メインコンテンツまでスキップ

わずか 45 秒でウォレットが空に:Ledger による MediaTek Dimensity 7300 の脆弱性攻撃を詳解

· 約 14 分
Dora Noda
Dora Noda
Software Engineer

Nothing CMF Phone 1 に USB ケーブルを差し込み、45 秒待つ。それだけで、デバイス上のすべてのホットウォレットのシードフレーズを持ち去ることができる。

これは理論上の脅威モデルではない。Ledger の研究チーム「Donjon」が 2026 年 3 月 11 日に公開した実演デモである。ターゲットとなったのは、MediaTek の Dimensity 7300 (MT6878) だ。これは世界中の Android スマートフォンの約 4 分の 1 に搭載されている 4nm システムオンチップ(SoC)であり、Solana のフラッグシップ端末「Seeker」にも採用されているシリコンそのものである。この欠陥はチップのブート ROM、つまり Android がロードされる前に実行される読み取り専用コードの中に存在する。パッチを当てることはできず、OS のアップデートで軽減することもできない。唯一の修正策は、チップを新しいものに交換することだ。

スマートフォンを暗号資産ウォレットとして信頼している数千万人のユーザーにとって、これは「モバイルファーストのセルフカストディ」という物語がシリコンの物理的限界に衝突した瞬間である。

Ledger Donjon が実際に発見したもの

この攻撃は、教科書通りの電磁波故障注入(EMFI)であり、ラボ用の機器で実行されたが、再現可能なレシピとして公開された。研究者は、スマートフォンのコールドブート中に Dimensity 7300 の上に電磁パルスプローブを配置し、ブート ROM のメモリアクセスチェックと一致するようにパルスのタイミングを合わせた。適切に配置された 1 回のパルスが、まさに絶妙なタイミングでいくつかのビットを反転させ、実行権限を EL3(ARM アーキテクチャにおける最高特権レベル)へと昇格させた。これはカーネル、ハイパーバイザー、そしてチップ上のあらゆるソフトウェアによる境界線を超えたレベルである。

EL3 に到達すれば、あとの要素はすべてその支配下にある。攻撃者は以下のことが可能になる:

  • ハードウェアに保存されているデバイス暗号化キーの読み取り
  • フラッシュストレージの復号
  • Android のロック画面 PIN の抽出
  • その PIN だけで保護されているあらゆるウォレットシードのダンプ

Ledger のチームは、Trust Wallet、Kraken Wallet、Phantom、Base Wallet、Rabby、そして Tangem のモバイルウォレットにおいて、シードの抽出に成功したことを確認した。Donjon チームが Nothing CMF Phone 1 を USB で接続してからシードを入手するまで、一連のプロセスは 45 秒以内だった。

唯一の前提条件は、ロック解除またはロック状態のスマートフォンへの物理的なアクセスと USB ケーブルのみである。OS のゼロデイ脆弱性も、ソーシャルエンジニアリングも、マルウェアも、ユーザーの操作も必要ない。

なぜブート ROM のバグが文明規模の問題なのか

2026 年に公開される脆弱性の多くは、CVE 番号が付与され、同じ週にパッチがリリースされる。しかし、今回の件にパッチはない。構造的に不可能なのだ。

ブート ROM は製造工場でシリコンに焼き付けられる。これはブートローダー、信頼実行環境(TEE)、そして MediaTek や Google、Samsung がオンラインでアップデートできるいかなるコードよりも先に実行される。チップが工場を出荷された時点で、そのブート ROM は不変(イミュータブル)となる。そのコード内のエクスプロイトは、そのデバイスの寿命が尽きるまで、永久的な覗き穴となる。

研究者の推定によると、Dimensity 7300 とその近縁種は、Samsung、Motorola、Xiaomi、POCO、Realme、Vivo、OPPO、Tecno、iQOO などのモデルを含む、全世界の Android スマートフォンの約 25% に搭載されている。これは、この問題に対するソフトウェア修正を一生受け取ることができず、市場から淘汰されるのを待つしかない数億台のデバイスが存在することを意味する。

Solana Seeker の問題

暗号資産ネイティブのユーザーにとって最も受け入れがたい事実は、「Web3 スマートフォン」として販売され、シードフレーズの直接管理をコア機能としている Solana Seeker が、Dimensity 7300 で動作しているということだ。

