長年、ハードウェアセキュリティの領域において「Rowhammer」は非常に厄介な存在として認識されてきた。DRAMのセルが高密度化するにつれ、特定のメモリ行に反復的なアクセスを行うことで隣接するセルのビット反転(特定の「0」が「1」に変わる、あるいはその逆)を物理的に誘発するこの攻撃手法は、ソフトウェア側からの完全なパッチ適用が極めて困難な性質を持つ。これまでRowhammer攻撃の主な標的は、CPUに直結するメインメモリ(DDR4やDDR5など)であった。しかし、今回発表された独立した研究群は、この物理的な脆弱性がついにGPUの専用メモリ領域であるGDDR(Graphics Double Data Rate)へと波及し、従来のシステム保護の前提条件を根本から覆し始めた事実を突きつけている。

グラフィックス処理や並列計算の中核を担うGPUは、ゲーミングデバイスの域を抜け出し、世界中のデータセンターで大規模言語モデル(LLM)の訓練や推論を支える最重要インフラである。NVIDIAの提供するGPU群は、その卓越した計算能力によって現代のAIエコシステムを牽引している。そこに今回立証された「GDDRHammer」「GeForge」そして「GPUBreach」という3つの手法は、いずれもNVIDIAのGDDR6メモリを搭載したGPUにおいて、Rowhammer攻撃が限定的なデータ破損という初期の懸念を超え、完全なシステム権限の奪取に至る現実的な脅威であることを明確な形で証明している。

AD

権限昇格への足がかりとなるページテーブルの物理的掌握

GPUメモリに対するRowhammer現象自体は、以前から「GPUHammer」などの形で一部報告されていた。当時の研究が示していた中心的な影響は、機械学習モデルの重みデータをフリップさせ、推論精度を意図的に低下させるといった、いわゆるサービス妨害(DoS)の延長線上にある機能不全であった。

今回明らかになった新たな攻撃手法群は、その影響スコープの重大さにおいて全く次元が異なる。攻撃者は、GDDR6メモリにおけるビットフリップを正確にコントロールし、GPUの「ページテーブル」を直接的に書き換える。ページテーブルは、仮想メモリアドレスを物理アドレスに変換するためのシステムの中枢である。この領域のデータが操作されると、本来アクセスが隔離されているはずのメモリ領域への不正な経路が物理レベルで開かれる。

「GDDRHammer」および「GeForge」は、このメカニズムを利用して、特権を持たないCUDAカーネルからGPUメモリ空間全体に対する任意の読み書き(Read/Write)権限への昇格を実現している。これにより、同じGPUリソースを時分割で共有している他プロセスのデータへのアクセスや、セキュリティの要となる暗号鍵(NVIDIA cuPQCに展開されたポスト量子暗号の秘密鍵など)の窃取までが可能になる。

IOMMUの防壁を内側から崩す「GPUBreach」の衝撃

これら一連の研究の中で、アーキテクチャの根幹に関わる最も深刻な脅威を提示しているのが、トロント大学の研究チームらが同定した「GPUBreach」である。

巨大な特権を持つハードウェアデバイスのDMA(Direct Memory Access)攻撃に対するシステムの標準的な防衛策は、IOMMU(I/O Memory Management Unit)によるアクセス制限である。IOMMUは、PCIeデバイスであるGPUがホストCPU側の物理メモリのどの領域にアクセスできるかをハードウェアレベルで制限する。「GeForge」がCPU側での完全な権限昇格(Rootシェルの奪取)に成功したのは、このIOMMUが無効化されている保護の薄い環境下でのみであった。NVIDIAやAMD、オペレーティングシステムを提供するベンダー各社も、システム構成のベストプラクティスとしてIOMMUを常に有効にすることを強く推奨している。

GPUBreachの最大の脅威は、このIOMMUが正しく有効化され、意図された制限下で動作しているにもかかわらず、システムの完全な制御を奪い取る点に集約される。同手法は、IOMMUの設定自体を無効化・破壊するのではない。GPUのDMAアクセスは、IOMMUによって「GPUドライバが正式に所有するバッファ領域」に正しく束縛されている。攻撃者は論理的に閉ざされた空間の中で、GPU側での権限を昇格させた後、その「許可された領域内」にあるGPUドライバ自身の信頼されたメタデータをビットレベルで改ざんする。

