本記事はマイクロソフト社員によって公開されております。
こんにちは。Windows Commercial Support Directory Services チームです。
今回は、Windows Update をインストールした後の OS 再起動後に Windows Hello の PIN が利用できなくなったり、
保存された資格情報が利用できない (一覧から消えている) という事象について紹介します。
発生する事象について
Windows Update をインストール後、OS を再起動した後から、以下のような状態が発生する場合があることが報告されています。
- 「問題が発生したため、PIN を使用できません。クリックして暗証番号 (PIN) をもう一度設定してください。」と表示され、Windows Hello の PIN によるサインインができなくなる。
- 資格情報マネージャーに保存した資格情報が利用できない。また資格情報マネージャー上からも削除されている。
発生原因
今回の問題は、Windows Update 時に、Secure Boot DBX のアップデートと BIOS/UEFI Firmware のアップデートが同時に行われた場合に発生する可能性があります。
Secure Boot DBX とは、Secure Boot の信頼を取り消された署名や証明書のリスト (Disallowed Signature Database) です。
一方で、Windows 11 の Copilot+ PC などでは、ESS (Enhanced Sign-in Security) と呼ばれる機能がが有効化されていますが、この ESS が有効となっている環境では、Windows Hello の PIN 情報は、VSM (Virtual Secure Mode) で保護されております。また、Credential Guard が有効な環境では、資格情報マネージャーにて管理されている保存された資格情報も VSM で保護されています。この VSM で保護されている情報を取得する際、TPM 内にある特別なレジスター情報 (PCR) を用いて、整合性のチェックを行っています。
Secure Boot DBX のアップデートと BIOS/UEFI Firmware のアップデートが同時に行われた場合、複数の PCR 値が同時に更新されてしまい、TPM 上に保存された情報の取り出し時の整合性チェックに失敗、その結果、情報の取り出しに失敗し、本事象が発生します。
回避策
残念ながら、現状 Windows OS としては Secure Boot DBX と BIOS/UEFI Firmware の更新が確実に同時に行われないようにする実装はございません。弊社内ではこのようなシナリオにも対応できるよう、サポート チームから開発部門へのフィードバックは実施しておりますので、今後改善される可能性はございます。
また、すでに事象が発生し、Windows Hello の PIN や 保存された資格情報が利用できなくなった場合は、お手数ではございますがそれぞれ再度ご設定をお願いいたします。
なお、手動での回避とはなりますが、Secure Boot DBX が更新されたことは、SYSTEM イベント ログの以下のイベントログにてご確認いただけます。本イベント ログが記録された後の OS 再起動時に Secure Boot が利用する PCR 値が更新されます。そのため、上記のイベント ログが記録された後は、BIOS/UEFI Firmware のアップデートは避けて頂けますと幸いです。
ログの名前: System
ソース: Microsoft-Windows-TPM-WMI
日付: yyyy/MM/dd HH:mm:ss
イベント ID: 1034
レベル: 情報説明:
セキュア ブート Dbx 更新プログラムが正常に適用されました
更新履歴
2025/10/07 : 本ブログの公開