NVIDIA GPUに対する新たなRowhammer攻撃がシステム完全制御を可能に
セキュリティ研究者が、メモリ破損からシステム全体の侵害にエスカレート可能なNVIDIA GPUを標的とした新たなRowhammer攻撃を実証し、ハードウェアレベルのセキュリティリスクに重大な変化をもたらした。
キーポイント
新たなGPU標的型Rowhammer攻撃の実証
セキュリティ研究者が、従来のDRAMではなくNVIDIA GPUを標的とした新たなクラスのRowhammer攻撃を実証した。
メモリ破損からシステム全体の侵害へのエスカレーション
この攻撃は、単なるメモリ破損を超えて、システム全体の乗っ取り(フルシステム・コンブロマイズ)にまでエスカレート可能である。
ハードウェアレベルセキュリティリスクの重大な変化
GPUを標的としたこの攻撃は、ハードウェアレベルのセキュリティ脅威の対象範囲が拡大したことを示す重要なシフトである。
影響分析・編集コメントを表示
影響分析
この発見は、AI計算の基盤を支えるGPUハードウェアそのものに深刻な脆弱性が存在する可能性を示し、データセンター、クラウドサービス、高性能計算など広範なAIインフラのセキュリティ再評価を迫る。特にNVIDIA GPUが支配的なAI/機械学習市場において、ハードウェア信頼性の根本的な問い直しにつながり得る。
編集コメント
AIブームを支えるGPUハードウェアの「物理的」脆弱性が露見した点で極めて重要。クラウドAIサービスや研究機関は即座に対応策を検討すべき重大ニュース。
セキュリティ研究者は、NVIDIA GPUを対象とした新しいタイプのRowhammer攻撃を実証しました。この攻撃はメモリ破損からシステム全体の乗っ取りへとエスカレートする可能性があり、ハードウェアレベルのセキュリティリスクにおける重大な転換点を示しています。最近の学術研究で詳細が明らかにされ、Ars Technicaでも取り上げられたこの攻撃は「GDDRHammer」および「GeForce/GeForge」として知られており、GDDR6 GPUメモリの脆弱性を悪用します。これにより攻撃者は任意の読み書きアクセス権限を獲得し、最終的にホストCPUとシステムメモリを制御下に置くことができます。
これらの発見は、DRAMにおける長年のハードウェア欠陥であるRowhammerに関する先行研究に基づいています。Rowhammerとは、メモリ行を繰り返しアクセス(「ハンマーリング」)することで隣接するメモリセルのビット反転を引き起こし、従来の分離メカニズムを回避する現象です。従来はシステムRAMに関連付けられていましたが、研究者たちは同様の手法をGPUメモリに適用できることを示しました。これにより攻撃範囲が大幅に拡大し、クラウドインフラストラクチャやAIトレーニングプラットフォームなど、GPUが共有される環境において特に深刻なリスクとなっています。
以前のアプケーションの動作に主に影響を及ぼしていたGPU焦点型の攻撃(例えば、AIモデルの精度低下など)とは異なり、これらの新しい手法はエンドツーエンドの乗っ取り能力を実証しています。GPUメモリでビット反転を慎重に誘発することで、攻撃者はページテーブルやメモリマッピングを操作し、GPUとCPUのメモリ空間の間のギャップを実質的に埋めます。これによりシステムメモリへの不正アクセスが可能になり、場合によってはマシン全体の完全な制御権を奪取することができます。
GDDRHammerのような攻撃は、既存のGPU保護機能を回避しながら、大量の標的型ビットフリップを生成できることが研究で示されています。場合によっては1つのメモリバンクあたり100回以上のビットフリップが発生します。さらに高度なバリエーションでは、GPUのメモリアクセスをCPUメモリにリダイレクトすることも可能であり、攻撃者はGPU自体を超えて機密データの読み取りや改ざんを行うことができます。
これらの影響は、GPUが複数のワークロードやユーザー間で頻繁に共有されるAIおよびクラウドコンピューティング環境において特に深刻です。このような設定では、攻撃者は被害者のデータに直接アクセスする必要はなく、同じGPUハードウェアへの共有アクセスがあれば、ワークロードの妨害や特権の昇格が可能です。そのため、マルチテナント構成のGPUクラスターは、此类の攻撃に対して高いリスクを抱える対象となります。
この研究は、より広範なトレンドも浮き彫りにしています。GPUが生成AIから高性能ワークロードに至るまで、現代のコンピューティングの中核を担うようになるにつれ、それらは単なるパフォーマンスアクセラレータであるだけでなく、セキュリティ脅威の範囲にも組み込まれつつあるということです。
Rowhammerスタイルの攻撃は、そのハードウェアレベルでの性質ゆえに軽減が困難です。潜在的な防御策としては、エラー訂正コード(ECC: Error-Correcting Code)メモリの有効化、メモリリフレッシュレートの向上、またはIOMMUなどの技術を用いたシステムメモリへのGPUアクセスの制限などが挙げられます。しかし、これらの対策はしばしばパフォーマンスとのトレードオフを伴うか、洗練された攻撃パターンに対して効果に限界があります。
さらに複雑な事態として、研究により、DRAMの現代の緩和技術でさえも、メモリ密度の増加や攻撃手法の進化に伴い、Rowhammer攻撃を完全に防止するには必ずしも十分ではないことが示されています。
GPUベースのRowhammer攻撃の出現は、ハードウェアセキュリティ脅威の重大なエスカレーションを表し、10年前から存在する脆弱性が新たな領域に拡大したことを意味します。攻撃者が共有インフラストラクチャやコンピューティングスタックの下部層を標的にすることが増えるにつれて、この研究は、ハードウェア保護、システムレベルの分離、ワークロード対応防御を組み合わせたクロスレイヤーセキュリティアプローチの必要性を浮き彫りにしています。
AIやクラウド環境においてGPUに大きく依存する組織にとって、メッセージは明確です。ハードウェアはもはや信頼できる境界線ではありません。むしろ、進化し続ける脅威環境の一部として、より広範なセキュリティ戦略に統合され、積極的に監視され、強化される必要があります。
著者について
クレイグ・リシ
クレイグ・リシは多才な人物ですが、その才能をどう使うべきかという感覚に欠けています。彼は世界を変えるような活動をする立場にもありますが、その代わりにソフトウェアの開発を好んでいます。彼はソフトウェア設計への情熱を持っていますが、それ以上に重要なのは、技術的に多様で絶えず進化し続けるテック・ワールドにおいて、ソフトウェアの品質とシステム設計を追求することです。
クレイグはまた、『Quality By Design: Designing Quality Software Systems』(品質による設計:高品質なソフトウェア・システムの設計)という書籍の著者であり、自身のブログサイトや世界中のさまざまなテック系ウェブサイトにて定期的に記事を投稿しています。
ソフトウェアいじりに没頭していないときは、理由もなく文章を書いたり、ボードゲームをデザインしたり、長距離走をしたりしている姿をよく見かけます。
原文を表示
Security researchers have demonstrated a new class of Rowhammer attacks targeting NVIDIA GPUs that can escalate from memory corruption to full system compromise, marking a significant shift in hardware-level security risks. Detailed in recent academic research and highlighted by Ars Technica, the attacks, known as GDDRHammer and GeForce/GeForge, exploit vulnerabilities in GDDR6 GPU memory to gain arbitrary read and write access, ultimately allowing attackers to take control of the host CPU and system memory.
