【CVE-2026-45585】Windows 11 BitLocker脆弱性「YellowKey」の脅威と緩和策

【この記事にはPRを含む場合があります】2026.05.26　

Windows 11のBitLockerを有効にしているから、万が一PCを紛失してもデータは安全。そう信じていませんか？実は現在、BitLockerの暗号化を物理的なアクセスのみで突破してしまう恐るべき脆弱性「YellowKey（CVE-2026-45585）」が発見され、世界中のIT管理者に衝撃を与えています。この記事を読めば、YellowKeyの仕組みから、自社のPCが影響を受ける条件、そして今すぐ実行できる具体的な対策方法までを完璧に把握でき、組織の重要データを情報漏洩のリスクから確実に守ることができます。

Contents

Windows 11の守護神「BitLocker」の基本と役割
CVE-2026-45585：脆弱性「YellowKey」の恐るべき手口
自社のWindows 11は対象？YellowKeyの被害を受ける条件
YellowKeyからPCを守る！2つの強力な緩和策

1. WinREの修正手順（スクリプトでの緩和策）
2. スタートアップPIN（TPM+PIN）の有効化

PowerShellスクリプトが日本語環境でエラーになる理由は？
情報漏洩を防ぐために今すぐ実行すべき対策リスト

Windows 11の守護神「BitLocker」の基本と役割

BitLockerセキュリティイメージ

BitLockerとは、Microsoft Windowsに標準搭載されている、ストレージ全体を強力に暗号化するセキュリティ機能です。ノートPCの盗難や紛失時に、悪意のある第三者がディスクを抜き取って別のPCに接続しても、正しい鍵がなければ中身のデータを読み取れないように保護します。

BitLockerは企業の機密情報や個人のプライバシーを守るために不可欠な機能であり、Windows 11のProエディションなどで広く利用されています。一般的に、マザーボードに搭載された「TPM（Trusted Platform Module）」というセキュリティチップと連携して動作します。TPMは、PCの起動プロセスが正規のものであり、改ざんされていないことをハードウェアレベルで検証し、安全が確認された場合にのみOSのボリュームを自動的にロック解除します。

ユーザーが意識せずとも強力な暗号化の恩恵を受けられる利便性がある一方で、システムの構成変更やアップデート時に意図せずロックがかかり、回復キーを求められるといったトラブルも発生しがちです。もしBitLockerを有効にしている場合は、必ず回復キーのバックアップをMicrosoftアカウント等に保存しておく必要があります。

CVE-2026-45585：脆弱性「YellowKey」の恐るべき手口

YellowKey（CVE-2026-45585）は、Windowsの回復環境（WinRE）の仕様を悪用し、暗号化を解除した状態でコマンドプロンプトにアクセスできてしまう深刻な脆弱性です。暗号化のアルゴリズム自体を破るのではなく、システムが自動的にロックを解除する「仕組みの隙」を突くのが特徴です。

以下の動画では、BitLockerの役割と、YellowKeyがどのようにしてPCの防御を突破するのか、そして発見者とMicrosoft間の対立構造について分かりやすく解説されています。

動画の重要なポイント・要約

BitLockerはPC紛失時のデータ保護に不可欠ですが、YellowKeyによりWinRE（回復環境）を悪用されると強固な防御も突破されてしまいます。
物理的にアクセスできる環境であれば、特殊なUSBメモリを挿して起動するだけで、パスワードなしで暗号化されたストレージに侵入可能です。
発見者（Nightmare-Eclipse）とMicrosoftの間で、脆弱性開示のルールを巡る対立が起きており、泥沼化の様相を呈しています。

