BitLocker「YellowKey」脆弱性について:現時点で分かっている事実関係と推奨される回避策
概要
Windowsのディスク暗号化機能であるBitLockerをめぐり、2026年5月中旬に「YellowKey」と呼ばれるバイパス手法の実証コードが公開されました。複数のセキュリティメディアおよび専門家の検証によれば、YellowKeyはWindows回復環境、すなわちWindows Recovery Environment(WinRE)の処理を悪用し、既定に近いTPMのみのBitLocker構成において、暗号化されたOSドライブへアクセスできる可能性があると報じられています。※1
本件は、リモートから大量に悪用されるタイプの脆弱性ではなく、攻撃者が対象端末に触れられる物理アクセスを前提とする点が重要です。一方で、ノートPC、持ち出し端末、共有端末、現場設置端末のように、紛失・盗難・一時的な持ち去りの可能性がある環境では、データ保護の前提を見直す必要があります。2026年5月17日時点で、YellowKeyに対するMicrosoftの個別CVE番号または専用の公式アドバイザリは確認できていません。したがって、現時点では公式修正を待つだけでなく、起動前認証や物理管理を含む防御策を前倒しで適用することが推奨されます。※3
MicrosoftのBitLocker公式文書では、TPMのみの構成について「ユーザー操作なしでドライブを解除できるため便利だが、追加認証を要求する方式より安全性は低い」と説明されています。※5
YellowKeyとは何か
YellowKeyは、Chaotic EclipseまたはNightmare-Eclipseを名乗る研究者が2026年5月12日頃に公開したBitLockerバイパスの実証コードです。公開リポジトリでは、特定のファイル群を外部メディアまたはEFIパーティションに配置し、対象端末をWinREへ移行させることで、通常の回復環境ではなくコマンドシェルが開き、BitLockerで保護されたボリュームへアクセスできると説明されています。※3
報道によると、影響が指摘されているのはWindows 11およびWindows Server 2022/2025です。公開者はWindows 10については影響しないと述べており、複数の解説記事でも同様の整理がなされています。ただし、Microsoftから正式な影響範囲が発表されるまでは、組織としてはWindows 11および該当サーバー系OSを中心に、BitLocker構成を確認することが現実的です。※1 ※6
| 項目 | 現時点の整理 |
| 名称 | YellowKey |
| 種別 | BitLockerバイパス、WinRE関連のゼロデイとして報道 |
| 公開時期 | 2026年5月12日頃 |
| 想定される前提 | 攻撃者が端末へ物理的にアクセスできること |
| 主な影響対象 | Windows 11、Windows Server 2022/2025と報告 |
| Windows 10 | 公開者および一部報道では非影響と説明 |
| CVE | 2026年5月17日時点で未確認 |
| 修正状況 | 2026年5月17日時点で専用パッチは未確認 |
技術的なポイント:問題は「TPMのみ」の便利さに潜む
BitLockerは、TPM、Secure Boot、Measured Bootなどの仕組みを利用し、OSドライブの暗号鍵を保護します。Microsoftの公式文書によれば、BitLockerのOSドライブ保護には、TPMのみ、TPM+スタートアップキー、TPM+PIN、TPM+スタートアップキー+PINといった構成があります。このうちTPMのみの構成は、端末の起動時にユーザーがPINやUSBキーを入力しなくても自動的にドライブを解除できるため、運用上は非常に便利です。5
しかし、YellowKeyが問題にしているのは、まさにこの自動解除の前提です。TPMのみの構成では、起動プロセスが正当であると判断されると、ユーザーの追加操作なしにOSドライブが利用可能になります。今回の報告では、WinREの処理中にTransactional NTFS関連のファイルが再生され、WinREの起動制御ファイルに影響を与えることで、BitLocker解除後の状態でコマンドシェルが起動する可能性が示されています。1
独立した脆弱性アナリストであるWill Dormann氏は、USBメディアを用いた再現に成功したと報じられています。同氏の分析として、外部メディア上の System Volume Information\FsTx ディレクトリに由来する処理が、別ボリューム上のWinREファイルに影響を与え、通常の回復環境ではなく cmd.exe が表示される点が指摘されています。※1 ※ 7
「バックドア」と断定すべきか
公開者はYellowKeyについて、README上で「バックドアのように感じる」と表現しています。しかし、これは公開者の見解であり、現時点でMicrosoftや第三者機関が意図的なバックドアであると確認したわけではありません。※3
