セキュアブート証明書が失効することの
意味と対処法
(2026年6月)

by
  • 2026年6月、Microsoftが2011年に発行したセキュアブート関連の証明書が順次失効するが、すぐにPCが起動しなくなるわけではない。
  • 対処はWindows Updateを継続することで足り、古いPCはメーカーのUEFIファームウェア更新も確認する。
  • 失効すると、ブート領域を守るDBやDBXの更新ができなくなり、将来のセキュリティ保護が届かなくなる。

こういうタイミングでもないと、「縁の下の力持ち」は、なかなかその存在に気づかされないよねー。

関連記事

1. セキュアブート証明書とWindows Update

「何かしておかないと、パソコンが2026年6月に起動しなくなるって本当?」という相談を受けました。
2026年6月から「セキュアブート証明書」などの有効期限を迎えるのですが、古いパソコンでなければ通常のWindows Updateで十分なことが多いです。

セキュアブート証明書が2026年6月に失効する ⚠ 失効するもの KEK Windowsブートローダー サードパーティEFI 2011年発行 → 旧世代 🔒 止まること DB / DBX の更新 Boot Manager修正 新保護の追加 将来の防御が届かない ✅ 影響しないこと Windows は通常起動 日常の更新も継続 今すぐ壊れない 緊急対応は不要 対処法 Windows Update を継続する + PCメーカーのUEFIファームウェア更新を確認

まず、古い証明書に直接関係あるのは、2023年以前に製造されたパソコンです。
というのも、新しいパソコンでは、後継となる2023年系の証明書への移行が進んでいます。

2026年6月から、Microsoftが2011年に発行したセキュアブート関連の証明書が、順次有効期限を迎えます1
多くの個人向けのWindows PCでは、Windows Updateを通じて自動的に新しい証明書を受け取る手筈になっています。
ただ、一部の機器ではPCメーカー提供のファームウェア更新が別途必要になることが考えられます2

1.1. 「起動しなくなる」わけではない

2026年6月から10月にかけて段階的に期限切れを迎えるのは、セキュアブート証明書だけではありません。
KEK(Key Exchange Key)、Windowsブートローダー用証明書、サードパーティEFI用証明書など複数あります。

Microsoftの公式案内では、これらの有効期限が切れたとしても、すぐに起動不能になるわけではないようです。
WindowsはOS自体は通常どおり起動し、通常のWindows Updateも継続します。

では、何が切れるのか。

それは、ブート領域の保護に関する将来の更新です。
具体的には、Boot Managerの脆弱性対策、Secure BootのDBとDBXの更新、新しいブートチェーンの保護が今後適用できなくなります。

つまり、「今日この瞬間に壊れる」話ではなく、「起動を守る仕組みが今後更新されなくなる」という話です3

2. セキュアブートとセキュアブート証明書

「セキュアブート(Secure Boot)」とは、「安全に起動する」という意味です。

セキュアブートとは 電源オン PC起動 UEFI HW初期化 セキュアブート 署名チェック ✓ 信頼済みのみ通過 Windows OS起動 ⚠ ブートキット・ルートキット OSより先にメモリへ侵入 → OS側からは検出不能 再インストールでも除去できない 🛡 セキュアブートの役割 ブートローダーの署名を検証 信頼済み署名なければ起動停止 OS起動前の段階を守る 
電源オン → UEFI 
→ セキュアブート (常駐しようとするマルウェアをチェック)
→ ブートローダー → Windows

PCの電源を入れたとき、Windowsが動き出すより前にUEFIというファームウェアが起動しています。
UEFIは「Unified Extensible Firmware Interface」の略で、ハードウェアを初期化し、次にブートローダーを呼び出してOSへ制御を渡す役割を担います。
Windowsが出てくるまでの、いわば「前座」のようなシステムです。

セキュアブートは、この「UEFIがブートローダーを呼び出す瞬間」に割り込む処理です。
その仕事は、ブートローダーやEFIアプリケーションの電子署名を確認すること。
もし、信頼済みの署名がなければ起動を止めます。

