GrapheneOS: セキュリティを強化した Android ビルド

 (lwn.net)
1 ポイント 投稿者 GN⁺ 2025-07-25 | 2件のコメント | WhatsAppで共有
  • GrapheneOSは、Android の セキュリティプライバシー を大幅に強化するために開発されたオープンソースのオペレーティングシステム
  • Google Pixel 6〜9 など 一部の限られたハードウェアのみをサポート し、ハードニングユーザー権限制御 など多様な保護機能を提供
  • Google Play アプリサンドボックス形式 で利用可能で、不要なアプリや機能はデフォルトで削除されている
  • インストールと初期設定の過程は 直感的でなかったり時間がかかったりする可能性がある が、セキュリティ重視のユーザーには有用な選択肢
  • ただし、必須の商用アプリや機能では一部不便 がある可能性があり、コミュニティガバナンスの透明性に対する懸念もある

概要とプロジェクトの背景

  • GrapheneOSは、スマートフォンの 個人情報セキュリティ脅威 の問題に対応するために登場した オープンソースの Android リビルドプロジェクト
  • 既存の Android ディストリビューションが 所有者の利益 を十分に代弁していないという限界から出発しており、CopperheadOS から分岐して Daniel Micay によって独立して進化してきた
  • 2023年に設立されたカナダ拠点の財団が開発を支援しているが、組織運営の方式や透明性に関する公開情報はほとんどない

主な特徴とハードニング戦略

  • Android Open Source Project(AOSP) をベースに、かなりの量のコード削除多数のセキュリティ強化パッチ が適用されている
  • たとえば、hardened malloc() ライブラリControl-Flow Integrity など、メモリ保護 と耐性を高める重要な変更が行われている
  • セキュリティ機能の大半は ユーザーにほとんど意識させないよう設計 されており、システム利用時の不便さを最小化している

インストールと対応デバイス

  • 対応デバイス は Google Pixel 6〜9 シリーズに 限定 され、Pixel 4/5 は一部例外的にサポートされる
    • 最新の Pixel 端末は、7年間のセキュリティアップデート保証ARMv9 ベースのハードウェアメモリタグ機能 (Security Feature) のサポートにより推奨される
    • メモリタグ機能はデフォルトで有効化されており、OS と互換性のあるアプリのエクスプロイト防止 に寄与する
  • インストール方法は Web インストールコマンドラインインストール の2種類があるが、公式には Web インストールのほうがより安定的 とされる

初期使用体験

  • GrapheneOS は 標準アプリとデータ移行機能が限定的 なため、ユーザーが初期設定をすべて自分でやり直す必要がある
  • 標準アプリ: Web ブラウザ (Vanadium)、カメラアプリ、PDF ビューア、自前のアプリストアのみを提供
    • Google Play ストアおよびその配下のアプリはデフォルトで含まれない(ただし後からサンドボックス形式でインストール可能)
    • アプリストアには合計13個のアプリしか含まれていない
  • Vanadium ブラウザ は Chrome をフォークしたバージョンで、モバイル向けサイト分離 とコード安全性を強化
    • ドキュメントでは Firefox の使用を避ける ことを推奨している(セキュリティ上の脆弱性への懸念)
  • カメラアプリ は Exif メタデータをデフォルトで削除し、位置情報機能は明示的に有効化する必要がある

アプリのインストールとエコシステム活用

  • Accrescent などの代替アプリストアから一部のオープンソースアプリをインストール可能(例: Organic Maps、Molly、IronFox など)
  • F-Droid も利用できるが、GrapheneOS コミュニティは F-Droid のセキュリティ問題に批判的な立場を取っている
  • 大半のユーザーは Google Play ストアを必要とする ため、GrapheneOS はサンドボックス化された Google Play を提供する
    • このバージョンではシステム権限が削減され、一般アプリのように制限付きで実行される
    • Integrity API でアプリの信頼性を確認する場合、一部アプリは公式イメージでなければ動作しない可能性がある
    • 実際の利用では大半が正常に動作したが、アプリ互換性は事前テストが必須

