遡るとちょっと前になりますが9月から Windows Update で提供される更新プログラムの内容を確認しようとアクセスしてみると「Windows セキュア ブート証明書の有効期限」なんて表示されるようになりました。現在は、どの更新履歴を確認しても必ず冒頭に表示されるようになりましたが、今回はこの「セキュアブート証明書の有効期限」について取り上げてみました。
この表示上記の画像にもありますが、Windows 11 Ver.24H2 に限ったことではなく、リリースがスタートしたばかりの Ver.25H2 にも、また Widnows 10 Ver.22H2 の更新履歴のページにも表示されております。
ちょうど最初に表示されるようになったのが先日公開された更新プログラム「2025 年 9 月 9 日 − KB5065431 (OS ビルド 22621.5909 および 22631.5909)」でした。「Windows セキュア ブート証明書の有効期限」のところで、「重要: ほとんどの Windows デバイスで使用されているセキュア ブート証明書は、2026 年 6 月から有効期限切れになる予定です」とあります。
【「セキュアブート」とは?】
「Windows 11 とセキュア ブート」にもあるように「セキュアブート」は、Windows が「起動時に悪意のあるソフトウェアの読み込みを防ぐために設計された重要なセキュリティ機能」です。Windows 11 を導入するための一つの要件にもなっています。
Microsoft のサポートサイトには以下のように取り上げられております。
Copilot にその「セキュアブート」について整理して貰いました。
| 項 目 | 内 容 |
| 目的 | 起動時に信頼されたソフトウェアのみを読み込むことで、マルウェアの侵入を防ぐ |
| 対象OS | Windows 8以降で対応、Windows 11では原則必須 |
| 必要条件 | UEFIファームウェア、セキュアブート対応のハードウェア |
| 有効化方法 | BIOS/UEFI設定画面で「Secure Boot」を有効にする |
| 確認方法 | 「msinfo32」コマンドで「セキュアブートの状態」を確認可能 |
| 無効でも動作するケース | 非公式手順や企業向け例外でインストールされた場合など |
| セキュリティ効果 | ブートキット、ルートキットなどの高度な攻撃を防止 |
| 注意点 | 無効のまま使用すると、サポート対象外や将来の機能制限の可能性あり |
セキュリティ機能の一つな訳ですが、昨今のメーカー製のPCだったりすると、デフォルトで有効になっているものと思われます。
【セキュアブートに必要な証明書の有効期限】
さてそんなセキュアブートですが、当然このセキュアブートを有効にするために使用されている証明書にも有効期限があります。
そんなセキュアブートに必要な証明書の有効期限が来てしまうのが上記のもので、「2026年問題」とも言われているものになります。
PCは、その起動時、UEFI(Unified Extensible Firmware Interface)と呼ばれる最新のファームウェアが、読み込むプログラムの電子署名を一つ一つ確認しています。この署名は Microsoft が発行した証明書によって検証され、正規の署名を持つプログラムだけが実行を許可されルという仕組みです。これにより、OSが起動する前の段階からシステム全体が保護されるようになります。
2011年に Windows が導入したこの仕組みですが、この仕組みを実現するために必要な電子証明書の有効期限が「15年」でした。そしてその期限切れがついに来年に迫っているわけです。
【一般ユーザーは何をすべきか?】
基本的に、一般ユーザーが使用しているPCの場合、Windows Update を通じて、更新プログラムをちゃんと適用していれば、この有効期限は自動更新されるので、何もする必要はありません。
ただしセキュアブートが有効な場合には自動更新されて適用されることになりますが、セキュアブートの機能はあっても有効になっていないケースでは、更新が適用されない可能性があると懸念されているため、有効化を検討する必要があります。
-- Windows 10 ユーザーの場合:
一般ユーザーなどで大きな問題になりそうなのが、Windows 10。あと1週間あまりで、Windows 10 のサポートが終了します。当然ながら終了すれば、更新も届きません。つまり、電子証明書も更新されません。
