回復キーを無くすと終わるBitLocker。自動で有効化されてしまうことも。まさかのためのBitLocker入門

起動時にこの画面が表示された場合、基本的には回復キーがないと詰む

　「BitLocker」は、ドライブ暗号化機能として搭載されているWindowsの機能の1つだ。一定条件を満たすと自動的に実行され、ドライブを暗号化して、盗難や紛失、譲渡などの際にストレージのデータを保護できる。しかしながら、不具合や設定ミスなどで起動時に突然回復キーが求められる場合があるなど、意図せずトラブルになるケースもある。その仕組みと回復方法などをまとめてみた。

大前提として「回復キー」なしでの復元は事実上不可能

　BitLockerについて解説する前に、まず大前提として、Windowsに管理者アカウントでサインインできず、かつ「回復キー」が不明な場合、ドライブの復元(BitLockerの解除)は、ほぼ不可能であると考えてほしい。

　BitLockerの暗号化アルゴリズムとして標準で利用されているAES-128は、電子政府の推奨暗号の評価などを行なうCRYPTRECの2021年度のレポートによると、解読の効率化が可能と考えられる論文がいくつか存在するものの、「AESに対する攻撃は2021年度も進展は見られたが、セキュリティマージンはまだ十分にあり、AESの安全性に直ちに影響を与えるものではない」としている。

　このため、現時点では、Windowsにサインインしない状態で、何らかのツールなどを使用してBitLockerで暗号化されたドライブを復号化することは非常に困難(膨大な計算が必要)であり、正規の回復キーがない場合は、あきらめてドライブを初期化してWindowsを再インストール(リカバリ)するのが現実的だ。

　現状、PCの起動時に回復キーの入力が求められた場合は、アカウント(Microsoftアカウント/Azure ADアカウント/Active Directoryアカウント)に保存された回復キー、もしくは自らダウンロードしたファイルや印刷した紙に記録され回復キーを入力する必要があるため、この回復キーを必ず保管しておくことが非常に重要になる。

BitLockerとは

　BitLockerは、PCに装着されているストレージ(HDD/SSD)を暗号化する機能だ。

　仮にPCの盗難や紛失が発生したとしても、PCにストレージが装着されたままならWindowsにサインインしない限りファイルを参照できない。しかし、ストレージがPCから取り出された場合、外部からのアクセスに無防備になる可能性がある。

　この対策として、ストレージをまるごと暗号化し、保存されているデータを保護する仕組みがBitLockerとなる。

　盗難や紛失だけでなく、PCを売却したり、処分したり、譲渡したりする場合、ストレージ上のデータが第三者に復元されることを防ぐ目的でもBitLockerは有益となる(使用領域のみの暗号化を選択した場合は未暗号化領域上の復元には対処不可能なので要注意)。

BitLockerによって暗号化されている状態

　ただし、メリットだけではない。BitLockerによる暗号化は非常に強力なため、場合によってはPCが起動できなくなったり、暗号化された領域のデータを取り出せなくなったりする可能性がある。

　メリットとデメリットをまとめると以下のようになる。

条件を満たせば自動的に有効になる

　BitLockerは、Windows Vistaから導入された機能で、当初は上位エディション(Ultimate)でのみサポートされていたが、Windows 10/11では、利用できる機能に違いはあるもののProだけでなく、Homeでも利用可能になっている。

　また、メーカー製のPCなど、一定の条件(TPM、セキュアブート、モダンスタンバイ(DMA保護)、250MBのWinRE用領域)を満たすPCでは、自動的にBitLockerが有効化される。

一定の条件を満たすPCの場合、自動的にBitLockerによる暗号化が有効になる

　この場合、Windowsの出荷時状態ではBitLockerが中断(無効ではなく一時的な中断)された状況となっており、初期セットアップでMicrosoftアカウントなどを設定した際に有効化され、同時に回復キーが自動的にアカウントにアップロードされる仕組みになっている。

