BitLocker考

お使いのパソコンがWindows10でしたら、BitLockerドライブ暗号化機能が無効としているか、ご確認ください。かくいう私のパソコンは有効になっておりましたが、とある出来事でこれはとてもリスキーな機能だと思いましたのであわてて無効化しました。

ある日Windows10のアップデートを行い、BIOSのアップデートも同時に行って何気なく再起動したところ、BIOSの画面で止まってしまい「回復キーを入力しろ」という表示。はて?回復キー、そもそもBitLockerのことなど想定していませんでしたので「新手の身代金攻撃?」とすら思ってしまいました(苦笑。
対策方法をほかのパソコンでググってみたところ(ポイントその1)
「Microsoftアカウントを使ってインストールした場合、暗号化機能がONになる
「回復キーはMicrosoftアカウントに登録されている(ポイントその2)
と言うことが分かりました。BitLockerは無効化しておいた方が良いという記述も多々ありましたが、そもそも今の状態ではパソコンが起動しませんので、無効化云々は起動できたらの話です。この状態では無効化はあり得ません。

このパソコンはインストール時、Microsoftアカウントを使用しました。理想から言うとローカルアカウントでインストールしたかったのですが、最近のWindows10インストールモデルのPCは「デジタルライセンス」という方法によってライセンス認証され、以前のようにパソコン本体にライセンスキーが添付されなくなったため、万が一パソコン再インストールをする必要が発生したときライセンスキーを確認する術がありません(知る限りでは)。そのためMicrosoftアカウントにライセンスキーを紐付けて管理した方が安全だと考え、インストールはMicrosoftアカウントを使用して行い、全ての作業が完了した後Microsoftアカウントログインは好みではないという事情もあり、ローカルアカウントに戻す、と言うことをしておりました(ちなみにこれでもBitLockerは有効化されたままだそうです)。

そこでインストール時に使用したMicrosoftアカウントに他のパソコンでログインし、回復キーを確認しようとしたところ「BitLocker回復キーがありません」と非情なメッセージ。パソコンのインストールに使用したMicrosoftアカウントは正しいにも関わらず回復キーがない、と言われる理由が全く分かりません。Microsoftコミュニティを見てみると「Microsoft アカウントを複数お持ちであれば、そちらの Microsoft アカウントでも」試してみなさいと書いてあります。そんなはずはないんだがな?と思いつつ他のMicrosoftアカウントで回復キーを探してみたところ

あ!、ありました。このアカウントはOffice365用の*.onmicrosoft.comと言うヤツです(ポイントその3)。パソコンのインストールにこのアカウントを使ってはいませんので、ちょっと解せないな?と思いつつ、まずは回復キーを表示させ、そのキーをパソコンに入力したところ

無事、再起動しました。この画面を見ることなく泣く泣く再インストールされた方も多いのではないでしょうか?
パソコンメーカーにも問い合わせてみましたが、「回復キーがない場合は初期化するより手段がない」とのことで、当たり前のことですが本人確認が取れれば教えて頂けるような「秘密の回復キー」はないようです。
そしてこの作業を通じてBitLocker機能の怖さ、と言うか安易に使用して良い機能ではないと実感しました。

ポイントその1
回復キーの入手方法、作業手順を調べるためには他のデバイスが必須です。多くの方がスマホ、タブレットをお持ちでしょうから必要な情報を探し出すことは何とかできると思いますが...

ポイントその2
問題は他のデバイスでマイクロソフトアカウントにログオンする必要があると言うことです。当然アカウントパスワードを求められますが、多くの場合ブラウザにパスワードを保存して、手書きのメモにそれを残していらっしゃるケースはそう多くはないでしょう。そしてそのブラウザがBitLockerでロックされたデバイスだったらお手上げですね。

ポイントその3
何より今回の事象で理解できないのは、何故インストール作業に利用したMicrosoftアカウントに回復キーが紐付かず、onmicrosoft.comアカウントに登録されたのか?ちょっと気になる挙動、と感じました。

企業でBitLockerを必須とする、と言うセキュリティガイドラインを設けておられるのであれば恐らく回復手順シナリオやシミュレーションを行っていられるでしょうから、特段問題となるようなことではないと思います。
そのような訓練機会を設けていないのであれば(むしろその方が多数派だと思います)、BitLockerを無効化すると設定して置いた方がむしろ安全と考えます。
少なくともこの機能はWindows10インストール時には初期値無効としておいて頂きたいですね。

カテゴリー: Windows パーマリンク