WinREでマウス・キーボードが動かない!KB5066835不具合の全貌と緊急対策
2025年10月14日(米国時間)に配信されたWindowsセキュリティ累積更新プログラム「KB5066835」は、システムの安定性を根底から揺るがす深刻な不具合を引き起こしました。
このパッチを適用した環境において、Windows 回復環境(WinRE: Windows Recovery Environment)で使用されるUSB接続のキーボードおよびマウスが、操作不能に陥る現象が全世界で報告されています。
💡 WinREは「システムのICU(集中治療室)」
WinREは、OSが起動できない時や重大なトラブルが発生した際に、システムを修復、復元、あるいは初期化するための「最後の砦」です。例えるなら、PCの命を守るための「集中治療室(ICU)」です。このICUで、患者(システム)の処置に必要な医療器具(キーボード・マウス)が使えない状態は、極めて致命的なダウンタイムリスクに直結します。
IT管理者やシステム構築に携わる上級ユーザーは、この緊急事態の技術的側面を深く理解し、確実な回避策と予防的対策を講じる必要があります。
WinREでUSBが使えなくなる技術的根本原因は何?
この入力不能問題の根源は、KB5066835の適用により、WinREという特殊な軽量環境におけるドライバ管理に異常が発生したことにあります。
1. KB5066835の詳細とOSビルドの影響
KB5066835は、Windows 11 Version 24H2/25H2およびWindows Server 2025向けの月例セキュリティ累積更新プログラムとしてリリースされました。このアップデートが適用された結果、以下のOSビルド環境で不具合が確認されています。
- Windows 11 Version 24H2: OSビルド 26100.6899
- Windows 11 Version 25H2: OSビルド 26200.6899
2. USBドライバ初期化順序の問題(技術的側面)
Microsoftの公式な言及や専門家の分析に基づくと、この問題は「USBデバイスドライバの初期化順序に問題がある」ことに起因しており、WinREの特定のブート構成において、USB入力デバイスに必要なドライバの読み込みがスキップされるか、初期化に失敗していると推定されています。
💡 ドライバ初期化順序は「警備員のチェックリスト」
WinRE起動時、システムは最小限のドライバ(USBスタック)を特定の順序でチェックし、ロードします。これは、建物(WinRE)に入る警備員(システム)が持つ「必須持ち物チェックリスト」のようなものです。KB5066835は、このチェックリストの項目順を誤らせた結果、警備員が「マウスとキーボードという必須の道具」を玄関で取り上げ忘れる(読み込みがスキップされる)というバグを引き起こしました。
特に、レガシーなPS/2ポートを持たず、USB 3.0/3.1コネクタに完全に依存する最新のPC環境では、WinREがUSB入力に対応するドライバを初期化できないため、操作不能に陥ります。
WinRE起動
↓
USBドライバスタック初期化(必須)
↓
KB5066835適用後:初期化順序の異常が発生
↓
USB入力デバイスの読み込みがスキップされ、操作不能に
3. KB5067039(隠れた更新)の関与
コミュニティの専門家による調査では、KB5066835と同時に適用された隠れた更新プログラム(KB5067039)が、WinREイメージ内のUSBドライバに直接影響を与えている可能性が指摘されています。
WinRE操作不能はシステム復旧にどれほど深刻な影響を与える?
WinRE機能の無効化は、システム復旧能力の致命的な喪失を意味します。回復画面自体は表示されるものの、操作ができず、システム修復の道が閉ざされます。
1. 復旧機能の無効化リスト
WinREで入力が失われることにより、以下のすべての復旧オプションが操作不能となり、障害復旧作業が全面的に停止します。
- スタートアップ修復: 起動しなくなったWindowsのスタートアップ情報の自動修復。
- システムの復元: 以前の状態へのシステムロールバック。
- 更新プログラムのアンインストール: 問題のある更新プログラムの削除。
- セーフモード起動(スタートアップ設定): 診断のためのセーフモード選択。
- コマンドプロンプトアクセス: DISM、CHKDSK、レジストリ編集など、高度な修復コマンドの実行。
2. BitLocker環境での致命的影響
BitLockerでドライブが暗号化されている環境では、システム障害により自動的にWinREに移行した場合、BitLocker回復キーの入力が必須となります。キーボードが動作しない状況では、この回復キーの入力が物理的に不可能となり、デバイスはシステムから完全にロックアウトされます。
BitLocker環境のリスク
回復キーの入力ができず、システムロックアウトに直結。企業IT管理者にとって極めて深刻なダウンタイムイベントとなる。
一般ユーザーのリスク
OSが起動しない場合、自動的にWinREに誘導されるが、修復できず「完全に詰んだ」状態に陥る。初期化も不可能。
3. その他の深刻な副作用(複合的影響)
KB5066835はWinREの問題だけでなく、OSの他の安定性にも影響を与えています。
- IIS/ローカルホスト接続不能: HTTP.sysに依存するサーバー側アプリケーションで受信接続の問題が発生。
- スマートカード認証エラー: Windows暗号化サービスのセキュリティ強化に関連し、スマートカード認証に問題が発生。
- エクスプローラーのプレビュー不具合: ファイルエクスプローラーでOffice/PDFファイルのプレビューが停止または空白化。
MicrosoftはKB5066835の致命的な不具合をどう認識している?
