セキュアブート証明書とは、
UEFI署名データベース(PK/KEK/db/dbx)に格納され、UEFIドライバやOSブートローダーの整合性を起動時に検証するためのX.509公開鍵証明書および署名情報の総称で、期限切れや未更新の場合は2026年6月以降セキュアブートの信頼チェーンが失効する可能性があります。
(by ChatGPT)
噛み砕くと、
パソコン起動時に不正なOSやマルウェアが起動するのを防ぐセキュリティ機能がセキュアブート。
そのときに必要なのがセキュアブート証明書。
証明書の有効期限が切れると、ブートローダーやOSを「信頼できない」と判断し起動を止める → パソコンが起動しなくなる。
もっと噛み砕くと、
「なんやようわからへんけど期限切れたらパソコン起動できひんなんで」
6月になった途端にピタッと起動不可に陥るわけではなく、徐々に徐々に影響が出るものと予想されます。
多少の猶予があるとはいえ、急に起動しなくなるのが一番の困りもの。
早いうちに更新してホッとしたい! という思いから、急いでパソコンたちをチェックしました。
するとなにやら問題児が……。
セキュアブート証明書の更新
セキュアブートの状態確認
Win+Rで「ファイル名を指定して実行」のダイアログを開く。
msinfo32
上記をコピペ → OK
システム情報が開くので、セキュアブートの状態を確認します。
ここで問題児くんがつまづきました。
む……無効……だと……!
まだ新米であまり稼働していなかったとはいえ、キミ無効だったのか……。
BIOSモードはUEFIなので、まずはBIOSでセキュアブートを有効にすることから始めます。
BIOS/UEFI設定画面でセキュアブートを有効
パソコンの電源を入れてから、
「F2」or「Delete」キー
キーを連打してBIOS/UEFI設定画面を開きます。
あるいはWindows起動後なら、
(Windows11)
「スタート」
→「設定」
→「システム」
→「回復」
→「PCの起動をカスタマイズする」
→「今すぐ再起動」
青いメニュー画面が表示されたら、
「トラブルシューティング」
→「詳細オプション」
→「UEFIファームウェアの設定」
→「再起動」
これでBIOS/UEFI設定画面に入れます。
連打不要かつ確実に入れるので、連打ミスってWindowsが起動してしまったときなどにオススメ。
BIOS/UEFI設定画面はメーカーごとに若干違うので、詳細は各メーカーサイトをご覧ください。
こちらはASRockの一例です。
デフォルトでは英語ですが、「English」から日本語含む他言語にも変更できます。
「Advanced Mode(F6) / 詳細モード(F6)」タブから詳細画面へ。
■Boot / 起動タブ
> CSM(Compatibility Support Module / 互換性サポートモジュール)
> CSM
→「Disabled / 無効」
■Security / セキュリティタブ
> Secure Boot
> Secure Boot Mode
→「Custom」
> Install default Secure Boot keys / デフォルトのセキュアブート用キーをインストールする
→ Load Default Secure Variables / デフォルトのセキュア変数をロードする
→「Yes / はい」
> Secure Boot
→「Enabled / 有効」
■Exit / 退出タブ
> Save Changes and Exit(F10) / 設定変更内容を保存して再起動(F10)
→ Save configuration changes and exit setup? / 設定を保存してUEFIセットアップを終了しますか
→「Yes / はい」
これでセキュアブートが有効になりました。
ここからは念の為の確認作業です。
再びBIOS/UEFI設定画面にて、
■Security / セキュリティタブ
> Secure Boot
→「Active」になっているのを確認
次はBIOSを終了し、Windowsを起動。
Win+Rで「ファイル名を指定して実行」のダイアログを開く。
msinfo32
上記をコピペ → OK
システム情報が開きます。
「セキュアブートの状態」が「有効」になっているのを確認。
これで安心安全。セキュアブートがしっかり働くようになりました。
セキュアブート証明書の確認
問題は証明書。
(Windows11)
スタートを右クリック
→「ターミナル(管理者)」
→「ユーザーアカウント制御」を「はい」
→「PS C:\Users\Windowsのユーザーアカウント名>」この続きに、
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023')
上記をコピペ。
PowerShell上では右クリックするだけでコピーしたものをペーストできます。
→ Enter
True → ○【最新の証明書(2023)が適用】
False → ×【最新の証明書(2023)が未適用】
続けてもうひとつ、
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
右クリコピペ。
→ Enter
True → ○【最新の証明書(2023)が適用】
False → ×【最新の証明書(2023)が未適用】
Windows Updateを最新にしたうえで、私は無事、両方ともFalseでした。分かってた。
ヤキモキしますが、こればかりはWindows Updateでセキュアブート関連の更新が降ってくるのをただただ待つしかないです。
どうしても待ちきれず痺れを切らした場合は、最新のBIOS/UEFIへアップデートすることで更新される可能性があります。各メーカーサイトへGO!
この待ちモードになってからは、しばらくMicrosoftに放置プレイされることになります。
Windows Updateでキー更新の降臨
1ヶ月経ってようやく来ました!
「セキュアブート許可済みキー交換キー(KEK)の更新」
か行が多くて噛みそう。
ようやく会えたよ、許可済みキー交換キーちゃん!
Windows Updateを根こそぎ最新にアップデートしたのち、改めてターミナル(管理者)でセキュアブート証明書の確認をしたところ……
無事、両方ともTrueになりました!
BIOS/UEFIのほうでも確認できます。
BIOS/UEFI設定画面から、
■Security / セキュリティタブ
> Secure Boot
> Key Management
> Key Exchange Keys(KEK)
→「Detail」
「Microsoft Corporation KEK 2K CA 2023」
> Authorized Signatures(db)
→「Detail」
「Microsoft Option ROM UEFI CA 2023」
「Microsoft UEFI CA 2023」
「Windows UEFI CA 2023」
KEK/DBに証明書(2023)があればOKです。
こちらもしっかり確認できました!
これで一安心です。
夏休みの宿題を最終日にするタイプ
対応のスピード、もうちょっと上げてもらえません……?
Windows10のESU(延長サポート)にしろ、セキュアブート証明書の期限切れにしろ、ずっと前から分かっていたことなのにこちらが適用できるのはいつもギリギリ。
早め早めに対応したい人間にとっては期限の1ヶ月前ともなると、本当に更新が降ってくるのか……?! と疑心暗鬼で過ごす日々がつらくて夜しか眠れません。
余裕を持って3ヶ月前には安心させて欲しい(切実)。