以前からWindows10はバックグラウンドでいろいろな動作をしていることは知っていたが、まさか勝手にHDDを暗号化していたとは思わなかった。
発覚までの経緯
あるパソコンでLinuxを起動させたところ、なぜかHDDのデータが見れない。このパソコンにはWindows10がインストールされているが、Windowsは正常に起動できるのでHDDに障害があるわけではない。なんかおかしいなと思ってGPartedを開いたところ、BitLockerでHDDが暗号化されている(らしい)ことが分かった。
いや、このパソコンでBitLockerを設定した記憶はない。「もしかしたらLinuxが間違ってそのように認識してしまっているのではないか」と思ってWindowsの「ディスクの管理」を開いたところ、「BitLockerで暗号化済み」と表示されていた。
おかしい、設定した記憶がないのに本当にHDDが暗号化されているんだが…。
暗号化に気づかなかった理由
通常、BitLockerで暗号化されたドライブはエクスプローラーで見ると以下の画像の通りドライブのアイコンに南京錠のマークが付く。
しかし、今回のパソコンでは以下の画像の通り南京錠のマークは付いていなかった。
このアイコンは、暗号化されていないドライブと同じ。このように、エクスプローラーでは暗号化されていないドライブと同じアイコンになっていたので今まで暗号化されていたことに気づかなかった。
現状の確認
エクスプローラーのアイコン表記でも分かる通り、暗号化していないドライブと同じ表示になっている。つまり、実際には暗号化されているのにエクスプローラー上では暗号化されていないことになっている。そこで、以下の項目を確認して一体何が起きているのかを調べた。
デバイスの暗号化
設定アプリの「更新とセキュリティ」→「デバイスの暗号化」を開くと、「このデバイスの暗号化を完了するために、インターネットに接続します」と記載されていた。
このパソコンはすでにインターネットに接続しているんだが…。それに、「オフにする」というボタンが出ているということはやはり暗号化済みということなんだろう。
BitLockerの管理
BitLockerの管理を開いてみると、「BitLocker はアクティブ化を待機中です」と表示されていた。
「BitLockerを有効にする」という項目が出ている。「有効にする」という項目が表示されているということは、BitLockerは無効になっているはず。BitLockerは無効なのにHDDはBitLockerで暗号化されている。これは一体どういうことなんだろうか…?そもそも「アクティブ化を待機中」って何を意味しているんだろうか。
BitLockerを有効にしてみる
いずれにしろHDDが暗号化されていることには変わりない。なので、「BitLockerを有効にする」を押して手順を進めるとどうなるのか試してみた。
すると、「回復キーのバックアップ方法を指定してください」という画面が表示された。
「ファイルに保存」を選択して手順を進めた。*1回復キーの保存が完了すると、「BitLockerのアクティブ化」という画面が表示された。
「BitLockerのアクティブ化」を押したところ、すぐに画面が閉じた。再度「BitLockerの管理」を開いたところ「BitLocker が有効です」と表示された。
どうやらアクティブ化処理は一瞬で終わったみたい。
「アクティブ化を待機中」とは何か
Microsoftの公式サイトで、BitLockerについてのページを見つけた。
今回のパソコンでは、デバイスの暗号化という機能がオンになっていた。それについて、公式ページより引用。
デバイスの暗号化
デバイス暗号化 は、一部のデバイスで BitLocker 暗号化を自動的に有効にする簡単な方法を提供する Windows 機能です。 デバイス暗号化はすべての Windows バージョンで使用でき、 モダン スタンバイ または HSTI セキュリティ要件を満たすデバイスが必要です。
デバイス暗号化とは、公式ページによると自動的にBitLockerを有効にする機能とのこと。
