USBを挿して数秒、[Ctrl]キーを押し続けるだけ——。Windows 11標準のディスク暗号化「BitLocker」を、物理アクセスのみで数秒以内に突破できるとされるゼロデイエクスプロイト「YellowKey」が公開されたとArs Technicaが報じています。Ars Technicaによると、デフォルト構成のWindows 11端末で再現性が確認されており、紛失・盗難端末の中身が事実上保護されない深刻な状況だと伝えられています。Microsoftは現時点で「調査中」とのみ回答しているとされています。
なぜ数秒で破れるのか——TPM-only構成のBitLockerを完全バイパス
Ars Technicaの報道によれば、YellowKeyはNightmare-Eclipseと名乗る研究者がGitHub上で公開したエクスプロイトだとされています。Windows 11におけるBitLockerのデフォルト構成、すなわち復号鍵をTPM(Trusted Platform Module)のみに格納する「TPM-only」モードを対象としており、暗号化されたドライブの内容に完全アクセスできてしまうと報じられています。
BitLockerは多くの組織、特に政府との契約を持つ事業者にとって必須の保護機構です。それが「数秒で破られる」となれば、紛失・盗難デバイスのリスク評価を抜本的に見直す必要があります。
攻撃手順自体は驚くほど簡素だと報じられています。
- Nightmare-EclipseのエクスプロイトページからカスタムFsTxフォルダをNTFSまたはFATフォーマットのUSBドライブにコピーする
- そのUSBをBitLocker保護されたデバイスに接続する
- デバイスを起動し、すぐに[Ctrl]キーを押し続ける
- Windows回復環境(WinRE)に入る
通常のWindows Recoveryフローでは、ここでBitLocker回復キーの入力を求められます。ところがYellowKey経由ではこの安全機構が何らかの方法で迂回され、CMD.EXEプロンプトがドライブ全体への完全アクセス権付きで開いてしまうと報告されています。Ars Technicaによると、Kevin Beaumont氏やWill Dormann氏ら複数の研究者が、記載通り動作することを確認したと伝えられています。
鍵は「Transactional NTFS」——別ボリュームが別ボリュームを書き換える挙動
要するに、USB側のファイル操作がPC本体側の起動設定を書き換えてしまう——というのが本エクスプロイトの本質だと報じられています。
エクスプロイトの中核は、カスタム作成されたFsTxフォルダです。このフォルダに関する公開ドキュメントはほとんど存在しないとされていますが、fstx.dllはMicrosoftが「Transactional NTFS(TxF)」と呼ぶ機構に関連すると見られています。TxFはファイル操作にトランザクション的原子性を持たせる仕組みで、内部的にはCommon Log File Systemを利用していると報じられています。
Ars Technicaが伝えるところでは、Tharros Labsのシニアプリンシパル脆弱性アナリストであるWill Dormann氏は、Windowsのfstx.dll内にあるFsTxFindSessions()関数が明示的に\System Volume Information\FsTxを参照していることを指摘しているとされます。さらにYellowKey内のFsTxディレクトリには、\??\C:\Windows\win.iniおよび\??\X:\Windows\System32\winpeshl.iniへのパスが含まれていることも判明していると報じられています。winpeshl.iniは、WinREが起動時に何を実行するかを制御するファイルです。
通常のWinREセッションでは、X:\Windows\System32\winpeshl.iniがrecenv.exeを起動する設定になっています。しかしYellowKeyを介すると、USBドライブ上のTransactional NTFSの仕組みが別ドライブ(X:)のwinpeshl.iniを削除し、結果としてWindows Recovery環境ではなくBitLockerがアンロックされた状態のcmd.exeプロンプトが立ち上がる、とDormann氏は分析していると伝えられています。同氏は、TPM-onlyのBitLockerバイパスもさることながら、あるボリュームの\System Volume Information\FsTxディレクトリが別ボリュームの内容を変更できてしまうこと自体が独立した脆弱性に見える、との趣旨の指摘をしていると報じられています。
なお、なぜカスタムFsTxフォルダがこのバイパスを引き起こすのか、その正確な仕組みは現時点では完全には解明されていないとされています。
影響範囲と当面の対策——TPM-only構成を見直すべきタイミング
Ars Technicaによれば、Microsoftの広報担当者は、メールで送られた質問に対して「調査中」とのみ回答し、それ以外の質問には答えなかったと報じられています。
