BitLockerすり抜けに緩和策。Microsoftは非難するも発見者は「名誉毀損」訴え

　Microsoftは5月21日、BitLocker暗号化保護をすり抜ける脆弱性「YellowKey」の緩和策を公開した。

　YellowKeyは、セキュリティ研究者Nightmare-Eclipse氏が5月13日に発見/報告したBitLockerのゼロデイ脆弱性だ。Windowsの回復環境「WinRE」を悪用したもので、同氏がGitHub上で公開しているFsTxフォルダの中身をUSBメモリなどに移し、WinREを起動する際にCtrlキーを押したままにすれば、BitLockerをすり抜けて暗号化ボリュームの内容にアクセスできてしまう。

　Microsoftは5月19日にこの脆弱性を「CVE-2026-45585」として公開し、5月21日に問題を緩和するためのスクリプトを公開した。このスクリプトはWinRE用で、BootExecuteレジストリ値からautofstx.exeを削除することで、起動のごく初期段階でプログラムが高い権限で実行されるのを防いでリスクを軽減する。

　MicrosoftはこのCVE-2026-45585に対する説明の中で「この脆弱性の概念実証が公開されたことは、協調的脆弱性開示のベストプラクティスに違反するもの」だとして、Nightmare-Eclipseの行動を非難している。

　これに対してNightmare-Eclipse氏は自身のブログにおいて反論。「(これは)私の名誉を傷つける行為だ。あなたはすでに私を中傷すると言っており、それを公の場で行なうことは、対立を解決する助けにはならない。脆弱性を報告するために使用していたMSRCアカウントのアクセス権を意図的に取り消し、説明を求めたのにもかかわらず完全に削除、そして度重なる試みや要求にもMSRCの幹部は一切回答しなかった」として、Microsoftの対応への不満を述べた。