毎年、動作する数十億台のスマートフォンがその役目を終え、引き出しの中や回収ルート、廃棄の山へと向かっています。WEEE Forumの推計によると、2022年には53億台の携帯電話が電子廃棄物となりました。こうした端末の多くは今もなお動作します。スマートフォンの平均使用期間は約3年であり、ユーザーは別の用途に十分な処理能力を持ったまま機種変更することも少なくありません。
ブリュッセル自由大学の研究チームは、こうした端末に「第二の人生」を与えることを阻む壁を調査しました。その壁の正体は、スマートフォンが最初の使用期間中にユーザーを守るために備えるセキュリティハードウェアです。セキュアブート、トラステッド実行環境(TEE)、そしてチップに焼き付けられた暗号鍵は、ユーザーデータとシステムの完全性を守ります。しかし同時に、これらの仕組みが端末をメーカーに縛りつけ、再利用に必要な変更を阻んでいるのです。
端末をメーカーに縛りつけるスマートフォンのセキュリティ
ArmプロセッサにはTrustZoneと呼ばれる機能が搭載されており、スマートフォンを二つの領域に分割します。一方の領域ではAndroidのような通常のOSが動作し、もう一方では鍵の保管や認証といった機密処理を担う、独立した厳密に管理されたシステムが動作します。AndroidのKeystoreは、ベンダーが提供するソフトウェアを通じてこの保護された領域を利用しています。
セキュアブートはさらなる層を加えます。チップに書き込まれた読み取り専用のコードと、製造時に設定された暗号鍵に信頼の根拠を置く仕組みです。起動の各段階では、制御を渡す前に次の段階を検証するため、未承認のソフトウェアの実行を防ぎます。これらの鍵とブートポリシーの管理権限はメーカーとOSベンダーが握っており、独自ソフトウェアを導入するためにブートローダーをアンロックしたユーザーは、その過程でベリファイドブートと鍵の認証機能を無効にしてしまうことが多いです。
オープンハードウェアでの検証実験
研究チームはPinePhoneを使って実験を行いました。PinePhoneは、クアッドコアのArm Cortex-A53プロセッサを搭載したAllwinner A64チップを中心に構築されたオープンハードウェア端末です。この端末を選んだのには理由があります。PinePhoneはハードウェアの仕様書を公開しており、メーカーの鍵が焼き付けられておらず、ブートローダーの交換も可能です。これらの特性から、ソフトウェアの全面刷新後にセキュリティを再構築する場合の、最も現実的かつ容易なケースと言えます。
チームは段階的にソフトウェアを入れ替えていきました。まずソースからコンパイルした最小構成のU-Bootブートローダーを書き込み、オーディオジャックをシリアルポートとして使って起動ログを読み取りました。次にセキュアモニタとLinuxカーネルを追加し、IoTゲートウェイや低コストサーバーとして活用できる動作するLinuxシステムを構築しました。さらに組み込みLinuxイメージの作成を自動化するツールBuildrootを使って同じシステムを再構築しました。
立ちはだかった壁
最終ステップでは、オープンソースのトラステッド実行環境であるOP-TEEを使って保護された実行領域の復元を試みました。しかし、このステップは失敗に終わりました。セキュアメモリ領域のマッピングと安全ゾーンの定義には正確な低レベルの設定が求められ、設定を誤るとカーネルがセキュア領域にアクセスしてしまい、何度もクラッシュが発生しました。長時間にわたるデバッグの末も、OP-TEEの安定動作には至りませんでした。
ハードウェア自体はこの機能に対応していました。失敗の原因は設定作業の難しさにあり、チップの仕様書や機器を記述するデバイスツリーにアクセスできる状況でもそれは変わりませんでした。研究チームはここからより広い教訓を引き出しています。独自のブートローダーコードと非公開のチップ詳細を持つ商用のロック端末では、同じ試みを始める前にリバースエンジニアリングが必要になるということです。
再利用に向けた三つの選択肢
この論文では、スマートフォンを再利用したい人向けに三つの選択肢を示しています。一つ目はハードウェアセキュリティの損失を受け入れるもので、ホビー用プロジェクトやセンサーノードといったリスクの低い用途に適しています。二つ目はセキュアブートと保護領域の再構築を試みるもので、研究機関向けのアプローチであり、深い専門知識を要し、結果も不確かです。三つ目はメーカーによる長期サポート期間に頼る方法です。
最近のGoogle Pixel端末には7年間のセキュリティアップデートが提供されます。この期間があれば、端末の使用期間のほとんどにわたってハードウェアに裏付けられた保護機能を維持でき、再整備業者がセキュリティを保った状態で端末を再展開できる期間を確保できます。そのサポートが終了した時点で、セキュアブートや保護領域の再構築は再び専門家の領域に戻ります。
業界と政策への示唆
今回の調査結果は、テクノロジー業界がこれまで別々に扱ってきた二つの目標の間にある関係性を示しています。現在の設計では、スマートフォンのセキュリティ強化と端末の長寿命化は相反する関係にあります。セキュリティアーキテクチャは単一の所有者と単一のサポートライフサイクルを前提としており、その前提がすべての再利用の取り組みのコストを押し上げ、廃棄される電子機器の量を増やしています。
共著者のJan Tobias Mühlberg氏は以前の研究において、持続可能なシステムとは安全かつセキュアな寿命と再利用の可能性を延ばすよう設計されるべきだと主張しています。ブリュッセルの研究チームはこの考えを修理する権利(right-to-repair)政策と結びつけています。論文では、セキュリティと持続可能性の両立を実現するうえで最も効果的な選択肢として、ソフトウェアサポート期間の最低基準の延長を挙げています。また、セキュアブート、保護された実行領域、所有権の移転に関する標準インターフェースが整備されれば、多くの機種においてセキュアな再利用への障壁を下げられるとしています。
現時点では、再利用されたスマートフォンはリスクの低い多くの用途に活用できます。一方、暗号鍵や個人データを保持することを目的とした端末には、正常に動作するセキュアブートチェーンと保護された実行領域が不可欠であり、その組み合わせはほとんどのハードウェアで実現が難しいままです。
翻訳元: https://www.helpnetsecurity.com/2026/06/10/secure-smartphone-reuse-landfills/
