Microsoft 365 組織管理者アカウントによる強制BitLocker暗号化の恐怖
肝を冷やした…というか完全に詰んでたので情報共有です。少しでもこれで救われる人が出てほしい。私も何で回復出来たのか今でも分かりません。
■Microsoft 365組織管理者アカウントの危険性
Microsoftアカウントには一般的な個人向けアカウントと組織管理者向けMicrosoft 365アカウントがあるんですが、この組織管理者向けMicrosoft 365アカウントを取得してしまうと、無警告・事前確認無しでPCの内部ストレージ全てが勝手にBitLocker暗号化を受け、最悪読み込めなくなって詰みます。
単なるHDD・SSD破損ならデータ吸出し出来る分、一切データ吸出しのできないBitLocker暗号化は遥かに危険性が高く、実質ランサムウェアと呼ばれており、ニコニコ動画の時のサイバー攻撃と違って身代金払って解除してもらう事も出来ないので、PCの全データが消えて本当に詰みます。
このBitLockerはマジで一切の説明なくバックグラウンドで暗号化するため、仕事等でMicrosoft 365アカウント取得した人は自分のパソコンがランサムウェアによる攻撃を受けた事に気づかず、いずれパソコンを復元ポイントで復元したり出荷状態に戻そうとした時に初めて異常に気付き、死にます。(BitLocker暗号化されたパソコンを不用意に復元ポイントに戻したり、初期化したりすると、複合化できずにPC内の全データについて二度とデータ抽出できなくなる可能性があります)
■BitLocker暗号化をされると何が起こるのか
PC内のストレージが全て暗号化されていますので、Windowsが問題なく動いている時は良いですが、ある日不調で復元ポイントに戻したり、自動復元が行われたり、出荷状態に戻されたりすると、暗号解除が出来なくなり、突然PC内の全データが読み込めなくなる危険があります。
Cドライブが読めなくなったが最後、二度とWindowsは起動しなくなりますし(起動時にブルースクリーンで回復キーを要求される)、Cドライブを復元したり初期状態にした際にD以降のドライブが読め無くなれば、Dドライブ以降の部分が読み込めなくなって二度とデータ吸出しが出来なくなります。
■Microsoft 365アカウントを取得してしまう事情
ビジネス用Microsoftのソフトウェアサービス、特に最近個人向けを廃止するだの何だの言ってEssentials版をゴリ押ししてきたTeamsが極めて危険で、Microsoft Teams Essentials版はMicrosoft 365のサービスですので、Microsoft Teams Essentialsを契約してしまった人は全員PCがBitLocker暗号化によるランサムウェア攻撃を受けてしまった可能性が高いです。
BitLocker暗号化されているかをチェックした上で解除する事も大事ですが、恐ろしい事にMicrosoft 365を使う限り自動で勝手に再度BitLocker暗号化が行われるようになっているため、単に1回解除しただけでは厳しいでしょう。
最近、身に覚えがないのに勝手にPCがBitLocker暗号化を受け、復旧不可能で泣く泣く全データを削除している人が見受けられますが、そのうちかなりの割合がこの「Microsoft 365アカウントによる強制的なBitLocker暗号化」でないかと疑っています。
■Microsoft 365アカウントによるBitLocker暗号化の何が恐ろしいのか
BitLocker暗号化の際、必ずどこかに暗号解除キー(回復キー)が保存される仕様になっています。そのエクスポート先を印刷やテキストファイル保存にしてしまった場合は厳しいですが、Microsoftアカウントを出力先にしていれば、Microsoftアカウントにログインできる限り回復キーが取得できるので、まだ回復できる見込みがあります。また、今は通常のWindows環境でもMicrosoftアカウントへの紐づけは常時行われている事が多いので、「どっかのMicrosoftアカウントには」BitLockerの回復キーが自動保存されている可能性が高いです。
ところが、このMicrosoft 365組織管理者アカウントによるBitLockerの暗号化を受けた場合、回復キーの保存場所は個人用Microsoftアカウントと全く別の場所になり、その保存場所はほとんどの場所で説明されていないため、普通の人はまず回復キーを取り出す事が出来ません。
日本人向けサイトで殆ど解説されていないMicrosoft 365アカウントの内部に回復キーを勝手に保存して勝手にPCを暗号化するなんて、何考えてるんだと思うんですが、現実問題としてこういう現象が起きています。
