2026年3月2日、AndroidデバイスにCVE-2026-20435と識別される脆弱性が公表された。MediaTek製SoC(System-on-a-Chip)を搭載するAndroid端末のブートプロセスに影響を与える。
Ledger社のセキュリティ研究チーム「Donjon」は、EMFI(電磁波を利用した誤動作誘発攻撃)を用いてこのSoCを搭載した端末のブートROMに対する任意コード実行に成功した。
この攻撃はAndroidが起動するよりも前の段階で成立するため、ロック画面やフルディスク暗号化による保護が前提とする防御ラインを根本から迂回する。MediaTekは脆弱性の公表に先立ちOEM各社へパッチを提供済みだが、端末への展開はメーカーごとに異なる。
MediaTekは2026年1月5日にデバイスメーカーがセキュリティアップデートに組み込める形でファームウェアパッチをリリースしている。
From: 
Android により、60秒以内にロック画面を解除される可能性があります|Malwarebytes
(3/13 17時追記)
※本記事は公開後、一次情報および関連資料を改めて精査し、一部に表現が強すぎる、または確認が不十分な記述があったため修正しました。現時点で確認できる信頼性の高い情報に基づいて記述を見直しており、新たな事実関係が確認できた場合は、必要に応じて追記・修正を行います。
【編集部解説】
今回の脆弱性を発見したのは、暗号資産ハードウェアウォレットで知られるLedger社のセキュリティ研究チーム「Donjon」です。DonjonはMediaTek Dimensity 7300(MT6878)を搭載した端末を対象に攻撃を実証しました。CMF Phone 1 by NothingはこのSoCを搭載しており、実証端末として言及されています。Donjonによれば、攻撃の試行は約1秒ごとに繰り返すことができ、コード実行の成功までに要する時間は数分程度とされています。
この脆弱性の最も重要なポイントは、「Androidが起動する前」に攻撃が完結するという点です。通常、スマートフォンのセキュリティはOSが動いている前提で設計されています。しかしこの攻撃は、OSが動き出すよりも前の段階、すなわちブートチェーン(起動シーケンス)の隙を突いてTEE(信頼実行環境)に侵入します。
TEEとは、メインプロセッサ内に設けられた隔離された安全領域であり、暗号鍵や生体認証データなどの最も機密性の高い情報を守る仕組みです。ここが突破されると、ロック画面もフルディスク暗号化も、文字どおり「なかったこと」になります。さらに重要なのは、この攻撃が端末の起動シーケンス、すなわち電源投入直後のごく初期の段階を狙うという点です。攻撃者は電源投入と試行を繰り返すことで攻撃を進めるため、「電源を切っておけば安全」とは言い切れない状況が生まれています。
Counterpointの調査によれば、MediaTekは世界のスマートフォンAP/SoC市場で2024年Q4時点に約34%のシェアを占めており、影響範囲は決して「一部の格安スマホ」に限った話ではありません。
攻撃には物理的なアクセスに加え、EMFI(電磁故障注入)装置を含む専用機材が必要です。Donjonは「それほど難しいことではない」と述べており、高度な技術を持つ攻撃者にとっての現実的な脅威といえます。紛失・盗難の場面で端末が攻撃者の手に渡った場合のリスクは、特に暗号資産を管理しているユーザーにとって深刻です。特に暗号資産のシードフレーズが抜き取られた場合、ウォレットの資産はすべて失われるリスクがあります。
ポジティブな側面としては、DonjonチームはMediaTekへの責任ある開示(Responsible Disclosure)を経て、段階的に情報を公開しました。MediaTekは2026年1月のセキュリティ情報公表に先立ち、少なくとも2か月前にはOEM各社へパッチを提供済みであると説明しています。セキュリティコミュニティとチップメーカーが適切に連携した、模範的な脆弱性対応のプロセスが踏まれています。
しかしリスクは残ります。MediaTekはチップメーカーであり、ユーザーのデバイスに直接アップデートを届ける立場にありません。パッチの配布はスマートフォンメーカー(OEM)に委ねられており、そのOEMがいつアップデートをリリースするかはメーカーごとに異なります。サポートが終了したEOL端末に至っては、パッチが届かない可能性もあります。AndroidのパッチギャップはGoogleが長年取り組んでいる課題ですが、今回の事例はその構造的な問題を改めて浮き彫りにしました。
長期的な視点で見ると、この脆弱性はスマートフォンを「暗号資産の保管場所」として使うことへの根本的な問いを投げかけています。TEEはメインプロセッサ上のソフトウェア的な分離に過ぎず、物理的に独立したセキュアエレメントを持つハードウェアウォレットとは根本的にアーキテクチャが異なります。この事実は、モバイルセキュリティの設計思想そのものが問われる転換点になるかもしれません。
規制の観点からも注目すべき動きが予想されます。暗号資産関連の規制強化が世界各地で進む中、モバイル端末のセキュリティ要件が議論のテーブルに上がる可能性があります。特にTEEの実装基準やOEMへのパッチ配布義務化といった議論が、今回の事案を契機に加速することも考えられます。
【用語解説】
CVE(Common Vulnerabilities and Exposures)
ソフトウェアやハードウェアに発見されたセキュリティ上の脆弱性を一意に識別するための国際的な番号体系。「CVE-2026-20435」のように、発見年と連番で管理される。
SoC(System-on-a-Chip)
CPU・GPU・通信モジュール・セキュリティ処理回路など、スマートフォンの動作に必要な複数の機能を1枚のチップに統合したもの。MediaTekはその主要メーカーのひとつである。
ブートチェーン(セキュアブートチェーン)
スマートフォンの電源投入からOSが起動するまでの一連の処理工程。各ステップで「正規のソフトウェアか」を暗号的に検証する仕組みであり、この連鎖のどこか一か所に欠陥があると、OS起動前の段階で攻撃が成立してしまう。
シードフレーズ(リカバリーフレーズ)
