【BitLocker】2025年1月版-利用していないのにもかかわらず回復キーを求められた場合の対処【2025/1/17】

ステマ規制に関する表示

  当サイトでは、記事本文やサイドバー等に以下が設置されています。御理解の上サイトを利用ください。 1)アフィリエイト広告リンク 2)プロモーション記事 3)記事作成に当たって、販売業者からの提供を受けたハード/ソフト等を使用した記事

この記事を読むのに必要な時間は約 15 分です。

BitLocker暗号化やhomeバージョンでドライブの暗号化を利用していないのにもかかわらず回復キーを求められる不具合は、どうしても無くならないようです。

今回(2025年1月の定例KB配信)後も、関連する機能の更新だったため、やはり発生しているようです。

今回の記事では、機能を利用していないのにもかかわらず回復キーを求められるという現象に絞っておさらいをします。

対象 内容
キーワード Windows Update、不具合、パスワード、BitLocker、ビットロッカー

利用していない、暗号化ドライブ、キー、ログインできない

TPM、セキュアブート機能

OS/ソフト Windows、10、11
対象読者 初級~上級者、ただし自己責任
更新履歴 2025/1/17…初版公開

2025/1/19…高速スタートアップとファーストブートを無効化しておくの項目にMore部分(発生理由)を追加しました。

必須の予防手段

予期せず回復キーを求められる現象には必須の予防手段がありますので、この二つは必ず実行しておいてください。

BitLocker関連機能が有効になっていないことの確認

Win10/11において機能の状態を確認するには、cmd(管理者)を利用するのが簡単で確実です。

cmd(管理者)を起動して、「 manage-bde -status 」を実行してください。

※ タスクバーの検索窓にcmdと入力するとcmdが表示されますので、右クリックから管理者として実行してください。

※ cmdが起動したら、管理者と表示されていることを確認してください。

接続されているドライブ毎に状態が表示されますので、内容を確認してくださいね。オン・有効となっている項目がある場合は、自分では操作した記憶がなくても有効になっていますので、利用するつもりがない場合は無効にしてください。

無効にする場合もcmd(管理者)から操作が可能です。「 manage-bde -off C: 」と入力して実行してください。

※ C:の部分は、各ドライブの文字が入ります。

※ 有効になっていた場合は、念の為BitLocker 回復キーを見つけるページを参考に回復キーを見つけて保存しておいてください。

※ PCにMSアカウントでサインインしていない場合に暗号化が実行されていると、回復キーは自動保存されていません。その場合は一度解除した後にMSアカウントでサインインして暗号化を実行してください。保存が終わりましたら暗号化を解除してOKです。

※ 可能であれば、暗号化をしていない場合でも一度暗号化を実行し、回復キーを取得しておくことをおすすめします。

高速スタートアップとファーストブートを無効化しておく

暗号化を利用している場合はもちろんなのですが、利用していないのにもかかわらず回復キーを求められる現象の発生に「OSが機材環境が変更されたと判定した」という条件が関与していることが判明しています。

この条件が誤って適用されないように、OSの高速スタートアップとM/Bのファーストブートを無効化して毎回の起動時に(省略なしで)PC構成が正しく読み込まれるように修正します。

OSの高速スタートアップを無効化する

cmd(管理者)で、「 powercfg /hibernate off 」を実行します。

M/Bのファーストブートを無効化する

M/BのBIOS設定に入り、ブート項目にある「IntelないしはAMDファーストブート」の項目を無効にします。

More:

この誤動作(非利用環境での回復キー要求)が、以下のような形で発動してしまう場合があると推定されるために、「高速スタートアップとファーストブートを無効化しておく」ことを強く推奨しています。

なお、私のデスクトップ環境(物理4コア以上ののマルチコアCPU・メモリ8GB以上・SSD)では、双方を無効にしても起動時間は1分以下で、有効状態との起動時間差は8秒程度です。

1)OSの正規の機能として、PCの機材構成が変更された場合にBitLockerのロック機能が適用されるようになっている。(異なる機材にディスクを接続してデータを剽窃しようとするとロックされる)

