OnePlusスマートフォンのアップデート、ハードウェアレベルのアンチロールバック機能を導入

 (consumerrights.wiki)
1 ポイント 投稿者 GN⁺ 2026-01-26 | 1件のコメント | WhatsAppで共有
  • 2026年1月に配信された ColorOS 16.0.3.501ファームウェアハードウェアベースのアンチロールバック(anti-rollback) 機能が含まれ、旧バージョンの導入やカスタムROMのフラッシュを恒久的に遮断
  • このアップデートは Qualcommプロセッサの電子ヒューズ(eFuse) を物理的に変更し、旧バージョンを導入すると端末が完全に動作不能な状態(ハードブリック)に移行
  • OnePlus 13、15、Ace 5シリーズ など多数のモデルが影響を受け、一部旧モデルのダウングレードパッケージも公式サイトから削除
  • XDAフォーラム ではカスタムROM利用者に対し「.500.501.503 バージョンのOTAアップデートを避けるべき」と警告し、すでに更新した端末ではカスタムROM導入を中止するよう勧告
  • OnePlusとOPPOは公式見解を出しておらず、業界ではSamsung Knoxよりはるかに強力な制限と評価されている

事件の概要

  • 2026年1月、OnePlusが配信した ColorOS 16.0.3.501ファームウェアハードウェアレベルのアンチロールバック機能 が含まれていた
    • この機能は、ユーザーが旧バージョンのファームウェアやカスタムROMを導入できないよう恒久的に遮断する
    • Qualcommチップセット内部の Qfprom(Programmable Read-Only Memory) 領域に存在する電子ヒューズ(eFuse)を「ブロー(blow)」して状態を変更する
  • ヒューズが一度変更されるとソフトウェアでは復旧できず、メインボード交換だけが唯一の復旧手段 とされる
  • OnePlusはこのメカニズムについて 公式声明や説明を一切出していない

背景

  • OnePlusは2013年に Pete LauとCarl Pei が設立し、当初は CyanogenMod ベースのカスタムROMを搭載した OnePlus One でモッディングコミュニティから人気を集めた
  • その後、Cyanogenとの契約終了を受けて OxygenOS(グローバル)と HydrogenOS(中国)を開発
  • 2021年に OPPOのColorOSとコードベースを統合 し、現在のColorOSベースのシステムへ移行した

タイムライン

  • 1月18日: ColorOS 16.0.3.501アップデート後、ユーザーが旧バージョンへ戻そうとして EDLモード(9008) に入り、復旧不能になった事例が報告された
  • 1月19日: XDAフォーラムのユーザー AdaUnlocked が、CPUヒューズ損傷の証拠とともに警告スレッドを投稿
    • 有料復旧サービスでも「Snapdragon 8 Elite搭載端末はダウングレード禁止」と警告
    • 一部ユーザーから メインボード交換が必要 になった事例も報告された
  • 1月19日以降: OnePlusが公式フォーラムで ダウングレード用ファームウェアのリンクを削除 し、OnePlus 12向けパッケージも削除
  • 1月24日: AdaUnlockedが「既存ROMが同じバージョン番号で再パッケージ化され、ヒューズのトリガーが含まれている」事実を確認

影響を受ける端末

  • OnePlus 12: ColorOS 16.0.3.500、15.0.0.862
  • OnePlus 13 / 13T: ColorOS 16.0.3.501、15.0.0.862
  • OnePlus 15: ColorOS 16.0.3.503
  • OnePlus Ace 5 / Ace 5 Pro: ColorOS 16.0.3.500、15.0.0.862
  • OPPO Find X7 UltraOPPO Pad 4 ProOnePlus Pad 2 Pro / Pad 3 なども含まれる
  • 16.0.2.402以下のバージョンは影響なし。コミュニティは .500.501.503 バージョンのOTA回避 を推奨
  • Android Authorityは OPPO Find X8シリーズ を高リスク群とし、OnePlus 11・12 にも同様のアップデートが配信される可能性に言及している

技術的メカニズム

  • Qfprom eFuse は一度だけプログラム可能な電子ヒューズで、電圧パルスによって状態が 0 から 1 に変わると元に戻せない
  • 起動時に Primary Boot LoaderXBL(eXtensible Boot Loader) を検証し、ファームウェアのバージョンがヒューズ値より低い場合は起動を拒否する
  • 新しいファームウェアが正常に起動すると、Qualcomm TrustZone を通じて追加のヒューズをブローし、最小バージョン値を恒久的に記録する
  • EDLモード(USB 9008) ではこの保護を回避できない
    • FirehoseプログラマにはOEM署名が必要で、ヒューズがすでに変更されている場合は動作しない
  • XDAの説明によれば、「ヒューズブロー」は物理的損傷や熱ではなく、論理ゲートの電気的切り替え によって旧ソフトウェアの実行経路を完全に遮断する仕組みだという

