MicrosoftはWindowsの「BitLocker」に、物理アクセス可能な攻撃者がUSBフラッシュドライブを使ってTPM単体モードの保護を回避できる脆弱性「YellowKey」(CVE-2026-45585)が存在することを公表した。Windows 11およびWindows Server 2025向けのパッチはすでにリリース済みだが、Proof of Concept(PoC)コードが先行してGitHubに公開された状態であり、早急な対応が求められる。
YellowKeyとは何か
CVE-2026-45585(通称「YellowKey」)は、BitLockerのセキュリティ機能を物理的に回避できる脆弱性だ。攻撃者が対象デバイスに物理的にアクセスできる状況で、USBフラッシュドライブを使ってTPM(Trusted Platform Module)のみで保護されたBitLocker暗号化を解除できる。
CVSSスコアはバージョン3.xで6.8(MEDIUM)。攻撃ベクターが物理(AV:P)であることが評価を抑えているが、ノートPCの盗難・紛失シナリオを想定すると、体感リスクは数字以上に大きい。
影響範囲と攻撃が成立する条件
影響を受けるOS:
- Windows 11(全エディション)
- Windows Server 2025
攻撃が成立する条件:
- 攻撃者がデバイスに物理的にアクセスできる
- BitLockerが「TPMのみ」モードで設定されている
TPM+PINを使っていれば安全
Microsoftの公式アドバイザリは明確だ。「TPM+PIN」構成を使用している場合、この脆弱性は悪用できない。対策の結論はここに集約される。
PoC先行公開という問題
本来、脆弱性の技術詳細は「協調的開示(Coordinated Disclosure)」の慣行に従い、ベンダーがパッチをリリースした後に公表するのが原則だ。しかし今回、GitHubでPoCコードがパッチより先に公開されてしまった。
この事態を受けてMicrosoftは異例の対応を取った。パッチリリース前にCVEを発行し、緩和策ガイダンスを先出しすることで、エンドユーザーが自衛できる情報を速やかに提供したのだ。
実務への対応——今すぐやること
1. BitLocker設定の確認
組織内デバイスが「TPMのみ」か「TPM+PIN」かを確認する。グループポリシーで一括確認・変更が可能だ。
出典: この記事は CVE-2026-45585 (YellowKey): BitLocker Security Feature Bypass Vulnerability の内容をもとに、筆者の見解を加えて独自に執筆したものです。