BitLockerゼロデイ「YellowKey（CVE‑2026‑45585）」の仕組みと対策

公開されたPoC（概念実証）では、攻撃は Windows Recovery Environment（WinRE） の挙動を利用します。WinREはWindowsが起動しない場合の修復やトラブルシューティングに使われる標準のリカバリ環境です。

攻撃の大まかな流れは次の通りです。

• 攻撃者が 特殊に細工されたFsTx（Transactional NTFS）ファイル をUSBドライブやEFIパーティションに配置する。
• 対象PCを Windows Recovery Environment（WinRE） で起動する。
• WinREが復旧処理の中でそのFsTxファイルを処理すると、特定の挙動が引き起こされる。
• 結果として システムのストレージへアクセス可能なシェル が起動する場合がある。

この状態では、通常は暗号化されているはずの BitLocker保護ボリュームにアクセスできる可能性 があると報告されています。

物理アクセス攻撃が現実的な理由

「物理アクセスが必要」という条件は一見制限が大きいように見えますが、実際のセキュリティインシデントでは珍しくありません。例えば次のようなケースです。

• ノートPCの盗難・紛失
• 出張や検査時に一時的に端末を預ける状況
• 無人のオフィス端末
• 支店・店舗・キオスク端末

特に TPMのみで自動アンロックするBitLocker構成 の場合、起動時にユーザー入力が不要なため、攻撃の成功確率が高くなる可能性があります。

Microsoftが公開した暫定的な緩和策

脆弱性公開時点では、Microsoftは問題を認識しているものの 完全な修正パッチはまだ提供されていません。その代わり、管理者向けの緩和策が公開されています。

1. WinREのBootExecuteからautofstx.exeを削除

Microsoftは、WinREイメージのBootExecuteレジストリ値から autofstx.exe を削除することを推奨しています。これにより、攻撃で利用されるTransactional NTFSのリプレイ処理を防ぐことができます。

2. BitLockerをTPM＋PIN構成に変更

TPMのみの自動解除ではなく、TPM＋PIN認証を設定することが推奨されています。起動時にユーザー入力のPINが必要になるため、物理アクセスだけではディスクを解読できなくなります。

3. ブートとリカバリ環境のセキュリティ強化

さらに、次のような防御策も重要です。

• USBなど外部メディアからの起動を制限
• UEFI/BIOS設定に強力な管理者パスワードを設定
• Secure Bootを有効に維持
• WinREやブート設定の変更を監視

これらの対策により、攻撃者がリカバリ環境にアクセスする可能性を低減できます。

YellowKeyを公開した研究者

この脆弱性は Chaotic Eclipse（別名 Nightmare‑Eclipse） というハンドルネームのセキュリティ研究者によって公開されました。

研究者はこの手法の PoCコードも公開しており、BitLocker回避の仕組みを説明しています。

同研究者はこのほかにも、Microsoft関連コンポーネントを対象とした複数のゼロデイを公開しており、Windowsのセキュリティ研究コミュニティで注目されています。

セキュリティチームが監視すべき兆候

完全な修正パッチが提供されるまで、組織は次のような異常を監視することが推奨されます。

• 予期しない Windows Recovery Environment起動
• WinREイメージや BootExecute設定の変更
• EFIパーティションやブート順序の変更
• 不審な USBブート試行
• BitLocker保護設定や TPM構成の変更

これらは、ブートチェーンやリカバリ環境が改ざんされている可能性を示す兆候です。

フルディスク暗号化の限界

YellowKeyが示しているのは、重要なセキュリティ原則です。

フルディスク暗号化だけでは、ブートやリカバリチェーンが攻撃者に操作された場合の安全性を完全には保証できないという点です。

ブートローダー、ファームウェア、リカバリ環境はすべて同じ信頼境界にあり、どこか1つでも弱点があれば暗号化の保護が崩れる可能性があります。

BitLockerを使用する組織では、パッチが公開されるまでの間、プリブート認証、ファームウェア保護、厳格なブート制御を組み合わせた多層防御が重要になります。