社外向けの説明としては、“BitLockerに意図的なバックドアが見つかった”と断定する表現は避けるべきです。より正確には、YellowKeyは「WinREの特定処理を悪用し、TPMのみのBitLocker構成を回避できる可能性があるとして公開された実証コード」と表現するのが適切です。これは、未確認の意図を断定せず、確認済みの技術的リスクに焦点を当てるためです。
TPM+PINは有効な対策か
現時点で最も議論が分かれているのが、TPM+PIN構成の扱いです。公開されているYellowKeyの実証コードは、主にTPMのみのBitLocker構成を対象としていると説明されています。一方で、公開者はTPM+PIN環境でも別の形で悪用可能だと主張していますが、その実証コードは公開されていません。※1
このため、TPM+PINは「完全な修正」ではなく、公開済みの攻撃手法に対する重要な緩和策として位置づけるべきです。MicrosoftのBitLocker公式文書でも、より高度な物理攻撃に備える場合にはTPM+PINを含む起動前認証が推奨されています。※5 端末を持ち出す利用者、機密情報を扱う部門、役員・管理者端末、開発者端末については、優先的にTPM+PINへの移行を検討する価値があります。
| 構成 | 利便性 | YellowKey観点でのリスク評価 | 推奨度 |
| TPMのみ | 高い | 公開PoCの主な対象とされるためリスクが高い | 低 |
| TPM+PIN | 中程度 | 公開PoCに対する緩和策として有力。ただし完全な修正とは断定不可 | 高 |
| TPM+スタートアップキー | 中程度から低い | 追加要素により自動解除リスクを下げられる | 中から高 |
| TPM+PIN+スタートアップキー | 低い | 多要素化により防御を強化できるが運用負荷が大きい | 高リスク端末向け |
企業・組織が取るべき回避策
YellowKeyは、攻撃者が端末に触れられる状況で問題となります。そのため、ソフトウェア設定だけでなく、端末の保管、外部メディア制御、起動経路の制限を組み合わせた多層防御が必要です。
第一に、BitLockerの起動前認証を有効化してください。とくにTPMのみで運用しているWindows 11端末については、TPM+PINへの移行を優先的に検討すべきです。Microsoft Intuneでは、BitLockerプロファイルのOSドライブ設定において「Require additional authentication at startup」を有効化することで、TPM起動時の認証設定を管理できます。なお、サイレントなBitLocker展開ではPINやスタートアップキーのようなユーザー操作を要求する構成と相性が悪い点があるため、既存運用との整合性を確認する必要があります。※8
第二に、UEFI/BIOS設定を保護してください。攻撃者が外部メディアを使った起動や回復環境の起動を容易に行えないよう、ブート順の変更を制限し、ファームウェア設定に管理者パスワードを設定することが重要です。MicrosoftのBitLocker対策文書でも、BIOS設定変更をパスワードで保護することは防御の多層化として推奨されています。※5
第三に、外部メディアの利用制御を見直してください。YellowKeyは攻撃者が用意したファイル群をUSBメディアまたはEFIパーティションに配置する形で説明されているため、不要なUSBストレージの利用を制限し、管理対象外メディアの使用を禁止することは有効な抑止策となります。※3
第四に、物理アクセス対策を徹底してください。ノートPCの放置防止、入退室管理、端末貸出・返却管理、紛失時の即時報告、現場端末の施錠保管など、基本的な物理セキュリティは本件のリスク低減に直結します。YellowKeyはネットワーク越しに自動拡散する脆弱性ではないため、端末に触れられない状態を維持することが第一の防御線です。※6
第五に、スリープ運用を見直し、必要に応じて休止状態またはシャットダウンを利用してください。Microsoftの文書では、休止状態からの復帰時にはドライブがロックされ、TPM+PINなどの多要素構成ではPINまたはスタートアップキーが求められると説明されています。一方、スリープではメモリ上の状態が維持されるため、持ち出し端末では休止状態またはシャットダウンを標準とすることが望ましい場合があります。※5
| 優先度 | 対策 | 対象 | 期待される効果 |
| 高 | TPMのみ構成を棚卸しし、TPM+PINへ移行 | Windows 11持ち出し端末、機密端末 | 公開PoCに対する攻撃難度を上げる |
| 高 | UEFI/BIOSパスワードとブート順制御 | 全社端末、共有端末 | 外部メディアや回復環境の悪用を抑止 |
| 高 | 管理対象外USBストレージの制限 | 全社端末 | 攻撃用ファイルの持ち込み経路を制限 |
| 中 | WinRE利用の監視・運用記録 | 管理対象端末 | 不審な回復環境起動を検知しやすくする |
| 中 | スリープから休止状態・シャットダウンへの運用変更 | 持ち出し端末 | 端末離席・盗難時の露出を低減 |
