【修理事例】他社で高額見積のBitLocker回復ループ、本当の原因は「Secure Boot」設定だった

結論:「続行するにはEnterまたはWindowsキーを押してください」というBitLocker回復ループは、「Secure Boot」が「Disabled」に設定されていたのが原因でした。「Enabled」に変更して解決しました。

更新日 :
公開日 :

オレンジセキュアサービス株式会社
東京都千代田区神田佐久間河岸70-4B
TEL : 03-5823-1870

BitLocker回復ループをSecure Bootの設定変更で解決!

症状
パソコンの電源を入れると、回復キー入力画面の前に「続行するにはEnterまたはWindowsキーを押してください」という異例のBitLocker案内画面が表示される。
原因
パソコン本体の基本機能である「Secure Boot」が、何らかの理由で「Disabled(無効)」に設定されていたこと。
診断
他社(秋葉原の大手BTOメーカー本店)では「部品交換で高額修理・納期3週間」と診断されていた。当店での対面診断時、初期化の準備としてBIOSを点検したところ、設定の異常を発見。
解決策
BIOS設定画面(UEFI)を開き、「Secure Boot」を本来の「Enabled(有効)」に変更する。
注意点
本件はこの設定変更によりBitLocker画面自体が表示されなくなり解決しましたが、通常は「Secure Boot」の設定を変更するとBitLocker回復キーの入力を求められます。環境により挙動が異なるため、慎重な対応が必要です。

「他社で見積もりを出したら、部品交換で高額になり、納期も3週間くらいかかると言われました……」

今回ご来店いただいたお客様は、秋葉原にある大手BTOパソコンメーカーの本店修理窓口から、そのまま当店へ足を運ばれました。症状は、突然表示されるようになった「BitLocker回復キー」の入力画面。ご自身のMicrosoftアカウントを必死に調べても、別PCのキーは見つかるのに、なぜか該当PCの回復キーだけが見つからず、途方に暮れてのお持ち込みでした。

事前のご相談では、「実店舗でプロが直接診断されたのなら、部品故障の可能性が高いです」と率直にお伝えしました。しかし、お客様は「部品は正常なはずだから、データは諦めるのでとにかく初期化をしてほしい」と強くご希望され、診断をお受けすることになりました。

しかし、対面で診断を進めると、事態は思わぬ方向へ。実は部品はどこも壊れておらず、初期化すら不要だったのです。大手が「高額な部品交換が必要」と診断したこの絶望的なトラブルを、わずか40分で、データもそのままに完全復旧させたドキュメンタリー調の事例レポートです。

この記事は、手順書ではなく、実績ということが明確になるよう、AIを使ってドキュメンタリーな文章に編集しています(修理内容はそのままです)。

** 目次 **

  1. 「絶望の診断」から一転。見たことのないBitLocker案内画面
  2. 原因はハードではなくBIOS。「Secure Boot」の意外な罠
  3. あっけない幕切れとPINエラーのカラクリ
  4. 消えた回復キーの謎。意外な「アカウントの持ち主」
  5. ご自身で作業する場合の最終確認(セーフティネット)
  6. 万が一、お困りの時は…

この記事を Twitterでツイートする | Facebookでシェアする | LINEに送る

お問い合わせフォーム
電話番号は0358231870です

「絶望の診断」から一転。見たことのないBitLocker案内画面

「続行するにはEnterまたはWindowsキーを押してください」というBitLocker案内画面
回復キーの入力画面の前にこのような「続行するにはEnterまたはWindowsキーを押してください」というBitLocker案内画面が表示されました。
*画像はすべて当社のものです。お客様の画面を撮影することは一切ありません。

お客様の目の前でパソコンの電源を入れ、実際の症状を確認するところから当店の診断はスタートします。電源を入れると、通常なら青い背景に白い文字で「回復キーを入力してください」というBitLockerの画面が出るはずですが、今回は様子が違いました。

画面には「続行するにはEnterまたはWindowsキーを押してください」という、BitLockerの案内画面だけが表示されて止まっていたのです。

プロの視点:この画面が出るのは「異常」な状態

実は、この案内画面は通常のトラブルではまずお目にかかりません。私どもの経験上、Windowsを「セーフモード」で強制的に起動しようとした時くらいにしか表示されない、非常にイレギュラーな挙動です。

「これはエラーの挙動ではないですね」と故障の可能性をお客様にご報告しつつ、今回は「初期化(リカバリ)」が主目的のご依頼であったため、まずは初期化ができる見込みがあるのか、それともSSDなどの部品故障で初期化ができないのか、という切り分けをスタートしました。

原因はハードではなくBIOS。「Secure Boot」の意外な罠

BIOS画面でsecure bootをenabledに変更している
これがBIOS画面です

他社さんで部品故障の診断がすでにされていますので、「パソコン自体の基本設定(BIOS/UEFI)」から点検しました。キーボードを操作してBIOS画面を呼び出し、セキュリティ関連の項目をチェックしていきました。

すると、ある設定に違和感がありました。「Secure Boot(セキュアブート)」の項目が「Disabled(無効)」になっていたのです。

BitLocker(暗号化)がオンになっているパソコンでは、この「Secure Boot」が「Enabled(有効)」に設定されていないと、セキュリティ上の仕様により毎回必ずBitLocker回復キーを求められてしまいます。つまり、何らかの理由でここが「Disabled(無効)」に書き換わってしまったことが、あのBitLockerの案内画面を呼び出し、起動を止めていた直接の原因だったのです。

