BitLockerの脆弱性を悪用して暗号化キーに不正アクセス 新手法が見つかる：セキュリティニュースアラート

NeodymeはWindowsの「BitLocker」に存在する脆弱性「bitpixie」を利用し、暗号化キーを取得できるエクスプロイトを公開した。このエクスプロイトは、ネットワークケーブルとキーボードさえあれば実行可能だという。

[後藤大地，有限会社オングス]

　セキュリティ調査企業のNeodymeは2025年1月17日（現地時間）、「Windows」のデバイス暗号化機能「BitLocker」に関する深刻な脆弱（ぜいじゃく）性（CVE-2023-21563）のエクスプロイトを発表した。

　これによって攻撃者はノートPCを分解したり、特殊なツールを使ったりしなくても、暗号化されたデータへのアクセスが可能になるという。

ネットワークケーブルとキーボードがあれば実行可能　エクスプロイトの詳細

　「bitpixie」と名付けられたこの脆弱性は2022年8月に発見され、Windowsブートローダーの一部に起因する。この脆弱性自体は2022年後半に修正されているが、修正後も依然として悪用が可能とされている。

　Neodymeのセキュリティ研究者はbitpixieおよび旧バージョンのブートローダーを利用することでWindowsのデフォルト設定で暗号化されたデバイスのディスク暗号化キー（VMK）を抜き取ることが可能だと伝えた。このエクスプロイトはネットワークケーブルとキーボードさえあれば実行可能で、デバイスを物理的に改造する必要がないと報告されている。

　BitLockerはWindowsが提供するセキュリティ機能で、データを暗号化して紛失や盗難時の情報漏えいを防ぐことを目的としている。しかし今回の問題はBitLockerが備える「デバイス暗号化（Device Encryption）」という簡易版の暗号機能において、特定のシナリオでディスク暗号化キーが不適切に管理されることに起因している。

　Neodymeの調査によると、攻撃の鍵となるのはブートプロセスの脆弱性だという。Windowsブートローダーの過去のバージョンにダウングレードした上で「PXEソフトリブート」と呼ばれる特定の手順を利用することで、暗号化解除に必要なキーが不正にアクセス可能となる。このエクスプロイトは既に修正されたブートローダーのバージョンで防くことは可能だが、ダウングレードすることで依然として悪用可能としている。

　Neodymeはこの脆弱性の存在が確認されたにもかかわらず、Microsoftが完全な対策を講じていないことを指摘している。ユーザーや企業に対してはセキュアブートの強化やBitLockerの高度な設定を適用し、脆弱性を軽減するよう推奨している。また、ファームウェアのアップデートを適用し、ブートローダーのダウングレードを防ぐ措置を講じることも重要だと伝えている。