BitLockerの恐怖

こんにちは。ぱんだマイスターです。

熱～い気候も、お盆に入る頃には徐々に涼しくなってきました。
外に出るのが億劫になりますが、出張修理から帰ってきた時の冷房の効いた部屋は最高（笑）

さて、今回入庫したPCサポートを紹介いたします。

hp Laptop 15s-EQ3026AU / 2022年10月モデル

スペックは
OS : Windows11Home / CPU：Ryzen 5 5625U　/メモリ：16GB　/SSD512GB/15.6インチFHD(1920x1080)

と、本当に現在販売されているPCと同等のスペックとなります。

こんな新しいパソコンがなぜ？？と思うかもしれませんが、題名の通りBitLockerの不具合による入庫となりました。

早速、PCを診断して行きます。

Bitlockerの回復キーを求めてきますね～。

ユーザーさんによると、BitLockerの回復キーはバックアップされておらず、不明との事。
そりゃそうだ。Windows11Proならいざ知らず、Windows11HOMEですもの。BitLockerは搭載していませんし、回復キーのバックアップを促すメッセージなども出てくるわけが有りません。

通常であれば、Microsoftアカウントページのデバイスタブから回復キーが確認できますが、このPCに関するものは、何もバックアップされていなかったようです。（この時点でうーん??...)

次に、ほかのデバイスにストレージを接続して、Usersフォルダにアクセスできるか試してみる事にしました。（望み薄）

何はともあれ分解しま～す（笑）

M.2 /NVMe 512GB～～♪

はい。残念でした。暗号化されたストレージはそう簡単には、読ませてくれません。（読めたら大問題）

Ubuntu（LINUX)でも試してみましたが、やはり、暗号化されたストレージは読むことはできません。

ちなみに、

manage-bdeで回復キーを調べる方法などもありますが、こちらは、BitLockerがストレージをロックしてない状態の時に限り有効であって、既にロックがかかってしまった場合は、このコマンドを駆使しても解除する事は不可能です。

そもそもWindows11 Homeですから、BitLockerの回復キーはローカルディスクドライブには格納はされていませんしね。

現在の状態をユーザーさんへ伝え、データ消去の確認を入れたところ、OK（致し方が無い）だったので、システムリカバリします。

システムリカバリーしまーす。

ｈｐはクラウドリカバリなので、国内メーカーのようにインストールメディアを取り寄せる必要が無く非常に助かります。

日本のメーカーも見習えばいいのに～と思います。特定のメーカーに至っては（旧T社と言っておこう（笑））、修理扱いです。パソコンの新品はメーカーも問屋も販売店も儲からないので、サポートや修理で儲けるしか手段が有りませんしね。（遠くを見るぱんだマイスター...)

リカバリ直後～～♪

SSDのリカバリは早く終わるので、非常に助かります。HDD搭載機種だと、リカバリメディアを使った作業の場合、２～6時間程度かかります。

リカバリ後、Windowsupdateやドライバ等のアップデートを行い、本体を清掃してお引渡し致しました。

作業に要した時間は1日でした。（預かった翌日にお渡し）

さて、ここからが重要です。

今回、なぜBitLockerが勝手に動いてしまったのか？？

理由は簡単かつ見落としがちな部分で、悪条件が揃った状態での出来事でした。

条件
①初期セットアップはオンラインアカウントをバイパスした。（ローカルアカウントでセットアップしている）

よって、Microsoftアカウントは未取得。（ユーザーさんの証言）

現在はno@thankyou.comは使えないようになってますので、わざわざオンラインアカウントバイパスセットアップをしなければ確実にMicrosoftアカウントを作成してるはず。

②2024-07のセキュリティ更新プログラムKB5040442のインストール後より、同一症状が確認されている。

Windows 11 バージョン 22H2 の既知の問題と通知お知らせを表示し、Windows 11 バージョン 22H2 の既知の問題と修正プログラムを確認する

learn.microsoft.com

③2024-08のセキュリティ更新プログラムKB5041585で2024-07の問題は解消されている事になっている。（本当に解消されているかは不明）

④Windows11HomeはBitLockerという表現は無いものの、【セキュアブートが有効】なPCでは、【デバイスの暗号化】が有効になる。

【原因】

Windows11HomeはBitLockerと表記されているものは有りません。BitLockerを有効化したい場合は、Windows11Proへのアップグレードが必要でそちらに誘導されます。

しかし、Windows11Homeであっても、最近のPCはセキュアブートが有効化されているので、【デバイスの暗号化】が最初から有効です。名前は違いますが、暗号化技術は【BitLocker】と同等のものが採用されていますので、もし、何らかの理由でデバイスにロックがかかってしまった場合は、Windows11Proと同様に回復キーが必要になります。

なお、初期設定時にMicrosoftアカウント取得しなかった場合（既存アカウントを用いてログインしなかった場合も含む）、回復キーはアタッチ（関連付け）されないので、回復キーは一切不明状態になります。しかもローカルディスク内にも回復キーは存在しませんので、システムリカバリ以外手段を選ぶことはできません。

【対策】

Windows11Homeは、面倒でもMicrosoftアカウントは必ず作成して、PINコード等でロック解除の簡略化を行いましょう。

どうしてもMicrosoftアカウントが嫌でローカルアカウントで設定したい場合は、【デバイスの暗号化】は【オフ】にしましょう。

※Windows11Proは個人が使うメリットが無いので、各会社のシステム管理者に確認するのが良いでしょう。

また、Microsoftが行うセキィリティ更新プログラムは、たまに重大な欠陥を含んでいることも有るので、万が一に備え、データのバックアップは定期的に行いましょう。

----------------

2024/8/17