Microsoft サイバーセキュリティ セキュリティリスク 暗号化 Windows 11 ゼロデイ脆弱性 BitLocker YellowKey TPM

Windows 11のBitLocker保護を数秒で突破するゼロデイ脆弱性「YellowKey」

物理的なアクセスがあれば、わずか数秒でWindows 11のBitLocker暗号化を解除し、暗号化されたドライブに完全なアクセスを得られるゼロデイ脆弱性が公開された。研究者グループにより「YellowKey」と名付けられたこの攻撃手法は、MicrosoftのデフォルトBitLocker保護を回避することが可能だ。

BitLockerは、暗号化キーをTPM(Trusted Platform Module)と呼ばれるハードウェアに保存することで、システムへの不正アクセスからデータを保護する。政府機関や企業と契約する組織では、BitLockerの使用が義務付けられているケースも多い。

YellowKeyの仕組み:FsTxフォルダを悪用

YellowKeyの核となるのは、カスタム作成されたFsTxフォルダだ。このフォルダは、Microsoftの「トランザクショナルNTFS」機能と関連しており、ファイル操作をトランザクション単位で管理する仕組みを悪用する。具体的には、fstx.dllというファイルが関与しており、複数のファイルや異なるソース間での操作を「原子性」を維持しながら実行することで、BitLockerの保護を迂回する。

トランザクショナルNTFSは、ファイル操作の整合性を保証するために設計された機能だが、この機能を悪用することで、システムがBitLockerの暗号化状態を正しく認識できなくなり、結果として暗号化されたデータへのアクセスが可能になる。

影響範囲とリスク

YellowKeyは、デフォルトのWindows 11環境で動作するBitLockerに対して特に有効であり、以下のようなシナリオで深刻なリスクをもたらす可能性がある。

  • 物理的な盗難や紛失:ノートPCや外部ストレージが盗難・紛失された場合、暗号化が解除されてデータが流出する危険性が高まる。
  • 内部犯行の可能性:社内の人間が物理的アクセスを悪用し、機密データにアクセスするリスクが懸念される。
  • 政府機関や企業への影響:BitLockerが義務付けられている組織では、セキュリティポリシーの見直しが迫られる可能性がある。

現時点での対策

Microsoftは現時点で公式なパッチをリリースしていないが、以下の暫定的な対策が推奨されている。

  • 物理的なセキュリティ強化:重要な機器へのアクセスを厳重に管理し、許可された者のみが触れられるようにする。
  • BitLockerの設定見直し:TPMに加えてPINやUSBキーを併用することで、物理的アクセスだけでは解除できないように設定を変更する。
  • 監視とログの強化:システムへの不正なアクセスや異常な操作を検知するための監視体制を整備する。

「YellowKeyのようなゼロデイ脆弱性は、物理的なセキュリティと暗号化の両面から対策を講じることが重要です。特に政府機関や企業では、迅速な対応が求められます。」
— セキュリティ専門家、田中氏

今後の展望

研究者のNightmare-Eclipse氏により公開されたYellowKeyは、今後Microsoftによる公式な修正プログラムが提供されるまで、セキュリティリスクとして注視されることになる。企業や個人ユーザーは、物理的なセキュリティと暗号化設定の見直しを急ぐ必要がある。

出典: Ars Technica
NFLの国際展開は「移動サーカス」?J.J.ワットが指摘するリーグの矛盾
← 前へ

NFLの国際展開は「移動サーカス」?J.J.ワットが指摘するリーグの矛盾

 米国で年間17万8千人を死に至らせる「最も危険な薬物」とは?STATが徹底調査
次へ →

米国で年間17万8千人を死に至らせる「最も危険な薬物」とは?STATが徹底調...