　自作PCなどでは、モダンスタンバイの条件を満たせない場合が多いため、自動的に有効化されることはほぼない。

　もちろん、「コントロールパネル」の「BitLockerドライブ暗号化」画面から、手動で有効化することも可能だ(Windows 11 Proの場合)。

Windows 11 Proの場合、コントロールパネルから手動で有効化することも可能

　BitLockerを手動で有効化する場合は、次の画面のように保存先を以下の3つから選択できるようになっている。後述するように別の方法で後からバックアップすることもできるが、Microsoftアカウントなどオンラインアカウントに保存しておくことを強く推奨する。

設定時に回復キーの保存場所を選択可能。詳しくは後述

無いと「詰む」回復キー。バックアップと確認はPC購入後の必須作業

　冒頭でも触れたように、BitLockerを利用する場合、もっとも重要なのは「回復キー」をいざというときのために参照可能な状態にしておくことだ。

　回復キーは、以下の画面にあるような48桁の数字のパスワードだ。英数字32桁で表されるデバイスを示すIDとセットで管理されており、BitLockerで暗号化されたドライブを復号化する際に必要になる。

Windowsにサインインできる場合は「manage-bde -protectors -get c:」のコマンドでも現在の回復キーを確認可能

　回復キーは、BitLockerの有効時、もしくは有効後に、「設定」の「プライバシーとセキュリティ」の「デバイス暗号化」にある「BitLocker回復キーの検索」、もしくはコントロールパネルの「BitLockerドライブ暗号化」からバックアップすることができる。

　この作業が非常に重要だ。PCを購入したら初日に必ず実施すべき作業と言ってもいい。前述したように、通常はMicrosoftアカウントに自動的に保管されるが、間違ってMicrosoftアカウントを削除してしまうことがないとも言い切れない。念のため紙に印刷して、購入したPCの箱に保証書などと一緒に保管しておくことをおすすめする。

コントロールパネルから回復キーをバックアップできるので、必ずバックアップしておく

　バックアップ方法は次に示すように3種類あるが、ほぼ無くす心配がないので、1番目のMicrosoftアカウントへの保管を利用するのがいいだろう。

(1) Microsoftアカウントで保管

　クラウド上に回復キーを保管可能。Microsoftアカウントでアカウント設定のページにアクセスし、「デバイス」の「詳細を表示」から「BitLockerデータ保護」の「回復キーの管理」をクリックすることで確認できる。

　自動でデバイス保護が有効になるPCで、初期設定でMicrosoftアカウントでのサインインを選択した場合、後からバックアップする際に選択肢が表示されないが、この方法で自動的に保管されている。

　なお、回復キーが複数登録されている場合は、回復したいPCと同じキーIDを探す。キーIDは、BitLockerの入力を求める画面に記載されている「回復キーID」の先頭8桁と同じ値。

Microsoftアカウントに保存された回復キーとキーID

入力する回復キーに対応するIDは、入力画面に表示されている。先頭の8桁が同じものを選ぶ

(2) ファイルで保管

　回復キーをテキストファイルに保存可能。保存したファイルをメモ帳などで開くことで回復キーを確認できる。

　なお、ファイルに保存する場合、BitLockerで暗号化するドライブには保存できないため、通常はUSBメモリなどの外部ストレージ(ルートには保管できないのでサブフォルダ)に保管する。

ファイルに保存した回復キー

(3) 紙に印刷して保管

　手動で有効化した際、もしくは回復キーをバックアップする際に「回復キーを印刷する」を選択した場合、プリンタを利用して回復キーを紙に印刷できる。なお、PDF形式で印刷し、ファイルとして保管することもできる。

印刷した回復キー(画面はPDF印刷したもの)

　いずれにせよ、Windowsに管理者アカウントでサインインできる場合は、回復キーをその場で参照したり、バックアップしたりすることができる。

　問題は、次のようにサインインできなくなった場合だ。

突然、回復キーの入力が要求されたら……

　以下の関連記事にあるように、2022年8月19日に配信されたWindows 11向けセキュリティパッチ「KB5012170」で、BitLocker回復キーの入力が求められる不具合が発生したが、このように回復キーが突然必要になるケースも考えられる。

