「2026年6月にパソコンが起動しなくなる」という衝撃的な情報が広まっています。これは根拠のない噂ではなく、Microsoftが公式に認めたセキュアブート証明書の有効期限切れ問題です。あなたのPCは大丈夫でしょうか?今すぐ確認して対策しましょう。
セキュアブートとは何か?なぜ重要なのか
セキュアブート(Secure Boot)とは、パソコンの起動時に不正なソフトウェアやマルウェアが読み込まれないようにする、UEFIファームウェアのセキュリティ機能です。Windowsが起動する前の段階で、デジタル署名を検証して信頼できるソフトウェアのみ実行を許可します。
セキュアブートが有効になっていると、以下のような攻撃を防ぐことができます:
- ブートキット:OSより先に読み込まれるマルウェア
- ルートキット:OSの深部に潜む不正プログラム
- 改ざんされたブートローダー:起動プロセスへの不正介入
Windows 11ではセキュアブートが必須要件となっており、現代のPCセキュリティの基盤となっています。
2026年6月問題:セキュアブート証明書の失効とは
問題の核心は、2011年に発行されたセキュアブート用デジタル証明書が有効期限を迎えることです。Microsoftは2025年にこの問題を公式発表しました。
失効する3つの証明書とスケジュール
| 証明書名 | 失効時期 | 影響 |
|---|---|---|
| Microsoft Corporation KEK CA 2011 | 2026年6月 | セキュリティ更新の受信不可 |
| Microsoft Corporation UEFI CA 2011 | 2026年6月 | サードパーティソフトの信頼喪失 |
| Microsoft Windows Production PCA 2011 | 2026年10月 | ブートマネージャーの修正受信不可 |
これらの証明書が失効すると、PCが起動できなくなったり、Windowsのセキュリティ更新が適用されなくなったりする可能性があります。
影響を受けやすいPCの特徴
- 2012〜2016年頃に購入した古いPC
- Windows 7または8からアップグレードしたマシン
- 古いLinuxとデュアルブート環境を構築しているPC
- BIOSファームウェアを長年更新していない自作PC
- 診断データ(テレメトリ)の送信を無効化しているEnterprise/Server環境
逆に、2025年以降に発売されたCopilot+ PCや最新デバイスは既に新しい証明書が搭載されているため対象外です。
あなたのPCは大丈夫?今すぐ確認する方法
セキュアブートの状態を確認する手順
まずはPCのセキュアブート状態を確認しましょう。以下の手順で簡単に確認できます。
- キーボードのWindowsキー + Rを押す
- 「ファイル名を指定して実行」に
msinfo32と入力してEnter - 「システム情報」が開いたら「セキュアブートの状態」を確認
- 「有効」と表示されていればOK、「無効」または「サポートされていません」の場合は要対応
PowerShellで証明書の更新状況を確認する方法
Microsoftは証明書の更新状況を確認するPowerShellスクリプトを公式提供しています。管理者権限でPowerShellを開き、以下を実行してください:
# 証明書更新状況の確認
check-securebootdb.ps1
# 自動更新の許可(未設定の場合)
allowautoupdate-securebootdb.ps1
# 手動で即時更新
updatenow-securebootdb.ps1また、レジストリで手動設定する方法もあります:
- パス:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecureboot - 値名:
MicrosoftUpdateManagedOptIn - データ:
0x5944
一般ユーザーは対処不要?自動更新の仕組みを解説
安心してください。Windowsの自動更新が有効になっている一般ユーザー(Home/Pro)は、基本的に自動で新しい証明書が配布されます。
| ユーザー種別 | 対応の必要性 |
|---|---|
| 一般ユーザー(自動更新ON) | 不要。自動で新証明書が配布される |
| 診断データを送信している管理デバイス | 不要 |
| 診断データを無効化しているEnterprise | 手動対応が必要 |
| Windows Server環境 | 手動対応が必要 |
| 2025年以降の新デバイス | 不要(新証明書搭載済み) |
ただし、自動更新を長期間無効にしているPCや、古いPCを使い続けている場合は要注意です。念のため確認することをおすすめします。
セキュアブートで起きる代表的なエラーと対処法
「Secure Boot Violation」エラー
症状:起動時に「Invalid signature detected. Check Secure Boot Policy in Setup」と表示される。
原因:ブートローダーやドライバのデジタル署名が無効または失効している。
対処法:
- BIOSでセキュアブートを一時的に無効化してWindowsを起動
- Windows Updateを実行してすべての更新を適用
- 署名済みドライバ・ブートローダーに更新
- セキュアブートを再度有効化
「Secure Boot State Unsupported」エラー
症状:システム情報でセキュアブートが「サポートされていません」と表示される。
主な原因と確認ポイント:
- CSM(互換サポートモジュール)が有効になっている:BIOSでCSMを無効化し、UEFIモード専用に設定する
- ディスクがMBR形式:GPT形式に変換する必要あり(データのバックアップ必須)
