セキュアブート証明書期限切れおよび証明書更新について(2026年)
2026年4月9日
2026年6月以降パソコン起動時のセキュリティー機能「セキュアブート」で使用している証明書の有効期限が順次終了します。
詳しくは、下記マイクロソフト社のWebページをご覧ください。
Windows セキュア ブート証明書の有効期限と CA 更新プログラム
セキュアブートとは:
パソコン起動時に不正なプログラムが実行されることを防ぐための機能です。
セキュアブート証明書により、信頼のおけるソフトウェアのみ実行されます。
証明書の更新方法
将来的な新たな脅威に備えるために、新しい証明書に更新する方法は、お使いの製品により異なります。
更新方法①:Windows Updateの実施
Windows Updateを適用することで、証明書が更新されます。あわせてWindowsのブートマネージャーの証明書も更新されます。
※お使いの製品によっては、UEFIのバージョンアップにて対応をおこなう必要があります。
更新方法②:UEFIでのバージョンアップ
お使いの製品によっては、UEFIのバージョンアップで更新をおこなう必要があります。
なお、Windows ブートマネージャーの証明書は更新されません。UEFI更新後、Windows Updateを実行してください。
セキュアブート証明書について
証明書の種類を教えてください
★OS側:
Windowsブートマネージャー
Windowsのブートマネージャーに適用されている証明書です。
ブートマネージャーの証明書がパソコンのDB(UEFI側)に登録されている場合のみOSが起動できます。
★パソコン側(UEFI):
DBへの証明書の追加、リスクのある証明書をDBXに登録することで、
セキュリティーを維持することができます。
KEK:
DB/DBXを更新するためのキー
期限が切れるとDB/DBXの更新ができなくなります。
DB:
許可されたセキュアブート署名が登録されているデータベース
DBX:
失効されたセキュアブート署名が登録されているデータベース
証明書の有効期限が切れるとどんな影響がありますか
証明書の有効期限を過ぎても、Windowsはそのまま使用できます。また、Windows Updateで品質更新プログラムも適用されます。
ただし、証明書が更新されてない状態が続くと、将来的な新しいセキュリティーリスクに対応できなくなる可能性があります。
Windows上からセキュアブート証明書の状態を確認できますか
WindowsでPowerShellを管理者権限で実行して、証明書が更新されているか確認することができます。
- スタート画面で「PowerShell」で検索し、「Windows PowerShell」が表示されたら右クリックして[管理者として実行] を選択します。
- 「Windows PowerShell」画面が表示されたら、証明書を確認します。
- 「Microsoft Corporation KEK 2K CA 2023」が適用されているか確認します。以下をコピーして入力し「Enter」キーを押します。
- 引き続きDBに「Windows UEFI CA 2023」が適用されているか確認します。以下をコピーして入力し「Enter」キーを押します。
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name KEK).Bytes) -match 'Microsoft Corporation KEK 2K CA 2023')証明書が適用されている場合は「true」と表示されます。
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')証明書が適用されている場合は「true」と表示されます。
CVE-2023-24932の脆弱性との関連を教えてください(上級者向け)
BlackLotus UEFI ブートキットを使用したセキュア ブートセキュリティー機能のバイパスに対する脆弱性(CVE-2023-24932)への対策とは、セキュアブート証明書をCA2023証明書に変更するとともに、DBXにCA2011証明書を移動することです。
脆弱性の詳細や実施方法については、下記マイクロソフト社のWebページをご覧ください。
CVE-2023-24932 に関連付けられているセキュア ブートの変更に対する Windows ブート マネージャー失効を管理する方法
機種一覧
Windows Home/Pro モデル
| 機種名 | 証明書更新方法 | ||
|---|---|---|---|
| UEFIアップデート | Windows Update | ||
| AT10 | 2026年6月中旬公開予定 | × | |
| AT20 | 2026年5月下旬公開予定 | × | |
| AT994E | 2026年5月下旬公開予定 | × | |
| AT997/AT997E | 2026年5月下旬公開予定 | × | |
| AT997-2/AT997E-2 | 2026年4月下旬公開予定 | × | |
| AT998/AT998E | 公開ページ | △ | UEFIのバージョンがAP5U-0030-JL3以降は、Windows Updateで自動更新されます。AP5U-0029-JL2以前をお使いの場合はUEFIをアップデートしてください。 |
| MR4800E | 2026年6月中旬公開予定 | × | |
| MR4900 | 2026年5月下旬公開予定 | × | |
| MR5000 | 2026年4月下旬公開予定 | △ | UEFIのバージョンがAP5U-0029-JG4以降は、Windows Updateで自動更新されます。AP5U-0025-JG2以前をお使いの場合はUEFIをアップデートしてください。 |
| MR8100/MR8100E | 2026年4月下旬公開予定 | × | |
| MR8200 | 2026年6月中旬公開予定 | × | |
| MR8300 | 2026年4月下旬公開予定 | × | |
| MR8300-R | 2026年5月下旬公開予定 | × | |
| MR8400 | 公開ページ | △ | UEFIのバージョンがAP5U-0027-JF5以降は、Windows Updateで自動更新されます。AP5U-0025-JF4以前をお使いの場合はUEFIをアップデートしてください。 |
| NA520E | 2026年5月下旬公開予定 | × | |
| NA521E | 2026年5月下旬公開予定 | × | |
| NA521E-2 | 2026年5月下旬公開予定 | × | |
| NA610E | アップデート不要 | - | リリース初回より対応済 |
| NA710E | アップデート不要 | △ | Control Centerを更新後にWindows Updateを実行すると更新されます。(対策版Control Centerは2026年6月頃公開予定) |
