BitLockerをすり抜ける Windows 11に浮上した“不穏な仕様”：暗号化PC、実は開け放題？

Windows 11のBitLockerを回避し、暗号化ドライブを“素通り”できる可能性が浮上した。鍵となるのはWindows標準の回復機能WinREだという。発見した研究者が「異常」と評した回避手法はどのようなものか。

[＠IT]

　「Windows 11」の「BitLocker」暗号化機能を回避し、保護済みドライブに制限なしでアクセス可能となる重大な脆弱（ぜいじゃく）性が見つかった。

　「GitHub」で「Nightmare Eclipse」と名乗る研究者が2026年5月13日（米国時間）に公開した情報で、同氏はこの脆弱性を「YellowKey Bitlocker Bypass Vulnerability」と名付けている。

　この問題は「Windows Recovery Environment」（WinRE）内部で動作する特定コンポーネントに存在するとみられる。研究者は「過去に見たBitLocker回避手法の中でも極めて異常な事例」と説明した。

BitLocker回避手法　WinRE悪用で無制限アクセス可能か

　BitLockerはMicrosoftのフルディスク暗号化機能で、「Windows」搭載PCに保存されたデータを保護する目的で利用される。通常、暗号化済みドライブにアクセスするには回復キーや認証情報が必要となる。今回公開された内容において、その保護機構をWinRE内部から回避可能となる点が問題視されている。

　また、WinREは障害復旧や修復用途で利用されるWindows標準回復環境であり、起動修復やシステム復元、コマンドプロンプト利用など複数機能を提供する。高度権限を扱う特性上、過去にも回復環境悪用型攻撃が議論された背景がある。

　攻撃者はUSBメモリなどの外部記憶媒体に細工済みフォルダ「FsTx」を配置し、対象PCに接続した状態でWinREを起動することが分かっている。起動時、SHIFTキーで再起動操作を実施後、特定のタイミングでCTRLキーを押し続けると、BitLocker保護済みボリュームに直接アクセス可能なシェルが出現するという。Nightmare Eclipse氏は「外部媒体を利用せず、対象ディスクを取り外してEFIパーティションに同フォルダをコピーした場合でも成立する」と説明している。

　同研究者は、問題の中核となるコンポーネントがWinREイメージ内にのみ存在すると指摘した。同名ファイルは通常版Windows内部にも含まれるが、脆弱性の悪用に必要な機能群は実装されていないという。この差異について研究者は強い疑念を示し、「偶発的欠陥より意図的仕組みに近い印象を受ける」と私見を述べた。ただし、現時点でMicrosoft側がバックドア性を認めた事実は確認されていない。

　影響範囲については、Windows 11系列に加え、「Windows Server 2022」および「Windows Server 2025」が対象となっている。研究者によれば、「Windows 10」では同手法が成立しなかったという。WinRE構成差異や内部コンポーネント変更が要因となった可能性があるものの、技術的分析は続いている。

　攻撃成立には対象端末への物理アクセスが必要となるため、ネットワーク経由のみで即時侵害可能な類型ではない。ただし盗難端末や押収端末、共有施設設置PCなど、第三者が物理接触可能な状況では深刻な影響が想定される。企業環境において、回復環境の起動制限、UEFI設定保護、外部記憶媒体の起動禁止など追加対策の重要性があらためて浮き彫りとなっている。

　セキュリティ業界において、BitLockerは盗難対策や機密保護用途として広範囲利用が進んでいる。近年はTPM連携による自動解除機能も普及しており、利用者側が暗号化を意識せず運用する場面も多い。今回公開内容が事実であれば、WinRE経由保護回避という新たな攻撃面が明確化された形となる。

　Microsoftによる追加調査結果やセキュリティ更新提供有無が、今後の焦点となりそうだ。