GPU Rowhammerという攻撃手法が、データ破壊にとどまらず完全なシステム乗っ取りにまで到達することが実証された。トロント大学の研究チームが発表した「GPUBreach」は、GDDR6メモリへのRowhammer誘発bit flipを起点に特権昇格からrootシェル取得まで至る攻撃チェーンを示すもので、4月13日に開催されるIEEEシンポジウム Security & Privacyで全詳細が公開される。AIトレーニングや推論ワークロードで広く使われるGPUがターゲットになりうるという点で、日本のエンジニアも無視できない内容だ。

GPUBreach の仕組み——ページテーブル破壊からドライバ脆弱性へのチェーン

Rowhammer攻撃とは、メモリセルに隣接する行へ高速に繰り返しアクセスし、電気的干渉によって意図しないビット反転(bit flip)を引き起こす手法だ。DRAMではかつてから知られていたが、近年は GPU の GDDR6 メモリにも適用可能であることが示されてきた。

GPUBreach はその延長線上にある。研究チームは GDDR6 上で Rowhammer 誘発 bit flip を起こし、GPU のページテーブル(PTE)を破壊することに成功した。これにより、非特権 CUDA カーネルが任意の GPU メモリへの読み書きアクセスを奪取できる状態になる。

さらにそこで終わらない。この GPU メモリアクセス能力を足がかりに、NVIDIA ドライバに存在するメモリ安全性のバグをチェーンして CPU 側への権限昇格まで到達。最終的に root シェルを取得できることが実証された環境は NVIDIA RTX A6000——AI 開発・学習用途で広く採用されるモデルだ。

IOMMU 保護が機能しない点が最大の驚き

DMA(Direct Memory Access)攻撃への主要な防御策として、多くの組織のセキュリティ設計で信頼されてきたのが IOMMU(Input-Output Memory Management Unit) だ。デバイスがアクセスできるメモリ領域をハードウェアレベルで制限する仕組みで、「これがあれば安全」と前提にしているケースは少なくない。

GPUBreach は IOMMU が有効な状態のまま攻撃が成立する。GPU が制御するメモリがドライバの信頼された状態を破壊できる以上、IOMMU 単体での防御は不十分と研究チームは明言している。

ECC 非搭載のコンシューマ GPU は現状で完全に無防備

研究者は NVIDIA・Google・AWS・Microsoft へ 2025 年 11 月 11 日に報告済みだ。NVIDIA はエンタープライズ向けにシステムレベル ECC(Error Correcting Code)の有効化を推奨しており、Hopper および Blackwell アーキテクチャのデータセンター向け GPU ではデフォルト有効になっている。

ただし ECC はシングルビットフリップの訂正とダブルビットフリップの検出までで、マルチビットフリップには対応できない。そして ECC 非搭載の一般向けコンシューマ GPU については、現時点で有効なミティゲーションが存在しない。 これは重大な事実として認識しておく必要がある。

実務への影響

AI 開発・機械学習の担当者

オンプレミスの AI 開発機やワークステーションでコンシューマ向け GPU を使っているケースでは、まず搭載 GPU に ECC があるかを確認することが出発点となる。クラウド(Azure・AWS・GCP)のデータセンター向け GPU インスタンスは ECC 有効アーキテクチャが主流だが、オンプレ環境の棚卸しは怠らないほうがよい。

セキュリティ担当・IT 管理者

「IOMMU を有効にしてあるから大丈夫」という前提は今回の研究で見直しが必要になった。IOMMU は依然として重要な防御層だが、単独で絶対視するのは禁物だ。ゼロトラスト設計の文脈で言えば「一層の防御を信頼の根拠にしない」という原則がここにも当てはまる。NVIDIA ドライバのアップデートを継続的に適用し、NVIDIA のセキュリティ通知(Security Bulletin)を監視するフローを整備しておこう。

クラウド中心の組織

今回の開示は Google・AWS・Microsoft にも同時に行われており、各社は対応を進めている。自社が利用するクラウドのセキュリティアドバイザリに登録し、GPU インスタンス種別の確認と推奨設定の適用を定期的に行う運用を確立しておきたい。

筆者の見解

セキュリティ分野を積極的に専門とするタイプではないが、GPUBreach の研究は技術的な意味で非常に興味深い。DRAM の物理特性を突いたRowhammer が GPU に応用され、さらにドライバのバグをチェーンして root 権限まで至るという攻撃チェーンの構成は、攻撃研究の一つの到達点を示している。「GPU のメモリ破壊はデータ破壊止まり」という認識が完全に覆された瞬間だ。

現実的な脅威レベルについては冷静に見ると、攻撃の実行にはシステム上でのコード実行権限が前提となる。今すぐすべての環境で緊急対応が必要なゼロデイ、というわけではない。

それよりも根本的に気になるのは、AI ワークロードの急拡大に伴う GPU の「インフラ化」とセキュリティ設計のミスマッチだ。数年前まで「GPU はグラフィックス用」だったものが、多くの企業のコアコンピューティングインフラになった。インフラになったということは攻撃対象になるということであり、「GPU はブラックボックスの計算機」として扱ってきたセキュリティ設計の前提は更新が必要な時期に来ている。

ECC 非搭載のコンシューマ GPU が完全に無防備である点については、NVIDIA が早期に実効性のあるミティゲーションを示すことを期待したい。「データセンター向けは大丈夫」で終わらせず、開発者ワークステーションやエッジ環境で使われる一般向け GPU への対応策も示してほしい。力のあるベンダーだからこそ、できることはあるはずだ。

出典: この記事は New GPUBreach attack enables system takeover via GPU rowhammer の内容をもとに、筆者の見解を加えて独自に執筆したものです。