セキュアブート証明書の更新がWindows Updateを通じて対応Windowsデバイスに順次展開されています。2026年6月、2011年からWindowsに搭載されているセキュアブート証明書の有効期限が切れ始め、Microsoftは2023年付けの新しい証明書への切り替えを進めています。
良いニュース:PCを常に最新の状態に保っていれば、おそらく何もする必要はありません。悪いニュース:一部の古いデバイスはスムーズに移行できない可能性があります。PCが突然動かなくなることはありませんが、時間の経過とともに、気づかないうちに重要なブートレベルのセキュリティ保護を受けられなくなる恐れがあります。
何が起きているのか、なぜ重要なのか、そしてお使いのマシンが期限に間に合っているかを確認する方法をご説明します。
セキュアブートとは何か、何が期限切れになるのか?
セキュアブートは、2012年頃以降に販売されたほぼすべてのPCに搭載されているUEFIファームウェア機能です。Windowsが読み込みを開始する前に実行され、ブートローダーと初期ブートコンポーネントが信頼された機関によって署名されているかどうかを検証します。信頼リストに載っていないもの(例えばブートキット)がブートチェーンに割り込もうとした場合、セキュアブートはその実行を拒否します。
「信頼された機関」という部分が肝心です。信頼はマザーボードのファームウェアに組み込まれた暗号証明書によって確立されます。現在の証明書は2011年に発行されたもので、いよいよ有効期限を迎えます。具体的には以下の3つの証明書が対象です:
- Microsoft Corporation KEK CA 2011:2026年6月24日に期限切れ
- Microsoft UEFI CA 2011:2026年6月27日に期限切れ
- Microsoft Windows Production PCA 2011:2026年10月19日に期限切れ
Microsoftはこれらを、Windows UEFI CA 2023およびMicrosoft Corporation KEK 2K CA 2023を含む2023年付けの新しい証明書セットに置き換えます。2026年3月のAMAセッションに参加したMicrosoftエンジニアによると、新しい証明書の有効期限は2038年までで、2030年頃には将来のハードウェア向けに耐量子暗号への移行も別途予定されています。
「コンピューターは動かなくなりますか?」
なりません。これが最も重要な点です。噂が事実よりも大きく広がっているためです。
期限が来てもPCがまだ2011年の証明書で動作している場合、Windowsは引き続き起動し、Windows Updateも動作し、PCは通常通り機能し続けます。
変わるのは、Microsoftの言葉を借りれば、デバイスが初期ブートプロセスに関する「新しいセキュリティ保護を受けられなくなる」ことです。これには、Windowsブートマネージャーの更新、セキュアブートデータベース、失効リスト、新たに発見されたブートレベルの脆弱性への対策が含まれます。
平たく言えば:時間の経過とともにPCを保護することが難しくなります。現時点で既知のブートの脅威には対応していますが、来月や来年に発見される脅威には必ずしも対応できるとは限りません。
ブートキットはWindowsとウイルス対策ソフトの下で動作するため、これは深刻な問題です。ブートキットは他の何よりも先に実行され、通常それらを検出するセキュリティツールを無効化することができます。
BlackLotus問題
ブートレベルのセキュリティがなぜ重要かの具体例として、BlackLotusを見てみましょう。
BlackLotusは2022年にハッキングフォーラムに現れたUEFIブートキットで、2023年初頭に研究者によって実際の被害が確認されました。「Baton Drop」と呼ばれるCVE-2022-21894を悪用し、完全にパッチ適用済みのWindowsシステムでセキュアブートをバイパスしました。インストールされると、Windowsが完全に読み込まれる前にBitLocker、ハイパーバイザー保護コード整合性(HVCI)、Microsoft Defenderを無効化することができました。
Microsoftは根本的な欠陥をCVE-2023-24932で修正しましたが、脆弱なブートマネージャーを安全に修正することは複雑です。誤ったブートコンポーネントを失効させるとシステムが起動不能になる可能性があるため、Microsoftは数年にわたって段階的に保護を展開してきました。
