Windows 11に「YellowKey」「GreenPlasma」エクスプロイト公開―BitLockerに裏口疑惑、脅威アクター「Nightmare-Eclipse」が投下

脅威アクター「Nightmare-Eclipse」が、Windows 11を標的にした2つのエクスプロイト「YellowKey」と「GreenPlasma」を公開した。YellowKeyはBitLocker暗号化の根幹に関わる脆弱性を突くとされ、Microsoftがデータアクセスのための"裏口"を残しているのではないかという疑惑が再燃している。GreenPlasmaはシステムのセキュリティ機構そのものを脅かす別の欠陥を利用するエクスプロイトだ。

YellowKey：BitLockerに"裏口"はあるのか

YellowKeyは、Windows 11が採用するフルディスク暗号化機能「BitLocker」に関連する脆弱性を悪用するエクスプロイトだ。BitLockerは企業・政府機関・医療機関を問わず広く採用されており、その根幹に問題が存在するとすれば影響範囲は非常に広い。

今回公開された情報によると、YellowKeyはBitLockerの暗号鍵管理プロセスを標的とし、正規の認証プロセスを経ることなく暗号化されたドライブへのアクセスを可能にする可能性があるとされる。かつてから一部のセキュリティ研究者が「法執行機関向けのアクセス手段がBitLockerに組み込まれているのではないか」と指摘してきたが、今回のエクスプロイト公開はその議論を再燃させることになった。

現時点でMicrosoftが意図的なバックドアを実装しているという確たる証拠は公表されていないが、脆弱性の存在自体がBitLocker単独に依存したセキュリティ設計を根本から問い直す契機となりうる。

GreenPlasma：システムセキュリティを脅かす第2の欠陥

GreenPlasmaはBitLockerとは独立した、Windows 11のシステムセキュリティ機構に関わる脆弱性を利用するエクスプロイトだ。攻撃者がシステムレベルの権限を取得したり、Windows 11のセキュリティ境界を突破したりすることを可能にする可能性が示唆されている。

Microsoftはここ数年、Smart App ControlやKernel-mode Hardware-enforced Stack Protectionといったカーネルレベルの防御機構を積極的に強化してきた。GreenPlasmaがこれらの防御層のどこを突くのかは、今後の詳細情報の公開を待つ必要があるが、Windows 11のセキュリティ強化の取り組みを部分的に無効化しうる点は見逃せない。

実務への影響

BitLocker依存の暗号化戦略を見直す

企業のIT部門がまず確認すべきは、BitLockerが「唯一の暗号化手段」になっていないかどうかだ。多層防御（Defense in Depth）の観点から、BitLockerは「ディスク紛失・盗難対策」として位置づけ、ネットワーク越しの不正アクセスに対しては別の認証・認可レイヤーで守る構成が求められる。

具体的なアクションとして以下を推奨する：

• TPMピン設定の確認: BitLockerをTPMのみに依存している場合、PINを追加することで物理アクセスによるリスクを軽減できる
• Microsoft Entra ID + Intuneによる鍵管理: BitLocker回復キーをEntra IDに保管・管理する構成を採り、鍵のライフサイクルを可視化する
• FIDO2/パスキーへの移行検討: 認証そのものを強化し、鍵に頼らないアーキテクチャへの転換を視野に入れる

パッチ適用の優先度

現時点でMicrosoftから公式のパッチが提供されているかは未確認だが、Windows Updateを最新に保つことが基本だ。YellowKeyおよびGreenPlasmaに対応するセキュリティ更新がリリースされた際は、通常のパッチ検証サイクルを短縮してでも迅速な適用を推奨する。Neowinのような信頼性の高いメディアや、MicrosoftのMSRC（Microsoft Security Response Center）ブログを定期的にチェックしておきたい。

脅威インテリジェンスの継続監視

「Nightmare-Eclipse」のような脅威アクターの動向は、Microsoft Defender脅威インテリジェンスや各種SIEMソリューションのウォッチリストに追加しておくことが望ましい。実証コード（PoC）が広く出回る前に検知シグネチャを取り込む体制を整えておけば、被害を最小化できる。

筆者の見解

セキュリティ系のエクスプロイト公開ニュースは、実証コードが出回るまでの段階では情報の確度を慎重に見極める必要がある。過剰反応も禁物だが、「自分の環境には関係ない」と高をくくるのも危険という、毎回頭を悩ませるカテゴリだ。

BitLockerのバックドア疑惑については、Microsoftにはきちんとした説明責任を果たしてほしい。BitLockerはWindowsエコシステム全体の信頼を支える基盤のひとつであり、疑惑が生じた段階での迅速な情報開示と技術的な検証プロセスの公開が求められる。これだけの規模のインフラを持つベンダーとしてその能力があるのだから、曖昧な対応で信頼を損ねることは本当にもったいない。

一方で、今回の件がゼロトラストへの移行を本気で考えるきっかけになれば、それ自体はポジティブな副作用だ。「境界の内側は安全」という前提に立ち、BitLockerを最後の砦にしてきた運用設計は、もともとリスクを抱えていた。デバイス・ユーザー・アプリケーションそれぞれを常に検証するアーキテクチャへの転換を、今こそ本気で進めるべきタイミングではないだろうか。

出典: この記事は Nightmare-Eclipse drops YellowKey and GreenPlasma exploits for Windows 11 の内容をもとに、筆者の見解を加えて独自に執筆したものです。