BitLockerの回復キーを突然求められるときの原因や確認方法を紹介

「パソコンを起動したら、突然『BitLocker回復』『このドライブの回復キーを入力してください』という青い画面が出てきた」という経験はありませんか？

特に設定した覚えもないのにパソコンを起動できなくなり、作業を進められずに焦ってしまう方は少なくありません。

BitLockerはWindowsに標準搭載されているドライブ暗号化機能ですが、Windowsのアップデートやハードウェアの変更など、さまざまな要因で突然回復キーの入力が求められることがあります。

この記事では、BitLockerの回復キーを突然求められたときの具体的な症状や原因、回復キーの確認方法、そして再発防止のために準備しておくべきことなどをわかりやすくご紹介します。突然のトラブルにも落ち着いて対応できるよう、ぜひ参考にしてください。

BitLockerの回復キーが求められる原因の一つには、ストレージ自体が劣化して不具合を起こしていることが挙げられます。このような状況では、BitLockerを解除できたとしても、パソコンを正常に起動できない可能性もあるため、現在使用しているパソコンや搭載しているパーツが古い場合は、買い替えもご検討ください。

SB C&Sでは、Windows 11移行支援サービスを提供しており、お客様のパソコン運用体制や希望に合わせて、最適なWindows 11への移行方法をご提案します。特に「Windows 10のパソコンを長期間使い続けている」「そろそろ新しいパソコンに買い替えたい」といった方は、ぜひこの機会にご相談ください。

SB C&S Windowsマイグレーション相談センターのサービスを詳しく見る

そもそもBitLockerとは

BitLocker（ビットロッカー）とは、Windows 10 Pro以降のOSに搭載されたセキュリティー機能で、パソコン内のデータの暗号化を行います。

BitLockerでは、OSがインストールされたシステムドライブやSSD、HDDなど、すべてのディスクを暗号化できるため、万が一パソコンを紛失し、第三者の手に渡ってしまった際も、不正アクセスを防げます。

最近では、リモートワークやハイブリッドワークを取り入れている企業も多く見られるため、社外でのパソコンの紛失・盗難による情報漏えいリスクが高まっています。BitLockerは、このようなリスクを最小限に抑え、管理者の目が届かない範囲でも安全にパソコンを利用できるよう整備された仕組みです。

参照：BitLocker の概要｜Microsoft

BitLockerの回復キーとは

BitLockerを有効化すると、同時に48桁のランダムな数字で構成された回復キーが発行されます。

BitLockerではSSDやHDD全体が暗号化されるため、万が一現在利用しているパソコンが故障して起動できなくなったときなどに、他のパソコンにSSDやHDDを接続してデータにアクセスしようとしても、暗号化されているため内容を読み取れません。

このようなケースに備えて、BitLockerでは回復キーが用意されており、回復キーを入力することで暗号化されたデータへアクセスできるようになります。

正しい回復キーを入力しなければデータへアクセスできなくなってしまうため、メモを取ったり、別のファイルにキーの内容を保存したりするなど、厳重に管理することが大切です。

BitLockerが勝手に有効化されてしまうことがある

上記のBitLockerは手動で有効化・無効化の設定ができますが、Windowsのアップデートなどによって、自動的に有効化されてしまい、回復キーの入力を求められるケースも生じています。

例えば、過去にはWindows 11のアップデートにて「KB5012170」の更新プログラムを適用した際に、これまで有効化していなかったBitLockerが勝手に有効化されてしまい、回復キーを求められてパソコンを起動できなくなる事象が起きていました。

なお、Windows 11 バージョン 24H2以降のOSでは、BitLockerを有効化して自動的に暗号化するためのシステム要件が緩和され、より多くのデバイスでBitLockerを使えるように変更されました。これにより、Windows 11 バージョン 24H2のリリース後に新しくWindows 11をセットアップした場合は、デフォルトでBitLockerが有効化されています。

BitLockerが有効化されるOS

BitLockerが有効化されるのは、Windows Pro / Enterprise / Educationが搭載されたOSで、Homeエディションを使用している場合は基本的には対象外になります。BitLockerの有効化がサポートされているOSは、次の通りです。

