リアルなレビューを追求するガジェットメディア!スマホ・格安SIMの話題やセール・お得情報も発信中!

  • ツイッター
  • Facebook
  • Hatena Bookmark
  • Feedly
  • rss

Windowsの起動に必要なセキュアブート証明書が2026年6月で期限切れに

\ 最後のminiもあるよ /

☪️中古のiPhoneやAQUOS Sense9が安い!ゲオオンラインストアのUQモバイルセット割の新キャンペーンまとめ

\ IIJmioの最新セール /

☪️AQUOS R9 proが99,980円、Redmi Note 14 Pro 5Gの512GB版が14,800円!arrows Alphaは新規でも54,800円

Windowsのセキュアブート証明書が2026年6月を持って期限切れに

Microsoftは、2026年6月にセキュアブート証明書の有効期限が切れることに伴い、Windows Update経由で準備できた環境から順次、新しい証明書の展開を開始しています。

「証明書の更新? 更新しないと起動しなくなっちゃうの?」と心配される方もいらっしゃるかと思われますが、基本的には自動で適用されるため、過度な心配は不要です。サポートが継続されているWindows 11 2024 Update(Version 24H2)/2025 Update(Version 25H2)環境、および個人向け延長サポートプログラム(ESU)を契約しているWindows 10 2022 Update(Version 22H2)を実行している個人ユーザーであれば、自動的に適用されます。

ただし、一部メーカーの機種でトラブルが発生しているほか、BIOSのアップデートが打ち切りとなっている機種の場合、設定によっては正常起動しなくなるなどの問題が発生する可能性もあります。今回は、「セキュアブート証明書の更新がなぜ必要なのか」も含めて解説したいと思います。

そもそもなぜセキュアブート証明書の更新が必要なのか

セキュアブートは、BIOSレベルで悪意があるソフトウェアの実行を防ぐための仕組みです。OSの起動に必要なブートローダやドライバーにMicrosoftの署名が含まれていない場合、その実行をブロックしてくれます。2012年にリリースされたWindows 8ではじめてサポートされました。

今回有効期限が切れる証明書は、そのWindows 8時代から実に14年間、一切更新されることなく使い回されてきました。しかし、UEFIファームウェア(BIOS)に存在している脆弱性を悪用し、このセキュアブートをバイパスする脅威が登場してしまいました。「Windows Defender(セキュリティソフト)」や「BitLocker(ドライブ暗号化機能)」を無効化した状態で、悪意のあるソフトウェアを実行できてしまうルートキット「BlackLotus」の登場です。これに伴い、安全性を確保するため新しい証明書への更新を実施することになりました。

セキュアブート証明書が切れた状態で利用を継続するとどうなるのか

古いセキュアブート証明書は前述の通り2026年6月で有効期限が終了します。Microsoftの公式サポートは「現在使用中のOSが直ちに起動しなくなるわけではない」としていますが、注意が必要です。OSの起動に必要なファイルが「新しい証明書が組み込まれたもの」に順次置き換わるため、更新しないまま使い続けた場合、セキュアブート認証に失敗してOSが起動できなくなってしまう可能性があります。

さらに、古い証明書に含まれている脆弱性を悪用したルートキットなどのソフトウェアに感染するリスクも高くなるので、できる限り早めに新しい証明書へ更新した方が安心です。

とはいえ個人ユーザーがやるべきことは特になし。Windows Update経由で自動適用される

「証明書の更新ってどうやればいいの?」「難しい操作が必要なの?」「失敗して起動しなくなったらどうしよう……」と不安に思う方もいるかもしれません。しかし、インターネットに接続されており、Windows Updateから更新プログラムを適用できる個人の環境であれば、2026年5月以降、Microsoftが「適用しても問題ない」と判断したPCから順次更新が行われています。通常のセキュリティ更新プログラムに同梱される形で自動的に新しいセキュアブート証明書へと更新されるため、ユーザー側で特にやるべきことはありません。

