Microsoftは、2011年から使用されてきたSecure Boot証明書が2026年6月末に失効する問題に対応するため、月例Windowsアップデートを通じて新しい証明書の配布を開始した。
Secure Bootとは
Secure Bootは、UEFIファームウェアを搭載したコンピューターにおいて、信頼されたブートローダーのみが起動できるようにする仕組みだ。システム起動時にデジタル署名をファームウェア内の証明書と照合することで、ルートキットなどの悪意あるソフトウェアの実行を防ぐ。現代のPCセキュリティにおける根幹技術の一つである。
15年以上にわたる証明書がついに失効へ
MicrosoftのWindows Servicing and Deliveryパートナーディレクターであるヌノ・コスタ氏は「15年以上にわたって稼働してきた元のSecure Boot証明書が、計画されたライフサイクルの終わりを迎え、2026年6月末から失効し始める」と説明した。
Microsoftは今年1月に証明書更新計画を発表。対象はWindows 11 24H2および25H2を搭載する対応デバイスで、Microsoftが更新を管理しているデバイスには月例アップデート経由で新証明書が自動インストールされる。また、2024年以降に製造された多くのPCや昨年出荷されたほぼ全てのPCには、すでに更新済みの証明書が含まれているという。
IT管理者が注意すべきポイント
コスタ氏は今回の更新を「Windowsエコシステム全体で最大規模の協調セキュリティメンテナンス作業の一つ」と位置づけた。多数のハードウェアメーカーおよびOEM(相手先ブランド製造業者)が関わる、数百万台規模のデバイス構成にまたがるファームウェア更新が必要となるためだ。
企業環境では特に注意が必要だ。一部のデバイスでは、新証明書を適用する前にメーカーからの個別のファームウェア更新が必要となる場合がある。Microsoftは各OEMのサポートページで最新ファームウェアバージョンを確認するよう促している。
IT管理者向けには、レジストリキー、グループポリシー設定、Windows Configuration System(WinCS)を使ったSecure Boot証明書の手動展開も可能だ。
証明書未更新の場合のリスク
6月までに証明書を更新できなかったデバイスも通常通り動作は継続するが、Microsoftが「セキュリティ低下状態」と呼ぶ状態に入る。この状態ではブートレベルの保護が「限定的」となり、新たに発見された脆弱性への対策パッチを受け取れなくなるため、新たな攻撃に対して無防備になる可能性がある。
Windows 10ユーザーは対象外
MicrosoftはすべてのユーザーにWindows 11へのアップグレードを推奨しており、すでに10億台以上のデバイスでWindows 11が稼働していると発表している。Windows 10など非サポートバージョン(Extended Security Updates加入者を除く)はWindowsアップデートを受け取れないため、新証明書も配布されない点に注意が必要だ。
日本のIT管理者にとっても、社内デバイスのOSバージョン確認とファームウェア更新の計画策定を早急に進めることが求められる。
元記事: Microsoft rolls out new Secure Boot certificates before June expiration