treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

Ubuntuインストール時のエラーSecurity Policy Violationを対処

Linux トラブルシューティング

2026年予定のUbuntu 26 LTSに備えて、Ubuntuを学んでおくのに実機が1台欲しかったので、Windows10サポートが終了したPCにインストールしてみたらエラーになってしまいました。
調べたことと対処方法をご報告します。

Ubuntuをインストールしようとしたら…

Ubuntu24.04LTSをインストールしようと思ったら、エラー「Verifiying shim SBAT data failed: Security Policy Violation」と「Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation」が表示されてPCがシャットダウンしてしまいました。

インストールしようとしたPCはThinkPad T460です。LinuxMint(Ubuntuベース)は問題なくインストールできたので、Ubuntuでは何か違うのか、調べてみることにしました。

エラーの詳細

エラーを日本語にしてみると

「shim SBATデータの検証に失敗しました: セキュリティポリシー違反」
「SBATセルフチェックに失敗しました: セキュリティポリシー違反」

Windowsでは当たり前になってきたSecure Boot、UbuntuにもSecure Boot自体は機能として備わっているのですが、UEFIファームウェアが古くなったshim(ブートローダ)の署名が一致せずセキュリティポリシー違反となる、という現象のようです。

以前のWindows Updateと関係しているのですが、

https://support.microsoft.com/en-us/topic/august-13-2024-kb5041585-os-builds-22621-4037-and-22631-4037-76655cde-e2ee-49d4-a415-cf9a4d3c3a04

※日本語ページ:<2024 年 8 月 13 日 — KB5041585 (OS ビルド 22621.4037 および 22631.4037) - Microsoft サポート>

ここにある既知の不具合(Known issues in this update)箇所に、Linuxデュアルブートを有効にした環境で、Linux起動(ができなくなる)問題の発生が報告されています。そのエラーとして前述の「shim SBATデータの検証に失敗しました: セキュリティポリシー違反」が情報として挙げられています。(これ以降のWindows Update絡みの記述は一部推測を含みおます。ご参考までに確認ください。)

2024年8月のWindowsセキュリティ更新プログラムを適用することで「Secure Boot Advanced Targeting (SBAT) 」の更新が適用され、今回のようなLinux ISOイメージの起動を阻害するようになる、という動きをするようになります。

対象のThinkPad T460は以前Windows10で使用していたこともあり、2024年8月のWindowsセキュリティ更新プログラム(KB5041585)がそのタイミングでは適用されています。Ubuntuに入れ替えようと今回UbuntuのISOを実行した際に、2024年8月のWindowsセキュリティ更新プログラム(KB5041585)で更新された「Secure Boot Advanced Targeting (SBAT) 」により、前述のエラーが発生したということのようです。

つまり、Windows単体で以前使用していたPCで2024年8月以降のWindowsセキュリティ更新プログラムが適用されていた場合、その環境で使われていたWindowsを削除して別のOSにしたとしても、既にUEFI上のデータが書き換えられているから、LinuxのISOで起動する場合には今回のようなエラーが発生する可能性がある、ということだと思われます。

インストールに必要なこと

この状態のPCでUbuntuのインストールを進めるにはSecure Bootを無効化するのが手っ取り早い対処策となります。

起動時にF1キーを押下して、UEFI(BIOS)メニューを開き、

上部から「Security」を選択、メニュー内からは「Secure Boot」を選択します。

次の画面で、

「Secure Boot」の項目を「Disabled」に変更します。

設定後、

「Exit Saving Changes」を選択して、設定を保存します。

これで起動しなおすとUbuntuのインストールが進む算段です。

気になる点

Secure Bootを無効化してもUbuntuのセキュリティ(レベル)を下げたことにはならないものか?という点が気になりました。

Secure BootはOSの起動前に安全かどうかを検証する仕組みです。

このため、今回のUbuntuは物理的に安全な場所で保管することと、第三者が簡単に触れられる場所に置かないという点でSecure Bootで保護しているポイントは問題ないと考えました。今回インストールするUbuntu自体にそれほど重要なデータが保管されるわけでもないですし。

無事完了

Secure Boot無効化後のThinkPad T460で再度Ubuntuのインストーラを起動してみました。

エラーで停止しなくなり、上記のようにインストーラが動作するのは確認できました。
このままインストールを進めていきます。(インストール途中の画面は割愛)

インストールの最終に再起動したあと、「Please remove the installation medium, then press ENTER:」と表示されました。

これが表示されたら、インストールに使ったUSBやDVDメディアをPCから取り外して、Enterキーを押下します。

Ubuntuが起動してきました。

ひとまずここまで

Ubuntuのインストール時に以前は必要なかったSecure Bootの無効化が必要になったという内容でした。次にVer.26 LTSをインストールするときにも覚えておこうと思います。