ハクソク

世界を動かす技術を、日本語で。

グラフェンOS:セキュリティ強化されたAndroidビルド

305日前原文(lwn.net)

概要

  • GrapheneOS は、Androidのセキュリティとプライバシーを強化するオープンソースOS。
  • 対応端末は主に Google Pixel 6〜9、特に新世代Pixel推奨。
  • デフォルトで Googleサービス非搭載、アプリストアやセキュリティ機能も独自実装。
  • セキュリティ機能やプライバシー制御が多数、細かくカスタマイズ可能。
  • 導入や運用には注意点も多く、日常利用には事前の検証が重要。

GrapheneOSとは

  • GrapheneOS は、Androidのオープンソース版を基盤に、セキュリティとプライバシー保護を徹底強化した再構築版OS。
  • 元々は CopperheadOS として開発され、創設者間の対立を経てDaniel Micay氏が独自に継続、現在はカナダ拠点の財団が支援。
  • 特定企業やスポンサーに依存しない独立系プロジェクト。

対応端末とインストール

  • 対応端末は Google Pixel 6〜9 が中心、Pixel 8/9世代は7年サポート保証と最新ハードウェアセキュリティ(ARMv9/メモリタグ付け)に対応。
  • ハードウェアメモリタグ付けが標準有効、非対応アプリのみ個別に無効化可能。
  • インストール方法は ウェブベースコマンドライン の2種類、ウェブ版の方が信頼性高。
  • インストール後は工場出荷状態となり、全設定やアプリは手動再構築が必要。

初期体験と標準アプリ

  • 初期画面は シンプルかつモノクロ、色設定はユーザー任せ。
  • 標準搭載アプリは最小限:独自の ブラウザ(Vanadium)、カメラ、PDFビューア、アプリストアのみ。
  • Google Play やそのアプリは非搭載、アプリストアは13本のみ提供。
  • VanadiumはChromiumベースで、 サイト分離 やコード強化機能を搭載、Firefoxは非推奨。
  • カメラアプリはExifメタデータをデフォルトで削除、位置情報は個別設定。

アプリストアと互換性

  • 独自ストアから Accrescent (セキュリティ重視の代替アプリストア)も導入可能。
  • F-Droid も利用可能だが、セキュリティ観点でやや評価が分かれる。
  • 実用上多くのユーザーは Google Play アプリが必要となる場合が多い。
  • GrapheneOSは サンドボックス化したGoogle Play を提供、特権なしの通常アプリとして動作。
    • 一部アプリは正常動作しない場合もあるが、ほとんど問題なし。
  • Integrity API により端末の正当性をアプリが検証。GrapheneOSは一部基準を満たすが、公式ビルドでないため一部アプリで動作不可リスクあり。
  • 重要アプリは事前検証が必須、アップデートで動作しなくなるリスクも考慮。

セキュリティ・プライバシー機能

  • Android標準の制御に加え、 アプリごとのネットワークアクセス遮断 が可能(デフォルトは許可)。
  • センサーアクセス権限 (加速度計、コンパス等)の個別制御。
  • ストレージスコープ :アプリごとに自身が作成したファイルのみアクセス可能なサンドボックス化。
  • 連絡先スコープ :アプリごとに連絡先情報へのアクセスを制限。
  • 指紋認証 :5回連続失敗で30分間無効化、強制解除対策。
  • デュレスPIN :特定PIN入力で端末データ即時消去(慎重な運用が必要)。
  • 監査アプリ :端末の改ざんやダウングレード有無をハードウェアレベルで検証。
  • 頻繁なアップデートと自動再起動(18時間無操作で暗号化状態維持)。

注意点とまとめ

  • 端末選定・アプリ互換性、インストール手順、日常運用の手間に注意。
  • Googleサービス非依存 を目指すが、利便性とのバランスも必要。
  • セキュリティ・プライバシー重視ユーザーには強力な選択肢だが、導入前に十分な検証と理解が重要。

