今月も残りわずかとなりました。
だいぶ春めいてきましたが夜はまだ冷えこみますので体調管理には十分にご注意ください。
さて今回は、パソコン関連の書き込みサイトやSNSで2026年問題などとちょっと話題となっている、
セキュアブート(Secure Boot)の電子証明書が2026年6月で期限切れとなる問題についてご説明したいと思います。
今年、2026年6月更新されてないセキュアブート証明書が期限切れとなります。
名前がセキュア“ブート”となっており「期限が切れたらPCが起動できなくなるのではないか?」また、
“セキュア”という語句も入っているので「期限が切れたらウィルスに感染するのではないか?」などといった心配を持つ方も多く、SNSなどネット上で話題に上がったようです。
実際、当店にもセキュアブートの期限切れについて、パソコントラブル対応や対策についてのご質問が何件か寄せられております。
では、実際のところセキュアブート(Secure Boot)とはなにか?
セキュアブートは、MicrosoftがOSのWindows 8時代に取り入れたセキュリティ機能の一つとなります。
これは「PC起動時に悪意のあるプログラムが差し込まれていないのか?」をチェック・検証のひとつで、OSの起動プログラムに問題が無いことを許可する「証明書」を内部的に発行するシステムです。
ざっくりいえば、ハードウェア側に許可証明書のデータベースを保持させておき、許可された証明書を持つブートローダーだけの起動を許可させるものとなります。
現実生活にたとえるのであれば、人(ブートローダー)が正しい鍵(証明書)を持っていない限り、ドア(PC)を解錠できず入ることができないということになります。
次にセキュアブート証明書の有効期限切れの問題とはなにか?
セキュアブートは、具体的にはハードウェア側が持つ証明書のデータベースは3つあり、2026年の
6月と10月にそれぞれ有効期限切れを迎えます。
1、KEK(キー登録キーデータベース):
(ハードウェア側にあり、更新前に保存されているMicrosoft Corporation KEK CA 2011が2026年6月に有効期限切れ)
2、DB(セキュアブート署名データベース):
(ハードウェア側にあり、更新前に保存されているMicrosoft Windows Production PCA 2011が2026年10月に有効期限切れ)
3、DBX(セキュアブート失効署名データベース):
(ハードウェア側にある、失効した署名を持つブートマネージャーを起動させないためのデータベースを保存する領域)
※ 実際のところは、2026年10月に有効期限を迎えるDB(Microsoft Windows Production PCA 2011)は有効期限切れになっても、すぐに起動できなくなるわけではなく、ブートマネージャーが旧署名のままであれば、旧DBで起動が許可されます。
問題となるのは、ブートマネージャーが順次Windows Updateによって新しい「Windows UEFI CA 2023」という証明書に切り替わった場合で、DBにある旧署名の許可とは整合性が取れないため、起動不能に陥るケースです。
ただ、この問題については運用しているソフトウェアやシステム環境の理由により、意図的にセキュアブートの証明書をリセットしない限り発生しないということです。
もう1つの問題となるパターンが、DBXにMicrosoft Windows Production PCA 2011が登録された場合です、つまり証明書が失効と認識され、起動を拒否されるケースがあります。
いずれにしても、新しいブートマネージャーの署名に対応するため、DBに登録されているMicrosoft Windows Production PCA 2011をWindows UEFI CA 2023に差し替える必要が生じるわけなのですが、簡単にDBをポンポン差し替えられるようではセキュリティ的な意味をなさないことになります。
そこで、DBやDBXの更新を“監督”する意味合いでKEK(キー登録キーデータベース)が登場します。
KEK(キー登録キーデータベース)はセキュリティーの整合性を取って初めて、DBとDBXの更新を許可します。
しかしながら、このKEKで現在使われている「Microsoft Corporation KEK CA 2011」が2026年6月で有効期限切れとなります。
KEKの証明書の有効期限切れ後も、PCの起動には影響しませんが、それ以降DBやDBXの更新ができなくなってしまう事態となります。
更新ができない状況となれば、当然ブートマネージャーのセキュリティリスクが非常に高まってしまうことになります。
証明書どおしの整合性の関係図
ここまで読み進めて「なんだかよく分からない、面倒くさそう」と思っている方もいらっしゃるかもしれませんが、しかし基本的に「Windows Updateをちゃんと適用していれば大丈夫」だと思っていただければ良いと思います。
KEK/DB/DBXといった署名データベースの更新や、ブートマネージャーの署名の更新は、Windows Updateを介して自動的に行なわれますので、Windowsアップデートを常に最新にして使用している場合はセキュアブート問題については回避できます。
この問題に対して影響を受けるケースというのは、パソコンに搭載しているOSがサポート切れ等の理由でWindowsアップデートが不能な場合や、インターネットに接続せずスタンドアローンで使用しているパソコンなどが想定されます。
サポート切れOS搭載PCやWindowsアップデートを行ってないパソコンは要注意です!
ご使用のパソコンのセキュアブートの対応確認やパソコントラブルなどについて当店サポートカウンターまでご相談ください。
