2026年1月29日にリリースされた Windows 11 のプレビュー更新プログラム KB5074105、および次回以降の正式版アップデートは、これまでの準備段階を終え、セキュアブート更新の「通常展開」を開始する重要な転換点です。
当サイトでは、この影響と対策を正確にお伝えするため、実機を用いて意図的に「セキュアブート違反で起動しない状況」を再現し、そこからの完全復旧までを実際に検証しました。
KB5074105 に限らず、これ以降の更新を適用するすべての Windows 11 ユーザー(バージョン 24H2 / 25H2)において、PC の起動プロセスが物理的に書き換わることになるため、その内容を正しく理解し、万が一の事態に備える必要があります。
KB5074105(プレビュー)およびそれ以降の正式版で何が起きるのか?
今回の更新(プレビュー版を含む今後のすべてのアップデート)では、すでに「Windows UEFI CA 2023」証明書が BIOS(DB)内に存在するデバイスを対象に、ブートマネージャーの置き換えが順次実行されます。
- 署名の刷新と事前確認: これまで使われてきた「2011年署名」の
bootmgfw.efiが、新しく「2023年署名」のbootmgfw.efiに置き換わります。 ただし、一部の環境によっては、今回の更新をインストールする前に、すでに新しいファイルへ置き換わっている可能性があります。ご自身の PC が現在どちらの署名を使っているかは、手動で調べるか、下記ページで公開しているツールで簡単に確認できます。 - 通常展開への移行: これまでは手動設定や段階的な準備期間でしたが、本パッチおよび次回の正式版をもって、システムによる自動的な「実行フェーズ」に入ります。これにより、セキュアブートのセキュリティレベルが強制的に引き上げられることになります。
⚠️ 「セキュアブート違反」が発生するリスク
ここでは、Microsoft が警告している「具体的な操作」を明確にしつつ、なぜそれが危険なのかを解説します。
この更新が適用された後、PC の起動システム(ブートマネージャー)は「2023年版の鍵」がなければ動作しない状態になります。ここで最大のリスクとなるのが、DB(証明書データベース)やセキュアブート設定の操作です。
- 引き金: DB(証明書データベース)のリセット、または セキュアブートのオン/オフを切り替える こと。 ※ 機種によっては「BIOS 設定の初期化(Load Default)」を行うと、連動して DB もリセットされる場合があります。
- 結果: もしこれらの操作によって「2023年版の証明書」の情報が失われてしまうと、BIOS は新しくなったブートマネージャーを「不正なファイル」と誤認します。その結果、「Boot failure」といったエラーが表示され、Windows が起動できなくなります。(セキュアブート違反)
Boot failure : a proper digital signature was not found. One of the files on the selected boot device was rejected by the Secure Boot feature.
日本語訳:
ブート失敗: 適切なデジタル署名が見つかりませんでした。選択したブートデバイス上のファイルの 1つがセキュアブート機能によって拒否されました。
あなたの PCに「2023年の鍵」はあるか?
