BitLockerに“裏口”発見 わずか4時間で見つかった回避手法が波紋：Windows Defenderを悪用

BitLockerは本当に安全か。Windows Defenderの機能を悪用し、暗号化ドライブへのアクセスを可能にする新たなPoCが公開された。さらに発見までに要した時間はわずか4時間だったという。

[＠IT]

　セキュリティニュースメディアの「SecurityOnline」は2026年6月11日（現地時間）、セキュリティ研究者によって「BitLocker」保護ドライブのアクセスを可能にする手法「GreatXML BitLocker Bypass」のPoC（概念実証）コードと詳細が公開されたと報じた。

BitLockerを回避するPoCを公開　前提条件さえクリアすれば攻撃は単純

　公開したのは「Nightmare Eclipse」を名乗るセキュリティ研究者だ。今回明らかになった手法は、「Windows Defender」のオフラインスキャン機能に関連する脆弱（ぜいじゃく）性を利用するもので、暗号化されたドライブに対し制限のないアクセス権を取得できる可能性がある。ローカル環境での攻撃を前提とするが、影響を受けるシステムでは保護されたデータにのアクセスが可能になるため、深刻な問題として受け止められている。

　同研究者はオンラインでPoCコードを公開した。本人によれば、この手法は偶然発見したものであり、発見までに要した時間は4時間だったという。公開された説明において、「Windows Defender Offline Scan」の仕組みを操作することで、制約のない管理者権限シェルを起動できる。

　攻撃手順は比較的単純とされる。まず攻撃者は「unattend.xml」と「Recovery」ディレクトリを回復パーティションに配置する。その後、対象システムを「Windows Recovery Environment」（WinRE）に再起動する。攻撃が成功した場合、BitLockerで保護されたボリュームに対し制限なくアクセスできるシェルが起動すると説明されている。

　ただし、この攻撃には一定の前提条件が存在する。被害対象の端末で過去にWindows Defenderのオフラインスキャンが実行されていた場合、その端末は自動的に脆弱な状態となる。別の条件として、オフラインスキャン状態のままWinREに起動できる環境も攻撃対象となる。こうした事情から、この問題は遠隔攻撃よりも物理的なアクセスを伴うローカル攻撃の脅威として位置付けられている。

　今回のPoC公開は、研究者とMicrosoftの間で続いている対立の文脈とも密接に関係している。Nightmare Eclipseは過去にも複数のWindowsのゼロデイ脆弱性を公表してきた。公開された脆弱性には「RoguePlanet」「BlueHammer」「RedSun」などが含まれる。

　Microsoftは2026年6月の「Patch Tuesday」で複数の深刻な問題に対処している。同社は「GreenPlasma」および「YellowKey」と呼ばれる脆弱性を修正した。これらは研究者が過去に公表した問題群の一部に関連するものとされている。

　一方、Microsoftはこれまで脆弱性情報の公開手法について強い懸念を示してきた。同社は、顧客に実害を与える悪意ある活動が実行された場合、法執行機関の関与を求める可能性があると警告している。この発言を受け、サイバーセキュリティ分野において、同社が研究者に対し強い姿勢を示したとの見方が広がっていた。

　公開情報においては、Microsoftによる修正プログラムの提供については今後の動向を注視する必要がある。セキュリティ担当者やシステム管理者には「GitHub」のPoCコードやブログの解説を確認し、極めて高い警戒を維持すると同時に、公式情報の継続的な確認と、関連する更新プログラムの公開状況を監視することが求められる。