お客様のPCをメンテナンス中に遭遇したハプニング。

BIOSでsecure bootを無効化して、ログインしようとすると、回復モードに移行し、「BitLockerの回復」画面が表示され、「回復キー」の入力を求められました。(事前に、BitLockerを無効化しておけば回復モードには移行しないようです。)

お客様に「回復キーはご存知ですか?」と尋ねても、「えっ、それ何っ。」という顔をされるだけです。恐らくお客様は、BitLockerが何者で、さらにCドライブがBitLockerで暗号化されているなんて知りません。ほとんどのユーザは購入時にそんなところまで調べませんから。たぶん、販売員もそこまでは説明しないでしょう。

お客様が普通に使っていれば、「BitLocker」の回復キーを要求されるようなことはないはずです。

では、回復キーをどこから仕入れるか。そうです、図1に示されたURLにアクセスすればよさそうです。

残念、このURLはリンク切れで、「見つかりません」となります。リダイレクトさえしていません。
(ちなみに、図1の画面に表示されている”回復キーID”なるものは、”回復キー”ではありません。”回復キー”は48桁の数字です。複数の回復キーを所有している場合、それらを区別するためのIDのようです。う〜?なんだかよくわかりません。)

google先生に「bitlocker recovery key」でお尋ねすると、下記のサイトにたどり着きました。

https://support.microsoft.com/ja-jp/help/4026181/windows-find-my-bitlocker-recovery-key

図2のサイト内の「BitLocker回復キー」をクリックします。

ポイントは、本人確認です。

このサイトにアクセスすると、すぐに回復キーが取得できるわけではありません。それでは、セキュリティ 「ゼロ」です。何のための暗号化なのか、となりますね。

まず、お客様のメールアドレス(ログインID)(図3)とログインパスワード(図4)をうかがって、ログインすると、その前に、本人確認用のセキュリティコードの入力が要求されます。お客様のメールアドレスを指定すると、お客様のPC(今回修理にだされている本機)にメールが届くことになるので、もちろん、そのメールを読むことはできません。(この時点ではわからなかったのですが、お客様の登録メールはwebメールでした。したがって、webメールへアクセスするサイトのログインID(メールアドレスと同じ)、ログインパスワードがあればメールを読むことは可能でした。)

そこで、「すべての情報が不明」(図5)をクリックして、「電話」(図7)を選択し、お客様の電話番号を入力しました。(もちろん、志義どっとPCの電話でもよかったのですが、お客様の登録情報が変更されると、あとあと面倒なのことになりそうなので、お客様の電話番号にしました。しかし、ここで指定する電話番号はその場限りの確認用だけのものだったかもしれません。)

お客様にお願いして確認コードを私の方へ電話で伝えていただき、やっとログインできました。(図8)

しかし、どうもこのとき、通常の手順(登録メールでの確認)ではなかったため、セキュリティ情報が変更されてしまいました。(図6)これが、あとあと影響を及ぼすのです。

無事にログインしたので、回復キーを取得しようとリンク(回復キー取得)をクリックしました。

残念。回復キーへのアクセスが拒否されました。これは図6にあるように、本来登録メールでセキュリティーコードを要求する設定になっていたものを、電話に切り替えたことで、セキュリティに関係する情報が更新されようとしているため(図9)なのでしょう。?おそらく。???

そこで、下の方にある「この要求を取り消す」をクリックするとセキュリティ情報を更新せずに現在のものを利用できるようです。
「この要求を取り消す」をクリックします。

この後の画面キャプチャを撮り忘れたので、記憶をたどって、書きます。

再び、セキュリティコードの入力を要求されました。

おそらく電話か登録メールを選択できたようですが、今度は登録メールを利用しました。お客様のメールアドレスのドメイン名から判断して、webメール(インターネットメール)のようだったので、お客様に、その旨を伝え、webメールにログインできるパスワードを教えていただき、マイクロソフトから送信されたセキュリティコードを入手しました。

そして、それを入力して無事、回復キーを取得するサイトへアクセスができました。(図10)

ここで、表示された回復キーは全部で3種類あるので、図1にある回復キーIDが「2」から始まるものを回復キーとして図1の画面で入力し、無事にWindows10にログインできました。

これとは別件のBitLockerに関する依頼では、外付けUSB−HDDを接続して利用しているといきなりBitLockerが起動し、暗号化後、回復キーの保存または印刷を促され、印刷を選択して、印刷後の回復キーを入力してもロックが解除されないというトラブルに遭遇したお客様もいらっしゃいます。(現在、調査中)

個人的には、BitLockerの動作はかなり不安定な感じです。まず、不用意に有効化しないほうが無難です。つまり、BitLockerは無効にしておくことをお薦めします。PCの購入時にデフォルトで有効化されている場合もあるので無効化しておきましょう。といっても下手にさわるとロックされるかも。「触らぬ神にたたりなし」。現実には、そのままですかね。

どうしても利用する場合は、面倒ですが、マイクロソフトのサイトを参考に情報をある程度入手して利用しましょう。

【参考サイト】

  1. BitLockerの概要 
  2. BitLocker に関してよく寄せられる質問 (FAQ)
  3. BitLocker ドライブ暗号化の概要
  4. BitLocker の回復ガイド:回復モードへ移行する原因など

上記「3.BitLocker ドライブ暗号化の概要」によると、無効化しても、ドライブは暗号化された状態にあるようです。しかし、復号に関わるキーが暗号化されていないためシステムからそのキーにアクセスできるので暗号化されたドライブは意識せずに普通に読み書きできるとのことです。つまり、部屋の鍵が部屋の入り口にぶら下げてある状態が無効化の意味なのでしょう。

【教訓】

BitLockerが有効になっているかを確認。特に、Cドライブを確認する。暗号化されていればBitLockerを解除(無効化)しておく。サポート終了後再度BitLockerを有効にする。