Hackerたちの意見

Grapheneの唯一の問題は、サポートされているデバイスが信じられないほど少ないことだよね。分かってる、セキュリティの理由とか色々あるんだろうけど、もうちょっとセキュリティを緩めたバージョンでもいいから、少なくともGoogleのゴミよりはGrapheneが欲しいな。

https://calyxos.org/ は他のいくつかのデバイスもサポートしてるみたいで、真のプライバシーを目指してる感じだね。

それがどうおかしいの?今はPixelの世代が4、5個あって、Aシリーズやプロモデルもあるし、価格帯も色々あってみんなに合う選択肢は十分あるよ。

GrapheneOSのコミュニティマネージャーです。今のところ、Googleのデバイスだけが私たちの要件を満たしています(https://grapheneos.org/faq#future-devices)。ただ、別のOEMと協力していて、2026年か2027年にそのデバイスが私たちの要件を満たすことを期待しています。まだ確定ではないけど、今のところ楽観的です。

Googleがこのプロジェクトに対して敵対的になってるみたいだから、もしみんながそれを逃したら、新しいハードウェアサポートに取り組まなきゃいけないかもね。

実際、GrapheneがPixelに焦点を当てているのは好きだよ。Fairphoneとは違って、たくさんの国で利用できるからね、もちろんPixelを通して。だからGrapheneは実際には先進国や西洋だけに限られているわけじゃないと思う。他のデバイスをサポートしない理由は、チームの規模や、断片化したAndroidの世界が各OEMのユニークなトラブルで知られているからだと思う。それに、Googleのアップデート/アップグレードサイクルも適切な選択の理由の一つだね。

主な欠けている機能は、圧力下でのパスワードで、別の「ユーザー」を開くことができるものだよね。だから、もしパスワードを強制的に渡さなきゃいけなくなっても、本当のアカウントにはアクセスできない(隠れたプロファイルとか)。少なくとも隠れたプロファイルがあれば基本的な保護にはなると思う。今のところ、デバイスを消去する機能はあるけど、圧力下で殺される可能性もあるしね。 https://discuss.grapheneos.org/d/14722-using-duress-password...

これ、何年もいろんなモッドユーザーからリクエストされてるの見たけど、実装するのがそんなに難しいのかな?

GrapheneOSのコミュニティマネージャーです。こういう機能の問題は、基本的なツールを使う人に簡単に見つかってしまうことです。私たちのデュレスPIN/パスワード機能は、自分を隠そうとはしていません。なぜなら、それを隠そうとすることが人々に偽の安心感を与えるだけだと思っているからです。やる気のある敵はGrapheneOSやその機能に詳しい可能性が高いし、一般的になればなるほど「あなたの虐待的なパートナー」という意味になることが多いです。この機能が存在することを知ってしまうと、たとえ使わなくても危険になることがあります。解除するよう脅されることもあるし、解除しても相手はあなたがただ隠しているだけだと思うかもしれません。それだと、実際には存在しないものを提供できると思われて危険な状況に置かれます。これは非常に難しい問題で、この提案では解決できないと思っています。

この誇張は極端で、必要ないよ。もしあなたの人生が電話で偽のユーザーをシミュレートする能力に依存しているなら、OSの機能不足や深い防御の失敗よりも、もっと重大な問題があるんじゃない?

最後に聞いた話では、Googleは最近のAOSPの管理方針の変更に伴い、Pixelデバイスのデバイステーブルやドライババイナリの公開を中止したらしいんだ。これは決定的なものなのか、それとも単に遅れているだけなのかな?もしこの慣行が終了するなら、その理由は何だろう?これらのアーティファクトを公開することで、Pixelデバイスの需要を生むビジネスケースができるんじゃないの?それとも、コストが利益を上回る何かがあるのかな?メンテナンスの負担とか?先月のニュースの時にこの話を持ち出さなかったのは、スレッドにシニシズムが多かったからなんだけど、実際に気になってるんだ。GrapheneOSとGoogleが、基本的なことがちゃんと動く電話プラットフォームを作ってくれたことに本当に感謝してるし、技術に詳しくない人にも勧められるのが嬉しい!

根拠のない噂だけど、何か独占禁止法に関連しているらしいよ。もし彼らがデバイスビジネスを売却するなら(また)、デバイスドライバがAOSPの一部にならないのも納得だね...

