2022年8月ウィンドウズアップデートに起因する障害
実家から連絡があり、急にパソコンが使えなくなったとのこと。何だろうと思って聞くと「BitLocker」という青い画面が出てきて、それより先に進めなくなったという話でした。うちの場合、日本ーアメリカ間の連絡は長いことPC版のSkypeでやっているので(これしか父が出来ない、iPadやiPhoneも使えない)、これが使えなくなると一大事です。
マイクロソフトの更新プログラムが悪さ
パソコンそのものはデルから昨年末に購入したもので新しく、機器的には問題ないはず。また父はスカイプ以外にはネットとメールを開くぐらいで、大したことをしていないのは分かっています。聞き取りを行うと(彼は文明から取り残されているのでPCに関する状況を聞き取るのも実は大変)朝に使った後更新プログラムをインストールするを選択してシャットダウンし、夜使おうとしてOSを立ち上げたらBitLockerを回復するためにキーを入力せよという画面が出た、ということでした(私の翻訳)。因みにそのパソコンはWindows 11(バージョン21H1)です。
BitLocker?
BitLockerについて調べるとPCのハードドライブを暗号化する機能だそうです。情報漏洩を防ぐ意味で使われるとか。さらにトラステッド プラットフォーム モジュール (TPM) と共に使用することで最大限の保護を提供するそうで、ちょっと前に話題になったWindows 10から11のアップグレード条件にも多少関係してそうです。
詳細はマイクロソフトからの文章を確認ください。
Windows での BitLocker デバイスの暗号化の概要
ただし実家のPCに情報漏洩を気にするようなデータはまずないですし、父に確認しても初めてそのPCを開いた時にそんな設定をした覚えはない、とのことです。また回復キーは48桁だそうで、マイクロソフト・アカウント設定していればそこでキーを見つけられるかも、とのことですが、そんなアカウントを取得した記憶もないから分からない、という話でした。それじゃそもそもどうやってこの画面が立ち上がったのでしょうか、不思議です。検証したいと思います。
PC購入先で調査
このPC、私がアメリカからネットで購入しデルから直接日本の実家に届けてもらったものです。自分のメールアカウントから購入履歴を確認し、基本保証期間内であることを確認しました。次に父にPCに貼ってあるサービスタグ番号を探してもらい、Dellのテクニカルサポートサイトでその番号を入力。確かに実家のPCが認識され、最悪の場合引き取り修理をしてもらえそうなことを確認しました。
次に問題の事象を探すとすぐに出てきました。
Windows Update KB5012170でBitLocker回復パスワードの入力を求められる場合がある
日付は2022年8月23日でタイムリーであり、父の証言とも非常によく一致します。恐らくここで書かれているWindows Update「KB5012170」の更新で問題を引き起こしたと考えるのが妥当です。マイクロソフトやりやがったな。
ここまでの情報を元にデルのテクニカルサポートとチャットをしました。至極真っ当な対応で説明すると状況をすぐに把握してくれました(アメリカのサポートとは大違い)。
結論としてデル側のハードウェアが問題である場合のみ修理手配が可能、今回はソフトウェア(OS)の更新が問題のため客側が改善を試して下さい、が基本線ですが、今回に限り預かって検証、検査の上出荷時の状態に戻す対応も致します、とのことでした。これってマイクロソフトがいけなくて、デルに瑕疵はないんですけど有り難いことです。
ただデルのPCの場合OSが立ち上がる前にF12からBIOSもしくはUEFIの画面に入り、Dell Support Assist OS Recoveryを立ち上げることで工場出荷時に自分で戻せますよ、とのことなので、まずはBIOSもしくはUEFIの画面に入れるか確認してからまた連絡することにしました。
結論:日本のデルの対応、100点(対応してくださった方、ありがとう)
KB5012170?
