Windows 11のBitLocker暗号化を完全回避するゼロデイ攻撃が発見

セキュリティ研究者Nightmare-Eclipseが「YellowKey」と名付けたゼロデイ攻撃を公開し、Windows 11のデフォルトBitLocker保護を完全に回避できることが判明した。BitLockerはMicrosoftが提供する全ボリューム暗号化保護で、TPM（Trusted Platform Module）に格納された復号化キーなしではディスク内容にアクセスできないはずだった。攻撃手順は比較的単純で、まず特製のFsTxフォルダーをNTFSまたはFAT形式のUSBドライブにコピーし、BitLocker保護されたデバイスに接続する。その後デバイスを起動し、Ctrlキーを押し続けながらWindows回復環境に入ると、通常必要なBitLocker回復キーの入力を求められることなく、コマンドプロンプトから暗号化されたドライブ全体にアクセスできるようになる。複数の研究者がこの攻撃の有効性を確認している。攻撃の核心となるFsTxフォルダーは、MicrosoftのTransactional NTFSに関連しているとみられ、ファイル操作におけるトランザクション原子性を提供する機能に関係している可能性がある。セキュリティ専門家のWill Dormannによると、攻撃にはfstx.dllファイルが関与し、このファイルはFsTxFindSessions()関数で特定のパスを検索する仕組みになっている。政府機関との契約を含む多くの組織でBitLockerは必須の保護機能とされており、今回の脆弱性の影響は広範囲に及ぶ可能性がある。Microsoftは現在この問題について調査中としている。