KB5074105 以降の更新は、BIOS(DB)内にすでに「Windows UEFI CA 2023」証明書が存在するデバイスに対してのみ、ブートマネージャーの置き換えを実行します。 つまり、「鍵がある人」ほど、更新後の BIOS リセットに注意が必要です。
以下の手順で、自分の PC が対象かどうかを確認しましょう。
方法1:専用ツールで簡単に確認する(推奨) 当サイトで配布しているチェックツールを使えば、ワンクリックで判定できます。 👉 Windows セキュアブート証明書チェッカーのダウンロード
方法2:PowerShell コマンドで確認する ツールを使わずに確認したい場合は、以下の手順を行います。
- スタートボタンを右クリック>「ターミナル(管理者)」をクリックします。
- 以下のコマンドをコピー&ペーストして実行してください。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'判定結果:
- True(またはツールで「【Windows UEFI CA 2023】 – 有効期限:2035年6月」が表示されている)の場合:
- あなたの PC は対象です。 更新プログラムを適用すると、更新タスクが実行されると同時にブートマネージャーが最新署名版に書き換わります。万が一の起動不能トラブルに備え、必ずセキュアブート回復メディアを作成してください。
- False(または検出なし)の場合:
- 今回の「強制置換」の対象外です。現時点でのリスクは低いですが、将来的な全展開に備えて仕組みを理解しておくことをおすすめします。
「更新タスク」の詳細については、下記のページを参考にしてみてください。
2025/11/03 追記:【上級者向け】手動でセキュアブート証明書を即時更新する方法
対策法:セキュアブート回復メディアの作成
マイクロソフトは、この稀なケースによる起動不能トラブルを解決するために、専用の「回復メディア」を作成しておくことを強く推奨しています。
前提:以下の 2つの条件を満たす PC で作業してください
公式ドキュメントに基づき、必ず以下の両方の条件を満たしている PC で作成作業を行ってください。
- 2025年7月8日以降の更新プログラムが適用されていること
- 「2023年版の新しい証明書」を持っていること(セキュアブートDB が更新済みであること) ※当サイトのチェックツールで「2023年版」と判定されれば OK です。
STEP 1:ベースとなる「回復ドライブ」を用意する
まずは、通常の「回復ドライブ」を作成します。
Win11 回復ドライブとは?回復ドライブの作成方法と具体的な内容
【⚠️ 重要:作成前に必ずお読みください】
これから行う手順(STEP 2 以降)を実施すると、この回復ドライブは「DB(許可データベース)から失われた『2023年版の証明書』を修復するための専用ツール」へと変化します。
そのため、この USB メモリを使って Windows 11 を再インストール(初期状態に戻す)することはできなくなります。
- このドライブの用途: セキュアブート違反で起動しなくなった PC の鍵を直す(専用)
- できないこと: Windows の初期化、修復環境(WinRE)のコマンドプロンプト操作など
もし、Windows の再インストール用として通常の回復ドライブも確保しておきたい場合は、この修復ツール用とは「別にもう一本」USBメモリを用意して作成してください。
STEP 2:起動システムを「2023年対応版」で再構築する
※重要:以下、USBメモリのドライブ文字を D: と仮定して解説します。
ここからコマンドプロンプト(管理者)を使用します。
コマンドプロンプトの開き方を見る
1.Windowsキー + R を押して「ファイル名を指定して実行」を開きます。
2.「cmd」と入力します。
3.Shiftキー + Ctrlキーを押しながら Enter を押してください。
4.「ユーザーアカウント制御」が表示されたら「はい」をクリックします。
以下のコマンドを 1行ずつ実行してください。
copy D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK- 【解説】 回復ドライブが元々持っている「設定ファイル(BCD)」を一時退避(バックアップ)させます。
- ※重要: Enterキーを押した後、画面に「1 個のファイルをコピーしました。」と表示されたことを必ず確認してください。「指定されたパスが見つかりません」等のエラーが出る場合は、ドライブ文字(D:など)が間違っている可能性があります。
bcdboot c:\windows /f UEFI /s D: /bootex- 【解説】 ここが最重要コマンドです。
/bootexオプションを付けることで、PC 内にある最新の(2023年の更新に対応した)ブート関連ファイルを、USB メモリ上に強制的に展開・構築します。これにより、USBメモリのシステム部分が「新しい鍵」に対応した状態にリフレッシュされます。
copy D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD- 【解説】 最初に退避させておいた「回復ドライブ用の設定ファイル」を元の場所に戻します。これで、USBメモリとしての基本的な体裁を整えます。
STEP 3:鍵を直す「専用アプリ」を起動プログラムにする
ここが『修復専用』への切り替わりポイントです。 通常の Windows 起動プログラムを、「鍵を修復する専用ツール」に置き換えることで、この USBメモリを「修復専用」に改造します。
md D:\EFI\BOOT- 【解説】 USBメモリが起動する際に最初に読みに行く「標準の起動フォルダー(\EFI\BOOT)」を作成します。(※既に存在するというエラーが出た場合は、そのまま無視して次へ進んでください)
