Microsoftへの不満からゼロデイ 脆弱性を連続公開-BitLockerバイパス「YellowKey」と権限昇格「GreenPlasma」のPoCが公開。既にサイバー攻撃に悪用

セキュリティニュース

投稿日時: 更新日時:

Microsoftへの不満からゼロデイ 脆弱性を連続公開-BitLockerバイパス「YellowKey」と権限昇格「GreenPlasma」のPoCが公開。前2件は公開後すぐ実攻撃に悪用

2026年5月12日、「Nightmare-Eclipse」(別名:Chaotic Eclipse)と名乗るセキュリティ研究者が、Microsoftへの事前通知なしに2つの未修正Windowsゼロデイ脆弱性のPoCをGitHubで公開しました。

1件目の「YellowKey」はWindowsのフルディスク暗号化機能BitLockerをバイパスしてTPMで保護されたドライブのシェルアクセスを取得するもの、2件目の「GreenPlasma」はCTFMON(ctfmon.exe)プロセスを悪用してSYSTEM権限への昇格を可能にするものです。

Nightmare-Eclipseは「Microsoftが脆弱性レポートへの対応を怠っている」ことへの不満から公開を決定したと説明しています。同研究者が今年4月に公開した前2件の脆弱性(BlueHammer・RedSun)は、いずれも公開直後に実際の攻撃に悪用された実績があります。

2026年5月13日時点でMicrosoftはYellowKey・GreenPlasmaにCVEを割り当てておらず、パッチも提供していません。

【この記事のサマリー】

  • YellowKey:Windows回復環境(WinRE)の挙動を悪用してTPM-onlyモードのBitLockerを回避し、暗号化ドライブへのシェルアクセスを取得。Windows 11・Windows Server 2022・2025が対象(Windows 10は対象外)。物理アクセスが前提。
  • GreenPlasma:CTFMON(ctfmon.exe)を標的に、Windowsオブジェクトマネージャーのセクションオブジェクト作成を悪用した権限昇格。非特権ユーザーがSYSTEM権限を取得可能。
  • 両脆弱性のPoCは2026年5月12日にGitHubで公開。YellowKeyにはUSBドライブに載せて使うファイル一式が含まれています。
  • Nightmare-Eclipseが今年公開したBlueHammer(CVE-2026-33825)・RedSunは公開後すぐ実攻撃に悪用された経緯があり、今回も早期の悪用が強く懸念されます。
  • 2026年5月13日時点でMicrosoftから修正パッチの提供はありません

研究者「Nightmare-Eclipse」——過去の連続公開と実攻撃への悪用実績

今回の2件を理解するには、同研究者の過去の公開パターンを把握することが不可欠です。

Nightmare-Eclipseは2026年に入ってから以下の脆弱性を連続してMicrosoft製品に対して公開しています。

日付 名前 CVE 内容 実攻撃
2026年4月2日 BlueHammer CVE-2026-33825 Windows Defender経由のローカル権限昇格(LPE) 公開後すぐに悪用確認
2026年4月15日 RedSun 未割り当て ローカル権限昇格(LPE) 公開後すぐに悪用確認
2026年5月12日 YellowKey 未割り当て BitLockerバイパス 未確認(未パッチ)
2026年5月12日 GreenPlasma 未割り当て CTFMONを悪用した権限昇格 未確認(未パッチ)

このパターンで特に警戒されるのは「Microsoftへの不満を理由にした調整開示(Coordinated Disclosure)なしの公開」「公開直後の野生での悪用(in the wild)」という2点です。BlueHammerとRedSunの教訓から、YellowKeyとGreenPlasmaについても早期の実攻撃悪用が高い確率で予想されます。

研究者は今回の公開について「Microsoftの対応への不満から公開を決断した」と明示しています。

YellowKey—BitLockerをバイパスし暗号化ドライブへアクセスする手法

「バックドアのように機能する」——研究者の主張

YellowKeyについてNightmare-Eclipseは「私がこれまで発見した中で最も衝撃的な発見の一つ」と述べ、問題のあるコンポーネントがWindows回復環境(WinRE)の中にしか存在しないため「バックドアのように機能する」と主張しています。

BitLockerはラップトップの盗難・ドライブの取り外し等の物理アクセス脅威に対してデータを保護するための最後の砦です。YellowKeyはその最後の防衛ラインを、暗号アルゴリズムへの攻撃ではなく、回復環境の挙動を悪用するという形で迂回します。

YellowKeyの攻撃手順(PoCの動作)

攻撃者はまずFsTxファイルと呼ばれる特定のファイルをUSBドライブに書き込みます。対象のWindows端末をUSBドライブから起動するか、対象PCのEFIパーティションに当該ファイルを配置します。その後PCをWindows回復環境(WinRE)に再起動し、特定のキーシーケンスを入力することでBitLocker保護ドライブへの無制限シェルアクセスを取得します。

技術的な仕組み——暗号ではなく「信頼の境界」を攻撃

Het Mehta氏(独立セキュリティ研究者)の技術分析によれば、YellowKeyはBitLockerの暗号アルゴリズム自体を破るものではありません。WinREが起動時に特定のコンポーネントを信頼して処理を委ねる際、攻撃者がそのコンポーネントの挙動に介入することで、保護されたボリュームへのアクセス経路を開きます。

「暗号が安全でも、暗号を取り巻く環境が人間によって設計されている以上、その周辺に迂回路が生まれる——これがセキュリティの最も重要な教訓の一つだ」とMehta氏は分析しています。

影響範囲と制限事項

対象OS:Windows 11・Windows Server 2022・Windows Server 2025(Windows 10は対象外)