● Windows Pro
● Windows Enterprise
● Windows Pro Education / SE
● Windows Education

参照：Windows エディションとライセンスに関する要件｜Microsoft

しかし、メーカーによってはHomeエディションでも有効化されていることがあり、過去にはHomeエディションでも自動でBitLockerが有効化され、回復キーを求められるケースも見られたため、注意が必要です。

BitLockerの回復キーを突然求められたときの主な症状

上記では、BitLockerやBitLockerの回復キーについてご紹介しました。現在使用しているパソコンをWindows 11 バージョン 24H2がリリースされる前から使用していた場合、基本的にBitLockerは手動で設定する仕様になっていますが、アップデートの不具合などによって、パソコンの起動時や再起動時にBitLockerの回復キーを突然求められることがあります。

突然BitLockerの回復キーを求められたときには、以下のような症状が生じます。

パソコンの起動時や再起動時にWindowsが起動せず、青い画面が表示される

パソコンの起動時や再起動時に突然BitLockerの回復キーが求められた場合は、Windowsが起動せず、以下のような青い画面が表示されます。

引用：BitLocker 回復オプション｜Microsoft

上記の画像は英語のものですが、日本語版では「BitLocker回復」というタイトルと併せて、「このドライブの回復キーを入力してください」とテキストが表示されます。

回復キーを入力しなければ他の操作ができない

上記のような画面が表示された場合、BitLockerの回復キーを入力しなければ、Windowsを起動できず、ファイルへのアクセスやウェブブラウジングなどあらゆる操作ができなくなります。

そのため、BitLockerの回復キーの要求画面からWindowsを起動させるには、BitLockerの回復キーを確認して入力するか、Windowsの回復オプションからWindowsを初期化するしかありません。

BitLockerの回復キーの確認方法について詳しくは、「BitLockerの回復キーを確認する方法」でご紹介します。

BitLockerの回復キーが求められる主な原因

ここまでご紹介したように、BitLockerは通常手動で有効化し、その際に発行される回復キーを控えておくことで、BitLockerの回復キーの入力を求められる画面が表示された際も対処できるものの、突然有効化され、回復キーの入力を強いられる場合があります。

このような状態に陥る主な原因は、以下のとおりです。

Windowsのアップデートによる不具合

Windowsのアップデートが行われた際に、BitLockerをはじめシステム上に不具合が生じ、回復キーが求められることがあります。

上記でも触れたように、過去にリリースされた更新プログラム「KB5012170」では、脆弱性があるUEFIモジュールを「Secure Boot Forbidden Signature Database」と呼ばれるデータベースに追記し、脆弱性へ対処しようとしたものの、この影響によってBitLockerに不具合が生じ、回復キーの入力を要求する画面が表示されてしまう事象が起こっていました。

「KB5012170」におけるBitLockerの不具合は1年ほどかけて解消されましたが、今後のWindowsのアップデートにおいても、更新内容によっては再びBitLockerに影響が及ぶ可能性があるため、注意が必要です。

パソコンのパーツの変更

パソコンのハードウェアに変更が加えられると、BitLockerはセキュリティー上の観点から「ハードウェア構成の変更＝不正アクセスの可能性」と判断し、回復キーの入力を求めることがあります。

例えば、SSDやHDD、メモリ、マザーボードなどのパーツを交換した場合、BitLockerはシステムの整合性が損なわれたと認識し、ドライブの暗号化を維持するために回復キーの入力を促すことがあります。また、USBメモリーや外付けHDDなどの外部ストレージを取り外した・差し替えたといった比較的軽微な変更でも、影響を受けるケースがあります。

特にマザーボードを交換した場合は、TPMチップの認識情報が変わるため、回復キーの入力を求められる可能性が高いでしょう。

参照：トラステッド プラットフォーム モジュール (TPM) とは｜Microsoft

パソコンの初期設定時の仕様

「BitLockerが勝手に有効化されてしまうことがある」でも触れたように、Windows 11 バージョン 24H2以降の機種などでは、初回のセットアップ時点でBitLockerが自動的に有効になっている場合があります。

