Contents

Microsoft のセキュア ブート証明書は 2026 年 6 月に期限切れになりますが、古い PC は修正プログラムを入手できない可能性があります

<本文>/images/windows-11-recovery-environment.jpg

過去 10 年間使用してきたセキュア ブート対応の Windows PC はすべて、ブート プロセスを安全に保つために同じ暗号化証明書のセットに依存してきました。これらの証明書は 2011 年に Microsoft によって発行されたもので、Windows の起動前に読み込まれるソフトウェアが正当なものであり、改ざんされていないことをコンピューターが検証できるのはこの証明書のおかげです。これらはマザーボードのファームウェアに組み込まれており、ほとんどの人はそれについて考える理由がありません。それが変わろうとしている。

2026 年 6 月 24 日に、これらの最初の証明書の有効期限が切れます。PC が期限までに更新されなかったとしても、突然起動が停止することはなく、定期的な更新も受信しますが、Windows 起動プロセスの最も機密性の高い部分の一部については、今後のセキュリティ更新プログラムを受信する機能が失われます。 Microsoft は Windows Update を通じて代替パッチの展開を開始しましたが、これは単純なパッチではありません。これには、Microsoft、PC の製造元、そして場合によってはお客様の間での調整が必要になります。 Microsoft 自体は、これを Windows エコシステム全体で調整された最大規模のセキュリティ メンテナンスの取り組みの 1 つと呼んでおり、過去にセキュア ブートの問題に対処した経験から、これは誇張ではないと言えます。

セキュア ブートの信頼チェーンは、永久に存続することを意図したものではない証明書に基づいて構築されています

証明書では決して役に立たない

/images/disabling-secure-boot-1.jpg

これがなぜ重要なのかを理解するには、セキュア ブートが実際に内部でどのように機能するかを理解する必要があります。ほとんどの人が最初に目にするのは BIOS 設定ですが、これは BIOS 設定の切り替えではありません。セキュア ブートは信頼のチェーンであり、マザーボードの UEFI ファームウェアに保存されている暗号化証明書の階層であり、オペレーティング システムがロードされる前に実行されるすべてのソフトウェアを検証します。そのチェーン内のリンクのいずれかが壊れたり期限切れになったりすると、システム全体の保護能力が低下します。

そのチェーンの最上位にあるのがプラットフォーム キー (PK) です。これは、Dell、Lenovo、HP、ASUS、またはボードを製造したメーカーなど、PC の製造元が所有しています。 PK は信頼のルートであり、その下のすべてに対する変更を許可します。 PK の下には、鍵交換キー (KEK) が配置されます。 Microsoft の KEK 証明書は、Windows に次の層、つまり DB と呼ばれる署名データベースと、DBX と呼ばれる禁止された署名データベースを更新する権限を与えます。

DB には、ブートローダー、ドライバー、およびファームウェア コンポーネントに署名するために PC が信頼する証明書が含まれています。これをブート プロセスのゲスト リストと考えてください。 DBX はブロックリストであり、ブート中に実行を許可すべきではない既知の不正なソフトウェアの署名が含まれています。 PC が起動すると、セキュア ブートはこれらのデータベースに対してすべてをチェックします。ブートローダーが DB 内の証明書によって署名されている場合、ブートローダーは実行されます。 DBX 内の何かと一致すると、ブロックされます。これは Windows が読み込まれる前に発生するため、Windows はセキュリティ メカニズムとして非常に効果的ですが、問題が発生すると非常に危険です。

ここに問題があります。このチェーン内の 3 つの証明書の有効期限が切れています。 Microsoft Corporation KEK CA 2011 と Microsoft UEFI CA 2011 は両方とも 2026 年 6 月に期限切れになります。Windows ブートローダー自体に署名する Microsoft Windows Production PCA 2011 は 2026 年 10 月に期限切れになります。これらの期限が切れると、PC はそれらを使用して新しい更新プログラムを検証できなくなり、ブート プロセスに新しいセキュリティ緩和策を適用できなくなります。実質的に時間内に凍結され、有効期限の時点で持っていた保護が実行され、新しい保護を追加する方法がありません。

証明書の置き換えには理由があって物事が分割される

その方が安全です

/images/jginyue-b650i-night-devil-uefi.jpg

2023 年の代替証明書は 1 対 1 の交換ではありません。 Microsoft は実際に証明書の仕組みを再構築しましたが、その理由を理解するのは価値があります。オリジナルの Microsoft Corporation UEFI CA 2011 は、サードパーティのブートローダー、グラフィックス カードやネットワーク アダプターなどのアドイン カード用のオプション ROM、さまざまなファームウェア コンポーネントを含むすべてに署名しました。これは広範な信頼の付与であり、エコシステムの一部を侵害すると、予測が難しい方法で外部に波及する可能性があることを意味しました。

