Microsoftは、2026年6月下旬に期限切れとなる2011年の元の証明書を置き換えるため、毎月のWindows更新を通じて更新版のSecure Boot証明書の展開を開始しました。
2011年に導入されたSecure Bootは、UEFIファームウェアを搭載したコンピューターで信頼されたブートローダーのみが読み込まれることを保証し、ファームウェアに保存された信頼済みデジタル証明書のセットに対してデジタル署名を検証することで、ルートキットなどの悪意あるソフトウェアがシステム起動時に実行されるのを阻止するのに役立ちます。
Microsoftは、11月にUEFIファームウェアを検証するために使用されるセキュリティ証明書が期限切れになる前に更新するようIT管理者に警告したアラートに続き、1月に対象となるWindows 11 24H2および25H2システムで期限切れが迫るSecure Boot証明書を更新する計画を初めて明らかにしました。
「15年以上にわたる継続的な運用を経て、元のSecure Boot証明書は計画されたライフサイクルの終わりに近づいており、2026年6月下旬から期限切れが始まります」と、Windows Servicing and Deliveryのパートナー・ディレクターであるヌーノ・コスタ氏は火曜日に述べました。
「家庭ユーザー、企業、学校向けに、Microsoftが管理する更新プログラムを利用しているサポート対象のWindowsデバイスに対し、通常の毎月のWindows更新の一部として新しい証明書の展開を開始しました。組織は、好みの管理ツールを使用して更新プロセスを自ら管理する選択肢もあります。」
コスタ氏はさらに、この証明書更新は「Windowsエコシステム全体にわたる、最も大規模に連携したセキュリティ保守作業の一つ」であると付け加えました。これは、多くのハードウェアメーカーおよびオリジナル機器
メーカー(OEM)による数百万のデバイス構成にまたがるファームウェア更新を伴うためです。
新しいSecure Boot証明書は、システム上のWindows更新をMicrosoftに管理させている顧客には、通常の毎月の更新を通じて自動的にインストールされます。さらに、2024年以降に製造された多くのPC、そして昨年出荷された大半のPCには、すでに更新済みの証明書が含まれています。
ただし、一部のデバイスでは、新しい証明書を適用する前にメーカーから提供される個別のファームウェア更新が必要になる場合があり、Microsoftは顧客に対して最新のファームウェアバージョンをOEMのサポートページで確認するよう助言しました。
MicrosoftはWindows Updateを通じて高信頼デバイスを自動的に更新しますが、IT管理者は、エンドポイントがWindows Boot ManagerとSecure Bootの保護を失わないように、レジストリキー、グループポリシー設定、Windows Configuration System(WinCS)を使用してSecure Boot証明書を展開することもできます。
6月までに更新済み証明書を受け取れなかったデバイスも通常どおり動作し続けますが、Microsoftが「劣化したセキュリティ状態」と表現する状態に入り、ブートレベルの保護は「限定的」となり、新たに発見された脆弱性を悪用する攻撃に対する保護は、新しい緩和策をインストールできないため提供されません。
Microsoftは、現在公式に10億台以上のデバイスで稼働しているWindows 11へのアップグレードをすべての顧客に推奨しました。Windows 10のようなサポート対象外のWindowsバージョンには新しい証明書が提供されないためです。
「サポート対象外のバージョン(Windows 10およびそれ以前。Extended Security Updatesに登録している場合を除く)を実行しているデバイスはWindows更新を受け取らず、新しい証明書も受け取りません」とコスタ氏は指摘しました。「私たちは、最高のパフォーマンスと保護のために、常にサポートされているバージョンのWindowsを使用することを引き続きお客様に推奨します。」
