Contents

Windows の起動の問題は 6 月に発生する可能性があります。必ず今すぐ実行してください。

<本文>/images/windows-11-recovery-environment.jpg

気づいていないかもしれませんが、Windows セキュア ブートには期限が迫っています。 2026 年 6 月になれば、あなたとあなたの Windows PC はこの潜在的な問題の影響を受ける可能性があります。セキュア ブートは、構成されている場合、暗号化証明書を最大限に活用して、Windows が起動する前にシステムを検証します。これは、今年後半に期限切れになる予定です。証明書が更新されていないデバイスは、新しいセキュア ブート保護と更新にアクセスできなくなりますが、Windows は通常どおり起動し続けます。

ただし、心配する必要はありません。何が起こっているのか (およびその理由)、および今後の切り替えに向けて Windows PC を準備する方法を簡単に説明します。

そもそもセキュア ブートとは何ですか?

そして、なぜこれが重要なのでしょうか?

/images/windows-11-system-information-secure-boot-enabled.png

とても良い質問が 2 つあります。 Windows を再インストールしたり、UEFI BIOS を起動したりしたことがない場合は、PC でセキュア ブートが実行されていることさえ知らなかった可能性があります。 Windows が読み込まれる前に、セキュア ブートは最新の UEFI ファームウェアに組み込まれた保護形式として設計されています。これにより、望ましくない結果を避けるために重要なコンポーネントが変更されていないことが検証されます。

暗号化署名は、重要なブート ファイルを検証するために使用されます。これらは、ファームウェア内に保存されている信頼できる証明書と一致する必要があります。何らかの理由でこれらが一致しない場合、Windows が 1 つのファイルを読み込む前に、システムはブート プロセスを直ちに停止します。これらのコンポーネントは Microsoft の秘密キーによって署名されており、実行を許可するものを決定するための証明書がファームウェアに保存されています。

このプロセスには 2 つの鍵データベースが使用されます。まず、承認済み署名 (DB) データベースがあります。このデータベースには、どのブートローダーとドライバーが信頼されるかを定義する証明書が含まれています。次に、セキュア ブート信頼データベースを更新できるユーザーを制御するキー交換キー (KEK) データベースがあります。 Web サイトやブラウザとの接続を保護するために使用される SSL 証明書と同様に、これらにも有効期限があります。これは仕様ですが、事前に更新する必要があることも意味します。

適切な証明書が存在しない場合、システムは短縮保護モードに入り、起動に失敗する可能性があります。また、セキュア ブートに加えられる今後の改善点にもアクセスできなくなる可能性があります。ですから、それは大変なことになるかもしれません。

/images/recover-windows-featured-1.jpg

関連

セキュア ブートとは何ですか? オンのままにしておく必要がありますか?

はい、そうすべきです

どの証明書が段階的に廃止されますか?

/images/windows-11-bypass-secure-boot-check.png

いくつかの Microsoft 証明書が廃止されつつあり、2 つは 6 月に、3 つは 10 月に閉店します。 Microsoft では、これらに代わる新しい証明書をすでにいくつか用意しているので、心配する必要はありません。

有効期限

|

古い証明書

|

新しい証明書 —|—|—2026 年 6 月

|

マイクロソフト株式会社 KEK CA 2011

|

マイクロソフト株式会社 KEK CA 2023

マイクロソフト UEFI CA 2011

|

マイクロソフト UEFI CA 2023

Microsoft オプション ROM UEFI CA 2023

2026年10月

|

Microsoft Windows プロダクション PCA 2011

|

マイクロソフト株式会社 KEK CA 2023

Microsoft UEFI CA 2011 証明書が分割されていることに気づいたかもしれません。これは、セキュリティの粒度をさらに向上させ、信頼制御を強化するために行われました。 PC の証明書の有効期限が切れるとすぐに Windows が起動を完全に拒否するわけではありませんが、PC は将来のセキュア ブート保護やアップデートにアクセスできなくなる可能性があります。

証明書を確認する方法

PowerShell を使用すると、Windows ブート マネージャーによって現在どの証明書が使用されているかを簡単に確認できます。


(Get-AuthenticodeSignature "C:\Windows\Boot\EFI\bootmgfw.efi").SignerCertificate |   
  
Format-List Subject,Issuer,NotAfter,Thumbprint

セキュア ブート アップデートの資格を確認するには:


Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" |   
  
Format-List

AvailableUpdates がゼロ以外の値を示している場合、システムは更新された証明書を受け取る資格があるため、心配する必要はありません。ゼロが表示された場合は、ファームウェアと Windows の更新を直ちに実行することをお勧めします。

/images/surface-laptop-go-3-windows-logo.jpg

関連

Windows 11 のセキュア ブートを有効にする方法 (およびその理由)

Windows 11 ではデフォルトでセキュア ブートが有効になっていますが、何らかの理由で PC がセキュア ブートをオフにしている場合は、セキュア ブートを有効にする方法を次に示します。

PC が脆弱になります

それがいつ起こるかだけです

/images/windows-11-features-i-disable.jpg

前述したように、7 月に PC を起動したときにすぐに壁にぶつかり、Windows 11 のロードが拒否されるということはありません。問題は不確実性です。あなたの PC は、いつか動作を停止する可能性があります。それがいつ起こるかはわかりません。この問題は、アップデートによってシステムが信頼できるものを変更した場合に発生します。セキュア ブートが起動プロセスをブロックした場合、利用可能な回復オプションはどれかになります。

名誉のために言っておきますが、これらの古い証明書は Windows 8 が登場していた 2011 年から流通しているため、Microsoft にはこの変更を行う十分な根拠があります。それ以来、いくつかの深刻な脆弱性が確認されており、脆弱性が再び悪用されるのを防ぐために、レドモンドは証明書とセキュア ブートの処理方法に大きな変更を加える必要さえ生じています。同社はすでに更新された証明書を展開しています。

お使いの PC に新しい証明書がすでに存在している可能性が高く、セキュア ブートがすでに有効になっており、PC に Windows とファームウェアの確実な更新履歴がある場合は、最新のファームウェアを通じて自動的にダウンロードできます。 Windows Update (KB5074109 および KB5073455) は、これらの新しい証明書が到着するチャネルになりますが、それらが正しく適用されるかどうかはシステム次第です。古いファームウェアや異常な構成では、誰もが実行できるわけではない追加の手順が必要になる場合があります。

Linux を試してみる時期かもしれません

Windows にも欠点がないわけではありません。これは Windows 11 にとってさらに厄介な問題です。Microsoft の OS にうんざりしているのであれば、Linux を試してみてはいかがでしょうか。無料でオープンな OS はこれまで以上にアクセスしやすくなり、いくつかの優れたディストリビューションが利用可能になります。今すぐ試してみるなら、Ubuntu、Linux Mint、または Pop!_OS を強くお勧めします。

*️⃣ 出典リンク:

Windows セキュア ブートの期限が迫っています、セキュア ブートとは何ですか? 有効にしておく必要がありますか? 、 証明書が発行されつつあります現在使用されている証明書を示します、Windows 11 のセキュア ブートを有効にする方法 (および理由)、それ以降、最新のファームウェアを通じていくつかの深刻な脆弱性が発見されました、 KB5074109KB5073455