Ledger Donjon、MediaTekチップの固有の脆弱性を明かす：ニーモニックアクセスにわずか45秒必要

セキュリティ研究者のLedgerのDonjonチームは、モバイルデバイスの暗号資産保護において根本的なリスクを示すMediaTekプロセッサの重大な脆弱性を特定しました。この発見は、Androidスマートフォンのブートレベルのセキュリティメカニズムに関する詳細な調査を通じて、3月11日に明らかになり、数百万のデジタルウォレットユーザーに深刻な影響を及ぼす可能性があります。

攻撃メカニズム：セキュアブートチェーンの悪用

発見された脆弱性は、MediaTekプロセッサのセキュアブートチェーンの欠陥を利用しています。システム起動前にUSB接続を介して、攻撃者は物理的にデバイスにアクセスし、データ保護用の暗号鍵を抽出できます。このプロセスは短時間（45秒未満）で完了し、デバイスのデータ全体、PIN、リカバリーフレーズ（シードフレーズ）を解読可能にします。

研究チームは、Trust Wallet、Kraken Wallet、Phantomなどの人気ウォレットアプリから機密データを抽出できる証明実験（proof-of-concept）を成功させました。これにより、脆弱性は特定のアプリケーションに限定されず、システム全体に及ぶ根本的な問題であることが示されました。

影響範囲：数百万のAndroidデバイスが危険にさらされる

Donjonの調査によると、この脆弱性はMediaTekチップとTrustonicの信頼できる実行環境（TEE）を搭載したAndroidデバイスの約25％に影響を及ぼすと推定されています。この数字は、特に中価格帯や大量生産のスマートフォン市場において、MediaTekの普及率の高さを反映しています。Trustonic TEEは追加のセキュリティ層として設計されていますが、プロセッサレベルの悪用を防ぐことはできません。

この脆弱性の商業的な影響は非常に大きく、特に東南アジアやその他の新興市場で暗号資産ウォレットを利用するユーザーの多くが、同様の仕様のデバイスに依存していることを考えると、そのリスクは無視できません。

モバイルデバイスにおける資産保管の根本的リスク

Ledgerの最高技術責任者（CTO）Charles Guillemetは、モバイルデバイスの根本的な制約について重要な見解を示しています。彼は、スマートフォンは資産の金庫として設計されておらず、そのアーキテクチャは絶対的な安全性よりも機能性と接続性を優先していると指摘します。この根本的な脆弱性は、セキュリティパッチだけでは完全に解決できず、現代のAndroidエコシステムに内在する設計上のトレードオフを反映しています。

Ledgerは、ユーザーに対して最新のセキュリティパッチを速やかに適用するよう推奨していますが、より深いメッセージは、エンタープライズレベルのセキュリティを意識して設計されていないデバイスに暗号鍵を保管することのリスクは無視できないということです。この調査結果は、Ledger自身のハードウェアウォレットのような専用デバイスが、デジタル資産の管理においてより安全な選択肢であることを再認識させるものです。