copy C:\windows\boot\efi\securebootrecovery.efi D:\efi\boot\bootx64.efi- 【解説】 この操作により、USBメモリの役割が完全に変わります。 本来起動するはずのブートローダーの代わりに、マイクロソフト純正の修復ツール(
securebootrecovery.efi)を、起動ファイル名(bootx64.efi)にリネームして配置しました。 これで、「セキュアブート修復用メディア」の完成です。
セキュアブート回復メディアの使い方と挙動
作成した回復メディアを使って、実際に起動しなくなった PC を修復する手順です。 当サイトでの検証に基づき、実際の挙動を解説します。
1. PC に回復メディアを挿入し、USBから起動する
作成した USBメモリを PC に挿入し、電源を入れます。 すぐにメーカー指定のキー(F12、F11、F8 など)を押して「ブートメニュー」を呼び出すか、BIOS 設定画面(F2、Del など)に入り、起動順位(Boot Priority)を変更して、USB メモリから起動するように指定してください。
※ USB メモリの名称は、「UEFI: (メーカー名) USB」のように表示されることが多いです。
参考: メーカー別 ショートカットキー一覧(BIOS / ブートメニュー)
| メーカー | ブートメニュー (推奨) | BIOS設定画面 |
| HP | F9 (または Esc) | F10 |
| Dell | F12 | F2 |
| Lenovo | F12 | F2 (または Fn+F2) |
| NEC / 富士通 | F12 | F2 |
| Dynabook (東芝) | F12 | F2 (または Esc+F1) |
| ASUS | F8 (または Esc) | F2 / Delete |
| MSI | F11 | Delete |
| Surface | (音量下+電源) | (音量上+電源) |
| 自作PC / BTO | F11 / F12 | Delete |
2.自動修復が実行される(操作不要)
このツールは全自動です。ユーザーが何かをクリックしたり入力したりする必要はありません。 画面には黒い背景に以下のような白い文字が表示されます
Microsoft Secure Boot Recovery Version 1.0
Visit https://aka.ms/securebootrecovery to learn more about this application.
Checking Secure Boot Certificate Configuration…
Updating the Secure Boot Certificate database with the Microsoft UEFI 2023 certificate…
Secure Boot Certificate database successfully updated.
System will reboot in 10 seconds.
日本語訳
Microsoft セキュアブート回復 バージョン 1.0
このアプリケーションの詳細については、https://aka.ms/securebootrecovery をご覧ください。
セキュアブート証明書の構成を確認しています…
Microsoft UEFI 2023 証明書を使用してセキュアブート証明書データベースを更新しています…
セキュアブート証明書データベースが正常に更新されました。
システムは 10 秒後に再起動します。
3.自動的に再起動して復旧完了
「データベースの更新に成功しました(successfully updated)」と表示された後、10秒で勝手に PC が再起動します。 これで BIOS 内の鍵穴(DB)に「2023年版」が補充されました。USBメモリを抜けば、今まで通り Windows が正常に起動します。
4. USBメモリを取り外す(重要) 画面が暗くなり、再起動が始まったら、すぐに USBメモリをパソコンから抜いてください。
- ブートメニュー(F12など)を使った場合: USB を抜くだけで OK です。設定は一時的なものなので、自動的に普段の Windows(HDD/SSD)から起動します。
- BIOS 設定で「起動順位」を変更した場合: USB を抜いた後、必要であれば BIOS 設定画面に入り、起動順位(Boot Priority)を元に戻してください。
これで、無事に Windows のサインイン画面が表示されれば修復完了です。
まとめ:チェックツールで「2023年署名」を確認したユーザーがすべきこと
今回の仕様変更により、Microsoft が警告する「DB(証明書データベース)のリセット」や「セキュアブート設定の変更(オン/オフ)」といった操作が、セキュアブート違反を引き起こし、「Windows 11 が二度と起動しなくなる」という深刻なトラブルに直結するリスクが生まれました。
当サイト配布のチェックツール(SBCertificateChecker)で、「【Windows UEFI CA 2023】 – 有効期限:2035年6月」という表示が出た方は、KB5074105 の適用有無にかかわらず、いつトラブルが起きてもおかしくない状態です。
転ばぬ先の杖として、今のうちに「対策済み回復メディア(修復用USB)」を作成しておくことを強く推奨します。 特に自作 PC ユーザーや、BIOS 設定(セキュアブート周り)を操作する機会がある方は、物理的な救急箱(スペアキー)として、この USBメモリを手元に 1本用意しておくと安心です。