YellowKeyとGreenPlasma:BitLockerを標的とした2つのWindowsゼロデイ脆弱性

セキュリティ研究者が、YellowKeyおよびGreenPlasmaと名付けられた2つの未パッチWindowsゼロデイ脆弱性を公開しました。それぞれBitLocker暗号化とCTFMON入力フレームワークを標的としています。概念実証(PoC)エクスプロイトコードはすでに公開されており、WindowsのBitLockerゼロデイ脆弱性は単なる理論上の話ではありません。データ保護戦略の基盤としてBitLockerを頼りにしている何百万人ものユーザーや組織にとって、この公開情報は深刻な警告と言えます。

YellowKeyとGreenPlasmaが実際に行うこと

YellowKeyは、2つのうちより即座に深刻な脅威をもたらすものです。Windows 10および11、ならびにWindows Server 2022と2025に組み込まれたフルディスク暗号化機能であるBitLockerを標的とします。Windowsリカバリ環境の脆弱性を悪用することで、マシンへの物理的アクセスを持つ攻撃者がBitLockerのデフォルト保護をバイパスし、暗号化されたドライブの内容にアクセスできるようになります。実際には、以前はBitLocker暗号化によって安全とされていた盗まれたノートパソコンのデータが、正しいPINやパスワードなしに読み取られる可能性があります。

GreenPlasmaは、テキスト入力、手書き認識、言語設定を管理するWindowsのバックグラウンドプロセスであるCTFMONを標的とします。この脆弱性はローカル権限昇格を可能にします。つまり、すでにシステムに足がかりを得た攻撃者が、自分の権限をより高いレベルに引き上げ、管理者またはSYSTEMレベルのアクセスを達成できる可能性があります。この2つの脆弱性を組み合わせると危険な状況が生まれます。一方は保存データを守る壁を破り、もう一方は攻撃者が内部に侵入した後のさらなるシステム侵害を可能にします。

執筆時点では、Microsoftはいずれの脆弱性に対してもパッチを発行していません。概念実証コードが公開されており、より高度な技術を持たない脅威アクターによる悪用の障壁が大幅に低下しています。

リスクにさらされているのは誰か、どのデータが露出しているか

BitLockerを有効にしてWindows 11またはWindows Server 2022および2025を実行しているすべてのユーザーが、YellowKeyの影響を受ける可能性があります。物理的アクセスの要件により、完全なリモートエクスプロイトと比較して攻撃対象範囲は限定されますが、その条件はあまり安心材料にはなりません。ハイブリッドワーク環境の従業員が使用するノートパソコン、共有オフィススペースに保管されたデバイス、国境で押収または検査されたマシンは、いずれも現実的な脅威シナリオです。

GreenPlasmaに関しては、リスクプロファイルがある意味でより広範です。ローカル権限昇格の脆弱性は、他の攻撃技術と組み合わせて使用されることが多いです。たとえば、低権限の初期ペイロードを配信するフィッシングメールの後に、GreenPlasmaのエクスプロイトを使用してシステム全体の制御を取得するといった手口が考えられます。企業環境、政府機関、および機密ファイルを扱う個人はすべて標的となる可能性があります。

露出するデータの範囲は、個人文書や財務記録から、企業の知的財産やディスクに保存された認証情報まで多岐にわたります。HIPAA、GDPR、CMMCなどのコンプライアンスフレームワークに基づいて運営されている組織は、これらの脆弱性が規制上の義務に影響を与えるかどうかを評価する必要があります。

BitLockerユーザーがディスク暗号化のみに頼れない理由

YellowKeyの情報公開は、プライバシーを重視するユーザーがしばしば見落とす根本的な制限を示しています。暗号化は、暗号化メカニズム自体が侵害されていない限りにおいてのみデータを保護します。BitLockerはオフライン攻撃、主にドライブが取り外されて別のマシンで読み取られるシナリオに対して保護するよう設計されています。ドライブのロック解除プロセスを管理するまさにその仕組みを標的としたゼロデイエクスプロイトを持つ高度な攻撃者に対して、難攻不落の要塞として設計されたわけではありません。

これが多層防御の核心的な論拠です。どれほど信頼されているとしても、単一のセキュリティ制御に頼ることは単一障害点を生み出します。その制御がバイパスされた場合、攻撃者とデータの間には何も残りません。同じ論理はネットワーク層の脅威にも当てはまります。VPNを通じた転送中のトラフィックの暗号化は、エンドポイントがすでに侵害されている場合には保護になりません。また、エンドポイントを保護しても、信頼できないネットワーク上を暗号化されずに流れるデータは保護されません。

この2つの脆弱性の出現は、脅威アクターが深刻な被害を引き起こすために必ずしも高度なインフラを必要としないことを改めて思い起こさせます。世界中の市民を標的とした偽の政府サイトのようなキャンペーンで記録されているように、ソーシャルエンジニアリングと汎用ツールは、公開されているエクスプロイトと組み合わされて壊滅的な効果をもたらすことがよくあります。BitLockerバイパスの公開PoCは、必要なスキルレベルを大幅に低下させます。

多層防御の手順:パッチ適用、VPN、重層的なセキュリティ

Microsoftが公式パッチをリリースするまで、ユーザーと管理者は以下の手順を実施する必要があります。

Microsoftのセキュリティアップデートを監視する。 Windows Updateを有効にしておき、特にPoCコードが公開されていることを考慮して、帯域外パッチを確認してください。パッチが提供されたら、展開を優先してください。

PINを使用してBitLockerを有効にする。 デフォルトのTPMのみのBitLocker設定は、この種の攻撃に対してより脆弱です。起動前PINを要求するようにBitLockerを設定することで、物理的な攻撃者に対する障壁が高まります。

物理的アクセスを制限する。 重要なマシンには、物理的なセキュリティ管理が重要です。サーバールームの施錠、ノートパソコンのケーブルロック、放置デバイスに関する明確なポリシーはすべて、YellowKeyの攻撃対象範囲を縮小します。

セキュリティ制御を重層化する。 ディスク暗号化は一つの層であり、完全な戦略ではありません。エンドポイント検出および対応ツール、転送中データのネットワークレベル暗号化、強力な認証、ネットワークセグメンテーションと組み合わせてください。VPNを使用することで、攻撃者が侵害されたエンドポイントから横展開した場合でも、送信データがネットワーク上で平文で露出しないようにできます。

特権アカウントを監査する。 GreenPlasmaの権限昇格リスクを考慮して、エンドポイント上でローカル管理者権限を持つアカウントを確認してください。不必要な権限を削減することで、エクスプロイトが使用された場合の被害範囲を限定できます。

これがあなたにとって意味すること

YellowKeyとGreenPlasmaの情報公開は、単一のセキュリティツールでは完全な保護を提供できないことを具体的に示しています。データセキュリティ戦略全体がBitLockerに依存しているなら、今こそより広範なスタックを監査するタイミングです。BitLockerがバイパスされた場合に何が起こるかを考えてみてください。最も機密性の高いファイルを保護する別の層はあるでしょうか?ネットワークトラフィックはディスクとは独立して暗号化されているでしょうか?認証情報とリカバリキーは安全に保存されているでしょうか?

事前の対策は、インシデント発生後よりも発生前の方がはるかに重要です。現在のセキュリティ制御を見直し、利用可能な緩和策を適用し、これらの情報公開をBitLockerだけでは対処できない層を強化する機会として捉えてください。