Neowinは6月17日(現地時間)、「Microsoft locks Windows 11 user out, shows how easy losing data from forced encryption is」において、Windows 11でBitLockerがデフォルトになったことに伴い、ユーザーが意図せずデータを失うリスクが生じていると伝えた。

何らかの理由でMicrosoftアカウントがロックされた場合に、BitLocker回復キーにもアクセスできなくなるため、暗号化されたデータの復元が不可能になるからだ。

  • Microsoft locks Windows 11 user out、shows how easy losing data from forced encryption is - Neowin

    Microsoft locks Windows 11 user out, shows how easy losing data from forced encryption is - Neowin

Microsoftアカウントに保存されているBitLockerの回復キー

Microsoftは近年、Windows 11を新規インストールしたユーザーに対して、ローカルアカウントではなくMicrosoftアカウントを使ってサインインすることを要件に含めている。Microsoftアカウントを使ったサインインには、WindowsだけでなくOfficeやOneDrive、Xboxなどの複数のデバイスやサービスに一貫してアクセスできるというメリットがある。

Microsoftアカウントには、Windowsのドライブ暗号化機能であるBitLockerの回復キーも保存されている。ユーザーは、BitLockerで暗号化したドライブにアクセスする場合、ロック解除パスワードを入力する必要がある。

もし、パスワードを忘れたとしても、48桁の回復キーを使用すれば暗号化を解除できる。暗号化した外部ドライブにアクセスする場合にもこの回復キーを使用する。

BitLockerによる暗号化が自動で有効に

BitLockerによる暗号化は以前はオプションだった。しかし、Microsoftは2025年5月のアップデート以降、MicrosoftアカウントでWindows 11 24H2にサインインしたユーザーに対して、自動的にBitLockerを有効にするようシステム変更を行っているという。

この変更は通知なしで行われるため、BitLocker回復キーをバックアップする機会を失う点が問題になっている(関連記事:Windows 11 24H2、自動で行われるストレージ暗号化に注意を | TECH+(テックプラス))。

アカウントのロックがデータ消失に直結

前述のように、もしも回復キーを自分で保存していない場合でも、Microsoftアカウントにサインインさえできれば、そこで回復キーを確認できるので大きな問題にはならない。しかし何らかの理由でMicrosoftアカウントがロックされてしまった場合はどうだろうか。

Microsoftの利用規約では、アカウントが削除またはロックされた場合には、関連するコンテンツやデータへのアクセスを即座に停止すると規定している。当然、BitLocker回復キーにもアクセスできず、暗号化されたデータを復元する手段を失ってしまう。

一般ユーザーは、BitLocker暗号化が自動で有効化されていることや、NASや外付けドライブによる定期的なバックアップを怠りがちだ。そのため今後は、重要データを複数の場所に保存し、回復キーをあらかじめ保存して安全に保管することを推奨する。

BitLocker回復キーのバックアップを推奨

Windows 11でBitLockerが有効になっているかどうかは、設定アプリで「プライバシーとセキュリティ」→「デバイスの暗号化」に移動し、「デバイスの暗号化」の項目で確認できる。または、コントロールパネルの「BitLockerドライブ暗号化」のページでも確認できる。

暗号化が有効になっている場合は、BitLocker回復キーをバックアップすることが推奨される。回復キーの見つけ方とバックアップ方法は次のページにまとまっている。

なお、BitLockerの有効/無効を切り替えた場合、同時に回復キーも変更される可能性があるので、その都度バックアップを取り直す必要がある。