2026年の証明書の切り替えは計画されたライフサイクルイベントですが(2011年の証明書はいずれ期限切れになる予定でした)、脆弱なブートマネージャーやBlackLotusなどの攻撃への対応としてMicrosoftが進めてきた、より広範なセキュアブートの強化も可能にします。
新しいトラストアンカーが導入されれば、Microsoftは新しい2023年署名済みブートコンポーネントの展開を継続し、新たな脅威が現れた際に脆弱なコンポーネントを安全に失効させることができます。移行できないデバイスは、将来的にそれらの保護を受けられなくなる可能性があります。
展開の仕組み
Microsoftはシステムが壊れないよう設計された段階的な展開を採用しています。
スケジュールされたWindowsタスクが約12時間ごとに実行され、以下の段階で更新を適用します:
- ファームウェアの署名データベースに新しいWindows UEFI CA 2023を追加する。
- 古い2011年のサードパーティ証明書がまだ存在する場合、Microsoft UEFI CA 2023とMicrosoft Option ROM UEFI CA 2023をその横に追加する。
- 新しいMicrosoft Corporation KEK 2K CA 2023キーを追加する。
- 新しい証明書で署名されたWindowsブートマネージャーに更新する。このステップは次回の通常再起動まで延期される。
MicrosoftのITプロ向けガイダンスによると、完全なプロセスには約48時間と1回以上の再起動が必要と推定されています。各ステップが成功してから次のステップが実行されるため、例えばファームウェアの更新や予定された再起動を待っている場合など、デバイスが途中の段階で一時的に止まることがあります。
ほとんどの家庭ユーザーにとって、これは通常の累積更新プログラムを通じてバックグラウンドで静かに行われます。
2026年4月のWindows更新プログラムから、Windowsセキュリティアプリのデバイスセキュリティに更新されたセキュアブートのステータス情報が追加され、新しい証明書が正常に適用されたかどうかを確認できるようになります。
何が問題になり得るか
ほとんどのシステムは問題なく移行できますが、既知のトラブルが発生しやすい箇所がいくつかあります:
- ファームウェアが古いPC。古いUEFIファームウェアの実装の中には、新しい証明書を適切にサポートしないものがあります。これらのシステムは、移行を完了する前にメーカーからBIOSまたはファームウェアの更新が必要になる場合があります。
- Windows 11の要件を回避したPC。非公式な方法を使ってWindows 11をインストールするためにセキュアブートを無効にした場合、新しい証明書を正しく適用できません。
- レガシーBIOS / CSMシステム。レガシーBIOS(またはCSMを有効にしたUEFI)で動作しているデバイスはセキュアブートを使用していないため、この更新の対象外です。
- カスタムファームウェアや特殊な構成。一部のカスタムまたは特殊なファームウェア構成では、セキュアブート変数の変更後にBitLockerの回復プロンプトが表示される場合があります。MicrosoftはBitLocker自体は無効化されないと注意書きしていますが、念のため回復キーを手元に用意しておくことをお勧めします。
Windows Latestは、テスト中にファームウェアが古い数千台のPCで更新の失敗が見られたと報告しています。Microsoftの独自ガイダンスでは、ファームウェア、プラットフォーム、OEMの制限が移行を妨げる可能性があると広く警告しています。多くの場合、Windowsセキュリティが影響を受けるシステムに黄色または赤のステータス警告を表示します。
家庭ユーザーがすべきこと
ほとんどの方にとって、アドバイスは明快です:
- Windowsを常に最新の状態に保つ。Microsoftは通常のWindows更新プログラムを通じて新しい証明書を展開しており、ほとんどの家庭ユーザーは毎月の更新プログラムをインストールする以外に何もする必要はありません。
