Windows 11BitLocker

～ index ～
• 概要
• WindowsとBitLocker
• BitLocker回復キー
• BitLocker回復キーの入力画面
• デバイスの暗号化の無効化
• BitLockerの無効化
• 感想
• 追記(2024/10/04)

BitLockerについては聞いたことがある程度で特に関心は持っていなかったが、たまたまチャンネル登録しているYouTube動画をみて無関心ではいられないと思った。

pcのディスクが気が付かないうちにWindowsによって暗号化されるという。セキュリティ上の暗号化なので普通に使えるが、回復キーを要求される場合があるらしい。

エクスプローラー

暗号化されているか簡単な見分け方はWindowsのエクスプローラーでpcドライブを表示させるとWindows(C:)の前に、小さくて分かりにくいが暗号化されていればWindowsと鍵のアイコンが付いている。(*今回pcを購入した時点で暗号化されていたことが分った)

なんと自分のpcのCディスクも暗号化されていた。

自分のpcのスペックは、Windows 11 Home エディション バージョン23H2、16GB/512GB、Intel i7-1255U 1.70GHz 、HP社製 、2022年12月購入。

ハードウェアチップ TPM（トラステッド・プラットフォーム・モジュール）2.0が搭載されているpcで、MicroSoftアカウントを使っているWindows 10およびWindows 11はデフォルトでBitLockerにより暗号化されるという。

デバイスマネージャー > TPMが付いている

具体的なBitLockerのメリットとして、例えばノートpcなど持ち歩き紛失したり盗難にあった場合、起動パスワードを設定しているから大丈夫と思いがちだが、ディスクはSSD、HDDとも簡単に取り外しができて、他のpcに装着できる。TPMはこれを監視し、BitLockerの回復キーの入力を求める。

以下、BitLockerについての情報など述べる。Windows 11のHomeエディションとProではBitLockerの仕様に違いがあるようだが、ここではHomeエディションのケースで確認したものを紹介。

結論は、BitLocker対象pcの場合は、回復キーを控えておいた方がよい、というもの。

ChatGPTとのQ/A

デフォルトで知らないうちにドライブが暗号化されるようになったのはいつからか

Windows 10のバージョン1511（2015年11月リリース）から、デバイス暗号化がデフォルトで有効になるようにMicrosoftは設定を変更しました。この機能は、特定の条件を満たすハードウェアが必要で、それにはTPM2.0などが含まれます。この設定により、対応しているデバイスではユーザーが意識することなく、ドライブが自動的に暗号化されます。

TPM2.0はいつからか

TPM 2.0は、2014年に発表されました。このバージョンは、以前のバージョンであるTPM 1.2と比較して、より強化されたセキュリティ機能とより幅広いアルゴリズムのサポートを提供します。TPM 2.0は、セキュアブート、ディスク暗号化、プラットフォーム認証などのセキュリティ関連のタスクを強化するために設計されており、Windows 10以降のバージョンでは特に重要な役割を果たしています。

TPMはマイクロソフトが作ったものか(*モジュールというからソフトと思っていたがハードウェアチップであった)

TPMは、マイクロソフトが作成したものではありません。TPMは、Trusted Computing Group（TCG）という産業コンソーシアムによって開発された規格です。このグループは、多くのテクノロジー企業が参加しており、セキュアなコンピューティング環境のための標準を制定しています。マイクロソフトはこのコンソーシアムのメンバーの一つですが、TPM自体は業界全体の共同作業による成果物です。

Windows以外のOSではユーザーの知らないうちに暗号化されたという話は聞かないが

Windows以外のOSでは、ユーザーの知らないうちに暗号化が行われるようなデフォルトの設定は一般的ではありません。LinuxやmacOSなど他のオペレーティングシステムでは、暗号化機能は提供されていますが、通常はユーザーが意識的に設定する必要があります。各OSでの暗号化の取り扱いは以下の通りです：

1. **Linux**: 多くのLinuxディストリビューションでは、ディスク暗号化（例えば、LUKSを使った暗号化）を利用するオプションがインストール時や特定の管理ツールを通じて提供されますが、これはユーザーがアクティブに選択して設定する必要があります。システムの設定や管理についての知識が必要とされる場合が多いです。

2. **macOS**: AppleはFileVaultと呼ばれるディスク暗号化技術を提供しており、これもユーザーがシステム環境設定を通じて明示的に有効化する必要があります。macOSの初期設定では、FileVaultはデフォルトでオフになっており、ユーザーによる有効化が推奨されています。

3. **Chrome OS**: Chrome OSでは、ユーザーデータはデフォルトで暗号化されていますが、これはデバイスのセキュリティ設計の一部として明確に宣言されており、ユーザーがOSを使う上で透過的に行われます。つまり、ユーザーは暗号化の有効化を選択する必要はありませんが、システムがどのようにデータを保護しているかについては開示されています。

これらのシステムでは、ユーザーの意図に基づいた設定と透明性が重視されており、ユーザーが知らないうちに暗号化が行われるということは通常ありません。各OSにおけるセキュリティとプライバシーのアプローチは、ユーザーにより多くの制御を提供し、設定時やシステム利用時に適切な情報を提供することを目指しています。

