Microsoft BitLockerで保護されたドライブを回復キーなしにUSBメモリ上のファイルだけでアクセスできる脆弱性が明らかに

MicrosoftのBitLockerで暗号化されたドライブを回避できるとされるゼロデイ脆弱(ぜいじゃく)性「YellowKey」が、セキュリティ研究者であるNightmare-Eclipse氏によって公開されました。あわせて、SYSTEM権限への昇格につながる可能性がある別のゼロデイ脆弱性「GreenPlasma」も明らかになっています。

GitHub - Nightmare-Eclipse/YellowKey: YellowKey Bitlocker Bypass Vulnerability · GitHub
https://github.com/Nightmare-Eclipse/YellowKey

BitLocker bypass zero-day exploit released by disgruntled researcher​ | Cybernews
https://cybernews.com/security/researcher-releases-bitlocker-bypass-and-privilege-escalation-exploit/

Microsoft BitLocker-protected drives can now be opened with just some files on a USB stick — YellowKey zero-day exploit demonstrates an apparent backdoor | Tom's Hardware
https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoor

Nightmare-Eclipse氏は2026年4月にもWindows Defender関連の権限昇格エクスプロイトを2件公開しており、今回が3度目の公開となります。今回の「YellowKey」は、BitLocker保護が有効なWindows端末に物理的にアクセスし、Windows回復環境を悪用することで、保護されたボリュームへ制限なくアクセスできる可能性があるとのこと。

Yellow Keyは、攻撃者が対象PCに物理的にアクセスし、Windows回復環境を起動した際に、USB上に置かれた特定のファイル群が処理を呼び出すことで、BitLockerの回復キー入力なしに保護ボリュームへアクセスできるコマンドラインを開けてしまうという脆弱性。つまり、今回の脆弱性は「暗号を数学的に破る」ものではなく、「対象端末自身の回復環境を悪用し、保護されたドライブがアクセス可能な状態になってしまう」というわけです。

影響を受けるのはWindows 11、Windows Server 2022、Windows Server 2025で、Windows 10は対象外だとされています。Nightmare-Eclipse氏はこの問題に関係するコンポーネントがWindows回復環境内に存在し、通常のWindows環境にある同名コンポーネントとは挙動が異なるとして、「バックドアのように感じる」と主張しています。

テクノロジーメディアのTom's Hardwareは、YellowKeyの動作を自社で確認したとし、BitLockerで保護されたドライブにキー入力なしでアクセスできたと報じています。また、エクスプロイト実行後に関連ファイルがUSBメモリから消える点も含め、単なる脆弱性以上に不自然な挙動だと指摘しています。

そして、もうひとつのゼロデイ脆弱性「GreenPlasma」は、Windowsの文字入力関連プロセスであるCTFMON.exeを標的にした権限昇格の脆弱性とされています。セキュリティ系ニュースサイトのCybernewsによると、公開された概念実証は完全なSYSTEMシェルを得る最後の要素を欠いた未完成版ではあるものの、仕組みを理解すれば完全な権限昇格に発展させられる可能性が示唆されているとのこと。

Tom's Hardwareは、BitLockerがWindows 11環境で広く使われているため、今回発見された脆弱性の影響は小さくないと指摘。BitLockerはTPMに鍵があるため、別のPCへドライブを移して直ちに開けるわけではないとしつつ、端末そのものを盗まれた場合には深刻なリスクになり得ると説明しています。

Nightmare-Eclipse氏はMicrosoftとの対立を理由に、今後も脆弱性の公開を続ける可能性を示しており、「次のPatch Tuesdayは大きなサプライズになる」と警告しています。