Windows 10/11のこととか掲示板

この話はややこしく難しいので、私自身が完全には理解していない
ので、ざっくりした話でしか説明できません。なので、そんな話も
あるんだな程度で読んでください。詳細に解説しようとすると
Webサイトに複数以上のページができてしまうくらいの話になって
しまうと思われますので…

まず、セキュアブートって何？という話ですが PC 起動時に
許可されたドライバーやプログラム以外は実行できないようにして
セキュリティを高める仕組みだという事です

セキュアブートとは｜「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
https://wa3.i-3-i.info/word16972.html

で、少し古い PC には、古いセキュアブート証明書が BIOS（UEFI）に
インストールされていて、その期限が 2026年6月から順次期限切れになり
セキュアブートが有効に機能しなくなるらしいです。その話が
一部では、セキュアブートの期限を迎えると PC が起動しなくなる
のではないかという、憶測が広がっていたりします。MS は
セキュリティが機能しないが、起動はすると言っています

Windows デバイスでセキュア ブート証明書の有効期限が切れた場合 - Microsoft サポート
https://support.microsoft.com/ja-jp/topic/when-secure-boot-certificates-expire-on-windows-devices-c83b6afd-a2b6-43c6-938e-57046c80c1c2

2024年以降発売のほとんどの PC では、新しい証明書がインストール
されており、Windows Update で比較的簡単に対応できるらしいので
あまり深刻な問題ではないそうです

Microsoft、年内期限切れになるWindowsの「セキュアブート」証明書を2月の月例パッチで更新 - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2602/11/news028.html
前略
> 新しい証明書は2023年に発行されており、2024年以降発売のほとんどの
> Windowsデバイスに搭載されているが、それ以前の古いPCでは
> アップデートが必要だ。
-----------------------------------------------------------------
【特集】PCが起動不能になる？6月に期限切れを迎えるセキュアブート証明書問題とは - PC Watch
https://pc.watch.impress.co.jp/docs/topic/feature/2086628.html

新しいセキュアブート証明書がインストールされているか確認するには
wenbang 様提供の「セキュアブート証明書チェッカー」を使うと、簡単に
確認する事ができます。また、同時にブートマネージャーが新しい
セキュアブート証明書に対応したものかどうかの状態も確認できます

Windows セキュアブート証明書のバージョン・有効期限を調べる方法 | Windows 技！
https://windows-waza.com/how-to-check-the-version-and-expiration-date-of-windows-secure-boot-certificate/

で、私が所有している三台の PC が…

2021年8月27日 発売
パソコン工房 iiyama PC STYLE-15FH050-i3-UCEX-D（Core i3 10110U/Win10 22H2/Win11 24H2

2024年2月22日 発売
Lenovo V15 Gen4 AMD（Ryzen 5 7430U/Win 11 24H2

2024年9月28日 発売
Minisforum UM760 Slim（Ryzen 5 7640HS/Win11 24H2

Lenovo と Minsforum のものは比較的新しく、Lenovo のものは
BIOS（UEFI）のアップデートが結構あるので、それがあるからなのか
新しい証明書がインストールされていました。Minisforum のものは
BISO（UEFI）のアップデートはありませんでしたが、確認したところ
新しい証明書がインストールされていました。ブートマネージャーは
両方とも古いままでした

その事もあってか 2026-02 の月例更新 KB5077181 を適用したところ
古いブートマネージャーだったのものが、新しいものに更新され
新しいセキュアブートに関する問題からは解放されました（？）

問題はパソコン工房 iiyama PC で、確認したところセキュアブート証明書、
ブートマネージャーの両方とも古いものでした。そこで BIOS（UEFI）の
更新はされないのか問い合わせてみたのですが、更新の予定はない
との返答。なので、セキュアブート証明書の有効期限が来ても問題なく
使用できるのか？と質問してみると、返答はなく放置プレイという状態に…

