ESP32チップは、スマートホーム機器から一部のビットコイン用ハードウェアウォレットまで、幅広い接続デバイスで利用されています。2025年初頭、ESP32チップに文書化されていないBluetooth機能が存在するとの報告が発表され、セキュリティコミュニティ全体で議論を呼びました。これには、Blockstream Jadeハードウェアウォレットのユーザーも含まれます。
ESP32チップとは何ですか?
ESP32は、Espressif Systemsによって開発され、2016年に発表された低コストのマイクロコントローラー(MCU)ファミリーです。統合された無線通信機能、低コスト、高い柔軟性を兼ね備えていることから、IoT(Internet of Things)デバイスで広く採用されています。
実際には、ESP32ベースのチップやモジュールは、スマートホーム機器、産業用センサー、電子工作プロジェクトから、Blockstream Jadeのようなビットコイン用ハードウェアウォレットにまで利用されています。
ESP32が広く利用されている主な理由は以下の通りです。
- Wi-FiとBluetoothを統合: 無線通信機能がチップに内蔵されているため、部品数とコストを削減できます。
- 低コストかつ省電力: 一般消費者向けデバイスや組み込みシステムに適しています。
- 柔軟なプログラミング環境: Arduino、ESP-IDF、MicroPythonなどの開発フレームワークに対応しています。
- 大規模なオープンソースエコシステム: 豊富なドキュメント、ツール、コミュニティサポートにより、開発者やメーカーの導入障壁を下げています。
ESP32のセキュリティ懸念とビットコイン用ハードウェアウォレット
ESP32は柔軟性と低コストを備えていますが、もともとは高セキュリティ用途向けの専用セキュアエレメントではなく、汎用IoT向けマイクロコントローラーとして設計されました。
2025年初頭、CVE-2025-27840として追跡されている、文書化されていないBluetooth機能に関する報告をきっかけに、ESP32のセキュリティについて再び議論が活発化しました。この報告は、Blockstream JadeのようにESP32コンポーネントを採用しているデバイスのユーザーを含むセキュリティコミュニティ内で議論を呼びました。
しかし、これは ESP32を使用するビットコイン用ハードウェアウォレットが自動的に安全ではないことを意味するわけではありません。
実際には、ハードウェアウォレットの安全性はデバイス全体のアーキテクチャに依存します。例えば、乱数生成方法、秘密鍵の保存方法、複数のエントロピーソースの利用、ファームウェア設計、トランザクション署名フロー、物理的セキュリティ前提などが重要です。
例えばBlockstreamは、Jadeがウォレット初期化時の乱数生成をESP32のみに依存しておらず、複数の入力ソースからエントロピーを組み合わせていると説明しています。
重要なのは、ビットコインユーザーがハードウェアウォレットを単一の部品だけで評価するのではなく、システム全体として評価することです。
リモート攻撃への懸念とウォレットのセキュリティ前提
ESP32のセキュリティに関する主な懸念の一つは、文書化されていない機能や実装上の弱点によって、特に無線通信が有効な場合にデバイスの攻撃対象領域(アタックサーフェス)が広がる可能性があることです。
ビットコイン用ハードウェアウォレットにおいては、セキュリティは暗号アルゴリズムだけでなく、ファームウェアの完全性、アップデート手順、ユーザー確認フロー、鍵の分離、エントロピー生成など、周辺システム設計にも依存します。
ただし、この問題を過度に誇張するべきではありません。無線通信コンポーネントの脆弱性が存在しても、それだけで攻撃者がビットコイントランザクションに署名したり、秘密鍵を抽出したり、ウォレットの承認フローを回避できるわけではありません。
そのような攻撃が成功するには、通常さらに別の脆弱性が必要です。例えば、侵害されたファームウェア更新経路、無線通信部分と署名ロジックの不十分な分離、またはトランザクション承認前の不十分なユーザー確認などです。
したがって、Blockstream Jadeの場合に重要なのは単に「ESP32を使用しているかどうか」ではなく、デバイスのアーキテクチャがESP32コンポーネントに何を許可しているのか、ファームウェアがどのように検証されるのか、そしてウォレットの秘密情報がどのように保護されているのかという点です。
ユーザーにとっての重要な教訓はシンプルです。ハードウェアウォレットの安全性はシステム全体で評価されるべきであり、単一のチップだけで全てを判断することはできません。
本当に「バックドア」は存在したのか?