自作PCや中華メーカー製PCなど、特殊な環境でもない限り、新しいセキュアブート証明書が適用されたUEFIファームウェア更新プログラムもWindows Update経由で自動適用されます。ガルマックス読者の方であれば、知らない間に対応が完了しているケースがほとんどのはずです。

▼Windows Update経由でセキュアブート証明書を更新できない場合はPowerShellコマンドで対応可能↓

Winodws Update経由でセキュアブート証明書を更新できない場合はPowerShellコマンドで対応可能

ただし、企業ユーザーなどで、更新プログラムをWindows Update経由ではなくサードパーティの配信用ソフトウェアで管理している環境の場合は、当然セキュアブート証明書も自動更新されません。この場合は手動での更新が必要となります(一般ユーザー向けの操作ではないため、当記事での詳しい解説は控えさせていただきます)。

また、BIOSでセキュアブートを無効にしている場合も証明書の更新を受け取ることができません。この状態だと、そもそもWindows 11のシステム要件を満たしていないことになり、各種アップデート自体が受け取れなくなってしまいます。もし無効にしている方がいれば、今すぐUEFI設定でセキュアブートを有効化することをお勧めします。

なお、セキュアブート証明書はUbuntuなど、一部のLinuxディストリビューションでもサードパーティ証明書が用意されています。対応しているディストリビューションであれば、Windows 10/11と同じくインターネット経由で更新を受け取ることが可能です。

▼セキュアブート証明書更新前↓

セキュアブート証明書更新前

▼セキュアブート証明書更新後↓

セキュアブート証明書更新後

自分の環境で実際にセキュアブート証明書が更新されたかどうかを確認するには、「Windows セキュリティ」アプリを開き、「デバイス セキュリティ」に用意されている「セキュア ブート」の項目をチェックするのが簡単です。

注意点等

保守サポートが継続している機種の場合、Windows Updateでのセキュアブート証明書配信と同時にUEFIファームウェア(BIOS)の更新も配信されます。

しかし、一部メーカー(富士通など)のPCや、発売から年数が経過していてメーカーによるドライバー・ファームウェアアップデートが既に終了している機種では注意が必要です。これらの機種では、UEFIファームウェア自体に組み込まれている「規定のセキュアブート証明書」が古いままになっています。

▼基本的にユーザーが明示的にリセットしない限り古い証明書に戻ってしまうことはない↓

基本的にユーザーが明示的にリセットしない限り古い証明書にも取ってしまうことはない

そのため、もしUEFIの設定画面から誤って「工場出荷時のセキュアブートキー」に復元してしまうと、新しく更新されたセキュアブート証明書が認識されなくなってしまいます。結果として、セキュアブートを一時的に無効化しないとOSが正常起動しなくなるトラブルに繋がる恐れがあります。

基本的には、セキュアブート証明書を工場出荷時の設定に戻すような作業を日常的に行うことはありません。また、UEFIファームウェアの設定自体を工場出荷時にリセットしたとしても、ユーザーが「セキュアブート証明書のリセット操作」を明示的に行わない限り、証明書自体は新しいものに置き換わった状態が維持されます。

ですので過度に心配する必要はありませんが、UEFIファームウェアの更新がすでに提供されていない古いPCを愛用している方は、誤って証明書をリセットしてしまわないようにだけ頭の片隅に入れておいてください。

また、DellとHPが販売している一部のPCにおいて、起動に必要なファイルを格納しているUEFIパーティションの空き容量が少ないことが原因でトラブルが報告されています。セキュアブート証明書の更新が含まれている6月配信のセキュリティ更新プログラム「KB5094126」を適用後、セキュアブートをUEFIファームウェアの設定画面から一時的に無効化しないと正常起動しなくなってしまう不具合が発生しています。該当する機種をお使いの方は、無理に更新を急がず、メーカーの公式な対応を待った方が安全です。

【公式】Windows セキュリティ アプリのセキュア ブート証明書の更新状態 ‐ microsoft.com

Copyright © ガルマックス All Rights Reserved.

ページトップへ