という事で、ダメもとで「セキュアブート回復メディア」を使用して
新しいセキュアブート証明書のインストールを試してみたところ
インストールに成功しました。後は Windows Update で
ブートマネージャーが更新されないか、経過観察しています

Windows 11 が起動しなくなる？「セキュアブート2023年署名」問題と修復ツールの作成手順 | Windows 技！
https://windows-waza.com/windows-11-wont-boot-secure-boot-2023-signature-issue-and-how-to-create-a-repair-tool/

最悪の場合は、セキュアブートをオフで使用する事になるのではないかと
思われます。PC メーカーがこの問題に対応せずに、サポートを
切り捨てたりする可能性もあるのではないかと予想しています

そういえば、仮想環境（Oracle VM VirtualBox v7.2.6）の
セキュアブートはどうなってるの？って事で Win11 24H2 を
クリーンインストールした仮想環境で「セキュアブート証明書チェッカー」
を使って確認してみました

結果は、クリーンインストール直後の状態を保存した仮想環境では
証明書は新しいものでしたが、ブートマネージャーは古いものでした

そこで Windows Update を行い 2026-02 KB5077181 を適用して
みたところ、新しいブートマネージャーに更新されていました

普通に使っていれば特に問題が起こる事はなさそうな感じです

ただ、クリーンインストール直後の状態を保存した仮想環境では
古いブートマネージャーのままなので、期限を迎えた場合どうなるのかは
分かりません。時間を未来に設定して確かめるとか？？？

セキュアブート証明書、ブートマネージャーの両方とも古い
パソコン工房 iiyama PC STYLE-15FH050-i3-UCEX-D/Core i3 10110U/Win10 ESU
の環境に「セキュアブート回復メディア」を使用して、新しい
セキュアブート証明書をインストールしたのですが ESU に突入している
Win10 22H2 ではどうなるのか？という疑問があります。記事によれば
大丈夫的な事が書いてありますが、実際のところはどうなのか経過観察を
したいと思います

Microsoft、年内期限切れになるWindowsの「セキュアブート」証明書を2月の月例パッチで更新 - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2602/11/news028.html
前略
> Windows 10ユーザーの場合は、Microsoftの拡張セキュリティ更新
> プログラムに登録している場合は新しい証明書に更新できる。

セキュアブート証明書、ブートマネージャーともに古い状態のものに
「セキュアブート回復メディア」を使用して、無理やり新しい
セキュアブート証明書をインストールしてみた
パソコン工房 iiyama PC STYLE-15FH050-i3-UCEX-D/Core i3 10110U/Win10 22H2 ESU
ですが、何も変化がないみたいなので調べてみたところ、イベントビューアーに
「エラー イベント 1802,TPM-WMI」が記録されていました。メッセージは
UEFI のアップデートが必要なように読めます。アップデートの予定が
ないと宣告されたという事は…切り捨て？？？

まぁ、使用中に突然電源が落ちたり、有線LAN（Intel Ethernet Connection I219-V
が認識されなくなったりで、品質が悪かったので次はないよねっていう…

> エラー イベント 1802,TPM-WMI
> セキュア ブートの更新プログラム DBX は、デバイスの既知の
> ファームウェアの問題のため、ブロックされました。デバイスの
> ベンダーに問い合わせて、問題に対処するファームウェアの
> 更新プログラムについて確認してください。このデバイス署名情報は
> 次に含まれています。
> DeviceAttributes:
> BucketId:
> BucketConfidenceLevel:
> SkipReason: KI_4。