ですので、サポートがまもなく終了する Windows 10 の場合、ESU(拡張セキュリティ更新プログラム)を適用しておかないと、更新が受け取れません。サポート期限が切れたまま使っていると単にセキュリティのリスクが高くなるだけではなく、PC自体が起動できなくなる可能性もあるわけです。
-- どんなトラブルが懸念されているか?:
| トラブル内容 | 詳 細 |
| Windowsが起動しなくなる可能性 | ファームウェア初期化後、古い証明書しかないとセキュアブートが通らず、OSが起動できなくなる |
| セキュリティ更新が適用されない | 証明書が期限切れだと、Windows Updateで配布されるセキュリティ修正がブロックされることがある |
| Bootkitなどのマルウェアに対して脆弱になる | セキュアブートが無効化された状態になると、OS起動前にマルウェアが侵入するリスクが高まる |
| Windows 10から11へのアップグレード時に証明書が更新されない | 特にLTSC版では、証明書の更新が自動で行われない場合がある |
| リカバリーUSBが必要になるケース | 起動不能になった場合、証明書を再適用するためにリカバリーUSBが必要になることがある |
法人ユーザーで一部特殊な環境で使用している場合には、必要に応じて対処が必要になります。
Copilot では次にようなものを懸念材料としてピックアップしていました。
| 分 野 | 懸念される影響 |
| 教育・公共機関 | 古いPCやLTSC版Windowsを使っていると、証明書更新がされず起動不能になる可能性。予算や人員不足で対応が遅れる懸念も |
| 医療・インフラ系 | セキュアブート無効化によるセキュリティ低下が、患者情報や制御システムにリスクをもたらす可能性あり |
| 企業IT部門 | 大量のPCを管理する環境では、証明書更新の有無を把握しきれず、業務停止やサポート外トラブルに発展するリスク |
| 一般ユーザー | 自作PCや古い機種でセキュアブートが無効のまま使っていると、突然起動できなくなる可能性。サポート外になることも |
| セキュリティ全体 | BlackLotusのようなブートキット型マルウェアが再び脅威になる可能性。セキュアブートが無効だと検知が困難 |
また、その「社会的対応の必要性」として、
Microsoftは「Windows UEFI CA 2023」証明書を配布しているけど、自動更新されない環境では手動対応が必要。
IT管理者や自治体、教育機関は、2026年までに証明書更新の体制を整えることが急務。
一般ユーザーも、Secure Bootの状態とWindows Updateの有効化を確認しておくと安心。
といったポイントを上げている。
昨今のデジタル社会において、インターネットから隔離された産業用システムや医療機器への影響は深刻。社会全体でこの問題へ意識していく必要があります。Windows 10のサポート終了まであとわずか。
一般ユーザーの方であったとしても、サポートが終了したPCを使い続けることのリスクがそこにあります。インターネットにつないでいければ大丈夫でしょ?は通用しませんのでご注意ください。
サポートページにおまけのように付け加えられているだけですが、実は結構大変な問題なわけです。
今回は、今後大きく問題になりそうな 「Windows のセキュアブートの証明書」の問題について取り上げさせていただきました。
<参照>
【関連する記事】
- Windows 10 あるいは Office 2016/2019 の最終更新日
- 「Windows Roadmap」で新たな機能を確認する
- Windows の基本操作 Vol.2025-09-2 「Windowsキー+"..
- スキルスナックで 現在の Windows を学習する
- メディアプレーヤーで音楽などを取り込みながら再生していると音が途切れたりする
- Windows の基本操作 Vol.2025-08-1 Windows をシャッ..
- 変換キーを押しても変換できない
- Microsoft Authenticator と今後の変更について
- Windows の基本操作 Vol.2025-03-1 Windows で使用..
- PCを起動してみるといつもと違う画面になってしまい、お気に入りなども表示されなく..
