MediaTek製Android端末に重大脆弱性——ロック画面がUSB接続45秒で突破される

2026年3月12日、AndroidデバイスにCVE-2026-20435と識別される脆弱性が公表された。TrustonicのTEE（Trusted Execution Environment）を採用したMediaTek製SoC（System-on-a-Chip）を搭載するAndroid端末に影響し、主に低価格モデルが対象となる。

研究者は脆弱性のある端末をUSB経由でノートPCに接続し、60秒以内にPINコードの取得、ストレージの復号、ソフトウェアウォレットからのシードフレーズの抽出が可能であることを実証した。この脆弱性はAndroidの起動前にフルディスク暗号化を保護するルートキーを抽出できるため、ロック画面とフルディスク暗号化による保護が機能しない。MediaTekは2026年1月5日にデバイスメーカーがセキュリティアップデートに組み込める形でファームウェアパッチをリリースしている。

From: Android により、60秒以内にロック画面を解除される可能性があります｜Malwarebytes

【編集部解説】

今回の脆弱性を発見したのは、暗号資産ハードウェアウォレットで知られるLedger社のセキュリティ研究チーム「Donjon」です。彼らはCMF Phone 1 by Nothingを使って攻撃を実証し、USB接続からわずか約45秒で端末のPIN、ディスク暗号化キー、暗号資産ウォレットのシードフレーズを抽出することに成功しました。なお元記事のタイトルにある「60秒以内」は、この実証にかかった時間を指しています。

この脆弱性の最も重要なポイントは、「Androidが起動する前」に攻撃が完結するという点です。通常、スマートフォンのセキュリティはOSが動いている前提で設計されています。しかしこの攻撃は、OSが動き出すよりも前の段階、すなわちブートチェーン（起動シーケンス）の隙を突いてTEE（信頼実行環境）に侵入します。TEEとは、メインプロセッサ内に設けられた隔離された安全領域であり、暗号鍵や生体認証データなどの最も機密性の高い情報を守る仕組みです。ここが突破されると、ロック画面もフルディスク暗号化も、文字どおり「なかったこと」になります。さらに重要なのは、端末の電源が完全に切れた状態でも攻撃が成立するという点です。「電源を切れば安全」という常識すら、今回は通用しません。

他メディアの報道で重要な情報が補足されています。影響を受けるMediaTek製SoCは、世界のAndroidスマートフォンのおよそ25%（4台に1台）に搭載されているとされており、Malwarebytesの元記事が「主に低価格モデル」と限定的な表現をしているのに対し、実際には中価格帯の端末も含まれています。OPPO、vivo、OnePlus、Samsungといったブランドの製品も対象チップリストに含まれており、影響範囲は決して「一部の格安スマホ」に限った話ではありません。

攻撃に必要な条件は「物理的なアクセスとUSBケーブル」のみです。マルウェアの感染も、画面の操作も、専門的な機材も不要です。空港や駅などで短時間スマートフォンから目を離した隙、あるいは紛失・盗難の場面で、この攻撃は成立します。特に暗号資産のシードフレーズが抜き取られた場合、ウォレットの資産はすべて失われるリスクがあります。

ポジティブな側面としては、DonjonチームがMediaTekとTrustonicに対して公表の約90日前に責任ある開示（Responsible Disclosure）を行い、MediaTekは2026年1月5日にパッチをOEM各社へ提供済みであるという点が挙げられます。セキュリティコミュニティとチップメーカーが適切に連携した、模範的な脆弱性対応のプロセスが踏まれています。

しかしリスクは残ります。MediaTekはチップメーカーであり、ユーザーのデバイスに直接アップデートを届ける立場にありません。パッチの配布はスマートフォンメーカー（OEM）に委ねられており、そのOEMがいつアップデートをリリースするかはメーカーごとに異なります。サポートが終了したEOL端末に至っては、パッチが届かない可能性もあります。AndroidのパッチギャップはGoogleが長年取り組んでいる課題ですが、今回の事例はその構造的な問題を改めて浮き彫りにしました。

長期的な視点で見ると、この脆弱性はスマートフォンを「暗号資産の保管場所」として使うことへの根本的な問いを投げかけています。LedgerのCTO、シャルル・ギュメはX（旧Twitter）上で、スマートフォンはそもそも暗号資産のボルト（金庫）として設計されていないと明言しています。TEEはメインプロセッサ上のソフトウェア的な分離に過ぎず、物理的に独立したセキュアエレメントを持つハードウェアウォレットとは根本的にアーキテクチャが異なります。この事実は、モバイルセキュリティの設計思想そのものが問われる転換点になるかもしれません。

規制の観点からも注目すべき動きが予想されます。暗号資産関連の規制強化が世界各地で進む中、モバイル端末のセキュリティ要件が議論のテーブルに上がる可能性があります。特にTEEの実装基準やOEMへのパッチ配布義務化といった議論が、今回の事案を契機に加速することも考えられます。

【用語解説】

CVE（Common Vulnerabilities and Exposures）
ソフトウェアやハードウェアに発見されたセキュリティ上の脆弱性を一意に識別するための国際的な番号体系。「CVE-2026-20435」のように、発見年と連番で管理される。

SoC（System-on-a-Chip）
CPU・GPU・通信モジュール・セキュリティ処理回路など、スマートフォンの動作に必要な複数の機能を1枚のチップに統合したもの。MediaTekはその主要メーカーのひとつである。