Microsoftはこの重大な不具合を公式に認知し、緊急対応を進めています。
- 10月17日: WinRE入力不具合を公式に認知。Microsoftが「Windows Recovery Environment (WinRE) で USB マウスとキーボードが動作しない」ことを「確認済み」としてリストに追加。
- 近日中: 修正プログラムのリリース予定。Microsoftは現在、修正プログラム(パッチ)を準備中。「今後数日中(in the coming days)」にリリースされる見込み。
Microsoftは、このWinRE入力不具合を緊急優先度(Critical Priority)として扱っており、修正プログラムは今後のWindows更新プログラムに含まれて提供される予定です。
公式修正を待つ間、システムの安定性を保つための回避策はある?
公式の修正プログラムがリリースされるまでの間、IT管理者や上級ユーザーは、以下の技術的回避策を利用してシステムの復旧可能性を確保する必要があります。
1. KB5066835のアンインストール手順(OS起動が可能な場合)
Windowsが正常に起動できる状態であれば、KB5066835をアンインストールすることで、WinREでの入力機能を一時的に回復できます。
ステップ1: 設定 > Windows Updateで更新を一時停止
↓
ステップ2: 設定 > 更新の履歴 > 更新プログラムをアンインストールへ移動
↓
ステップ3: 「KB5066835」を探し、アンインストールを実行し再起動
⚠️ アンインストールはセキュリティポスチャの低下を伴う
この措置は、KB5066835に含まれるセキュリティ修正を失うことを意味します。アンインストールは、修正版がリリースされるまでの一時的なリスク許容措置であり、セキュリティリスクが残るため、修正版がリリースされるまでWinREに入る操作を控えることが推奨されます。
2. 代替メディアとレガシーデバイスの使用
- Windowsインストールメディアからの起動: Microsoftのメディア作成ツールで作成したWindows 11インストール用USBドライブから起動し、「コンピューターの修復」を選択することで、内蔵WinREとは異なる回復環境がロードされ、修復ツールを利用可能となります。
- PS/2接続デバイスの使用: この不具合はUSBデバイスのみに影響するため、PS/2ポートを持つPCでは、PS/2接続のキーボードやマウス、またはUSB-PS/2変換アダプターを利用することで、WinREを操作できる可能性があります。
3. WinREイメージ置換(上級者向け:DISM活用)
WinRE機能を内蔵ドライブで即座に回復させたい上級者向けには、正常なWindows 11 ISOファイルから動作するwinre.wimを抽出し、現在のシステムドライブ内の破損したイメージと置き換える方法がコミュニティで提案されています。DISMコマンドを用いたこのプロセスには専門知識が必要であり、システムファイルに関わるため、実行前に必ずシステムバックアップを取得し、自己責任で実施してください。
IT管理者は将来のアップデートリスクにどう備えるべきか?
KB5066835によって露呈したWinREの脆弱性は、更新プログラムの信頼性に関する警告です。IT管理者は、システムの安定性を維持しつつ、今後のアップデートリスクを軽減するために以下の対策を講じる必要があります。
1. 回復メディアの作成と再生成の標準化
ステップ1: Windowsが正常なうちに32GB以上のUSB回復ドライブを作成
↓
ステップ2: 回復ドライブを本体と別に安全に保管
↓
ステップ3: 大型アップデート後や年に一度は回復ドライブを定期的に作り直す
2. BitLocker回復キーの厳格な管理
BitLockerが有効な環境では、回復キーの管理が最優先事項です。回復キーは、デバイス本体とは別の場所(印刷物、クラウド、または別のUSBメモリー)に安全かつ容易にアクセスできる状態で保管する必要があります。
💡 バックアップは「二重の鍵とマスターキー」
システムの復旧に備えることは、セキュリティの高い金庫(PC)を持つことに似ています。回復ドライブは「複製した金庫の鍵」ですが、BitLockerで暗号化されている場合、その鍵だけでは開かず、BitLocker回復キーという「マスターキー」が必要です。これらの鍵は、金庫の中ではなく、別々の安全な場所に保管して初めて、真にシステムを守ることができます。
3. バックアップ戦略の強化
回復ドライブによる復旧はファイル削除(初期化)を伴うリスクがあるため、データ保護のためのバックアップ戦略を強化します。重要な文書ファイルや画像などは、USBメモリー、スティックSSD、またはクラウドストレージにこまめにバックアップを取ることを標準化します。
まとめ:IT管理者向け緊急チェックリスト
KB5066835によって露呈したWinREの脆弱性は、システムの「自己修復機能」がOSアップデートの盲点となるという重要な教訓を示しました。IT管理者は以下の緊急チェックリストに基づき、直ちに対応を実施してください。
WinRE USB不具合対応 緊急チェックリスト
- KB5066835の適用保留:WSUSなどで修正パッチがリリースされるまで適用をブロック(🔴高)。
- 外部回復メディアの準備:最新のWindows 11インストールメディアまたは回復ドライブを作成し、保管(🔴高)。
- BitLockerキーの確認:全ての暗号化デバイスの回復キーが安全な場所に保管されていることを確認(🔴高)。
- PS/2互換デバイスの検討:緊急時の応急的な入力手段としてPS/2互換デバイスの確保を検討(🟠中)。
- 公式情報監視:Microsoftのリリースヘルスダッシュボードを監視し、修正パッチのリリースを待つ(🟠中)。
セキュリティ更新プログラムの信頼性を守るためにも、管理者による事前の防御策の徹底が、システムの安定性を維持する鍵となります。