さらに悪質なのが、Windows本体がMicrosoft個人向けアカウントにログインした状態で紐づけられ、起動してる状態でも、このBitLocker回復キーは全く身に覚えのないMicrosoft 365アカウントの方に保存されるという事です。
そのため、一般に説明され、Microsoft公式アカウントの説明記事に載っている「個人向けMicrosoftアカウントでの回復キーの探し方」では、解決する事が出来ません。
■実際にBitLocker暗号によりデータ復元不可になったらどうするか
上に書いた通り、Microsoft 365組織管理者アカウントの取得を契機とした全く意図しない暗号化の場合、以下のMicrosoft 365組織管理者用のログインページからログインして回復キーを探す事になります。
なお、このログイン画面はMicrosoft個人向けアカウントのログイン画面と全く同じに見えますが、urlも違うし個人向けアカウントではログインできません。まぎらわしすぎて殆どフィッシング詐欺みたいなデザインになってますし、こんな分かりづらい場所に、全データの命運握ってる回復キーを保存するなよと思うんですが…。
しかし、私がBitLocker暗号化により「詰んだ」時もそうだったんですが、実際BitLockerによりデータを復元できなくなって詰んでる人は、ここからログインするのは困難なのではないかと思います。
なぜなら、そもそもMicosoft 365組織向けアカウント取得の時点でPC全体がBitLocker暗号化を受けた旨の説明は一切なく、「このMicosoft 365組織向けアカウントのログイン情報を外付けストレージに保存しておかないと詰みますよ」「Micosoft 365組織向けアカウントはPCの復旧に必須ですよ」という説明が一切ないので、普通はこのMicosoft 365組織向けアカウントの情報は「暗号化されたPC内部」に入ってると思われるからです。
車のインロックと同じ状態であり、Microsoft 365組織管理者向けアカウントがPC復旧に必須の重大データである説明がない以上、そもそもBitLocker暗号の被害に遭う人はこのMicrosoft 365組織管理者向けアカウントのアカウント名・パスワードをPCの外に保存してるわけがないんですね。
日常生活していて、Microsoft 365組織管理者向けアカウントでログインする必要が殆どないのも問題で、単に念のためMicrosoft 365 有料サービスを契約しただけの人はその後一切ログインしないと思われるので、そもそもMicrosoft 365 アカウント名自体知らない人が大半なのではないかと思われます。
これが本当に謎なのですが、Microsoft個人向けアカウントには、紐づけられている電話番号やメールアドレスからアカウント名を推測する手段が提供されているんですが、なぜかMicrosoft 365アカウントはアカウント名を回復する手段が一切用意されていないので、詰むのです。
Microsoft 365アカウントを取得した際、必ず個人用メールアドレスを紐づけて登録しているはずですが、その個人用メールアドレスにも、Microsoft 365アカウント名は送られてこないので、メールボックスをひっくり返してもMicrosoft 365アカウント名が書かれている場所はどこにもなく、Microsoft 365アカウント名を復旧する方法は存在しないのです。
アカウント設計としてバカげているとしか思えないのですが、本当の話です。
■最後の望み
ではどうするのか?私は以下の手段で復旧できましたが、今後も同じ手段で復旧できることを保証するものではありません。ただ、試す価値はあります。
Microsoft 365組織管理者アカウントにログインできなくても、それに紐づけられている個人向けMicrosoftアカウントにログインできていれば、なぜかMicrosoft 365側のBitLocker回復キーにアクセスできる仕様が存在します。
Microsoft 365アカウントを取得した際、個人向けメールアドレス(=Microsoft個人アカウント)の登録と紐づけを必ず行っているはずです。私の場合、なぜかMicrosoft 365アカウントにログインできない状態であるにもかかわらず、紐づけられた個人メールアドレスに、Teams Essentialsの請求書が届き続けている状態でした(なお、このメールアドレスからMicrosoft 365組織管理者アカウント名を知る手段も存在しません)。
その、Microsoft 365からの情報が届いている貴方の個人用メールアドレスが、Microsoft 365組織管理者アカウントと紐づいている可能性が高いです。
