4月のWindows更新でBitLocker回復画面が続出——企業IT部門が直面した「Patch Tuesday の代償」

4月の定例Windows更新（Patch Tuesday）後、BitLockerが有効なPCが起動時に突然「48桁の回復キーを入力してください」という青い画面を表示する——そんな障害が企業IT現場で広範に発生した。暗号化されたドライブへのアクセスが失われるこの問題は、医療機関や金融機関を含む多くの組織に混乱をもたらし、IT部門にとって「Patch Tuesday 最悪シナリオ」の一つとして記憶されることになりそうだ。

なぜBitLockerが突然回復モードに入ったのか

問題の根本は、Secure Boot の整合性検証に使われる PCR7（Platform Configuration Register 7） の測定値が、今回の更新適用後に変化したことにある。

BitLockerはTPMチップに保存された PCR 値を使って「このシステムは安全か」を判断している。PCR7 は Secure Boot ポリシーの変化——ブートマネージャー・ブートローダー・Secure Boot データベースの更新——を追跡するレジスタだ。今回の累積更新（KB5037771 / KB5037770 / KB5037769）はこれらのコンポーネントを正規の手続きで更新したにもかかわらず、PCR7 の値がBitLockerの想定範囲を超えて変化してしまった。

BitLockerの設計思想は「何かが変わったら疑え」である。その設計が正しく機能した結果として、正規の更新後に回復画面が出るという皮肉な事態となった。

影響を受けるOS・KB

OS バージョン 問題のKB

Windows 11 24H2 KB5037771

Windows 11 23H2 KB5037770

Windows 10 22H2 KB5037769

企業IT現場での実態

障害の深刻さは現場レポートに如実に表れている。ある病院では朝の回診時に47台の臨床ワークステーションがロックアウトされ、看護師は患者記録にアクセスできない状態が数時間続いた。金融機関では市場開始直後にトレーディングフロアのシステムが回復モードに入り、手動でキーを入力するまでの20〜30分間、業務が止まった。

問題を悪化させた要因は「Patch Tuesday」という更新サイクルの構造にある。多くの企業が深夜バッチで一斉展開した結果、翌朝に大量の回復要求が一気に噴出した。集中管理（Intune・Active Directory）があっても、最終的には「1台ずつ手動でキーを入力する」という作業が避けられない。

Microsoftの対応と現在の回避策

Microsoftは2026年4月9日付のサポート記事で問題を公式に認め、「一部のデバイスに影響する」として次の回避策を案内している。

更新前にBitLockerを一時停止する

出典: この記事は April 2026 Windows Updates Trigger Unexpected BitLocker Recovery Prompts: Enterprise IT Faces Disruption の内容をもとに、筆者の見解を加えて独自に執筆したものです。