標準的な BitLocker 実装とは異なり、デバイスの暗号化は自動的に有効になるため、デバイスは常に保護されます。 Windows のクリーンインストールが完了し、すぐに使えるエクスペリエンスが完了すると、デバイスは最初に使用するために準備されます。 この準備の一環として、デバイス暗号化は OS ドライブで初期化され、コンピューター上の固定データ ドライブは、標準の BitLocker 中断状態と同等のクリア キーを使用して初期化されます。 この状態では、Windows エクスプローラーに警告アイコンが表示されます。 TPM 保護機能が作成され、回復キーがバックアップされると、黄色の警告アイコンが削除されます。
どうやらこのパソコンは、BitLockerの「中断」とほぼ同じ状態だった模様。エクスプローラーには「黄色の警告アイコン」は表示されていなかったが、BitLockerの管理では確かに「黄色の警告アイコン」は表示されていた。*2
「回復キーがバックアップされると、黄色の警告アイコンが削除されます」という記述から推測すると、「アクティブ化を待機中」とは「暗号化されているが回復キーがバックアップされていない状態」だと思われる。そのため、回復キーをバックアップすることでBitLockerが完全に有効になる。
つまり、「アクティブ化を待機中」とは中途半端にBitLockerが有効になっている状態ということか。
回復キーに関する疑問
BitLockerが有効になっているパソコンでは、例えばパソコンを修理してハードウェア構成が大きく変わってしまうとOS起動時に回復キーの入力が求められるようになってしまう。しかし、回復キーはアクティブ化処理をしないと保管されない。この状態で「回復キーを入力しろ」と言われても、回復キーが分からないので暗号化を解除できないという事態になってしまうのではないか。
私が先ほどの公式ページで調べたところ、回復キーについて以下の記述が見つかった。
デバイスがMicrosoft Entra参加していない場合、または Active Directory ドメインに参加していない場合は、デバイスの管理者権限を持つ Microsoft アカウントが必要です。 管理者が Microsoft アカウントを使ってサインインすると、クリア キーが削除され、回復キーがオンラインの Microsoft アカウントにアップロードされ、TPM 保護機能が作成されます。 デバイスに回復キーが必要な場合、ユーザーは別のデバイスを使用するようにガイドされ、回復キーのアクセス URL に移動して、Microsoft アカウントの資格情報を使用して回復キーを取得します
「回復キーがオンラインの Microsoft アカウントにアップロードされ、TPM 保護機能が作成されます」と記載されている。つまり、Microsoftアカウントでサインインしていると回復キーは自動的にMicrosoftアカウントに保管されるということ。
しかし、例えばローカルアカウントでパソコンを使っている場合は自動的に保管されない(できない)。先ほどの「デバイスの暗号化」画面では「このデバイスの暗号化を完了するために、インターネットに接続します」と表示されていたが、どうやらこのメッセージは「Microsoftアカウントに接続しなさい」という意味だった模様。
Microsoftアカウントがない場合、回復キーは自分で保管しないといけないということになる。Windows10を使っているとウザいぐらいいろいろな通知メッセージが表示されるが、私は「回復キーをバックアップしろ」というメッセージは見たことがない。ということは、Windows10はMicrosoftアカウントでサインインして使うのが前提ということだろうか。
このように何かとMicrosoftアカウントに連携させるために、Windows11では初期セットアップ時にMicrosoftアカウントへのサインインがほぼ必須になっているのかもしれないなと思った。そう考えるとなかなか厄介だな…。
補足
Windows10のパソコン全てが勝手にHDDの暗号化をしているわけではないようで、暗号化されていない機種もある。その辺の基準がよく分からないが、ハードウェアの構成次第で勝手に暗号化するかどうか判断しているのだろうか。
おわりに
まさかWindowsが勝手にHDDを暗号化しているとは思っていなかった。そもそも「回復キーがオンラインの Microsoft アカウントにアップロードされる」こと自体知らない人が多いと思うので、いざ回復キーの入力画面が表示されても「回復キーって何?どこにあるの?」となってしまうのではないか。そもそも「勝手に暗号化するな」という話ではあるが…。
