Microsoftは、2025年4月のWindows 11セキュリティ更新プログラム(KB5055523)適用後に発生するWindows Helloの障害を正式に認めた。対象はバージョン24H2を実行し、System Guard Secure LaunchまたはDRTMを有効にした一部のデバイスで、顔認証やPINによるログインが不能になる場合があるという。

障害は「Pushボタンによるリセット」もしくは「ファイル保持型のローカル再インストール」を行った後に発生し、「PINが利用できない」「顔認証のセットアップで問題が発生した」といったエラーが表示される。Surface Pro 11などの赤外線対応カメラ搭載機種でも同様の症状が報告されている。

Microsoftは、この問題がWindows 11バージョン23H2以前には影響しないこと、またPINと顔認証の再設定によって回避可能であると説明しているが、企業や公共機関における生体認証依存環境では慎重な対応が求められる。

セキュリティアップデート適用後に生じる認証障害の構造

2025年4月に配信されたWindows 11セキュリティ更新プログラムKB5055523は、System Guard Secure LaunchまたはDRTM(Dynamic Root of Trust for Measurement)が有効となっている環境において、Windows Helloの顔認証およびPINコードによるログイン機能の停止を引き起こすことが確認された。

特に「このPCをリセット」機能を通じて「ファイルを保持したローカル再インストール」を選択した後に発生するケースが多く、ログイン時に「PINが利用できない」「顔認証のセットアップに失敗」といったエラーが表示される。

この問題はSurface Pro 11などの顔認証搭載端末にも影響を及ぼしており、Microsoftの公的サポート文書においても明確に言及されている。

Windows 11バージョン23H2以前の環境では再現されないことから、OSの内部的なセキュリティコンポーネントと更新コードの間に特定の依存関係が存在する可能性がある。問題発生後はPINおよび顔認証の再設定により復旧可能であり、暫定的な回避策はユーザー自身の対応に委ねられている。

特定の条件下でのみ再現されるこの障害は、セキュリティレイヤーが複雑化した現代のOSにおいて、モジュール間の整合性確保が依然として技術的な課題であることを示している。

エンタープライズ環境に求められる認証運用の見直し

今回のWindows Hello障害は、一般ユーザーよりも多層的なセキュリティと認証フローを構築している企業環境において、より深刻な影響を及ぼすおそれがある。

特に、顔認証やPINを用いた端末アクセスが運用上必須とされている業務環境では、システムリセットを契機に全社的な認証障害へと波及する可能性が否定できない。4月の更新適用後に発生するため、パッチマネジメントの運用タイミングや対象端末の選別に関する精緻な判断が求められる。

また、今回の事象はセキュアブートやDRTMといった高度なハードウェア支援型セキュリティ機構とOSの更新プログラムの整合性に端を発しており、Windows Helloというユーザー向け機能がセキュリティレイヤーの中核として組み込まれていることの証左でもある。

Microsoftが提供する簡易な回避策は存在するものの、根本的な安定性担保にはファームウェアやグループポリシー設定を含む総合的な運用設計の再構築が不可欠となる。

顔認証の利便性と、セキュリティ機構としての信頼性を両立させるには、今後も更新プログラムの適用前に検証環境を用いた影響評価を欠かさない体制づくりが鍵となる。

Source:Neowin