Windows Server 2022の2026年6月アップデートで不具合【6/10更新】

🚨 重要：セキュアブート証明書が2026年6月から順次失効中

Windows Server 2022を含むほとんどのWindowsデバイスで使用されているセキュアブート証明書が2026年6月以降に順次失効します。KB5094128では新証明書（Windows UEFI CA 2023）への移行処理が継続展開されます。IT管理者はKB5094128適用前にBitLockerポリシーとPCR7バインド状態の事前確認を必ず実施してください。

• ✅ サーバーは引き続き通常通り起動・動作します（突然起動しなくなることはありません）
• ❌ ブートレベルのセキュリティ更新が停止します（DBXのマルウェアブラックリストが更新されなくなる）
• ⚠️ 対処法：Windows Updateを最新の状態に保つことで自動更新されます

📋 今月（2026年6月）のWindows Server 更新プログラム（関連バージョン含む）

✅ KB5094128 の主な修正・変更内容（参考情報）

• 🔍 ファイルエクスプローラーの検索改善：中国語テキストおよびBOM（バイトオーダーマーク）なしのUTF-8エンコードファイルへの対応向上。検索結果・コンテンツビュー・ツールチップ全体でテキスト表示の一貫性を改善
• 💱 サウジアラビアリヤル通貨記号の追加：Windowsフォントを改善し、新しいサウジアラビアリヤル（SAR）通貨記号を追加。Windowsアプリ全体でテキストの一貫性を維持
• 🔒 セキュアブートのリアルタイムステータス報告：Windowsセキュリティアプリ内でセキュアブート状態をリアルタイムに確認できる新機能を追加
• ⚙️ 新グループポリシー「LimitSecureBootRequiredServiceData」追加：Microsoftへのセキュアブートサービスデータ送信を制限できるポリシー設定を追加（コンピューターの構成 → 管理用テンプレート → Windowsコンポーネント → セキュアブート）
• 🛡️ セキュアブート証明書の段階的展開を継続拡大：高信頼デバイスへの新証明書（Windows UEFI CA 2023）配信カバレッジをさらに拡大
• 🔐 200件のセキュリティ脆弱性を修正（ゼロデイ3件含む。NFS・Task Scheduler・AD CS・Hyper-Vなどに関するCVEを含む）

📌 この記事の内容

1. 不具合①：BitLocker回復キーを求められる（PCR7グループポリシー設定との競合）【Microsoft公式・既知の問題として認定済み】
2. 不具合②：WSUSの同期エラー詳細が表示されない（継続中・既知の問題）
3. 不具合③：Hotpatch加入済み環境で今月は再起動が必須（ベースライン月の変更）
4. 不具合④：セキュアブート証明書更新とOEM BIOSの競合によるBitLocker回復ループ
5. 不具合⑤：ドメインコントローラーのLSASSクラッシュ（4月更新KB5082142の既知問題・修正済み）
6. 注意事項⑥：展開メディアへのboot.stlファイル組み込み要件
7. まとめ・対処法一覧 ／ 展開前チェックリスト

💡 以下の5条件をすべて満たすサーバーのみで発生します。IT部門が管理する一部の構成にのみ影響します。

1. OSドライブでBitLockerが有効になっている
2. グループポリシー「ネイティブUEFIファームウェア構成のTPMプラットフォーム検証プロファイルを構成する」が設定されており、PCR7が検証プロファイルに含まれている
3. システム情報（msinfo32.exe）で「セキュアブート状態 PCR7バインド」が「不可能」と表示されている
4. セキュアブート署名データベース（DB）にWindows UEFI CA 2023証明書が存在する
5. デバイスがまだ2023年署名のWindowsブートマネージャーで起動していない

🔧 対処法（Microsoft公式推奨）

方法1：KB5094128適用前にグループポリシーを変更する（最も推奨）

更新適用の前に、以下の手順でグループポリシーの設定変更とBitLockerバインドの再生成を実施してください。

1. グループポリシーエディター（gpedit.msc）またはGPMCを開く
2. 「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「BitLockerドライブ暗号化」→「オペレーティングシステムのドライブ」に移動
3. 「ネイティブUEFIファームウェア構成のTPMプラットフォーム検証プロファイルを構成する」を「未構成」に設定
4. 影響対象デバイスで gpupdate /force を実行してポリシーを反映
5. BitLockerを一時停止してから再開し、PCRバインドを再生成する

方法2：発生後に回復キーを使ってサインインする（緊急対応）

BitLocker回復キーを事前に保存していない場合は、Azure AD（account.microsoft.com/devices/recoverykey）またはActive Directoryに保存された回復キーを取得してください。初回再起動後は同じ問題は再発しません。

⚡ Microsoftは恒久的な修正を今後のWindowsアップデートで提供予定です。 回復キーは事前に Azure AD / Active Directory へのエスクローを徹底し、バックアップを確認しておいてください。

🔧 対処法・代替確認方法

方法1：Windowsイベントビューアーで確認する

「アプリケーションとサービスのログ」→「Microsoft」→「Windows」→「WindowsServerUpdateServices」でWSUSに関するエラーイベントを確認してください。