YellowKeyの攻撃手法は非常にシンプルかつ破壊的です。具体的な手口とプロセスは以下の通りです。

特殊なUSBの準備
攻撃者は、「System Volume Information\FsTx」という特定のフォルダと細工されたログファイル（FsTxファイル）を配置したUSBドライブを用意します。
WinREの起動
標的となるPCにUSBを挿入し、Windows回復環境（WinRE）を起動させます。
自動プロセスの悪用
WinREが起動すると、システムの修復を担う「autofstx.exe」がUSB内の細工されたログを無条件に読み込み、回復環境のUIを起動するための設定ファイル（winpeshl.ini）を勝手に削除してしまいます。
コマンドプロンプトの奪取
UIが表示されなくなった状態でCTRLキーを押し続けると、エラー画面をスキップして最高権限（SYSTEM権限）を持つコマンドプロンプトが起動します。この時点ですでにTPMがドライブの暗号化を解除しているため、データは完全に丸見えの状態になります。

自社のWindows 11は対象？YellowKeyの被害を受ける条件

ノートPC

YellowKeyの被害を受けるのは、BitLockerをデフォルトの「TPMのみ」の認証モードで運用しており、かつ最新の特定のWindows 11 / Windows Serverバージョンを使用しているPCです。ネットワーク経由の遠隔攻撃ではなく、物理的なアクセスが必要になります。

自社のPCが該当するかどうか、以下の比較表で影響を受ける条件を確認してください。

確認項目	対象となる条件	影響度・詳細
OSのバージョン	Windows 11 (24H2, 25H2, 26H1)Windows Server 2025	これらに該当するx64ベースのシステムが影響を受けます。Windows 10は影響を受けません。
BitLockerの設定	「TPMのみ」による保護	デフォルト設定のままの場合、パスワード入力なしでOSが起動するため、本脆弱性の標的になります。
アクセス状況	物理的なアクセスが可能	カフェでの置き忘れ、盗難、あるいはオフィス内部の人間による不正な操作など、PC本体に直接触れられる状態であることが前提です。

これらの条件に当てはまる持ち出し用ノートPCなどは、紛失時に即座にデータが漏洩するリスクを抱えている状態です。

YellowKeyからPCを守る！2つの強力な緩和策

WinRE

（出典：Microsoft）

現在、Microsoftから完全な修正パッチは提供されていないため、WinREの機能を制限するスクリプトの実行、または「TPM+PIN」モードへの変更による緩和策の導入が必須です。

1. WinREの修正手順（スクリプトでの緩和策）

根本的な原因となっているWinREの挙動を修正し、細工されたUSBからの自動実行を防ぎます。手順は以下の通りです。

各デバイスのWindows RE（WinRE）イメージをマウントする。
オフラインのSYSTEMレジストリハイブを読み込む。
Session Manager\BootExecute の値から、autofstx.exe というエントリーを削除する。
レジストリを保存し、WinREイメージをアンマウントしてBitLockerの信頼を再確立する。企業環境では、MDM（モバイルデバイス管理）やPowerShellスクリプトを用いて、全社にこの設定を展開することが現実的です。

2. スタートアップPIN（TPM+PIN）の有効化

YellowKeyを含む多くの物理的バイパス攻撃を無効化する、最も確実な防衛手段です。 PCの起動時に、TPMだけでなくユーザーだけが知る「PIN（暗証番号）」の入力を必須にします。これにより、攻撃者がUSBを挿してWinREを起動させようとしても、PINが入力されない限りTPMが暗号化鍵を解放せず、データは保護されたままになります。

PowerShellスクリプトが日本語環境でエラーになる理由は？

PowerShellスクリプトを用いて前述のWinREのマウントやレジストリ修正を自動化しようとした際、日本語環境のWindows特有の問題でエラーが発生し、対策されないままになるケースがあります。主な原因は以下の通りです。

システムパスやフォルダ名の言語依存
英語環境を前提に組まれたスクリプトの場合、「Recovery」や「System Volume Information」などのパス、またはコマンドの出力メッセージが、日本語環境では異なって認識され、ファイルの特定に失敗することがあります。
文字コード（エンコーディング）の不一致
PowerShellが読み書きする際の文字コードがShift-JISやUTF-8の間で干渉し、日本語のレジストリ値やログメッセージが文字化けしてエラーを引き起こす場合があります。

エラーを防ぐためには、スクリプトを実行する前に、対象のパスが日本語環境のものと一致しているかを確認し、必要に応じて環境変数を使用する形にスクリプトを書き換えることが重要です。