Ubuntu 26.10、GRUBから主要機能を大量削除へ──Btrfs・ZFS・LUKS暗号化が消える日

セキュリティのために、起動の自由を差し出す。Canonicalが提示したその取引は、Linux界隈を静かに揺らしている。

GRUBの「断捨離」が意味すること

Ubuntuの次期リリース「26.10」（2026年10月予定）で、ブートローダーGRUBから大量の機能が削除される計画が持ち上がっている。対象は署名済みGRUBビルド、つまりUEFI Secure Bootを有効にした状態で使われるGRUBだ。

削除候補は広範囲にわたる。ファイルシステムではBtrfs、XFS、ZFS、HFS+のサポートが消え、残るのはext4、FAT、ISO9660のみ。画像フォーマットのJPEGとPNGも削除される。LVM（論理ボリュームマネージャー）、RAID1以外のmd-raid、そしてLUKS暗号化ディスクのサポートも対象だ。

これが現実になると、Ubuntu 26.10以降のSecure Boot環境では、/bootパーティションを素のext4で構成することが事実上の必須条件になる。Btrfsでスナップショット運用していようが、ZFSでプールを組んでいようが、Secure Bootを維持したければext4の/bootパーティションを用意するしかない。

Canonicalの開発者juliankは、3月25日（日本時間）にUbuntu Discourseへ投稿し、こう述べている。

「GRUBはファイルシステムやその他のパーサーを大量に抱えており、それらはセキュリティ上の問題の絶え間ない発生源になっている」

この一文に、今回の提案の本質が凝縮されている。

なぜ今、GRUBを「削る」のか

GRUBの脆弱性は、もはや構造的な問題だ。ブートローダーのパーサーやモジュールに起因する脆弱性は繰り返し発見されており、Secure Bootの信頼チェーン全体を脅かし続けている。

2020年のBootHole脆弱性群は、Secure Bootを使用するほぼすべてのLinuxディストリビューションに影響を与えた。そして2025年2月には、Microsoftのセキュリティチームが20件の新たなCVEを一括公開している。ファイルシステムドライバーのヒープオーバーフロー、JPEG画像パーサーの境界外書き込み、ネットワークブートのリモートコード実行──攻撃対象面は至るところにあった。

ブートローダーは、OSカーネルが起動する「前」に動く特権的なコードだ。ここに脆弱性があれば、Secure Bootの信頼チェーン全体が破綻する。しかもGRUBのバイナリはMicrosoftのUEFI認証局による署名が必要で、一つの脆弱性が見つかるたびに署名の失効と再発行という重いプロセスが発生する。最悪の場合、署名の失効がシステムを起動不能にすることすらある。

正直なところ、Canonicalの論理には一理ある。使われていないモジュールの脆弱性のために、全ユーザーがリスクを負い続ける構造は、どこかで断ち切る必要があった。

コミュニティが突きつけた「それでは困る」

Ubuntu Discourseでの議論は白熱している。投稿から数時間で3800回以上の閲覧を集め、54件の「いいね」と18人のユーザーが参加する議論に発展した。

Btrfsユーザーからは即座に異議が飛んだ。boot-to-snapshotセットアップは、GRUBのBtrfsサポートなしでは機能しない。openSUSEが標準採用し、Fedoraも推進してきたファイルシステムのサポートを、なぜ署名済みビルドから切り捨てるのか。

LUKS暗号化の削除には、さらに強い反発がある。/bootパーティションを暗号化できないということは、攻撃者がカーネルコマンドラインやinitrdを改ざんできる余地を残すことを意味する。Hacker Newsでは、暗号化されていない/bootから実行可能な攻撃手法が具体的に列挙された。

「セキュリティ向上のために暗号化サポートを削除する」──コミュニティが指摘するこの矛盾は、今回の提案の核心的な弱点だ。

ヨーロッパでは法規制上、フルディスク暗号化が義務付けられる環境もある。そうした環境にとって、/bootの暗号化を失うことはコンプライアンス上の問題に直結する。

一方で「GRUBにこだわる必要はない」という声も根強い。systemd-bootやLimineへの移行を求める意見は、Discourse・Hacker News・Phoronixフォーラムのいずれでも見られた。ただし、systemd-bootはUEFI専用だ。クラウドやVPSの多くがいまだUEFI非対応であること、GRUBがBIOSとUEFIの両方をサポートする唯一のマルチアーキテクチャ対応ブートローダーであることを考えると、単純な置き換えは難しい。

安全と自由のトレードオフは、どこに着地するのか

Canonicalは、削除される機能を完全に消すわけではないと説明している。非署名のGRUBビルドでは引き続きすべての機能が利用可能だ。ただし、その代償はSecure Bootとセキュリティサポートの喪失。セキュリティのために機能を削ったはずが、機能を維持するにはセキュリティを手放せと言われる。

既存ユーザーへの配慮として、Ubuntu 26.04 LTSのアップグレーダーでは、影響を受ける構成を使用しているシステムのアップグレードを自動的に無効化する。BtrfsやLUKSで/bootを構成しているユーザーは、26.04 LTSに留まることになる。破壊的なアップグレードを避ける措置としては妥当だが、これは事実上の「置き去り」でもある。

juliankは「新しいブートソリューションへの移行」も見据えていると述べた。GRUBの役割が縮小する未来を、Canonicalはすでに描き始めている。2026年10月のリリースまで、まだ時間はある。コミュニティの反応を受けて、どこまで譲歩するのか。あるいは、まったく新しいブートアーキテクチャへの第一歩として、この「痛み」を受け入れるのか。

Ubuntuが選んだ答えは、他のディストリビューションにとっても無関係ではない。

参照元

• Ubuntu Discourse - Streamlining secure boot for 26.10（juliank投稿）

他参照

• Phoronix - Ubuntu 26.10 Looks To Strip Its GRUB Bootloader To The Bare Minimum For Better Security

#Ubuntu #GRUB #SecureBoot #Linux #Btrfs #LUKS #ブートローダー #セキュリティ #情報の灯台