BitLockerでトラブルの「KB5012170」、それでもインストールが必要

「Windows message center」におけるアナウンス

　米国時間8月9日にリリースされた「Secure Boot DBX」のセキュリティ更新プログラム「KB5012170」に関し、米Microsoftは8月26日、インストールガイダンスを改めてアナウンスしている。

　「KB5012170」ではインストールに失敗したり、「BitLocker」の回復キーを求められるなどの問題が発生しており、なかにはインストールを避けるべきだとするユーザーもいる。

　しかし、「KB5012170」にはセキュリティ機能をバイパスする脆弱性（CVE-2022-34301、CVE-2022-34302、CVE-2022-34303）に関する修正が含まれている。そのため、MicrosoftはWindows 8.1/Server 2012以降のデバイスに対し、「BitLocker」が有効かどうか、またはサポートされているかどうかにかかわりなく、インストールが必要だとしている。

　「KB5012170」がインストールできない場合は、デバイスの製造元（OEM）が提供しているファームウェア側でインストールが許可されていない場合がある。この場合は、OEMへの問い合わせが必要だ。このほかにも既知の問題が確認されているので、とくにサーバー管理者は「KB5012170」のドキュメントを事前に確認をしておくべきだろう。

　また、一部のWindows 11環境では「BitLocker」の回復画面が表示され、回復キー（48桁の数字）の入力を求められることがある。「BitLocker」はディスクの暗号化機能で、デバイスの盗難・紛失の際にデータ漏洩を防ぐためのもの。デバイスによっては初期状態で有効化されていることもある。

　「BitLocker」の状態は、「コントロール パネル」で確認可能。以下のコマンドをコピーして、［ファイル名を指定して実行］ダイアログ（［Windows］＋［R］キー）などで実行すると簡単にアクセスできる。

control.exe /name Microsoft.BitLockerDriveEncryption

　「BitLocker」は、回復キーをなくすとデータにアクセスできなくなる。そのため、「BitLocker」の回復画面が表示されるトラブルを深刻視するユーザーは少なくない。

　しかし、前述の通り「BitLocker」はデバイスの盗難・紛失の際にデータを保護する技術で、正しく使えば有用なものだ。また、顧客のデータなどを扱っている場合は安易に無効化してはならない。

　「BitLocker」をただ恐れるのではなく、これを機会に回復キーがバックアップされているかどうか、どこにバックアップしているのかを確認しておくべきだろう。

「BitLocker」の状態は、「コントロール パネル」で確認可能