暗号資産ウォレットの復元に使用する12〜24語の英単語列。これが漏洩した場合、ウォレット内の資産が第三者に完全に奪われるリスクがある。
フルディスク暗号化(Full Disk Encryption)
端末のストレージ全体を暗号化する技術。正しい認証(PINや生体情報)がなければデータを読み取れない設計だが、今回の脆弱性はOS起動前にルートキーそのものを抜き取るため、この保護が機能しなくなる。
Responsible Disclosure(責任ある開示)
脆弱性を発見したセキュリティ研究者が、悪用される前にメーカーへ非公開で通知し、修正の準備が整ってから公表するプロセス。一般的に数十日から数か月の猶予期間が設けられるが、期間はケースによって異なる。
EOL(End-of-Life)
メーカーが製品のサポート・セキュリティアップデートの提供を終了した状態。EOL端末はパッチが配布されないため、脆弱性が発覚しても修正される見込みがない。
パッチギャップ(Patch Gap)
チップメーカーがパッチをOEMに提供してから、エンドユーザーの端末に実際にアップデートが届くまでの時間的な遅延。Androidのエコシステムにおける構造的な課題のひとつ。
セキュアエレメント(Secure Element)
メインプロセッサから物理的に独立した専用の安全チップ。ハードウェアウォレットや一部のフラッグシップスマートフォンに採用されており、TEEとは異なりメインチップへの攻撃が成立しても影響を受けにくい設計となっている。
OEM(Original Equipment Manufacturer)
チップメーカー(MediaTekなど)から部品を調達し、スマートフォンを製造・販売するメーカーのこと。OPPO、vivo、Samsung、Nothingなどが該当する。パッチの最終的な配布責任はOEMが負う。
【参考リンク】
Ledger 公式サイト(外部)
暗号資産ハードウェアウォレットの世界的メーカー。社内セキュリティ研究チーム「Donjon」が第三者製品の脆弱性調査と責任ある開示を定期的に実施している。
Ledger Donjon 公式サイト(外部)
Ledger社内のホワイトハットハッカーチーム。AndroidチップやPINバイパスなど第三者製品の脆弱性調査を行い、研究成果を公開している。
MediaTek 公式サイト(外部)
台湾に本社を置く半導体メーカー。世界のAndroid向けSoC市場で主要シェアを持ち、エントリーから中価格帯を中心に多数のメーカーへチップを供給している。
Trustonic 公式サイト(外部)
TEE(信頼実行環境)技術を提供するセキュリティ企業。MediaTek製SoCに実装されているTEEの開発元であり、今回の脆弱性に直接関連する技術を手掛けている。
Nothing 公式サイト(外部)
英国に本社を置くスマートフォンメーカー。今回の実証実験にはサブブランドCMFの「CMF Phone 1」が使用された。
GSMArena(外部)
スマートフォンのスペック情報を網羅したデータベースサイト。自分の端末が搭載するSoCを調べる際の参照先として元記事でも推奨されている。
【参考記事】
Ledger researchers expose Android flaw enabling wallet seed theft in seconds|The Block(外部)
TRM Labsのデータとして2025年上半期の暗号資産被害が21億ドル、Chainalysisによれば2025年通年の被害が34.1億ドル超と報告。Donjonチームによる脆弱性の詳細と背景を解説している。
CVE-2026-20435: How a MediaTek Boot Chain Flaw Exposes Crypto Wallets on 25% of Android Phones|DEV Community(外部)
世界のAndroid端末の約25%が影響対象と試算。ブートチェーンとTEEのアーキテクチャを技術的に詳解し、電源オフ状態での攻撃成立についても詳述している。
Security researchers broke into a MediaTek-powered Nothing phone in just 45 seconds|Android Authority(外部)
MediaTekが2026年1月5日にOEMへパッチ提供済みと確認。OPPO・vivo・OnePlus・SamsungなどもCVE-2026-20435の影響チップリストに含まれると明記している。
Ledger Researchers Find MediaTek Android Flaw That Could Expose Crypto Wallet Seed Phrases|CCN(外部)
4人に1人のAndroidユーザーが影響対象の可能性を指摘。ファームウェアレベルの本脆弱性と、修正不可能なハードウェアレベルの別脆弱性との違いを明確に区別して解説している。
Critical MediaTek flaw lets attackers steal phone crypto|Security Brief News(外部)
90日前通知の責任ある開示プロセスを詳述。Trust Wallet・Kraken Wallet・Rabby・Phantom・Tangem’s Mobile Walletなど影響を受けたウォレットアプリを具体的に列挙している。
Ledger Donjon Finds MediaTek Flaw Exposing Android Wallet Seeds|Live Bitcoin News(外部)
汎用チップとセキュアエレメントのアーキテクチャの違いを考察。電源オフ端末へのUSB接続で攻撃が完結する点と、Ledger CTOシャルル・ギュメの見解を詳しく紹介している。
【編集部後記】
あなたのスマートフォンの中に、暗号資産のウォレットはありますか?「ロック画面があるから大丈夫」と、私たちも思っていました。でも今回の件は、電源を切った状態でさえその前提を静かに崩してきます。
利便性とセキュリティのトレードオフは、いよいよ私たち自身の問題として向き合う時期に来ているのかもしれません。皆さんはどのあたりに「安心の境界線」を引いていますか?