起動時にこの画面が突然表示される、もしくは正しい回復キーを入力しても繰り返し表示される不具合もある

　上記のケースはセキュリティパッチの不具合だが、このほかTPM関連のトラブルでもBitLocker回復キーの入力が求められる場合もある。

　例えば、以下のようなケースだ。

• UEFI設定でTPMを無効にした場合(一時的にオフにしただけならオンにすれば回復する可能性が高い)
  
• TPMをファームウェアTPMからディスクリートTPMに切り替えた場合
  
• TPMの設定で内容をクリアした場合

　前述したようにWindowsに管理者アカウント(ローカルアカウントでも管理者権限があれば可)でサインインできるのであれば、回復キーがなくてもBitLockerを解除できる。

　しかし、このように、PCの起動時にBitLocker回復キーの入力を求められた場合は、指示通り、回復キーを入力しないと先に進めない。

　前述した方法でバックアップされている場合は、まずサインインに利用しているアカウントの設定ページを確認してみるといいだろう。

　前述したようにMicrosoftアカウントの設定ページ、もしくはAzure ADのアカウント設定ページ(Microsoft 365で組織のアカウントを利用している場合)から、ユーザー自らが回復キーを確認できる。

　なお、企業でデバイス管理のソリューションを導入している場合は、管理者がユーザーの回復キーを確認することもできる。例えば、Intuneのデバイス管理から管理対象の回復キーを確認可能だ。企業で管理されているPCの場合は、まず管理者やサポート担当に問い合わせてみることをおすすめする。

Microsoft 365のIntuneで管理されたデバイスなら管理者も回復キーを確認可能

　残念ながらMicrosoftアカウントに保管されていなかった場合は、USBメモリや紙に残されている可能性があるので、それを探すしかない。

　最終的に、どこにも回復キーが見当たらない場合は、冒頭で解説したようにあきらめるのが現実的だ。PCを初期化して、再インストールすることを検討しよう。

　ちなみに、HDD/SSDのデータ復旧ソフトや事業者によっては、BitLockerで暗号化されたドライブにも対応可能としている場合があるが、こうした判断をする場合は、事前に内容を問い合わせるべきだ。

　データ復旧ソフトによっては、作業手順で回復キーの入力するように、さらりと記載されていたり、データ復旧事業者の復旧成功事例にも回復キーの入力、またはWindowsへのサインインを実施して解除した旨が記載されていたりする。

　「サインインできない」こと、「回復キーがないこと」を明確に伝え、それでも復旧できるかどうかを事前に確認してから利用すべきだ。

　もちろん、状況次第では何らかの方法でメモリから回復のための情報を取得したり、無理やり総当たりで復元を試みたりすることも不可能ではないかもしれないが、少なくとも現時点では、基本的に回復キーなしでの復旧は現実的ではないと考えるのが妥当だ。

回復キーの入力画面が繰り返し表示される場合

　なお、Windowsの不具合によって、正しい回復キーを入力したにも関わらず、繰り返し回復キーの入力画面が表示される場合がある。

　この場合は、回復コンソールからコマンドを利用して、BitLockerを解除し、さらにBitLockerを中断した状態にすることで、Windowsを起動できる。具体的なコマンドは、以下に記載されているので、参考に作業するといいだろう。

• BitLocker 回復ループから抜け出す

ループする場合の対処法。コマンドでBitLockerを解除し、Disableで一時的に無効にしてブートする

グループポリシーでより強固なセキュリティにすることも可能

　このほか、グループポリシーを利用すると、OS起動時にPINやUSBキーの挿入を要求したり、BitLockerの暗号化アルゴリズムを変更したりすることもできる。より強固なセキュリティが必要なケースでは、こうした機能の活用も検討するといいだろう。

起動時にPINやUSBキーを要求できる。暗号化キーがメモリに読み込まれる前に関門を設けることで、DMA攻撃(PCIeなどから直接メモリにアクセスする攻撃)などを防げる

暗号化方式を変更することもできる