2026年4月、工房の検証機(Dell製)にWindows Updateを当てたら、再起動後に青い画面で「BitLocker回復キーを入力してください」と表示された。自分の自作機ではなくメーカー製PCだったので一瞬「え、暗号化なんてかけた覚えないけど」と焦ったのを覚えている。結論から言うと、Windows 11 バージョン24H2ではBitLockerが自動で有効になるPCが大幅に増えた。知らないうちに暗号化されていて、何かのきっかけで回復キーを求められるケースが急増しているんです。

突然BitLocker回復キーを要求されたときに、回復キーをどこで探せばいいか、再発をどう防ぐかを書いた。自分と同じように「暗号化した覚えがないのに」と戸惑っている人は、まずMicrosoftアカウントを確認してほしい。

BitLocker回復キーが突然求められる原因

BitLockerはWindowsに搭載されたドライブ暗号化機能で、PCの盗難・紛失時にデータを守るためのものなんですよね。通常はTPM(セキュリティチップ)が鍵を管理していて、普段の起動では回復キーの入力は不要。ただし、PCが「いつもと違う状態」を検知すると、安全のために48桁の回復キーを要求してくる。

具体的に、回復キーが求められるきっかけは以下のようなパターンがある。

  • Windows Update後: 2026年4月配信のKB5083769では、ブートコンポーネントの変更をBitLockerが「不正アクセスの可能性あり」と判断し、回復キーを要求する事例が複数報告されている
  • BIOSアップデート後: TPMが保持している起動時の検証値(PCR)とBIOS側の値がズレて、信頼チェーンが切れる。2026年5月にはHPのBIOSアップデートでBitLockerループが発生した事例も報じられている
  • ハードウェア変更: メモリの挿し直し、ストレージの接続変更、マザーボード交換など。PCショップ時代にも、修理のつもりで内部パーツを触ったらBitLockerが反応して二次トラブルになった持ち込みを何件か見た
  • セキュアブート設定の変更: BIOS画面でSecure Bootを一時的にオフにして戻したとき

Windows 11 24H2(2024年秋配信)以降、TPM 2.0とセキュアブートを搭載したPCであれば、HomeエディションでもBitLocker(正確には「デバイスの暗号化」)がデフォルトで有効になるよう条件が緩和された。Microsoft Learnの公式ドキュメントによると、従来あった「モダンスタンバイ対応」の要件が撤廃されている。つまり、ここ1〜2年以内に買ったPCなら、自分で設定した覚えがなくてもBitLockerが有効になっている可能性がかなり高い。

Microsoftアカウントで回復キーを探す

回復キーを求められて一番焦るのが「そんなの控えてない」という状況だと思う。ただ、MicrosoftアカウントでサインインしてセットアップしたPCなら、回復キーは自動的にクラウドにバックアップされている可能性が高いんです。

手順は以下の通り。

  1. スマホや別のPCで https://aka.ms/myrecoverykey にアクセスする
  2. ロックされたPCで使っているMicrosoftアカウント(メールアドレス)でサインインする
  3. デバイス一覧にBitLocker回復キー(48桁の数字)が表示されるので、ロック画面に表示されている「キーID」の先頭8桁と照合する
  4. 一致するキーをメモして、ロックされたPCに入力する

(ちなみに自分は工房の検証機7台の回復キーをこのページで一括確認して、テキストファイルに控えて共有フォルダに保存する運用にしている。アナログだけど複数台運用では結局これが一番確実だった)

職場や学校のアカウント(Azure AD / Microsoft Entra ID)でセットアップしたPCの場合は、回復キーが組織のディレクトリに保存されていることがある。この場合はIT管理者に問い合わせるのが最短ルートになる。

ローカルアカウントで使っているPCの場合、回復キーがクラウドに保存されていないことがある。USBメモリに保存した、紙に印刷した、テキストファイルに控えたなど、過去の自分がどこかに保存していないか確認してほしい。

回復キーを入力してPCを起動する

回復キーが見つかったら、ロック画面で48桁の数字を入力してEnterを押す。これだけでWindowsが通常通り起動するはず。

起動できたら、まず以下を確認しておきたい。

  • Windows Updateの履歴を確認: 「設定」→「Windows Update」→「更新の履歴」で、直近にインストールされた更新プログラムを確認する。KB5083769のような既知の問題があるパッチが原因なら、Microsoftから修正パッチが配信されるまでアンインストールを検討する
  • BIOSの変更がなかったか振り返る: 自分でBIOS設定を変更した覚えがあるなら、それが原因。BIOSアップデートが自動で走ったケースもある
  • 回復キーを改めて控えておく: 次に同じ画面が出たときに慌てないよう、回復キーをメモするかスクリーンショットを撮っておく(詳しくは後述)

