【BitLocker】利用していないのに求められた場合@ビットローカーの回復キー【2024/8/30】
この記事を読むのに必要な時間は約 23 分です。
ビットロッカーに関して、予期せぬときに突然回復キーを求められてしまう障害(事象)が知られています。
このサイトでは、【最も厄介な障害】WinUp後BitLockerが勝手に有効になりログインできなくなるケースの原因と防止策【考察】などいくつかの記事を公開し、【お知らせ】【WinUp個別】Bitlocker関連過去記事リンク【2018/10/13~】に関連記事のリンクをまとめています。
この障害の発生時からはじまり、新たに判明した情報などを随時追加してきたため、記事内容が煩雑で見にくくなってしまっています。
現在、事象面では発生原因と可能な回復手段がほぼすべて判明したと言って良い状況まで来ました。
そこで、記事内容を整理して「ビットロッカーを利用していないのにもかかわらず突然回復キーを求められた場合」についての最新版記事を作成して公開します。(この記事は、実際に利用していて、正当に要求される場合を除外しています)
万が一のときに、この記事があなたのお役にたてば幸いです。
対象 | 内容 |
---|---|
キーワード | Windows Update、不具合、パスワード、BitLocker、ビットロッカー
利用していない、暗号化ドライブ、キー、ログインできない TPM、セキュアブート機能 |
OS/ソフト | Windows、10、11 |
対象読者 | 初級~上級者、ただし自己責任 |
更新履歴 | 2024/8/30・・・作成開始
2024/9/2…初版公開 |
注意:ビットロッカーが自動的に適用されてしまっているケース
実は、自分で操作をした憶えがなくてもビットロッカーが自動的に適用されてしまっているケースというのがあります。
MSサーフェイスなどメーカー製のPCど、一定の条件(TPM、セキュアブート、モダンスタンバイ(DMA保護)、250MBのWinRE用領域)を満たしていると、自動的にBitLockerが有効化される場合があります。
Windows 10/11では、利用できる機能に違いはあるもののProだけでなく、Homeでも利用可能になっていますので注意が必要です。
この場合、Windowsの出荷時状態ではBitLockerが中断(無効ではなく一時的な中断)された状況となっていて、初期セットアップでMicrosoftアカウントなどを設定した際に有効化され、同時に回復キーが自動的にアカウントにアップロードされる仕組みになっているため、利用者も有効化されていることを意識していないケースがでてきます。
コントロールパネルの「Bitlocker暗号化ドライブ」の項目を開いて無効になっていることを確認しておいてくださいね。
また、一度でも有効化されたことがある場合は、万が一に備えて回復キーを印刷しておくようにしてください。(自動で有効化されたことがある場合は、MSアカウントに保存されています)
なお、中断中の状態の場合は無効に直しておいてください。
無効な状態
有効状態
中断中
ビットロッカーを利用していないのにもかかわらず突然回復キーを求められた場合の回復手順
「ビットロッカーを利用していないのにもかかわらず突然回復キーを求められた場合」の回復手段です。
順を追って、慌てずに対処してくださいね。
More:
ビットロッカーの問題だけではなく、OSが起動しない障害が発生した際にはツールが必要になるケースがほとんどです。
普段からのバックアップ取得などはもちろんなのですが、そのような場合に備えて今回の記事も参考にして、最低限の回復用のツールなどを作成しておいてくださいね。
1)回復用のメディア
1-1)バックアップソフトやパーティション管理ソフトで作成したブータブルメディア
1-2)Winの機能で作成したシステム修復ディスクないしはOSインストールメディアないしはUSB回復ドライブ
1-3)Win PEのブータブルメディア
1-4)Linuxなどのライブメディア
※ OSが起動しない場合にPCを起動可能で、PC内のファイルを確認できるメディであれば種類は問いませんが、その後の回復操作が可能なものが望ましい。
2)復元ポイント
WindowsUpdateの実行前などは、必ず明示的に手動で復元ポイントを作成しておきます。
実際に暗号化されているのかどうかを確認する
最初に、PCのディスクがビットロッカー機能で実際に暗号化されてしまっているのかを確認します。
