2年以上前のPCをお使いのユーザーの皆様、重要なアップデートが迫っています。Windowsセキュアブート証明書の有効期限が2026年6月に切れるのです。現在の証明書が失効すると、重要なセキュアブート更新にアクセスできなくなり、起動時に問題が発生する可能性があります。MicrosoftはWindows Updateを通じて新しい証明書を段階的にリリースしていますが、このロールアウトに伴う不確実性を回避するために、当社のガイドに従ってセキュアブート証明書を手動で更新してください。
セキュアブート証明書について
セキュアブートは、UEFIファームウェアの重要な機能であり、信頼できるメーカーによってデジタル署名されたソフトウェアのみでコンピューターを起動することを保証します。このセキュリティ対策は、コード実行前にソフトウェアの出所を検証する公開証明書を用いた複数段階の認証プロセスで構成されています。
PCのUEFIファームウェアには、IDカードのような機能を持つメーカー証明書が保存されています。これらの証明書は、ソフトウェアが信頼できるソースから提供されていることを検証し、認定メーカーの証明書がなければ動作できないブートキットやルートキットなどの悪意のあるエンティティに対する強力な防御を提供します。
セキュアブート証明書の更新の重要性
多くのデジタル証明書と同様に、セキュアブート証明書にも有効期限があります。2024年以前に製造されたほとんどのPCは、 2026年6月に有効期限が切れるMicrosoft Corporation UEFI CA 2011証明書を使用しています。これらの証明書の有効期限が切れると、お使いのデバイスはWindowsブートマネージャーの更新を受けられなくなり、システムが新たな脅威に対して脆弱になり、最新の署名を必要とする新しいハードウェアとの互換性が複雑になります。
最新のWindows UEFI CA 2023証明書への移行は必須です。MicrosoftはOEMと協力してWindows Updateを通じてこの移行を促進していますが、証明書を早めに手動で更新することで、次のようなメリットがあります。
- Microsoft が有効期限前にこれらの証明書を特定のデバイスに展開するという保証はありません。展開はデバイスの重要度に基づいて優先順位が付けられるため、無期限に待つことになる可能性があります。
- 2011年以前の証明書は、セキュアブートを回避できるBlackLotusブートキットなどの脆弱性の影響を受けやすいため、今すぐ更新することでセキュリティをすぐに強化できます。
- Windows の更新が無効になっている場合、または更新をより直接的に管理したい場合は、証明書を手動でインストールする必要があります。
- スケジュールに従って証明書を更新することで、回復ドライブが機能し続けるようになり、将来的に問題が発生する可能性を回避できます。
証明書をすぐに更新しないと、PC がロックアウトされることはありませんが、セキュリティ リスクが高まり、将来のシステム アップグレードが妨げられます。
PCのセキュアブート証明書の検証
お使いのPCでは、Microsoftが新しい証明書を事前に有効化している可能性があります。PowerShellを使えば簡単に確認できます。
まず、Windows 検索バーで「PowerShell」を検索し、Windows PowerShellを右クリックして、[管理者として実行]を選択します。

次に、次のコマンドを入力します。
[System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

出力結果がTrue の場合、証明書は最新であり、これ以上の操作は必要ありません。False の場合、証明書の更新を続行してください。
2023年のセキュアブート証明書をインストールする手順
Windows UEFI CA 2023 証明書は、お使いの PC に既にインストールされている可能性があります。これらの証明書は Windows 11 の 2024 年 2 月の累積アップデートに含まれていましたが、現在無効になっています。2024 年 2 月のリリース以降にシステムを更新している場合は、以下の手順に従ってこれらの証明書を有効化できます。
もう一度、管理者として PowerShell を起動し、次のコマンドを実行します。
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

このコマンドはレジストリを変更し、2023 証明書の展開準備を整えます。0x5944コマンド内のビットマスクは、Windows UEFI CA 2023 のインストールに向けて PC を準備する 6 つの命令をアクティブ化します。
新しく構成された命令を実行するには、PowerShell で次のコマンドを発行します。
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
このコマンドは、次回の起動サイクル中に証明書をインストールするために必要なタスク(互換性チェック、WinSxSフォルダから適切なステージング領域への新しい証明書の再配置など)を開始します。このコマンドの処理中、PCがわずかにフリーズする場合があります。
重要なのは、Windowsを2回再起動することです。PCを単にシャットダウンして再起動するのではなく、再起動することが重要です。高速スタートアップが有効になっている場合、シャットダウンしてもメモリが完全に消去されず、これらの変更が有効になりません。
おめでとうございます!これで、お使いの PC には 2038 年まで有効な最新のセキュアブート証明書が付与されました。問題が発生する可能性は低いと思われますが、万が一問題が発生した場合は、Windows の起動に関する問題の解決方法や無限ブートループの管理方法に関するガイドを参照してください。
コメントを残す