上記の問題発生を知らせるネット情報

米Microsoftは4月2日(現地時間、以下同)、「Windows セキュリティ」アプリに「セキュア ブート」証明書の更新状況を示すバッジを導入すると発表した。
注意を要する場合、2026年5月からシステムアラートなどでも通知されるようになる。

 「セキュア ブート」(Secure Boot)は、デバイスを起動するブートプロセスで読み込まれるソフトウェア(UEFIドライバーなど)が正しいものかどうかをチェックし、マルウェアが混入しないようにする仕組み。その検証プロセスにはデジタル証明書が用いられるが、2011年に発行されたものは2026年6月以降、順次期限切れを迎える見込みだ。期限切れにより「セキュア ブート」証明書が失効してしまうと、デバイスが起動不能になってしまうおそれがある。

「セキュア ブート」証明書の状態を表示するアップデートが「Windows セキュリティ」アプリに導入されるとのこと。これまで[デバイス セキュリティ]ページにある[セキュア ブート]セクションでは「セキュア ブート」が有効になっているかどうかしか確認できなかったが、
今後は証明書の状態がバッジやメッセージで示されるとのこと。バッジが黄色や赤色の場合は、注意が必要だ。

Geminiさん、この問題、解説して。対策は?

また企業のPCは問題あると、なぜ?

Windows 11の「Windows セキュリティ」アプリに導入されたこのアップデートは、一見地味ですが、PCの起動プロセスを守るための非常に重要な変更です。

これまでは「セキュアブートがオンかオフか」という単純なスイッチしか見えていませんでしたが、
今後は「その鍵(証明書)は最新で安全か」まで可視化されるようになります。

1. なぜこのアップデートが必要なのか(背景)

セキュアブートは、PCの起動時にデジタル署名を検証し、OSが立ち上がる前にウイルス(ルートキットなど)が入り込むのを防ぐ仕組みです。この検証には「証明書(データベース)」が使われます。

問題の核心:DBX(ブラックリスト)の更新

近年、これまで「安全」とされていた署名に脆弱性が見つかり、悪用されるケースが増えています(BlackLotusなど)。これに対抗するため、Microsoftは「DBX(不許可リスト)」を更新して、古い脆弱な署名を無効化する必要があります。

  • これまでの課題: DBXの更新はWindows Updateを通じて行われますが、失敗してもユーザーには気づきにくく、設定画面では「セキュアブート:有効」としか表示されないため、脆弱なまま放置されるリスクがありました。
  • 今回の変更: 証明書の状態が古い、または取り消された署名が含まれている場合に「黄色」や「赤色」のバッジを表示することで、ユーザーに更新を促します。

2. バッジが黄色や赤色の場合の対策

もし「Windows セキュリティ」で警告が出た場合、以下の手順で対応します。

  1. Windows Updateを手動で実行: ほとんどの場合、最新の「セキュアブートの不許可リストの更新 (KB5025885など)」を適用することで解決します。
  2. UEFI/BIOSのアップデート: PCメーカー(HP, Dell, Lenovo, 自作マザーボード等)から提供される最新のファームウェアを適用してください。証明書そのものの更新が含まれている場合があります。
  3. 手動更新(上級者向け): 特定の脆弱性対策では、レジストリ操作や複数回の再起動が必要な「段階的なロールアウト」が行われている場合があります。Microsoftの公式ドキュメントに従い、ポリシーを適用する必要があります。

3. 企業PCにおいてなぜ大きな問題になるのか

個人PC以上に、企業環境ではこの「証明書の状態」がクリティカルな問題に発展します。

① 管理台数と更新失敗のリスク

数千台規模のPCを管理している場合、一部の端末でDBXの更新が失敗していても把握が困難でした。今回のアップデートで「セキュリティスコア」として可視化されるため、管理者は対応を迫られます。

② 起動不能(BSoD)への恐怖

セキュアブートの証明書やブラックリストを更新するということは、「昨日まで起動できていたリカバリメディアや古いOSインストーラーが突然起動しなくなる」ことを意味します。

  • 古いバックアップツールから復元しようとしたら、署名が無効化されていて起動できない。
  • 社内で標準利用している古いUSBブートメディアが使えなくなる。 このような事態を避けるため、IT部門は慎重な検証(テスト)が必要です。

③ 攻撃者の狙い目

企業秘密を狙う高度な攻撃(APT攻撃)は、OSが起動する前の段階で潜伏しようとします。セキュアブートが「有効」に見えても、証明書が古く脆弱性が放置されていれば、攻撃者にとっては「鍵が開いている」も同然です。

まとめ

今回のアップデートは、「鍵がかかっているか」だけでなく「その鍵が物理的に破られない新しいものか」をチェックできるようにするものです。

警告が出た場合は、まずWindows Updateを最新にすること、そして社内のリカバリメディアが最新の署名に対応しているか確認することが、最も現実的かつ重要な対策となります。

証明書が有効なものかどうか、どうやって調べられる?

