ニュース
BitLockerでトラブルの「KB5012170」、それでもインストールが必要
回復キーの管理を確認しよう
2022年8月29日 13:05
米国時間8月9日にリリースされた「Secure Boot DBX」のセキュリティ更新プログラム「KB5012170」に関し、米Microsoftは8月26日、インストールガイダンスを改めてアナウンスしている。
「KB5012170」ではインストールに失敗したり、「BitLocker」の回復キーを求められるなどの問題が発生しており、なかにはインストールを避けるべきだとするユーザーもいる。
しかし、「KB5012170」にはセキュリティ機能をバイパスする脆弱性(CVE-2022-34301、CVE-2022-34302、CVE-2022-34303)に関する修正が含まれている。そのため、MicrosoftはWindows 8.1/Server 2012以降のデバイスに対し、「BitLocker」が有効かどうか、またはサポートされているかどうかにかかわりなく、インストールが必要だとしている。
「KB5012170」がインストールできない場合は、デバイスの製造元(OEM)が提供しているファームウェア側でインストールが許可されていない場合がある。この場合は、OEMへの問い合わせが必要だ。このほかにも既知の問題が確認されているので、とくにサーバー管理者は「KB5012170」のドキュメントを事前に確認をしておくべきだろう。
また、一部のWindows 11環境では「BitLocker」の回復画面が表示され、回復キー(48桁の数字)の入力を求められることがある。「BitLocker」はディスクの暗号化機能で、デバイスの盗難・紛失の際にデータ漏洩を防ぐためのもの。デバイスによっては初期状態で有効化されていることもある。
「BitLocker」の状態は、「コントロール パネル」で確認可能。以下のコマンドをコピーして、[ファイル名を指定して実行]ダイアログ([Windows]+[R]キー)などで実行すると簡単にアクセスできる。
control.exe /name Microsoft.BitLockerDriveEncryption
「BitLocker」は、回復キーをなくすとデータにアクセスできなくなる。そのため、「BitLocker」の回復画面が表示されるトラブルを深刻視するユーザーは少なくない。
しかし、前述の通り「BitLocker」はデバイスの盗難・紛失の際にデータを保護する技術で、正しく使えば有用なものだ。また、顧客のデータなどを扱っている場合は安易に無効化してはならない。
「BitLocker」をただ恐れるのではなく、これを機会に回復キーがバックアップされているかどうか、どこにバックアップしているのかを確認しておくべきだろう。