2011 年発行の Microsoft Secure Boot 証明書 ―― KEK CA 2011 / Microsoft UEFI CA 2011 / Microsoft Windows Production PCA 2011 ―― が 2026 年 6 月から順次失効する。後継となる 2023 年版は Windows Update 経由で配信中で、通常の家庭用 Windows 11 はほぼ自動更新で済む想定だ。問題は「2023 年版を受け取れない PC」が大量に取り残される点にある。
なぜ証明書失効が痛いのか #
Secure Boot は UEFI の DB(許可リスト)と DBX(失効リスト)で起動可能コードを管理し、その DB/DBX を書き換える権限を持つのが KEK だ。2011 年 KEK が信頼されなくなれば、新しい bootkit が見つかっても DBX に失効情報を流せない ―― 2023 年に騒ぎになった BlackLotus 級の UEFI bootkit が登場しても、未更新 PC にはブロックリストが永久に届かなくなる。Microsoft 自身も「ブートに不可欠なアップデートとマルウェアブラックリスト配信を停止する」と明言している。即死ではないが、ブート前マルウェアに対して 恒久的に丸腰 になる。
古い PC が"事実上 e-waste"になる構造 #
更新は二段構えで、(1) OEM が UEFI ファームウェアを更新し、(2) Windows が新証明書を DB/KEK に書き込む順序を踏む。5〜6 年以上前のモデルではメーカーが既に BIOS 更新を止めているケースが多く、ハードは生きているのに証明書だけ更新できない PC が量産される。Windows 10 は 2025 年 10 月で延長サポート終了済みで、ESU ユーザでも通常チャネルでは受け取れない可能性がある。古い PC が degraded security state に固定される構図だ。
いま管理者が確認すべき点 #
Get-SecureBootUEFI や Windows Security の Secure Boot ステータス画面で 2023 cert が DB / KEK に入っているかを一台ずつ確認する必要がある。VMware・Hyper-V・Azure VM も同じ流れだ。Linux dual boot では shim の署名鍵が UEFI CA 2011 配下のため、shim 更新と噛み合わないと起動不能になり得る。攻撃者から見れば「ローテーションに乗り遅れた個体だけ狙えばいい」という分かりやすいターゲットリストが世界規模で生成される、とも読める。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。