追加のセキュリティおよびプライバシー機能

  • アプリごとのネットワークアクセス権限の遮断: Android では標準で未対応だが、GrapheneOS ではアプリ単位でネットワーク遮断を制御できる
  • センサー権限 の細分化: 加速度計、方位センサー、温度計などの各種センサーも個別権限として管理
  • Storage/Contact Scope: アプリがデバイスの保存領域や連絡先全体にアクセスできず、許可したファイルや連絡先だけを仮想的に公開
  • 指紋認証解除 に失敗した場合の30分ロック、Duress PIN(強要時の緊急 PIN) 入力時の即時データ消去など、高度なセキュリティオプションを提供
  • デバイス完全性監査アプリ を通じて、ハードウェアと連携した完全性検証機能をサポート
  • 定期的かつ迅速なアップデート提供: Android 16 正式リリース後1か月以内に反映
  • 18時間非アクティブ時の自動再起動 により、データ暗号化と最新ソフトウェアの維持に寄与

プロジェクト運営とコミュニティ

  • 運営の透明性不足: 公式財団は存在するが、意思決定の方式や資金の使途などは対外的にほとんど知られていない
  • 開発コミュニティの構造 が不明瞭で、参加の大半はユーザーによる質問と回答が中心
  • 主要開発者 Daniel Micay の影響力 は依然として絶対的に見え、今後の人員変化に伴う継続性への懸念が一部にある

総評と実使用の感想

  • 端末セットアップと環境復元 に多くの時間を要するが、不要な機能を省いた必須機能中心の運用が可能
  • セキュリティとプライバシー制御の幅が広がり、不要な AI/Google 機能が排除 されており、目的に合致している
  • ただし、キーボードのスワイプ入力が未対応、Google Play へのログインが避けにくい、プロプライエタリアプリ必須時には一部機能制限や不便が発生
  • GrapheneOS は、ユーザー中心の権限制御強化されたセキュリティ を求めるユーザーにとって妥当な選択肢となる
  • ただし、現代生活に必須の商用アプリの動作 が重要なら部分的な限界が残り、コミュニティガバナンスの問題にも注意が必要

関連記事

2件のコメント

 
GN⁺ 2025-07-25
Hacker Newsの意見

  • 新しいPixelにGrapheneOSを入れて2日ほど使っているが、1999年に初めてLinuxを入れたときと同じ「自分の裏庭で宝探しをしたような感覚」を再び味わっている。こんなに素晴らしいソフトウェアが文字通りあらゆる意味で無料だなんて信じがたい。膨大な作業量なのに、本当に多くの部分がしっかり実装されている。セキュリティや使い勝手の設定も望む通りに細かく制御できる。自分はモバイルを人に勧めるタイプではないが、今のところかなりうまく動いている。自分の場合はサードパーティ製アプリをほとんど使わず、Play Store専用アプリもない。欠点はハードウェアだが、その部分はGrapheneチームの管理外だ

    • 銀行口座へのアクセスなど、モバイルバンキングが必要な場合でも問題なく動くのか気になる

    • アプリはどこから入手してインストールするのか気になる。GoogleのApp Storeなのだろうか

    • 以前にLineageOSのようなものを使ったことがあるのか気になる

    • PixelでGrapheneOSを使ってるって? もしかしてそういうタイプの犯罪者なんじゃないの? /s

  • 以前のスマホで何年かLineageOSを使っていて、去年はPixel 4を買ってGrapheneOSを使っている。どちらのシステムもよく動くので本当に満足している。特にGrapheneOSはインストールがとても簡単で、そのぶん加点したい。ただ残念ながらGrapheneではすでにPixel 4のサポート終了が進んでいるので、近いうちにまたLineageに戻ることになりそうだ。これらのROMを使っていて技術的な制約として唯一はっきり感じるのはGPSだ。位置情報がよく消えて、再取得まで数分かかることもあるし、運が悪いと永遠に取れないこともある。Googleの位置情報サービスを使っていないのが原因だと思う。Wi‑Fi/Bluetoothによる位置精度向上も有効にしたし、ネット上のいろいろな対処法も試したが解決しなかった。GrapheneではMapsアプリを閉じるたびに位置情報が消えるので、むしろさらにひどい。たぶんスマホかOSのどちらかの問題だと思う