2)高速スタートアップとファーストブートが有効な場合は、一部のPC構成機材の読み込みを省略することで起動の高速化を図っている。

3)通常は、この状態でも再起動(や完全ショットダウン)後の起動では、高速スタートアップにかかる機器読み込みの省略はされずに、読み込み直しが実行されることになっている。

4)M/Bのファーストブート機能による読み込みの省略は、高速スタートアップの有効無効にかかわらず省略されている可能性が高い。

5)主にUSB接続機器の読み込みを省略しているということではあるが、グラフィックス関連やPCI e関連も省略されている可能性が高い挙動が知られている。

(マルチモニタ環境で再起動後に変更がリセットされもとに戻ってしまうなど)

6)機材が変更されたという判定には、OSの再認証が必要と判定する場合と同じ仕組みが利用されていると考えられる。

7)セキュアブート関連・BitLocker関連・TPM関連などの含まれたWinUpが提供されたり、M/Bのファームウエア関連、チップセットないしはCPU関連の更新があった場合などに、それまで読み込まれずに放置状態になっていたOS認証関連の情報が一気に読み込まれる事態になるとケースによってはOSの再認証が必要になる。

8)この時点でOS再認証が必要(機材が変更されたと判定された)となると、BitLockerを利用している場合は回復キーを要求する動作が実行されます。(正規の動作)

9)(MSでは利用者のOS環境に何らかの問題があるので発生すると考えているようですし、それが正しいのかもしれませんが、)BitLockerを利用していない環境では「本来OS再認証を求める動作になるところがBitLockerの回復キーを要求する動作に置き換わってしまう」というのが、「BitLockerを利用していないのにもかかわらず回復キーを要求されてしまい、実際にはディスクの暗号化は行われていないという状況の正体と考えられるのです。

※ 有効状態では、不意のデータロスト・USB接続機器の不具合やロストなども発生しやすくなりますので、高速スタートアップとファーストブートを無効化しておくことを強くおすすめします。

※ 機器の読み込み動作が想定通りに動作しないのは、各PCの環境が要因(システムファイルが破損している・ユーティリティーや設定の競合・ドライバーの不正など)が原因でありWindows OSの問題ではないとMSは認識しているので、MSは自社には責任はないというスタンスであると判定している(考えている)と見られます。また、BitLockerを利用していないのにもかかわらず、回復キーを求められる動作が発生することに関しても同様です。

ただ、それでも注意喚起ぐらいはしてほしいですよね…。

予期せず回復キーを求まられた場合の回復手法

予期せず回復キーを求まられた場合の回復手法は以下の順番で実行してください。

回復キーを入力する

「BitLocker関連機能が有効になっていないことの確認」の手順で回復キーを入手し、保存してある場合は回復キーを入力して、サインインが可能になるかどうかを試します。

サインインが可能になった場合は、何らかの理由でBitLockerが有効になっていて場合が考えられますので、再度BitLocker機能を無効化しておきます。

回復キーを入力して、回復キーが異なるなどとなりサインインが可能にならない場合は不具合ですので、次に進みます。

繰り返し再起動してみる

一番安全な手段となりますので、20~30回程度まで「とにかく再起動を繰り返す」ようにします。

OS認証情報の修復を試みる

・Win OSインストールメディアを挿入し、回復環境からcmdを起動します。

・ディスクパートでドライブ名を確認します。

diskpart
list volume
・システムドライブのレターが確認できたらステムファイルのスキャンと修復を実行します。D:の部分は確認したシステムドライブのレターに直してください。

