エグゼクティブサマリー
Ledgerの研究により、Androidスマートフォンに、物理的な攻撃者がデバイスを完全に制御することを可能にする重要なハードウェア脆弱性が特定されました。この欠陥は、スマートフォンベースのWeb3ウォレットに保持されている資金のセキュリティに対し、直接的かつ重大な脅威をもたらします。この発見は、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が指摘した他のAndroid脆弱性が積極的に悪用されていることなど、最近のセキュリティ開示によってすでに不安定な市場で明らかになり、デジタル資産の安全なプラットフォームとしてのモバイルデバイスの実現可能性に対する懸念を増幅させています。
イベント詳細
この脆弱性は、未指定範囲のAndroidデバイスのチップセットに存在し、電話を物理的に所持している攻撃者がデバイスを完全に制御することを可能にします。Ledgerのセキュリティ研究チームによると、このレベルのアクセスにより、ソフトウェアベースのWeb3ウォレットに保存されている秘密鍵を含む機密データの抽出が可能になるとのことです。
この問題は、GoogleとCISAからの別途の警告によってさらに複雑化しています。Googleは、他の2つの重大な脆弱性、CVE-2025-48633およびCVE-2025-48572が「限定的かつ標的型の悪用」を受けていることを確認しました。これらの欠陥は、リモートサービス拒否につながる可能性があります。これを受けてCISAは、連邦機関に対し、影響を受けるデバイスをパッチ適用または廃止するよう指令を出しました。これはすべてのユーザーへの強力な勧告です。Samsungも、そのデバイスにおける追加の重大な脆弱性を認めており、Androidエコシステムにおけるセキュリティリスクの蔓延した性質をさらに強調しています。
市場への影響
この開示は、特にWeb3空間における金融アプリケーションに対するモバイルデバイスへの信頼に直接的な挑戦を投げかけます。分散型金融(DeFi)およびNFT市場の大部分は、モバイルウォレットの利便性に依存しています。この脆弱性は、ユーザーが「ホット」なモバイルウォレットから、ハードウェアウォレットのようなより安全な「コールド」ストレージソリューションへ資産を移行する「安全への逃避」を引き起こす可能性があります。このニュースは、モバイルファーストのユーザー体験に大きく依存するプラットフォームやアプリケーションに弱気な影響を与える可能性が高いです。なぜなら、これはエンドユーザーにとって重大な摩擦とセキュリティ関連の疑念をもたらすからです。
専門家のコメント
Ledgerの発見に関する直接的なコメントはまだ公表されていませんが、最近の同様の重大度の高い脆弱性に対する専門家の反応は、事態の深刻さを示しています。最近の重大なReactの欠陥について、watchTowrのCEOであるBen Harrisは、「攻撃者がこの脆弱性を本当に間もなく悪用し始めることを期待すべきです」と述べています。
Rapid7のシニアプリンシパルリサーチャーであるStephen Fewerは、このような欠陥が兵器化される速度に関する背景情報を付け加えました。
「技術的な詳細とエクスプロイトコードが公開される可能性は高く、したがってエクスプロイトはすぐに発生する可能性が高いです。したがって、この脆弱性を直ちにパッチ適用することが極めて重要です。」
この感情は、ゼロデイ脆弱性を巡る高リスク環境と、広範な攻撃が始まる前に組織やユーザーが対応しなければならない狭い時間枠を反映しています。
より広範な文脈
このAndroidチップの欠陥は孤立した事件ではなく、基盤となる技術コンポーネントで発見される脆弱性の広範なトレンドの一部です。Reactのような広く使用されているソフトウェアライブラリや、OpenAIのCodex CLIのような開発者ツールにおける最近の重大な欠陥は、サプライチェーンリスクのシステム上の問題を浮き彫りにしています。これらの出来事は、デジタル資産の攻撃対象領域が、ユーザーが暗黙的に信頼しているハードウェアおよびソフトウェアスタックの奥深くまで及ぶことを示しています。Web3エコシステムにとって、これはセキュリティが多層的な問題であり、消費者向けスマートフォンなどの単一障害点への依存が資産保有者にとって重大な戦略的リスクを意味するという原則を強化します。
Edgen Crypto·Dec 04 2025, 14:11