Windowsが「セキュア ブート」で使用している証明書(署名)が最新で安全なものかどうか、手動で詳細に確認する方法はいくつかあります。

「Windows セキュリティ」アプリにバッジ機能が導入されれば一目でわかりますが、現時点で詳細なステータスを知りたい場合は、以下の手段が有効です。

1. PowerShell で署名の状態を確認する

Windowsの標準機能であるPowerShellを使うと、セキュアブートが正しく機能しているか、信頼された証明書(変数の状態)にアクセスできているかを確認できます。

確認手順:

  1. スタートメニューを右クリックし、「ターミナル(管理者)」または「PowerShell(管理者)」を開きます。
  2. 以下のコマンドを入力して実行します。

    PowerShell

    Confirm-SecureBootUEFI
    • True と表示されれば、セキュアブートは有効で、UEFIとの通信も正常です。
    • False の場合は無効、または正しく認識されていません。

さらに詳細な「不許可リスト(DBX)」の適用状況を確認するには、イベントビューアーを併用するのが一般的です。

2. イベントビューアーで「DBX更新」の成否を見る

Microsoftが配信している脆弱な証明書のブラックリスト(DBX)が正しく適用されたかどうかは、システムのログに記録されます。

  1. Win + R キーを押し、 eventvwr.msc と入力して実行します。
  2. [Windows ログ] > [システム] を開きます。
  3. 右側の「現在のログをフィルター」をクリックし、イベントソース「TPM-WMI」 または イベントID「1796」 で検索します。
    • イベントID 1796: 「セキュア ブート変数の更新に成功しました」という内容であれば、最新の証明書リストが正しく適用されています。
    • もしエラーが出ている場合は、証明書の更新が何らかの理由(ディスク容量不足やファームウェアの制限)で失敗している可能性があります。

3. MSInfo32(システム情報)で確認する

最も簡単な視覚的確認方法です。

  1. Win + R キーを押し、 msinfo32 と入力して実行します。
  2. [システムの要約] の中にある以下の項目を確認します。
    • BIOS モード: 「UEFI」である必要があります。
    • セキュア ブートの状態: 「有効」になっていれば、証明書による検証が走っています。
    • PCR7 構成: 「バインド可能」または「表示するのに十分な権限がありません(正常)」となっているか確認します。
      私のPC(Win11)では、 「表示するためには昇格が必要です」になっていました。

4. 企業の管理者が「一括で」調べる方法

企業のIT管理者の場合、1台ずつ確認するのは現実的ではないため、以下のツールを使用します。

  • Microsoft Intune / 構成マネージャー: デバイスの「バイナリ整合性」や「セキュアブート設定」をレポートとして抽出できます。証明書が古い端末を「非準拠」としてマークし、社内リソースへのアクセスを制限する運用が可能です。
  • 脆弱性スキャナ: 「BlackLotus」などの脆弱性をチェックする専用のスクリプト(MicrosoftがGitHubで公開している YourPrivilegedScript.ps1 など)を実行し、DBXが最新版(2023年以降の主要な更新)になっているかを一括判定します。

注意点:証明書の「期限」について

セキュアブートの証明書は、通常のWebサイトのSSL証明書のように「1年で切れる」といった性質のものではなく、基本的には「脆弱性が見つかってブラックリスト入りするかどうか」が重要です。

今後導入される「Windows セキュリティ」のバッジが黄色や赤色になった場合は、単に「古い」のではなく「今の状態では防げない攻撃手法が公表されている」という警告ですので、速やかにWindows Updateを適用するようにしてください。

セキュアブートの証明書やブラックリストを更新するということは、「昨日まで起動できていたリカバリメディアや古いOSインストーラーが突然起動しなくなる」ことを意味します。

これは、どういうこと?

更新したら、古いバックアップが使えなくなるの?

Gemini:

この「起動しなくなる」という現象は、セキュリティを強化する代償として起こる「副作用」のようなものです。結論から言うと、「古いメディア(USBメモリやDVD)からPCを立ち上げること」ができなくなりますが、「保存されているデータ」そのものが消えるわけではありません。

少し詳しく、噛み砕いて解説します。

1. 「起動しなくなる」の正体

セキュアブートは、PCが起動する際に「このプログラムは信頼できる署名があるか?」をチェックします。

  • 更新前: 古いOSやバックアップソフトには、当時の「正しい署名」があります。PCは「あ、知ってる署名だ。起動してよし!」と判断します。
  • 更新後: その署名に脆弱性が見つかり、Microsoftが「この署名はもう信用しない(ブラックリスト入り)」とPCに教えます。すると、同じメディアを使ってもPCは「このプログラムの署名は無効化されている!危険だから起動させない!」とブロックしてしまいます。

結果として、画面に「Secure Boot Violation」といったエラーが出て、バックアップソフトのメニュー画面すら開けなくなります。

2. 古いバックアップデータ(ファイル)はどうなる?

