属しています。この変更は、セキュアブートと同様に、安全性を高めますが、絶対的な意味でUbuntuを「安全」にすることはありません。

実際問題として、EFIプリブートマルウェアがどれほど一般的かはわかりません。このようなツールはBIOSには確かに存在し、EFIのデモンストレーションプログラムのことは聞いたことがありますが、それらが一般的なものであるかどうかはわかりません。しかし、たとえ今日は珍しいとしても、明日は一般的になる可能性があるため、自分を守ることは理にかなっています。この保護には多くの形式がありますが、それだけでは十分ではありません。セキュアブートは、ウイルススキャナー、ファイアウォール、適切なアカウントセキュリティ慣行などと同様に、その保護の一部となります。

セキュアブートシステムが機能しているシステムにUbuntuを適切にインストールする場合、セキュアブートがアクティブであることさえ気付かないはずです-少なくとも、独自のカーネルをコンパイルするかブートプログラムを使用するようなことをしない限り、またはするまではGRUB以外。 BIOS/CSM /レガシーサポートを有効にするために「BIOS」（本当にEFI）の設定を調整しなければならなかったというコメントは、壊れたEFIを持っているか、苦労したことを示唆しています。 （まだ非常に悪いEFIインストールアドバイスを提供するページがたくさんあります。）私自身 セキュアブートのWebページ は、使用方法（または無効にする方法）に関する背景情報と実用的なアドバイスを提供します。一般的なEFIモードブートの背景情報については、 EFIモードLinuxインストールのマイページ および EFIの仕組みに関するAdam Williamsonのブログ投稿 をお読みください。適切に理解すれば、セキュアブートがアクティブな状態でのEFIモードブートの処理は難しくありません。