「BitLockerをかけておけばデータは安全」と思っていませんか。ぼくも長年そう思っていました。でも今回の話を聞いて、ちょっと前提を見直す必要があるなと感じています。
5月に入って、「YellowKey(イエローキー)」と呼ばれるBitLockerの脆弱性が公表されました。技術的な話が多くてわかりにくいのですが、要するに「BitLockerをかけていても、特定の手順を踏めば暗号化されたドライブの中身が見られてしまう」というものです。
今回はこれを整理して、普段パソコンを使っている方に向けて「実際どのくらい心配すべきか」をお伝えしようと思います。
店長より
「BitLockerって何?」という方も多いと思うので、最初に簡単に説明しますね。BitLockerはWindows 11に搭載されている、ドライブを暗号化する機能です。有効にしておくと、パソコンが盗まれたりしても、中のデータがそのまま読まれるのを防いでくれます。
まず今回の件を時系列で追ってみます。
-
5月13日
セキュリティ研究者のNightmare-Eclipse氏が「YellowKey」を発見。GitHubで再現手順を公開。
-
5月14日
PC Watchが第1報を掲載。この時点でMicrosoftからの対応アナウンスはなし。
-
5月19日
MicrosoftがCVE-2026-45585として公式登録。脆弱性として正式に認定。
-
5月21日
Microsoftが緩和スクリプトを公開。同時に「発見者の公開行為はガイドラインに違反する」と非難。
-
5月22日
発見者が「名誉毀損だ」とブログで反論。Microsoftとの間でコミュニケーションのトラブルがあったことが明らかに。
少し技術的な話になりますが、できるだけわかりやすく書きます。
Windowsには「WinRE(ウィンドウズ・リカバリー・エンバイロメント)」という回復環境が組み込まれています。パソコンが起動しなくなったときに使う、修復用のモードです。Shiftキーを押しながら再起動すると入れる、あれです。
今回の脆弱性は、この「WinRE内にだけ存在する特別なコンポーネント」を悪用するものです。GitHubで公開されているファイルをUSBメモリにコピーして、WinREを起動しながらCtrlキーを押し続けるだけで、BitLockerで暗号化されたドライブの中身が丸見えになってしまいます。
通常のWindowsにも同じ名前のコンポーネントが存在しますが、そちらにはバイパス機能がありません。WinRE内にだけこの「すり抜け機能」を持つ特別版が存在する——この非対称さが不自然で、発見者は「意図的に仕込まれたバックドアではないか」と疑っています。真相はまだ不明ですが、確かに気になる点ではあります。
さらに厄介なのが、USBポートをBIOSで無効化していても、ディスクを物理的に取り出せる状況なら同じ手法が使えてしまうという点です。
BitLockerはWindowsが入っているドライブは暗号化できますが、起動に必要なEFIシステムパーティション(起動の最初に読み込まれる領域)は、構造上どうしても暗号化できません。ここに直接ファイルを置かれると、USBを使わなくても脆弱性が成立してしまいます。
対象はWindows 11とWindows Server 2022/2025です。Windows 10は影響なし。なぜ11だけなのか、現時点でMicrosoftは詳しい説明をしていません。実装の違いがどこにあるのか、気になるところです。
ここが一番知りたいところだと思います。結論から言うと、「リモートから一方的に攻撃されるタイプの脅威ではない」ので、一般ユーザーが今すぐパニックになる必要はないです。
この脆弱性を悪用するには、対象のパソコンに物理的に触れる必要があります。インターネット越しには成立しません。
ただし、物理アクセスさえあればハードルはかなり低い。専門知識がない人でも、手順通りにやればできてしまう内容です。
影響が大きいシチュエーション
- ノートPCを外に持ち出す機会が多い方——カフェ、出張、移動中など。盗難・紛失時に「BitLockerがあるから大丈夫」とは言いにくくなりました。
- 機密データを扱う企業のPC——BitLockerを情報漏えい対策の主軸にしているケースは多いと思います。今回の件はその前提に疑問を投げかけます。
- パソコンを修理業者に預けるとき——「BitLockerをかけていれば修理中もデータは安全」という考え方が通じなくなる可能性があります(後述)。
店長より
「修理に出すとき」の話は、修理屋として正直に言っておきたいところです。今回の脆弱性を使えば、悪意のある修理業者がBitLockerを突破してデータを取り出すことが、理論上は可能になります。
もちろん、ピシコではそういったことは一切しませんし、まっとうな業者はみんなそうです。でも「BitLockerをかけているから安心」という言い方を、ぼくも今後は慎重にしなきゃいけないなと思いました。
技術的な話と同じくらい気になるのが、MicrosoftとNightmare-Eclipse氏の間で起きているやりとりです。
Microsoftは緩和スクリプトを公開した際、発見者がGitHubでPoC(概念実証コード)を先に公開したことを「協調的な脆弱性開示のガイドラインに違反する」と非難しました。
これに対して発見者はブログで反論しています。要約すると、「MicrosoftがMSRC(セキュリティ対応センター)のアカウントへのアクセスを意図的に取り消した」「説明を求めたのに削除された」「幹部は一切返答しなかった」という主張です。コミュニケーションが完全に断絶した結果として先に公開したわけで、一方的に責められる話ではない、ということです。
「先に公開すること」の是非について
セキュリティの世界では、脆弱性を発見したらまずメーカーに通知して、修正が出てから公開するという「協調的開示」がスタンダードです。ただ今回のように、メーカーとのコミュニケーションが断絶された場合、発見者が「このまま黙っていては危険だ」と判断して先に公開することも、現実には起きます。どちらが正しいかは一概には言えませんが、発見者の話が本当なら、Microsoftの対応にも問題があったと言わざるを得ません。
Microsoftは「緩和スクリプト」を公開しています(CVE-2026-45585)。これはWinRE向けで、BootExecuteレジストリ値から問題のあるプログラムを削除することで、リスクを軽減するものです。
ただし根本的なパッチ(修正プログラム)ではありません。今後のWindows Updateで正式な修正が来ると思われますが、現時点ではまだです。
今日からできること
- Windows Updateを常に最新にしておく。修正パッチが来たときに自動で当たるようにしておきましょう。
- ノートPCは物理的な管理を徹底する。「BitLockerがあるから多少放置してもいい」という感覚は、今回の件を受けてリセットした方がよさそうです。
- 本当に重要なファイルは別途バックアップしておく。BitLockerの有無にかかわらず、大事なデータは複数の場所に保管しておくのが基本です。
- 修理に出す前にデータをバックアップする習慣をつける。業者の良し悪しに関わらず、これは今後もお勧めします。
店長より
「YellowKey」という名前がついているくらいで、セキュリティ的に注目度の高い脆弱性です。ただ怖いのは、「GitHubで手順が公開されている」という点。悪用しようとする人間が出てくるリスクが、脆弱性発見直後から高まっています。
Microsoftの正式パッチが出るまでのあいだ、物理的な管理には今まで以上に気をつけてほしいと思っています。
「BitLockerの設定が合ってるか確認したい」「修理に出す前にデータをどうすればいいか」など、ちょっとした相談でも気軽にどうぞ。
まずはご相談から。
