フォローする 
デバイスが紛失、盗難、または電源オフされた場合でもデータを保護するように設計されたBitLockerですが、この信頼モデルに対するバイパスは即座に注目を集めます。CVE-2026-45585という脆弱性は、Windowsのセキュリティ機能バイパスの欠陥であり、フィジカルアクセスを持つ攻撃者がBitLockerの保護を回避し、影響を受けるシステム上の暗号化データにアクセスできる可能性があるとMicrosoftは述べています。この問題は、CVSSスコア6.8で追跡され、x64ベースシステムのWindows 11バージョン24H2、25H2、26H1、およびServer Coreを含むWindows Server 2025に影響を与えます。
CVE-2026-45585の解析を開始する防御者にとって、最も重要な点は、脆弱性はBitLockerの暗号化そのものではないということです。Help Net SecurityはNCSCオランダを引用し、この欠陥はドライブを保護する暗号化内ではなく、BitLockerを取り囲むリカバリエンジン内にあると指摘しています。公開報告では、Nightmare Eclipseとして知られる研究者がゼロデイを公表し、概念実証を発表したとされ、Help Net SecurityとThe Hacker Newsがどちらも容易に活用できると述べています。
CVE-2026-45585の解析
CVE-2026-45585はリモート攻撃経路ではなく、Windows Recovery Environmentを通じて悪用されます。The Hacker Newsによると、攻撃は特別に作成されたFsTxファイルをUSBドライブやEFIパーティションに配置し、BitLockerが有効なターゲットWindowsシステムにメディアを接続し、WinREに再起動し、CTRLキーを押しながら制限のないシェルをトリガーすることを伴います。成功すれば、攻撃者はプレブートリカバリシーケンス中にBitLocker保護されたボリュームにアクセスできます。
実際のところ、公開されたCVE-2026-45585は伝統的なマルウェアドロッパーではなく、信頼されたプレブート動作を悪用する悪意のあるリカバリーシーケンスのセットアップです。そのため、CVE-2026-45585の公開詳細は運用面で非常に重要です。物理的にデバイスを扱える攻撃者がいる場合、リーチ可能なUSBポートやEFIパスと再起動の機会がある影響を受けるマシンはターゲットになる可能性があります。公開されたCVE-2026-45585のPoCはすでに複製の障壁を下げています。
監視の観点から見ると、CVE-2026-45585の検出はネットワーク起因の脆弱性よりも困難です。なぜなら、エクスプロイトがローカルであり、プレブートで発生するからです。引用された報告にはベンダー承認のCVE-2026-45585のIOCはありませんので、CVE-2026-45585への露出を検出する最も現実的な方法は資産レビューを通じて行われます:影響を受けるWindows 11とWindows Server 2025のシステムを特定し、それらがTPMのみのBitLocker保護に依存しているかどうかを確認し、Microsoftの一時的な緩和策がWinREイメージに適用されているかを検証します。
露出の観点から見ると、CVE-2026-45585は、盗難や一時的な物理的アクセス後にオフラインのアクセスから未監視のラップトップ、モバイルワークステーション、またはポータブルサーバーを保護するためにBitLockerに依存している組織に影響します。この欠陥は暗号化自体を破るのではなく、セキュリティ機能をバイパスするため、主なリスクは攻撃者が正当なユーザーがデバイスを再び管理する前にリカバリーワークフローにアクセスできる場合、機密性の喪失です。
CVE-2026-45585の緩和
Microsoftの現在のCVE-2026-45585の緩和指針は2つの主要な道を提供しています。最初の方法は、WinREイメージをマウントし、Session Manager BootExecuteのREG_MULTI_SZ値からautofstx.exeを削除して、オフラインのレジストリ変更を保存し、更新されたイメージをアンマウントしてコミットし、WinREに対するBitLockerの信頼を再確立することです。The Hacker Newsによれば、Microsoftは後にこのワークフローを安全に自動化するスクリプトを追加しています。このスクリプトはWinREをマウントし、オフラインSYSTEMハイブを編集し、エントリが存在する場合は削除し、WinREの再シールを行い、BitLockerの信頼を保持します。
2番目の緩和策は、デバイスをTPMのみの保護から移動させ、TPM+PINを起動時に必要とするようにすることです。Microsoftはすでに暗号化されたシステムでPowerShell、コマンドライン、またはコントロールパネルを使用してこれを行うことができると言っています。まだ暗号化されていないシステムについては、管理者はグループポリシーやIntuneを通じて起動時に追加の認証を有効にし、TPMで起動PINを構成することを推奨されています。Help Net Security は、最初の緩和策が有効であると研究者が見ていることを指摘しています。なぜなら、これはWinREが開始されるとFsTx自動回復ユーティリティが自動的に起動するのを防ぐからです。しかし、一部の研究者はTPM+PINの別のバイパスが現在保持されていると主張しています。
FAQ
CVE-2026-45585とは何で、どのように機能するのでしょうか?
CVE-2026-45585は、BitLockerのセキュリティ機能をバイパスするWindowsの脆弱性で、YellowKeyとも呼ばれています。Windows Recovery Environmentでの信頼された動作を悪用することで、物理アクセスを持つ攻撃者が制限のないシェルをトリガーし、プレブートリカバリー中に暗号化されたボリュームにアクセスできます。
CVE-2026-45585はいつ初めて発見されましたか?
引用された2つの報告書には、プライベートな発見日が公開されていません。公的には、Help Net SecurityがゼロデイがMicrosoftの緩和策の約1週間前に公開されたと述べており、両方の報告書はMicrosoftの緩和措置のリリースを2026年5月20日とし、Help Net Securityが2026年5月21日にスクリプトの更新を指摘しました。
CVE-2026-45585のシステムへの影響は何ですか?
主な影響は、BitLockerで保護されたデータへの不正アクセスです。成功した攻撃によって、物理アクセスを持つ者が暗号化されたドライブを囲む保護を回避し、元々保護されているはずのデータを休止中に読むことができるようになります。
CVE-2026-45585は2026年にも私に影響を与える可能性がありますか?
はい。影響を受けるWindows 11およびWindows Server 2025のビルドを実行しているシステムは、Microsoftの緩和策を適用しておらず、まだ脆弱なリカバリ動作に依存している場合、特に物理アクセスを厳密に制御できない場合には、2026年にも露出する可能性があります。
どのようにしてCVE-2026-45585から自分を守ることができますか?
MicrosoftのWinRE緩和策を適用し、オフラインのBootExecute設定からautofstx.exeを削除し、BitLocker信頼を再シールするか、TPM+PINを要求するようにし、TPMのみの起動保護に依存しないようにします。新しいデプロイメントでは、ポリシーを通じて起動時の追加認証を有効にし、BitLockerが弱いデフォルトパスに依存しないようにします。
