［緊急報告］Windows 10 バージョン1903以降へのアップグレードで突如判明した「証明書消失問題」とは：山市良のうぃんどうず日記（193）

Microsoftは2020年10月末、Windows 10 バージョン1903以降に関する既知の問題に、更新管理ツールやソフトウェア配布ツールを使用する企業に影響する可能性がある「証明書消失問題」を追加しました。Windows UpdateやWindows 10のダウンロードサイトからのアップグレードには影響しませんが、個人でもインターネットに接続しない状態でアップグレードを実施した場合は影響を受ける可能性があります。

» 2020年11月09日 05時00分公開

[山市良，テクニカルライター]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

山市良のうぃんどうず日記

証明書消失問題の回避策は10日以内のバージョンロールバック

　2020年10月に「Windows 10 バージョン20H2（October 2020 Update）」が正式リリースされましたが、Microsoftは同10月末、このバージョンを含むWindows 10 バージョン1903以降へのアップグレード（バージョン更新）で証明書が消失する可能性について、各バージョンに関するリリース情報の「既知の問題」に追加しました（以下のリンクはWindows 10 バージョン20H2の既知の問題）。

Certificates may not be present after updating to a newer version of Windows 10［英語］（Microsoft Docs）

　この問題は、2020年9月の品質更新プログラムがインストールされた以下のバージョンを、2020年10月以前に入手したインストールメディア（ISOイメージ）でアップグレードした場合に、コンピュータおよびユーザーの証明書が失われる可能性があるというものです。

Windows 10 バージョン1809（OSビルド17763.1457以降）
Windows 10 バージョン1903（OSビルド18362.1110以降）
Windows 10 バージョン1909（OSビルド18363.1110以降）
Windows 10 バージョン2004（OSビルド19041.508以降）

　これは、2020年10月以降の品質更新プログラムが統合されたインストールメディアを使用することで回避できます（更新されたメディアは現在準備中で、今後数週間のうちに提供される予定）。Windows Updateや「Windows Update for Business（WUfB）」によるアップグレードでは、アップグレード中に対象となるバージョン向けの最新の品質更新プログラムがダウンロードされて適用されるため、この問題は発生しません。

　この問題の影響を受ける可能性が高いのは、「Windows Server Update Services（WSUS）」や更新管理ツール、ソフトウェア配布ツールでWindows 10の更新管理を行っている場合です。最新の「Dynamic Update（DU）」パッケージとともに配布することで、影響を回避できる可能性はありますが、根本的な問題の解消には2020年10月以降の品質更新プログラムが統合されたインストールメディアを待つのが確実です。

　2020年11月10日のWindows 10 バージョン1809（Proエディション）サポート終了、12月8日のバージョン1903（全エディション）サポート終了への対応のため、現在、更新管理ツールやソフトウェア配布ツールで後継バージョンへの移行を進めている企業は、いったんストップし、配布パッケージに問題がないかどうかを確認することをお勧めします。個人でも、手元にダウンロード済みのインストールメディアがある場合、ネットワーク接続なしでアップグレードを実行するということはあり得るでしょう。その場合は、この問題の影響を受けることになります。

　この問題の影響を受けてしまい、コンピュータやユーザーの証明書が証明書ストアから消失してしまった場合は、アプリケーションやサービスが起動しないなど、想定外の問題が発生する可能性があります。例えば、「コンピューター証明書」や「ユーザー証明書」に依存する認証や接続（VPN接続、SSH接続など）に影響する可能性があります。

　問題の影響を解消するには、「設定」アプリにある「セキュリティと更新」の「回復」から「前のバージョンのWindowsに戻す」を実行し、以前のバージョンにロールバックします（画面1）。ただし、ロールバック可能な期間は既定で「10日まで」という制限があります。「DISM」コマンドを実行してこの期間を延長することもできますが、既に10日が過ぎてしまい、ロールバック用のファイルが削除されてしまってからでは手遅れです。

画面1　証明書消失問題の影響を受けてしまった場合は、以前のバージョンにロールバックするしかない（フルバックアップを取得していない場合）

　なお、アップグレード前にシステムのフルバックアップを取得済みであれば、バックアップからシステムを復旧するのが確実です。

この問題を再現して分かる証明書消失問題の影響

　筆者は、2020年10月までの品質更新プログラムをインストール済みのWindows 10 バージョン1809（OSビルド17763.1554）で、この問題を再現してみました。今回はWindows 10 バージョン20H2にアップグレードしますが、この問題はWindows 10 バージョン20H2だけの問題ではなく、Windows 10 バージョン1903以降の全バージョンで現在入手可能な（2020年10月以前の）インストールメディアに存在します。

　証明書消失の影響を確認するために、ローカルのHTTPSサイトとしてホストされる「Windows Admin Center（WAC）2009」をインストールしました。WACのインストールにより、「証明書 - ローカルコンピューター」の「個人」と「信頼されたルート証明機関」の証明書ストアに、発行先と発行者が「Windows Admin Center」という名前の自己署名証明書がインストールされます（画面2）。

画面2　問題を再現して影響を調査するために、自己署名証明書を使用するWACをインストールした

　WACが正常に機能することを確認した上で、Windows 10 バージョン20H2のリリース時に入手したインストールメディアでアップグレードします。このとき、インターネットにアクセス可能なネットワークに接続した状態と、切断した状態の両方でアップグレードしました（画面3）。

画面3　ネットワークに接続した状態と、切断した状態の両方でインストールメディアからアップグレードする（画面は切断した状態）

　インターネットにアクセス可能なネットワークに接続した状態でアップグレードした場合、証明書消失問題は発生しませんでした。これは、アップグレード中にWindows Updateから最新の品質更新プログラムがダウンロードされ、適用されたためと考えられます（画面4）。

画面4　ネットワークに接続した状態でのインストールメディアからのアップグレードで、証明書消失問題は発生しなかった

　一方、ネットワークから切断した状態でアップグレードした場合、完了後に「証明書 - ローカルコンピューター」の「個人」と「信頼されたルート証明機関」の証明書ストアにWACの自己署名証明書は存在しません。証明書がないため、WACのサービスは起動できず、利用できなくなります（画面5）。WACだけなら、再インストール（または修復）することで問題を解消できますが、WAC以外にも重要な証明書が失われ、影響が生じている可能性もあります。

画面5　ネットワークから切断した状態でアップグレードを実施すると、WACの自己署名証明書が消失し、利用不能になる

　影響を受けたPCで「前のバージョンのWindowsに戻す」を実行し、Windows 10 バージョン1809に戻したところ、WACの自己証明書は復活し、利用可能になりました（画面6）。

画面6　「前のバージョンのWindowsに戻す」を実行すると、失われた証明書も元に戻る。ただし、アップグレード後「10日」を過ぎると、ロールバックできなくなることに注意

筆者紹介

山市良（やまいちりょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2019-2020）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決コマンド＆テクニック集』（日経BP社）。