特に、Microsoftアカウントを使ってWindowsにログインした場合は、BitLockerがバックグラウンドで有効化され、回復キーが自動的にMicrosoftアカウント上に保存される仕組みになっています。また、企業や教育機関向けに出荷された端末では、IT管理者が設定したセキュリティーポリシーに沿って、初期設定時からドライブの暗号化が義務づけられており、BitLockerが有効化されているケースもあります。

このような初期設定時の仕様により、ユーザー自身がBitLockerを意識していなくても、すでに暗号化が有効な状態で利用を始めている場合があります。こうした場合、上記で挙げたようなWindowsのアップデートやパーツの変更などによってBitLockerが異常を検知すると、突然回復キーの入力を求められてしまいます。

パスワード入力ミスによる不正アクセスの疑い

Windowsへログインする際に、何度もパスワードを間違えた場合、不正アクセスと見なされ、BitLockerの回復キーを求められる可能性があります。このような場合は、青い画面ではなく、以下のような画面が表示されることがあります。

引用：BitLocker 回復キーを見つける｜Microsoft

パスワードを何度も間違えた場合、パソコンを操作しているのがユーザー本人ではなく、パソコンを窃取した第三者だと疑われ、回復キーが求められます。パソコンの起動時には、パスワードの入力内容に誤りはないか、キーボードに他のものが触れており関係のないキーが押されていないかなどを確認しておきましょう。

BIOS・UEFIの更新

OSを起動する際にハードウェアを制御するBIOSやUEFIは、アップデートによって新たなハードウェアを使用できるようになったり、現状のパソコンの不具合に対処できたりする場合は、更新することが推奨されます。
しかし、これらの更新はBitLockerから大きな構成変更とみなされることがあり、更新後にパソコンを起動すると、突然回復キーの入力を求められるケースがあります。

上記のようなBIOSやUEFIをアップデートした場合以外にも、Secure Bootの設定変更、TPMの無効化・リセットなどを行った場合、BitLockerはシステムの改ざんや不正アクセスを疑い、セキュリティー保護の一環として回復キーの入力を求めます。

ストレージの不具合

SSDやHDDの物理的な故障やファイルシステムの破損など、ストレージの読み書きに異常が発生すると、BitLockerは暗号化されたデータを正しく復号できず、回復キーの入力を求める場合があります。また、TPMとの連携がうまくいかないことでも同様の現象が発生するケースがあります。

特に、パソコンの内蔵ストレージに異常があると、OSの起動やストレージ内のデータの取り出しなどが困難となり、たとえBitLockerを解除できても、パソコン自体が正常に動作しない可能性があるため、注意が必要です。

このような物理的な障害はユーザー自身での修復が難しく、メーカーに修理してもらったり、データ復旧業者へ依頼して復旧作業を行ってもらう必要があります。

BitLockerの回復キーを確認する方法

ここまで、BitLockerの回復キーが突然求められる際に考えられる主な原因をご紹介しました。現在使用しているパソコンでBitLockerの回復キーが求められ、操作ができなくなった場合は、別のデバイスを用意してBitLockerの回復キーを確認する必要があります。

なお、パソコンを利用する際に、ローカルアカウントを利用していたか、Microsoftアカウントを利用していたか、Microsoft Entra IDなど職場用のアカウントを利用していたかによっても確認方法は異なるため、詳しくは以下をご確認ください。

ローカルアカウントを利用している場合

ローカルアカウントは、パソコンの本体それぞれに割り当てられるアカウントで、インターネットに接続せずとも利用できます。ローカルアカウントは、アカウントが割り当てられたパソコンでのみ使用できるため、ほかのデバイスからはログインできない点に注意が必要です。

そのため、現在使用しているパソコンをローカルアカウントで利用している場合は、自身で回復キーのバックアップを取っておくなど保管していない限り、BitLockerを解除できません。

