minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
2026年6月27日以降、一部のWindows PCで「セキュアブート証明書の期限切れ」が原因で起動できなくなる問題が報告されています。これは、Microsoftが2011年に発行したUEFI CA証明書の有効期限が切れることで、セキュアブートが正常に機能しなくなるために発生します。
この問題は事前に対策すれば回避可能であり、すでに発生している場合でも復旧手段が存在します。この記事では、影響を受けるPCの確認方法から、証明書の更新手順、BIOS設定の変更、Microsoftの公式パッチ適用方法まで、初心者にもわかりやすく徹底解説します。
この記事でわかること
- セキュアブート証明書の期限切れとは何か・なぜ起動できなくなるのか
- 自分のPCが影響を受けるかどうかの確認方法
- 事前に証明書を更新して問題を回避する手順
- すでに起動できなくなった場合の復旧方法
- BIOS/UEFI設定でセキュアブートを一時的に無効化する方法
- Microsoftの公式パッチ(KB)の適用方法
セキュアブート証明書の期限切れとは?
セキュアブート(Secure Boot)は、PCの起動時に信頼されたソフトウェアのみが実行されることを保証するセキュリティ機能です。UEFI(Unified Extensible Firmware Interface)ファームウェアに組み込まれており、Windows 11の必須要件の一つでもあります。
証明書の仕組み
セキュアブートはデジタル証明書を使って、起動時に読み込まれるブートローダーやドライバーの正当性を検証します。Microsoftは2011年に「Microsoft UEFI CA 2011」という証明書を発行し、これが多くのPCのファームウェアに搭載されてきました。
なぜ期限切れで問題が起きるのか
この「Microsoft UEFI CA 2011」証明書には有効期限が設定されており、2026年6月27日に失効します。証明書が失効すると、セキュアブートがブートローダーを「信頼できない」と判断し、Windowsの起動をブロックしてしまうのです。
影響を受けるPCの特徴
| 項目 | 影響あり | 影響なし |
|---|---|---|
| UEFI CA証明書 | 2011年版のみ搭載 | 2023年版に更新済み |
| PC購入時期 | 2022年以前 | 2023年以降(メーカーによる) |
| ファームウェア更新 | 未更新 | 最新版に更新済み |
| セキュアブート設定 | 有効 | 無効(非推奨) |
【確認方法】自分のPCが影響を受けるか調べる
まず、お使いのPCに搭載されている証明書のバージョンを確認しましょう。
方法1: PowerShellで確認する
- スタートメニューで「PowerShell」と検索し、「管理者として実行」を選択します
- 以下のコマンドを入力してEnterキーを押します:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2023' - 結果を確認します:
- True → 2023年版の証明書が搭載済み。影響を受けません
- False → 2011年版のみ。対策が必要です
方法2: システム情報で確認する
- Windowsキー + Rを押して「ファイル名を指定して実行」を開きます
msinfo32と入力して「OK」をクリックします- 「システムの要約」で以下の項目を確認します:
- セキュアブートの状態: 有効/無効
- BIOSモード: UEFI
- セキュアブートが「有効」かつBIOSモードが「UEFI」の場合、証明書の影響を受ける可能性があります
方法3: Windows Updateで通知を確認する
Microsoftは影響を受けるPCに対して、Windows Update経由で事前通知を行っています。「設定」→「Windows Update」を確認し、セキュアブート証明書に関する更新プログラムが表示されていないか確認してください。
【対処法1】Windows Updateで証明書を更新する(推奨)
最も簡単で安全な方法は、Microsoftが提供する公式パッチをWindows Update経由で適用することです。
ステップ1: Windows Updateを最新にする
- 「設定」アプリを開きます(Windowsキー + I)
- 「Windows Update」を選択します
- 「更新プログラムのチェック」をクリックします
- 利用可能な更新プログラムがあれば、すべてインストールします
- PCを再起動します
ステップ2: セキュアブート証明書の更新プログラムを確認する
- 再度「Windows Update」を開きます
- 「更新の履歴」を確認し、セキュアブート関連のKB(例: KB5039236やそれ以降の関連パッチ)がインストールされていることを確認します
- インストールされていない場合は、「オプションの更新プログラム」にないか確認してください
- 更新後、PowerShellで再度証明書バージョンを確認します