BitLockerの回復キーが必要になるケースは何か

BitLockerの回復キーが必要になるケースは主に以下のような状況です：

1. **PCのハードウェア変更**: システムのハードウェア構成が大幅に変更された場合（例えば、マザーボードの交換や新しいハードドライブの追加など）、BitLockerはこれをセキュリティ侵害の可能性があると見なし、回復キーを要求することがあります。

2. **BIOSまたはファームウェアの更新**: BIOSやUEFIファームウェアの更新後にも、同様にシステムが変更されたと認識され、BitLockerがロックをかけることがあります。

3. **BitLockerの保護が一時停止または無効化された場合**: BitLockerが一時的に停止された後、システムが再起動されると、回復キーの入力を求められることがあります。

4. **異常なシャットダウンやセキュリティ侵害の疑い**: 電源の急な切断や不正アクセスの試みがあった場合に、保護されたドライブの安全を確保するためにBitLockerが回復キーを要求することがあります。

5. **パスワードやPINの連続した入力ミス**: ユーザーがBitLockerのアンロックパスワードやPINを何度も誤って入力すると、セキュリティ保護として回復キーが要求されることがあります。

これらの状況は、BitLockerがデータへの不正アクセスを防ぐためにデザインされているため、システムの安全性を確保する重要な手段となっています。そのため、回復キーは安全な場所に保管し、必要になった際にすぐに利用できるようにしておくことが推奨されます。

BitLocker回復キーはMicroSoftアカウントからログオンして調べることができる。(*スマホなど他のデバイスからでも可)

• MicroSoftアカウントの画面
• メールアドレスとパスワードでログオンする
• 左列の「ドライブ」> BitLockerデータ保護
• 回復キーの管理

• このページを別のデバイスにコピー、または紙に印刷などで管理する
• ドライブ
  - OSV：(Oparating System Volume) Cドライブ等のOS起動内蔵ドライブ
  - FDV：(Fixed Data Volume)Dドライブ等のデータ保存用内蔵ドライブ
  - RDV：(Removable Data Volume)USBメモリや外付けHDD等の取り外し可能ドライブ
• 一度暗号化を無効にして再度有効にした場合や、大きなハードウェアの変更があった場合など新しい回復キーの生成を要求されることがある。

• 回復キー入力画面が出た場合のサンプルのブルースクリーン
• 48桁のキーを入力する
• 回復キーが複数登録されている場合は、回復したいPCと同じキーIDを探す。キーIDは、BitLockerの入力を求める画面に記載されている「回復キーID」の先頭8桁と同じ値。

デバイスの暗号化をしない場合: 設定 > Windows セキュリティ > デバイスセキュリティ > デバイスの暗号化を管理する　

• オフにする

BitLockerの無効化 : 設定 > システム > ストレーシ゛> ディスクとボリューム > Windows(C:)>プロパティ

• BitLockerをオフにする

BitLockerとは確かにセキュリティの観点から必要な機能であるかもしれないが、自分が知らないうちに暗号化されていることが釈然としない。マイクロソフトではよくある。

マイクロソフトはどこかのサイトで公式にアナウンスしているかもしれないが、Windowsは多くの一般ユーザーが使用しておりバージョンアップ時やpcの新規購入時に公式サイトなど見てもよくわからない。

あるセキュリティ更新をインストールしたところ誤作動により突然ブルースクリーンが表示され回復キーの入力が求められたことがあったと多くの事例が報告されている。
参考:「2024年7月9日にリリースされた2024年7月のWindowsセキュリティ更新プログラム（KB5040442）をインストールすると、デバイスの起動時にBitLocker回復画面が表示される」。
　 大塚商会サポート情報 2024年7月25日

自分のpcで更新履歴を調べると2024年7月10日にKB5040442をインストールしているが、BitLockerの回復キーは求められなかったので、何かの条件があるものと思われる。

関連する同様の問題が今後も起きないとは言えない。特にMicroSoftアカウントにアクセス手段が他になく回復キーも控えていない場合は全部最初から導入し直すしかない。事前に回復キーを控えることが肝要。

2024年7月にCrowdStrikeが引き起こした全世界的なWindowsのブルースクリーン障害でBitLockerがより問題を複雑化したというのは正しいか?

Yes, it is correct that BitLocker added complexity to the problem during the global blue screen incident caused by the CrowdStrike update in July 2024. The use of BitLocker, which is a disk encryption program, meant that the recovery process required access to BitLocker's recovery keys. Since these keys are unique to each system and often stored in centralized, potentially affected servers, many organizations faced additional hurdles in restoring their systems. This requirement for manual input of the keys, especially for users working remotely, significantly slowed down the recovery efforts across various affected businesses(wikipedia).

Multiple blue screens of death caused by a faulty software update on baggage carousels at LaGuardia Airport, New York City(wiki)

Chrome OS & Fuchsia OS　(続編)