🔥 この記事の詳細
2026-06-15 更新
B
今週中

セキュリティ研究者のNightmare Eclipse氏が、BitLockerの暗号化を回避できる「GreatXML」というエクスプロイト

脆弱性🌐 英語ソース
📅 2026-06-15📰 xakep
📌 一言でいうと
セキュリティ研究者のNightmare Eclipse氏が、BitLockerの暗号化を回避できる「GreatXML」というエクスプロイトを公開しました。この脆弱性は、Microsoft Defender Offline Scanが一度でも実行されたシステムで発生し、回復パーティションに特定のファイルを配置してWinRE(Windows回復環境)に再起動することで、暗号化されたボリュームへの無制限アクセスが可能になります。攻撃者が物理的にデバイスにアクセスできる状況でリスクが高まります。
🔍該当判定
  • Windowsのディスク暗号化機能『BitLocker』を利用してPCを保護している
  • 過去に一度でも『Microsoft Defender オフラインスキャン』を実行したことがある
  • PCが物理的に盗難に遭ったり、第三者に直接操作されたりするリスクがある環境で利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
物理的なデバイスアクセスを制限し、BIOS/UEFIパスワードの設定やセキュアブートの有効化、およびBitLockerの回復キーを安全に管理することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】BitLocker暗号化回避エクスプロイト「GreatXML」について

お疲れさまです。BitLockerの暗号化を回避する手法に関する情報共有です。

■ 概要
研究者により、Microsoft Defender Offline Scanが実行された履歴のあるシステムにおいて、WinRE(Windows回復環境)を介してBitLockerで暗号化されたボリュームにアクセス可能になるエクスプロイト「GreatXML」が公開されました。物理的なアクセス権を持つ攻撃者が、回復パーティションに特定の構成ファイルを配置することで権限昇格およびデータアクセスを実現します。

■ 影響範囲
- Microsoft Defender Offline Scanを一度でも実行したことのあるWindowsシステム

■ 対応手順
1. デバイスの物理的セキュリティを強化し、未承認のUSBデバイス接続や再起動を防止する。
2. BIOS/UEFIパスワードを設定し、ブート順序の変更を禁止する。
3. セキュアブートが有効であることを確認する。

■ 参考情報
- xakep (ru) 記事

対応優先度: 中
対応期限: 随時
Subject: [Security Advisory] BitLocker Encryption Bypass Exploit 'GreatXML'

Dear IT Administration Team,

We are sharing information regarding a newly disclosed exploit named 'GreatXML' that bypasses BitLocker encryption.

■ Overview
An exploit has been published that allows unrestricted access to BitLocker-encrypted volumes via the Windows Recovery Environment (WinRE). This attack is viable on systems where Microsoft Defender Offline Scan has been previously executed. An attacker with physical access can place specific files (unattend.xml and ReAgent.xml) into the recovery partition to trigger a shell with elevated privileges.

■ Scope
- Windows systems that have run Microsoft Defender Offline Scan at least once.

■ Mitigation Steps
1. Strengthen physical security of endpoints to prevent unauthorized boot-level access.
2. Implement BIOS/UEFI passwords to prevent unauthorized changes to boot order.
3. Ensure Secure Boot is enabled across the fleet.

■ Reference
- xakep (ru) report

Priority: Medium
Deadline: As soon as possible
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-15 のまとめ🔍 記事を検索