## YellowKey：BitLocker バイパス 「Nightmare Eclipse」によって開示された「YellowKey」脆弱性により、攻撃者は **BitLocker** で保護されたドライブへの不正アクセスが可能になります。この研究者は、USB ドライブまたは EFI パーティションに配置された特別に細工された「FsTx」ファイルを使用して、ストレージボリュームへの無制限アクセス権を持つシェルをトリガーする方法を示す概念実証（PoC）exploit を公開しました。 「Nightmare Eclipse」は、**Microsoft** の Security Response Center (**MSRC**）による以前の脆弱性開示の処理に対する不満を理由に、**BlueHammer**（CVE-2026-33825）や **RedSun** を含むゼロデイ脆弱性を積極的に開示してきました。その他の開示された脆弱性には、**GreenPlasma** や **UnDefend** が含まれます。 ## Microsoft の対応：CVE-2026-45585 の緩和策 **Microsoft** は現在、「YellowKey」の欠陥を **CVE-2026-45585** として追跡しており、潜在的な悪用から保護するための緩和策をリリースしました。 「Microsoft は、Windows におけるセキュリティ機能バイパスの脆弱性について認識しており、これは一般に『YellowKey』として知られています。この脆弱性の概念実証が公開されたことは、協調的な脆弱性開示のベストプラクティスに違反しています」と **Microsoft** は勧告で述べています。 推奨される緩和策は以下の通りです。 * セッションマネージャーの BootExecute REG_MULTI_SZ 値から `autofstx.exe` エントリを削除する。 * CVE-2026-33825 の勧告で詳述されているように、WinRE の BitLocker の信頼を再確立する。 * 既に暗号化されているデバイスの BitLocker を「TPM のみ」モードから「TPM + PIN」モードに構成する。 * まだ暗号化されていないデバイスに対して **Microsoft Intune** またはグループポリシーを介して「起動時に追加の認証を要求する」オプションを有効にし、「TPM で起動 PIN を構成する」が「TPM で起動 PIN を要求する」に設定されていることを確認する。 **Tharros** の主任脆弱性アナリストである Will Dormann 氏によると、WinRE イメージが起動したときに `autofstx.exe` が自動的に開始されるのを防ぐことで、`winpeshl.ini` を削除する Transactional NTFS のリプレイを防ぐことができます。  ## 検証のギャップ：自動ペンテストは 1 つの質問に答える。あなたは 6 つ必要。 自動ペンテストツールは真の価値を提供しますが、それらは 1 つの質問に答えるために構築されました。攻撃者はネットワーク内を移動できるか？それらは、あなたの制御が脅威をブロックするか、検出ルールが発火するか、クラウド構成が保持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある 6 つのサーフェスについて説明します。 [今すぐダウンロード](https://hubs.li/Q048zztN0)