| 継続 | Microsoft更新情報の監視と即時適用 | 全社 | 公式修正公開後の残存リスクを低減 |
社外のお客様・取引先への説明方針
本件について外部へ説明する際には、不安を過度にあおるのではなく、影響条件と対策を明確に伝えることが重要です。YellowKeyはBitLocker全体が無意味になったことを示すものではありません。BitLockerは引き続き、紛失・盗難時のデータ保護において重要な役割を果たします。ただし、TPMのみの透明な自動解除に依存している場合、回復環境を含む起動プロセスが攻撃面になり得ることが改めて示されました。
社外向けには、「当社では対象端末のBitLocker構成を確認し、TPMのみの構成について起動前認証の導入を検討・実施している」「端末の物理管理、外部メディア制御、ファームウェア設定保護を強化している」「Microsoftから正式な更新プログラムまたはアドバイザリが公開され次第、速やかに適用する」といった、確認可能で実行可能な対応を中心に説明するのが望ましいでしょう。
まとめ
YellowKeyは、BitLockerの暗号そのものを数学的に破る攻撃ではなく、WinREを含む起動・回復プロセスの信頼性を悪用する攻撃として理解すべきです。もっともリスクが高いのは、Windows 11等でBitLockerをTPMのみの構成で利用し、端末が持ち出しや一時的な物理アクセスにさらされるケースです。
現時点での現実的な対応は、TPM+PINなどの起動前認証を導入し、外部メディアとブート経路を制御し、端末の物理管理を強化することです。Microsoftから正式な影響範囲、CVE、修正プログラムが公表された場合には、通常の月例更新を待たずに優先的に評価・適用する体制を整えておく必要があります。
References
[1]: https://www.bleepingcomputer.com/news/security/windows-bitlocker-zero-day-gives-access-to-protected-drives-poc-released/ "BleepingComputer - Windows BitLocker zero-day gives access to protected drives, PoC released"
[2]: https://thehackernews.com/2026/05/windows-zero-days-expose-bitlocker.html "The Hacker News - Windows Zero-Days Expose BitLocker Bypasses And CTFMON Privilege Escalation"
[3]: https://github.com/Nightmare-Eclipse/YellowKey "GitHub - Nightmare-Eclipse/YellowKey"
[4]: https://deadeclipse666.blogspot.com/2026/05/two-more-public-disclosures-it-will.html "Chaotic Eclipse - Two more public disclosures, it will never stop"
[5]: https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/countermeasures "Microsoft Learn - BitLocker countermeasures"
[6]: https://cyberunit.com/insights/windows-bitlocker-zero-day-yellowkey-winre-bypass/ "Cyber Unit - Windows BitLocker Zero-Day (YellowKey): What the WinRE Bypass Means for SMBs in Canada and the US"
[7]: https://arstechnica.com/security/2026/05/zero-day-exploit-completely-defeats-default-windows-11-bitlocker-protections/ "Ars Technica - Zero-day exploit completely defeats default Windows 11 BitLocker protections"
[8]: https://learn.microsoft.com/en-us/intune/device-configuration/endpoint-security/encrypt-bitlocker-windows "Microsoft Learn - Encrypt Windows devices with BitLocker using Intune"
記載者:片山 昌樹(セキュリティ&マネージド事業部 DFIRチーム)