「電源オフでも45秒で突破」LedgerがAndroid脆弱性を公表、数百万台に影響の可能性

この記事の要点

Ledger CTOが2026年3月12日、Android端末の重大脆弱性を報告
MediaTek搭載スマホでPINやシードを45秒以内に抽出可能
電源オフ状態でも攻撃可能、数百万台の端末に影響の可能性
MediaTekは2026年1月5日にOEM向け修正パッチを提供済み

Ledger研究チームがAndroidスマホの重大な脆弱性を発見
セキュアブートチェーンの欠陥と実証実験の詳細
1. 攻撃の手順と抽出されるデータの脅威
エコシステムへの影響とメーカーによる修正対応の現状
1. ユーザーが講じるべき自己防衛策

Ledger研究チームがAndroidスマホの重大な脆弱性を発見

Ledger（レジャー）の最高技術責任者（CTO）であるCharles Guillemet（シャルル・ギルメット）氏は2026年3月12日に、Ledgerのセキュリティ研究チームである「Donjon」が、MediaTek（メディアテック）製のプロセッサを搭載したAndroidスマートフォンに深刻な脆弱性が存在することを発見したと報告しました。

この脆弱性を悪用されると、悪意のある攻撃者が端末への物理的なアクセス手段を得た場合に、わずか45秒という短時間でPINコードや暗号資産（仮想通貨）のシードフレーズなどを抽出できる可能性があるとされています。

驚くべきことに、この攻撃はスマートフォンの電源がオフになっている状態でも実行可能であることが実証されています。シャルル・ギルメット氏は自身の公式Xアカウントでこの問題を公表し、スマートフォンが本来セキュリティに特化した金庫として設計されていないことを改めて警告しています。

@DonjonLedger has struck again discovering a MediaTek vulnerability potentially impacting millions of Android phones. Another reminder that smartphones aren’t built for security. Even when powered off, user data – including pins & seeds – can be extracted in under a minute.

— Charles Guillemet (@P3b7_) March 11, 2026

Ledger Donjonが再び動き、数百万台のAndroidスマートフォンに影響を与える可能性のあるMediaTekの脆弱性を発見した。これは、スマートフォンがセキュリティのために作られていないことを示す新たなリマインダーである。電源がオフの状態であっても、PINやシードを含むユーザーデータは1分未満で抽出される可能性がある。

セキュアブートチェーンの欠陥と実証実験の詳細

今回発見された脆弱性は「CVE-2025-20435」として識別されており、主にTrustonic（トラストニック）のTEE（Trusted Execution Environment）とMediaTekプロセッサを組み合わせて使用しているAndroid端末に影響を与えると報告されています。問題の根本は、オペレーティングシステム（OS）が起動する前に実行されるセキュアブートチェーンのプロセスに存在しています。

Donjonチームが実施した実証実験（PoC）では「Nothing CMF Phone 1」という端末が使用されました。研究者らはこの端末をUSBケーブルでノートパソコンに接続し、Android OSを起動することなく、基礎的なセキュリティを突破することに成功しました。

攻撃の手順と抽出されるデータの脅威

暗号化キーの抽出：
OSがロードされる前にUSB経由で接続し、Androidのフルディスク暗号化を保護する暗号化キーを抽出する。
オフラインでのデータ復号化：
抽出したキーを利用してスマートフォンのストレージを復号化し、ブルートフォース（総当たり）攻撃で素早くPINを割り出す。
シードフレーズの流出：
Trust Wallet（トラストウォレット）、Kraken Wallet（クラーケンウォレット）、Phantom（ファントム）などの一般的なソフトウェアウォレットから、資産の復元に必要なシードフレーズが完全に抽出される。

シャルル・ギルメット氏は、この研究結果が汎用チップとセキュアエレメント（Secure Element）の構造的な違いを明確に示していると述べています。

一般的なスマートフォンに搭載されているプロセッサは利便性を最優先に設計されていますが、専用デバイスに使用されるセキュアエレメントは、システム全体から秘密情報を物理的に隔離し、強力な攻撃からも鍵を保護するために特化して作られています。

エコシステムへの影響とメーカーによる修正対応の現状

この脆弱性は、世界のAndroidスマートフォンの約25%にあたる数百万台の端末に影響を及ぼす可能性があると推定されています。MediaTekのチップセットは、特にアジアや中南米、アフリカなどで普及しているミッドレンジからエントリークラスのスマートフォンに広く採用されているため、その影響範囲は非常に広大です。

LedgerのDonjonチームは、サイバーセキュリティ業界のベストプラクティスに従い、90日間の責任ある開示プロセスを遵守しました。これにより、脆弱性が一般に公開される前に、関連するベンダーに対して問題が報告されました。

なお、今回の報告では「MediaTekは2026年1月5日に、各スマートフォンメーカー（OEM）に対してこの問題を修正するパッチを提供したことを確認した」とも報告されています。

しかし、修正パッチが提供されたからといって、すぐにすべてのユーザーが安全になるわけではありません。Android端末のセキュリティアップデートは、各メーカーが自社のファームウェアにパッチを組み込んで配信する必要があるため、ユーザーの手元に届くまでに時間がかかる場合や、古い機種ではアップデート自体が提供されないケースも存在します。

ユーザーが講じるべき自己防衛策

OSの最新化：
利用しているスマートフォンに最新のセキュリティアップデートが提供されているかを確認し、速やかに適用すること。
保管方法の見直し：
セキュリティパッチの提供が終了した古い端末に暗号資産などの重要なデータを保管しないこと。
物理デバイスの活用：
より高度なセキュリティを求める場合は、専用のハードウェアデバイスを利用して資産を完全にオフラインで管理することを検討すること。

今回の発見は、利便性とセキュリティのバランスについて業界全体に警鐘を鳴らすものとなりました。悪意のある攻撃者に悪用される前に脆弱性が発見され、修正される仕組みが機能したことは評価されるべきですが、私たちが日常的に使用しているスマートフォンを資産の安全な保管庫として過信することのリスクが改めて浮き彫りになっています。

>>最新の仮想通貨ニュースはこちら

ウォレット関連の注目記事