概要
マイクロソフトが連邦捜査局(FBI)の要請に応じ、BitLockerで暗号化された3台のラップトップの回復キーを提供していたことが報じられ、データプライバシーと企業によるユーザーデータへのアクセスに関する議論が再燃しています。この事例は、現代のデジタルセキュリティにおける企業の役割と、クラウドに保存される個人データの脆弱性について警鐘を鳴らすものです。
事件の詳細
Forbesの報道によると、このキー提供はグアムでのパンデミック失業支援プログラム詐欺に関連する連邦捜査の一環として行われました。対象となったのは、容疑者3名が所有するラップトップです。現代のWindowsコンピューターの多くは、デフォルトで有効になっているフルディスク暗号化機能「BitLocker」に依存しています。
BitLockerの回復キーは、デフォルト設定ではマイクロソフトのクラウドにアップロードされる仕組みとなっており、これにより、マイクロソフトはユーザーの暗号化されたデータにアクセスすることが可能になります。そして今回の事例のように、法執行機関からの要請があれば、これらの回復キーを提供できることになります。マイクロソフトはForbesに対し、年間平均20件程度の同様の要請を受けていると述べています。
専門家の見解とセキュリティへの懸念
このマイクロソフトの対応に対し、ジョンズ・ホプキンス大学の暗号学専門家であるマシュー・グリーン教授は、強い懸念を表明しています。同教授は、回復キーを企業が保持すること自体がプライバシーリスクであり、さらに悪意あるハッカーがマイクロソフトのクラウドインフラストラクチャを侵害した場合(過去にも数回発生している)、これらの回復キーが盗まれる可能性があると指摘しました。ハッカーが盗んだキーを悪用するためには物理的なハードドライブへのアクセスが必要ですが、その可能性は無視できません。
グリーン教授はBlueskyへの投稿で、「2026年になってもなお、これらの懸念は何年も前から知られていることだ。マイクロソフトが重要な顧客キーを保護できないことは、業界の他社から見ても異例になりつつある」と批判し、マイクロソフトのセキュリティ対策が業界標準に追いついていない可能性を示唆しています。