2026年4月、工房のDell検証機にWindows Updateを適用したら、再起動後に青い画面で「BitLocker回復キーを入力してください」と表示された。自分でBitLockerを有効にした覚えなんてない。正直、最初は何が起きたのかわからなかった。

この「突然のBitLocker回復キー要求」、2026年に入ってからWindows Update絡みで急増しているトラブルなんですよね。Windows 11 24H2以降はHomeエディションでもデバイスの暗号化がデフォルトで有効になるPCが増えたため、「設定した覚えがないのに回復キーを聞かれた」という相談が目立つようになった。

結論から言うと、データは消えていない。正しい回復キーさえ入力すれば、Windowsは普通に起動する。回復キーの探し方と、なぜWindows Update後に要求されるのかを一通り書いた。

「BitLocker回復キー」とは?自分で有効にしていないのに表示される理由

BitLocker(ビットロッカー)は、Windowsに標準搭載されているドライブ暗号化の機能だ。パソコンが盗まれたり、SSDを物理的に抜き取られたりしても、中のデータを第三者が読めないように暗号化してくれる。

「自分で有効にしていないのに」と思う人が多いんですが、Windows 11 24H2以降、TPM 2.0とセキュアブートを搭載したPCではMicrosoftアカウントでセットアップするとデバイスの暗号化が自動的に有効になるケースが増えた。Microsoftの公式ドキュメントによると、24H2ではDMAやModern Standbyの要件が撤廃されて対象デバイスが大幅に広がっている。

つまり、メーカー製のPCを買って普通にセットアップしただけで、知らないうちにBitLockerが動いている可能性がある。自分のDell検証機もまさにこのパターンだった。

回復キーは48桁の数字で構成されている。普段はTPM(Trusted Platform Module、マザーボード上のセキュリティチップ)が暗号化の解除を自動で処理するので、ユーザーが回復キーを入力する場面はない。ただ、Windows Updateでブートコンポーネントが書き換わると、TPMが「正規の起動パターンではないかもしれない」と判断して回復キーの入力画面を出してくる。これが「突然の回復キー要求」の正体だ。

回復キーの探し方

回復キー入力画面が出ても、まず落ち着いてほしい。データは暗号化されているだけで消えていない。スマホか別のPCからアクセスして回復キーを探す。

Microsoftアカウントのデバイス管理ページ(最有力)

Microsoftアカウントでセットアップしたなら、回復キーはクラウドに自動保存されている可能性が高い。スマホのブラウザで aka.ms/myrecoverykey にアクセスし、PCに紐づいたMicrosoftアカウントでサインインする。

ロック画面に表示されているキーIDの先頭8桁と、サイトに表示されるキーIDを照合して、一致する48桁の回復キーを入力すればいい。自分のDell検証機もこれで解決した。スマホからアクセスして2分で復帰できたので、慣れてしまえば大したことはない。

Azure Active Directory / Microsoft Entra ID(職場・学校PC)

会社支給のPCなら aka.ms/aadrecoverykey にサインインする。IT管理者がMicrosoft Entra ID(旧Azure AD)経由で保存している場合はここに表示される。見つからなければ社内のIT部門に直接連絡してほしい。Active DirectoryやMicrosoft Intuneで一括管理されている可能性がある。

USBメモリ・紙の控え

BitLockerを手動で有効にした際に「USBフラッシュドライブに保存する」を選んだ場合、「BitLocker Recovery Key xxxxxxxx.txt」というファイル名で保存されている。「回復キーを印刷する」を選んだ人は書類棚やファイルボックスを探してみてほしい。

2026年にWindows Update後の回復キー要求が3回発生している

2026年に入ってから、Windows Update後のBitLocker回復キー要求が少なくとも3回、大きな規模で発生している。時系列で見ていく。

2026年4月:KB5083769

Windows 11 24H2/25H2向けの累積更新プログラムKB5083769の適用後、再起動時にBitLocker回復キーが要求される症状が広く報告された。自分のDell検証機もこれに当たっている。Microsoftは「推奨されないBitLockerグループポリシー構成を使用している一部のデバイス」が影響を受けると説明したが、個人PCでも報告が出ていた。

2026年5月:KB5089549で修正

5月の累積更新プログラムKB5089549で、TPMのシーリングポリシーが再調整されてこの問題は修正された。Microsoftが「毎月の更新後にBitLocker回復画面が表示される問題を修正した」と公式に認めている

2026年6月:KB5094126で再発

6月9日配信のKB5094126でも、HP・Dellを中心にBitLocker回復キー要求やブートクラッシュが再発した。ブートコンポーネントの変更がTPMの検証に引っかかるパターンが繰り返されている。