新しい構造では、これらの責任が分離されます。 KEK を置き換えて DB および DBX アップデートを認証する Microsoft Corporation KEK 2K CA 2023、Windows ブート ローダー コンポーネントに署名するための Windows UEFI CA 2023、そしてサードパーティのオプション ROM とアドイン カード ファームウェア専用の別個の Microsoft Option ROM UEFI CA 2023 があります。この分離は、オプション ROM を信頼する必要のないシステムが信頼する必要がないことを意味します。これは、セキュア ブートの信頼モデルをより詳細にできる点での真の改善です。これは何年も前に起こるはずだった種類の変更ですが、移行を強制するには、最初に元の証明書の有効期限が切れる必要がありました。

これがすべて恐怖を煽っているように聞こえる場合は、BlackLotus を検討してください。 2023 年に発見された BlackLotus は、完全にアップデートされた Windows 11 システム上でセキュア ブートをバイパスする最初の UEFI ブートキットでした。これは、Baton Drop として知られる CVE-2022-21894 と、BlackLotus から保護する試みとして発生した CVE-2023-24932 を悪用しました。これらは、攻撃者が最新の安全なブートローダーを、システムの証明書によってまだ信頼されている古い脆弱なブートローダーと交換することを可能にする脆弱性でした。この攻撃は、セキュア ブートの DBX が古いブート マネージャーを無効にするように更新されていないという事実を利用しました。この失敗は、ファームウェア レベルで証明書ベースの信頼を管理する複雑さに直接遡ります。

BlackLotus はロードされると、オペレーティング システムが起動する前に、BitLocker、ハイパーバイザーで保護されたコードの整合性、および Windows Defender をすべて無効にする可能性があります。ウイルス対策ソフトウェアには認識されないファームウェア レベルで実行されました。ブートレベルのセキュリティがなぜ重要なのか疑問に思ったことがあるなら、これがまさにその理由です。ブート チェーンにアクセスできる攻撃者はシステム全体を事実上所有することができ、Windows 内で実行されているエンドポイント保護がどれだけ機能してもそれに対して何もできません。

それ以来、Microsoft は脆弱なブート マネージャーの無効化に取り組んできましたが、セキュア ブートの DBX を更新して古いブートローダーをブロックするのは非常に遅かったです。まさに、それを間違うとシステムが起動できなくなる可能性があるためであり、Microsoft もこのことを直接認めています。たとえば、HP には、特定のセキュア ブート取り消しを適用した後にシステムが完全に起動できなくなる可能性があるファームウェアのバグがあったため、Microsoft は緩和策を展開する前にデバイス固有のチェックを追加する必要がありました。

証明書の有効期限が切れると、事態はさらに悪化します。証明書が更新されていないと、PC は BlackLotus のようなエクスプロイトをブロックするために必要な取り消しを受け取ることができません。信頼すべきではないソフトウェアを信頼するブートプロセスに行き詰まっており、それを事後に修正するメカニズムがありません。 Microsoft は、更新された 2023 証明書が BlackLotus の脆弱性に対処する最新のセキュリティ対策であることを明示しており、これは 3 年がかりで開発されたセキュリティ修正になります。

すべての PC が同じ立場にあるわけではありません

Copilot+ PC は安全です

/images/img_4357.JPG

2024 年以降に製造された Copilot+ PC とほとんどのデバイスには、すでに新しい 2023 証明書がインストールされた状態で出荷されており、2025 年に出荷されるほぼすべてのデバイスにもそれらが含まれています。過去 1 ~ 2 年の間に新しい PC を購入した場合は、おそらく準備が整っているでしょう。それ以外のすべてのユーザー、つまり現在アクティブに使用されているほとんどの Windows PC については、更新が必要です。

Microsoft は、サポートされているシステム上で定期的な Windows Update を通じて新しい証明書の展開を開始しました。 Microsoft が管理する更新プログラムを使用している Windows 11 を使用しているホーム ユーザーの場合、これは毎月の更新サイクルを通じて自動的に行われます。 Microsoft はこれを段階的に展開し、デバイスからの診断データに基づいて拡張し、より広範囲に更新をプッシュする前に更新が安全であることを確認します。今後数か月以内に、証明書の更新ステータスが Windows セキュリティ アプリにも表示されるようになり、消費者が追跡しやすくなる予定です。

しかし、エンタープライズ環境の場合は、さらに複雑になります。 IT 管理者は、Microsoft がデバイスが更新の準備ができているかどうかを確認できるように、少なくとも「必須」レベルの Windows 診断データを有効にする必要があります。オプトインするためのレジストリ キーもあります。パスは HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot で、「MicrosoftUpdateManatedOptIn」という DWORD 値がゼロ以外の値に設定されています。さらに、Microsoft は、Intune、グループ ポリシー、レジストリ キー、および Windows 構成システム API という 4 つの異なる展開方法を提供しています。これにより、Microsoft がサポートしようとしている環境がいかに多様であるかがわかります。これは、多数のデバイスを管理している人にとって、ワンクリックで解決できるものではありません。