    • Pixel 8では、Grapheneの新しいネットワーク位置情報機能のおかげでGPSがものすごく速い。まさにゲームチェンジャー級の変化だ。以前はWi‑Fiだけだったが、最近はセルラー位置情報も追加された。Appleの位置情報サービスをプロキシしている

  • 最近聞いた話では、GoogleがAOSPの管理方針を変えて、Pixel向けのデバイスツリーとドライバのバイナリ公開をやめたらしい。本当にやめたのか、それとも単に遅れているだけなのか気になる。こうしたファイルの公開はPixel端末へのユーザー需要を生むビジネス上の根拠にもなっていると思う。コストが利益を打ち消すほど大きいのだろうか。それとも単なるメンテナンス上の問題なのか、本当に気になる。GrapheneOSとGoogleの両方が、必須機能がきちんと動くスマホ基盤を作ってくれていることに感謝している

    • Android 16ではAOSPにPixel向けのデバイスツリーはもう提供されていないが、もともと他の端末向けにも提供されていなかった。少数のOEMが旧Android版向けの基本ツリーを提供しているだけだ。Pixelが持っていた数少ない利点の1つを失ったことにはなるが、これはGrapheneOSのハードウェア要件に含まれていたわけではない。関連情報はこちらにある。Pixelだけが要件を満たしている理由はこれではない。ある大手Android OEMと協力中なので、2026年か2027年ごろには変化があるかもしれない。GrapheneOSのAndroidメジャーバージョン移植は通常は数日で済み、安定版は2週間以内に配信される。Android 16もリリース後数日で移植し、その後Android 16向けのPixelデバイスサポートコードを新たに実装する必要があった。6月30日に最初の本番配信を行い、7月8日に安定チャネルへ到達した。今回は時間がかかったため、Android 15 QPR2ブランチにも一部のAndroid 16パッチとファームウェアをバックポートして、少し変則的に運用した。今後は自動化ワークフローをすでに構築してあるので、Android 16 QPR1〜QPR3やAndroid 17の移植は以前のように迅速に進められるはずだ

    • 噂では反トラストの問題が理由だという話も聞いた。もし端末事業を再び売却しようとしているのなら、ドライバもAOSPから外されるかもしれないと思う

  • 自分はGrapheneOSの長期ユーザーで、本当に良いプロジェクトだと思っている。Googleアプリの代替として使えるオープンソースアプリの一覧を共有する

    • Aurora Store: Play Store向け匿名インターフェース
    • F-Droid: オープンソースのアプリストア
    • Obtainium: GitHubなどからアプリを入手
    • Organic Maps: オープンソースのナビゲーション(商用アプリほどではない)
    • SherpaTTS: ナビゲーション用TTS
    • PDF Doc Scanner: オープンソースのドキュメントスキャナー
    • Binary Eye: バーコードリーダー
    • K9 Mail / FairMail: メールクライアント
    • LocalSend: ファイル転送
    • Syncthing Fork: ファイル同期
    • VLC Media Player: メディアプレーヤー
    • KOReader: 電子書籍リーダー
    • Voice: ローカル音声ブックプレーヤー
    • AudioBookShelf: リモート音声ブックプレーヤー
    • Immich: 画像バックアップ
    • Fossify File Manager: ファイルマネージャー
    • Substreamer / DSub: Navidrome向けオーディオストリーマー
    • OpenCamera: オープンソースのカメラアプリ
      この一覧を以前知っていたら本当によかったと思う。誰かの役に立てばうれしい

