Microsoftは、Windows 11向けの累積アップデート KB5083769 および KB5082052 を適用した端末において、BitLockerのリカバリモードが誤って起動してしまう不具合を公式に認めた。影響範囲はWindows 11の全サポートバージョンにとどまらず、Windows 10およびWindows Serverにも及んでいる。
何が起きているのか
BitLockerは、ディスク全体を暗号化してデータを保護するWindowsの機能だ。通常、ハードウェア構成の変更やTPMの状態変化など「何か重要なものが変わった」と検知したときにリカバリキーの入力を求める。今回のケースは、OSアップデートによって不適切にその条件が満たされたと誤認され、再起動後にいきなり回復キーの入力画面が表示されるという事象だ。
Microsoftの公式見解では、この問題はアップデートのインストールプロセスにおけるBitLockerとTPMの状態管理に起因するとされており、回避策の調査中としている。
なぜこれが重要か
BitLockerのリカバリキーは、多くの企業環境でActive DirectoryやMicrosoft Entra IDに保管されている。IT管理者がいるならまだリカバリは可能だが、問題はエンドユーザーが一人で作業している時間帯や、出先・在宅勤務中にこの画面に遭遇したときだ。リカバリキーがどこにあるか分からないユーザーは、完全に作業不能になる。
さらに深刻なのはサーバー環境だ。Windows Serverに同様の問題が発生した場合、サービス停止に直結する。BitLockerを有効化しているサーバーで再起動後にリカバリ画面が出れば、物理的またはコンソールアクセスが必要になるケースもあり、クラウド仮想マシンでは対応がより複雑になる。
実務での対応ポイント
【IT管理者向け】
- パッチの展開を一時停止する判断も正解: 問題が公式確認されている状況では、KB5083769・KB5082052の自動展開を保留にすること。Microsoftが修正済みパッチをリリースするまで待つのは立派なセキュリティ判断だ。
- BitLockerリカバリキーの保管状況を今すぐ確認: Microsoft Entra IDまたはActive DirectoryにリカバリキーがエスクローされているかをPowerShellや管理コンソールで確認する。保管されていない端末が一台でもあれば、今すぐ対処が必要だ。
- 影響端末の洗い出し: 既に該当パッチを適用済みの端末リストを作成し、ヘルプデスクに「BitLockerリカバリ画面が出た場合の対応手順」を共有しておく。
- サーバーへの適用は特に慎重に: 本番サーバーへの展開前に、テスト環境での検証を必ず実施すること。
【一般ユーザー向け】
- もし再起動後にBitLockerのリカバリキー入力画面が出た場合は、焦らずIT部門に連絡する。
- 個人PCでBitLockerを有効にしている場合は、Microsoftアカウントのセキュリティページからリカバリキーをあらかじめ確認・保存しておくこと。
筆者の見解
Windowsのアップデートが端末を「文鎮化」しかねない問題は、残念ながら珍しい話ではなくなりつつある。今回はBitLockerという、まさにセキュリティの要である機能が誤動作するという点で、インパクトが大きい。
このような不具合が続くと、IT管理者の現場では「すぐに当てるべきか、様子を見るべきか」という判断がますます難しくなる。セキュリティパッチは速やかに適用することが原則だが、パッチそのものが別のリスクを生む状況では、テスト環境での検証フェーズを設けることが現実的な対応だ。「数日様子を見てから展開する」という判断は、臆病ではなく、リスク管理として正しい行動だと筆者は考えている。
Microsoftには、品質管理プロセスの強化を期待したい。これだけの規模のエコシステムを持ち、Windows Updateという強力な配布基盤があるのだから、その基盤の信頼性を守ることがすべての前提になる。セキュリティ機能を守るためのパッチが、セキュリティ機能を壊すという矛盾は、早期に解消されることを強く願っている。
修正パッチのリリース情報は、Microsoftの公式リリースノートおよびWindows Updateのサポートページで随時更新される予定だ。影響を受けた場合は公式情報を都度確認してほしい。
出典: この記事は Microsoft confirms Windows 11 KB5083769, KB5082052 wrongly forcing BitLocker recovery の内容をもとに、筆者の見解を加えて独自に執筆したものです。