配布資料
「暗号化はしない設定にしていたはずなのに、Windowsの更新をきっかけに突然BitLockerがかかり、起動時に回復キーを求められてパソコンが使えなくなった」——これは、実際に起きたトラブルとその救出の全記録です。
さらに厄介なことに、運用はローカルアカウントで、Microsoftアカウントには回復キーが見当たらない状態。
一度は「詰んだ」と思える状況から、最終的にデータを救出するまでの手順を、同じ目に遭った方が辿れる形でまとめました。
なぜ勝手にBitLockerがかかるのか
Windows 11 バージョン24H2以降、TPMやセキュアブートなどの要件を満たす多くのPCで、BitLocker(デバイスの暗号化)が自動的に有効化される仕様になりました。
新規セットアップ時だけでなく、更新プログラムの適用をきっかけに、起動時や再起動時に突然「BitLocker回復」の青い画面が表示され、48桁の回復キーを求められて起動できなくなる事例が各所で報告されています。
つまり「自分では暗号化したつもりがない」のにロックされるのは、利用者のミスではなくMicrosoft側の仕様変更によるものです。まずはこの前提を押さえておきましょう。
大前提:暗号そのものは鍵がないと解けない
BitLockerはAESによるフルディスク暗号です。回復キー・パスワード・PIN・TPM内の鍵などがなければ、暗号を直接破ってデータを取り出すことは現実的に不可能です。
「パスワードをバイパスして中身を読める」とうたうツールがあれば、それは詐欺かマルウェアだと考えてください。
専門のデータ復旧業者であっても、物理故障とは違い、鍵のない暗号化データの解読はできません。勝負は「正しい回復キーを見つけられるか」の一点に絞られます。
手順1:まず回復キーを探す
回復画面の「ヒント」を読む
24H2以降のBitLocker回復画面には、回復キーに関連付けられたMicrosoftアカウントのヒントが表示されます。まず次の2つを確認してください。
- キーID:英数字の識別子。回復キーページに並ぶデバイスのどれと一致するかの手がかりになります。
- アカウントのヒント:メールアドレスの一部(例:a***@×××.com)。鍵を退避した時点でサインインしていたアカウントを示します。
鍵を探す経路
- Microsoftアカウントの回復キーページ(account.microsoft.com/devices/recoverykey)で、思い当たるメールアドレスをすべて試す。純粋なローカル運用のつもりでも、初期セットアップ時や家族・購入店が一瞬だけサインインしていて、そこに鍵が退避されているケースは多いです。
- 職場・学校(Azure AD / Entra)アカウント:過去に一度でも組織アカウントでサインインしていれば、鍵は組織側のポータルに退避されています。
- 手動保存の控え:他のUSBメモリ、クラウド、印刷した紙に「BitLocker Recovery Key ◯◯◯◯.txt」が残っていないか。
注意点として、回復画面に「アカウントのヒント」がそもそも表示されない場合は、鍵がどこにも退避されないまま保護機能だけ作られた可能性があります。その場合、残念ながらデータの救出は不可能で、PCを使える状態に戻すにはクリーンインストールが必要になります。
手順2:(鍵が無い場合の保険)Linux + dislockerで読み出す
回復環境が使えない、あるいはドライブを取り出して別マシンから救出したい場合は、Linuxの起動USBとdislockerが有効です。Ubuntuのライブ環境で起動し、次のように読み取り専用(-r)でマウントします。救出時は元のドライブを傷つけないため、必ず読み取り専用にするのが鉄則です。
sudo apt update
sudo apt install dislockersudo dislocker -r -V /dev/nvme0n1p3 -p回復キー48桁 -- /media/bitlocker
sudo mount -o loop,ro /media/bitlocker/dislocker-file /media/windowsこれで /media/windows からファイルにアクセスでき、外付けディスクへコピーできます。回復キーが無くても、自動暗号化が未完了の「クリアキー」状態なら鍵なしで通ることが稀にあるので、ダメ元で -p を付けずに試す価値もあります。
手順3:コマンドプロンプトで解錠する(manage-bde)
回復キーが分かったら、Windowsの回復環境からコマンドプロンプトを開いて解錠します。「トラブルシューティング」→「詳細オプション」→「コマンドプロンプト」と進みます。
最重要:ドライブ文字を確認する
回復環境の中では、普段C:だったWindows本体が別の文字(D:など)に割り当たっていることが非常に多いです。ここを取り違えると、後述の「すでに解除されています」「パラメーターが違う」といった混乱の原因になります。先に必ず確認しましょう。
manage-bde -status各ボリュームの「保護状態」を見て、「保護はオンです」になっている文字が解錠対象です。あわせて、WindowsフォルダとUsersフォルダがどの文字にあるかも確認します。
dir C:\
dir D:\解錠する
manage-bde -unlock D: -RecoveryPassword 123456-234567-345678-456789-567890-678901-789012-890123回復キー48桁をハイフン込みでそのまま入力します。これでそのセッション中はドライブが読めるようになります。
手順4:robocopyでデータを救出する
ここが最重要ポイントです。解錠できたら、Windowsを直す前に必ず先にデータをコピーして確保します。修復作業は失敗するとデータごと飛ぶことがあるので、順番を間違えないでください。基本コマンドは次のとおりです。
robocopy C:\ユーザーフォルダ D:\backup\ユーザーフォルダ /E /XJ /R:1 /W:1- /E:空フォルダ含めサブフォルダごと全部コピー
- /XJ:ジャンクションのループを回避(これが無いと無限ループになることがある)
- /R:1 /W:1:開けないファイルで延々止まらないよう、リトライ1回・待機1秒に制限
フォルダを個別にコピーする
容量の大きいフォルダで止まらないよう、必要なフォルダを個別にコピーするのが確実です。appsやAppDataなど救出不要なものは指定しません。
