BitLockerを完全回避する4つのゼロデイが見つかる Microsoftが発表：セキュリティニュースアラート

MicrosoftはBlack Hat USA 2025で、WinREの設計変更を悪用し、BitLockerを回避する4件のゼロデイ脆弱性を公開した。物理アクセスで認証不要の攻撃が可能とされている。

[後藤大地，有限会社オングス]

　Microsoftのセキュリティ研究チームは米国ラスベガスで開催された「Black Hat USA 2025」において、「Windows」の暗号化機能「BitLocker」を完全に回避し、暗号化した全データを抽出可能にする複数のゼロデイ脆弱（ぜいじゃく）性が見つかったとして、研究成果を発表した。

　研究ではBitLockerの復旧機能をサポートするために過去に実装された「WinRE」（Windows Recovery Environment）の設計変更が、新たな攻撃面を生む結果となったことが明らかにされている。

高度な手法を使わずにBitLockerを完全回避　数分でデータ抽出が可能

　BitLockerはディスク全体を暗号化して機密データを保護し、攻撃者が物理的アクセスを得てもデータを解読できないようにする機能だ。しかし、WinREは障害時にデータ復旧を可能にするため、BitLocker暗号化ボリュームにアクセスできる状態（Auto-Unlock）を持つ。今回発表した4件のゼロデイ脆弱性はこの特性を利用して認証を経ずに暗号化データを取得できるようにするものだ。

　発表された脆弱性のCVE情報は以下の通りだ。

• CVE-2025-48800：　「Boot.sdi」のWIMオフセットを改ざんし、信頼されているWIM検証を回避することで、改ざん済みのWinREイメージを実行可能にする（CVSS 6.8）
• CVE-2025-48003：　「ReAgent.xml」を悪用し、許可したアプリの「tttracer.exe」を経由してコマンドプロンプトを起動し、暗号化ボリュームにアクセスする（CVSS 6.7）
• CVE-2025-48804：　「SetupPlatform.exe」の設定を改変して特権シェル呼び出しを可能にし、事実上無制限の実行時間を与える（CVSS 6.8）
• CVE-2025-48818：　「Boot Configuration Data」（BCD）を操作し、Push Button Reset機能でBitLockerボリュームを復号するよう誘導する（CVSS 6.8）

　これらの攻撃は、特殊なハードウェアや高度な侵入手法を必要とせず、物理的に端末へアクセスし、簡単なキー操作でWinREを起動できれば成立する。研究チームのデモでは数分以内にBitLocker保護下のファイルや資格情報、システム構成データを抽出できることが示されている。影響範囲は「Windows 10」「Windows 11」「Windows Server」の複数バージョンにおよび、企業や個人の大量のデバイスが潜在的な危険にさらされていたことが報告されている。

　Microsoftは2025年7月の累積更新プログラムでこれらの脆弱性を修正するパッチを提供した。同社は対策として、TPM＋PINによる事前認証を有効化し、WinREが暗号化ボリュームへアクセスする前にユーザー認証を要求する設定を推奨している。またREVISEによるアンチロールバック保護を導入し、古い脆弱な状態へのダウングレード攻撃を防ぐことを求めている。