このような状態での対処法は、後述の「BitLockerの回復キーを紛失してしまったら」をご確認ください。

Microsoftアカウントを利用している場合

Microsoftアカウントは、インターネットに接続することで利用できるアカウントで、Microsoftアカウントを使ってログインすることで、別のデバイスからでも自身のアカウントにひもづいたデータへアクセスできる点が特長です。

現在使用しているパソコンへMicrosoftアカウントでログインしていた場合、突然BitLockerの回復キーが求められたときも、スマートフォンや別のパソコンからMicrosoftアカウントにログインすることで、回復キーを確認できます。

Microsoftアカウントを使ってBitLockerの回復キーを確認する手順は、以下の通りです。

1. 1. BitLockerの回復キー要求画面に表示されている「回復キー ID」の最初の8桁をメモしておく

引用：BitLocker 回復キーを見つける｜Microsoft

上記の場合は、「B2E58F0C」になります。

2. 2. 別のデバイスを用意し、「https://account.microsoft.com/devices/recoverykey」にアクセスする


3. 3. Microsoftアカウントにログインする

引用：BitLocker 回復キーを見つける｜Microsoft

4. 4. 先ほどメモした8桁の回復キー IDをもとに、該当するデバイスを見つけ、回復キーをメモする

参照：BitLocker 回復キーを見つける｜Microsoft

Microsoft Entra IDなど職場用アカウントを利用している場合

Microsoft Entra IDなど職場用のアカウントを利用している場合は、権限の都合上自身でアカウントへログインできない場合もあるため、IT管理者に問い合わせることで、回復キーを入手できる可能性があります。

以下の手順は、IT管理者が操作する手順です。職場用のアカウントを利用している場合は、以下のような流れで回復キーを確認できます。

1. 1. BitLockerの回復キー要求画面に表示されている「回復キー ID」の最初の8桁をメモしておく


2. 2. 「https://aka.ms/aadrecoverykey」にアクセスし、職場用アカウントでログインする


3. 3. 左側のメニューから「デバイス」をクリックし、回復キーが必要なデバイスを展開する

4. 4. 「BitLocker Keys を表示する」をクリックする


5. 5. 先ほどメモした8桁の回復キー IDをもとに、該当するデバイスを見つけ、回復キーをメモする

参照：BitLocker 回復キーを見つける｜Microsoft

パソコンの起動中にBitLockerの回復キーを確認する方法

ここまで、BitLockerの回復キーを突然求められたときに、回復キーを確認する方法をご紹介しました。上記の方法は、使用しているパソコンで回復キーが要求されたときに、他のデバイスから回復キーを確認する方法です。

現在はパソコンを使用できる状態ではあるものの、今後いきなりBitLockerの回復キーが求められることに備えて、あらかじめ回復キーを確認しておきたいといった場合は、上記で挙げたMicrosoftアカウントから確認する以外にも、以下のような方法が挙げられます。

コントロール パネルから確認する

コントロール パネルからは、再度BitLockerの回復キーをバックアップできます。

1. 1. タスクバーの検索ボックスに「コントロール パネル」と入力し、コントロール パネルを起動する


2. 2. 「システムとセキュリティ」をクリックする

3. 3. 「BitLocker の管理」をクリックする

4. 4. 「回復キーのバックアップ」をクリックする

5. 5. 回復キーのバックアップ方法を指定して、回復キーを確認する

BEKファイルから検索する

過去にBitLockerの回復キーを自ら保存していた場合は、回復キーが「～.bek」という形式で、パソコン内に保存されている可能性があります。

1. 1. エクスプローラーを開く


2. 2. 検索ボックスに「*.bek」と入力し、BEKファイルがあるか確認する


3. 3. BEKファイルが見つかった場合は、「Recovery Key」の後ろに書かれている数字が回復キーとなるため、メモしておく

BEKファイルについては、以下のページをご確認ください。

参照：BitLocker キー 保護機能｜Microsoft

BitLockerの回復キーを紛失してしまったら

ここまで、BitLockerの回復キーを確認する方法をご紹介しました。万が一、「ローカルアカウントでパソコンを利用していたのに、回復キーを控えていなかった」という状態に陥った場合は、以下の手順でパソコンを回復できる可能性があります。

