Chi tiết bài báo

Androidスマートフォンを事故じこや盗難とうなんによって紛失ふんしつした場合ばあい、多おおくのユーザーは端末たんまつがロックされていることをもって一定いっていの安心感あんしんかんを抱いだくことだろう。しかし、MediaTek製せいチップセットを搭載とうさいしたAndroid端末たんまつを利用りようしている推定すいてい8億おく7500万まん人にんにとって、その安心あんしんはもはや当あてにならないものとなりつつある。
セキュリティ研究者けんきゅうしゃによれば、MediaTekの複数ふくすうチップに存在そんざいする重大じゅうだいな脆弱性ぜいじゃくせいが発見はっけんされたという。この脆弱性ぜいじゃくせいは、端末たんまつが完全かんぜんに起動きどうする前まえの段階だんかいにおいて、セキュリティPINや暗号化あんごうかストレージを保護ほごするルートキーをわずか60秒びょう足たらずで復元ふくげんできるというものである。すなわち、Android端末たんまつが電源でんげんオフの状態じょうたいでも、攻撃者こうげきしゃが物理的ぶつりてきに端末たんまつへアクセスできれば、極きわめて短時間たんじかんでロック解除かいじょやデータ抽出ちゅうしゅつが可能かのうとなるのだ。
近年きんねん、Androidスマートフォンのセキュリティを巡めぐっては、ゼロデイ脆弱性ぜいじゃくせいやバックドアの存在そんざいなど、さまざまな問題もんだいが指摘してきされてきたが、今回こんかい明あきらかになったのはファームウェアレベルにおける根本的こんぽんてきな欠陥けっかんである。Ledger社しゃのDonjon Hacker Labに所属しょぞくする研究者けんきゅうしゃらは、MediaTekチップセット搭載とうさい端末たんまつにおいて、攻撃者こうげきしゃがUSB接続せつぞくを通とおじてOSが起動きどうする前まえにルート暗号鍵あんごうかぎを抽出ちゅうしゅつし、オフライン環境かんきょう下かでストレージの復号ふくごうやPINのブルートフォース攻撃こうげきを行おこなえることを実証じっしょうした。これにより、メッセージや写真しゃしん、さらには暗号資産あんごうしさんウォレットのシードフレーズなど、あらゆるユーザーデータが数秒すうびょうで不正ふせいに取得しゅとくされる危険性きけんせいがある。
Ledgerの最高さいこう技術ぎじゅつ責任者せきにんしゃであるシャルル・ギルメ氏しは、同社どうしゃが関連かんれんベンダーと協調きょうちょうし、責任せきにんある情報じょうほう開示かいじプロセスを経へて脆弱性ぜいじゃくせい修正しゅうせいパッチのリリースに至いたったと説明せつめいしている。実際じっさい、MediaTekは2024年ねん1月がつに本ほん脆弱性ぜいじゃくせい（CVE-2025-20435）に対たいする修正しゅうせいを公開こうかいしたものの、Androidエコシステムの断片化だんぺんかという構造的こうぞうてき問題もんだいから、いまだ約やく25％の端末たんまつ、すなわち8億おく7500万まん台だいが未対策みたいさくのまま残のこされていると推定すいていされる。
本ほん脆弱性ぜいじゃくせいはMediaTekのセキュアブートチェーンに起因きいんしており、影響えいきょうを受うけるチップセットの一覧いちらんは同社どうしゃウェブサイトで確認かくにんできる。また、ユーザー自身じしんもGoogleやGSMArena等とうのリソースを活用かつようし、利用りよう端末たんまつのチップセット情報じょうほうを調しらべることが推奨すいしょうされる。ギルメ氏しは「スマートフォンは金庫きんことして設計せっけいされたものではなく、秘密ひみつ情報じょうほうの保存ほぞんには本質的ほんしつてき限界げんかいがある」と警鐘けいしょうを鳴ならしている。Ledgerが暗号資産あんごうしさん向むけハードウェアの事業者じぎょうしゃであることを差さし引ひいても、同氏どうしの指摘してきは十分じゅうぶんに傾聴けいちょうに値あたいする。
幸さいわいにも、問題もんだいとなるファームウェアはアップデートによって修正しゅうせい可能かのうである。しかし、最新さいしんのセキュリティアップデートが端末たんまつに適用てきようされていない限かぎり、ユーザーは依然いぜんとしてリスクにさらされている。したがって、各自かくじが自身じしんの端末たんまつに最新さいしんパッチが適用てきようされているか確認かくにんすることが不可欠ふかけつである。筆者ひっしゃはGoogleにも本件ほんけんに関かんするコメントを求もとめており、Androidユーザーに対たいする追加的ついかてきな助言じょげんが示しめされることが期待きたいされる。