About BitLocker

Question

Noda Yusuke 0

BASE株式会社の野田と申します。

担当しているショップ様より、オンラインミーティングで弊社から画面共有を求められたことが原因でBitLockerが作動し、解除方法が分からずに困っているとお問い合わせ頂きました。

御社より解決にむけてご対応いただきたくご連絡いたしました。

何卒お力添えのほどよろしくお願いいたします。

0 comments

1 answer

Answer 1

BitLocker はオンライン会議や画面共有そのものが原因で「作動」することはなく、あくまでドライブ暗号化機能として常時有効になっているか、今回のタイミングで「回復キー」の入力を求める状態になった可能性が高い。

BitLocker が有効な端末で、ハードウェア・ファームウェア・ブート構成などに変更や異常が検知されると、「不正アクセスの可能性あり」と判断して回復キーの入力を要求する仕様になっている。

BitLocker は Windows のドライブ暗号化機能であり、紛失・盗難時などにディスクを取り外して別 PC から読まれても内容を保護する。
暗号化されたドライブに対して、攻撃の可能性がある変更（BIOS/UEFI 設定変更、セキュアブート構成変更、特定の更新など）が検知されると、起動時に BitLocker 回復キーの入力が求められる。
回復キーは 48 桁の数値パスワードで、これを入力しないと暗号化ドライブのデータにはアクセスできない。

参考:

BitLocker の概要と保護内容: BitLocker は、ドライブを暗号化し、オフラインでの不正アクセスからデータを保護する機能。
Windows が回復キーを要求する理由: ハードウェア・ファームウェア・ソフトウェアの変更を攻撃と区別できない場合、正当なユーザーであっても追加のセキュリティとして回復キーを要求する。

ショップ様側で実施いただくべき一般的な流れは次のとおり:

回復キーの保管場所を確認 BitLocker 回復キーは、以下のいずれかに保存されていることが多い:
- Microsoft アカウント（個人用）のデバイス一覧ページ
- 組織の Azure AD / AD DS（会社・学校アカウントで管理されている場合）
- 印刷した紙、USB メモリ、ネットワーク共有などに管理者が保存
管理主体の確認
- 端末が組織管理（ドメイン参加、Intune 管理など）の場合:
  - 組織の IT 管理者がポリシーで BitLocker を有効化している可能性がある。
  - 回復キーも組織側（AD DS / Azure AD）に保存されているため、社内 IT 管理者に回復キーの取得を依頼する必要がある。
- 個人所有・ローカルアカウントのみの場合:
  - デバイス暗号化が自動有効化されているケースでは、Microsoft アカウントに自動的に回復キーが保存されていることがある。
回復キーが見つからない場合の影響
- 回復キーがどこにも保存されていない、または取得できない場合、BitLocker の設計上、暗号化されたデータにアクセスすることはできない。
- その場合は、回復イメージなどを用いた初期化（データ消去）による再セットアップが唯一の選択肢となる。

BitLocker を有効にする際は、必ず回復キーのバックアップ先（Microsoft アカウント、組織のディレクトリサービス、物理媒体など）を明確にし、利用者にも周知しておくことが重要。
回復キーを入力して起動できた後は、原因調査と再発防止のため、以下を実施することが推奨される:
- manage-bde.exe -status で保護モードや構成を確認
- イベントログから、どのような変更がトリガーになったかを確認
- 必要に応じて BitLocker を一時中断・再開し、検証プロファイルをリセットして毎回回復キーを求められないようにする

なお、BitLocker の仕様上、Microsoft やベンダー側が回復キーを生成・再発行したり、キーなしで暗号化を解除したりすることはできないため、ショップ様には「回復キーの所在確認が最優先であり、見つからない場合はデータ復旧ができない可能性がある」点を明確に案内する必要がある。

References: