Windows 11便利テク
実験!Windows 11でTPMをクリアしたらサインインできなくなるのか?
2021年11月5日 06:50
Windows 11では、サインインの方法として、標準でTPMを使ったPIN、顔認証などのWindows Helloが利用される。では、セットアップ後にTPMが使えなくなったらどうなるのだろうか? 実際に試してみた。
TPM(Trusted Platform Module)について知りたいという方は、以下の関連記事を参照されたい。
(1) PINはTPMを利用するための合い言葉
(2) セットアップ後にTPMを無効化してみる
(3) 結果まとめ
PINはTPMを利用するための合い言葉
Windows 11の初期設定の際、PINや顔認証のセットアップが実行されるが、この認証では自動的にTPMに保存された情報を利用するように構成される。
PCでTPM 2.0が利用可能な場合(利用できない場合はソフトウェアベースの手法でキーを保護)、TPM内に公開鍵/秘密鍵のキーペアが作成される。ユーザーを認証する際は、TPM内のキーにアクセスして署名を取得する必要があるが、そのためにはユーザーが秘密鍵の所有者であることを証明する必要がある。このためにPIN、または生体認証が使われるという仕組みになっている。
要するに、サインイン時に入力しているPINは、そのものが認証に使われるのではなく、TPMにアクセスするための暗証番号としてのみ使われていることになる。
Windows 11では、このほかBitlocker、デバイス暗号化、Credential Guardなど、TPMは広く使われているが、もっとも身近にTPMの存在を感じられるのは、このサインインの際のPINということになる。
なお、以下の関連記事にあるようにインストール時にTPMチェックを回避する方法も紹介されているが、推奨されないので、検証目的での利用などに留めておくべきだろう。
セットアップ後にTPMを無効化してみる
さて、ここまででWindows 11でTPMが身近に使われていることが分かったと思うが、このTPMはUEFI(BIOS)で簡単に無効化できる。
TPMが有効な状態のPCで、後から無効にしたらどうなるのだろうか? Hyper-Vの仮想マシンを使って実際に確かめてみよう。
【ステップ1】実験環境
まずは、現在の状態を確認しておこう。対象の環境はWindows 11のHyper-Vにセットアップした仮想マシンで、仮想マシンの設定で[セキュリティ]の[トラステッドプラットフォームモジュールを有効にする]をオンにした環境だ。仮想マシン側でtpm.mscを実行すると、以下のようにTPMが有効になっていることが確認できる。
サインインはPINのみが設定されている状態となる。TPMにアクセスする方法が違うだけなので、顔認証でも指紋認証でも結果は同じだ。
なお、Windows 11では、標準で[セキュリティ向上のため、このデバイスではMicrosoftアカウント用にWindows Helloサインインのみを許可する]がオンに設定されている。
このため、サインイン時にMicrosoftアカウント(メールアドレスとパスワード)を利用することはできない。
【ステップ2】TPMをオフにする
このマシンをシャットダウンし、仮想マシンの設定で[トラステッドプラットフォームモジュールを有効にする]のチェックボックスを外し、TPMをオフの状態にする。これで、認証に必要なTPM内の暗号鍵ペアにアクセスできなくなる。
果たして、サインインはできるのだろうか?
