WindowsのBitLocker暗号化を突破できる欠陥 CVE-2026-45585、更新を
Windowsの回復環境WinReを悪用し、物理アクセスとUSB1本でディスク暗号化「BitLocker」やUEFI/BIOSパスワードを数分で突破できる欠陥(CVE-2026-45585、通称YellowKey)が公開されました。紛失・盗難PCの「暗号化済みだから安全」が崩れます。Microsoftは2026年6月の月例更新で修正、即適用を。
堀川 慎
Backend Engineer / AWS / Django / Go
Windowsの回復環境WinReを悪用し、物理アクセスとUSB1本でディスク暗号化「BitLocker」やUEFI/BIOSパスワードを数分で突破できる欠陥(CVE-2026-45585、通称YellowKey)が公開されました。紛失・盗難PCの「暗号化済みだから安全」が崩れます。Microsoftは2026年6月の月例更新で修正、即適用を。
盗まれたり一時的に手元を離れたりしたWindowsパソコンの、ディスク暗号化「BitLocker(ビットロッカー)」を、わずか数分で突破できてしまう欠陥が公開されました。共通の脆弱性識別番号は CVE-2026-45585(通称「YellowKey」)。日本では2026年6月23日に JVN(JVNVU#90386605) が、米CERT/CCも VU#226679 として注意喚起しています。深刻度はMicrosoft評価でCVSS 6.8ですが、「暗号化していたから安全」という前提を崩す点で実害が大きい欠陥です。
攻撃の舞台は、Windowsの「回復環境(WinRE)」です。USBメモリ1本と物理的なアクセスがあれば、攻撃者はパソコンを細工した経路でWinReへ入り込み、本来求められるはずの管理者確認をすり抜けて、BitLockerの暗号化や、UEFI/BIOSに設定したパスワード保護を回避できます。実証コード(PoC)はすでに公開されており、Microsoftは2026年6月のWindows Update(月例パッチ)で修正しました。対象はWindows 10 / 11、Windows Server 2022 / 2025です。
| 脆弱性番号 | CVE-2026-45585(YellowKey / JVNVU#90386605) |
| 対象 | Windows 10 / 11 Windows Server 2022 / 2025 |
| 深刻度 | CVSS 6.8(Microsoft評価) |
| 何ができる | BitLocker暗号化・BIOS/UEFI パスワードの回避 |
| 攻撃の条件 | 端末への物理アクセス+USB (ネット越しでは不可) |
| 対策 | 2026年6月の月例更新を適用 + TPM+PIN など |
この欠陥は誰に、どんな被害をもたらすのか
この欠陥が刺さるのは、紛失・盗難にあったノートPCや、持ち主が席を外した数分のあいだに端末へ触れる攻撃者です。セキュリティの世界では、不在中にこっそり端末を操作する手口を「Evil Maid(イービルメイド=悪意あるメイド)攻撃」と呼びます。ネット越しに誰でも、という性質ではなく、現物に手が届くことが前提です。
その相手は、USBメモリから端末を起動して回復環境に入り込み、暗号化されていたディスクの中身や、BIOSパスワードで守っていたはずの設定を、本人になりすますことなく読み出します。研究者の実証では、必要なのはUSBメモリ1本だけで、数分のうちに鍵を再構成してロックを解いたと報告されています。
被害の本質は、「暗号化していたから大丈夫」という安心が崩れることです。これまで企業の端末紛失は、BitLockerで暗号化していれば「中身は守られている=影響は限定的」と整理できました。ところがこの欠陥が成立すると、紛失・盗難した1台から、保存していた顧客データ・設計情報・社内システムへのログイン情報まで抜き取られる恐れがあります。個人にとっても、盗まれたノートPCの中の写真・書類・パスワードが、暗号化ごしでも危険にさらされるということです。だからこそ、後述する更新と設定の見直しが要ります。
この種の「起動の入口」を狙う攻撃は近年とくに増えています。当サイトでも、セキュアブート(正規のOSだけを起動させる仕組み)を回避する欠陥を取り上げました。パソコンの「いちばん最初に動く部分」は、守りの土台であると同時に、攻撃者にとって魅力的な突破口になっています。