CVE-2025-27840に関する初期報道では、「ESP32のバックドアの可能性」といった強い表現が使われました。しかし、この見方には異論もありました。
より慎重な結論は次の通りです。文書化されていない、または十分に説明されていない機能は、特に無線インターフェースが有効な場合、接続デバイスの攻撃対象領域を広げる可能性があります。しかし、それが自動的にデバイスのリモート侵害や秘密鍵の抽出を意味するわけではありません。
Blockstream Jadeのようなデバイスのユーザーにとって重要なのは、脆弱性レポートに特定の部品名が載っているかどうかではなく、ウォレット全体のアーキテクチャがその部品の権限や影響範囲をどのように制限しているかです。現在利用可能な情報を見る限り、ESP32に関する論争は、通常の利用環境でJadeユーザーの資産が危険にさらされていることを示してはいません。
JadeとJade Plusの違いは?
購入を検討している方のために補足すると、初代Blockstream Jadeと新しいJade PlusはどちらもESP32ベースのアーキテクチャを採用しています。ただし、Jade Plusは新しいESP32-S3プラットフォームを採用し、大型ディスプレイ、高速化、QRコード処理の改善、接続オプションの拡張など、複数の実用的なハードウェア改善が加えられています。
そのため、頻繁にデバイスを利用するユーザー、QRコードベースの操作を重視するユーザー、または最新のBlockstream製ハードウェアを求めるユーザーにとっては、Jade Plusの方が快適な選択肢となります。一方、初代Jadeは、主にビットコイン専用の署名デバイスを求め、大型画面や追加機能を必要としないユーザー向けの、よりコンパクトで低コストな選択肢です。
したがって、ESP32に関する議論を「旧Jadeは危険で、Jade Plusは安全」と解釈するべきではありません。両モデルとも、Blockstreamのウォレット全体のアーキテクチャ、ファームウェア検証、署名フロー、エントロピー設計がユーザーのニーズに適しているかどうかという同じ基準で評価されるべきです。
なお、CVE-2025-27840の議論は、初代ESP32 Bluetoothコントローラーに存在する隠されたHCIコマンドに関するものでした。Espressifは、Jade Plusで採用されているESP32-S3を含むESP32-Sシリーズは、これら特定のコマンドの影響を受けないと説明しています。
現在入手可能な情報に基づく限り、どちらのJadeモデルの利用も避けるべき実用的な理由は見当たりません。ほとんどのビットコイン保有者にとっては、スマートフォンやノートPC、取引所アカウントに多額の資産を保管するリスクの方が、ESP32関連の見出しで語られる理論上のリスクよりもはるかに大きいと言えるでしょう。
結論
ESP32は広く利用されている高機能なIoT向けマイクロコントローラーです。ビットコイン用ハードウェアウォレットに搭載されているからといって、それだけでユーザー資産が危険にさらされるわけではありません。
より重要なのは、その周辺の設計です。エントロピー生成方法、ファームウェア検証方法、署名の分離方法、そしてユーザーが承認内容をどれだけ明確に確認できるかが重要です。
Blockstream Jadeについて言えば、現在公開されている情報は、CVE-2025-27840によって攻撃者が通常利用環境下で秘密鍵を遠隔取得したり資金を盗んだりできるという主張を裏付けていません。
実践的な教訓はシンプルです。センセーショナルな見出しに惑わされず、ウォレットのファームウェアを最新に保ち、信頼できる販売元からデバイスを購入し、ハードウェアウォレットを単一の部品ではなく全体のセキュリティ設計で評価しましょう。
ベトナムでBlockstream Jadeハードウェアウォレットを購入したいですか?
ベトナム在住でビットコイン保有資産の安全性を高めたい方には、BitcoinVN ShopがBlockstreamハードウェアウォレットの公式販売代理店として、標準モデルのBlockstream Jadeから、Blockstream Jade Plusまで幅広く提供しています。
初めてハードウェアウォレットを導入する方も、既存の保管体制を改善したい方も、当社チームがお客様のセキュリティ要件と予算に合った方法をご提案します。
より包括的なサイバーセキュリティコンサルティングをお探しですか?
より大きな資産を保有している方、事業リスクを抱える方、相続対策を検討している方、または高度なオペレーショナルセキュリティが必要な方に向けて、BitcoinVN Consultingでは、セルフカストディ、ウォレットアーキテクチャ、サイバー衛生管理、アクセス制御、相続計画、運用セキュリティ全般に関する1対1のコンサルティングを提供しています。
当社チームは、ビットコイン利用のステージに応じてアドバイスを提供します。初めて適切な環境を構築したい初心者から、長期的・世代間資産保全を考えるお客様まで対応可能です。
BitcoinVN Consultingは、実際の運用経験から生まれました。10年以上にわたりビットコイン業界で活動する中で、回避可能なミス、不十分な設定、弱い運用セキュリティによって発生した損失事例を数多く見てきました。
そのため当社チームは、お客様の実際のリスクプロファイルに見合った資産保管および運用セキュリティ体制の構築を支援することに自信を持っています。