現在のPoCの制限として、セキュリティ専門家Will Dormann氏の分析では「現在公開されているYellowKeyのPoCはBitLockerの自動ロック解除機能(TPM-onlyモード)を悪用するもの」とされており、対象PCから抜き取ったドライブ単体では機能しない(暗号鍵は元のTPMに紐付いているため)としています。

ただし、研究者自身は「TPM+PINを使用しても問題は解消しない。そのバリアントも存在するがPoCは公開していない」と発言しており、公開済みのPoCより広い範囲に根本的な問題が存在することを示唆しています。

現実的な攻撃シナリオとして、ラップトップ・ミニPC・デスクトップPCへの物理アクセスがある場合(盗難・社内不正者・クリーニング業者等)、BitLockerで保護されているWindowsデバイスの全内容が読み取られるリスクがあります。

GreenPlasma—CTFMONを踏み台にSYSTEM権限を取得する手法

「退屈なコンポーネントが危険なコンポーネントである」

GreenPlasmaは「Windows CTFMON 任意セクションオブジェクト作成 権限昇格脆弱性」と命名されています。標的となるのはctfmon.exe——Windowsのテキスト入力・言語サービス・IME等を管理するコンポーネントです。

ctfmon.exeはすべてのインタラクティブセッションでSYSTEMとして実行されています。セキュリティ研究者の間では「退屈なコンポーネントが最も危険なコンポーネントである」という経験則が共有されており、CTFMONはその典型例です。

GreenPlasmaの攻撃ステップ(Het Mehta氏分析)

Step 1:現在のセッション番号を特定します。

Step 2:CTFMONが参照するオブジェクトパス(例:\Sessions\X\BaseNamedObjects\...)を特定します。

Step 3:Windowsオブジェクトマネージャーのシンボリックリンクを、本来存在すべき場所に攻撃者が制御するパスへのリダイレクトとして作成します。

Step 4:CTFMONの特権フロー(レジストリ操作とパーミッションルールの連鎖)を、攻撃者が制御するオブジェクトパスへ誘導します。

Step 5:攻撃者がセクションハンドルを保持し続けることで、SYSTEMが完全に信頼するメモリ領域のコントロールを取得します。

Step 6:このプリミティブを使って悪意あるシェルコードや偽装DLLをSYSTEMレベルの信頼領域に植え込み、SYSTEM権限のシェルを取得します。

重要な注意点

Nightmare-EclipseはGreenPlasmaのPoCについて「最終的なSYSTEMシェル取得の部分のコードは削除した」と明言しています。ただし、公開されているプリミティブ(任意セクションオブジェクト作成)自体が研究者にとって十分な「足がかり」となるため、経験豊富な攻撃者がPoCを完成させることは技術的には可能と評価されています。

技術的本質—Windows内部の「信頼の連鎖」を攻撃する手法

Nightmare-Eclipseの一連の公開に共通するパターンをMehta氏は以下のように整理しています。

YellowKeyは**回復環境の信頼(Recovery Trust)を攻撃します。WinREは壊れたWindowsを修復するためにシステムへの深いアクセスを持ちます。その「信頼」の境界に隙間があることを利用します。GreenPlasmaは名前空間の信頼(Namespace Trust)**を攻撃します。Windowsオブジェクトマネージャーの名前空間において、本来非特権ユーザーが制御できないはずの場所にオブジェクトを作成できることを利用します。

どちらも「Windowsの暗号アルゴリズムや設計の根本的な欠陥」ではなく、「Windows が自分自身を信頼しすぎる」という本質的なアーキテクチャ上の問題を突いています。これが同研究者の手法の特異性であり、検知・修正の難しさの根源でもあります。

情シス・セキュリティ担当者が今すぐ取るべき対策

YellowKeyへの対策

BitLockerをTPM-only(自動ロック解除)で運用しているデバイスの確認として、現在公開されているPoCはTPM-onlyモードで最も有効です。TPM+PINへの変更を検討してください(ただし研究者はTPM+PINのバリアントも存在すると主張している点に注意)。

WinREへのアクセス制御の強化として、WinREは通常のユーザーに開放すべき環境ではありません。WinREへのアクセスにはネットワーク接続(NLA)や管理者認証の追加要求を検討してください。またreagentc /disableでWinREを無効化する選択肢もあります(トレードオフとして復旧機能が失われる点に注意)。

BitLocker回復キーの管理強化として、Active DirectoryまたはMicrosoft Entra IDへのBitLocker回復キーのエスクローが正しく構成されているか確認してください。

物理セキュリティの強化として、YellowKeyは物理アクセスが前提です。デバイスへの無断物理アクセス防止策(ケーブルロック・施錠保管・UEFIパスワード・セキュアブートの確認)を見直してください。

GreenPlasmaへの対策

特権プロセスの監視強化として、EDRやSIEMを用いてCTFMON(ctfmon.exe)の挙動と、通常とは異なるセクションオブジェクト作成・レジストリ操作を監視してください。

不要なセッションでのCTFMONの制限として、テキスト入力機能が不要なサーバー環境では、CTFMONの実行を制限する設定を検討してください。

両件共通の対策

最小権限の原則(PoLP)の徹底として、GreenPlasmaは非特権ユーザーが前提です。ユーザーに業務上不要な権限が付与されていないか確認してください。

Microsoftの修正パッチの最優先適用として、Microsoftがパッチを公開した際は即時適用の準備をしてください。BleepingComputerはMicrosoftにコメントを求めましたが、2026年5月13日現在、回答は得られていません。

脅威インテリジェンスの継続的な監視として、前2件のBlueHammer・RedSunの教訓から、今回のPoCが実攻撃に悪用されるまでの時間は極めて短い可能性があります。脅威インテリジェンスフィードを監視し、野生での悪用確認状況を追跡してください。

参考情報