普段Macユーザーなのだが、久しぶりにWindows機を開いてみたら、青い画面で「BitLocker回復」と表示された。(参照:画像1)
身に覚えもなく、頭には??が浮かぶだけ。
回復キーを入力する必要があるとのことだが、回復キーが何を指しているのかさえピンと来ず。
回復キーを入力する以外に、画面から選択できるのは「Ecsキーを押してください」のみ。
詳細が確認できるということで押下するが、やはりBitLockerの回復キーを入力する画面が表示された。(参照:画像2)
この時点でできることは「このドライブをスキップする」を押下し、BitLockerを調査することと、入力できる回復キーを見つけ出すこと。
ということで、ひとまずWindowsの電源を切り(参照:画像3)、別の端末を使って調査する。

BitLocker回復画面
1. BitLocker回復画面
2. BitLocker回復キー入力画面
2. BitLocker回復キー入力画面
BitLockerオプションの選択画面
3. BitLockerオプションの選択画面

1. BitLockerとは?

BitLocker は、ドライブを暗号化し、ロックを解除する前に 1 つ以上の認証要素を必要とすることで、不正アクセスからデータを保護する Windows 暗号化テクノロジです。

データへの不正アクセスの可能性が検出された場合、Windows では BitLocker 回復キーが必要になります。 この追加手順は、データを安全にセキュリティで保護するための安全措置です。 これは、BitLocker が攻撃の可能性と区別できないハードウェア、ファームウェア、またはソフトウェアを変更した場合にも発生する可能性があります。 このような場合、BitLocker は、ユーザーがデバイスの承認された所有者であっても、回復キーの追加のセキュリティを必要とする場合があります。 これは、データのロックを解除しようとしているユーザーが本当に承認されていることを確実にするためです。

参考:Windows で BitLocker 回復キーを見つける

2. 回復キーとは?

BitLocker 回復キーは、システム ドライブへのアクセスの試みが承認されていることを BitLocker が確認できない場合に、システムのロックを解除するために使用できる一意の 48 桁の数字のパスワードです。

参考:Windows で BitLocker 回復キーを見つける

3. 原因調査

では、今回なぜ身に覚えのない設定が有効化されてしまったのか。
調査した中で有力な情報としては、WindowsUpdateが適用された際にユーザーの意図とは関係なくBitLockerの設定が有効される問題があるとのこと。

参考:KB4535680: Security update for Secure Boot DBX: January 12, 2021

4. 表示された画面に記載されたURLにアクセス

上記サイト内で回避策などが記載されているが、いずれも再起動前にBitLockerを停止にしたり有効にしないようにと事前に行うことばかり。

ひとまず回復キーの入力を求められた画面に記載されている「aka.ms/myrecoverykey」にアクセスを試みるとMicrosoftアカウントへのログインを促された。
起動させたいWindowsで使用していたMSアカウントでログインをすると下記画面が表示された。

表示された画面キャプチャ

BitLocker 回復キーについて

5. 回復キーの確認

回復キーをBitLocker設定時にアップロードしていればここで表示されるはずだが、今回は身に覚えがなく勝手に設定されたということもあり、何も表示されず。

※表示されればその回復キーを入力することでWindowsの起動が可能になるはずだが、今回は表示されなかったので検証できず。

6. 回復キーがない場合

注釈として、「他のユーザーにPCセットアップを依頼した場合、」とあるが、自分で設定したため該当せず。
また、「詳細を見る」とあるが、以下のようなケースを候補に挙げているだけで今回のケースには当てはまらず。

  • 保存した印刷物
  • USB フラッシュ ドライブの場合
  • Azure Active Directory アカウント

7. Windowsの初期化

調査した結果としては、初期化しなければならないという残念な結果となった。
初期化したら、二度と起こらないように対策しておく。

8. 再発防止

BitLockerを有効に設定し、回復キーを控えておく

BItLokerは使い方さえ理解していれば、データ保護の観点からは非常に有効な対策と言える。
今回はユーザーの意図ではないところで設定されてしまった事が発端ではあったが、理解した上で有効にしておくのであれば問題ない。

有効にした場合は回復キーを忘れないように保存しておく必要がある。
当然、BitLockerを有効にしたWindowsに保存しておいても、回復キーの入力を求められたら確認はできない。できたとしたらデータ保護の機能としても意味がない。
別のPCやスマホなどの端末に保存しておいたり、紙のメモに記載しておくなどの対応が必要になる。
回復キーは48桁の数字なのでくれぐれも間違えたり、控えた方法を忘れたりしないように注意が必要。

BitLockerを無効に設定する

個人的な使い方をしていたり、Windowsを持ち歩くようなことがなくデータ保護の必要性をあまり感じないという場合は予め無効にしておくことで再発は防止できる。
ただし、データ保護や暗号化は情報漏えいの防止にはスタンダードな対処法なため、無効にする場合はリスクを理解した上で自己責任で行う必要がある。

まとめ

今回のWindowsは普段からコアな使い方をしておらず、データはGoogleドライブやDropboxなどクラウドに保存していたため大きな損害にはならなかったが、これがメインマシンとして頻繁に使っていた事を考えると不幸中の幸いだったとポジティブに考えるしかない。
ただ、いくらクラウドが一般的になっているとはいえ、一時的でもファイルをローカルに保存することは日常的にある。業務で使っていたと思うと背筋が凍る思いだが、今後も再発しないように対策は必須。