チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「BitLockerで暗号化していれば、ノートPCをなくしても安心じゃなかったの?」
「YellowKeyって名前の脆弱性、社用ノートも危ない?」
チップスボス、BitLockerをすり抜けるゼロデイが出たって本当でしゅか? ノートPCを暗号化すれば安心だと思ってましたでしゅ。
ボスうむ、CVE-2026-45585「YellowKey」だ。Microsoftが5月20日に緩和策を公開した。物理アクセスがあれば暗号化を突破できる仕組みだ。
本記事ではBitLocker回避ゼロデイ「YellowKey」(CVE-2026-45585)の仕組みと影響、Microsoftの推奨緩和策を解説します。
社用ノートPCを多数配布している組織にとって、放置できない事案です。
続きを読めば、TPM-only運用の限界と、社員PCの設定変更を急ぐべき理由が見えてきます。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
YellowKeyはBitLockerの「復旧シーケンス」の信頼前提を突くタイプの攻撃です。
暗号自体は破られませんが、回復経路を悪用して暗号化ボリュームへアクセスします。
5月19日に研究者「Nightmare Eclipse」がPoCを公開し、Microsoftが翌20日に緩和策を提供しました。
攻撃は、プリブート段階で動くWindows回復環境(WinRE)の復旧インターフェースに対する「行動上の信頼前提」を悪用します。
具体的にはBootExecuteで自動起動するautofstx.exe(FsTx回復ユーティリティ)を起点に、フルアクセスの非制限シェルを暗号化ボリューム上で起動できます。
事案の要点はこちらです。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-45585(YellowKey) |
| CVSS | 6.8 |
| 前提条件 | 対象端末への物理アクセスとUSBポート利用/再起動 |
| 公開 | 2026年5月19日(PoC)/5月20日(Microsoft緩和策) |
| 影響範囲 | Windows 11/Windows Server 2025等 |
CVSS 6.8とスコア自体は中程度ですが、これは「物理アクセスが必要」という前提を反映したものです。
実務上はノートPCの紛失・盗難、出張先のホテルや会議室での放置、修理時の第三者預けなど、物理アクセスを許してしまう場面は多数あります。
ソフト導入も既存資格情報もネットワークも不要で、USBポートが使えて再起動できれば成立する点が極めて危険です。
チップス出張先でノートPCを置いて席を外すこともあるでしゅ…現実的に怖いシナリオでしゅね。
ボスうむ、紛失リスクが大きい職場ほど影響が深刻だ。営業端末や役員用PCは特に注意せよ。
パッチではなく緩和策提供という形ですが、効果的な手段は用意されています。
大規模配布されたPCでも、ポリシーで一括変更できる項目が多いのが救いです。
Microsoftは、既に暗号化済みの端末に対して「TPM-only」プロテクターから「TPM+PIN」モードへの切り替えを推奨しています。
これにより、起動時にPIN入力が必須となり、YellowKeyの攻撃経路を実質的に遮断できます。
PowerShell・コマンドライン・コントロールパネルのいずれからでも変更可能なため、Intune/SCCM配信スクリプトで一括化するのが効率的です。
運用に組み込むべき対応はこちらです。
TPM+PINに切り替えると、利用者は起動時にPINを覚えて入力する必要があります。
ヘルプデスクへの問い合わせ増加や、PIN忘れによるリカバリ依頼の急増が予想されるため、運用側の準備も合わせて必要です。
あらかじめ社内通知でPIN桁数や設定方法、リカバリーキーの取り扱いを周知し、無用な混乱を避けましょう。
チップスPINを忘れる人が続出しそうでしゅね…ヘルプデスク大変そうでしゅ。
ボスうむ、運用負荷とリスクの天秤だ。漏れたら戻せない情報の重みを考えれば、PIN運用は安い保険だ。
YellowKeyは「ディスク暗号化していれば安全」という思い込みを揺さぶる事案です。
取るべき行動を整理します。
チップス「暗号化しているから大丈夫」って言える時代じゃないんでしゅね。
ボスうむ、暗号化は前提であって到達点ではない。運用設計まで含めて初めて守りになる。
詳しい情報はThe Hacker Newsの報道とMicrosoftの公式ガイダンスを参照してください。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