  • GrapheneOSで一番おもしろい機能は、どのアプリでもApp Infoページからいつでもログを見られることだ

  • GrapheneOSにぜひ欲しい中核機能は、脅迫下で入力するとまったく別の「ユーザー」(プロファイル)を開く非常用パスワードだ。たとえパスワードの開示を強要される状況でも、本当のアカウントにはアクセスされないので最低限の保護になる。せめて隠しプロファイル機能だけでもあれば基本的な安全性は確保できるのにと思う。ちなみにこの機能の代わりに端末を完全消去する機能はあるが、脅迫下では逆効果になることもある。関連する議論はこちらで見られる

    • GrapheneOSのコミュニティマネージャーです。この種の機能は、実際には基本的なツールを使うだけでも露見してしまい、隠しきれないのが問題です。Duress PIN/Password機能も、あえて隠そうとしていないのはそのためです。むしろ機能の存在自体が、攻撃者に「何か隠している」と信じさせてしまうため、さらに危険になる可能性があります。すでに機能の存在だけで、強制的なロック解除や隠された情報の提出を脅迫される危険な状況が生まれ得ます。現実的には解決が難しい問題で、こうした提案だけで対処できるものではないと思います

    • GrapheneOSのディスカッションフォーラムが「このサイトはJavaScriptが有効な最新ブラウザで最もよく表示されます」と案内しているが、セキュリティの観点からは本当に問題だと思う。コミュニティマネージャーにはこの点の改善と、.onionサイトの提供もお願いしたい

    • こういう機能(非常用パスワード)は多くのモッディング系コミュニティで長年要望されてきたが、単に実装が難しい問題なのか気になる

    • こういう極端な表現は大げさだと思う。もし誰かが偽のユーザーになりすまして生きることが生存の問題になるのなら、OSレベルの機能不足よりも、もっと深刻で根本的な問題があるはずだ

  • Grapheneで唯一不満なのは、対応端末が少なすぎることだ。セキュリティ要件など事情はわかるが、むしろ強化の度合いが多少下がってもいいから、Google標準のAndroidよりGrapheneを使いたい

    • GrapheneOSのコミュニティマネージャーです。現在、Grapheneのサポート要件を満たす端末はGoogle製デバイスのみです(リンク)。ただし他のOEMとも協力中で、2026年か2027年にはそちらの製品にもサポートを広げられることを期待しています。まだ確定ではありませんが、楽観的に見ています

    • 対応端末が少ないとはいえ、Pixelだけでも4〜5世代あり(Aシリーズ、Proなど小型・大型モデルも含む)、価格帯も幅広いので、実際にはかなり多くの人が使えると思う

    • むしろGrapheneがPixelに集中しているのは良いことだと感じる。PixelはFairphoneと違って多くの国で購入できる。つまりGrapheneは先進国や西側だけに限られているわけではない。他社対応がない理由は、チーム規模、OEMごとのAndroidの違いが大きく管理が大変なこと、そしてGoogleのアップデート方針など、いろいろな事情があるのだと思う

    • Googleがこのプロジェクトに非協力的になりつつあるようにも見えるので、本当に多くの人が必要としているなら、新しいハードウェア対応を自分たちで試みる必要があるかもしれない

    • CalyxOSは他の端末もサポートしていて、本当のプライバシー重視という印象がある

  • GrapheneはPixel向けとして優れたOSだ。シンプルで信頼性が高く、セキュリティ・プライバシー機能も豊富で、安心感がある。システムアップデートは自動で、通話などの基本機能も完璧だ。唯一惜しいのはカメラ画質だが、これは独自ドライバ不足のせいだと思う。SignalもGoogleサービスなしでかなりうまく動くので、普段使いのスマホとしてちょうどいい。開発者たちには本当に大きな感謝を伝えたい

  • GrapheneOSにはとても興味があったが、Pixelのような限られた端末でしか使えないのが残念だ。Galaxy A55でも使ってみたかった

  • セキュリティ要件を満たす端末がすべてGoogle製だという事実は興味深い。Googleが社内で、よりセキュリティ重視のAndroidバージョンを別に使っているのかも気になる。中核エンジニアの個人端末がハッキングされるのはGoogleにとって大きなセキュリティリスクだから、もっとセキュリティ志向の社内版が存在してもおかしくないのではと思う