ここが重要なポイントですが、「バックアップしたデータ」自体が壊れたり使えなくなったりするわけではありません。

  • 使えなくなるもの: 古いバックアップソフトで作った「起動用USBメモリ」や「リカバリ用ディスク」。
  • 使えるもの: 外付けHDDなどに保存されている「写真、書類、システムイメージ」などのデータ。

【対策】 もしPCが故障してバックアップから復元したい場合、「最新の署名に対応した新しい起動用メディア」を別途作成すれば、そこから起動して、古いバックアップデータを読み込ませることができます。

3. 具体的に何が危ないのか(注意点)

最も困るシナリオは、「メーカー製の古いリカバリディスク(DVD)」しか復旧手段がない場合です。

  • PCを工場出荷状態に戻そうとして、購入時に付いてきたDVDをドライブに入れても、セキュアブートに拒絶されて起動できません。
  • この場合、一時的にBIOS(UEFI)設定で「セキュアブートを一時OFF」にするという回避策が必要になります(ただし、復旧後は必ずONに戻す必要があります)。

4. 企業のPCでなぜ大きな問題になるのか

個人のPC1台なら「BIOS設定を変えて凌ぐ」ことができますが、企業ではそうはいきません。

  • 一斉に復旧できなくなる: 数百台のPCがOSアップデート後に起動トラブルに見舞われた際、用意していた「標準の復旧用USB」が全台で使えないと判明したら、システム担当者はパニックになります。
  • 物理的な作業コスト: リモートで直せず、1台ずつBIOS設定をいじって回る作業は膨大な時間と人件費がかかります。
  • セキュリティポリシー: そもそもBIOS設定の変更を禁止している企業も多く、復旧手順そのものが破綻する恐れがあります。

私たちがすべき対策

「証明書の状態」が警告(黄色や赤)になったからといって、慌てて更新を止める必要はありませんが、以下の準備をしておくと安心です。

  1. バックアップソフトを最新版にする: 使っているバックアップツールの開発元が「最新のセキュアブートに対応した」と発表しているか確認してください。
  2. 「起動用メディア」を新しく作り直す: Windows Updateで証明書が更新された後に、バックアップソフトから「レスキューメディア(起動用USB)」を新しく作成してください。これで最新の署名が書き込まれ、次回のトラブル時もスムーズに起動できるようになります。

「古い鍵を無効にして、新しい鍵を作り直す」という作業を、メディアに対しても行う必要がある、とイメージしておけば間違いありません。

 

UEFI/BIOSとは?

UEFIBIOSは、パソコンの電源を入れた直後に、WindowsなどのOSが立ち上がるよりも前に真っ先に動き出す「制御プログラム」のことです。

これらがないと、パソコンはキーボードやハードディスク(SSD)の動かし方がわからず、OSを起動することすらできません。

1. BIOS(バイオス)とは?

Basic Input/Output System の略で、1970年代から使われてきた伝統的なプログラムです。

  • 役割: マザーボード上のチップに書き込まれており、CPUやメモリのチェックを行い、OSを保存してあるディスクを探して起動を引き継ぎます。
  • 見た目: 青い画面に白い文字のような、キーボード操作のみの素朴な画面が特徴です。
  • 限界: 2.2TB以上の大きなハードディスクからOSを起動できない、起動が遅いといった古い規格ゆえの制限がありました。

2. UEFI(ユーイーエフアイ)とは?

Unified Extensible Firmware Interface の略で、BIOSに代わる「次世代の規格」です。現在のWindows 10/11を搭載したPCは、ほぼすべてこのUEFIを採用しています。

  • 進化点:
    • 大容量対応: 2.2TBを超えるディスクからも起動可能。
    • 操作性: マウスが使え、グラフィカルな画面で設定ができる。
    • 高速化: 起動時間が大幅に短縮(ファストブート)。
    • 高セキュリティ: 今回の話題である「セキュアブート」はこのUEFIの機能の一つです。

3. なぜ「UEFI/BIOS」と並べて書かれるのか?

厳密には別物ですが、多くの人が長年の習慣で、設定画面のことをまとめて「BIOS設定」と呼ぶことが多いためです。
現在では「中身はUEFIだけど、呼び方はBIOS」という状態になっています。

パソコン起動の流れ

  1. 電源ON
  2. UEFI/BIOSが起動: ハードウェア(メモリやCPU)に異常がないか点検。
  3. セキュアブート(UEFI限定): 起動しようとしているOSがウイルスなどに改ざんされていないか「証明書」でチェック。
  4. OS起動: Windowsが立ち上がる。

4. なぜ今回、証明書の更新が話題なのか?

UEFIはOSよりも先に動くため、ここにウイルス(ルートキット)が入り込むと、Windows上のウイルス対策ソフトでは検知・駆除ができません。

そのため、UEFIレベルで「信頼できる署名(証明書)がないものは絶対に動かさない」という鉄壁の守りが必要になります。今回のアップデートは、その守りの要である「信頼リスト」を最新に保ちましょうという話なのです。

企業では、この「OSより下の階層」の安全性を保つことが、高度なサイバー攻撃を防ぐための最優先事項の一つとなっています。