すぐさま設定を本来の「Enabled(有効)」に変更し保存します。「ここの設定が変わってしまっていたようですね」とお伝えすると、お客様は「そんな画面、さわったこともないです」と驚かれていました。原因は不明ですが、何らかの拍子で書き換わってしまったのでしょう。

あっけない幕切れとPINエラーのカラクリ

PINエラーを再登録しようとしている
Secure Boot の設定を変更するとこのようなPINエラーになります(正常)。

「また同じことが起きたら自分では直せないからどうしよう…」「初期化後にBitLockerを無効にしておきましょうか?」など雑談している間に、パソコンの再起動が終わっていました。

画面を見ると、Windowsのローディングを表現するアニメーションのクルクルが表示されていました。

通常「Secure Boot」の設定を変更すると、強力なセキュリティ保護が働き、再起動直後にBitLocker回復キー(48桁の数字)の入力を求められるのがセオリーです。署名をリセットできないBIOSなのかと推測しますが、回復キーを入力しない状態で起動しました。

そのまま待っていると、今度は「PINエラー」が発生してログインできない状態になりました。

焦る必要なし。PINエラーは「正常な防衛反応」

ログインできないと焦るかもしれませんが、実はこれは想定内の挙動です。TPM(セキュリティチップ)の設定が独立していないパソコンの場合、Secure Bootの設定を変更すると、それまで使っていたPIN(暗証番号)がセキュリティ保護のために一旦リセットされ、エラーになるのは「正常な仕様」なのです。

お客様にMicrosoftアカウントのパスワードをご入力いただき、PINを再登録。初期化の見込みを調べるのが主目的でしたが、あっけなくいつものデスクトップ画面が表示されました。中のデータもアプリも、すべて完全に残っています。ここまでの作業時間はわずか数分でした。

その後、本当に部品(SSD)が壊れていないかを専用ツールでS.M.A.R.T情報(ドライブの健康状態)から確認しましたが、一切の異常なし。念のためWindows Updateも実行し、正常に完了することを確認しました。

大手が「高額な部品交換・納期3週間」と診断したトラブルは、部品故障など一切なく、実質40分の設定修復で完全解決となりました。

消えた回復キーの謎。意外な「アカウントの持ち主」

無事にデスクトップ画面が表示され、お客様も私もホッと胸をなでおろしました。しかし、ここで一つ疑問が残ります。事前のヒアリングにあった「自分のMicrosoftアカウントを調べたけれど、別PCの回復キーしか見つからなかった」という謎です。

なぜこのパソコンの回復キーだけが、お客様のアカウントに存在しなかったのか。無事に起動したWindowsの「設定」からアカウント情報を確認していただいたところ、その理由があっさりと判明しました。

「あ! これ、家族のメールアドレスになってる……!」

画面に表示されていたのは、お客様ご自身のものではなく、ご家族のメールアドレスでした。つまり、このパソコンのBitLocker回復キーは、ご家族のMicrosoftアカウントに紐づいて保存されていたのです。いくらご自分のアカウントを探しても見つからないわけです。

「自分のではないアカウント」で初期設定されているケースは多い

実は、BitLockerのトラブルにおいて、このパターンは非常に多く見受けられます。ご家族が代わりに初期設定を行ったり、ご家族と共有して使っていたりした場合、Windowsのログインに使用しているMicrosoftアカウントがご自身のものではないケースが多々あるのです。

もし「どうしてもこのパソコンの回復キーだけが見つからない!」と行き詰まったときは、故障やバグを疑う前に、「設定を手伝ってくれたご家族」や「同じパソコンを使うご家族」のMicrosoftアカウントにログインして確認してもらうことを強くお勧めします。

今回は結果的に回復キーを入力せずに解決できましたが、次回以降のトラブル(例えば本物の部品故障時など)に備え、ご家族のアカウントから正しい回復キーを探してメモしておいていただくようお伝えし、すべての作業が完了となりました。

ご自身で作業する場合の最終確認(セーフティネット)

本記事は対面での慎重な診断に基づく修復事例です。もし似たような症状でご自身で設定を変更される場合は、以下の点に十分ご注意ください。

1. 通常は「回復キー」が必須になります

今回、BIOSの仕様でBitLockerの回復キー入力が省略されましたが、多くのBIOSはSecure Boot設定を変更すると、48桁のBitLocker回復キーを求められます。キーが手元にない状態で安易に設定を変更すると、二度とデータにアクセスできなくなるリスクがあります。

2. PINの再登録にはパスワードが必要です

無事にWindowsの画面まで辿り着けても、PINエラーで弾かれる可能性が高いです。その際、Microsoftアカウントのパスワード(またはスマホへのSMS認証など)が受け取れないと、結局ログインできずに詰んでしまいます。事前にアカウント情報を確認しておきましょう。

3. ハードウェア診断は欠かさずに

今回はSSDの異常はありませんでしたが、「BIOSの設定がおかしくなる」こと自体、マザーボードの不調や一時的な帯電が引き金になっていることもあります。無事に起動したら、まずは何より最優先で大切なデータのバックアップを取ってください。