世界を動かす技術を、日本語で。

グラフェンOS:セキュリティ強化されたAndroidビルド

2025年7月25日原文(lwn.net)

概要

  • GrapheneOS は、Androidのセキュリティとプライバシーを強化するオープンソースOS。
  • 対応端末は主に Google Pixel 6〜9、特に新世代Pixel推奨。
  • デフォルトで Googleサービス非搭載、アプリストアやセキュリティ機能も独自実装。
  • セキュリティ機能やプライバシー制御が多数、細かくカスタマイズ可能。
  • 導入や運用には注意点も多く、日常利用には事前の検証が重要。

GrapheneOSとは

  • GrapheneOS は、Androidのオープンソース版を基盤に、セキュリティとプライバシー保護を徹底強化した再構築版OS。
  • 元々は CopperheadOS として開発され、創設者間の対立を経てDaniel Micay氏が独自に継続、現在はカナダ拠点の財団が支援。
  • 特定企業やスポンサーに依存しない独立系プロジェクト。

対応端末とインストール

  • 対応端末は Google Pixel 6〜9 が中心、Pixel 8/9世代は7年サポート保証と最新ハードウェアセキュリティ(ARMv9/メモリタグ付け)に対応。
  • ハードウェアメモリタグ付けが標準有効、非対応アプリのみ個別に無効化可能。
  • インストール方法は ウェブベースコマンドライン の2種類、ウェブ版の方が信頼性高。
  • インストール後は工場出荷状態となり、全設定やアプリは手動再構築が必要。

初期体験と標準アプリ

  • 初期画面は シンプルかつモノクロ、色設定はユーザー任せ。
  • 標準搭載アプリは最小限:独自の ブラウザ(Vanadium)、カメラ、PDFビューア、アプリストアのみ。
  • Google Play やそのアプリは非搭載、アプリストアは13本のみ提供。
  • VanadiumはChromiumベースで、 サイト分離 やコード強化機能を搭載、Firefoxは非推奨。
  • カメラアプリはExifメタデータをデフォルトで削除、位置情報は個別設定。

アプリストアと互換性

  • 独自ストアから Accrescent (セキュリティ重視の代替アプリストア)も導入可能。
  • F-Droid も利用可能だが、セキュリティ観点でやや評価が分かれる。
  • 実用上多くのユーザーは Google Play アプリが必要となる場合が多い。
  • GrapheneOSは サンドボックス化したGoogle Play を提供、特権なしの通常アプリとして動作。
    • 一部アプリは正常動作しない場合もあるが、ほとんど問題なし。
  • Integrity API により端末の正当性をアプリが検証。GrapheneOSは一部基準を満たすが、公式ビルドでないため一部アプリで動作不可リスクあり。
  • 重要アプリは事前検証が必須、アップデートで動作しなくなるリスクも考慮。

セキュリティ・プライバシー機能

  • Android標準の制御に加え、 アプリごとのネットワークアクセス遮断 が可能(デフォルトは許可)。
  • センサーアクセス権限 (加速度計、コンパス等)の個別制御。
  • ストレージスコープ :アプリごとに自身が作成したファイルのみアクセス可能なサンドボックス化。
  • 連絡先スコープ :アプリごとに連絡先情報へのアクセスを制限。
  • 指紋認証 :5回連続失敗で30分間無効化、強制解除対策。
  • デュレスPIN :特定PIN入力で端末データ即時消去(慎重な運用が必要)。
  • 監査アプリ :端末の改ざんやダウングレード有無をハードウェアレベルで検証。
  • 頻繁なアップデートと自動再起動(18時間無操作で暗号化状態維持)。

注意点とまとめ

  • 端末選定・アプリ互換性、インストール手順、日常運用の手間に注意。
  • Googleサービス非依存 を目指すが、利便性とのバランスも必要。
  • セキュリティ・プライバシー重視ユーザーには強力な選択肢だが、導入前に十分な検証と理解が重要。