そのため、まずMicrosoftの「個人用アカウント」に、その貴方の個人用メールアドレスを入力してログインします(貴方の個人メールアドレスが、そのままMicrosoftアカウント名になっています)(以下は個人向けログインページです。本当に紛らわしい)。パスワードが分からないと思いますので、「ログインできない」をクリックしてパスワードをリセットします。
そして、上のページにログインしたまま、今度はMicrosoft Entra管理センターのトップページ(https://entra.microsoft.com/)にアクセスします。
ちなみにこれは旧Microsoft Azure AD管理センターで管理されていたものですが、ページも名前も変わっています。PCの全データを握ってる回復キーの保存先をポンポン変えるなよ、何考えてんだマジで。
上手くいけば、左側の「デバイス」を選択して登録されてる自分のPC名を選択した後、「BitLockerキー(プレビュー)」をクリックする事で、回復キーを取得できる可能性があります。
今後もこの仕様が通るのか不明ですが、私はこの方法で奇跡的にBitLocker暗号から回復する事が出来ました。
つかMicrosoft個人向けアカウントのBitLocker回復キーの確認方法はMicrosoft公式ページに記載されてるんですが、Microsoft 365組織管理者向けアカウントによるBitLocker強制暗号化についてはMicrosoft公式webサイトに回復キーの探し方が一切載ってないの、ふざけてるとしか思えないんですが…。
ふざけたことに、少し前、Microsoft Teams Classicがサービス終了する際、公式が有料版であるTeams Essensialsへの誘導をやりまくったので、Microsoft 365サービスを一般個人が誤って契約してしまう危険性を一切知らないまま、今後被害が拡大する可能性があると思っています。
■Microsoft 365に登録してしまったら
このような致命的な問題があるため、現状、Microsoft Teams有料版などのMicrosoft 365サービスはランサムウェアに等しく、安易にMicrosoft組織向け有料サービスを契約すべきではないと思われます。
もし契約してしまったら
今すぐにPCがBitLocker暗号化(またはデバイスの暗号化)を受けていないか確認する(確認手段は各自調べて)
暗号化されていた場合、急いでPC内の全データを外付けHDD等にバックアップする(BitLocker暗号化は、PCの故障と異なり異音等の前兆なしに「突然」襲い掛かります)
BitLockerの暗号化は今すぐ無効にする(無効にする手段は各自調べて)
上記の方法などでMicrosoft Entra管理ページ、もしくはMicrosoftアカウントにアクセスし、ログイン方法や回復キーを外付けストレージに保存する
念のため、覚えている限り全てのMicrosoft個人アカウント、Microsoft 365アカウントの情報は外部ストレージに保存しておく。
そもそもWindows11は勝手にPCをBitLockerで暗号化するとも言われているので、徹底的に暗号化は解除し、当然の事だが常に外付けHDD等にバックアップをとっておく。今後は、Windowsを使う限り常に突然暗号化により一切データが抽出できなくなる危険がある。
■独り言
まぁホンット私が悪いんだけどAppDataのLocalやRoamingをシンボリックリンク使って移すなんて絶対やっちゃダメです。ほぼほぼ失敗するし、Microsoft 365有料サービスに登録してるPCでやると復元ポイントすら機能せず詰みます。そんな安易な方法で、Microsoftアカウント登録済みPCのAppDataなんか移せるわけないよマジで。
PCの情報流出と、暗号化によるデータ消滅はトレードオフであり、しかも一定程度暗号化して以上は情報流出リスクを下げる事が出来ず、無意味であるため、今の「一般個人のデータまで強制的に暗号化して消滅リスクに晒してでも流出リスクを抑えよう」という風潮は、異常としか思えません。
特定大規模のプロバイダを除けば、殆どの一般市民の業種において、情報流出の危険より、情報消滅の危険の方が遥かに大きいはずです。
どんなに頑張っても隠しカメラの持ち込みは防げないので本気で漏洩させようとすればできますし、ここまで躍起になってPCを暗号化して、ニコニコ動画の機密情報流出は防げたでしょうか?本当にバカな時代になったなと感じます。
我々は情報を抹消して過去をなかった事にするのでなく、証拠を保全して未来に残す仕事をしているので、昨今の風潮については、正直狂っているという感想しかありません。
この記事が気に入ったらサポートをしてみませんか?