Windows

Windows 11のセキュアブート更新が失敗する――CA-2023が暴いたファームウェアの構造的欠陥

セキュリティを守るはずの仕組みが、PCを起動不能に追い込んでいる。Secure Bootの証明書更新「CA-2023」が、業界全体の技術的負債を白日のもとに晒している。

情報の灯台

2026年3月30日

2026年6月、証明書が「期限切れ」になる

Windows PCのSecure Bootを支えてきた暗号証明書が、いま静かに寿命を迎えようとしている。CA-2011と呼ばれるMicrosoftの署名証明書群は2026年6月から順次期限切れとなり、10月にはWindowsブートマネージャーの署名用証明書も失効する。

期限が切れたからといって、PCが突然動かなくなるわけではない。だが、ブートプロセスに対するセキュリティ更新を一切受け取れなくなる。新たな脆弱性が見つかっても、修正パッチを適用する手段がなくなるということだ。

Microsoftはこの問題に対処するため、後継の「CA-2023」証明書をWindows Update経由で配布している。2024年以降に製造されたPCの多くにはすでに搭載済みだ。だが、それ以前のPC――つまり現在稼働中のWindows機の大半――では、手動対応が必要になるケースが続出している。

CA-2023への移行は単なる証明書の差し替えではない。Microsoftは証明書の構造そのものを再設計し、サードパーティ製ブートローダーとオプションROM署名を分離した。これにより、信頼の粒度がより細かく制御できるようになっている。

BlackLotusが突きつけた「信頼の限界」

そもそもなぜ、こんな大規模な証明書更新が必要になったのか。きっかけは2023年に発見されたUEFIブートキット「BlackLotus」だ。

このマルウェアは、Secure Bootが有効な最新のWindows 11でも動作する、史上初の実環境UEFIブートキットとして衝撃を与えた。CVE-2022-21894という既知の脆弱性を悪用し、古い署名済みブートローダーを「正規品」としてすり替えることで、Secure Bootをすり抜ける。いったん侵入すると、BitLocker、Windows Defender、HVCI（仮想化ベースのコード整合性保護）を無効化し、OSが起動する前にシステムを完全に掌握する。

IMPORTANT: Secure Boot certificates used by most Windows devices are set to expire starting in June 2026. This might affect the ability of certain personal and business devices to boot securely if not updated in time.

To avoid disruption, we recommend reviewing the guidance and…
— Windows Update (@WindowsUpdate) December 9, 2025

ハッキングフォーラムでは5,000ドル（約80万円）で販売され、追加バージョンは200ドル。高度な技術を持つ攻撃者だけの脅威ではなく、犯罪グループが手軽に使える「商品」になっていた。

Microsoftは2023年5月にCVE-2023-24932として修正パッチを公開したが、修正を完全に有効にするには、古いブートローダーの信頼を取り消す「失効処理」が不可欠だった。これがCA-2023証明書への移行につながる。だがこの失効処理こそが、業界全体の弱点を露呈させることになる。

ファームウェアの「技術的負債」が噴出した

CA-2023の展開が進む中、多くのPCでSecure Boot更新の失敗が相次いでいる。Windows Updateは成功を報告するのに、実際にはDBX（失効リスト）が更新されていない。Secure Bootは「有効」と表示されるのに、PowerShellのConfirm-SecureBootUEFIはfalseを返す。再起動のたびに「CPUが変更されました」という誤った警告が表示されるPCもある。

問題の根源は、各マザーボードメーカーのファームウェア実装がバラバラだったことだ。

メーカーごとに異なる「壊れ方」

ASUSの一部ボードでは、DBXを更新するためにSecure Bootを一時的に無効にする必要があるという矛盾した状況が発生した。MSIでは、ファームウェアがDBX更新を黙って無視するケースや、UIの表示と実際のSecure Boot状態が一致しない問題が報告されている。ASRockに至っては、手動でのキー消去・再登録が必要になることが多く、ドキュメントも不十分だった。

元記事の筆者Ed Tittelは、同一モデルのASRock B550 Extreme4マザーボードを2枚所有していたが、一方は問題なく更新できたのに、もう一方は何をしても更新を受け付けず、最終的にマザーボード交換を余儀なくされたと報告している。

Dell、HP、Lenovoといった大手OEMは比較的うまく対応したが、それでもロールアウトの遅延やBIOS更新タイミングの不整合は避けられなかった。自作PCユーザーにとっては、同じ型番でも挙動が異なるという、再現性のない問題が最も厄介だ。チップセット、ファームウェアブランチ、製造年、OEM版かリテール版かで結果が変わる。

Eleven Forum、TenForums、TechPowerUpなどのコミュニティには、Secure Boot関連の助けを求めるスレッドが数百件単位で立っている。ノートPCからデスクトップ、自作機からBTOまで、あらゆるカテゴリで問題が報告されている状況だ。

コミュニティが「見えない内部」を可視化した

Microsoftの公式ツールが不十分なまま展開が進む中、コミュニティの力が状況を変えた。Eleven ForumのVIPユーザー「Garlin」が公開したPowerShellスクリプト群が、多くのユーザーにとって唯一の「診断ツール」になっている。

GitHubでも公開されているこのスクリプトは、50ページを超えるサポートスレッドに支えられ、世界中のユーザーが問題解決に活用している。

スクリプトはSecure Bootの鍵情報の列挙、DB/DBXエントリの検証、ブートローダーのバージョン確認、証明書の適用状況レポートなどを行う。ベンダーのUEFI画面では確認できない内部状態を、初めてユーザーの目に見える形にした。

正直なところ、これはMicrosoftが最初から提供すべきだった機能だ。Garlinのスクリプトは技術的に特別なことをしているわけではない。だがMicrosoftは、ユーザーに自分のPCの状態を確認する手段すら与えないまま、証明書の入れ替えを進めた。その空白を一人のコミュニティメンバーが埋めているという事実が、この問題のいびつさを物語っている。

なお、MicrosoftはKB5077241（2026年2月）でGet-SecureBootSVNやGet-SecureBootUEFI -Decodedといった新しいPowerShellコマンドレットを追加しており、公式ツールの拡充も進みつつある。

「信頼」は放置すれば腐る

Secure Bootのエコシステムが抱える問題は、技術的なものだけではない。構造的な問題だ。

ファームウェアベンダーは実装も用語もバラバラで、ドキュメントは不足している。更新パイプラインは脆弱で、一つの手順ミスが起動不能を招く。OEM各社のSecure Boot対応品質には大きな差があり、古いPCほど更新の道が閉ざされている。Windows 10ユーザーはサポート終了により通常ルートでは証明書を受け取れない。

Microsoftはより厳格な認定基準と改善された診断ツールの提供を求められているし、OEMはファームウェアの動作と用語を標準化し、DB/DBX更新のテストを徹底する必要がある。そしてユーザーも、ファームウェア更新を後回しにせず、Secure Bootの状態を定期的に確認する習慣が求められる。