ただし、ここに落とし穴があります。Microsoft のアップデートだけでは十分ではありません。 PC の OEM は、まずファームウェアのアップデートを提供する必要があります。このファームウェアの更新により、プラットフォーム キーが更新され、新しい証明書を受け入れるために UEFI 環境が準備されます。これがないと、Windows を介した証明書の更新の適用が失敗するか、最悪の場合、起動の問題が発生する可能性があります。 Microsoft はこれに関して OEM と緊密に連携しており、多くの OEM が独自のガイダンス ページを公開していますが、すべての OEM が古いハードウェアのファームウェア アップデートを提供しているわけではありません。お使いの PC が 5 ~ 6 年以上前のものである場合、製造元が移行している可能性が高く、証明書の有効期限が切れてしまい、進むべき道がなくなっている可能性があります。

Windows 10 ユーザーは特に困難な状況にあります

10人にとって最後の死の鐘

/images/windows-10-11-winver-box-1.jpg

この影響を特に受けるグループが 1 つあり、それは Windows 10 ユーザーです。それは大きなグループです。 Microsoft は 2025 年 10 月に Windows 10 のサポートを終了し、サポートされていないバージョンの Windows を実行しているデバイスは Windows アップデートをまったく受け取りません。つまり、新しいセキュア ブート証明書を受信できないことになります。拡張セキュリティ更新プログラム (独自のコストと制限があります) に登録していない限り、Windows 10 マシンは通常のチャネルを通じて 2023 証明書を取得することはできません。

Microsoft の公式推奨は、サポートされているバージョンの Windows (ほとんどの人にとって Windows 11 を意味します) にアップグレードすることです。しかし、それが常に選択肢になるわけではありません。 Windows 11 のハードウェア要件、特に TPM 2.0 要件により、たとえ回避策があったとしても、完全に機能する数百万台の PC がロックアウトされました。そのため、Windows 11 には古すぎるマシンがまだ Windows 10 を実行していて、更新されたセキュア ブート証明書を取得するには古すぎる可能性があります。これらの問題は互いに重なり合っており、ユーザーにとって明確な答えはありません。

影響を受けるシステムは、物理的なデスクトップやラップトップ以外にも広がります。 VMware、Hyper-V、および Azure 上で実行されている仮想マシンには、すべて同じ証明書の有効期限が適用されます。 Microsoft は、Windows Server、Windows 365、および Azure Virtual Desktop について個別のガイダンスを公開しており、それぞれに独自の展開に関する考慮事項が記載されています。セキュア ブートが有効な VM を実行している場合は、証明書の更新も必要です。

今実際にやるべきこと

/images/windows-11-update-1.jpg

ホーム ユーザーの場合は、PC が Windows 更新プログラムを自動的に受信するように設定されていること、およびサポートされているバージョンの Windows を実行していることを確認してください。利用可能な BIOS またはファームウェアのアップデートがあるかどうか PC の製造元に確認し、最初にそれらをインストールしてください。その後は Windows Update に任せます。 Microsoft が証明書ステータス通知を展開する場合は、Windows セキュリティ アプリに注目してください。

企業内でデバイスを管理している場合、これはより緊急です。 Microsoft では、セキュア ブート証明書のロールアウト ランディング ページで最新のガイダンスを確認することをお勧めします。まず、「UEFICA2023Status」レジストリ キーをチェックして展開を追跡し、Windows 証明書の更新が適用される前に、すべてのデバイスに OEM ファームウェアの更新を適用します。 Microsoft は 3 月 12 日に、セキュア ブートに特化した「Ask Microsoft Anything」セッションも主催します。多数のデバイスを管理している場合は、参加する価値があります。

期限は柔軟ではありません。最初の証明書の有効期限が切れるのは 2026 年 6 月 27 日で、そのすぐ後に 2026 年 10 月に期限が切れます。その日には PC が故障することはありませんが、その後証明書が更新されない日は毎日、ブート プロセスの安全性が本来よりも低下することになります。 Microsoftはこれを「セキュリティが低下した状態」に入ったと表現しているが、BlackLotusが実証したことを考慮すると、それは我慢する価値のあるリスクではない。ブート チェーンは、その後に続くすべてのものに依存するため、セキュリティが機能する必要がある唯一の場所です。

*️⃣ 出典リンク:

これらの証明書の最初の有効期限が切れます、セキュア ブート、一連の信頼、 最新のセキュリティ対策、Windows 10、たとえ回避策があるとしても、