ブートチェーン（セキュアブートチェーン）
スマートフォンの電源投入からOSが起動するまでの一連の処理工程。各ステップで「正規のソフトウェアか」を暗号的に検証する仕組みであり、この連鎖のどこか一か所に欠陥があると、OS起動前の段階で攻撃が成立してしまう。

シードフレーズ（リカバリーフレーズ）
暗号資産ウォレットの復元に使用する12〜24語の英単語列。これが漏洩した場合、ウォレット内の資産が第三者に完全に奪われるリスクがある。

フルディスク暗号化（Full Disk Encryption）
端末のストレージ全体を暗号化する技術。正しい認証（PINや生体情報）がなければデータを読み取れない設計だが、今回の脆弱性はOS起動前にルートキーそのものを抜き取るため、この保護が機能しなくなる。

Responsible Disclosure（責任ある開示）
脆弱性を発見したセキュリティ研究者が、悪用される前にメーカーへ非公開で通知し、修正の準備が整ってから公表するプロセス。一般的に90日間の猶予期間が設けられる。

EOL（End-of-Life）
メーカーが製品のサポート・セキュリティアップデートの提供を終了した状態。EOL端末はパッチが配布されないため、脆弱性が発覚しても修正される見込みがない。

パッチギャップ（Patch Gap）
チップメーカーがパッチをOEMに提供してから、エンドユーザーの端末に実際にアップデートが届くまでの時間的な遅延。Androidのエコシステムにおける構造的な課題のひとつ。

セキュアエレメント（Secure Element）
メインプロセッサから物理的に独立した専用の安全チップ。ハードウェアウォレットや一部のフラッグシップスマートフォンに採用されており、TEEとは異なりメインチップへの攻撃が成立しても影響を受けにくい設計となっている。

OEM（Original Equipment Manufacturer）
チップメーカー（MediaTekなど）から部品を調達し、スマートフォンを製造・販売するメーカーのこと。OPPO、vivo、Samsung、Nothingなどが該当する。パッチの最終的な配布責任はOEMが負う。

【参考リンク】

Ledger 公式サイト（外部）
暗号資産ハードウェアウォレットの世界的メーカー。社内セキュリティ研究チーム「Donjon」が第三者製品の脆弱性調査と責任ある開示を定期的に実施している。

Ledger Donjon 公式サイト（外部）
Ledger社内のホワイトハットハッカーチーム。AndroidチップやPINバイパスなど第三者製品の脆弱性調査を行い、研究成果を公開している。

MediaTek 公式サイト（外部）
台湾に本社を置く半導体メーカー。世界のAndroid向けSoC市場で主要シェアを持ち、エントリーから中価格帯を中心に多数のメーカーへチップを供給している。

Trustonic 公式サイト（外部）
TEE（信頼実行環境）技術を提供するセキュリティ企業。MediaTek製SoCに実装されているTEEの開発元であり、今回の脆弱性に直接関連する技術を手掛けている。

Nothing 公式サイト（外部）
英国に本社を置くスマートフォンメーカー。今回の実証実験にはサブブランドCMFの「CMF Phone 1」が使用された。

GSMArena（外部）
スマートフォンのスペック情報を網羅したデータベースサイト。自分の端末が搭載するSoCを調べる際の参照先として元記事でも推奨されている。

【参考記事】

Ledger researchers expose Android flaw enabling wallet seed theft in seconds｜The Block（外部）
TRM Labsのデータとして2025年上半期の暗号資産被害が21億ドル、Chainalysisによれば2025年通年の被害が34.1億ドル超と報告。Donjonチームによる脆弱性の詳細と背景を解説している。

CVE-2026-20435: How a MediaTek Boot Chain Flaw Exposes Crypto Wallets on 25% of Android Phones｜DEV Community（外部）
世界のAndroid端末の約25%が影響対象と試算。ブートチェーンとTEEのアーキテクチャを技術的に詳解し、電源オフ状態での攻撃成立についても詳述している。

Security researchers broke into a MediaTek-powered Nothing phone in just 45 seconds｜Android Authority（外部）
MediaTekが2026年1月5日にOEMへパッチ提供済みと確認。OPPO・vivo・OnePlus・SamsungなどもCVE-2026-20435の影響チップリストに含まれると明記している。

Ledger Researchers Find MediaTek Android Flaw That Could Expose Crypto Wallet Seed Phrases｜CCN（外部）
4人に1人のAndroidユーザーが影響対象の可能性を指摘。ファームウェアレベルの本脆弱性と、修正不可能なハードウェアレベルの別脆弱性との違いを明確に区別して解説している。

Critical MediaTek flaw lets attackers steal phone crypto｜Security Brief News（外部）
90日前通知の責任ある開示プロセスを詳述。Trust Wallet・Kraken Wallet・Rabby・Phantom・Tangem’s Mobile Walletなど影響を受けたウォレットアプリを具体的に列挙している。

Ledger Donjon Finds MediaTek Flaw Exposing Android Wallet Seeds｜Live Bitcoin News（外部）
汎用チップとセキュアエレメントのアーキテクチャの違いを考察。電源オフ端末へのUSB接続で攻撃が完結する点と、Ledger CTOシャルル・ギュメの見解を詳しく紹介している。