robocopy C:\ユーザー\Desktop D:\backup\Desktop /E /XJ /R:1 /W:1
robocopy C:\ユーザー\Documents D:\backup\Documents /E /XJ /R:1 /W:1
robocopy C:\ユーザー\Pictures D:\backup\Pictures /E /XJ /R:1 /W:1
robocopy C:\ユーザー\Videos D:\backup\Videos /E /XJ /R:1 /W:1
robocopy C:\ユーザー\Downloads D:\backup\Downloads /E /XJ /R:1 /W:1不要なファイルを除外する(.trashed など)
Androidスマホ等で削除した際にできる「.trashed-1700000000-ファイル名」のようなごみ箱ファイルが大量にある場合、/XF(ファイル除外)にワイルドカードを使ってまとめてスキップできます。中身が壊れていてエラーで時間を食うだけなので、除外して問題ありません。
robocopy C:\ユーザー\Documents D:\backup\Documents /E /XJ /R:1 /W:1 /XF .trashed-* /XD .trashed-*- /XF .trashed-*:名前が .trashed- で始まるファイルを除外
- /XD .trashed-*:同名で始まるフォルダを除外
容量オーバーで止まったときは
「ディスクに十分な空きがありません」と出た場合、入りきらないファイルはコピーされていません。
ただしコピー(/MOVEを付けていない限り)なので元データは無事です。
コピー先の空きとコピー元のサイズを確認し、別メディアに振り分けるか不要データを消して空きを作ってから再実行します。robocopyは同じコマンドを再実行すればコピー済みを飛ばして続きからやってくれます。
dir D:\
robocopy C:\ユーザーフォルダ NULL /E /L /XJ上がコピー先の空き確認、下が「実際には書き込まず対象の数と合計サイズだけ表示する」確認用コマンド(/L)です。各コマンドの末尾に出る集計で「失敗(Failed)」が0なら、そのフォルダは完了です。
手順5:それでも起動しない場合の修復
データを確保できたら、Windowsの修復に進みます。回復環境からは、再起動を挟まない「オフライン指定」で実行するのがポイントです。
通常の sfc /scannow だと「再起動して修復」となり、その再起動でまた回復画面に戻されてしまうためです。
DISM /Image:D:\ /Cleanup-Image /RestoreHealth
sfc /scannow /offbootdir=D:\ /offwindir=D:\Windowsこれでも直らなければ、「スタートアップ修復」や「更新プログラムのアンインストール(最新の品質更新プログラムをアンインストールする)」を試します。
更新がきっかけで起動しなくなったケースには後者が効きやすいです。
回復キーのループを止める
再起動のたびに回復画面に戻るループは、Windows本体ドライブの保護がオンのままなのが原因です。対象ドライブ(多くの場合D:)の保護を止めます。
なお data が確保済みなら、暗号化そのものを外してしまうのが最も確実です。
manage-bde -protectors -disable D:
manage-bde -off D:-off を実行すると復号が始まり、完了すれば以後BitLockerに邪魔されなくなります。データはすでに救出済みなので、この操作にリスクはありません。
手順6:それでも直らない——ハードウェア不良の可能性
保護を止めても起動しない、「初期状態に戻す」操作すら通らない、という場合は、ソフトの問題ではなくハードウェア側の不具合が回復モードを誘発している可能性があります。
BitLockerのTPM自動解錠は、起動のたびに「ハードウェアやブート構成が前回と同じか」をTPMで測定し、一致しないと鍵を出さず回復画面を表示します。
そのため、次のような状態だと毎回「環境が変わった」と誤判定され、回復ループに陥ります。
- マザーボード/TPM周りの接触不良・劣化:測定値が安定せず、起動ごとに揺らぐ
- SSDへの接続が不安定(コネクタ・ケーブル・はんだクラック):起動時の認識が間に合わず、ブート構成が変化したと判定される
- CMOS電池切れ:UEFI設定が毎回リセットされ、セキュアブートやブート順が変わって測定不一致になる
特に「初期化すら通らない」のは重要なサインです。
リセットはドライブへの安定した読み書きを必要とするため、それが失敗するということは、SSDかその経路に物理的な問題がある可能性を示します。
低コストでできる切り分け
- CMOS電池の交換:安価。設定リセットによる測定不一致が原因なら、これで直ることがあります。
- SSDを取り出して別PC/USB変換アダプタで接続:安定して読み書きできればSSDは正常で、問題はマザーボード側の接続・TPM・電源周り。認識が途切れる・SMARTエラー・異音があればSSD自体の故障です。
マザーボードのはんだ付け(リフローやコネクタ再はんだ)は難易度が高く、TPMチップ周りだと専用設備が必要で、個人で行うのは現実的でないことが多いです。
データが取れている以上、SSD交換で直るかをまず見て、ダメなら機種の使用年数次第で買い替えも視野に入れるのが現実的な判断になります。
教訓とまとめ
- 回復キーは「Microsoftアカウント任せ」にせず、必ず別の場所(紙・USB・クラウド)にも保存しておく。
- ローカルアカウント運用でも、24H2以降は「いつの間にか暗号化されている」前提で備える。
- トラブル時は、修復より先にデータの確保を最優先する。データさえ取れれば、その後の初期化は怖くない。
- 回復環境ではドライブ文字がずれる。manage-bde や robocopy の前に必ず実際の文字を確認する。
- データ確保後に起動しないなら、sfcで粘るより「すべて削除」でのクリーンインストールが結局速くて確実なことが多い。
「勝手にかかるBitLocker」は、知らないと一瞬で全データを失いかねない厄介な仕様です。同じトラブルに直面した方が、この記事の手順で一つでもデータを取り戻せれば幸いです。
公式SNSアカウント