方法2：WSUSログファイルを直接参照する

以下のログファイルをテキストエディタまたはPowerShellで参照することで、エラーの詳細を確認できます：

方法3：Microsoft製パッチ管理ツールを活用する

Microsoft Intune・Windows Update for Business・Microsoft Endpoint Configuration Managerなど、WSUSに依存しないパッチ管理ツールへの移行を中長期的に検討することも有効です。

⚡ この問題はKB5094128でも未解決です。Microsoftは恒久的な修正を開発中であり、今後の月例アップデートでの提供が見込まれます。引き続き公式情報を確認してください。

🔴 緊急変更の背景：CVE-2026-45585（YellowKey）の公開

Windowsのセキュリティ機能バイパス脆弱性 CVE-2026-45585（通称：YellowKey）が、Microsoftの通常の協調的脆弱性開示プロセス外で公開されました。この緊急性に対応するため、6月は予定通りのHotpatch配信からベースライン更新（再起動必須）に切り替えられました。

通常はHotpatchはQuarterly（3か月ごと）でベースライン月が設定されますが、今月は例外的な対応となります。

⏰ Hotpatchの今後の再開スケジュール

🔧 対処法・推奨アクション

方法1：メンテナンスウィンドウを計画して再起動を実施する

6月のKB5094128は再起動が必要です。業務への影響を最小限にするため、メンテナンスウィンドウを設定し、計画的な再起動を実施してください。Azure Update Manager等を活用して、スケジュールされた再起動を自動化することを推奨します。

方法2：Hotpatchのステータスを確認する

⚠️ HP製サーバー（ProLiant等）ユーザー向け注意

• 問題：HPが2026年4月に配信したBIOSアップデートが一部のHP ProLiantサーバーでBitLockerの回復ループを引き起こすことをHPが公式認定
• 確認方法：PowerShellで (Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\State").UEFICA2023Status を実行。「In Progress」のままの場合は証明書移行が失敗している可能性あり
• 対処法：HPが公式サポートドキュメントで回避策を公開中。ファームウェア更新前にBitLockerを一時停止することを推奨

🔧 対処法

方法1：回復キーを取得してサインインする（緊急対応）

Azure ADポータル → デバイス → 対象サーバー → BitLocker回復キー、またはActive Directory Users and Computersから回復キーを取得してください。

方法2：UEFI BIOSを最新バージョンに更新する（根本対処）

KB5094128を広範展開する前に、各ベンダー（HP/Dell/Lenovo）が提供する最新のUEFI BIOSに更新してください。

方法3：イベントログで証明書移行状況を監査する（企業IT向け）

Event ID 1808（正常移行）、Event ID 1801（未移行）、Event ID 6281（Secure Boot証明書ログ）を確認し、全サーバーの移行状況を精査してください。

🔧 対処法（KB5091575未適用の場合）

方法1：OOBアップデートKB5091575を適用する（最も確実）

まだKB5091575を適用していない場合は先に適用してください。その後KB5094128を適用することで、本問題を含む全ての既知の問題が解消されます。

方法2：KB5082142をアンインストールする（緊急回避）

DCが起動できない状態になっている場合は、セーフモードまたはWindows回復環境（WinRE）からKB5082142をアンインストールして回復させた後、KB5091575を適用してください。

🔧 対処法（IT管理者向け）

手順1：boot.stlをインストールメディアに追加する

KB5094128適用済みデバイスの C:\Windows\Boot\EFI\boot.stl を取得し、展開メディアの同等のパスに組み込んでください。

手順2：オフラインイメージの前提KB確認

DISMコマンドで既存のオフラインイメージのLCUバージョンを確認し、KB5030216（ビルド20348.1970）以上であることを確認してから最新更新を適用してください。

🗂️ IT管理者向け KB5094128 展開前チェックリスト

• □ BitLockerポリシーの確認：PCR7を含む「ネイティブUEFIファームウェア構成のTPMプラットフォーム検証プロファイル」グループポリシーが設定されていないか確認し、設定されている場合は「未構成」に変更
• □ BitLocker回復キーのエスクロー確認：全対象サーバーのBitLocker回復キーがAzure AD / Active Directoryに保存（エスクロー）されていることを確認
• □ UEFI BIOSのバージョン確認：HP・Dell・Lenovoなどのサーバーは各ベンダーの最新BIOSに更新済みであることを確認
• □ LSASSクラッシュ対策（DCのみ）：KB5091575が適用済みであることを確認（PAM利用環境かつ複数ドメインフォレスト環境が特に重要）
• □ Hotpatch加入状況の確認：Hotpatch加入済みの場合、6月は再起動が発生することを関係者に周知しメンテナンスウィンドウを設定
• □ WSUSの代替ログ確認手順を整備：エラー詳細が非表示になるため、イベントビューアーやWSUSログファイルによる代替確認手順を運用ガイドラインに組み込む
• □ 展開メディアの確認（OSインストール担当者のみ）：動的更新展開環境ではboot.stlファイルが含まれていることを確認
• □ ステージング環境での事前検証：特にドメインコントローラーは、ステージング環境での検証後に本番環境へ段階的に展開