マイクロソフトはWindows 11環境の管理者に対して警告を発した。2026年6月までにセキュアブートの暗号化証明書を最新版へ移行しなかった場合、直ちにシステムが起動不能になるわけではないが、ブート前のマルウェアを防ぐために設計された重要な防御アーキテクチャが段階的かつ組織的に劣化していくとしている。この移行の技術的な詳細を説明するため、マイクロソフトは包括的な質疑応答セミナーを開催し、その内容は後にWindows Latest誌によって報じられた。
問題の核心はセキュアブートプロトコルにある。この基盤的なメカニズムは、ハードウェアと同時に初期化される実行ファイルの暗号的整合性を認証する。この検証シーケンスはWindowsカーネルの起動前に実行されるため、セキュアブートは悪名高いBlackLotusのような巧妙なブートキットマルウェアの無効化において重要な役割を果たしている。
2011年からWindowsアーキテクチャを保護してきた旧来のセキュアブート暗号化証明書は、2026年6月に確実に失効する予定である。マイクロソフトは数年にわたり、エンドポイントを2023年の新しい証明書体系へ段階的に移行させてきた。同社は今回のエンジニアリングセミナーにおいて、このアーキテクチャ変更の運用上の仕組みを詳しく説明した。
一般ユーザーにとっての主要な結論は、基本的には安心できるものだ。Windows 11端末は期限を過ぎても永久に起動不能(「文鎮化」)になることはなく、オペレーティングシステムは通常どおり起動・動作を維持する。しかし、ブート前環境の完全性は著しく低下する。マイクロソフトは非準拠のエンドポイントへの重要なブートコンポーネントのパッチや更新された失効リスト(DBX)の配布を停止するため、新たな悪意あるブートローダーを遮断するために必要なテレメトリが失われることになる。
セキュアブートの現在の動作状態を確認するには、Windowsセキュリティダッシュボードを参照すればよい。「デバイスセキュリティ」の項目に移動し、「セキュアブート」のパラメータを確認する。緑色のアイコンは最適な準拠状態を示す。一方、オレンジまたは赤色の表示は脆弱な状態を示しており、オペレーティングシステムが隣接して示す改善措置を実施する必要がある。
マイクロソフトは、証明書の移行シーケンスがマザーボード上に搭載された低レベルのUEFI(Unified Extensible Firmware Interface)を直接操作するため、極めて慎重に実行されると明示的に警告した。特定のハードウェア構成では、この手順に複数の連続したシステム再起動が必要になる場合がある。エンジニアリング担当者は、この動作パターンが標準的なものであると説明した。Windowsがまず暗号化ペイロードをステージングし、次にUEFIファームウェアが構造的な変更をコミットし、最後にシステムが更新されたブートローダーで初期化されるという手順を踏む。
アップグレード前にBitLocker ドライブ暗号化を手動で一時停止する必要はない。マイクロソフトによれば、移行プロトコルは暗号化ボリュームの状態を自律的に認識し、暗号化キーを動的に再バインドするため、再起動後もWindows Helloおよび隣接するセキュアエンクレーブがシームレスに動作を再開する。問題が発生するのは、主に複雑な企業ネットワークトポロジーや、基盤となるプラットフォームキー(PK)を変更する同時ファームウェアフラッシュが絡む場合に限られる。
旧来のBIOS(Basic Input/Output System)を使用するレガシーなコンピュータアーキテクチャでは、そのようなハードウェアはそもそもセキュアブートプロトコルをサポートする物理的な能力を持たないため、移行ユーティリティは動作しない。同様に、エンドポイントがUEFIアーキテクチャを持っていても、ファームウェア設定でセキュアブートが無効化されている場合、マイクロソフトは意図的に自動証明書の展開を保留する。これは、OEM(相手先ブランド製造)ファームウェア設計の多様性がきわめて大きいことを考慮した防御的なロジックで、一部のマザーボードは機能が無効な状態でも証明書の更新を適切に受け入れるが、他のマザーボードでは起動に致命的な障害が発生する可能性があるためだ。
エンタープライズ規模の展開においては、マイクロソフトはフリート全体に対して同時にアップグレードを実行することを強く推奨しない。世界中のマザーボードおよびファームウェアのバリアントが膨大に存在することを考慮すれば、まず代表的なハードウェア構成のサンプルで検証シーケンスを実施することが賢明である。システム管理者は、Windowsイベントログ、専用のMicrosoft PowerShellコマンドレット、および統合されたMDM(モバイルデバイス管理)スイートを通じて、証明書の展開ライフサイクルを監視できる。
PXE(Preboot Execution Environment)ネットワーク展開トポロジーを活用している組織には、固有の運用上の課題が待ち受けている。マイクロソフトは、このインフラストラクチャではクライアント端末への2つのブートローダーの同時プロビジョニングができないと説明した。そのため、エンタープライズアーキテクトは移行を綿密に調整し、対象エンドポイントが2023年の暗号化証明書を正常に取得した後に限り、最新のブートイメージを展開するよう徹底する必要がある。
サーバーアーキテクチャでも同様に、より高度な手動対応が求められる。通常のWindows 11エンドポイント全体に対して実行される自動・段階的展開戦略とは異なり、Windows Server環境はマイクロソフトの標準ロールアウト機構から除外されている。サーバー管理者は、明示的なPowerShellコマンドを使用して最新の証明書を手動でプロビジョニングすることが義務付けられる。
さらに、マイクロソフトはWindowsオペレーティングシステムの将来のメジャーアップデートに関して予防的な警告を発した。これらのイテレーションは、2023年の証明書階層によって暗号的に署名されたブートコンポーネントの存在を段階的に必須化する予定である。差し迫ったWindows 11 26H2のリリースはこの厳格な前提条件を回避すると見込まれているが、それ以降のインストールウィザードは、エンドポイントが起動不能な状態に陥ることを防ぐため、アップグレードシーケンスを積極的に停止するようになる。
新しい証明書階層は今後10年以上にわたってセキュリティを保証するよう設計されており、2023年チェーンを支えるルート証明書は2038年まで有効である。同時にマイクロソフトは次の時代に向けた戦略も積極的に策定しており、2030年代に向けて、次世代ハードウェアは量子コンピュータの理論的な能力にも耐えうる暗号化証明書へ移行することが不可避となる。現時点の実務者にとって最も重要な指示は明快だ。Windowsのセキュアブート設定を積極的に確認し、重要な期限の十分前に必要なアップグレードを実施することである。
翻訳元: https://meterpreter.org/windows-11-secure-boot-2026-warning/