【ステップ3】サインインできるか試す
仮想マシンを起動して、サインイン画面を表示すると、以下のように「問題が発生したため、暗証番号(PIN)を使用できません。クリックして暗証番号(PIN)をもう一度設定してください。」と表示される。
方法は後述するステップ6と同じだが、ここでPINを再設定すると、TPMがオフの状態でのPINとなり、認証情報がハードウェアではなくソフトウェアベースで保管されることになる。つまり、見た目は同じでも、仕組みがまったく違う(TPMが使われない)ので注意が必要だ。
Windows 11では、前述したように標準でWindows Hello以外のサインインが許可されていない。あらかじめ、この設定をオフにしておけば、サインインオプションとしてMicrosoftアカウントを使ったサインインも可能だ。
【ステップ4】TPMをオンに戻す
PINを再設定する前に、TPMをオンに戻すことで、以前の認証情報をもう一度使えるかどうかを確認する。
TPMをオンに変更し、再起動すると、問題なくPINの入力画面が表示され、以前のPINをそのまま使ってサインインすることができた。
【ステップ5】TPMをクリアする
続いて、TPMはオンにした状態のまま、TPMの情報をクリアしてみる。やり方としては、UEFIからクリアする方法と、Windows 11からクリアする方法があるが、今回はtpm.mscを使って、Windows 11上でTPMをクリアした。
この場合、TPM内の暗号鍵ペアがリセットされ、以前のPINは完全に使えなくなる。このため、PINを再設定する必要がある。
【ステップ6】PINを再設定する
PINを再設定するには、Microsoftアカウントと本人確認の2段階の認証が必要になる。
SMSやメールアドレスなどでの2段階認証が完了すると、新しいPINを入力する画面が表示される。この設定が完了すると、TPM内の新しい暗号鍵ペアを使ってサインインできるようになる。
なお、企業で管理された端末を除き、PINは同じものを再利用できる。TPM内の認証情報は置き換わるが、それを取り出すためのPINを同じにしておけば、オペレーションとしては以前と変わらない方法となる。
結果まとめ
このように、TPMをオフにしても、救済処置があるため、いきなりサインインできなくなることはない。シンプルにオフにしただけの場合はオンに戻すことで元のPINを利用できる。クリアしてしまった場合はMicrosoftアカウントでの認証を経てPINを再設定できる。
ただし、TPMをオフにした状態でPINを再設定するとソフトウェアベースでの管理になるので注意が必要だ。TPMの意味がなくなってしまう。
また、この方法はPINを忘れてしまった場合にも応用できる。同様にPINを再設定すれば、元通りサインイン可能なので、慌てずに済むだろう。
楽天市場 売れ筋ランキング
Amazon売れ筋ランキング
Anker Soundcore Life P2 Mini【完全ワイヤレスイヤホン / Bluetooth5.3対応 / IPX5防水規格 / 最大32時間音楽再生 / 専用アプリ対応】ブラック
¥4,490
Anker Soundcore P40i (Bluetooth 5.3) 【完全ワイヤレスイヤホン/ウルトラノイズキャンセリング 2.0 / マルチポイント接続 / 最大60時間再生 / PSE技術基準適合】ブラック
¥7,990
Apple AirPods Pro 2 + 延長2年 AppleCare+ for Headphones - AirPods Pro
¥42,792
Apple EarPods (USB-C)
¥2,668
イヤホン bluetooth ワイヤレスイヤホン 48時間の再生時間 重低音 LEDディスプレイ表示 小型/軽量 IPX7防水 ブルートゥース 接続瞬時 Hi-Fi ブルートゥースイヤホン Type-C 急速充電 ぶるーとぅーすイヤホン iPhone/Android/Pad適用 スポーツ/通勤/通学/WEB会議 (ホワイト)
¥39,999
Cheek to Cheek
¥250
もうどうなってもいいや
¥250
もうどうなってもいいや
¥250
Through Every Tear We Stand
¥300
Tranquil Symphony Across the Horizon
¥150
by Amazon 天然水 ラベルレス 500ml ×24本 富士山の天然水 バナジウム含有 水 ミネラルウォーター ペットボトル 静岡県産 500ミリリットル (Smart Basic)
¥1,173
キリン 自然が磨いた天然水 ラベルレス 水 2リットル 9本 国産 天然水 ミネラルウォーター ペットボトル 軟水
¥2,722
い・ろ・は・すラベルレス 2LPET ×8本 【Amazon.co.jp限定】
¥1,104
コカ・コーラ い・ろ・は・す天然水ラベルレス 560ml ×24本
¥2,131
by Amazon 天然水ラベルレス 2L×9本
¥1,098