sfc /scannow /offbootdir=D:\ /offwindir=D:\Windows

・DISMを実行します。ここでも、「D:\」はシステムドライブのドライブ文字に置き換えてください。

DISM /Image:D:\ /Cleanup-Image /RestoreHealth

完了したら再起動して通常に起動できるか確認します。

M/BのCMOSをクリアしてみる

やらないよりはやったほうがマシという手段ですが、CMOSクリアで回復した例もあるようです。

いずれにしろ、誤作動が問題ですので明白な回復手段というのはないので、試してみましょう。

スタートアップ修復を複数回繰り返してみる

スタートアップ修復を複数回(3~5回)繰り返してみると直るケースもあるようです。ダメ元で試してみてください。

セーフモードでの起動を試す

回復環境から軌道をカスタマイズし、セーフモードでの起動を試みてみます。

ここまでで回復しない場合

ここまでで回復しない場合は、今後の操作でデータなどのロストが発生しても困らないように保全処理を実行します。

実際に暗号化されてしまっているかを確認する

まず、ディスクが実際に暗号化されてしまっているかどうかを確認します。

※ PCスキルや機材などの状況によっては難しい場合もあるでしょう。その場合は、業者さんなどに依頼してください。また、バックアップなどがあり、データを失う可能性がないのでしたらこの項目は実行しなくともよいです。

※ ここで、実際にBitLocker機能で暗号化されてしまっていると判明した場合に対応できる手段はありません

Windows系のツールで確認する

Linux系のツールで確認する

この二つの場合に分けて説明します。大半の場合はWindows系のツールで確認できるのですが、Windows系のツールで確認できなかった場合は念の為Linux系のツールで再確認します。

Windows系のツールで確認する

Windowsのインストールメディア・USB回復ドライブから回復環境を起動します。起動後にシステムの復元を開き、復元ポイントが表示されるようであれば、実際にはデータは暗号化されていません。

Linux系のツールで確認する

Linuxのライブメディアから起動してドライブをマウントし、内容を参照できれば実際には暗号化されていません。

データをバックアップする

実際には暗号化されていないのでしたら、データをバックアップしてください。

ブート可能なバックアップソフトで起動してデータのバックアップを取得するか他のドライブにコピーします。または、回復環境で起動し、cmdからの操作でデータやパーティションをコピーします。

参考: copy – ファイルの複製

システムの復元を実行する

データの保全に関する作業が完了したら回復環境を起動して、システムの復元を実行します。

実際に暗号化が実行されていない場合は、ほとんどのケースで通常に起動するようになります。

通常に起動ができましたら、再度BitLocker関連機能が有効になっていないことを確認しておいてください。

また、この不具合が発生する環境では不具合が繰り返す可能性も低くはありませんので、システムディスクのバックアップは確実に実行するようにしておいてくださいね。

どうしても回復しない場合

ここまででどうしても回復しない場合は、事実上回復する手法はありません。

・神にも縋る気持ちで「あと30回」再起動を試してみる。

・異なる復元ポイントを試してみる。

・PCを最小構成にしてみる。

このぐらいを試してみて、やはり変化がない場合はOS入れ直しで、環境再構築となってしまいます。

MSは公式にこの不具合を認めていませんので泣き寝入りです…。

バックアップをしっかりと取っておく以外に対処方法はありません

最後に

最後までお読みいただきありがとうございます。

この記事があなたのお役に立てば幸いです。

この記事中の広告リンク一覧

この記事中の広告リンク一覧です。

記事本文中の広告リンク(アドセンスを除く)

この記事にはありません。

記事本文中の広告リンク(アドセンス)

記事公開時点ではありません。

ただし、今後自動広告の設定を変更した場合は表示されるようになる可能性があります。

また、グーグルアドセンスでグーグルが行う自動広告の効果テストが自動実行されると広告が表示される可能性があります。

サイドバーやヘッダー部分などの広告

広告が表示されています。

業者名や商品名など

この記事では明示的にプロモーションとして取り扱っているものはありません。

ただし、過去のプロモーションなどで取り扱った商品名や企業名などがプロモーション目的ではなくとも記載されている場合があります。

過去のプロモーションなどで取り扱った企業名は、できる限りステマ規制に関する表示についてのアフィリエイト等関連業者名一覧の項で記載していますので、お手数ですがそちらでご確認ください。

コメントを残す

CAPTCHA