Windows セキュリティサポートは2026年6月に終了します |Malwarebytes

Windows を通じて、サポート対象Windows 全体でセキュアブート証明書の更新が順次提供されています。2026年6月、Windows に組み込まれてきたセキュアブート証明書の有効期限が切れ始めるため、マイクロソフトはこれらを2023年発行の新しい証明書に置き換えています。

良いニュース：PCを常に最新の状態に保っていれば、おそらく何もする必要はありません。悪いニュース：一部の古いデバイスでは、スムーズに移行できない可能性があります。PCが突然動かなくなるわけではありませんが、時間の経過とともに、気づかないうちに重要な起動時のセキュリティ保護機能が適用されなくなる恐れがあります。

現在の状況、その重要性、そしてお使いのマシンが期限内に間に合っているかを確認する方法についてご説明します。

セキュアブートとは何ですか？また、何が期限切れになるのでしょうか？

セキュアブートは、2012年頃から販売されているほぼすべてのPCに組み込まれているUEFIファームウェアの機能です。Windows 読み込みが始まる前に実行され、ブートローダーや初期ブートコンポーネントが信頼できる発行元によって署名されていることを確認する役割を担っています。もし、信頼リストにないもの（例えばブートキットなど）がブートチェーンに侵入しようとしたWindows 、セキュアブートはその実行を拒否します。

ここで重要なのが「信頼できる当事者」という部分です。信頼関係は、マザーボードのファームウェアに組み込まれた暗号証明書を通じて確立されます。現在の証明書は2011年に発行されたもので、まもなく有効期限が切れることになります。具体的には以下の3つの証明書が関係しています：

マイクロソフト社 KEK CA 2011：有効期限 2026年6月24日
Microsoft UEFI CA 2011：有効期限は2026年6月27日
MicrosoftWindows PCA 2011：有効期限は2026年10月19日

マイクロソフトは、これらを「Windows CA 2023」や「Microsoft Corporation KEK 2K CA 2023」を含む、2023年発行の証明書セットに置き換える予定です。2026年3月のAMAセッションでマイクロソフトのエンジニアが述べたところによると、新しい証明書の有効期限は2038年までとなっており、将来のハードウェア向けに、2030年頃を目処に量子耐性暗号への移行が別途計画されています。

「パソコンが使えなくなってしまうのでしょうか？」

いいえ。これが最も重要なポイントです。なぜなら、事実よりも噂の方が大きく広まっているからです。

期限が到来しても、PCが2011年の証明書で動作し続けている場合、Windows 、Windows 機能し、PCは通常通り動作し続けます。

変更点は、マイクロソフト自身の説明によれば、このデバイスが、Windows マネージャー、セキュアブートデータベース、失効リストの更新、および新たに発見されたブートレベルの脆弱性に対する対策など、初期ブートプロセスに関する「新たなセキュリティ保護機能を受け取れなくなる」という点です。

簡単に言えば、PCのセキュリティ対策は時間が経つにつれて難しくなります。現在の既知の起動時脅威に対しては保護されていますが、来月や来年発見される脅威に対しては必ずしも保護されているとは限りません。

これは問題です。なぜなら、ブートWindows ウイルスWindows 背後で動作するからです。ブートキットは他の何よりも先に実行され、通常ならそれらを検知するはずのセキュリティツールを無効にしてしまう可能性があるからです。

BlackLotusの問題

ブートレベルのセキュリティがなぜ重要なのか、具体的な例を知りたいなら、BlackLotusを見てみてください。

BlackLotusは、2022年にハッキングフォーラムで登場し、2023年初頭に研究者らによって実環境での活動が確認されたUEFIブートキットである。これは「Baton Drop」の通称で知られるCVE-2022-21894の脆弱性を悪用し、すべてのパッチがWindows セキュアブートを回避していた。一度インストールされると、Windows 起動する前に、BitLocker、Hypervisor-Protected Code Integrity（HVCI）、およびMicrosoft Defenderを無効化することができました。

マイクロソフトはCVE-2023-24932の根本的な脆弱性に対処しましたが、脆弱性のあるブートマネージャーを安全に修正することは複雑です。誤ったブートコンポーネントの無効化を行うと、システムが起動しなくなる恐れがあるため、マイクロソフトは数年にわたり段階的に保護機能を提供してきました。

2026年の証明書更新は、予定されていたライフサイクル上のイベント（2011年の証明書はいずれ期限切れになる予定だった）ですが、同時に、脆弱なブートマネージャーやBlackLotusのような攻撃に対応してマイクロソフトが進めてきた、セキュアブートの強化策を推進する契機ともなっています。

新しいトラストアンカーが導入されたことで、マイクロソフトは2023年に署名された新しいブートコンポーネントの提供を継続し、新たな脅威が出現した際には脆弱性のあるコンポーネントを安全に無効化できるようになります。移行を行わないデバイスは、将来的にこれらの保護機能を利用できなくなる可能性があります。

導入の流れ

マイクロソフトは、システムの不具合を防ぐため、段階的な導入を実施しています。

Windows スケジュールされたWindows およそ12時間ごとに実行され、更新プログラムを段階的に適用します：

新しいWindows CA 2023をファームウェアの署名データベースに追加します。
2011年版のサードパーティ証明書がまだ残っている場合は、その横に「Microsoft UEFI CA 2023」および「Microsoft Option ROM UEFI CA 2023」を追加してください。
新しいMicrosoft Corporation KEK 2K CA 2023キーを追加します。
Windows マネージャーを、新しい証明書で署名されたものに更新します。この手順は、次回の自然再起動まで延期されます。

