Event ID 1801が出た方へ:セキュアブート2026年問題とKB5077181更新の全解説
- 公開日:2026/2/17
- 最終更新日:
- パソコン日記
- Event ID 1801が出た方へ:セキュアブート2026年問題とKB5077181更新の全解説 はコメントを受け付けていません
Event ID 1801が出た方へ:セキュアブート2026年問題とKB5077181更新の全解説
はじめに:セキュアブート証明書更新、ついに本格展開へ
2026年2月の「Patch Tuesday(月例更新)」にて、Windowsのセキュリティ根幹に関わる重要な更新が本格的にスタートしました。それが、「Secure Boot(セキュアブート)証明書の自動更新」です。
2011年に発行された証明書が2026年6月に寿命を迎える、いわゆる「セキュアブート2026年問題」。これを回避するために、Microsoftは新しい「Windows UEFI CA 2023」証明書への置き換えを進めています。
本記事は、1月にお伝えした「更新準備パッチ(KB5074109)」の記事の続報となります。
ここからは、2月のアップデートで具体的に何が変わったのか、確認手順と注意点を見ていきましょう。
⚠️ 注意事項
KB番号やビルド番号は執筆時点のものです。必ずMicrosoft公式サポートページで最新情報を確認するようにしてください。次回以降の更新で挙動が変更される可能性があります。
2月アップデートで何が変わったのか
2026年2月10日(米国時間)に配信されたWindows 11向け更新プログラム(24H2/25H2向け KB5077181(ビルド26100.7840 / 26200.7840)、23H2向け KB5075941(ビルド22631.6649))には、セキュリティ修正に加え、証明書更新に関する重要な「仕掛け」が含まれています。
品質更新に「デバイス識別データ」が含まれるようになった意味
今回のアップデート最大の特徴は、更新プログラムの中に「広範なターゲティングデータ(デバイス識別データ)」が含まれるようになったことです。
これまでMicrosoftは、「準備ができたデバイスから順次」更新すると述べるにとどめていました。しかし2月の更新により、PCが新しい証明書を受け入れ可能かどうかを判断するための詳細なデータ収集と判定ロジックがOSに組み込まれました。
これにより、Microsoftは「十分な成功シグナル(アップデートが安全に行えるという確証)」が得られたデバイスに対してのみ、新しい証明書を配布する「段階的ロールアウト」を安全に実行できるようになります。つまり、いきなり全ユーザーのBIOS(UEFI)を書き換えるような危険なことはせず、安全確認が取れたPCから慎重に適用していくフェーズに入ったと言えます。
23H2向けKB5075941:ブートマネージャーの自動置換に注意
特にWindows 11 23H2ユーザー(KB5075941適用)は、一歩進んだ変更が行われます。条件を満たしたデバイスでは、Windowsの起動を司る「Windows Boot Manager (bootmgfw.efi)」が、従来の2011年署名版から、新しい2023年署名版へと自動的に置き換えられます。
なお、24H2/25H2向けKB5077181にも同様のターゲティングデータが含まれており、今後の更新で対象が拡大される見込みです。
自動置換の発動条件
- すでにPCの「DB(許可された署名データベース)」内に、新しい証明書「Windows UEFI CA 2023」が存在していること
⚠️ 重大な注意:DBリセットによる起動不可リスク
もし、OS側でブートマネージャーが2023年版に置き換わった後で、ユーザーがBIOS設定画面から「Secure Bootキーのリセット」や「DBのクリア」を行ってしまうと、ファームウェア側の許可リストから2023年証明書が消えてしまう可能性があります。
その場合、「Secure Boot violation(セキュアブート違反)」というエラーが表示され、Windowsが起動できなくなるリスクがあります。この更新が適用された後は、むやみにBIOSのセキュアブート設定を初期化しないよう注意が必要です。
自分のPCの証明書状態を今すぐ確認する方法
「自分のPCは更新されたのか?」「まだ古いままなのか?」これはWindowsの設定画面からは見えません。管理者権限のPowerShellを使って、内部のデータベースを直接覗くのが確実です。
以下の手順で、DB(許可リスト)とKEK(鍵交換キー)の状態を確認しましょう。
PowerShellコマンドで確認(管理者として実行)
スタートボタンを右クリックし、「ターミナル(管理者)」または「PowerShell(管理者)」を起動し、以下のコマンドをコピー&ペーストして実行してください。
1. DB(許可リスト)に「2023年証明書」があるか確認
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'- True:更新済みです。あなたのPCは新しい証明書を持っています。
- False:まだ更新されていません(または準備中です)。
2. KEK(鍵交換キー)が更新されているか確認
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'- True:KEKも更新済みです。2026年以降もDB/DBXの更新を受け取れます。
レジストリキー「UEFICA2023Status」の読み方
更新プロセスがどの段階にあるかは、レジストリでも確認できます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing にある UEFICA2023Status という値を確認します。
- NotStarted:まだ始まっていません。
- InProgress:更新処理中です(再起動待ちなどの状態)。
- Updated:更新完了。
イベントビューアー Event ID 1801・1808の意味
「イベントビューアー」の「システム」ログに、以下のIDが出ていないか確認してください。
- Event ID 1808:成功。新しい証明書が正常に適用されました。
- Event ID 1801:適用未完了。「更新はあるが、まだ適用されていない」状態です。
多くのユーザーがこの「1801」を見て不安になっていますが、これについては次項で詳しく解説します。
【独自解説】段階ロールアウトの全体像とOEM別対応状況
