Microsoftは2026年6月のPatch Tuesdayにおいて、Windows Server 2025向け累積更新プログラムKB5094125をリリースし、4月の更新後に一部デバイスがBitLocker回復モードで起動するという既知問題を解消した。Windows 11 23H2向けにはKB5093998が対応する。

何が起きていたのか

BitLockerはWindowsのストレージ暗号化機能で、ハードウェア変更やブートコンポーネントの更新が検出されると、不正アクセスを防ぐために自動的に回復モードへ移行する仕組みを持つ。今回の問題では、2026年4月のセキュリティ更新(Patch Tuesday)をインストールした後、一部のWindows Server 2025デバイスが初回再起動時にBitLocker回復キーの入力を要求するという現象が発生した。

Microsoftは当初「回復キーの入力は初回のみで、グループポリシー設定が変更されなければ以降の再起動では発生しない」と説明していたが、IT管理者にとって突然の回復画面は運用上の混乱を招く。

影響を受けた条件

この問題は非常に特定の条件が重なった場合のみ発生する。Microsoftが公開した情報によると、以下のすべての条件を満たすデバイスが対象となる。

  • OSドライブでBitLockerが有効になっている
  • グループポリシー「ネイティブUEFIファームウェア構成のTPMプラットフォーム検証プロファイルを構成する」が設定されており、検証プロファイルにPCR7が含まれている(またはレジストリキーで手動設定されている)
  • システム情報(msinfo32.exe)でSecure Boot StateのPCR7バインディングが「Not Possible」と表示されている
  • Secure Boot署名データベース(DB)にWindows UEFI CA 2023証明書が存在し、2023署名済みWindows Boot Managerがデフォルトとして設定される条件を満たしている
  • デバイスがまだ2023署名済みWindows Boot Managerで起動していない

これらの条件はすべて企業の管理環境特有の構成であり、個人デバイスへの影響は極めて低いとMicrosoftは説明している。

技術的な根本原因

問題の核心はTPMのPCR7(Platform Configuration Register 7)の取り扱いにある。PCR7はSecure Bootの状態をTPMが記録するレジスタで、BitLockerはこの値を使ってブート環境の整合性を検証する。

今回の更新ではブートファイルの更新処理が行われ、不整合なPCR7設定を持つデバイスで意図しないBitLocker回復がトリガーされた。修正版では、互換性のないグループポリシー設定を持つデバイスに対して2023署名済みBoot Managerのインストールを抑止する仕組みが追加された。影響を受けたデバイスではシステムイベントログにイベントID 1032が記録される。

今すぐできないIT管理者向けの回避策

今月の更新をすぐに展開できない環境向けに、Microsoftは以下の暫定対応策を案内している。

  • KB5082063以降の更新インストール前に、問題のグループポリシー設定を削除する
  • BitLockerのバインディングがPCR7プロファイルを使用するよう設定を見直す
  • グループポリシーを削除する前に展開が必要な場合は、Known Issue Rollback(KIR)を適用して2023 Boot Managerへの自動切り替えを抑止する

実務への影響

日本のエンタープライズIT管理者にとって、今回の修正はいくつかの実務的な示唆を持つ。

まず、BitLockerグループポリシーの棚卸しを。今回影響を受けたのは「推奨されない設定」とMicrosoftが明示した構成だ。PCR7を含む検証プロファイルの設定が本当に必要かどうか、セキュリティポリシーを見直す好機だ。

次に、Patch Tuesday前の検証環境整備。本番環境へ適用する前に少数の検証機で動作確認するプロセスが重要性を増している。BitLockerが有効な環境では、回復キーの保管状況(Active Directory / Microsoft Entra IDへのバックアップ状態)も合わせて確認しておきたい。

また、イベントログの活用を。今回はイベントID 1032で影響を把握できる。MicrosoftがこのようなIDを公開している場合は、監視ルールに追加しておくと迅速な対応につながる。

なお、BitLocker関連の問題は今回が初めてではない。2024年8月には7月の更新後に全Windowsバージョンで同様の問題が発生し、2025年5月にはWindows 10向けの緊急更新がリリースされるケースがあった。繰り返すパターンとして認識しておく必要がある。

筆者の見解

セキュリティは正直なところ得意分野ではないが、BitLockerとTPMの仕組み自体は技術的に面白い。今回の問題を読み解くと「推奨されない設定」が原因とはいえ、その設定を企業ポリシーとして長年運用してきたIT部門を一方的に責めるのは酷だとも思う。

気になるのは、Microsoftが4月のPatch Tuesdayで問題を認識してから修正までに2ヶ月を要した点だ。エンタープライズ環境でBitLockerの回復が発生すると、深夜対応や拠点ごとのリモート支援など現場負荷は甚大になる。Microsoftほどの技術力があれば、もう少し早い対応ができたのではないかと感じる。もったいない。

とはいえ、根本原因の説明とKIRという暫定回避策の提供、そしてイベントIDによる診断情報の公開は評価できる。透明性の面ではしっかり仕事をしている。

繰り返しになるが、BitLockerとTPMの設定は「作り手の意図した使い方」に沿うのが一番安全だ。カスタムPCR検証プロファイルを独自に組んでいる環境は、この機会に設計意図を再確認しておいてほしい。セキュリティの細部は面倒くさいが、ここを怠ると今回のように突然の痛みを伴う。

出典: この記事は Microsoft fixes BitLocker recovery bug on Windows Server 2025 の内容をもとに、筆者の見解を加えて独自に執筆したものです。