実際に暗号化されてしまっている場合は、過去の記事を参考にしてください。
なお、障害が発生したPCで回復環境が起動できない場合は、以下のいずれかが必要になります。お持ちでない方は、ブータブルメディアをお持ちでない場合を参考に作成してください。
1-1)バックアップソフトやパーティション管理ソフトで作成したブータブルメディア
1-2)Winの機能で作成したシステム修復ディスクないしはOSインストールメディアないしはUSB回復ドライブ
1-3)Win PEのブータブルメディア
1-4)Linuxなどのライブメディア
重要:1-1~1-3で起動し、何らかの操作を実行しようとした際に(実際にはファイルが暗号化されていない場合でも)回復キーを求められてしまうケースがあるようです。この場合は、Windows系のツールを利用しても回復操作が実行できません。
そのようなケースでは、Linuxのライブメディアを利用して必要なファイルのレスキューを実行することになります。(OS環境の回復はできません)
ブータブルメディアをお持ちでない場合
ブータブルメディアをお持ちでない場合は、ブータブルメディアを用意しなければならないケースがあります。
メデイアが手元にある、借りられるとならない場合で、Win回復環境が起動できない場合は作成してくださいね。
※ 作成にはPC環境が必要になります。PCが一台しか無いという場合は、借りて作成するか、出来上がったメディアを借りてくださいね。
※ 過去のOSのインストールメディアを探す。例えば、現状Win11を利用している場合でもWin10のインストールメディアがある場合は、そのメディアが利用可能です。
いろいろな方法がありますが、この記事では汎用的に利用できるMiniTool ShadowMaker Free 4.5 を利用する場合を解説します。(もちろん、他のソフトのものを利用してもかまいません)
・バックアップソフトやパーティション管理ソフトで作成したブータブルメディア
各ソフトの機能でブータブルメディアを作成してください。
・Win PEブータブルディスクを作成する
support.lenovo.com
https://support.lenovo.com/jp/ja/solutions/ht513461
・OSインストールメディアを作成する
・USB回復ドライブを作成する
ブータブルメディアなどで起動して暗号化の有無を確認する
ここでは3種類の方法を解説します。
この時の状態で解決手段が異なってきます。
ヘッダー項目1 | ヘッダー項目2 |
---|---|
1)インストールされている回復環境を起動してみる | インストールされている回復環境を起動してみます。
1)PCの電源を入れ、起動中に電源ボタンを長押しして強制的なシャットダウンを2~3海繰り返します。 2)自動修復機能が起動しましたら、何でも良いのでトラブルシューティングの操作をしてみます。 回復キーを求められなければ、ドライブは実際には暗号化されていません。 3)どこかの時点で回復キーを求められたら、一旦終了します。 |
2)ブータブルメデイアから起動してみる | インストールされている回復環境を起動して回復キーを求められても、外部メディアから起動した場合には回復キーを求められない場合もあります。
1と同じように試してみてください。 |
3)1~2でだめだった場合 | この場合は、とにかくPCの再起動操作を繰り返します。
※ M/Bのファームウエアが更新された後(WinUpか自分で更新したかに関わりません)に事象が発生した場合は、ファームウエアのロールバックで解決する場合があります。 ・少なくとも30~50回程度は試行してみてください。 ・だめな場合はM/BのCMOSを一度クリアしてから、再度繰り返してみます。 何らかのエラーで回復キーを求められている場合は、この方法でOSが起動する場合も少なくないようですから、必ず試してみてくださいね。 |
4)1~3でだめだった場合 | 1~3でだめだった場合はOSの起動は諦めて、ファイルのレスキューを試みることになります。
※ Win系のOSではだめでも、Linuxなどではファイルを見るなどの操作が可能な場合があるためです。 Linuxのライブメディアを作成して確認します。次の項目、1~3で操作が不能な場合に進んでください。 ここまで一切だめな場合は、意図したしないにかかわらず実際にドライブが暗号されている可能性が高くなります。 |
More:
各種メディアからシステムの復元などの操作ができないケースでも、どういうわけかcmdは回復キーなしに起動できる場合もあるようです。