【対処法2】メーカーのBIOS/ファームウェアを更新する
PCメーカーがBIOS/UEFIファームウェアのアップデートを提供している場合は、そちらを適用することでセキュアブート証明書が更新されます。
ステップ1: PCのモデル名を確認する
- 「設定」→「システム」→「バージョン情報」を開きます
- 「デバイスの仕様」セクションでデバイス名とシステムモデルを確認します
- メモしておきます
ステップ2: メーカーサポートサイトでBIOS更新を探す
- PCメーカーのサポートサイトにアクセスします(Dell、HP、Lenovo、ASUS等)
- モデル名で検索し、「ドライバーとダウンロード」ページを開きます
- 「BIOS」カテゴリの最新ファームウェアを確認します
- リリースノートに「Secure Boot」「UEFI CA 2023」等の記載があれば、それが対象の更新です
- ダウンロードしてインストーラーを実行します
重要: BIOS更新中は絶対にPCの電源を切らないでください。更新中に電源が切れると、PCが起動不能になる(ブリック化する)恐れがあります。ノートPCの場合はACアダプタを接続した状態で実行してください。
【対処法3】BIOSでセキュアブートを一時的に無効化する
すでにPCが起動できなくなっている場合、BIOS設定でセキュアブートを一時的に無効にすることでWindowsを起動できるようになります。
ステップ1: BIOS設定画面に入る
- PCの電源を入れた直後に、BIOSキーを連打します:
- Dell: F2
- HP: F10
- Lenovo: F1 (ThinkPad)、F2(IdeaPad)
- ASUS: F2 またはDel
- 自作PC: Del
- BIOS/UEFI設定画面が表示されます
ステップ2: セキュアブートを無効にする
- 「Security」「Boot」「Authentication」などのタブに移動します(メーカーにより名称が異なります)
- 「Secure Boot」の項目を見つけます
- 「Enabled」を「Disabled」に変更します
- 「Save & Exit」(F10キーが多い)を選択して設定を保存し、再起動します
注意: セキュアブートの無効化はあくまで一時的な回避策です。セキュリティリスクが高まるため、証明書を更新した後は必ずセキュアブートを再度有効にしてください。また、BitLockerが有効な場合は回復キーの入力を求められることがあります。
【対処法4】回復ドライブから起動して修復する
事前に回復ドライブを作成しておくと、起動できなくなった際に非常に役立ちます。
回復ドライブの作成方法(事前準備)
- 16GB以上のUSBメモリを用意します
- スタートメニューで「回復ドライブ」と検索し、起動します
- 「システムファイルを回復ドライブにバックアップします」にチェックを入れます
- USBメモリを選択して「作成」をクリックします
- 作成完了まで待ちます(30分〜1時間程度)
回復ドライブからの起動・修復手順
- 回復ドライブUSBをPCに接続します
- PCを起動し、ブートメニューキー(F12が多い)を連打します
- USBドライブを選択して起動します
- 「トラブルシューティング」→「詳細オプション」を選択します
- 「コマンドプロンプト」を選択し、必要な修復コマンドを実行します
【対処法5】Microsoftのメディア作成ツールで修復インストールする
上記の方法で解決しない場合は、Windowsのインプレースアップグレード(上書きインストール)を行うことで、証明書を含むシステムファイルを最新の状態に更新できます。
- 別のPCでMicrosoftのメディア作成ツールをダウンロードします
- USBインストールメディアを作成します
- 問題のPCにUSBを接続し、USB起動します
- 「今すぐインストール」を選択します
- 「アップグレード: Windowsをインストールし、ファイル、設定、アプリを引き継ぐ」を選択します
- 画面の指示に従ってインストールを完了します
この方法では、個人ファイルやインストール済みアプリを保持したままWindowsを再インストールできるため、データを失う心配がありません。
対処法の比較まとめ
| 対処法 | タイミング | 難易度 | 推奨度 |
|---|---|---|---|
| Windows Update | 事前対策 | 低 | ★★★★★ |
| BIOS更新 | 事前対策 | 中 | ★★★★☆ |
| セキュアブート無効化 | 緊急復旧 | 中 | ★★★☆☆ |
| 回復ドライブ | 緊急復旧 | 中 | ★★★★☆ |
| 修復インストール | 最終手段 | 中 | ★★★☆☆ |
BitLocker利用者向けの重要な注意点
BitLockerでドライブ暗号化を有効にしている場合、セキュアブートの設定変更時にBitLocker回復キーの入力を求められることがあります。
BitLocker回復キーの確認方法
- Microsoftアカウント:
account.microsoft.com/devices/recoverykeyにアクセスして確認 - Azure AD: 会社のIT管理者に問い合わせ