Solana Mobile の設計は、まさにこのエクスプロイトが狙い撃ちする場所に価値を集中させている。Seeker は、メインのアプリケーションプロセッサ上のハードウェア支援型キーストアである「Seed Vault」に秘密鍵を保管している。しかし、そのプロセッサ自体のブート ROM が電磁パルスによってバイパス可能になった。Seed Vault は Android の TEE と SoC のハードウェア支援型キーストアに依存しているが、これらはどちらも EL3 よりも下位に位置する。攻撃者がブート ROM 経由で EL3 に到達した場合、キーストアの脅威モデル全体が逆転する。「安全な」ゾーンが攻撃者の支配下に置かれるのだ。

Solana Mobile は本稿執筆時点で、更新された脅威モデルを発表していない。しかし、設計上の選択は今や公のものとなった。消費者向けの SoC に鍵を保存する Web3 スマートフォンは、同じシリコンを使用している他の Android 端末と比べて、セキュリティが強化されているわけではない。

MediaTek の回答:「対象外」

セキュリティ専門誌に対する MediaTek の公式声明は、驚くほど率直なものだった。同社は、MT6878 は「金融グレードのセキュアエレメント」ではなく「消費者グレードのコンポーネント」として設計されているため、EMFI 攻撃は**「対象外(out of scope)」**であると述べた。ハードウェア暗号資産ウォレットなど、より高いセキュリティを必要とする製品については、設計者が「EMFI 攻撃に対する適切な対策を含めるべきである」としている。

要約すればこうだ:このチップは金庫になることを想定して作られていない。それにもかかわらず、業界はその上に金庫を築き上げたのだ。

この主張は技術的には正しく、戦略的には壊滅的である。Dimensity 7300 が部品表(BOM)に含まれている限り、すべての Android 暗号資産ウォレット、すべてのモバイルパスキー、すべてのスマートフォン内キーストアは、ベンダー自らが宣言したセキュリティモデルの枠外で動作していることを意味する。

真のセキュアエレメントとはどのようなものか

専用のセキュアエレメント(SE)チップ(Ledger のハードウェアウォレット、YubiKey、SIM カード、決済カードに搭載されている EAL6+ や EAL7 認定のシリコン)の存在意義は、まさに Donjon が実演したようなクラスの攻撃に耐えることにある。セキュアエレメントは以下のような設計がなされている:

  • プローブ(探針)による試行を検知し、チップを消去するアクティブシールド
  • すべてのクロックサイクルにおける電圧およびクロックのグリッチ検知
  • 改ざんフラグを作動させる光および電磁波センサー
  • タイミングを合わせた故障注入を統計的に不可能にするランダム化された内部クロック
  • 相互チェックを伴う機密操作の冗長実行

消費者向け SoC Like の Dimensity 7300 には、これらの機能は一切備わっていない。これらはワットあたりの性能やダイ面積を最適化するように設計されており、電磁パルスプローブと忍耐力を備えた研究者の攻撃に耐えるようには作られていない。それらが実行する暗号化操作は、ソフトウェアによって強制された境界線に囲まれた汎用コンピューティングの中で行われる。そして Donjon が証明したように、その境界線は物理的な攻撃の前に屈する。

これが、Ledger が今回の開示で示した一線である。セルフカストディや機密性の高い暗号技術を扱う者にとって、セキュアエレメントは依然として不可欠である。なぜなら、それらはハードウェア攻撃を防ぐために特別に設計されているからだ。これはハードウェアウォレットベンダーによるポジショントークではあるが、同時に正しい指摘でもある。

実際に対策を講じる必要があるユーザー

すべての Dimensity 7300 所有者がクリプト・クジラ(大口保有者)というわけではありません。実用的なリスクモデルが重要です:

高リスク — 今すぐ行動してください:

  • 影響を受けるスマートフォンのホットウォレットに、失うことが許容できない額以上の資産を保管している
  • スマートフォンが一時的に自分の直接の管理下から離れることがある(旅行、修理店、国境検問、共有世帯など)
  • Solana Seeker を主要なカストディ(自己管理)デバイスとして使用している
  • 高価値のアカウント(取引所、メール、リカバリーキーを含むクラウドストレージ)を保護するためにモバイルパスキーに依存している

