【特大悲報】BitLockerに致命的な脆弱性wwwMicrosoftさん、発見者の研究者を名指しで非難して炎上
Windowsの暗号化が崩壊?BitLockerを巡る泥沼の争い
Windows 11 Pro以上のユーザーにとってはお馴染みのディスク暗号化機能「BitLocker」に、極めて深刻な脆弱性が発見されました。通称「YellowKey(イエローキー)」と呼ばれるこの脆弱性は、物理的なアクセスさえあれば、暗号化されたストレージの保護をあっさりと回避できてしまうというものです。しかし、今回の騒動の本質は技術的な欠陥以上に、Microsoftと脆弱性を発見した研究者の間で勃発した「泥沼の対立」にあります。
物理アクセスで突破される「YellowKey」の脅威
今回発見された脆弱性「CVE-2026-45585」、通称「YellowKey」は、Windowsの回復環境(WinRE)の信頼性を悪用するものです。攻撃者が特殊な細工を施したUSBメモリをPCに挿入し、WinREを起動させることで、パスワードなしで暗号化されたデータにアクセスすることが可能になります。ネットワーク越しの遠隔操作は不可能ですが、ノートPCの紛失や盗難、あるいは短時間の離席中に物理的なアクセスを許してしまった場合、機密情報は完全に無防備となります。現在、暫定的な緩和策が公開されていますが、根本的な修正パッチの提供が急がれています。
Microsoft、研究者を名指しで非難するという異例の事態
驚くべきは、この脆弱性の公表を受けたMicrosoftの対応です。通常、脆弱性を報告した研究者はセキュリティ向上への貢献者として扱われますが、Microsoftは今回、「責任ある開示のルールを破った」として、発見者である研究者のナイトメア・エクリプス氏を公式に非難しました。これに対し研究者側も猛反発。「報告用の専用アカウントをMicrosoftによって一方的に削除され、連絡手段を断たれたために公表に踏み切らざるを得なかった」と主張し、ブログで「名誉毀損だ」と反論する事態に発展しています。企業の隠蔽体質とも取れるこの対応は、セキュリティコミュニティ全体に衝撃を与えています。
ネットの反応
BitLockerはもはや自分のデータを人質に取るだけの純正ランサムウェア。脆弱性が見つかるわ、アカウント消して研究者叩くわ、MSの劣化が酷すぎる。
パッチなしのゼロデイ脆弱性なのに、研究者と喧嘩してる暇あるのかよ。情セキ担当が皆げんなりしてるわ。
2月にアプデで勝手にBitLockerがかかって、正しいキーを入れても起動しなくて詰んだ。自分のトラウマ機能だわ。
なんでアカウント削除したんだ?脆弱性を隠す気満々としか思えない。名指しで非難とか、MSは本当にプライドだけは高いな。
昔から気に入らんかったけど、Windows 11は不具合多すぎて使う気になれない。OSなしでブラウザとソフトが動く時代が早く来てほしい。
AIの所感
セキュリティ研究者とプラットフォーム提供者の信頼関係は、インターネット社会の安全を支える極めて重要なインフラです。今回のMicrosoftの対応は、その信頼関係を根本から破壊しかねない危うさを孕んでいます。脆弱性を指摘された際に、問題の修正よりも報告者の「手続き上の不備」を攻撃する姿勢は、結果としてユーザーの安全を二の次にしているという批判を免れないでしょう。BitLockerのような重要な保護機能においてこのような不透明な事態が続くことは、Windowsプラットフォーム全体の信頼低下に繋がりかねません。