- セキュアブートのステータスを確認する(色だけでなくテキストも)。Windowsセキュリティ > デバイスセキュリティ > セキュアブートを開いてください。「セキュアブートはオンです。デバイスの起動時に悪意のあるソフトウェアが読み込まれるのを防いでいます。」というテキストを伴う緑のバッジが表示されれば安全です。Microsoftは、緑のチェックマークだけでは新しい証明書が適用されたことを確認できないと警告しています。
- 古いデバイスをお持ちの場合は、メーカーのBIOS/ファームウェア更新を確認する。セキュアブートの更新を完了するために、事前にファームウェアの更新が必要なシステムがあります。これは特に2024年以前に製造されたPCにとって重要です。
- 「修正」のためにセキュアブートを無効にしない。セキュアブートを無効にすることはまったく逆効果です。更新ではなく、保護そのものが完全に取り除かれてしまいます。ゲームのアンチチートシステムや古いアプリの中には、ユーザーにこれを求めるものがあります。
- 新しいSecureBootフォルダーについてパニックにならない。Windows 11の2026年5月の累積更新プログラム(KB5089549)は、IT管理者向けのサンプルPowerShellスクリプトを含む
C:\Windows\SecureBootフォルダーを作成します。マルウェアではなく、想定内の動作ですので、削除する必要はありません。 - 最新のリアルタイムマルウェア対策ソフトを使用する。万が一セキュアブートをすり抜けたものがあっても、OSレベルで脅威を検出できます。
ITチームがすべきこと
フリートを管理している場合、Microsoftは詳細なガイダンスを公開しており、作業はより複雑です。簡単にまとめると:
- 今すぐデバイスの棚卸しをする。フリート全体のメーカー、モデル、BIOSのバージョンと日付、ベースボード製品、セキュアブートのステータスを収集してください。Microsoftは
aka.ms/GetSecureBootにPowerShellのサンプルスクリプトを提供しており、関連するレジストリキーとイベントIDを取得できます。 - イベントID 1801と1808を監視する。イベントID 1808は新しい証明書が適用済みであることを確認します。イベントID 1801はデバイスが更新を完了していないことを意味します。
- 広範な展開前にテストする。Microsoftは、メーカー/モデル/ファームウェアの組み合わせごとに少なくとも4台のデバイスでテストすることを推奨しています。新しい証明書を受け入れる前にOEMファームウェアの更新が必要なシステムがある場合があります。
- デバイスごとに1つの展開方法を選択する。レジストリキー、グループポリシー、WinCSコマンドラインツール、またはIntune/ConfigMgrスクリプトを使用してください。ただし、同じマシンで複数の方法を混在させないでください。
- PXEイメージングとHyper-Vに注意する。SCCM/MECMのPXEサーバーには再署名された
boot.wimが必要になる場合があり、Hyper-Vホストはファームウェアテンプレートに2023年のKEKを含む新しいVMを作成する前に更新が必要になる場合があります。 - 更新できないデバイスを記録する。OEMファームウェアサポートのない古いハードウェアは、期限前に交換するか、補完的なコントロールを伴う例外として正式に承認する必要があります。これらのデバイスは引き続き動作しますが、将来のブートレベルの保護を受けられなくなる可能性があります。
結論
これは2026年6月24日に劇的な事態を引き起こすようなセキュリティイベントではありません。その日に目に見える形で何かが壊れることはありません。
リスクはその後の数か月から数年の間に生じます。新しいトラストチェーンへの移行に失敗したデバイスは、MicrosoftがBlackLotusや他のブートキットなどの脅威への対応を続けるにつれて、将来のブートレベルの保護において徐々に遅れをとる可能性があります。
ほとんどの家庭ユーザーにとって、Windows Updateが自動的に移行を処理します。主な作業は、システムを最新の状態に保ち、期限が来る前にセキュアブートのステータスを確認することです。
ハードウェアが古い場合は、メーカーがまだファームウェアの更新を提供しているかどうか、そしてPCが次の10年間のセキュアブート保護に対応できる状態にあるかを確認する良い機会です。