根本的な原因はシンプルだ。Windows Updateがブートローダーやセキュアブート証明書を更新すると、TPMが記録している「正常な起動パターン」と一致しなくなる。BitLockerはこのズレを「不正アクセスの可能性あり」と判断して、回復キーの入力を求めてくる。

15年やっててもWindows Updateの地雷は踏むときは踏む。ただ、仕組みさえ理解していれば回復キーが手元にある限り焦る必要はない。

回復キーが見つからない場合

ここが最も厳しいケースだ。

まず確認してほしいのが、aka.ms/myrecoverykey にアクセスするMicrosoftアカウントが本当に正しいかどうか。PCショップ時代にも「回復キーがない」と持ち込まれて、よく調べたら普段使っているアカウントとPCの初期セットアップに使ったアカウントが別だったパターンを何台か見た。メールアドレスを複数持っている人は、心当たりのあるアカウント全部でサインインを試してみてほしい。

それでも見つからない場合、残念ながらBitLockerの回復キーなしにドライブを復号する方法はない。Microsoft公式サポートでも回復キーの提供や再発行はできないと明記されている。PCの初期化(クリーンインストール)でWindowsの再セットアップは可能だが、ドライブ内のデータは失われる。

突然の回復キー要求に備えてやっておくこと

Windowsが正常に起動している今のうちに、以下を済ませておくことを強く推奨する。

回復キーを事前に確認して控えておく

コマンドプロンプトを管理者として実行し、以下のコマンドを入力する。

manage-bde -protectors -get C:

ここに表示される「数字パスワード」の48桁が回復キーだ。テキストファイルにコピーして、USBメモリやスマホのメモアプリなど、PCとは別の場所に保存しておく。

もっと手軽に確認したい場合は aka.ms/myrecoverykey にアクセスして、自分のPCの回復キーがクラウドに保存されているか確認するだけでもいい。

自分は工房の7台全部で回復キーをテキストファイルに控えて共有フォルダに保管している。アナログなやり方だけど、複数台運用ではこれが一番確実だった。

Windows Updateは少し様子を見てから適用する

2026年だけで3回もBitLocker絡みのトラブルが発生している。大型アップデート直後は不具合報告が出やすいので、自動更新を1週間ほど一時停止して、SNSやフォーラムの報告を見てから適用するほうが安全だ。設定から「Windows Update」を開き、「更新の一時停止」で期間を設定できる。

復元ポイントを手動で作っておく

Windows Update適用前に手動で復元ポイントを作っておくと、万が一のときに回復環境(WinRE)からアップデート前の状態に戻せる可能性がある。ぶっちゃけ、復元ポイントの手動作成は最も費用対効果の高い保険だと思っている。説明に日付と作業内容をセットで入れておくと、後から探すのが楽になる。

そもそもBitLockerが有効か確認する

設定を開き、「プライバシーとセキュリティ」から「デバイスの暗号化」を確認する。「デバイスの暗号化」がオンになっていればBitLockerが有効だ。この項目が表示されない場合はBitLockerが利用できないハードウェア構成か、ローカルアカウントでセットアップしたPCの可能性がある。

暗号化が不要であればオフにすることもできるが、PCの盗難・紛失時にデータが読み取られるリスクが高まる点は理解した上で判断してほしい。

FAQ

回復キーを間違えて入力したらロックされる?

間違えても即座にロックアウトされるわけではなく、何度か再入力が可能だ。ただし回数制限に達するとTPMがロックされ、一定時間の待機が必要になることがある。48桁の数字を1桁ずつ正確に入力しよう。

回復キーを入力した後、次の起動でも同じ画面が出ることはある?

ある。2026年4月のKB5083769では毎回起動時に要求されるケースも報告されていた。5月のKB5089549で修正されたので、繰り返し要求される場合はWindows Updateを最新まで適用してみてほしい。

BitLockerを自分で無効にすることはできる?

できる。設定の「プライバシーとセキュリティ」から「デバイスの暗号化」をオフにすると無効化される。ただし暗号化が解除されるため、PCの紛失・盗難リスクとのトレードオフになる。

ローカルアカウントでセットアップしたPCでもBitLockerは有効になる?

ローカルアカウントではBitLockerの自動有効化は行われない。MicrosoftアカウントまたはAzure ADアカウントでサインインしたPCのみが対象だ。ローカルアカウント環境で手動有効化は可能だが、その場合は回復キーの保存先を自分で管理する必要がある。

参考文献