ここでは、他サイトではあまり触れられていない「ロールアウトの裏側」と「メーカーごとの対応差」について深掘りします。
「Under Observation」の正体(Event ID 1801)
イベントビューアーで Event ID 1801 が記録され、詳細に BucketConfidenceLevel: Under Observation – More Data Needed というメッセージが出ている場合、これは「エラー(故障)」ではありません。
これはMicrosoftの慎重な配布戦略の一部です。
- OSが新しい証明書をダウンロードした(ステージング)。
- しかし、あなたのPC(機種・構成)での適用実績データがまだ不足している。
- 「観察中(Under Observation)」とし、安全が確認されるまでファームウェアへの書き込みを保留している。
つまり、Windowsが「今はまだ書き込むのはリスクがあるかもしれないから、もう少し様子を見よう」と判断して止めてくれている状態です。焦ってBIOSをいじる必要はありません。
OEMメーカー別の対応状況と温度差
証明書の更新はMicrosoftだけでなく、PCメーカー(OEM)の協力が不可欠です。各社の対応には温度差があります。
Dell(デル)
2024年後半以降のモデルでは、工場出荷時から「2011年版」と「2023年版」の両方の証明書を持つデュアル証明書戦略を導入しています。また、BIOSアップデートを通じて既存モデルの「デフォルトDB」も更新しています。
HP / Lenovo
Microsoftと公式に連携を表明しており、BIOSアップデートを通じて証明書更新をサポートしています。
ASUS
自作PCやマザーボードユーザー向けに、手動でのキー更新手順(「Install Default Secure Boot Keys」など)を詳細に公開しています。
サポート終了から5〜6年経過した古いデバイス
ここが問題です。Microsoftは更新プログラムを配信しますが、PC側のファームウェアが古すぎて書き込みを受け付けない場合、OEMが新しいBIOSを提供しない限り、自動更新が失敗し続ける可能性があります。
このような「古いPC」の場合、2026年以降はセキュリティ更新の一部(ブート関連)が受け取れなくなる「セキュリティ低下状態」になることが予想されます。
注意点とやってはいけないこと
更新期間中、以下の操作はトラブルの原因となるため避けてください。
やってはいけないこと(重要)
- Secure Bootを「無効」にしない
無効にすると、そもそも新しい証明書を受け取れません。また、セキュリティリスクが増大します。 - DBリセットやSecure Bootのトグル(ON/OFF)に注意
前述の通り、Windows Updateで一時的に書き込まれた「アクティブな証明書」が、BIOSのリセット操作によって消えてしまうリスクがあります。特にブートマネージャーが更新された後(KB5075941適用後)にこれを行うと、起動不可になる恐れがあります。 - BitLocker回復キーのバックアップ
セキュアブート関連の更新は、ファームウェアの変更とみなされ、BitLockerの回復キーを求められることがあります。必ず手元に用意しておきましょう。 - 古い回復メディアが使えなくなる
証明書が切り替わると、古い(2011年署名の)USB回復ドライブやインストールメディアから起動できなくなる可能性があります。更新完了後は、回復メディアを作成し直すことを強く推奨します。
よくある質問(FAQ)
読者の皆様から想定される疑問に回答します。
Q1. イベントビューアーにEvent ID 1801エラーが出ているが大丈夫か?
A. 大丈夫です。これは「更新の準備はできているが、安全のため適用を待機している」状態を示すログです。故障ではありません。Microsoft側で安全が確認され次第(または次回以降の更新で)、自動的に適用される見込みです。
Q2. 自分のPCがすでに2023年証明書を受け取っているか確認する方法は?
A. PowerShellコマンドで確認できます。前述の「PowerShellコマンドで確認」の章を参照してください。実行結果に「True」と出れば、あなたのPCはすでに未来のセキュリティに対応済みです。
Q3. 6月の期限切れまでに更新されなかったらPCは起動しなくなるのか?
A. いいえ、起動しなくなることはありません。期限が切れても、PCはこれまで通り起動し、WordやExcelなども問題なく使えます。ただし、将来的な「ブート領域のセキュリティ修正」が適用できなくなり、セキュリティレベルが低下した状態になります。
Q4. Windows 10(ESU加入済み)でも新しい証明書はもらえるのか?
A. はい、提供されます。Windows 10のサポートは2025年10月に終了しましたが、有償の「拡張セキュリティ更新プログラム(ESU)」に加入しているデバイスには、今回の証明書更新パッチ(KB5075912など)が提供されます。ESU未加入のWindows 10は更新対象外となるため注意が必要です。
Q5. BIOSアップデートは必要か?自分のメーカーが対応しているか分からない
A. 基本的にはWindows Updateだけで完結しますが、古いPCではBIOS更新が必要な場合があります。多くのPCではWindows Update経由で自動的に処理されます。しかし、更新が何度も失敗する場合(Event ID 1795など)は、PCメーカーの公式サイトで最新のBIOSが出ていないか確認し、適用することをお勧めします。
まとめ:セキュアブート証明書更新への対応
2026年2月のアップデートにより、セキュアブート証明書の更新は「準備段階」から「実行段階」へと移行しました。
- 一般ユーザーの方:Windows Updateを「最新」に保ち、余計な操作(BIOSの初期化など)をしなければ、多くの場合は自動的に対応が完了します。
- Event ID 1801が出ている方:焦らず待ちましょう。Microsoftが安全確認を進めています。
- 今後のスケジュール:2026年6月の期限に向け、今後数ヶ月のPatch Tuesdayで対象デバイスが順次拡大されていく見通しです。
「証明書更新」と聞くと難しそうですが、要は「PCの身分証を新しいものに取り替える作業」です。これを機に、一度PowerShellで自分のPCの状態をチェックしてみてはいかがでしょうか。
パソコン・iPhone・スマホの初期設定から専門性の高い難しい設定まで「安心」「安全」にPCホスピタルにお任せできます!