中リスク — 移行を計画してください:

  • Dimensity 7300 または関連する MediaTek SoC を搭載したデバイスのモバイルホットウォレットに、ロングテール資産(マイナーな銘柄)を保有している
  • 標的型盗難の可能性がある環境にデバイスを持ち込む

低リスク:

  • 資金がすでに専用のセキュアエレメント搭載ハードウェアウォレット(Ledger、Trezor Safe、Coldcard、Keystone など)で保管されている
  • モバイルウォレットの残高が少なく、ホットウォレットの少額運用資金として扱っている

最初の 2 つの層に該当するすべての人にとって、取るべき行動は常に同じです。資金を専用のセキュアエレメントの背後に移動させることです。物理的な攻撃に耐えることだけを目的としたハードウェアウォレットに、多額の残高を移行してください。モバイルウォレットは貯蓄口座ではなく、支払い用のアカウントとして扱ってください。

Web3 インフラストラクチャに対する広範な教訓

この脆弱性の公開は、長年にわたるアーキテクチャ上の議論の真っ只中に行われました。一方の陣営 — Solana Mobile、スマートフォン統合型ウォレット、パスキー・マキシマリスト — は、普及している消費者向けシリコンで「十分」であり、単一デバイスによる UX の向上がセキュリティのトレードオフを正当化すると主張してきました。もう一方の陣営 — Ledger、Trezor といったハードウェアウォレットの守旧派 — は、セルフカストディには専用設計のシリコンが必要であると主張してきました。

Donjon による 45 秒間のデモはこの議論を終わらせるものではありませんが、決定的なデータポイントとなります。EMFI(電磁フォールト注入)装置のコストは、10 年前の 6 桁ドルから、現在では十分な資金を持つ研究室や組織犯罪グループが組み立てられるレベルまで低下しています。実用的な攻撃のハードルが下がれば、許容されるシリコンの基準は上がります。2020 年には「おそらく大丈夫」だった消費者向け SoC は、現在では 1 分足らずで破られることが文書化されています。

ビルダーにとっての教訓はより鋭敏です。ユーザーの汎用スマートフォンを最終的な金庫(ヴォルト)として機能させるあらゆるアーキテクチャは、パッチ不可能な種類のリスクを継承していることになります。マルチパーティ計算(MPC)、閾値署名、ソーシャルリカバリ、そして専用のセキュアエレメントは、被害妄想ではありません。それらは、まさにこのようなシリコンレベルの不測の事態に対するヘッジ(備え)なのです。

今後の展望

MediaTek がこれを修正することはありません。OTA(無線アップデート)でも不可能です。Dimensity 7300 は製品サイクルが終了するまで出荷され続け、普及したデバイスは今後数年間にわたって脆弱なままとなります。今後、以下の 3 つのことが予想されます:

  1. クリプト・ネイティブ・ユーザーの静かな移行:Android のホットウォレットからハードウェアウォレットや MPC ベースのサービスへの移行が進みます。これはまずサポートチケットの量に現れ、次にモバイルウォレットに関連するアドレスからのオンチェーンフローとして可視化されるでしょう。
  2. 「Web3 スマホ」というナラティブの再評価:Solana Seeker は、更新された脅威モデルを公開するか、カストディ・アーキテクチャを外部のセキュアエレメントに移行することを余儀なくされるでしょう。
  3. さらなる脆弱性公開:Donjon が単独で発表することは稀です。Dimensity 7300 が 45 秒で陥落したのであれば、現在キー保管に安全であると販売されている他の消費者向け SoC も同様の精査を受けるべきであり、実際にそうなるでしょう。

ポケットの中のスマートフォンは並外れたコンピューターですが、金庫ではありません。その違いが業界のカストディ構築方法に早く反映されるほど、2027 年に 45 秒間の悲劇に関するニュースを目にすることは少なくなるでしょう。

BlockEden.xyz は、Sui、Aptos、Ethereum、Solana などにおいて、エンタープライズグレードのブロックチェーンインフラストラクチャを提供しています。これは脅威モデルが文書化され、シリコンが専用設計され、障害モードが既知であるような基盤です。API マーケットプレイスを探索して、永続性を考慮して設計されたインフラストラクチャ上で構築を開始しましょう。

情報源

Share on Twitter