ここからは推測の話。BitLockerを有効にしなくても更新プログラムを入れるだけで回復画面が立ち上がりうるのか、に興味が行きました。もしありうるのなら回復キーはないはずで、回復しようがありません。そもそもKB5012170がどんな更新なのか調べました。
「KB5012170」に再び問題、「BitLocker」の回復キーを入力しなければならなくなる
「KB5012170」は、デバイスの起動時に悪意あるソフトウェアが読み込まれないようにする「セキュア ブート」(Secure Boot)という仕組みで確認された、セキュリティ機能をバイパスできてしまう脆弱性に対処するもの。
Impress Watch
なるほどルートキットなどがOSによるマルウェア検出を回避するのを防ぐためのセキュアブートの穴を防ぐためのパッチのようです。直接関係あるか分かりませんが自分もつい最近必要があり、古いWindows 7PCが立ち上がる前にコマンドプロンプトを立ち上がるように仕向け、ローカルの管理者アカウントを作って権限を取得してハードディスクの中身を確認したばかりでした。
F12からBIOSもしくはUEFIの画面に入れること、そしてセキュアブートに関係することから、更新によりOSが起動する前の状態にハードウェア(それともファームウェア?)が異変を感じ、BitLockerの画面を起動させたのかな?と今は勝手に想像しています。
本当の理由はマイクロソフトからの詳細なレポートを待つことにします。8/25現在で英語でも報告は見かけていません。
BitLockerを有効にしたのか?
もう一つの疑問は父が最初の時点でBitLockerを有効にしたか?ということです。本人はやっていないと言っていますが、どうやらデルのPC、そもそもデフォルトで有効になっている線が濃厚です。
特に原因1にある
お使いのデバイスは、デバイス暗号化を自動的に有効にする特定の要件を満たす最新のデバイスです。この場合、保護がアクティブ化される前に、BitLocker回復キーが自動的にMicrosoftアカウントに保存されます。
Dell
の記述により、恐らくですが父自身が有効にしていないものの、セットアップの途中で言われるがままに何らかのメールアドレスを入れてMicrosoftアカウントを作り、そこに保存された可能性が高いです。
父から使いそうなメールアドレスとそのパスワードを電話で聞きこちらでMicrosoftアカウントから回復キーを探そうとしましたが、アクセスする場所(IPアドレス)が日本でないので二段階認証に引っかかりました。その後推測で試行錯誤しましたがダメでした。また恐らく入れたメールアドレスも現在アクセス出来ない古いものらしく(最近ネットのプロバイダを変更したため)、マイクロソフト・アカウントからメールをそこに送っても中身を確認出来ない状態です。
以下のブログからもわかる通りこの回復キーがない場合、工場出荷時の状態に戻すしか今のところは手段がなさそうです。とほほ。
- 「BitLocker回復」が起動時に表示される!原因や解除方法は?
- Windows11 「Windows起動時、Bitlocker回復キー画面が表示される」トラブルサポート
- BitLocker回復画面をバイパスしてシステムに入る方法(但しツールが必要で、そのツール導入自体に問題かないかは不明)
そもそもPCを普段使いしかしない人たちにこのような作業・対応を求めること自体、マイクロソフトはナンセンスです。こう思うと無理やりTPM2.0を消費者向けのWindows 11まで求めたこと自体もどうなの?と思ってしまいます。
結論
我が家としては最悪デルのサポートを利用して工場出荷状態に戻してくれることを確認出来たので、父にDell Support Assist OS Recoveryを使って初期化する作業は頼まない予定です。私がリモートで電話で指示しても、老眼だしPCの作業に関しては日本語も通じないことが多いので無理です。一方で1~2週間ぐらいでマイクロソフトが対応策を出してくれることを心から祈っています。
追伸:対処法
後日英語のサイトで潜在的な対処法が書かれているのを見かけました。
Beware! Latest Windows update causes BitLocker issues on your device
With no current official solution, while the company investigates the problem, users can actually bypass the problem by updating UEFI to the latest versions.
Windows Report
(現在公式な解決策はなく、同社が問題を調査中であるが、ユーザーは実際にUEFIを最新バージョンに更新することで問題を回避することができます。)
デル製PCの場合、以下のようにしてBIOSをアップデート出来るようです。
ただ本当にこれで上の問題が解決されるかどうかは分かりかねます。また父がBIOSのアップデートを出来るとは思えないので、我が家の解決策にはなりえません。
コメント