これは、ブートキットやルートキットと呼ばれるマルウェアを防ぐための仕組みです。
これらのマルウェアは、インストールされると、OSより先にメモリに入り込むことで検出を免れようとするからです4

セキュアブート証明書は「この起動コードをハードウェアレベルで通してよいか」を判断します。

2.1. セキュアブート証明書の階層

セキュアブートは1枚の証明書ではなく、役割の異なる鍵と証明書が階層を成しています。

証明書の階層構造 PK — Platform Key 最上位の信頼起点 / PCメーカー保持 KEK — Key Exchange Key db / dbx の更新を承認 ★ 今回の主な失効対象 db — Signature Database 起動を許可する署名の一覧 ★ Windowsブートローダー含む dbx — Forbidden Signatures 拒否する署名の一覧 ここに載ると起動不可 KEKが失効 → db/dbxの更新経路が断たれる → 将来の保護が届かなくなる
名前正式名称役割
PKPlatform Key最上位の管理鍵。
UEFI全体の信頼の起点。
PCメーカーが保持する
KEKKey Exchange Keydbとdbxの更新を承認する鍵。
MicrosoftとOEMが保持する
dbSignature Database起動を許可する署名の一覧
dbxForbidden Signature Database失効・拒否する署名の一覧。
ここに載ると起動できなくなる

今回失効するのは主にMicrosoftが保持するKEKと、
dbに登録されているWindowsブートローダー用・サードパーティEFI用の証明書です。

何が失効し、何が起きるか 2026年6月〜10月 段階的失効 将来 失効する証明書 ・KEK(Microsoftが保持) ・Windowsブートローダー用 ・サードパーティEFI用 → 2011年発行の旧世代 止まること ・Boot Manager脆弱性対策 ・DB / DBXの更新 ・新ブートチェーン保護 → 現状のまま止まる 今すぐ起動不能にはならない ブート領域の防御が、将来にわたって更新されなくなる Windows自体は通常起動 / 日常のWindows Updateも継続する

特に大事なのは KEKで、dbとdbxの更新を承認するための鍵になっています。
つまり、これが失効すると、起動時の処理を追加も削除もできなくなります。
「将来の保護更新が届かなくなる」というのは、このことです5

3. なぜ15年も同じままだったのか?

なぜ、セキュアブート証明書は、15年も前のものがそのまま使われ続けているのでしょうか。

なぜ15年間、同じ証明書が使われ続けたか SSL/TLS証明書 有効期限:40〜90日 管理者が自動更新 影響範囲:Webサーバー単体 失敗 → ブラウザ警告 vs セキュアブート証明書 有効期限:15年超 全機種共通チェーンを共有 影響範囲:業界全体 失敗 → 完全に起動しない 共通基盤が同時失効する理由 Windows 8以降のPC全機種が「2011年発行の共通チェーン」を使用 UEFI・OEM・Linux互換・仮想マシン基盤まで同一チェーンに依存 → 有効期限が一斉に到来するのはこのため

たとえば、パソコンが使う似たような「証明書」としては、「SSL/TLS証明書」を聞いたことがあるかもしれません。

「SSL/TLS証明書」は、Webサーバーとブラウザ間で通信相手を認証するためのもので、有効期限は 40日〜90日ほどのサイクルで、Webサーバーの管理者はこまめに入れ替えていきます(多くは自動更新)6

セキュアブートで、古い証明書が使われるのは、関係するシステムが多いからです。

Windowsのブートローダーだけではなく、PCのUEFIファームウェア、OEMごとのBIOS実装、Linuxのセキュアブート互換レイヤー、拡張カード上のUEFIドライバ、企業展開用のインストールイメージ、仮想マシン基盤、これら全体が同じ証明書チェーンに依存しています。

これを頻繁に更新すると、古いインストールメディアや回復ディスクで起動できなくなったり、周辺機器のドライバが弾かれたりするリスクが生まれます。
しかも、失敗すると「警告」ではなく「まったく起動しなく」なります。
そのため、業界全体として更新には慎重になっているのです。

しかも、Windows 8 以降のパソコンは、長年共通の「2011年発行のMicrosoft証明書チェーン」を使い続けてきました。
PCごとに発行年の違う証明書を持つのではなく、共通基盤を全員で共有していました。
そのため、有効期限が同じ年に来てしまったのです。

3.1. Microsoftの切替計画(KB5074109)

ちなみに、この証明書の切替について、Microsoftは、root of trust(信頼の根)の更新と呼んで、段階的に進める計画を進めてきました。

2011年から15年超使ってきた信頼基盤を2023年系に切り替える作業です。
失効日に突然全員が切り替えるのではなく、2025年時点から段階的に配布・移行する設計になっています。
Windows 11向けには2026年1月13日リリースのKB5074109(セキュリティ更新プログラム)から、条件を満たしたデバイスへの新証明書の自動配布が始まっています。
更新の進行状況はレジストリキー「UEFICA2023Status」で確認できます 7

4. 個人ユーザーが確認することは?

個人ユーザーは、通常通りのシステム更新をすれば十分です。

個人ユーザーがすべきこと 1 Windows Update を継続する 自動更新が有効なら新証明書は自動配布される(KB5074109以降) 2 PCメーカーのUEFIファームウェア更新を確認 機種によってはBIOS/UEFI更新が別途必要(NEC・富士通・Dell等) ⚠ 古いPC(Windows 8時代のHW) 製造から12年超 → OEMファームウェアサポート終了の可能性あり ✕ Secure Boot をオフにしない DBXが機能しなくなり、ブートキットに無防備になる オフ→オンに戻すと配布済み証明書がリセットされる場合がある

基本は、Windows Update。
自動更新が有効であれば、多くの個人向け端末は新しい証明書を自動で受け取ります。
Windows Updateを普段から当てている方は、すでに大半の対応が済んでいると考えてよいでしょう8

もう一つは、メーカーごとのアップデート情報の確認。
パソコンごとに機器や部品の違いもあるので、PCメーカーのサポートページも確認しておくと安心です。
BIOSやUEFIのファームウェア更新が別途必要な機種もあるからです。
NECや富士通・Dellなど各メーカーが順次案内を出しています。

4.1. 古いPCだとメーカーサポートも切れている

ただし、古いPCは注意が必要です。
たとえば、Windows 8時代のハードウェアだと、Windows 10, 11 とアップグレードして、製造から12年以上も経過しています。
OEMのファームウェアサポートが終わっている可能性があるのです。

その場合は、Microsoftやメーカーの最新情報を確認してください。

証明書の失効しても、すぐに起動不能になるわけではありませんが、トラブルの復旧でつまったり、起動領域の防御が将来的に弱くなります。

5. 【補足】セキュアブートを無効化するのは?

「うまく動かないなら、いっそSecure Bootをオフにすればいいのでは」と思う人もいるかもしれません。
しかし、これはあまり推奨されません。

Secure Bootをオフにすると、問題を解決するどころか、さらに防御が下がるからです。
証明書が失効した状態でも「今あるDBX」は、つまりマルウェアのブラックリストは機能し続けています。
しかし、Secure Bootをオフにすると、そのDBXすら機能しなくなります。

ブートローダーへの署名チェックが全くなくなるということは、署名のないコードがWindowsより先に起動できる状態になります。
これでは、「ブートキット」というマルウェアに対処できません。
たとえば、2023年に確認されたBlackLotusは、システムに侵入すると、OSが立ち上がる前にBitLockerやWindows Defenderを無効化してしまいました9
ドライブの暗号化が解かれ、その後に仕込まれたマルウェアを検知するものがなくなります。
しかも、この操作はOS起動前に完了しているため、Windows上からの再インストールでも排除できない、という根深い問題になってしまいます。

