「パッチチューズデー」ということで、2026年2月11日付けでWindows、Microsoft 365 Apps/Officeなどの定例セキュリティ更新プログラムの配信が開始されていますが、今回はそれだけでなく「セキュアブート証明書の更新」も含まれています。
既に昨年6月あたりからWindows Updateの更新履歴情報などで告知されていましたが、UEFIベースのPCでセキュリティ強化のために利用されている「セキュアブート」の証明書はWindows 8がリリースされた2011年に発行されたものとなっており、こちらの有効期限が今年の6月で期限切れとなる・・・だけでなく、あまりにも長らく使い回されていたため悪意のあるルートキット「ブラックロータス(マジック・ザ・ギャザリングの超プレミアがついていることで有名なレアカードと同じ名称ですが、由来はどちらも「黒蓮」になります。カードの方の“ブラックロータス”由来ではないはず・・・)」の踏み台としても利用される結果となってしまったため、今回サポートされているWindows OSを利用しているユーザーを対象にWindows Update経由でセキュアブート証明書のデータベースを新しいものに更新することになりました。
2025年10月15日をもってサポート終了を迎えているWindows 10 2022 Update(Version 22H2)の場合も延長セキュリティ更新プログラム(ESU)に加入していればセキュアブート証明書の更新プログラムが適用されます。
一般ユーザーの場合、基本的にセキュアブート証明書データベースの更新のためになにかやるべきことは全くありません。いつも通りWindows Updateを済ませれば勝手に新しいセキュアブート証明書が適用されています。未適用の状態でもWindows 11 2024 Update/2025 UpdateやWindows Server 2025といった最新OSは動作しますが、セキュアブート領域に見つかった脆弱性に対する保護や修正が適用されなくなるためセキュリティ的にはかなり危うい状態となりますが、基本的にWindows Update経由で更新プログラムを通常通り受け取れる環境であれば特にやるべきことはありません。
ただし、ファームウェア(BIOS)に含まれているセキュアブート証明書の更新はメーカー側で実施する必要があるため、古いファームウェアのままだとセキュアブートキーの初期化を実行した際に古いセキュアブート証明書に戻ってしまう可能性があるため、配信されているのであればファームウェアのアップデートも一緒に実施しておくことをお勧めします。
なおWindows UpdateやIntune経由ではなく、日立製作所の「JP1」やSKY株式会社の「SKYSEA Client View」などの管理ソフトを使用して更新プログラムを管理している場合、セキュアブート証明書の自動更新は行われないため別途Microsoftが公開しているサポートページの手順に従って手動でセキュアブート証明書のデータベースを更新する必要があります(一般ユーザーが利用している環境ではまずあり得ない環境なので、当ブログでは特に更新手順は紹介しません)。
なお、セキュアブートをサポートしているUbuntuなどのOSも最新バージョンであればセキュアブート証明書に対応しているLinuxディストリビューションの署名も含まれているため、特に影響を受けることはありません。
コメントを残す