カスタムROMへの影響

  • XDAフォーラムは「ColorOS 16.0.3.501以降では、既存のカスタムROMを導入すると即座にハードブリックが発生する」と警告
  • ほとんどのカスタムROMは ヒューズポリシー導入前のファームウェアをベース に作られており、新しいファームウェアとは互換性がない
  • 開発者 AdaUnlocked は、カスタムROM、ポート、GSIの作業が ヒューズ適用端末では無意味になる と述べている
  • コミュニティは アップデート済み端末でのカスタムROM導入禁止 を呼びかけ、開発者が新ファームウェアベースでの対応を明示するまで待つよう推奨している

企業の対応

  • 2026年1月22日時点 で、OnePlusとOPPOは 公式声明、フォーラム回答、SNSでの言及のいずれも行っていない
  • 1月19日 に公式フォーラムからダウングレードパッケージが削除されたことは、意図的な措置と受け止められている

他メーカーとの比較

  • Samsung Knox もeFuseベースのセキュリティ機能を利用しているが、非公式ファームウェア導入時でも Samsung PayやSecure Folderが無効化される程度 にとどまる
  • Android Authorityは OnePlusの方式のほうがはるかに強力で、起動そのものを遮断する と明記している
  • DroidWinは「EDLフラッシュは全ユーザーのうち1〜2%しか使わない機能なのに、それを防ぐために大多数のユーザーへ影響を及ぼすのは不合理だ」と指摘している

関連記事

1件のコメント

 
GN⁺ 2026-01-26
Hacker Newsの意見

  • 戦時下では米国の敵対国がこうした機器から解放されるだろう、という話が出ていた
    QualcommのQfprom(One-Time Programmable Fuse)機能にも言及があり、これは一度しか書き込めない電子ヒューズで、anti-rollbackの実装に使われる
    こんな機能を作るとは実に「思いやりがある」と皮肉る声もあり、そのため中国のLoongsonやロシアのBaikalのようなCPUが制裁対象になるのは、この種の    プログラム可能なヒューズ    より無効化しにくいからだ、という意見もあった

    • こうした仕組みはブートローダーのダウングレード防止のために存在する
      信頼できるコンピューティングチェーンでは、いったん脆弱性が入ると永続的に破綻してしまうため、それを防ぐための装置だという説明
      25年前のMotorola p2k時代にも存在した古い概念であり、信頼できるコンピューティング自体が悪というわけではない、という立場
    • OTPメモリは、ほぼすべてのセキュリティシステムの中核要素だ
      デバイス固有キーや証明書チェーンのルートがこのヒューズにハッシュ化されており、攻撃者が古いファームウェアを入れて脆弱性を悪用できないようにしている
      むしろ今までこうした機能がなかったことのほうが驚きだ、という反応もあった
    • eFuseは、かなり前からMCUやプロセッサの製造段階で使われてきた技術だ
      たとえばオーディオ入出力ボードのように同じMCUを使っていても構成によって異なる動作が必要な場合、eFuseで設定を固定し、ファームウェアが誤ったGPIOを設定しないようにできる
    • もっと単純な方法として、CPU内部にキルスイッチ用ロジックブロックを隠し、特定のビット列を検出したら動作させる方法もある
    • 中国がRISC-Vオープンソースアーキテクチャに投資している理由も、このような制裁やクローズド技術への依存を避けるための戦略に見える、という意見もあった

  • 今回の件は単なる修理する権利を超えて、所有権そのものの問題だと主張する声があった
    リモートアップデートにより、ユーザーが機器を完全には所有していないことを改めて示しているという

    • 自動車も同じで、屋根の通信モジュールを無効化できないようになっている
      メーカーがメールでオイル交換時期を通知するほど支配しているのだから、果たして私たちは車を「所有」していると言えるのか、という疑問が呈された
    • 購入レシートは自分の所有権の証拠であり、このような大規模なリモート無効化はCFAA(コンピュータ詐欺および濫用防止法)違反で、実質的には詐欺的販売に近いと主張している
      経営陣がそれを認識していたならRICO(組織犯罪法)違反に当たる可能性すらあるという
      たとえ訴訟に勝っても、結局は「次のOnePlusスマホ10ドル割引クーポン」程度で終わるだろうと、冷ややかな反応も見られた

