2026年6月3日、Trezor と Tropic Square は、ハードウェアウォレット Trezor Safe 7 に使用されているチップ TROPIC01 における脆弱性の発見を公表しました。この発表は Ledger Donjon リサーチチームとの協力のもと行われ、ユーザーの透明性とセキュリティに対する両社の取り組みを強調するものです。
この発見にもかかわらず、Trezor Safe 7 ユーザーの資金は引き続き安全であり、デバイス所有者が取るべき行動は一切ありません。脆弱性はデバイスに搭載された3つの物理的セキュリティレイヤーのうち、1つのみに限定されており、Trezor が採用する多層アーキテクチャの有効性が改めて確認されました。
Summary
脆弱性の詳細:高度だが現実的ではない攻撃
発見の背景
2025年半ばに最初の TROPIC01 チップがリリースされた後、Tropic Square は Ledger Donjon セキュリティチームに依頼し、チップの独立した評価を実施しました。2026年1月、Ledger Donjon は Tropic Square に対し、非常に限定された実験室環境において Laser Fault Injection 攻撃を成功させ、ファームウェア署名検証をバイパスできたことを報告しました。
この発見を受けて、Tropic Square のエンジニアチームは、TROPIC01 チップの PIN 機能に関連する別の秘密情報を抽出できる、脆弱性を悪用するためのさらなる複雑な手法を特定しました。Trezor を含むすべてのパートナーにはすでに通知されており、この脆弱性は協調的な形で公開されています。
限定的な影響:Trezor Safe 7 の多層セキュリティ
この脆弱性の影響を受けるのは、Trezor Safe 7 に搭載された3つの物理的かつ独立したセキュリティレイヤーのうちの1つである TROPIC01 チップのみです。TROPIC01 だけが侵害されても、ユーザー資金を保護する最後の防壁である PIN にはアクセスできません。さらに、秘密鍵やウォレットのバックアップは TROPIC01 チップ上には保存されておらず、複数のコンポーネントに分散されているため、単一障害点は存在しません。
報告されている攻撃を実行するには、デバイスの物理的な入手に加え、専門的な実験装置と高度なスキルが必要です。この脆弱性が実際に悪用された証拠はなく、Trezor Safe 7 が侵害された事例もありません。
Trezor Safe 7 ユーザーへの影響
ユーザー側の対応は不要:セキュリティは維持されたまま
ユーザーにとって、この発見は実務的なリスクを伴わず、何らかの対応を求めるものでもありません。脆弱性はハードウェアレベルのものであり、リモートでのファームウェアアップデートによって修正することはできません。しかし、まさにこの多層的な設計のおかげで、単一チップの欠陥が全体のセキュリティを損なうことはありません。
現実の脅威環境においては、自分で資産を管理するユーザーにとって、依然としてフィッシングが最大のリスクとなっています。物理的なアクセスと高度な装置を必要とする脆弱性は、ほとんどのユーザーにとって現実的な脅威とは言えません。
Trezor CEO、Matej Žák のコメント
Trezor の CEO である Matej Žák は、TROPIC01 を統合するという決定について、最大限の透明性とセキュリティを確保するために、オープンソースで検証可能なチップを選択したのだと強調しました。デバイスは複数の独立したセキュリティレイヤーを備えるよう設計されており、いかなるコンポーネントも単独で重大な脆弱性の原因とならないようになっています。
Žák はまた、業界全体を強化するうえで、協調的な情報開示と企業間の連携がいかに重要であるかを指摘しました。「ユーザーの PIN、バックアップ、資金の鍵が、単一のチップに委ねられることは決してありません。これは、意図的で透明性の高い設計の成果です」と述べています。
Trezor が透明性を選ぶ理由
オープンソースを基盤としたセキュリティモデル
Trezor が今回のディスクロージャーを公開したのは、ユーザー資金が危険にさらされているからではなく、透明性に基づくセキュリティモデルを推進するためです。同社は、セキュリティを秘匿性に依存させる考え方を拒否しています。クローズドなシステムや NDA で守られたチップは、不透明な設計の裏にリスクを隠し、ユーザーに対して、検証不可能なものを盲目的に信頼することを強いてしまいます。
透明性があることで、ユーザーは自分のデバイスの実際のセキュリティ状況を理解し、把握できるようになります。脆弱性を発見し、公表することは、ブランドにとっては不都合な場合もありますが、それこそがエコシステム全体をより強固で信頼できるものにします。
セキュリティの進化:共有されるべき責任
セキュリティはテクノロジーとともに進化します。その変化に対応し続ける唯一の方法は、発見事項をコミュニティとオープンに共有することです。今回のディスクロージャーもその一環であり、たとえ理論的なものであっても、誰もがリスクを知り、評価できるようにすることを目的としています。
詳しく知りたい方は、Tropic Square のブログで完全なテクニカルアドバイザリーを読むことができます。
Trezor:セルフカストディのパイオニア
2013年に設立された Trezor は、ハードウェアウォレットという概念を発明し、現在ではセルフカストディ分野で最も信頼される名前となり、世界中に200万人以上のユーザーを抱えています。同社は、ユーザーが自らのデジタル資産を完全にコントロールできるようにする、オープンソースのセキュリティツールを開発しています。Trezor Safe 7 は同社のフラッグシップ製品であり、最高レベルの保護と透明性を提供することを目的として設計されています。
—
まとめると、TROPIC01 チップの脆弱性は技術的には重要であるものの、Trezor Safe 7 ユーザーの資金の安全性を損なうものではありません。Trezor と Tropic Square が採用した透明性と協調に基づくアプローチは、デジタルセキュリティ業界全体にとって模範的なモデルと言えるでしょう。