現時点で押さえておくべき事実は次のとおりです。
| 項目 | 内容 |
|---|---|
| 対象 | Windows 11のBitLockerデフォルト構成(TPM-onlyモード) |
| 攻撃前提 | 端末への物理アクセス |
| 所要時間 | 数秒程度 |
| 結果 | 暗号化ドライブの完全アクセス(読み取り・改変・削除) |
| 公式パッチ | 現時点で提供されていない |
セキュリティ専門家の間では、TPM-only構成は以前から不十分とされており、TPMから鍵を取り出す前にPIN入力を要求する構成が推奨されてきたと報じられています。今回の件は、その指摘が現実の脅威として顕在化したかたちと読めます。
Ars Technicaによると、Kevin Beaumont氏はYellowKey対策としてBIOSパスワードロックの有効化を推奨していると伝えられていますが、BIOSパスワードがこの特定のエクスプロイトに対してどの程度有効なのかは現時点では不明とされています。
企業のIT管理者にとっては、管理下の端末でBitLockerをTPM+PIN構成に切り替えるグループポリシーの適用検討が当面の現実的な対応となりそうです。個人ユーザーであっても、ノートPCを社外に持ち出す機会が多い場合は、起動時PINを要求する構成への変更が安全策となります。Microsoftの公式パッチが出るまでは、紛失・盗難時に「BitLockerがあるから大丈夫」という前提は捨てたほうが現実的でしょう。
ハードウェアベンダーの先回り——HPが物理アクセス攻撃対策「TPM Guard」を投入
PC OEM側もBitLockerを取り巻く物理アクセス攻撃の動向に動き出しています。HPは2026年3月24日のHP Imagine 2026で、物理TPMバス攻撃を阻止する世界初のハードウェアソリューションを謳う「HP TPM Guard」を発表し、BitLockerドライブ暗号化を破ろうとする物理アクセス攻撃を防ぐ業務用ノートを投入したとしています。
提供時期と対象範囲
HP TPM Guardは2026年7月から特定のHP G2商用PCで提供される予定で、当初は対応PC向けのファームウェア更新として配布され、後に内蔵出荷される計画です。同機能は、TPMとCPU間を流れるデータを攻撃者が傍受しようとするシナリオを想定したものです。HPは、企業・政府などの規制業種や高機密情報を扱う顧客が主な対象になるとしており、物理的な攻撃への防御を強化する位置づけです。YellowKey自体はTPMバス傍受ではなくWinREの仕組みを悪用するため直接の対抗策ではないものの、「物理アクセス=即終わり」を前提に動き出すベンダー側の温度感を示す動きと言えます。
直前にあった「BitUnlocker」——TPM-onlyを巡る攻撃は連鎖している
YellowKeyは突発的に登場したわけではなく、TPM-only構成に対する公開エクスプロイトは連続して現れています。2026年5月公開の「BitUnlocker」は、CVE-2025-48804を悪用し、物理アクセスのある攻撃者が改変したWinREを起動して脆弱な構成のBitLocker保護ドライブに数分以内で到達できるPoCです。
- 2025年7月8日にMicrosoftがCVE-2025-48804を月例更新で公開、2025年8月15日にIntrinsecがBitUnlockerツールと技術論文を発表しています
- 検証対象はWindows 11 24H2(Secure Boot+TPM 2.0)、Dell/Lenovo/HPなど複数OEM、Intel/AMD双方に及んでいます
- BitUnlockerはSecure Bootダウングレード攻撃を用いる点で、NTFSトランザクションを悪用するYellowKeyとは別系統の手法です
手法は違えど着地点は同じ「TPMが鍵を渡してしまう」であり、YellowKeyはこの系譜の最新版と見るのが妥当です。
Q&A
Q. 自分のWindows 11がYellowKeyの影響を受けるか確認するには? BitLockerが「TPMのみ」で構成されているかを確認してください。管理ツール「manage-bde -status」やグループポリシーで、起動時PIN(Startup PIN)が要求されない構成であれば、デフォルトのTPM-onlyモードに該当し、影響を受ける可能性があります。
Q. 公式パッチが出るまでに取れる現実的な対策は? Ars Technicaの報道を踏まえると、BitLockerをTPM+PIN構成に変更することが推奨されます。加えて、端末を物理的に第三者の手に渡さない運用、紛失・盗難時の即時リモートワイプ手順の整備も重要です。BIOSパスワードロックもKevin Beaumont氏が推奨していると報じられていますが、本エクスプロイトへの直接的な有効性は確認されていません。
Q. Microsoftはいつ修正を出すのか? Ars Technicaの報道によると、Microsoftは「調査中」とのみ回答しており、修正の時期は公表されていません。
