Windows 11の既定設定で有効化されているBitLockerを、物理アクセスから突破できるとされるゼロデイ・エクスプロイト「YellowKey」が公開されたと報じられました。盗難に遭ったノートPCを手にした攻撃者が、USBメモリを挿してCtrlキーを押し続けるだけで、暗号化されていたはずのドライブ内のファイルにアクセスできてしまう——というのが、Ars Technicaが報じた内容の要旨とされています。紛失・盗難に遭ったPCのデータが事実上保護されない可能性があり、企業のIT管理者は早急な対応判断が必要です。
なお、本記事の内容のうちエクスプロイト名・研究者名・技術的詳細・Microsoftのコメント等は、Ars Technicaの報道に基づく記述です。詳細・正確な文言については必ず出典元の原文をご確認ください。
USBを挿してCtrlキー長押し——たったこれだけでBitLockerが破られるとされる
YellowKeyは、Nightmare-Eclipseと名乗る研究者がGitHub上で公開したとされるエクスプロイトです。BitLockerはMicrosoftが提供するフルボリューム暗号化機能で、復号鍵はTPM(Trusted Platform Module)と呼ばれるセキュアなハードウェアに保存される仕組みです。政府機関と契約する組織を含め、多くの組織にとってBitLockerは必須の保護機構となっています。
Ars Technicaの報道によれば、YellowKeyはこのBitLockerを、Windows 11の既定構成においてバイパスするとされます。攻撃手順は驚くほど単純とされています。
- Nightmare-Eclipseの公開ページからカスタム作成された「FsTx」フォルダをNTFSまたはFATでフォーマットしたUSBドライブにコピーする
- そのUSBドライブをBitLockerで保護された対象デバイスに接続する
- デバイスを起動し、即座に[Ctrl]キーを押し続ける
- Windows回復環境(WinRE)に入る
通常のWindows回復フローではBitLocker回復キーの入力が求められますが、YellowKeyはこの保護をすり抜け、ドライブ全体への完全なアクセス権を持つコマンドプロンプト(CMD.EXE)を表示するとされます。攻撃者はファイルのコピー・改変・削除がすべて可能になるとArs Technicaは伝えています。複数の研究者がエクスプロイトが記述通り動作することを確認したと報じられています(具体的な検証者名や所属の詳細は出典元を参照してください)。
鍵は「FsTx」フォルダ——Transactional NTFSとの関連が指摘される
技術的な仕組みに興味がない読者は、次セクションの「影響範囲と暫定対策」へお進みください。
エクスプロイトの中核は、カスタム作成されたFsTxフォルダにあるとされます。このフォルダの正確な動作原理は完全には解明されていないと報じられています。Ars Technicaによれば、研究者の一人はMicrosoftが「Transactional NTFS」と呼ぶ機能との関連を指摘しているとされます。
報道によれば、関連DLLのコードを解析すると、\System Volume Information\FsTxを明示的に参照している箇所が確認できるといいます。YellowKeyのFsTxディレクトリには、\??\C:\Windows\win.iniおよび\??\X:\Windows\System32\winpeshl.iniへのパスが含まれており、後者はWinRE起動時の動作を制御するファイルだとされます。
通常のWinREセッションではX:\Windows\System32\winpeshl.iniが回復環境(recenv.exe)を起動しますが、YellowKey下ではUSBドライブ上のTransactional NTFSビットが別ドライブ(X:)のwinpeshl.iniを削除できているように見え、結果として回復環境ではなくBitLockerが解除された状態のcmd.exeプロンプトが現れる、という見立てが報じられています。TPMのみのBitLockerバイパス自体もさることながら、「あるボリュームが別ボリュームの内容を改変できる」事実そのものが脆弱性だ、との指摘もあるとされます。なお、引用の詳細な文言や正確な発言内容、検証者の所属等については、出典元を参照してください。
影響範囲と暫定対策——TPMのみ構成は今すぐ見直しを
このバイパスが成立するのは、Windows 11の既定構成、すなわち復号鍵をTPMにのみ保存する「TPM-only」モードだと報じられています。Ars Technicaによれば、このTPMのみの構成は以前から多くのセキュリティ専門家から不十分と指摘されてきたもので、TPMから鍵を取り出す前にPIN入力を必須とする運用が推奨されてきたとのことです。
| 項目 | 既定(TPMのみ) | 推奨(TPM+PIN) |
|---|---|---|
| 復号鍵の保存先 | TPM | TPM(PIN入力後に取り出し) |
| 物理アクセス攻撃への耐性 | 低(YellowKeyで突破可能と報じられる) | 高 |
