Windows11の更新、25H2が何度やっても不成功で「安心してください、元の状態に戻します」となって、毎回4-5時間を無駄にしています。

もしかしたらBIOS更新しないといけないのかなと、BIOSを更新したら（CPUはAMD、マザーボードはMSI B450）Windowsログインで従来のパスキーが使えなくなりました。

パスキーの変更をしなければならないんだけどログインする必要があるとｗ

え？（半笑い）

幸いパスキー以前のログイン方法がパスワードだったのでログイン方法をパスワードに変更してログイン。パスキーを設定しなおしました。

ところが、他にもYahoo!とかGoogleのログインもパスキーだったものが全部パスキーでログインできなくなってた(^^;)

不便すぎる、それなら最初からパスワードの方がいい。

ChatGPTに聞いてみた。

1 MSI環境で起きたことの整理

今回の現象は、BIOS更新によってTPMまわりが再構成されたことが原因。

対象は
・MSI 製マザーボード
・CPUは AMD

AMD環境では物理TPMではなく「fTPM（firmware TPM）」が使われている。

－－－

2 BIOS更新で実際に変わる部分

MSIのAMDマザーでは、BIOS更新時に以下が起きることがある。

・AGESA更新（AMD内部コード更新）
・PSP（Platform Security Processor）更新
・fTPM内部鍵の再生成
・Secure Boot鍵の再構築

このときTPMの「内部識別情報」が変わる。

つまりPCの”暗号的な身分証明書”が作り直される。

－－－

3 なぜPINエラーになったのか

Windows HelloのPINは、

・TPM内部の秘密鍵
・そのPC固有の暗号ID

に紐付いている。

BIOS更新でfTPM鍵が変わると、

・以前の鍵と一致しない
・PINが無効扱いになる

結果として「PINエラー」になる。

これは異常ではなく”仕様通りの動作”。

－－－

4 なぜパスワード入力が必要だったか

PINやパスキーは
”このPC固有のTPMに依存した認証”

一方パスワードは
”アカウント側（クラウド）認証”

今回、

・TPM信頼が失われた
・デバイスが再登録扱いになった

ため、本人確認としてパスワード入力が求められた。

これは Windows 11 の正常なセキュリティ挙動。

－－－

5 セキュリティ的に問題はあるか

問題なし。

むしろ：

・古いTPM鍵が破棄された
・新しい鍵で再構築された

ので安全側の動作。

ハッキングされたわけでも不正侵入でもない。

－－－

6 今後また起きる条件

次の操作で再発する可能性あり。

・BIOS更新
・CMOSクリア
・fTPM無効→有効切替
・「Clear TPM」実行

これを行うと再び”別のPC扱い”になる。

－－－

7 結論

今回変更されたのは

・AMD fTPM内部鍵
・TPM所有情報
・デバイス暗号ID

その結果

・PIN無効
・パスキー再登録
・パスワード再認証

が発生した。

（ChatGPT）

デバイスと紐づいているので安全性は高いけど、それぞれのデバイスでログイン時にセキュリティー・チェックを要求してくるサービスごとにもパスキーを設定し直さなければならないので面倒ですね。