2026年6月以降、「セキュアブート」証明書の失効に注意 ～Windowsを安全に起動できなくなる

同社のサポートドキュメント

　「セキュアブート」（Secure Boot）は、デバイスを起動するブートプロセスで読み込まれるソフトウェア（UEFIドライバーなど）が正しいものかどうかをチェックして、マルウェアが混入しないようにする仕組み。ブートプロセスがマルウェア――「BlackLotus」をはじめとする「ブートキット」（Bootkit）――に感染してしまうと、システム全体が乗っ取られる上、OSからの検知が難しくなる。そのため、Windowsデバイスでは基本的に必須とされている。

　ところが、セキュアブートのソフトウェア検証に用いられている証明書のなかには、2026年6月以降、期限切れを迎えるものが出てくる見込みだ。期限内に証明書の更新を完了しないと、セキュアブートでデバイスを安全に起動することができなくなる可能性がある。

　もっとも、ほとんどのユーザー環境では「Windows Update」でセキュアブート証明書が自動的に配信される。そのため、特別な操作は不要だ。証明書の更新はサポート中のOSのみが対象だが、今年10月でサポートが切れる予定の「Windows 10」も、拡張セキュリティ更新プログラム（ESU）に登録すれば問題ない。

　問題となるのは組織で管理されており、Microsoftと診断データを共有していない一部の特殊な環境で運用されている場合だ。しかし、これでもIT管理者側で「Windows UEFI CA 2023」証明書をファームウェアのDBに適用することで回避が可能。サポートドキュメント が公開されているので、それを参考にインストールメディアを作成するとよいだろう。