マイクロソフトのITプロフェッショナル向けガイダンスによると、このプロセス全体を完了するには約48時間と、1回以上の再起動が必要と見込まれています。各ステップは、次のステップを実行する前に正常に完了する必要があります。そのため、例えばファームウェアの更新やスケジュールされた再起動を待機している場合など、デバイスがシーケンスの途中でしばらく停止したままになることがあります。

一般の家庭ユーザーにとっては、これは通常の累積更新プログラムを通じて、バックグラウンドで静かに行われます。

2026年4Windows 以降、「Windows 」アプリでは、「デバイスのセキュリティ」の下に更新されたセキュアブートステータス情報が表示され、新しい証明書が正常に適用されたかどうかを確認できるようになります。

何が問題になるだろうか

ほとんどのシステムは問題なく移行できますが、いくつかの既知の問題点があります：

ファームウェアが古い旧式のPC。一部の旧式のUEFIファームウェアでは、新しい証明書が適切にサポートされていない場合があります。これらのシステムでは、移行を完了させるために、メーカーによるBIOSまたはファームウェアの更新が必要になる場合があります。
Windows 要件を回避したPC。非公式の回避策を用いてWindows インストールするためにセキュアブートが無効にされていた場合、新しい証明書を正しく適用することができません。
レガシーBIOS／CSMシステム。レガシーBIOS（または互換性サポートモジュールが有効になっているUEFI）を実行しているデバイスは、セキュアブートを一切使用していないため、本アップデートの対象外となります。
カスタムファームウェアや特殊な設定。セキュアブートの設定が変更された後、一部のカスタムファームウェアや特殊な設定により、BitLockerの復旧プロンプトが表示される場合があります。マイクロソフトは、BitLocker自体が無効化されるわけではないと注意を促していますが、万が一に備えて、ユーザーは復旧キーを手元に用意しておくべきです。

Windows 、テスト中にファームウェアが古い数千台のPCで更新に失敗する事例を確認したと報じている。マイクロソフト自身のガイダンスでは、ファームウェア、プラットフォーム、およびOEMによる制限が移行を妨げる可能性があるとして、より広く注意を促している。多くの場合、Windows 影響を受けるシステムに対して、黄色または赤色のステータス警告を表示する。

一般ユーザーはどのように対応すべきか

多くの人にとって、そのアドバイスは明快です：

Windows 最新の状態に保ってください。マイクロソフトは通常のWindows を通じて新しい証明書を展開しており、一般ユーザーの方々は毎月のアップデートをインストールするだけで十分です。
セキュアブートの状態（色だけでなく、表示されているテキストも）を確認してください。「Windows 」＞「デバイスのセキュリティ」＞「セキュアブート」を開きます。「セキュアブートが有効になっており、デバイスの起動時に悪意のあるソフトウェアが読み込まれるのを防いでいます」というテキストが表示された緑色のバッジがあれば、問題ありません。マイクロソフトは、緑色のチェックマークが表示されているだけでは、新しい証明書が適用されたことを確認できないと警告しています。
お使いのデバイスが古いモデルの場合は、メーカーからBIOSやファームウェアのアップデートが提供されていないか確認してください。システムによっては、セキュアブートの更新を正常に完了させるために、これらのアップデートが必要となる場合があります。これは特に、2024年以前に製造されたPCにおいて重要です。
何かを「修正」するためにセキュアブートを無効にしないでください。セキュアブートを無効にするのは、まさに間違った対応です。これは保護機能を更新するのではなく、完全に無効にしてしまうからです。一部のゲームのチート対策システムや古いアプリでは、ユーザーにこの操作を求めることがあります。
新しい「SecureBoot」フォルダについて、慌てる必要はありません。 Windows 2026年5月の累積更新プログラム（KB5089549）は、 C:\Windows\SecureBoot IT管理者向けのPowerShellスクリプトの例が含まれています。これはマルウェアではなく、想定された内容ですので、削除する必要はありません。
セキュアブートをかいくぐった脅威であっても、OSレベルで検知できる最新のリアルタイムマルウェア対策機能をご利用ください。

ITチームがすべきこと

車両管理を担当されている方へ、マイクロソフトは詳細なガイダンスを公開しており、その作業はより複雑になります。要約すると：

今すぐお使いのデバイスを確認しましょう。 全システムについて、メーカー、モデル、BIOSのバージョンと日付、ベースボード製品、およびセキュアブートの状態を取得します。Microsoftは、以下のURLでPowerShellのサンプルスクリプトを提供しています。 aka.ms/GetSecureBoot 関連するレジストリキーとイベントIDを表示するものです。
イベント ID 1801 および 1808 を確認してください。イベント ID 1808 は、新しい証明書が正常に適用されたことを示します。イベント ID 1801 は、デバイスが更新を完了していないことを意味します。
本格展開の前にテストを行ってください。マイクロソフトでは、メーカー、モデル、ファームウェアの組み合わせごとに、少なくとも4台のデバイスでテストを行うことを推奨しています。一部のシステムでは、新しい証明書を受け入れる前に、OEMによるファームウェアの更新が必要になる場合があります。
デバイスごとに1つの展開方法を選択してください。レジストリキー、グループポリシー、WinCSコマンドラインツール、またはIntune/ConfigMgrスクリプトを使用できますが、同じマシン上で複数の方法を併用しないでください。
PXEイメージングとHyper-Vに注意してください。 SCCM/MECM PXE サーバーの再署名が必要になる場合があります boot.wimまた、ファームウェアテンプレートに2023 KEKが含まれている状態で新しいVMを作成する前に、Hyper-Vホストの更新が必要になる場合があります。
更新できないデバイスを記録してください。OEMによるファームウェアのサポートが終了した旧式のハードウェアについては、期限までに交換するか、代替措置を講じた上で例外として正式に承認される必要があります。これらのデバイスは引き続き動作しますが、将来のブートレベルでの保護機能の対象外となる可能性があります。