BitLockerを突破するWindowsゼロデイ「YellowKey」—MicrosoftがCVE-2026-45585の緩和策を公開

Microsoftは2026年5月20日、Windows BitLockerを回避してドライブへのアクセスを可能にするゼロデイ脆弱性「YellowKey」（CVE-2026-45585）の緩和策を公開した。パッチリリース前ながら、実際の攻撃への悪用に備えた暫定対応として企業・個人への適用が推奨されている。

YellowKeyとは何か：BitLockerを「抜け道」で突破する手口

YellowKeyは、「Nightmare Eclipse」を名乗る匿名のセキュリティ研究者が先週公開したゼロデイ脆弱性だ。攻撃者はUSBドライブまたはEFIパーティション上に特別に細工された「FsTx」ファイルを配置し、Windows回復環境（WinRE）に再起動後、CTRLキーを押し続けるだけでBitLockerで保護されたストレージへの無制限アクセスを持つシェルを起動できるという。

この手法の厄介な点は、BitLocker自体の暗号アルゴリズムを破るのではなく、WinRE起動時の処理フロー（具体的にはTransactional NTFSの自動リカバリユーティリティ「autofstx.exe」）を悪用して保護をすり抜けるところにある。つまり、暗号強度の問題ではなく起動プロセスの設計上の盲点を突く攻撃だ。

一連のゼロデイ公開：研究者とMSRCの対立が背景

YellowKeyは単発の公開ではない。Nightmare Eclipseはここ数週間で以下の複数の脆弱性を連続して公開している：

• BlueHammer（CVE-2026-33825）：ローカル権限昇格（LPE）。すでに実際の攻撃で悪用中
• RedSun：同じくLPE系。すでに攻撃悪用が確認
• GreenPlasma：SYSTEMシェルを取得できる権限昇格
• UnDefend：標準ユーザー権限からMicrosoft Defenderの定義ファイル更新をブロックできる脆弱性

研究者は、これらの公開が「過去にMSRC（Microsoft Security Response Center）へ報告した脆弱性の開示プロセスへの抗議」であると明言している。協調的脆弱性開示（CVD）のプロセスへの不満が引き金となった「報復型公開」とも言える事態だ。

Microsoftが示した具体的な緩和策

MicrosoftはCVE-2026-45585のアドバイザリにて、パッチ提供前の暫定対応として以下の2系統の措置を推奨している。

対策①：autofstx.exeの自動起動を無効化

WindowsのSession Managerレジストリキー内、BootExecute（REG_MULTI_SZ値）からautofstx.exeのエントリを削除する。これにより、WinRE起動時にwinpeshl.iniを削除するTransactional NTFSのリプレイ処理が実行されなくなり、攻撃の起点が断たれる。

併せて、CVE-2026-33825のアドバイザリに記載された手順に従い、WinREのBitLocker信頼関係を再確立する必要がある。

対策②：BitLockerの認証モードを「TPM+PIN」へ移行

現在「TPMのみ」モードでBitLockerを運用している場合、「TPM+PIN」モードへ変更することで、起動時に事前認証PINが必要となりYellowKey攻撃を実質的にブロックできる。

設定方法は以下の3通りが用意されている：

• PowerShell
• コマンドライン
• コントロールパネル

まだ暗号化していないデバイスについては、Microsoft Intuneまたはグループポリシー経由で「起動時に追加の認証を要求する」オプションを有効化し、「TPM起動PINの構成」を「TPMと共に起動PINを要求する」に設定する。

実務への影響：日本のエンジニア・IT管理者がすべきこと

即時確認すべき環境として優先度が高いのは以下のケースだ：

• 物理アクセスが比較的容易な環境（共有スペースのPC、展示用端末、出張・テレワーク用ノートPC）
• BitLockerをTPMのみで運用している企業端末：エンドポイント管理ツール（IntuneやSCCM）でTPM+PIN移行の展開計画を立てる
• WinREが有効になっているサーバー：特に物理サーバーや共用ホスティング環境では確認が必要

Intuneを利用している環境では、エンドポイントセキュリティポリシーの「BitLocker」設定から一括展開が可能だ。まず小規模パイロットで動作を確認してからロールアウトする手順を踏むと安全だ。

なお、BlueHammerとRedSunはすでに実際の攻撃で使われていることも忘れてはならない。YellowKeyの緩和策適用と並行して、これらへのパッチ適用状況も合わせて確認しておきたい。

筆者の見解

今回の一連の出来事は、脆弱性開示の難しさを改めて突きつけている。研究者とベンダーの「協調的開示」は理想論として成立するが、その運用がどちらかにとって不誠実だと感じられれば、今回のような形で崩壊する。MSRCのプロセスに何らかの問題があったのかどうか、現時点では外部からは判断しかねる部分もあるが、これだけの規模で報復的な公開が続いているという事実は、Microsoftには真剣に受け止めてほしいところだ。

技術的な側面で言えば、TPMのみのBitLocker運用がいかに脆弱な前提に立っているかを、今回の脆弱性は鮮明に示している。物理アクセスさえできれば保護が崩れる構成は、ゼロトラストの観点からもアウトだ。「ドライブを暗号化しているから安心」ではなく、「誰がどのタイミングで認証するか」まで設計して初めてセキュリティが成立する。TPM+PINへの移行は今すぐ着手すべき作業であり、パッチ待ちの間の一時的な措置ではなく、恒久的なセキュリティ向上として位置づけるべきだと思う。

MicrosoftがCVEを発行して緩和策を素早く公開したこと自体は評価したい。正式パッチのリリースも迅速に行われることを期待したい。

出典: この記事は Microsoft shares mitigation for YellowKey Windows zero-day の内容をもとに、筆者の見解を加えて独自に執筆したものです。