ただし、以下でご紹介する方法を実行することによって、パソコンが正常に動作しなくなるなどの不具合が生じる可能性もあるため、必ずIT管理者に確認のうえ、自己責任で進めてください。

コマンド プロンプトからBitLockerを強制解除する

BitLockerの回復キー要求画面からコマンド プロンプトを起動することで、BitLockerを強制解除できます。

1. 1. BitLockerの回復キー要求画面で、「このドライブをスキップ」をクリックする


2. 2. 「回復オプションの詳細は、Escキーを押してください」の表示に沿って、Escキーを押す


3. 3. 「詳細設定」＞「トラブルシューティング」＞「詳細設定」＞「コマンド プロンプト」の順にクリックする


4. 4. コマンド プロンプトに、以下のコマンドを入力して実行する
   manage-bde -status c:


5. 5. 「ロック済み」と表示された場合は、以下のコマンドを入力して実行する
   manage-bde -unlock c: -rp 48桁のリカバリーパスワード


6. 6. BitLockerが解除されたら、以下のコマンドを入力して実行する
   manage-bde -protectors -disable c:


7. 7. コマンド プロンプトを終了し、パソコンを再起動する

BitLockerの強制無効化については、以下のページをご確認ください。

参照：manage-bde off｜Microsoft

BIOSの設定を変更する

BIOSの設定を変更することで、BitLockerの設定を変更でき、回復キーの入力画面を表示させないように設定できる可能性があります。

1. 1. パソコンの起動画面でBIOSを起動するためのキーを押す
   キーは一般的にF2キーやDeleteキーなどが設定されていますが、メーカーによって異なります。


2. 2. BIOSの設定画面が表示されたら、「System Configuration」＞「USB Configuration」の順にクリックする


3. 3. USB Type-C、Thunderbolt 3の起動サポートを無効にする


4. 4. USB Type-C、Thunderbolt 3、およびTBTの後ろのPCIeのプレブートを無効にする


5. 5. UEFI ネットワーク スタックを無効化する


6. 6. BIOSの設定画面を終了し、パソコンを再起動する

BIOSでの設定変更については、以下のページもご確認ください。

参照：Microsoft Intuneの Windows デバイスで BIOS 構成プロファイルを使用する｜Microsoft

BIOSはOSの起動にも関わるシステムのため、操作内容によってはWindowsを正常に起動できなくなる可能性もあるため、十分にご注意ください。

また、万が一設定を誤ってしまった場合も、BIOSを初期化することで元の状態に戻せますが、再びBitLockerの回復キーが求められることがあります。

Windowsをクリーンインストール（初期化）する

Windowsをクリーンインストール（初期化）することで、BitLockerの回復キーを求められず正常に起動する可能性があります。しかし、パソコン内のデータが消去されてしまうため、重要なデータのバックアップを取っていない場合はおすすめできません。

1. 1. 動作するパソコンで、Windowsのインストール メディアを作成する
   インストール メディアの作成手順は、以下のMicrosoftのページをご確認ください。
   参照：Windows 用のインストール メディアを作成する｜Microsoft


2. 2. 作成したインストール メディアをインストール先のパソコンへ接続し、パソコンの電源を入れる


3. 3. Windowsのセットアップ画面が表示されるため、言語やキーボードの設定をする


4. 4. 「セットアップ オプションの選択」ウィンドウが表示されたら、「Windows 11のインストール」を選び、「ファイル、アプリ、設定など、すべて削除されることに同意する」をクリックして次に進む


5. 5. 「プロダクト キー」ウィンドウが表示された場合は、「プロダクト キーがありません」を選び、現在使用しているライセンスと同じエディションのOSを選択する


6. 6. 「該当する通知とライセンス条項」を確認し、同意する


7. 7. インストールする場所を選択し、インストールを開始する

参照：インストール メディアを使用して Windows を再インストールする｜Microsoft

なお、BitLockerの回復方法については、以下のMicrosoftのページを併せてご覧ください。

参照：BitLocker 回復プロセス｜Microsoft

BitLockerの回復キーを突然求められても対応できるよう準備すること

ここまで、BitLockerの回復キーを紛失したときの対処法をご紹介しました。上記で挙げたように、最悪の場合はWindowsを初期化するケースもあるため、現在パソコンを正常に起動できる場合は、以下のような方法で今後突然BitLockerの回復キーを求められても対応できるよう、準備しておきましょう。