- 印刷: BitLocker有効化時に印刷した回復キーを確認
- USBメモリ: BitLocker有効化時に保存したUSBを確認
回復キーが見つからない場合、ドライブのデータにアクセスできなくなる可能性があります。セキュアブートの設定変更を行う前に、必ず回復キーを手元に用意してください。
今後の予防策
Windows Updateを定期的に適用する
Microsoftはセキュリティ関連の更新プログラムを毎月配信しています。自動更新を有効にし、定期的にWindows Updateを確認することで、証明書の更新を含む重要なパッチを見逃さずに適用できます。
回復ドライブを事前に作成しておく
起動できなくなった場合に備えて、回復ドライブを事前に作成しておくことを強くおすすめします。16GB以上のUSBメモリを1つ用意し、「回復ドライブの作成」から作成しておきましょう。
BIOS/ファームウェアを定期的に確認する
PCメーカーが提供するBIOS/ファームウェアのアップデートは、セキュリティ関連の修正を含むことが多いです。半年に1回程度、メーカーのサポートサイトで最新版がないか確認する習慣をつけましょう。
この記事に関連するおすすめ商品
USBメモリ 32GB USB3.0 回復ドライブ対応
約780円
Windows回復ドライブ作成に最適。小型で持ち運びやすい高速USBメモリ
バッファロー 外付けSSD 1TB ポータブル
約9,980円
万が一に備えたバックアップ用。USB3.2 Gen2対応で高速転送
※ 価格は変動します。最新価格はリンク先でご確認ください
よくある質問(FAQ)
Q1. すべてのWindows PCが影響を受けますか?
いいえ、すべてのPCが影響を受けるわけではありません。影響を受けるのは、UEFIファームウェアに「Microsoft UEFI CA 2011」証明書のみが搭載されており、2023年版の新しい証明書に更新されていないPCです。2023年以降に購入したPCや、最新のWindows Updateを適用済みのPCでは問題が発生しない場合があります。
Q2. 2026年6月27日までに何をすればよいですか?
まず、PowerShellで証明書のバージョンを確認してください。2011年版のみの場合は、Windows Updateを最新にし、PCメーカーのBIOSアップデートを確認してください。また、万が一に備えて回復ドライブを作成し、重要データのバックアップを取っておくことをおすすめします。
Q3. セキュアブートを無効にしたまま使い続けても大丈夫ですか?
セキュアブートを無効にした状態でもWindowsは動作しますが、セキュリティリスクが高まります。マルウェアがブートプロセスに侵入しやすくなるため、あくまで一時的な回避策として使用し、証明書を更新した後は必ず再有効化してください。
Q4. LinuxとのデュアルブートPCでも影響がありますか?
はい、LinuxとのデュアルブートPCでもセキュアブートが有効になっていれば影響を受ける可能性があります。特にLinux側のブートローダー(GRUB等)もMicrosoftの証明書で署名されている場合、Windows・Linux双方の起動に影響が出ることがあります。
Q5. 自作PCの場合はどうすればよいですか?
自作PCの場合は、マザーボードメーカー(ASUS、MSI、Gigabyte、ASRock等)のサポートサイトからBIOSアップデートを確認してください。マザーボードのモデル名で検索し、セキュアブート証明書の更新を含むBIOSがリリースされていれば適用してください。
Q6. 証明書を手動でインストールすることはできますか?
上級者向けですが、Microsoftが提供するツールを使ってUEFI DB(Signature Database)に新しい証明書を手動で追加することは技術的に可能です。ただし、操作を誤るとPCが起動不能になるリスクがあるため、一般ユーザーにはWindows UpdateやBIOSアップデートでの更新を強くおすすめします。
Q7. 起動できなくなった場合、データは失われますか?
セキュアブート証明書の問題でPCが起動できなくなっても、ストレージ上のデータ自体は影響を受けません。BIOSでセキュアブートを無効にするか、回復ドライブから起動すれば、データにアクセスできます。ただし、BitLockerで暗号化されている場合は回復キーが必要です。
まとめ
2026年6月27日に失効する「Microsoft UEFI CA 2011」証明書の問題は、事前の確認と対策で完全に回避できる問題です。
まずはPowerShellで自分のPCの証明書バージョンを確認し、2011年版のみの場合はWindows Updateの適用とBIOSアップデートを行いましょう。すでに起動できなくなった場合でも、BIOSでセキュアブートを一時無効化することで復旧可能です。
この問題はMicrosoftが段階的に対応しているため、Windows Updateを常に最新に保つことが最善の予防策です。また、万が一に備えて回復ドライブの作成と重要データのバックアップを今すぐ行うことをおすすめします。