もし回復キーが見つからず、どうしてもPCを起動できない場合は、残念ながらWindowsの再インストール(クリーンインストール)が必要になる。この場合、暗号化されたドライブ上のデータは復元できない。15年やっててもこういう「詰み」パターンは見るたびにバックアップの重要性を痛感する。

自分のPCがBitLocker有効かどうか確認する方法

「そもそもうちのPCはBitLockerがかかっているのか?」を確認するには、2つの方法がある。

方法1: 設定画面から確認(Windows 11 Home)

  1. 「設定」→「プライバシーとセキュリティ」→「デバイスの暗号化」を開く
  2. 「デバイスの暗号化」がオンになっていれば、BitLocker(デバイスの暗号化)が有効

方法2: コマンドで確認(Home / Pro 共通)

管理者権限のコマンドプロンプトまたはPowerShellを開いて、以下を実行する。

manage-bde -status

「保護の状態」が「保護はオンです」、「変換状態」が「完全に暗号化されています」と表示されていれば、BitLockerが有効になっている。

ぶっちゃけ、24H2にアップデート済みのPCなら有効になっている前提で動いた方が安全だと思う。自分が工房の7台をチェックしたときも、6台は自動で有効化済みで1台だけWindows Updateが保留状態で未更新だった。「ほぼ全部大丈夫だけど1台だけ漏れてる」が複数台運用では一番怖いパターンなんですよね。

再発を防ぐために今やっておくこと

一番大事なのは、回復キーを事前に控えておくこと。「まだ求められたことがない」今のうちにやっておくのが正解。

回復キーのバックアップ手順

  1. https://aka.ms/myrecoverykey にアクセスして、Microsoftアカウントに保存されている回復キーを確認する
  2. 表示された回復キーをテキストファイルにコピーし、USBメモリやクラウドストレージ(PC以外の場所)に保存する
  3. 複数台のPCを持っている場合は、デバイス名とキーIDの対応表を作っておくと、どのPCのキーかすぐ判別できる

PowerShellから回復キーをバックアップすることも可能。管理者権限で以下を実行する。

(Get-BitLockerVolume -MountPoint C:).KeyProtector | Where-Object {$_.KeyProtectorType -eq 'RecoveryPassword'}

表示された「RecoveryPassword」の値が48桁の回復キーになる。

Windows Updateの適用タイミング

大型のWindows Updateが配信された直後は、1〜2週間ほど様子を見てから適用するのが安全。自分のDell検証機がKB5083769でブートループに陥った経験からも、配信直後の人柱は避けた方がいい(ちなみにそのときはWinREから更新プログラムをアンインストールして復旧できた)。

BitLockerを無効にする選択肢

「暗号化は不要、回復キーのトラブルを避けたい」という場合は、BitLockerを無効化することもできる。

  • Windows 11 Home: 「設定」→「プライバシーとセキュリティ」→「デバイスの暗号化」→オフにする
  • Windows 11 Pro: 「コントロールパネル」→「BitLockerドライブ暗号化」→「BitLockerを無効にする」

ただし、ノートPCを外に持ち出す人は暗号化を維持した方がいい。盗難・紛失時にデータが読み取られるリスクを考えると、回復キーさえ控えておけばBitLockerのメリットの方が大きいと自分は考えている。デスクトップPCで持ち出さない用途なら、無効化も選択肢に入る。

FAQ

BitLocker回復キーは何桁ですか?

48桁の数字(6桁ずつハイフン区切りで8ブロック)です。ロック画面に表示される「キーID」は先頭8桁のみで、これを使ってMicrosoftアカウント上で該当するキーを特定します。

Microsoftアカウントに回復キーが保存されていない場合はどうすればいいですか?

ローカルアカウントでセットアップしたPCや、職場アカウント管理のPCでは、Microsoftアカウントに保存されていないことがあります。職場PCならIT管理者に問い合わせてください。ローカルアカウントの場合、USBメモリや紙への印刷で過去に保存していなければ、残念ながらWindowsの再インストールが必要になります。

BitLockerを無効にするとデータが消えますか?

いいえ、消えません。BitLockerを無効にするとドライブの復号化(暗号化の解除)が行われますが、保存されているデータはそのまま残ります。復号化にはドライブの容量に応じて数十分から数時間かかることがあります。

自作PCでもBitLockerが自動有効になりますか?

Windows 11 24H2以降、マザーボードにTPM 2.0が搭載されていてセキュアブートが有効なら、自作PCでもMicrosoftアカウントでセットアップした時点でデバイスの暗号化が有効になる可能性があります。Homeエディションでも対象です。

参考文献