- TPMチップ非搭載:Windows 11はTPM 2.0が必要。搭載確認は「tpm.msc」コマンドで
- BIOSが古い:マザーボードメーカーの公式サイトから最新ファームウェアに更新
BIOSで有効なのにWindows上で無効と表示される
BIOS設定では「Enabled」なのに、msinfo32やWindows設定では「無効」と表示される場合があります。
対処法:BIOSの「セキュアブートキー管理」画面で「Factory Default Keys(工場出荷時デフォルトのキー)」を復元し、セキュアブートキーをリセットする。
BIOS/UEFI設定でセキュアブートを有効化する手順
セキュアブートが無効になっている場合は、以下の手順で有効化してください。
BIOS/UEFIへのアクセス方法
- PC再起動時にF2・F10・Del・Escキー(メーカーによって異なる)を連打
- または「設定」→「システム」→「回復」→「PCの起動をカスタマイズする」→「今すぐ再起動」→「トラブルシューティング」→「詳細オプション」→「UEFIファームウェアの設定」
セキュアブートの有効化手順
- BIOSメニューの「Boot」または「Security」タブを開く
- 「Secure Boot」の項目を「Enabled」に変更
- CSM(Legacy Support / Compatibility Support Module)が有効になっている場合は「Disabled」に変更
- 「Save and Exit」で保存して再起動
注意:CSMを無効化するとLinuxなど一部OSが起動しなくなる場合があります。デュアルブート環境の方は事前に各OSが署名済みブートローダーに対応しているか確認してください。
セキュアブートを無効化するリスクとは
「面倒だからセキュアブートを無効化してしまおう」と考える方もいるかもしれません。しかし、これは非常に危険です。
- 新しい証明書の自動受信が停止する可能性がある
- 起動時に未署名のソフトウェアが実行可能になり、マルウェア感染リスクが大幅増加
- Windows 11の必須要件を満たさなくなる(将来的に機能制限の可能性)
- 企業環境ではコンプライアンス違反になる場合も
特別な理由(開発用途・特定ハードウェアの対応待ち等)がない限り、セキュアブートは常に有効のまま維持することを強く推奨します。
この機会にPCのハードウェアも見直そう
2026年問題を機に、古いPCのセキュリティ環境を見直すことをおすすめします。特に以下のアップグレードは効果的です。
TPM 2.0対応マザーボードへの移行
古いPCでTPMが非搭載の場合、Windows 11への移行自体が困難です。TPM 2.0対応の最新マザーボードへの換装を検討しましょう。
SSDへの換装でOSの高速起動も実現
MBR→GPT変換が必要な場合、この機会にHDDからSSDへの換装も合わせて行うと起動速度が劇的に改善します。Windows 11対応のGPT形式でクリーンインストールすれば、セキュアブートも確実に有効化できます。
よくある質問(FAQ)
Q1. 自動更新が有効なら本当に何もしなくていい?
基本的にはそうですが、念のためWindows Updateを今すぐ実行して最新状態にしておくことをおすすめします。また、msinfo32でセキュアブートが「有効」になっていることを確認してください。
Q2. 古いPCでセキュアブートが「サポートされていない」場合はどうすれば?
2011年以前に発売された古いPCはUEFI非対応でセキュアブート自体が使えない場合があります。この場合、Windows 11への移行も困難なため、新しいPCへの買い替えを検討する時期かもしれません。
Q3. LinuxのデュアルブートでCSMを無効化したら起動できなくなった
古いLinuxディストリビューションはUEFI/セキュアブートに対応していないものがあります。最新のUbuntu(22.04以降)やFedoraはセキュアブートに対応していますので、ディストリビューションを最新版に更新することで解決できる場合があります。
Q4. 企業のWindows Server環境での対応は?
Enterprise・Server環境で診断データを無効化している場合は、自動更新されません。Microsoftが公式提供するPowerShellスクリプト(updatenow-securebootdb.ps1)を使用した手動対応、またはMDM(Microsoft Intune等)経由での一括適用が必要です。IT管理者に確認してください。
Q5. BIOSアップデートは必要?
必ずしも必要ではありませんが、古いファームウェアのままだとセキュリティリスクが残ります。マザーボードメーカーの公式サイト(ASUS・MSI・GIGABYTE・ASRock等)で最新BIOSが提供されているか確認し、可能であれば更新することをおすすめします。ただしBIOSアップデート中の停電は文鎮化のリスクがあるため、安定した電源環境で行ってください。
まとめ:今すぐやるべき3つのこと
2026年6月のセキュアブート証明書失効問題に備えて、今すぐ以下の3点を実施してください。
- msinfo32でセキュアブートが「有効」か確認:無効な場合はBIOS設定から有効化
- Windows Updateを実行して最新状態に:自動更新が有効なら証明書更新も自動で行われる
- BIOSファームウェアを最新版に更新:古いマザーボードのメーカーサイトで確認
特にゲーミングPC・自作PCユーザーや、数年前に購入したPCを使い続けている方は、早めに対応しておきましょう。何もしないまま2026年6月を迎えると、最悪の場合PCが起動しなくなるリスクがあります。
もし古いPCの限界を感じているなら、この機会に最新のWindowsに完全対応した新しいPCへの移行を検討するのも賢明な選択です。