特集

PCが起動不能になる?6月に期限切れを迎えるセキュアブート証明書問題とは

  • 劉 尭

2026年2月18日 06:07

ブートマネージャーの署名が新しく、DBが古い場合不整合により起動できなくなる(出典: Dynabook)

 このところSNSなどでちょっと話題となっているのが、2026年6月に期限を迎えるセキュアブート(Secure Boot)の電子証明書の問題だ。いかんせん名前がセキュア“ブート”となっているため、「期限が切れたらPCが起動できなくなるのではないか?」といった心配もあるかもしれない。

 このたびDynabookが2月17日に公開したドキュメントが大変よくまとまっていたので、これをベースに「何がどうなっているのか」「ユーザーはどうすればよいのか」などを紹介したい。

 ちなみに、メーカー製PCではWindows 11 25H2および24H2の比較的新しいプリインストールモデルでは既に対策済みであり、この問題には該当しない。

そもそもセキュアブートの役割とは

 セキュアブートは、MicrosoftがWindows 8時代に取り入れたセキュリティ機能の1つ。これは「PC起動時に悪意のあるプログラムが差し込まれていないのか?」をチェック/検証するものだ。

 その際に使われるのが「証明書」という仕組みだ。ざっくりいえば、ハードウェア側に許可証明書のデータベースを保持させておき、許可された証明書を持つブートローダーだけの起動を許可させるものである。

 現実生活にたとえるのであれば、人(ブートローダー)が正しい鍵を持っていない限り、ドア(PC)を解錠できず入ることができないようなものである。

証明書同士の整合性チェックによる起動(出典: Dynabook)

セキュアブート証明書の有効期限切れの問題とは?

 セキュアブートでは、具体的にはハードウェア側が持つ3つの証明書のデータベースが関わっている。

  • KEK(キー登録キーデータベース):
    ハードウェア側にあり、更新前に保存されているMicrosoft Corporation KEK CA 2011が2026年6月に有効期限切れとなる
  • DB(セキュアブート署名データベース):
    ハードウェア側にあり、更新前に保存されているMicrosoft Windows Production PCA 2011が2026年10月に有効期限切れとなる
  • DBX(セキュアブート失効署名データベース):
    ハードウェア側にあり、失効した署名を持つブートマネージャーを起動させないためのデータベースを保存する領域

 実のところ、2026年10月に有効期限を迎えるDB(Microsoft Windows Production PCA 2011)は有効期限切れになっても、すぐに起動できなくなるわけではない。ブートマネージャーが旧署名のままであれば、旧DBで起動が許可されるからだ。

 問題となるのは、ブートマネージャーが順次Windows Updateによって新しい「Windows UEFI CA 2023」という証明書に切り替わった場合。この際に、DBにある旧署名の許可とは整合性が取れず、起動不能になる。この問題は意図的にセキュアブートの証明書をリセットしない限り発生しないという。

 ……ただし、たとえば旧署名のブートマネージャーに脆弱性があり、Windows Updateなどによって更新された場合、当然新しい署名になる。この際起動できなくなる可能性は生じる。ただ「起動できない」というのは最悪なパターンであるので、実際の挙動としては、DBが古い場合はブートマネージャーを更新しない=セキュリティに脆弱な状態になる、と考えられる。

 もう1つ問題となるパターンが、DBXにMicrosoft Windows Production PCA 2011が登録された場合。つまり証明書は失効として認識され、起動を拒否されるのだ。旧証明書で署名されたブートマネージャーにはすでにセキュリティ脆弱性が存在することが発覚しているため、将来的に登録される予定だが、具体的な時期は未定となっている。

DBXに旧証明書が登録された場合、旧署名のブートマネージャーの起動が拒否される

 なお、Dynabookによれば、リカバリメディアが旧署名を使って作られている場合、DBXに旧署名が登録されてしまった後にリカバリを行なう際は特殊な手順を踏む必要があるとしている。

ここでやっと登場するKEK

 いずれにしても、新しいブートマネージャーの署名に対応するため、DBに登録されているMicrosoft Windows Production PCA 2011をWindows UEFI CA 2023に差し替える必要が生じるわけなのだが、簡単にDBをポンポン差し替えられるようではセキュリティ的な意味をなさない。

 そこで、DBやDBXの更新を“監督”するKEKの登場だ。KEKとの整合性を取って初めて、DBとDBXの更新を可能としているのである。そして、このKEKで現在使われている「Microsoft Corporation KEK CA 2011」が2026年6月で有効期限切れになるのだ。

 KEKの証明書の有効期限切れ後も、PCの起動には影響しないのだが、それ以降DBやDBXの更新ができなくなってしまう。すると当然、ブートマネージャーのセキュリティリスクが高まってしまうわけだ。

結局ユーザーは何をすべきなのか?

 ここまで読み進めて「なんだかよく分からない、面倒くさそう」と思っている方もいらっしゃるかもしれない。しかし基本的に「Windows Updateをちゃんと適用していれば大丈夫」だと思っていただきたい。KEK/DB/DBXといった署名データベースの更新や、ブートマネージャーの署名の更新は、Windows Updateを介して自動的に行なわれるからだ。

Windows Updateによって更新されたDB

 また、データベースの更新以外にも、BIOSを最新のものに維持したほうが良いのだが、メーカー製の近代的なPCはWindows Update経由でBIOS更新も行なえるので、面倒や手間に思えるかもしれないが、きちんとWindows Updateを適用していくことが重要である。

Windows UpdateによるBIOSの自動アップデート

 ちなみに「セキュアブート」をオフにすれば関係ない、というのはもっともだが、Windows 11のセキュリティ機能の多くはセキュアブートに依存しているのでかなり危険だ。また、一部プログラムもセキュアブートに依存するので困ることだろう。

 ちょっと心がけておきたいのはWindows 10のユーザーだ。Windows 10自体2025年10月にサポートが切れており、ESUを契約しない限りWindows Updateを受信できない。特に「将来的にWindows 11にする予定はあるけど今じゃない」場合、現KEKの有効期限である6月を過ぎるとDB/DBXを更新できず、いろいろ“詰む”可能性がある。猶予期間が短いため、今のうちに手を打っておきたいところだ。