| NA711E | 公開ページ | ○ | |
| NJ4300/ NJ4300E |
2026年4月中旬公開予定 | × | |
| NJ4400E | 2026年5月下旬公開予定 | × | |
| NJ4400E-2 | 2026年5月下旬公開予定 | × | |
| NJ7000E | アップデート不要 | △ | Control Centerを更新後にWindows Updateを実行すると更新されます。(対策版Control Centerは2026年6月頃公開予定) |
| NJ7500E | アップデート不要 | △ | Control Centerを更新後にWindows Updateを実行すると更新されます。(対策版Control Centerは2026年6月頃公開予定) |
| NJ8000E | アップデート不要 | ○ | |
| NL1000E | アップデート不要 | ○ | |
| NL2000E | 公開ページ | ○ | |
| NL2100E | 公開ページ | ○ | |
| NL3000E | アップデート不要 | - | リリース初回より対応済 |
| Pro5900 | 2026年6月中旬公開予定 | × | |
| Pro9000 | 2026年4月下旬公開予定 | × | |
| Pro9050a | アップデート不要 | ○ | |
| Pro9100 | 2026年5月下旬公開予定 | × | |
| Pro9200 | 2026年4月下旬公開予定 | ○ | |
| Pro9300 | アップデート不要 | - | リリース初回より対応済 |
| SG100E | 2026年5月下旬公開予定 | × | |
| SG150/SG150E | アップデート不要 | ○ | |
| ST190/ST190E | 2026年5月下旬公開予定 | × | |
| ST200E | 2026年4月下旬公開予定 | × | |
| ST20E | 2026年6月中旬公開予定 | × | |
| ST210/ST210E | アップデート不要 | ○ | |
| ST40E | 2026年6月中旬公開予定 | × | |
| ST50/ST50E | 2026年4月下旬公開予定 | × | |
| ST55E | 2026年4月下旬公開予定 | × | |
| ST60E | アップデート不要 | ○ | |
| TN21E | 2026年6月中旬公開予定 | × | |
| TN22 | 2026年5月下旬公開予定 | × | |
| TN40 | 2026年5月下旬公開予定 | × | |
| TN52E | アップデート不要 | - | リリース初回より対応済 |
Windows IoT モデル
| 機種名 | 証明書更新方法 | ||
|---|---|---|---|
| UEFIアップデート | Windows Update | ||
| JA994 | 2026年5月下旬公開予定 | × | |
| JA997 | 2026年5月下旬公開予定 | × | |
| JA998 | 公開ページ | △ | UEFIのバージョンがAP5U-0030-JL3以降は、Windows Updateで自動更新されます。AP5U-0029-JL2以前をお使いの場合はUEFIをアップデートしてください。 |
| JE20 | 2026年6月中旬公開予定 | × | |
| JE94 | 2026年6月中旬公開予定 | × | |
| JG150 | アップデート不要 | ○ | |
| JL1000 | アップデート不要 | ○ | |
| JL2000 | 公開ページ | ○ | |
| JL2100 | 公開ページ | ○ | |
| JM4800 | 2026年6月中旬公開予定 | × | |
| JM4900 | 2026年5月下旬公開予定 | × | |
| JM5000 | 2026年4月下旬公開予定 | ○ | UEFIのバージョンがAP5U-0029-JG4以降は、Windows Updateで自動更新されます。AP5U-0025-JG2以前をお使いの場合はUEFIをアップデートしてください。 |
| JM8200 | 2026年6月中旬公開予定 | × | |
| JM8300 | 2026年4月下旬公開予定 | × | |
| JM8400 | 公開ページ | △ | UEFIのバージョンがAP5U-0027-JF5以降は、Windows Updateで自動更新されます。AP5U-0025-JF4以前をお使いの場合はUEFIをアップデートしてください。 |
| JN4300/JN4300-2 | 2026年4月中旬公開予定 | × | |
| JN520 | 2026年5月下旬公開予定 | × | |
| JN521 | 2026年5月下旬公開予定 | × | |
| JN521-2 | 2026年5月下旬公開予定 | × | |
| JN610 | アップデート不要 | - | リリース初回より対応済 |
| JN7000 | アップデート不要 | △ | Control Centerを更新後にWindows Updateを実行すると更新されます。(対策版Control Centerは2026年6月頃公開予定) |
| JN711 | 公開ページ | ○ | |
| JN7500 | アップデート不要 | △ | Control Centerを更新後にWindows Updateを実行すると更新されます。(対策版Control Centerは2026年6月頃公開予定) |
| JN8000 | アップデート不要 | ○ | |
| JP9300 | アップデート不要 | - | リリース初回より対応済 |
| JS100 | 2026年5月下旬公開予定 | × | |
| JS190 | 2026年5月下旬公開予定 | × | |
| JS200 | 2026年4月下旬公開予定 | × | |
| JS210 | アップデート不要 | ○ | |
| JS40 | 2026年6月中旬公開予定 | × | |
| JS50 | 2026年4月下旬公開予定 | × | |
| JS55 | 2026年4月下旬公開予定 | × | |
| JS60 | アップデート不要 | ○ | |
| JT22 | 2026年5月下旬公開予定 | × | |
| JT40 | 2026年5月下旬公開予定 | × | |
| JT40-2 | 2026年5月下旬公開予定 | × | |
| JT50 | 2026年5月下旬公開予定 | × | |
| JT51 | 2026年5月下旬公開予定 | × | |
| JT52 | アップデート不要 | - | リリース初回より対応済 |
| JT70 | 2026年5月下旬公開予定 | × | |
