Androidの一部に深刻な脆弱性、仮想通貨ウォレットから資金流出の恐れも

仮想通貨ハードウェアウォレット大手レジャー（Ledger）のセキュリティ研究チーム「Donjon」は、MediaTek製プロセッサを搭載した一部のAndroidスマートフォンにおいて暗号化されたユーザーデータを1分足らずで抽出できる深刻な脆弱性を発見しました。

🚨 @DonjonLedger has struck again discovering a MediaTek vulnerability potentially impacting millions of Android phones. Another reminder that smartphones aren’t built for security. Even when powered off, user data – including pins & seeds – can be extracted in under a minute.

— Charles Guillemet (@P3b7_) March 11, 2026

この脆弱性を利用すると、USB接続を介してAndroid OSが起動する前にデバイスのPINコードの取得やストレージの復号が可能になります。

今回の調査では2024年発売の「Nothing CMF Phone 1」を使用した実証実験が行われ、わずか45秒でセキュリティが突破されました。研究チームはデバイスを起動することなく、Trust Wallet、Base、Rabby、Tangem、Phantomといった主要なソフトウェアウォレットからシードフレーズを抽出することに成功したと報告しています。

MediaTek製のチップはソラナの暗号資産スマートフォン「Seeker」をはじめ、サムスン、モトローラ、シャオミなど多くのブランドに採用されています。現時点で脆弱性の影響を受ける具体的な機種の全容は明らかになっていませんが、流出のリスクは仮想通貨だけでなくメッセージや写真、金融情報などデバイス内のあらゆる機密データに及ぶ可能性があります。

レジャーの最高技術責任者（CTO）であるシャルル・ギルメ（Charles Guillemet）氏は、汎用チップは利便性を優先して設計されており秘密鍵の保護には専用のセキュアエレメントが必要であると強調。MediaTekは今年1月にデバイスメーカーへ修正プログラムを提供し3月に入ってからこの問題を公表しています。