その場合は以下も試してください。
・wusa /uninstall /kb:KB番号でKBを削除します。
・rstrui.exeでシステムの復元ウィザードが開いて操作可能な場合は実行する。
実際に暗号化されている場合の対処
実際にドライブが暗号化されてしまっている場合は、回復キーを見つけ出す以外の対応法はないと考えてください。
MSアカウントに保存されていないかどうかや、以前にPCを利用していた方がいる場合や管理者がいる場合にはその方に確認するなどして、回復キーを探してください。
実際には暗号化されていない場合の対処
ドライブが実際には暗号化されていない場合は、トラブル解決のための操作を行います。
回復手順
最初に、
繰り返しになりますが、「とにかくPCの再起動操作を繰り返す」というのが基本です。
現状を保ったまま、新たな操作をすること無く回復が可能ですので、面倒/先の操作をした方が早いなどと考えずに、実行してみてください。
以下、含めた手順です。
番外-1)(無線)LANやBluetoothを含めて
番外-2)回復環境での操作が可能な場合は、セーフモードでの起動を試してみます。
セーフモードで起動できた場合は、それだけで起動可能な状態に戻ることがあるようです。
1)とにかくPCの再起動操作を繰り返します。
・少なくとも30~50回程度は試行してみてください。
・だめな場合はM/BのCMOSを一度クリアしてから、再度繰り返してみます。
2)M/Bのファームウエアが更新された後(WinUpか自分で更新したかに関わりません)に事象が発生した場合は、ファームウエアのロールバックで解決する場合があります。PCメーカーやM/BベンダーのサイトでM/Bファームウエアのロールバックが可能であるのかを確認して、可能であればロールバックしてみてください。
また、ロールバック後も回復キーを求められる場合は、もう一度手順を試してみてください。
3)OSが通常に起動しない状態でも、実際にはドライブは暗号化されていないのが確認できている場合は、回復環境からKBの削除ないしはシステムの復元を実行します。
・WinUp後に障害が発生した場合は、回復環境でKBを削除してみます。
・WinUp後ではない場合などは、システムの復元を実行します。
※ システムの復元ポイントがない場合はお手上げです…。仕方がありませんので、必要なファイル類をレスキューします。
1~3で操作が不能な場合
1~3でだめだった場合は、Windows系のツールを利用しての回復操作が実行できないことが多くなります。
そのようなケースでは、バックアップソフトやLinuxのライブメディアを利用して必要なファイルのレスキューを実行することになります。(OS環境の回復はできません)
その後に新たにOS環境を構築し、ファイルなどを書き戻してください。
原因と予防策
原因と予防策について、現在判明していることの概要です。
原因
ハードウエアを含むPC環境が実際に変更された場合や変更されてと誤認された場合に発生します。
セキュリティーの問題ですからMSから正式にアナウンスされることはないのですが、OSの認証に利用されているシステムが準用されている可能性が高いです。
OS認証の仕組み(推定)
・一種の点数制
・一発免許取り消しに当たるようなものと累積点数での取り消しや免停に当たるものがあると考えると理解しやすい。M/B交換などは一発免許取り消し、各種パーツやストレージ構成の変更などは累積点数制となる。運転免許と同様に一定の期間が経過すると点数が消えるものもある。
回復キーを求められる条件
・実際にBitlockerを利用していて累積点数がオーバーした。
・利用の有無にかかわらず、OS側の誤認識が発生した。
・中断状態であったものが、(何らかの理由で)利用中に切り替わった。
回復キーを求められる主なトリガー
・OS側の誤認識ないしは誤動作。
・M/B/TPMなど基幹部品のファームウエアアップが実行され部品の交換と認識した。
・セキュアブートの変更。
・WinUpで、M/B/TPMなど基幹部品のファームウエアアップやTPM/セキュアブートなどのアップデートが提供された。
…など。
利用していないのに回復キーを求められる場合
・実際にOS認証に関する点数がオーバーしたり、オーバーしたと誤認されてしまった ⇒ 更にBitlocker使用中と誤認された。
・Bitlockerに関係する変更があり、Bitlockerの誤作動が引き起こされた ⇒ 更にOS認証に関する点数がオーバー状態になった。