技術的に何が起きているのか
鍵になるのは、Windowsの回復環境(WinRE:Windows Recovery Environment)です。WinReは、Windowsが起動しなくなったときの修復用に用意された特別な起動モードで、通常のWindowsとは別の経路で立ち上がります。CERT/CCのVU#226679によると、このWinReへ入る代替の起動経路では、通常のOS起動時に効くUEFI/BIOSのセキュリティ確認が一貫して適用されないことがあり、起動順を指示する「BootNext」という変数が認証されないため、ファームウェアのパスワードをすり抜けられます。
BitLockerの突破はこの延長線上にあります。公開された手口では、端末を細工した起動オプションで強制的にWinReへ落とし込み、アクセス制御の抜けを突いてコマンド画面を開き、セキュリティチップ「TPM」が保持する情報(PCR値)を読み出してディスクの暗号鍵を組み立て直します。早い段階で動く「BootExecute」の仕組みに紛れ込ませる手口も報告されています。一連の流れは2分足らずで完了するとされ、必要な道具はUSBメモリだけです。
この問題はWindows単体の話にとどまらず、PCのファームウェア(UEFI/BIOS)側の作りにも関係します。CERT/CCの調整では、AMI・Insyde・Intel・Supermicroは対策済みまたは非該当とされる一方、GIGABYTEは影響ありで「設計上のトレードオフ」と判断したと整理されています。つまり、Windowsの更新を当てたうえで、お使いの機種のファームウェア側の状況も確認するのが安全です。
いま分かっていること・まだ分からないこと
✓ 確認済みの事実
- ✓CVE-2026-45585(YellowKey)はWinRe経由でBitLocker/UEFI・BIOSパスワードを回避でき、物理アクセスが前提(CERT/CC / Microsoft)
- ✓実証コード(PoC)が公開済み。研究者「Nightmare Eclipse」が0dayとして公表(Help Net Security)
- ✓Microsoftは2026年6月の月例更新で修正。対象はWindows 10/11・Server 2022/2025
? 留意点
- ?ネット越しの遠隔攻撃はできない(物理アクセスが必須)。ただし紛失・盗難・持ち出しでは現実的な脅威
- ?ファームウェア側の対応はメーカーによって差がある(GIGABYTEは影響ありと整理)。機種ごとの確認が要る
いま何をすべきか
最優先は、2026年6月のWindows月例更新を適用することです。Microsoftの更新ガイド(CVE-2026-45585)に沿って、Windows Updateが最新まで当たっているかを確認してください。更新が完了していれば、この欠陥そのものは塞がれます。
そのうえで、暗号化の守りを底上げする設定も有効です。BitLockerを「TPM+PIN」(起動時に暗証番号の入力を求める方式)にしておくと、たとえ似た手口が出てきても、PINを知らない攻撃者には鍵が渡りません。更新前のつなぎとしてMicrosoftが案内していた緩和策には、回復環境(WinRE)を一時的に無効化する(管理者権限で reagentc /disable)、起動時に管理者認証を求める、USBメディアやEFIシステムパーティションからの起動を制限する、といったものがあります。組織で多数の端末を管理している場合は、6月更新の適用状況を一覧で確認し、紛失・盗難時の対応手順も「暗号化済みだから安全」を前提にしないよう見直しておくとよいでしょう。最後に、物理的な持ち出し・放置を減らす基本的な端末管理も、この種の攻撃には確実に効きます。
まとめ
CVE-2026-45585(YellowKey)は、Windowsの回復環境WinReを悪用し、物理アクセスとUSB1本でBitLockerのディスク暗号化やUEFI/BIOSパスワードを数分で突破できる欠陥です。深刻度はCVSS 6.8ですが、「暗号化していれば紛失・盗難でも安心」という前提を崩す点で軽視できません。Microsoftは2026年6月の月例更新で修正済みで、まずはこの更新の適用が要点です。
あわせて、BitLockerのTPM+PIN化や、端末の物理管理の見直しもおすすめします。パソコンの「いちばん最初に動く部分」を守ることが、暗号化を本当に意味のあるものにします。