Android 16では、Pixel用のデバイステーブルがAndroidオープンソースプロジェクトの一部として提供されなくなったんだ。他のデバイス用にも提供されていないのが重要なポイントだね。他のOEMも同様のAOSPサポートを提供していないし、いくつかのOEMは古いAndroidバージョン用の基本的なデバイステーブルを公開しているだけ。これはPixelが非Pixelと比べて持っていた利点の一つを失ったことだけど、私たちのハードウェア要件には含まれていなかったんだ。要件はここにリストされてるよ:https://grapheneos.org/faq#future-devices。Pixelが私たちの要件を満たしている唯一のデバイスである理由ではないんだ。ただ、2026年か2027年には大手Android OEMと協力してそれを変えようとしているよ。GrapheneOSは通常、新しいAndroidリリースに数日で移植して、2週間以内に安定版チャンネルに到達する傾向がある。2025年6月10日のリリース後、Android 16への初期移植も同じような期間で完了したんだ。ただ、その後、非Pixelデバイスをサポートするのと同じようにデバイスサポートを再実装しなければならなかった。Android 16をベースにした初期の製品リリースは6月30日に公開されたよ。いつものように、ユーザーから報告されたリグレッションを修正するために約1週間かけて一連のリリースを行った。安定版チャンネルには7月8日に到達したんだ。Android 16への移植が通常よりもかなり時間がかかったので、ほとんどのAndroid 16ファームウェア、すべてのカーネルドライバ、ユーザースペースデバイスサポートの一部を今は obsolete なAndroid 15 QPR2ブランチにバックポートして、2025年6月5日のパッチレベルを提供できるいくつかのリリースも行った。これも2025年7月5日のパッチレベルになったのは、2025年7月のAndroidセキュリティブリテンやPixelアップデートブリテンに脆弱性修正がなかったからだ。これは珍しいアプローチで、一般的には合理的なやり方ではないけど、成功したよ。これからは新しい自動化を構築したから、あまり問題にはならないと思う。Android 16 QPR1、Android 16 QPR2、Android 16 QPR3、Android 17などへの移植はそれほど難しくないはずで、主要なリリースのための通常の移植時間に戻れると思う。

GrapheneはPixelデバイスにとって素晴らしいオペレーティングシステムだよ。シンプルで信頼性が高く、セキュリティやプライバシー機能がたくさんあって、安心感がある。システムアップデートは自動で、実際の電話機能は完璧。唯一の不満はカメラの品質かな、専用ドライバが不足してるかもしれない。Signalもかなりうまく動いてるし、Googleサービスをインストールしなくても、毎日のモバイルドライバーとして完璧だよ。このプロジェクトの開発者たちに感謝!

新しいPixelにGrapheneをインストールしたばかりなんだ。まだ2日しか使ってないけど、1999年にLinuxを初めてインストールしたときの「裏庭で埋まっていた宝物を見つけた」感覚がある。こんな素晴らしいソフトウェアが無料だなんて信じられない。ものすごい労力がかかってるし、彼らはたくさんのことをうまくやってる。セキュリティや使いやすさの設定は、ずっと前から可能だと知っていた細かいコントロールを提供してくれる。スレッドにコアチームの人たちがいるみたいだから、ただ「ありがとう!」と言いたい!素晴らしい仕事だよ!ユーザーのために戦い続けてね!モバイルに関しては全然アドバイスできないけど、今のところはすごくうまく動いてる。ただ、ほとんどサードパーティのアプリを使ってないし、Playストア専用のアプリもない。唯一の不満はハードウェア(彼らのコントロール外だけど)。

アプリはどこから入手してるの?Googleのアプリストア?

Googleのコールスクリーニングや「Hold for me」みたいな機能のサポートが追加されたら、すぐにでもPixelにGraphene OSをインストールするよ。これらの機能があってこそPixelを買ったんだから、今それなしでいるのは不便すぎる。迷惑電話がかなり減って、時間を大幅に節約できたよ。

GrapheneOSの一番楽しい機能は、アプリ情報ページからいつでもどのアプリのログでも見れることだね。

Graphene OSに興味あるんだけど、Pixelフォンだけに限定されてるのはちょっと残念。Galaxy A55で試してみたかったな。

2週間Graphene使ってるけど、めっちゃいいよ。ただ、1つだけ機能が足りない:自動通話録音。

セキュリティ要件を満たしてるデバイスがGoogleのものだけって面白いね。Googleが実際にもっとセキュリティ重視のAndroidの内部バージョンを持ってるのかな。重要なエンジニアの個人デバイスがハッキングされるのはセキュリティ上の脅威だから、あり得るかもね。