あくまで推定でしかないのですが、現象面から見てこのようなことである確率が高いです。
結果として、TPM/セキュアブートの更新とM/BやTPMのファームウエアの変更が同時になされた場合などは、利用していないのに回復キーを求められるということがでてくるわけです。
参考事例:
予防策
準備しておくべきもの
・システムバックアップ・・・不測の事態に備えるため、システムバックアップやファイルバックアップなどを外部メディアンドに保存しておくようにしてください。(ないしはPCの2台目移行のストレージに保管してBitlockerの対象外ドライブにする。暗号化したい場合はパスワードロックなど他の手段で行う)
・システムの復元ポイント・・・WinUp前など節目に「明示的に手動でシステムの復元ポイントを作成」しておく。
* システムのストレージ構成などを変更すると利用できなくなりますので注意してください。(一度SSDを取り外して再度取り付けたなどという程度でも利用できなくなる場合があります)
OS上の対策
・(必要がないのに)Bitlockerの設定を確認して中断中になっている場合は、必ず無効にする。
・念のため、一度Bitlockerを有効化して、回復キーを取得しておく。
・OS認証は、「デジタル認証されています」の状態ではなく、「MSアカウントにリンクされたデジタルライセンスに…」の状態になっているかを確認する。
参考: 【確認必須】認証不可になるかも・・・Win7/8.1/10からWin10/11へアップグレードしたPCの認証【2024/8/19】
パーツなどについて
パーツ交換などについては「ある意味どうにも仕方がない部分」があるのですが、少数ながら留意するポイントがあります。認証累積点数の問題で一定期間にPCの変更が繰り返されてという誤認を避けるようにします。
・外部ストレージを認識しすぎている?場合。
具体的には、プリンターに搭載されているカードリーダー等まで常にエクスプローラーに表示されているような状態です。
カードリーダーのドライバーを更新または再インストール
デバイスマネージャーで「ディスクドライブ」または「ユニバーサル シリアル バス コントローラー」の下にあるカードリーダーを探します。
右クリックして「ドライバーの更新」を選択し、「ドライバーソフトウェアの最新版を自動検索」を選びます。
これで問題が解決しない場合は、同じメニューから「デバイスのアンインストール」を選び、再起動後にドライバーを再インストールします。
エクスプローラーの設定を変更エクスプローラーを開き、「表示」タブをクリックします。
「オプション」を選び、「フォルダーオプション」を開きます。
「表示」タブで「空のドライブは表示しない」にチェックを入れます。
・M/Bの電池が切れている
これ、PCの電源を入れると普通に動作してしまいますので放置してしまうことも多いのですが、この状態になると起動するたびに全てのパーツを新規に読み込むことになってしまいます。軽微な変更でも一定期間に繰り返されて累積点数をオーバーしてしまうと再認証が必要になってしまったり、再認証が必要と誤認されてしまう場合があります。
その結果、Bitlockerの回復キーを要求されるということにつながりかねないのです。
PCの電源投入直後などに時計が狂っている場合(暫く経つとネットと通信して正常な時刻に戻ります)は、電池を交換してくださいね。
最後に
最後までお読みいただきありがとうございます。
この記事があなたのお役に立てば幸いです。
この記事中の広告リンク一覧
この記事中の広告リンク一覧です。
記事本文中の広告リンク(アドセンスを除く)
この記事にアフィリエイトリンクはありません。
記事本文中の広告リンク(アドセンス)
記事公開時点ではありません。
ただし、今後自動広告の設定を変更した場合は表示されるようになる可能性があります。
また、グーグルアドセンスでグーグルが行う自動広告の効果テストが自動実行されると広告が表示される可能性があります。
サイドバーやヘッダー部分などの広告
広告が表示されています。
業者名や商品名など
この記事では明示的にプロモーションとして取り扱っているものはありません。
ただし、過去のプロモーションなどで取り扱った商品名や企業名などがプロモーション目的ではなくとも記載されている場合があります。
過去のプロモーションなどで取り扱った企業名は、できる限りステマ規制に関する表示についてのアフィリエイト等関連業者名一覧の項で記載していますので、お手数ですがそちらでご確認ください。