Windows 11のBitLocker暗号化を物理アクセス下で5分以内に解除できる攻撃ツール「BitUnlocker」が公開されました。セキュリティ企業Intrinsecの研究者が開発したもので、Microsoftが2025年7月に修正済みの脆弱性「CVE-2025-48804」を悪用する手法ですが、攻撃に使われる古いブートマネージャーの署名が無効化されていないため、パッチ適用済みのPCでも依然として影響を受けるとのことです。
BitLockerを5分で解除する攻撃ツール「BitUnlocker」が公開
BitUnlockerが悪用するCVE-2025-48804は、Microsoftのセキュリティリサーチチーム「STORM」が発見し、2025年7月のPatch Tuesdayで修正された脆弱性です。Windows回復環境(WinRE)が起動時に読み込むシステムイメージの管理機構に欠陥があり、ブートマネージャーが正規のイメージを検証する裏で、攻撃者が用意した別のイメージから実際にPCを起動できる状態となっています。攻撃者の用意したイメージにはBitLockerが復号化された状態でコマンドプロンプトを起動する改変済みのWinREが組み込まれており、実行されると暗号化済みディスクの中身に直接アクセス可能となります。
パッチ前のブートマネージャーで攻撃が成立
Intrinsecの調査によると、BitUnlockerはパッチ適用前のbootmgfw.efiバイナリと改変したBCD(Boot Configuration Data)をUSBやPXEブート経由で標的PCに読み込ませることで成立します。セキュアブートはバイナリのバージョン番号ではなく署名証明書を検証する仕様のため、現在もほぼすべてのPCで信頼されている「Microsoft Windows PCA 2011」証明書で署名された旧版ブートマネージャーも有効なバイナリとして扱われています。そのためTPMはBitLockerの暗号化キー(ボリュームマスターキー)を解放し、OSボリュームが復号化された状態でコマンドプロンプトが起動するとのことです。
なお、攻撃には特殊なハードウェアは不要で、物理アクセスとUSBドライブまたはPXEブートサーバーがあれば実行可能で、攻撃の実証コードはすでにGitHub上で公開されています。
BitUnlockerはセキュリティ研究者の間で知られていた「bitpixie」攻撃を発展させたもので、ダウングレード攻撃に対する証明書失効の運用が課題として再び浮上したケースといえます。
対策はTPM+PIN認証の有効化が最も効果的
対策として、Intrinsecは以下の手順を推奨しています。
- TPM+PIN事前ブート認証の有効化(PIN入力がない限りTPMが暗号化キーを渡さなくなるため、最も効果的な対策)
- 更新プログラム「KB5025885」の適用(古い署名のブートマネージャーが無効化され、攻撃の前提が崩れる)
- ブートマネージャー(bootmgfw.efi)の署名が「CA 2023」になっているか確認(古い「PCA 2011」のままなら未対応)
- 高セキュリティ環境では回復環境(WinRE)パーティションの削除も検討
今回の攻撃が成立する条件は、対象PCでBitLockerまたは「デバイスの暗号化」が有効になっており、かつTPM単独で運用されていることです。事前ブート認証としてTPM+PIN方式も選択可能ですが、デフォルト設定はTPM単独のため、暗号化を有効にしているPCの大半が条件に該当する状況です。特にWindows 11 24H2以降はMicrosoftアカウントで初期セットアップを行うと「デバイスの暗号化」が自動有効化されるため、ユーザー自身が暗号化を意識していなくても対象となるケースが少なくありません。
一方、2026年初頭以降にWindowsを新規インストールしたPCや、KB5025885の移行を完了したPCはブートマネージャー署名がCA 2023に移行済みのため、本攻撃の対象外です。
国内でも近年は法人用ノートPCを中心にBitLockerやデバイスの暗号化が前提となっており、紛失・盗難時に暗号化ディスクへアクセスされるリスクが顕在化した形といえそうです。社内PCのKB5025885適用状況とTPM+PIN設定の確認が推奨されており、特に持ち出し用のノートPCでは早期の対応が必要となっています。
