Microsoftは2月10日(現地時間)、Windowsの重要なセキュリティ機能である「セキュアブート」の証明書更新を開始することを発表しました。2011年に導入された初期証明書が2026年内に期限切れを迎えるため、最新の暗号基準に合わせた新しい証明書へ移行する必要があるとのことです。
セキュアブートは、PC起動時に信頼できるOSだけが動作するよう保証する仕組みで、Windows 11では必須要件となり、PCの安全性を支える基盤技術となっています。
なぜ証明書更新が必要?
証明書更新が必要な利用について、Microsoftは「暗号技術は進化し続けるため、古い証明書を更新し続けることが安全性維持には不可欠」だと説明しています。
古い証明書を使い続けると、未修正の脆弱性を悪用するマルウェアのリスク増加し、セキュアブートを前提とするソフトや将来のWindowsバージョンが動作しない可能性があります。また、一部のハードウェアやファームウェア更新との互換性問題が発生する可能性もあります。
ユーザーがやるべきことは?
セキュアブートの更新に関し、ユーザーがやるべきことは特にありません。Microsoftが月例アップデートを通じて、自動的に新しい証明書を配布するからです。
ただし、Windows Updateを無効化しているPCや、ESU(延長セキュリティ更新)対象外のWindows 10 PCなど、更新プログラムを受け取れない環境では、将来的にセキュアブート関連の問題が発生する可能性があります。
また、Microsoftは「ごく一部のデバイスでは、証明書更新のために追加のファームウェア更新が必要になる」としています。
なお、本日公開されたWindows 11の月例更新プログラムではセキュアブート証明書を安全に配布するための判定ロジックが追加されました。Microsoftは今後、セキュアブート証明書の現在の状態をユーザーが状態を確認できる機能をWindowsセキュリティアプリに追加する予定です。