5.1. 【注意】オフにしたセキュアブートは戻せないこともある

もう一つ気をつけたいのが、セキュアブートをオフにしてからオンに戻すこと。
実は、元に戻らないことがあります。

MicrosoftのIT Pro Blogでは、「Secure Bootのオン・オフを切り替えると、すでに適用済みの証明書が消える可能性がある」と書かれています。
一度オフにしてから再度オンにすると、Windows Updateが配布した新しい2023年系証明書がリセットされ、ファームウェアの出荷時デフォルト状態に戻ることがあるのです。
PCメーカーのDellのFAQも同様の注意を記載しており、「Expert Key Mode」などのファームウェア操作がWindows Updateで配布された証明書を消去する場合があると説明しています。

つまり、証明書の更新が完了した後に「BIOSを触ってみた」というだけで、Windows Updateやファームウェアのアップデートをやり直さないといけなくなりかねません。

  1. 最初に失効する証明書の具体的な期限は2026年6月下旬です。その後、Windowsブートローダー署名に使われるMicrosoft Windows Production PCA 2011が2026年10月に失効します。 – Microsoft’s Secure Boot certificates expire in June 2026, but older PCs may never get the fix
  2. 2024年以降に製造されたPCの多くには、出荷時点で2023年系の証明書がすでに搭載されています。DellはSecure Boot移行への対応として、2024年後半以降に出荷した新しいプラットフォームから2011年と2023年の両証明書を同梱する方針を取りました。 – Secure Boot Transition FAQ – Dell US
  3. Microsoftは証明書が失効した状態を「degraded security state(セキュリティが低下した状態)」と表現しています。具体的には、Boot Managerの更新、Secure BootのDBとDBXの更新、新しいブートチェーンの脆弱性対策のほか、BitLockerのハードニングやサードパーティのブートローダーに依存した機能も影響を受ける可能性があります。 – When Secure Boot certificates expire on Windows devices – Microsoft Support
  4. Secure BootはWindows 8の登場とともに2012年ごろから普及し始めました。Windows 11ではSecure Bootが動作要件として必須化されています。 – Windows Secure Boot certificate expiration and CA updates – Microsoft Support
  5. 2023年系への更新では、旧来のMicrosoft Corporation UEFI CA 2011が2つに分割されます。新しくMicrosoft UEFI CA 2023(サードパーティのブートローダー署名用)とMicrosoft Option ROM UEFI CA 2023(拡張カード上のオプションROM署名用)に役割が整理され、信頼の範囲をより細かく制御できるようになります。 – Secure Boot Certificate updates: Guidance for IT professionals and organizations – Microsoft Support
  6. SSL/TLS証明書はWebの証明書ポリシーを決めるCA/Browser Forumの決定により、2026年3月から最長200日、2027年に100日、2029年に47日へと段階的に短縮される予定です。Secure Boot証明書とは更新サイクルの設計思想がまったく異なります。 – TLS Certificate Lifetimes Will Officially Reduce to 47 Days – DigiCert
  7. Windows Secure Boot certificates expire in 2026 – 4sysops
  8. Microsoftは最新情報の集約ページとして https://aka.ms/GetSecureBoot を公開しています。IT管理者向けには「Secure Boot playbook for certificates expiring in 2026」が詳細な手順を提供しており、グループポリシーやMicrosoft Intuneを使った一括管理方法も案内されています。 – Secure Boot playbook for certificates expiring in 2026 – Microsoft Tech Community
  9. BlackLotusはSecure Bootを回避できる実在のUEFIブートキットマルウェアで、2022年末ごろからハッキングフォーラムで販売が確認されています。Secure Bootが有効な状態でも古いブートローダーの脆弱性を悪用して侵入し、BitLockerやWindows Defenderなどのセキュリティ機能を無効化できることがESETの調査で明らかになりました。DBXの更新が止まると、こうした既知の脆弱性への対処も届かなくなります。 – BlackLotus UEFI bootkit: Myth confirmed – ESET WeLiveSecurity