Windows Latestは5月26日(現地時間)、「Microsoft reveals what happens to Windows 11 PCs if you ignore the Secure Boot deadline in June 2026」において、Windows搭載PCのセキュリティ機能「セキュアブート」の証明書がまもなく期限切れを迎えると報じた。

更新プログラムを適用せずにいると、コンピュータを起動できなくなる可能性があるという。

セキュアブートはなぜ必要なのか

セキュアブートは、PCの起動シーケンスにUEFI(Unified Extensible Firmware Interface:ユニファイド・エクステンシブル・ファームウェア・インタフェース)の仕組みを利用するデバイスにおいて、オペレーティングシステムの読み込みに使用されるブートローダー(EFIアプリケーション)およびブートドライバーの侵害を防止するセキュリティ機能とされる。

UEFIではブートローダーやブートドライバーをESP(EFIシステムパーティション)に保存している。この領域は改ざんされる可能性があり、攻撃者がルートキットなどのマルウェアを組み込むことで、OS起動前に不正コードを実行させる恐れがある。このような攻撃を防ぐため、近年のPCにはセキュアブートが標準搭載されている。

セキュアブートはどのように動作するのか

セキュアブートの利用には、UEFI 2.3.1およびTPM(Trusted Platform Module:トラステッドプラットフォームモジュール)を搭載したPCが必要。いずれもWindows 11のシステム要件に合致しており、近年のWindows認定PCでは標準で搭載されている。

仕組みは一般的な改ざん検出手法と同じで、電子証明書による署名の確認が行われる。Windows認定PCではファームウェア(署名データベース)にMicrosoftの公開鍵証明書認証局(CA: Certificate Authority)証明書の「Microsoft UEFI CA 2011」が保存されており、これを使用して署名の確認が行われる。なお、Linuxの起動には「Microsoft 3rd Party UEFI CA証明書」によって署名されたブートローダーが使用される。

セキュアブートを含むWindowsの起動シーケンスの詳細は、公式ドキュメント「Windows ブート プロセスをセキュリティで保護する | Microsoft Learn」が詳しい。

セキュアブートの利用者にとって重要なのが、これら証明書の有効期限と更新である。

証明書の有効期限はいつまでか

セキュアブートでは署名確認に使用する電子証明書がファームウェアに保存されている。この電子証明書には有効期限があり、Microsoft証明書の初回発行分(2011年発行)は2026年6月27日に期限を迎える。

新しい証明書は2023年発行の「Windows UEFI CA 2023」および「Microsoft UEFI CA 2023」などとされ、Windows Updateを通じて更新プログラムが配布されている。通常は毎月リリースされているセキュリティ更新プログラムのインストールに伴い、自動的に証明書もアップデートされる。

なお、この期限を迎えたからと言って直ちに影響が出るわけではない。Microsoftは「新しい2023証明書を受け取っていないデバイスは引き続き正常に起動して動作し、標準のWindows更新プログラムは引き続きインストールされます。」と説明している(参考:「Windows セキュア ブート証明書の有効期限と CA 更新プログラム - Microsoft サポート」)。

しかしながら、セキュアブートによる保護は喪失することになる。引き続きセキュアブートによる保護を期待する場合は、期限が切れる前に最新の更新プログラムをインストールして、新しい証明書を受け取る必要がある。

更新状況の確認

セキュアブートの有効状態と、証明書の更新状態は「Windowsセキュリティ」から確認することができる。具体的には設定アプリの「プライバシーとセキュリティ」→「Windowsセキュリティ」→「Windowsセキュリティを開く」をクリック→「Windowsセキュリティ」が起動するので「デバイスセキュリティ」をクリック→「セキュアブート」の内容を確認する。

「これ以上の証明書の変更は必要ありません。」と表示されていれば、証明書の更新は完了している。一方で赤または黄色のアイコンが表示され、更新プログラムを受信していないと表示された場合は、証明書の更新は完了していない。

  • セキュアブートが正常に機能している場合の表示例

    Windowsセキュリティで確認できるセキュアブートの状態。証明書の更新が完了している場合は「これ以上の証明書の変更は必要ありません」と表示される

Windows 11 26H2やBitLockerへの影響

証明書のアップデートはBitLockerには影響しない。BitLockerの存在を織り込んだ更新処理が行われる。また、更新には通常3回の再起動が必要なことから、繰り返し再起動しても異常ではない。

今秋リリースが予定されているWindows 11バージョン26H2のインストールには、2023年発行の証明書が必要。証明書が確認できない場合は、アップグレードがエラーで失敗する可能性がある。

企業が管理するデバイスや、Windows ServerおよびHyper-V環境では、特定の作業が必要になる可能性がある。これらについてはWindows Latestの説明を参考に、適切なアップデート処理を実施することが望まれる。

レガシーBIOSを使用しているデバイスへの影響

Windows Latestによると、レガシーBIOSを使用しているデバイスへの影響については、3月開催の質疑応答イベント「Ask Microsoft Anything: Secure Boot - March 12, 2026 - Windows Tech Community」において解説があったという。その概要は次のとおり。

  • ハードウェアがセキュアブートに対応していない場合は、証明書のアップデートは行われない
  • 互換性サポートモジュール(CSM: Compatibility Support Module)を使用してレガシーBIOSをエミュレートしているが、デバイスがセキュアブートに対応(有効化)している場合は正常にアップデートが行われる
  • セキュアブートに対応しているが、設定で無効化している場合は、意図的に更新処理をエラーで失敗させる

つまり、証明書の更新処理を正常に完了するには、セキュアブート対応デバイスで、セキュアブートを有効にしておく必要がある。