回復キーのバックアップを取る

BitLockerの回復キーは、ここまでにご紹介したように、Microsoftアカウントやコントロール パネルから確認できるため、バックアップを取っておきましょう。

コントロール パネルからバックアップを取る場合は、ファイルへの保存（BEKファイル）や印刷が可能です。BEKファイルを作成した場合は、パソコンが起動できなくなった際にもファイルを開けるように、外部ストレージなどに保存しておくことをおすすめします。

Microsoftアカウントで回復キーを確認する方法は「BitLockerの回復キーを確認する方法」、コントロール パネルで回復キーを確認する方法は「パソコンの起動中にBitLockerの回復キーを確認する方法」でそれぞれご紹介しています。

BitLockerを無効化する

BitLockerの回復キーを要求されないようにするために、BitLockerを無効化するのも一つの手です。BitLockerは、以下の手順で無効化できます。

1. 1. タスクバーの検索ボックスに「コントロール パネル」と入力し、コントロール パネルを起動する


2. 2. 「システムとセキュリティ」をクリックする


3. 3. 「BitLocker の管理」をクリックする


4. 4. 「BitLocker を無効にする」をクリックする

なお、再度有効化したい場合は、同様の手順で「BitLocker の管理」を開き、「BitLocker を有効にする」をクリックすることで有効化されます。

BitLockerの検知範囲をカスタマイズする

Windows 11 Proを使用している場合は、「グループ ポリシーの編集」から、BitLockerの検知範囲をカスタマイズできます。

以下の手順を行う前には、事前にBitLockerを無効化してください。

1. 1. タスクバーの検索ボックスに「グループ ポリシーの編集」と入力し、「グループ ポリシーの編集」を起動する


2. 2. 「コンピューターの構成」＞「管理用テンプレート」＞「Windows コンポーネント」＞「BitLocker ドライブ暗号化」＞「オペレーティング システムのドライブ」の順にクリックする


3. 3. 画面右側のウィンドウから「ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する」をダブルクリックする


4. 4. 「有効」を選択し、「PCR 2」のチェックを外して「OK」をクリックする


5. 5. BitLockerを再度有効化する

詳しくは、以下のページをご確認ください。

参照：MBAM クライアント グループ ポリシー設定を編集するには｜Microsoft

なお、BitLockerの無効化や検知範囲の変更によって、本来BitLockerが検知するタイミングで回復キーの入力が求められなくなる可能性があるため、セキュリティーリスクが高まる点に注意が必要です。なるべくBitLockerの設定は変更せず、回復キーを徹底管理することをおすすめします。

まとめ

この記事では、BitLockerの回復キーを突然求められたときの具体的な症状や原因、回復キーの確認方法、そして再発防止のために準備しておくべきことなどをわかりやすくご紹介しました。

BitLockerの回復キーは、Microsoftアカウントやコントロール パネルをはじめ、さまざまな方法で確認できますが、回復キーの発行時にあらかじめバックアップを取っておくことが重要です。

ストレージ自体が劣化して不具合を起こしている場合は、パソコンを正常に起動できない可能性もあるため、現在使用しているパソコンや搭載しているパーツが古い場合は、買い替えもご検討ください。

なお、「Windows 10のパソコンをずっと使っている」という方も多いのではないでしょうか。Windows 10は2025年10月14日にサポートが終了するため、期間内にWindows 11へアップデートするか、Windows 11搭載のパソコンへ買い替える必要があります。

SB C&Sでは、Windows 11移行支援サービスを提供しており、お客様のパソコン運用体制や希望に合わせて、最適なWindows 11への移行方法をご提案します。

詳しくは、以下のページをご確認ください。

SB C&S Windowsマイグレーション相談センターのサービスを詳しく見る