CPU側においてカーネル特権で動作中のNVIDIAドライバは、改ざんされたメタデータを正常なシステム応答と誤認し、攻撃者が意図した通りの「境界外書き込み(out-of-bounds write)」を実行してしまうのである。これは、IOMMUというハードウェアの防壁を越えるアプローチを放棄し、防壁の内側で動作するドライバ自体のメモリ安全性の欠陥(バグ)を突くことで、内側から城門の鍵を開け放つ戦略である。結果として、攻撃者はホストCPU側のシステムにおいて最も高いRoot権限を獲得する。

AD

露呈した対策の限界と広がるハードウェア被害

現在判明している範囲として、これらの攻撃はNVIDIAのGeForce RTX 3060といった前世代のコンシューマ向けGPUや、RTX A6000のようなワークステーション向けGPUにおいてその再現性が確認されている。アーキテクチャの観点からは、GDDR6メモリを搭載するAmpere世代やAda Lovelace世代が広く標的となり得る構成を持つ。

この物理的脆弱性に対する決定的なパッチはソフトウェア単独では極めて展開し難い。DRAMメーカーが長年ハードウェアレベルでの緩和策(Target Row Refresh機構など)を実装してきたにもかかわらず、Rowhammer攻撃側はより精巧なパターン(Non-uniform Rowhammer patternなど)を用いることで恒常的にその防御を突破し続けている。

局所的な緩和策の筆頭に挙げられるのが、ECC(Error Correcting Code:誤り訂正符号)の有効化である。NVIDIAはこれまでも、ソフトウェアベースまたはハードウェアベースでのECC稼働を促してきた。ECCは1ビットの反転を検知して自動的に訂正するため、単純な攻撃パターンの成功率を大幅に低下させる。しかし、最新のRowhammer動向においては、同時に3つ以上のビットを反転させるマルチビットフリップ現象が観測されており、既存のECC機構ではこれを正確に訂正できない。場合によっては誤訂正による「サイレントなデータ破損」を引き起こす要因にもなる。

より構造的に厳しい課題は、普及帯を占めるGeForceシリーズやラップトップ向けGPUにおいて、ECC機能そのものが無効化されているという事実である。世界中の何億台に上るコンシューマ向けPCは、事実上このハードウェア設計上の脆弱性を抱えた状態での運用を余儀なくされる。NVIDIAの最新データセンター向けGPU(H100等)はHBM(High Bandwidth Memory)を採用しており、オンダイECCを備えるため、GDDR6を標的とした今回の攻撃コードがそのまま通用するかは未知数と位置付けられている。

サイバーセキュリティパラダイムの転換と今後の展望

GPUBreachの台頭が業界に示した事実は、「ハードウェアコンポーネント間におけるゼロトラストの欠如」という根本的かつ構造的な問題である。

現代のOS設計やセキュリティモデルは、IOMMUによってデバイスへのアクセスを分離させれば、そのデバイス経由のコマンドを処理するドライバ側も安全に機能するという、暗黙の信頼関係の上に構築されている。GPUという強大で独立したエコシステムがハードウェアレベルで内部から掌握された場合、その信頼関係はたちまち瓦解する。特権モードで動作するドライバが、ハードウェアデバイス側から送出されるデータを無条件に信頼し、厳密な入力値検証(サニタイズ)を行わずに実行環境へマッピングしてしまう特有の設計上の甘さが、今回の致命的なシステム全権の剥奪を招いた。

この事実は、現代のクラウドコンピューティングやAIインフラストラクチャに対して極めて重い課題を提示している。多くのクラウドプロバイダは、強力なGPUリソースを仮想化し、複数の異なるテナント(ユーザー)で共有するサービスを展開している。単一のユーザーが立ち上げた悪意のあるコンテナが、時分割で割り当てられたコンピュートリソース上のGPUメモリを物理的手段で操作し、隔離されるはずのホストサーバー全体の権限制御を奪い取るというシナリオは、もはや理論上の空想ではない。

CPUシステムにおいて長らく対応といたちごっこが続けられてきたRowhammerの脅威は、今やGPUという新たな広大なフロンティアへと戦線を拡大した。業界はIOMMUという既成概念に過度に依存した境界防御の枠を脱却し、ハードウェアデバイスとそれを統制するドライバカーネル間でやり取りされるあらゆるデータの正当性を常に自律検証する、より厳格なアーキテクチャへの移行を迫られている。


Sources