Microsoft は最近、Windows エコシステムのセキュア ブートに使用される暗号化証明書がアップグレードされる予定であることをユーザーに通知しました。 Windows 8 の発売以来 15 年以上使用されてきた最初のセキュア ブート証明書は 2026 年 6 月に期限切れになり、システム起動段階でセキュリティを維持するには新しい証明書に置き換える必要があります。
セキュア ブートは、UEFI 仕様の一部として導入されたファームウェア レベルのセキュリティ機能です。その主な目的は、オペレーティング システムが起動する前に、潜在的に悪意のあるブート コードが読み込まれるのを防ぐことです。したがって、暗号の老朽化により古い資格情報が攻撃の弱点になるのを避けるために、その信頼のルート (証明書とキー) を定期的に更新する必要があります。 MicrosoftのWindowsサービス・デリバリー部門のプログラムマネージャー、ヌーノ・コスタ氏は公式ブログで、古い証明書を廃止し、新しい証明書を導入することは業界の標準的な慣行であり、プラットフォームが最新のセキュリティの期待に常に準拠するのに役立つと述べた。
実際、Microsoft は 2023 年に新しいバージョンのセキュア ブート証明書をリリースしましたが、Windows 8 以降、元の証明書がブート プロセスの検証を担当していました。ユーザーや企業は、マザーボード メーカーがリリースした UEFI ファームウェアのアップデートなど、さまざまな信頼できるチャネルを通じて新しい証明書を取得できます。同時に、Microsoft は新しい証明書を月例パッチとセキュリティ更新プログラムに統合し、Windows Update を通じて自動的に配布します。エンタープライズ環境では、さまざまな管理ツールを使用してプッシュ プロセスをカスタマイズできます。 Microsoft は、この証明書の更新を Windows エコシステムにおける最大規模の調整されたセキュリティ メンテナンス作業の 1 つであると説明しています。
セキュア ブートはファームウェア層で実行され、PC の起動方法に直接影響するため、このアップグレードでは Microsoft がハードウェア メーカー、OEM、その他のパートナーと緊密に連携して数百万台の Windows デバイスのファームウェアを更新し、広範なブート障害などの連鎖反応を回避する必要があります。 Microsoft のサポート サイクル中のデバイス (拡張セキュリティ更新プログラムに参加している Windows 11 および Windows 10 マシンを含む) は、Windows Update を通じて新しい証明書を受け取ることができますが、古い PC はこの更新プログラムをインストールできず、安全性が比較的低くなります。
コスタ氏は、古い 2011 年の証明書にまだ依存しているデバイスは、短期的には引き続き正常に起動しますが、セキュリティ状態が「ダウングレード」されているとみなされ、そのようなデバイスは将来的に新しいファームウェア レベルの保護機能を受け取らない可能性があると指摘しました。新しいブート層の脆弱性が発見されるにつれて、対応する軽減策をインストールできない場合、関連システムの危険性は拡大し続け、長期的には互換性の問題を引き起こす可能性さえあります。たとえば、セキュア ブートに依存する更新されたオペレーティング システム、ファームウェア、ハードウェア、またはソフトウェアを読み込むことができなくなります。デルなどの PC メーカーは、ユーザーがデバイスのステータスを確認しやすいように、システムが新しいセキュア ブート証明書をサポートしているかどうかを確認するための手順を提供しています。
セキュア ブートをまったく有効にしていないコンピュータの場合、通常は日常の操作に直接的な影響はありません。しかし、セキュア ブートはその誕生以来、実装と管理の課題を露呈した「PKfail」など、多くの重大なセキュリティ インシデントに遭遇しました。それにもかかわらず、このメカニズムは一部のオンライン ゲームや MOBA ではますます必須要件になりつつあります。つまり、Linux 以降を実行していても十分に強力なゲーム ハードウェアを実行しているユーザーは、これらの新世代のゲームに参加する際に排除されたり、参入障壁が高くなったりする可能性があります。