はじめに
Windows 11 25H2/24H2 の October 更新が引き起こした「予期せぬ回復キー要求」という深刻問題
Windows 11 の大型展開である 25H2 と 24H2 において、2025年10月に配信された複数の更新プログラム(KB5066835 など)を適用した一部環境で、再起動時に突然 BitLocker 回復キーが要求される という極めて深刻な不具合が発生した。本来、BitLocker 回復キーは、大きなハードウェア変更やセキュリティ侵害が疑われた場合などに限り表示されるものであり、通常の Windows Update 適用後に何の前触れもなく表示されるのは異常と言わざるを得ない。
この誤作動は特に Intel CPU 搭載の Modern Standby(S0低電力スリープ)対応ノートPC を中心に多発し、ビジネスユーザーや企業の IT 管理者を困惑させた。「いつも通りの更新 → 再起動」のはずが、翌朝 PC を立ち上げると、青い BitLocker 回復画面が突然表示され、48桁の長い回復キー入力を求められる。本人のマシンであっても、回復キーを控えていなければ PC は起動できない。これはビジネス現場においては「業務停止」につながりかねない重大な問題だ。
Microsoft はこの問題を認識し、「既知の問題」として注意喚起すると同時に、ユーザーには 事前に Microsoft アカウントで回復キーを確認しておくよう強く推奨 している。本記事では、この誤作動の原因、影響範囲、Modern Standby・TPM の関係、企業が直面したリスク、Microsoft の対応、そして今後の展望について、技術的背景を含めて詳細に解説する。
BitLocker回復キーとは何か
通常は「大きな変更」があったときのみ要求される
BitLockerは Windows のディスク暗号化機能である。個人ユーザーでは気付かないうちに有効化されている場合も多く、特にOEM(Dell、HP、Surfaceなど)では標準でオンになっていることも珍しくない。BitLocker 回復キーは、以下のような場合に要求される。
- TPM(Trusted Platform Module)の状態が変化した場合
- セキュアブート構成に変更が発生した場合
- マザーボードの変更など、ハードウェア構成に変動があった場合
- ディスク構成の矛盾が検出された場合
- 外部から不正アクセスが疑われる場合
つまり、この画面が表示されるということは、Windows が「デバイスの安全性に重大な変化があった」と判断したということを意味する。ところが今回、通常の Windows Update 適用後に何もしていないのに回復キーを要求される という異常動作が確実に起きている。
October 更新(KB5066835等)後の再起動で突然回復キーを要求
何が起きたのか
2025年10月の更新適用後、特に以下の条件を満たす PC で誤動作が多く報告された。
- Intel CPU 搭載
- Modern Standby(S0 Low Power Idle)に対応
- ノートPCが中心(特に Surface / HP / Dell / Lenovo)
- BIOS と Windows の電源管理が密に連携している機種
Modern Standby 対応PCは、従来のS3スリープとは異なり、スマートフォンに近い「低消費電力の待機状態」で常に一部のコンポーネントが動作している。この仕組みは便利だが、TPM・セキュアブート・ファームウェアの状態変化に極めて敏感であり、Windows Update による一時的な構成変化を誤検知しやすい。今回の誤作動はまさにその点が関係していると推測される。
Windows Update は更新適用前に以下のような内部処理を行う。
- ファームウェア状態の一時変更
- TPM 計測値のリセット
- Secure Boot キー領域の検証
- オフラインでのファイル適用
- 再起動後に設定反映
この一連の動作のどこかで、Modern Standby 環境の一部が「本来の状態との差異」と誤認され、TPM が「デバイスの構成が変わった」と判断した結果、回復キー要求が発生したと見られる。
特に多くの報告では次の共通点がある。
- 更新直後の初回起動で発生する
- デバイスを一晩スリープ(Modern Standby)状態にした後の起動で発生する
- バッテリー残量が少ない状態でスリープ → 更新 → 再起動すると発生しやすい
こうした動作は、Modern Standby が持つ“細かな電源状態変化”と TPM の整合性チェックが噛み合わなかった結果と推測される。
ビジネス現場での混乱:突然の回復キー要求は「業務停止」につながる
個人ユーザーが自宅で遭遇した場合でも精神的な負担は大きいが、企業ではさらに深刻だ。BitLocker は企業セキュリティの要であり、IT 管理者は通常、回復キーを以下の手段で管理している。
- Azure AD
- Microsoft Entra
- Active Directory Domain Services
- Microsoft アカウント
- キーファイルのオフライン保管
しかし今回の不具合は「予兆なく突然回復キー要求が発生する」「利用者はキーの存在を知らない」ケースが多く、現場レベルでは次のような事態になった。
- 社員がテレワーク中にPCが起動せず業務停止
- IT管理者がキー検索に追われる
- サービスへのログイン・認証ができなくなりオンライン会議に参加不可
- 出張先でPCがロックされ、業務継続不可能となった
- 一部企業では復旧用にPCを回収する必要が発生
これらは実際に報告された事例であり、今回の不具合の“深刻度の高さ”を物語っている。
特に、Azure AD(現 Microsoft Entra)で管理されていない中小企業では、キーの保存場所が不明なまま運用している場合もあり、PCを初期化せざるを得ないケースもあった。デバイス暗号化が半ば自動的にオンになる環境では、この問題はさらに複雑化する。
