セキュアブート証明書の期限が、2026 年 6 月にくる、ということで気になったことのある人は多いのではないでしょうか。
https://techcommunity.microsoft.com/blog/windows-itpro-blog/act-now-secure-boot-certificates-expire-in-june-2026/4426856
この記事では、いくつか証明書が登場して、「これが何をしている」とか説明されるんですが、これだけでは少しわかりにくい気がします。
そこで今回は、セキュアブート証明書について書きます。
ざっくりとセキュアブート
セキュアブートとは、ブートプロセスにおいて、信頼できるソフト、ファームウェアのみを起動させるための仕組みであり、UEFI で仕様が決められています(Microsoft が Windows のために決めてるとか、Apple が Mac のために決めてるのではない)。
ウイルス対策ソフトは OS 上で稼働するため、OS が起動する前の段階を攻撃対象とするマルウェアから保護することが原理上不可能です。ブート中のよちよち歩きしている無垢なマシンを狙うようなマルウェアへの対策がセキュアブートというわけです。
Windows 11 ではセキュアブート有効が要件となっています。2025 年 10 月にサポート終了した Windows 10 からアップグレードしたときに知った、という人が多いと思われます。ちなみに初めて対応となった Windows はWindows 8 です。
Windows のブートプロセス
ここのページにブートプロセスが説明されています。
ざっくりというと下のような感じ。
- プレブート:PC の UEFI ファームウェアが自分をテストしたのち、Windows Boot Manager を起動
- Windows Boot Manager が、Windows ローダー(Winload.exe)を検索して起動
- Windows OS ローダー:Windows カーネルを起動するために必要となる重要なドライバーを読み込み、カーネルが起動
- Windows NT OS カーネル:カーネルが、システムレジストリハイブとBOOT_START という集まりのドライバーをメモリに読み込む
Windows Boot Manager は、今回のセキュアブート証明書について重要なので覚えておいてください。
登場人物と順番だけで言うとこんな感じです。
ハード -> ファーム -> Windows Boot Manager -> OS ローダー -> カーネル
セキュアブート証明書
冒頭で説明した、「信頼できるソフトウェア、ファームウェア」という部分にとって重要なのは言うまでもなく証明書です。セキュアブートもTLS と同じく PKI を利用して信頼性を担保しています。
簡単に言うと、「疑わしいソフトウェアが持っている署名に、自分が持っている(信頼できる)証明書による署名が見つかったらそのソフトウェアを信頼することにする」という仕組みです。
そもそも期限が切れるとどうなる
Microsoft は Windows Update を配布しています。その中には Windows Boot Manager の修正や、起動してはいけないマルウェアの情報も入っています。もちろん Microsoft は信頼できるブートマネージャーを配布していますが、古い PC だと最新のブートマネージャーの署名に関する証明書がインストールされていません。その結果ブートマネージャーを更新できません。たとえると、頑固な年寄りが新しい優秀なマネージャーを拒否してしまうようなことが起きます。
期限が切れた時の詳しい挙動については、私は確かめていないのでわかりません
セキュアブート証明書チェーン
一番上の記事で出てくる証明書はこれら 3 つです。
| 期限 | 切れる証明書 | 新しい証明書 | 役割 | 保存場所 |
|---|---|---|---|---|
| 2026年 6 月 | Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2K CA 2023 | Signs updates to DB and DBX | KEK |
| 2026年 6 月 | a) Microsoft Corporation UEFI CA 2023 b) Microsoft Option ROM UEFI CA2023 |
a) Microsoft Corporation UEFI CA 2023 b) Microsoft Option ROM UEFI CA 2023 |
a) Signs third-party OS and hardware driver components b) Signs third-party option ROMs |
DB |
| 2026年 10 月 | Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 | Signs Windows bootloader and boot components | DB |
セキュアブートを理解するうえで重要なのは右カラムにある KEK, DB です。
セキュアブート証明書チェーンの頂点は PK (Platform Key) で、その下にKEK (Key Exchange Key), DB と続きます。
証明書チェーンの頂点が偽造されては基盤が脅かされてしまいます。そのためPK については、Microsoft が信頼した製造業者が持っており、製造時に UEFI にインストールしています。2026 年 6 月に切れる証明書に PK は入ってません。
DB と DBX は、それぞれブートマネージャー(とドライバ)を信頼していいのか悪いのかを記したリストです。DBX は拒否すべきリストです。
KEK はDB や DBX を検証し、PK によって検証されます。
PK: 製造時にインストールされる、証明書チェーンの頂点
KEK: DB, DBX を検証
DB, DBX: 新しいブートマネージャーが良いか悪いか判断する
証明書の更新とは
「セキュアブート証明書期限切れに対応しろ」を具体的にすると、
「DB と DBX を更新して、信頼すべきブートマネージャーと拒否すべきブートマネージャーを登録できるようにする」となります。
(2026 年の更新について言うと)そのためには KEK を更新してDB と DBX の更新を検証できる状態にし、そのうえで最新の DB と DBX をインストールすればよさそうです。
この記事の"How updates are deployed" の項に、更新の仕方が書かれています。
The Windows UEFI CA 2023 is applied to the DB.
If the device has the Microsoft Corporation UEFI CA 2011 in the DB, then the task applies the Microsoft Option ROM UEFI CA 2023 and the Microsoft UEFI CA 2023 to the DB.
The task then adds the Microsoft Corporation KEK 2K CA 2023.
Finally, the scheduled task updates the Windows boot manager to the one signed by the Windows UEFI CA 2023. Windows will detect that a restart is needed before the boot manager can be applied. The boot manager update will be delayed until the restart occurs naturally (such as when monthly updates are applied), and then Windows will again attempt to apply the boot manager update.
工程 2 は Windows 専用 PC だと必要なさそうです。
- Windows UEFI CA 2023 が DB に登録される
- Microsoft Corporation KEK 2K CA 2023 が登録される。これで1. で行った DB の更新が有効になる
-
- の更新が有効になったので、新しい証明書である Windows UEFI CA 2023 で署名された Windows Boot Manager が許可され、アップデートが可能になる
具体的な方法は隣の記事 に書いてありました。レジストリをいじるので慎重に行う必要がありそうです。
セキュアブートの仕組み、証明書とのかかわりを理解し、証明書更新対応に役立ててもらえれば幸いです。
ありがとうございました。