はじめに
Microsoftは、2026年6月下旬に期限が切れる予定の2011年発行のSecure Boot証明書を置き換えるため、新しいSecure Boot証明書の展開を月次Windowsアップデートを通じて開始しました。
2011年に導入されたSecure Bootは、UEFIファームウェアを搭載したコンピューターで信頼できるブートローダーのみがロードされることを保証するセキュリティ機能です。これにより、悪意のあるソフトウェア(ルートキットなど)がシステム起動時に実行されるのを防ぎ、ファームウェアに保存されている一連の信頼されたデジタル証明書に対してデジタル署名を検証します。
更新の背景と大規模な取り組み
Microsoftは、2026年6月下旬から期限切れとなる既存のSecure Boot証明書を更新する計画を1月に発表していました。これは、IT管理者にUEFIファームウェアのセキュリティ証明書を期限切れ前に更新するよう警告した11月の通知に続くものです。
Windows Servicing and Delivery担当ディレクターのヌーノ・コスタ氏は火曜日、「15年以上の継続的なサービスを経て、当初のSecure Boot証明書は計画されたライフサイクルの終わりに達し、2026年6月下旬に期限切れが始まります」と述べました。
コスタ氏はさらに、この証明書の更新は「Windowsエコシステム全体で最も大規模な協調的なセキュリティメンテナンス作業の一つ」であり、多数のハードウェアメーカーやOEMから提供される数百万ものデバイス構成にわたるファームウェア更新を伴うと付け加えています。
更新の展開方法
新しい証明書は、Microsoftが管理するアップデートを適用している家庭ユーザー、企業、学校向けのサポート対象Windowsデバイスに対し、通常の月次Windowsアップデートの一部として展開が開始されています。組織は、独自の管理ツールを使用して更新プロセスを自身で管理する選択肢もあります。
実際、2024年以降に製造された多くのPC、および昨年出荷されたPCの大部分には、すでに更新された証明書が含まれています。MicrosoftはWindows Updateを通じて「高信頼性デバイス」を自動的に更新しますが、IT管理者はレジストリキー、グループポリシー設定、Windows構成システム(WinCS)を使用してSecure Boot証明書を展開し、エンドポイントがWindows Boot ManagerおよびSecure Boot保護を失わないようにすることも可能です。
ユーザーへの影響と推奨事項
ただし、一部のデバイスでは、新しい証明書を適用する前にメーカーからの個別のファームウェアアップデートが必要となる場合があります。Microsoftは、顧客に対し、最新のファームウェアバージョンについてOEMのサポートページを確認するよう助言しています。
6月までに更新された証明書を受け取れなかったデバイスは、引き続き正常に機能しますが、Microsoftが「セキュリティ状態が低下した状態」と表現するように、限定的なブートレベルの保護しかなく、新たな脆弱性を悪用する攻撃に対する保護は提供されません。
Microsoftは、Windows 10のようなサポートされていないWindowsバージョンでは新しい証明書が受け取られないため、すべての顧客にWindows 11へのアップグレードを推奨しています。コスタ氏は、「サポートされていないバージョン(Windows 10およびそれ以前、拡張セキュリティ更新プログラムに登録されているものを除く)を実行しているデバイスは、Windowsアップデートを受け取らず、新しい証明書も受け取らないことに注意することが重要です」と述べ、「最高のパフォーマンスと保護のために、常にサポートされているバージョンのWindowsを使用するよう顧客に引き続き奨励します」と付け加えました。