事実の経緯を書き記しておきます

2026/01/18：セキュアブート証明書の更新をする UEFI の更新があるのか、
　　　　　　　パソコン工房のサポートページよりメールで質問を送信

2026/01/20：パソコン工房より、UEFI（証明書）の更新予定はないと返信

2026/01/21：その返信のメールに対して、直接返信する形で、証明書の
　　　　　　　期限を迎えた場合、問題なく使用できるのか？と返信

2026/02/18：四週間経っても返信がないので、CPU は Win11 の要件を
　　　　　　　満たしており（出荷時は Win10）まだ使えるものである事を
　　　　　　　伝える。このまま黙殺してサポートを切り捨てるつもりなのか？
　　　　　　　と、改めてサポートページよりメールを送信

2026/02/20：二日後に返信があり、返信は1/21に送信していると伝えられる
　　　　　　　しかし、迷惑メールフォルダは空で、返信をしたというのは
　　　　　　　かなり疑わしい。また、詫びの一言もない返信でした
　　　　　　　問題の件（セキュアブート証明書の更新）については、
　　　　　　　現時点では予定なので確約できないが Windows Update で
　　　　　　　証明書の更新予定とのこと
　　　　　　　
私はクレーマーなのでしょうか？？？

UEFI の設定変更をすると証明書が消えるという話があるのですが
wenbang 様提供の「セキュアブート証明書チェッカー」を使って
手持ちの PC で検証してみました

Windows 11 が起動しなくなる？「セキュアブート2023年署名」問題と修復ツールの作成手順 | Windows 技！
https://windows-waza.com/windows-11-wont-boot-secure-boot-2023-signature-issue-and-how-to-create-a-repair-tool/#index_id2

まず、2024年以降に発売された比較的新しい Lenovo と Minisforum の
PC で確認してみました。両機とも Win11 24H2 2026-02 の
月例更新 KB5077181 を適用し、証明書、ブートマネージャーともに
新しいものに更新された環境です

2024年2月22日 発売
Lenovo V15 Gen4 AMD（Ryzen 5 7430U/Win 11 24H2
2024年9月28日 発売
Minisforum UM760 Slim（Ryzen 5 7640HS/Win11 24H2

Lenovo V15 Gen4 AMD（UEFI メーカー不明
・デフォルト設定のロード後、Save & Exit → 特に問題なし
・セキュアブートのオン、オフ → 特に問題なし
・セキュアブートキーを工場出荷状態に復元 → 特に問題なし

Minisforum UM760 Slim（UEFI メーカー AMI American Megatrends International v02.22.0058
・デフォルト設定のロード後、Save & Exit → 特に問題なし
・セキュアブートのオン、オフ → 特に問題なし
・セキュアブートキーを工場出荷状態に復元 → 特に問題なし
・全てのセキュアブートキーデーターベースを NVRAM から削除 → 特に問題なし

どのような設定変更を行っても証明書が消えたりする事はありませんでした
この結果から、両機とも工場出荷状態から新しい証明書が
インストールされていたと考えられます。また、ブートマネージャーが
ロールバックされる事もありませんでした

そして、UEFI の更新がないとの宣告を受けた、パソコン工房 iiyama PC
証明書、ブートマネージャー両方ともに古いもので
セキュアブート回復メディアを使用して、新しい証明書をインストール
した環境です

2021年8月27日 発売
パソコン工房 iiyama PC STYLE-15FH050-i3-UCEX-D
Core i3 10110U/Win10 22H2/Win11 24H2（UEFI メーカー Insyde
・デフォルト設定のロード後、Save & Exit → 特に問題なし
・セキュアブートのオン、オフ → 特に問題なし
・セキュアブートキーを工場出荷状態に復元 → 新しい証明書が消失

セキュアブートキーを工場出荷状態に復元すると新しい証明書が消えるのは
予想可能な結果ではあります。注意しないといけないのは、少し古い
PC で、工場出荷状態の証明書が古い環境だと思います。新しい
ブートマネージャーに更新された状態で、証明書だけが古い状態に
戻った場合、セキュアブートがオンのままでは起動できなくなるのでは
ないかと思われます

なお、この結果は私の環境に限った話なので、全ての環境で同じである
保証はありませんので、ご留意を