Hackerたちの意見

Grapheneの唯一の問題は、サポートされているデバイスが信じられないほど少ないことだよね。分かってる、セキュリティの理由とか色々あるんだろうけど、もうちょっとセキュリティを緩めたバージョンでもいいから、少なくともGoogleのゴミよりはGrapheneが欲しいな。

https://calyxos.org/ は他のいくつかのデバイスもサポートしてるみたいで、真のプライバシーを目指してる感じだね。

それがどうおかしいの?今はPixelの世代が4、5個あって、Aシリーズやプロモデルもあるし、価格帯も色々あってみんなに合う選択肢は十分あるよ。

GrapheneOSのコミュニティマネージャーです。今のところ、Googleのデバイスだけが私たちの要件を満たしています(https://grapheneos.org/faq#future-devices)。ただ、別のOEMと協力していて、2026年か2027年にそのデバイスが私たちの要件を満たすことを期待しています。まだ確定ではないけど、今のところ楽観的です。

Googleがこのプロジェクトに対して敵対的になってるみたいだから、もしみんながそれを逃したら、新しいハードウェアサポートに取り組まなきゃいけないかもね。

実際、GrapheneがPixelに焦点を当てているのは好きだよ。Fairphoneとは違って、たくさんの国で利用できるからね、もちろんPixelを通して。だからGrapheneは実際には先進国や西洋だけに限られているわけじゃないと思う。他のデバイスをサポートしない理由は、チームの規模や、断片化したAndroidの世界が各OEMのユニークなトラブルで知られているからだと思う。それに、Googleのアップデート/アップグレードサイクルも適切な選択の理由の一つだね。

主な欠けている機能は、圧力下でのパスワードで、別の「ユーザー」を開くことができるものだよね。だから、もしパスワードを強制的に渡さなきゃいけなくなっても、本当のアカウントにはアクセスできない(隠れたプロファイルとか)。少なくとも隠れたプロファイルがあれば基本的な保護にはなると思う。今のところ、デバイスを消去する機能はあるけど、圧力下で殺される可能性もあるしね。 https://discuss.grapheneos.org/d/14722-using-duress-password...

これ、何年もいろんなモッドユーザーからリクエストされてるの見たけど、実装するのがそんなに難しいのかな?

GrapheneOSのコミュニティマネージャーです。こういう機能の問題は、基本的なツールを使う人に簡単に見つかってしまうことです。私たちのデュレスPIN/パスワード機能は、自分を隠そうとはしていません。なぜなら、それを隠そうとすることが人々に偽の安心感を与えるだけだと思っているからです。やる気のある敵はGrapheneOSやその機能に詳しい可能性が高いし、一般的になればなるほど「あなたの虐待的なパートナー」という意味になることが多いです。この機能が存在することを知ってしまうと、たとえ使わなくても危険になることがあります。解除するよう脅されることもあるし、解除しても相手はあなたがただ隠しているだけだと思うかもしれません。それだと、実際には存在しないものを提供できると思われて危険な状況に置かれます。これは非常に難しい問題で、この提案では解決できないと思っています。

この誇張は極端で、必要ないよ。もしあなたの人生が電話で偽のユーザーをシミュレートする能力に依存しているなら、OSの機能不足や深い防御の失敗よりも、もっと重大な問題があるんじゃない?

最後に聞いた話では、Googleは最近のAOSPの管理方針の変更に伴い、Pixelデバイスのデバイステーブルやドライババイナリの公開を中止したらしいんだ。これは決定的なものなのか、それとも単に遅れているだけなのかな?もしこの慣行が終了するなら、その理由は何だろう?これらのアーティファクトを公開することで、Pixelデバイスの需要を生むビジネスケースができるんじゃないの?それとも、コストが利益を上回る何かがあるのかな?メンテナンスの負担とか?先月のニュースの時にこの話を持ち出さなかったのは、スレッドにシニシズムが多かったからなんだけど、実際に気になってるんだ。GrapheneOSとGoogleが、基本的なことがちゃんと動く電話プラットフォームを作ってくれたことに本当に感謝してるし、技術に詳しくない人にも勧められるのが嬉しい!

根拠のない噂だけど、何か独占禁止法に関連しているらしいよ。もし彼らがデバイスビジネスを売却するなら(また)、デバイスドライバがAOSPの一部にならないのも納得だね...

Hacker Newsで議論の続きを見る