セキュリティ研究者は、MediaTekプロセッサを搭載した特定のAndroidスマートフォンに脆弱性を発見しました。この脆弱性により、物理的にアクセスできる攻撃者が、1分以内に機密データや暗号ウォレットのシードフレーズを抽出できる可能性があります。
@DonjonLedgerは再び、数百万台のAndroidスマートフォンに影響を与える可能性のあるMediaTekの脆弱性を発見しました。スマートフォンはセキュリティ向きに作られていないことを改めて思い知らされます。電源を切っている状態でも、ユーザーデータ(PINやシードフレーズを含む)は1分以内に抽出可能です。
— Charles Guillemet (@P3b7_) 2026年3月11日
この脆弱性は、Ledgerのセキュリティ研究部門Ledger Donjonによって特定され、Nothing CMF Phone 1での実証実験が行われました。研究者によると、この脆弱性はMediaTekチップセットとTrustonic技術を組み合わせて使用しているデバイスに影響します。
テスト中、チームはスマートフォンをUSB経由でノートパソコンに接続し、約45秒でコアセキュリティ保護を回避することに成功しました。
Android OSを起動させることなく、攻撃は自動的にデバイスのPINを回復し、ストレージを復号化し、複数の人気暗号ウォレットアプリに保存されたシードフレーズを抽出しました。
研究者は、この攻撃はデバイスのハードウェアセキュリティ層をターゲットにしているため、電源を切った状態でも実行可能であると警告しています。
理論上、攻撃者が一時的に物理的にアクセスできれば、ソフトウェアベースの暗号ウォレットアプリに保存された機密情報が漏洩する可能性があります。
この問題にはCVE-2025-20435の識別子が割り当てられ、MediaTekプロセッサとTrustonicのTEEアーキテクチャに依存する数百万台のAndroidスマートフォンに影響を与える可能性があります。
Ledger Donjonは、責任ある情報開示のプロセスに従い、影響を受けるベンダーに通知した上で結果を公開しました。MediaTekは2026年1月5日にスマートフォンメーカーにセキュリティ修正を提供し、ソフトウェアアップデートを通じてパッチを展開できるようにしました。
この研究は、一般的なスマートフォン用チップと暗号秘密を保護するために設計された専用ハードウェアとのアーキテクチャの違いを浮き彫りにしています。
セキュリティ専門家は、ソフトウェアベースの暗号ウォレットアプリは便利である一方、セキュアエレメントなどの専用ハードウェアセキュリティコンポーネントは、特に物理攻撃のシナリオにおいて、秘密鍵やシードフレーズの保護により強力な防御を提供すると指摘しています。
あなたのWeb3アイデンティティ+サービス+支払いを一つのリンクで。今すぐpay3.soのリンクを手に入れましょう。
