はじめに
Microsoftは2026年1月13日、Windows 10向けの拡張セキュリティ更新プログラムKB5073724をリリースしました。このアップデートは、今月の月例パッチ(Patch Tuesday)で公開されたセキュリティ更新プログラム群を補完し、3件のゼロデイ脆弱性や、間近に迫ったSecure Boot証明書の期限切れへの対応を含んでいます。
KB5073724アップデートの概要
本アップデートは、Windows 10 Enterprise LTSCをご利用の方、またはESU (Extended Security Update) プログラムに加入しているユーザーが対象です。Windows Updateから手動で「更新プログラムのチェック」を実行することでインストールできます。
インストール後、Windows 10はビルド19045.6809に、Windows 10 Enterprise LTSC 2021はビルド19044.6809に更新されます。
MicrosoftはWindows 10の新機能リリースを既に終了しており、KB5073724もセキュリティ修正と、以前のセキュリティアップデートで発生したバグ修正のみを含んでいます。
重要なセキュリティ修正
2026年1月の月例パッチでは、合計114件の脆弱性が修正され、その中には3件のゼロデイ脆弱性が含まれています。KB5073724によって修正されるゼロデイ脆弱性は以下の通りです。
- 内蔵Agereモデムドライバーにおける特権昇格の脆弱性(現在悪用が確認されているもの)
- サードパーティ製WinSqlite DLLのセキュリティ上の欠陥
- Secure Boot証明書の期限切れに対応するための更新プログラム
Secure Boot証明書の更新
Microsoftは2025年6月以降、2011年に発行された複数のWindows Secure Boot証明書が2026年に期限切れを迎えることを警告してきました。これらの証明書が更新されない場合、Secure Boot保護が機能しなくなり、攻撃者がシステムを迂回するリスクがあります。
本アップデートでは、新しいSecure Boot証明書を自動的に受け取る対象となるデバイスを識別する、高信頼性のデバイスターゲティングデータが含まれています。デバイスは、十分な更新成功シグナルが確認された後に新しい証明書を受け取ることになり、安全かつ段階的な展開が保証されます。
主な期限切れ証明書とその新しいバージョンは以下の通りです。
- Microsoft Corporation KEK CA 2011 (2026年6月期限切れ) → Microsoft Corporation KEK 2K CA 2023 (KEKに保存され、DBおよびDBXへの更新を署名)
- Microsoft Windows Production PCA 2011 (2026年10月期限切れ) → Windows UEFI CA 2023 (DBに保存され、Windowsブートローダーの署名に使用)
- Microsoft UEFI CA 2011 (2026年6月期限切れ) → Microsoft UEFI CA 2023 (DBに保存され、サードパーティ製ブートローダーおよびEFIアプリケーションを署名)
- Microsoft UEFI CA 2011 (2026年6月期限切れ) → Microsoft Option ROM UEFI CA 2023 (DBに保存され、サードパーティ製オプションROMを署名)
これらの証明書は、Windowsのブートコンポーネント、サードパーティ製ブートローダー、およびSecure Bootの失効更新を検証するために使用されます。
その他の変更点
このアップデートでは、以下のモデムドライバーが削除されます。
agrsm64.sys(x64)agrsm.sys(x86)smserl64.sys(x64)smserial.sys(x86)
これらの特定のドライバーに依存するモデムハードウェアは、Windows上で動作しなくなります。
また、WindowsのコアコンポーネントであるWinSqlite3.dllが更新されました。これにより、以前セキュリティソフトウェアがこのコンポーネントを脆弱であると誤検知する可能性があった問題が修正されています。
既知の問題
Microsoftは、このアップデートに関して現在既知の問題はないと発表しています。