  • OnePlusはこんなことをして何を得るのか、という疑問も出ていた
    もしかするとアップデート失敗によるメインボード交換が増えれば収益が上がる構造なのではないか、という疑いもあった
    そして以前のグリーンライン問題も、ソフトウェアアップデート中にハードウェアヒューズが誤作動した事例だったのではないか、という推測もあった

    • 盗難スマホを初期化して再有効化できてしまうバグがあり、今回の措置はダウングレード攻撃防止のためだという説明
      盗難対策や、通信事業者・Googleの要求事項に従うための措置かもしれない
    • ブートローダーの脆弱性により、物理アクセスで任意のOSを起動できてしまったため、eFuseでダウングレードを遮断する必要がある
      これはカスタムROMの利用自体を防ぐものではなく、旧バージョンROMだけを防ぐものだ
      新しいファームウェアをベースにビルドされたROMは正常に起動可能だという
      したがって、ROM開発者が新ファームウェアに対応すれば再びカスタムROMが使えるようになるはずだ
    • 経営陣の立場では、ハードウェアの支配権をユーザーに渡したくないのだろう
      ハードウェア販売だけでは利益が足りないため、ユーザーを自社OSエコシステムに囲い込み、データ収集によって利益を得ようとする構図だと批判されている
    • Appleも同様に7日後はダウングレード不可という方針を取っている
      OnePlusはハードウェア方式、Appleは署名ベース方式で実装しているだけだ
      ユーザーが自分でOSに署名して実行できる権利が保障されるべきだ、という主張もあった
      iOS 26でApple Watchの同期問題に悩まされた不満もあわせて語られていた

  • この種のeFuseベースのanti-rollbackは、すでに10〜20年前からSoCでは一般的な機能だ
    root exploitが見つかると、eFuseを焼いて以前の脆弱なファームウェアに戻れないようにするのが標準的なセキュリティ手順だ
    ROMや脱獄の魅力は理解できるが、それは脆弱な旧版ファームウェアに依存する行為だ、という説明もあった

    • しかしあるユーザーは「それは正常ではない」と反論した
      自分が買ったスマホなのだから、どんなソフトウェアを動かすかは自分が決める権利があるべきだという立場だ
      もしアップデートが自分のデータを他国へ送信するなら、旧版に戻す自由があるべきであり
      今回の変更はその自由を奪い、試みればスマホが文鎮化すると述べている

  • OPによれば、今回の変更はブートローダーのアンロック自体を防ぐものではない
    ただし従来のカスタムROMとは互換性がなくなり、新しいeFuse状態に合わせたROMを開発する必要がある

    • これに対して「では具体的にどうすれば互換になるのか」という質問が出ていた
      eFuse状態に合わせたROMを作る過程が気になる、という反応だった

  • あるユーザーは昨日アップデート通知を見て、自動アップデートを切ったという
    状況をもう少し把握するまでは更新しないつもりだとしている

  • 「英雄として死ぬか、長く生きて悪役になるか」という引用で、OnePlusの変化を風刺する声もあった

    • 別のユーザーは「Nordライン発売の時点ですでに兆候はあった」と付け加えた

  • EUのCyber Resilience Act(CRA)により、2027年からすべての機器で改ざん不能なブートが義務化される予定だという
    これによりFOSSや修理可能性が損なわれ、ベンダーが消えればハードウェアが文鎮化するという副作用が出るのではないかと懸念されている

  • 昔はMediatek SoCベースのノーブランドAndroidスマホがデフォルトでアンロック状態になっており、ほとんど文鎮化せず、モッディング文化が栄えていた
    eFuseはあったが、ソフトウェア側がそれを使っていなかったと振り返る声もあった

  • ブート過程では**XBL(Extensible Boot Loader)**がQfpromヒューズのanti-rollbackバージョンを読み、ファームウェア内のバージョンと比較する
    新しいファームウェアが正常に起動すると、TrustZone経由でヒューズを焼き、最低バージョンを更新する
    カスタムROMが古いファームウェアベースであれば即座に遮断されるという

    • これに対する技術的説明として、**XBLとABL(Secondary Bootloader)**がバージョン情報を持っており、eFuseの値より低ければ拒否される
      Android Verified Boot(AVB)がカーネルハッシュをvbmetaパーティションの署名と照合し、**Replay Protected Memory Block(RPMB)**に最小バージョンが保存されてロールバックを防いでいる
      superパーティションは読み取り専用のルートファイルシステムで、dm-verityによって保護されている
    • 別のユーザーは「これを可能にするには署名済みメタデータにバージョンが含まれている必要がある」と付け加えた
      もしユーザーが独自に署名したり署名検証を無効化できるなら、バージョン条件さえ満たせば望むブートを実行できるはずだと説明している