暗号資産を購入市場現物先物取引OIL(WTI)MEXC Earn イベントセンター

Ledger（レジャー）の最高技術責任者（CTO）であるCharles Guillemet（シャルル・ギルメット）氏は2026年3月12日に、Ledgerのセキュリティ研究チームである「Donjon」が、MediaTek（メディアテック）製のプロセッサを搭載したAndroidスマートフォンに深刻な脆弱性が存在することをLedger（レジャー）の最高技術責任者（CTO）であるCharles Guillemet（シャルル・ギルメット）氏は2026年3月12日に、Ledgerのセキュリティ研究チームである「Donjon」が、MediaTek（メディアテック）製のプロセッサを搭載したAndroidスマートフォンに深刻な脆弱性が存在することを

「電源オフでも45秒で突破」LedgerがAndroid脆弱性を公表、数百万台に影響の可能性

著者：Bittimes

出典：Bittimes

2026/03/13 11:33

11 分で読めます

本コンテンツに関するご意見・ご感想は、[email protected]までご連絡ください。

この記事の要点

Ledger CTOが2026年3月12日、Android端末の重大脆弱性を報告
MediaTek搭載スマホでPINやシードを45秒以内に抽出可能
電源オフ状態でも攻撃可能、数百万台の端末に影響の可能性
MediaTekは2026年1月5日にOEM向け修正パッチを提供済み

Ledger研究チームがAndroidスマホの重大な脆弱性を発見

この脆弱性を悪用されると、悪意のある攻撃者が端末への物理的なアクセス手段を得た場合に、わずか45秒という短時間でPINコードや暗号資産（仮想通貨）のシードフレーズなどを抽出できる可能性があるとされています。

驚くべきことに、この攻撃はスマートフォンの電源がオフになっている状態でも実行可能であることが実証されています。シャルル・ギルメット氏は自身の公式Xアカウントでこの問題を公表し、スマートフォンが本来セキュリティに特化した金庫として設計されていないことを改めて警告しています。

セキュアブートチェーンの欠陥と実証実験の詳細

今回発見された脆弱性は「CVE-2025-20435」として識別されており、主にTrustonic（トラストニック）のTEE（Trusted Execution Environment）とMediaTekプロセッサを組み合わせて使用しているAndroid端末に影響を与えると報告されています。問題の根本は、オペレーティングシステム（OS）が起動する前に実行されるセキュアブートチェーンのプロセスに存在しています。

Donjonチームが実施した実証実験（PoC）では「Nothing CMF Phone 1」という端末が使用されました。研究者らはこの端末をUSBケーブルでノートパソコンに接続し、Android OSを起動することなく、基礎的なセキュリティを突破することに成功しました。

攻撃の手順と抽出されるデータの脅威

暗号化キーの抽出：
OSがロードされる前にUSB経由で接続し、Androidのフルディスク暗号化を保護する暗号化キーを抽出する。
オフラインでのデータ復号化：
抽出したキーを利用してスマートフォンのストレージを復号化し、ブルートフォース（総当たり）攻撃で素早くPINを割り出す。
シードフレーズの流出：
Trust Wallet（トラストウォレット）、Kraken Wallet（クラーケンウォレット）、Phantom（ファントム）などの一般的なソフトウェアウォレットから、資産の復元に必要なシードフレーズが完全に抽出される。

シャルル・ギルメット氏は、この研究結果が汎用チップとセキュアエレメント（Secure Element）の構造的な違いを明確に示していると述べています。

一般的なスマートフォンに搭載されているプロセッサは利便性を最優先に設計されていますが、専用デバイスに使用されるセキュアエレメントは、システム全体から秘密情報を物理的に隔離し、強力な攻撃からも鍵を保護するために特化して作られています。

エコシステムへの影響とメーカーによる修正対応の現状

この脆弱性は、世界のAndroidスマートフォンの約25%にあたる数百万台の端末に影響を及ぼす可能性があると推定されています。MediaTekのチップセットは、特にアジアや中南米、アフリカなどで普及しているミッドレンジからエントリークラスのスマートフォンに広く採用されているため、その影響範囲は非常に広大です。

LedgerのDonjonチームは、サイバーセキュリティ業界のベストプラクティスに従い、90日間の責任ある開示プロセスを遵守しました。これにより、脆弱性が一般に公開される前に、関連するベンダーに対して問題が報告されました。

なお、今回の報告では「MediaTekは2026年1月5日に、各スマートフォンメーカー（OEM）に対してこの問題を修正するパッチを提供したことを確認した」とも報告されています。

しかし、修正パッチが提供されたからといって、すぐにすべてのユーザーが安全になるわけではありません。Android端末のセキュリティアップデートは、各メーカーが自社のファームウェアにパッチを組み込んで配信する必要があるため、ユーザーの手元に届くまでに時間がかかる場合や、古い機種ではアップデート自体が提供されないケースも存在します。

ユーザーが講じるべき自己防衛策

OSの最新化：
利用しているスマートフォンに最新のセキュリティアップデートが提供されているかを確認し、速やかに適用すること。
保管方法の見直し：
セキュリティパッチの提供が終了した古い端末に暗号資産などの重要なデータを保管しないこと。
物理デバイスの活用：
より高度なセキュリティを求める場合は、専用のハードウェアデバイスを利用して資産を完全にオフラインで管理することを検討すること。

今回の発見は、利便性とセキュリティのバランスについて業界全体に警鐘を鳴らすものとなりました。悪意のある攻撃者に悪用される前に脆弱性が発見され、修正される仕組みが機能したことは評価されるべきですが、私たちが日常的に使用しているスマートフォンを資産の安全な保管庫として過信することのリスクが改めて浮き彫りになっています。

>>最新の仮想通貨ニュースはこちら

ウォレット関連の注目記事

Trust Wallet「仮想通貨の誤送金詐欺を防ぐ」新機能導入｜32チェーン対応で検知

メタマスク出金にKYC義務化も？FATF「P2P規制強化」勧告｜金融庁が周知

【要注意】仮想通貨「ハードウォレット」利用者に郵送フィッシング詐欺の報告

source：Charles Guillemet 公式X
サムネイル：AIによる生成画像

免責事項：このサイトに転載されている記事は、公開プラットフォームから引用されており、情報提供のみを目的としています。MEXCの見解を必ずしも反映するものではありません。すべての権利は原著者に帰属します。コンテンツが第三者の権利を侵害していると思われる場合は、削除を依頼するために [email protected] までご連絡ください。MEXCは、コンテンツの正確性、完全性、適時性について一切保証せず、提供された情報に基づいて行われたいかなる行動についても責任を負いません。本コンテンツは、財務、法律、その他の専門的なアドバイスを構成するものではなく、MEXCによる推奨または支持と見なされるべきではありません。