| ユーザー操作 | 不要 | 起動時にPIN入力 |
研究者の一部はYellowKey攻撃への対策としてBIOSパスワードロックの有効化を推奨しているとされますが、Ars Technicaは「BIOSパスワードロック自体は良いプラクティスだが、この特定のエクスプロイトに対してどの程度防御になるかは不明」とも指摘しています。
Ars Technicaによれば、Microsoftの広報担当者はメールで送られた質問への回答を拒否し、「調査中」とのみコメントしたと報じられています。報じられている内容を前提にすれば、現時点でBitLockerは本来期待される保護を提供していない、つまりBitLockerが有効化されていても、盗難・紛失したデバイスのデータには引き続きアクセスされ得るというのが現実だとされます。
企業のIT管理者にとっては、TPMのみ構成のWindows 11デバイスを運用している場合、PIN必須構成への切り替えを早急に検討すべき更新案件と言えるでしょう。個人ユーザーも、機密データを扱うノートPCを持ち歩くなら、グループポリシーまたはmanage-bdeコマンドでPIN要求を有効化しておくのが妥当な対応です(具体的なコマンド構文はMicrosoft公式ドキュメントを参照してください)。Microsoftからのパッチが提供されるまで、TPMのみ構成は実質的に「無防備」と認識しておくべきでしょう。
同時公開された「GreenPlasma」と続く一連のゼロデイ公開キャンペーン
YellowKeyは単発の公開ではなく、同研究者によるMicrosoftへの一連の対抗的公開の一部として位置付けられています。第2の脆弱性「GreenPlasma」は、Windows CTFMONの任意セクション作成に起因する特権昇格で、SYSTEM権限のシェルを取得できる可能性が指摘されています。公開されたPoCは不完全で、完全なSYSTEMシェル取得に必要なコードを欠いていますが、現状でも非特権ユーザーがSYSTEMの書き込み可能なディレクトリオブジェクトに任意のメモリセクションオブジェクトを作成でき、特権サービスやドライバの操作につながる恐れがあるとされています。
研究者の活動履歴も注目されています。
- YellowKeyとGreenPlasmaは今年公開された5件目のMicrosoftゼロデイで、これまでにBlueHammer(CVE-2026-32201、4月にMicrosoftがパッチ提供)、RedSun、UnDefendも公開されています
- 2026年6月のPatch Tuesdayに合わせた「大きなサプライズ」と将来のRCE開示が示唆されており、いわゆる「dead man's switch」の存在も主張されています
TPM+PIN変種の主張と別系統のBitLocker攻撃「BitUnlocker」
YellowKeyの影響範囲と対策の限界について、いくつか補足すべき点があります。
| 項目 | 内容 |
|---|---|
| 影響OS | Windows 11、Windows Server 2022、Windows Server 2025 |
| 影響なし | Windows 10 |
| TPM+PIN | 研究者は動作する変種を持つと主張(PoC非公開) |
検証者JaGoTuによれば、TPM+PIN環境への攻撃成功はWinRE実装に依存するとされています。より踏み込んだ対策として、WinRE自体を reagentc で無効化すれば攻撃面を完全に除去できますが、回復モードによるトラブルシューティングができなくなるトレードオフがあります。
また、TPM-only構成を狙う攻撃はYellowKeyだけではありません。Intrinsecが2025年8月に公開した「BitUnlocker」は、CVE-2025-48804を悪用しSecure Bootポリシーのダウングレード攻撃により、5分未満でTPM-only BitLockerを解除できるとされています。BitLockerを取り巻く物理アクセス攻撃面は、複数の系統で並行して拡張されつつあります。
Q&A
Q. このエクスプロイトはリモートから悪用されますか? 報じられている内容によれば、いいえ。YellowKeyは攻撃者が対象デバイスに物理アクセスし、USBドライブを接続することが前提です。ネットワーク経由の遠隔攻撃ではありません。ただし、紛失・盗難デバイスに対しては極めて有効な攻撃となり得ます。
Q. BitLockerをPIN付き構成にしていれば安全ですか? 報じられている範囲では、本エクスプロイトはWindows 11の既定であるTPMのみ構成に対して成立するとされています。起動時にPIN入力を要求する構成であれば、TPMから鍵を取り出す段階で追加認証が必要となるため、同じ手口は通用しにくいと考えられます。ただしMicrosoftによる正式な修正が出るまでは、追加のBIOSパスワード設定など多層防御を講じるのが安全です。
Q. Microsoftからパッチは出ましたか? 報道時点ではパッチは提供されておらず、Microsoftは「調査中」とのみコメントしているとされます。それまでの間、TPMのみ構成は本来期待される保護を提供できない状態にある、と認識しておく必要があります。