技術的背景:Modern Standby と TPM の組み合わせが誤作動の原因か
Modern Standby(S0 Low Power Idle)は、デバイスを完全に停止させず、部分的に稼働したまま低消費電力状態を維持する技術だ。これにより、メール同期やWi-Fi接続維持などがスリープ中も実行できる。
しかし、この仕組みは 電源状態の微細な変化 を繰り返すため、TPM が保持する「プラットフォーム構成測定値(PCR)」との整合性にズレが生じる可能性がある。特に以下の状況が重なると誤作動が発生しやすい。
- Update適用時にPCR値が一時的にリセットされる
- Modern Standbyからの復帰で微妙に構成値がズレる
- BIOS/UEFIの内部構成値が一時的に異なる状態を検知
- 電源低下によって測定値が一定期間保存されない
これらのどれも、BitLocker にとっては「重大な改ざん」に見えてしまう。
今回の不具合は、更新プログラムによる TPM 計測プロセスへの副作用が Modern Standby環境と重なった際に発生しやすいという構造的問題を示唆している。
Microsoft の対応と見解:既知の問題として注意喚起 → 修正は進行中
Microsoft は 2025年10月末〜11月初旬にかけてこの問題を認識し、「既知の問題」として Windows Release Health ページに掲載した。内容は以下の通りである。
- 特定の更新後に「BitLocker回復キー要求」が予期せず表示される
- 主に Intel CPU + Modern Standby対応機種に影響
- ユーザーは事前に回復キーを確認すること
- Microsoft は調査中であり、修正プログラムを準備中
- 一部環境では 11月の累積更新で問題が解決された
特に「回復キーを事前に確認するよう推奨」という記述は、Microsoft が問題の深刻度を理解している証拠といえる。実際、回復キーを事前に確認していなければ、ユーザー自身がデバイスを復旧することは不可能である。
回復キーの事前確認を求める公式アドバイス
Microsoft はこの記事の中で、以下の手順で回復キーを確認しておくよう案内している。
- Microsoftアカウント:
https://aka.ms/myrecoverykey - Azure AD / Entra ID:
デバイスポータルから確認 - ドメイン環境:
Active Directory で回復キーを検索
これらはユーザーが実際に困り果てる前に行っておくべき対策であり、今回の誤作動が「突然の業務停止」につながるシナリオを回避するためにも必要不可欠である。
企業・IT管理者が取るべき対策:KIR・グループポリシー・回復キー再配布
企業では以下のような対策が実際に行われている。
- Known Issue Rollback (KIR) の適用
- 更新プログラムの一時的な展開停止
- 回復キーの再登録・再配布
- Azure AD / Entra で回復キー管理の強化
- Modern Standby設定の見直し
- BitLocker ポリシーのログ取得強化
KIR(既知の問題ロールバック)は、Microsoftがクラウド経由で特定の不具合をロールバックする仕組みであり、企業環境では特に有効だ。また、IT 管理者が BitLocker の運用ルールを見直し、「回復キーを確実に取得できる仕組み」を整える必要性も浮き彫りになった。
今回の問題は「電源・セキュリティが複雑化した現代PCの象徴」
Modern Standby、TPM、Secure Boot、Windows Update
この4つは現代PCのセキュリティと利便性を支える要素だが、その一方で複雑な相互作用を生み、今回のような誤作動の温床にもなり得る。
特に今回のように、
- 微細な構成変更
- 一時的な状態遷移
- 電源管理のズレ
- TPM構成の誤認
が組み合わさると、BitLocker が「攻撃を受けた」と判断してしまう危険性がある。これは現代の Windows PC が、従来よりも 電源管理とセキュリティ管理が密接に結びついている ことの象徴といえる。
まとめ:25H2は便利になったが「誤作動時の影響はかつてないほど大きい」
Windows 11 25H2/24H2は、性能向上やセキュリティ強化などのメリットがある一方、電源管理やファームウェアとの連動性が複雑化しており、今回のような「予兆なき誤作動」が起きるリスクが高まっている。BitLocker 回復キー要求の誤作動は、一般ユーザーだけでなく、企業・教育機関・行政組織においても大きな影響を与える可能性がある問題だ。
幸い、この問題は段階的に修正が進行中であり、最新版の累積更新を適用することで多くの環境で改善されたと報告されている。しかし今後も Windows Update の動作を慎重に見守り、特に電源管理まわりやセキュリティ構成の変更が含まれる更新では注意が必要だ。
ユーザーができる最も重要な対策はただひとつ。
「回復キーを事前に確認し、安全な場所に保存しておくこと」
これだけで、今回のような突然のトラブルに対して確実に備えることができる。
- Windows 11 25H2 不具合|Task Managerが閉じられない重大バグ発覚【プロセス増殖・CPU/RAM圧迫】
https://www.personalcomputer.jp/windows11-25h2-taskmanager-bug/ - Windows 11 24H2:KB5063878/KB5065426で浮上したSSD破損疑惑と最新検証結果【速報】
https://www.personalcomputer.jp/windows11-24h2-kb5063878-ssd-bug-2/ - Windows 11 24H2更新 KB5063878でSSD全データ喪失?不具合の原因と回避策まとめ
https://www.personalcomputer.jp/windows11-24h2-kb5063878-ssd-loss-bug/
コメント