10月配信のWindows 11更新で、回復環境(WinRE)でUSBキーボード/マウスが操作不能になる問題や、スマートカードの証明書利用に支障が出る事象が報告されました。臨時配信のOOB更新や運用上の回避策が案内されていますが、適用前の確認ポイントを押さえておきましょう。
WinREのUSB不具合とスマートカード(CSP)問題の概要と現場対応
まず、回復環境であるWinREに限定して、USB接続のキーボードやマウスが動作しなくなる事象が確認されました。通常のWindows環境では発生せず、障害発生時に回復操作が一切できなくなるため、影響が出るとシステム復旧が困難になるリスクがあります。Microsoftはこの問題について、2025年10月20日に帯域外(OOB)更新プログラムを配信し、当該事象を解消したと発表しています。OOB更新は2025年10月14日リリースのセキュリティ更新(KB5066835)で含まれる修正点も組み合わせた形で配布されていますが、簡潔には「10月20日のOOBで問題が解消された」と理解してください。
次に、スマートカードによる認証で証明書利用が阻害される問題です。はRSAベースのCSP(暗号化サービスプロバイダー)利用に関する脆弱性報告を受け、Windows側でCSPを標準で無効化したことにあります。この結果、32bitアプリでCSPを認識できずドキュメント署名や証明書認証でエラーが発生する可能性が出ています。影響範囲は広く、Windows 11 バージョン24H2/25H2だけでなく、過去バージョン(22H2/23H2)、Windows 10 バージョン22H2、Windows Server 2012~23H2にも同様の可能性があります。
影響の有無は事前確認が可能です。「イベント ビューアー」で「スマート カード サービス(Smart Card Service)」のログを確認し、ID「624」の監査ログが存在するデバイスは、更新後に問題が発生する可能性が高いと案内されています。根本的な解決策はKSP(キーサービスプロバイダー)への移行であり、長期的にはKSPへ移すことが推奨されます。
どうしてもCSPを継続利用する必要がある場合、レジストリで一時的にCSPを再有効化できます。手順はregedit.exeでHKLM\SOFTWARE\Microsoft\Cryptography\CalaisにDWORD(32bit)「DisableCapiOverrideForRSA」を作成し、値を「0」に設定して再起動するというものです。ただしレジストリ操作はシステムに影響を与えるため、操作前に必ずレジストリのバックアップを取り、管理者権限とUACの確認、社内運用ポリシーに基づく承認を得た上で実行してください。これによりCSP関連の脆弱性が解消されるわけではなく、セキュリティリスクを許容する運用となる点を理解する必要があります。
加えて、Microsoftはサービス スタック更新(KB5067360)やAIコンポーネントの更新も提供しており、DRM関連の既知問題は段階的に解決中としています。重要な注意点として、多くのWindowsデバイスで使用されるセキュアブート証明書は2026年6月に有効期限切れとなる予定です。中断回避のため、該当機器では事前に証明書更新の準備を進めることを推奨します。
臨時のOOB更新でWinREのUSB問題は解消されていますが、スマートカード関連は運用判断が分かれるため慎重に対応してください。企業はイベントログの確認とKSP移行計画を優先的に検討すべきです。
レポート/DXマガジン編集部
