2026年6月にセキュアブート証明書が切れる問題について所有する8台のPCを調べたところ、1台だけ証明書が更新されていないPCが存在することがわかった。調査方法は以下のとおり。
- PowerShellを管理者モードで立ち上げる
- スクリプトを実行できるように実行ポリシーを変更する
Set-ExecutionPolicy RemoteSigned
- セキュアブートが有効かどうかを調べる
Confirm-SecureBootUEFI
3.で False となり、セキュアブートが無効である場合は、BIOS(UEFI)設定でセキュアブートを有効にする必要あり。
- UEFIv2モジュールをインストールしインポートする
Install-Module -Name UEFIv2 Import-Module -Name UEFIv2
- 現在のDBに2023年証明書があるか確認
(Get-UEFISecureBootCerts db).signature
CN=Microsoft UEFI CA 2023, O=Microsoft Corporation, C=US CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
のように表示されていればOK。
- KEKも確認
(Get-UEFISecureBootCerts KEK).signature
CN=Microsoft Corporation KEK 2K CA 2023, O=Microsoft Corporation, C=US
のように表示されていればOK。
調査の結果、問題が発覚したPCは、Intel NUC (NUC12WSBi7)だった。BIOSのセキュアブートの設定が有効であるにもかかわらず証明書が古いままとなっていた。このPCはIntelが発売していたミニPCで、当時はIntel製品として購入したが現在はASUSに移管されている製品だ。まず最初にASUSのサポートサイトにて最新のBIOSをダウンロードしてアップデートした。しかしこれだけでは問題は解消されなかった。色々と調べてみるとBIOSで「Factory Keys」をリストアする必要があることがわかった。
具体的には、BIOSの「Secure Boot」設定にある ”Restore Factory Keys”を実行して、最新BIOSに含まれる新しいキーを書き込まないといけないとのこと。ところが “Restore Factory Keys” がグレーアウトして実行することができない。これを実行するためには、同画面にある「Secure Boot Mode」を「Custom」に設定することでグレーアウトが解除され実行できる状態になった。工場出荷時の最新キーに書き換えることで初めて2023年証明書が有効になるようだ。再起動して上記同様の調査を実施したところ2023年の証明書が確認できた。
BIOSアップデートだけでは証明書が更新されないというトラップがあったわけだ。これはなかなか気づきにくい盲点だ。