The findings build on earlier research into Rowhammer, a long-known hardware flaw in DRAM where repeatedly accessing ("hammering") memory rows induces bit flips in adjacent memory cells, bypassing traditional isolation mechanisms. While historically associated with system RAM, researchers have now shown that similar techniques can be applied to GPU memory, dramatically expanding the attack surface, particularly in environments where GPUs are shared, such as cloud infrastructure and AI training platforms.
Unlike earlier GPU-focused attacks that primarily impacted application behavior (such as degrading AI model accuracy), these new techniques demonstrate end-to-end compromise capabilities. By carefully inducing bit flips in GPU memory, attackers can manipulate page tables and memory mappings, effectively bridging the gap between GPU and CPU memory spaces. This enables unauthorized access to system memory and, in some cases, full control over the machine.
Research shows that attacks like GDDRHammer can generate large numbers of targeted bit flips, over 100 per memory bank in some cases, while bypassing existing GPU protections. More advanced variants can even redirect GPU memory access to CPU memory, allowing attackers to read or modify sensitive data beyond the GPU itself.
The implications are particularly serious for AI and cloud computing environments, where GPUs are frequently shared across workloads and users. In these settings, an attacker may not need direct access to a victim's data, only shared access to the same GPU hardware, to interfere with workloads or escalate privileges. This makes multi-tenant GPU clusters a high-risk target for such attacks.
The research also underscores a broader trend: as GPUs become central to modern computing, powering everything from generative AI to high-performance workloads, they are increasingly becoming part of the security threat landscape, rather than just performance accelerators.
Mitigating Rowhammer-style attacks remains difficult due to their hardware-level nature. Potential defenses include enabling error-correcting code (ECC) memory, increasing memory refresh rates, or restricting GPU access to system memory via technologies such as IOMMU. However, these measures often come with performance trade-offs or limited effectiveness against sophisticated attack patterns.
Complicating matters further, research has shown that even modern mitigation techniques in DRAM are not always sufficient to fully prevent Rowhammer exploits, particularly as memory density increases and attack methods evolve.
The emergence of GPU-based Rowhammer attacks represents a significant escalation in hardware security threats, extending a decade-old vulnerability into new domains. As attackers increasingly target shared infrastructure and lower layers of the computing stack, the research highlights the need for cross-layer security approaches that combine hardware protections, system-level isolation, and workload-aware defenses.
For organizations relying heavily on GPUs, particularly in AI and cloud environments, the message is clear: hardware is no longer a trusted boundary. Instead, it must be actively monitored, hardened, and integrated into broader security strategies as part of an evolving threat landscape.
About the Author
Craig Risi
Craig Risi is a man of many talents but has no sense of how to use them. He could be out changing the world but prefers to make software instead. He possesses a passion for software design, but more importantly software quality and designing systems in a technically diverse and constantly evolving tech world.
Craig is also the writer of the book, Quality By Design: Designing Quality Software Systems, and writes regular articles on his blog sites and various other tech sites around the world.
When not playing with software, he can often be found writing, designing board games, or running long distances for no apparent reason.
Show moreShow less
関連記事
プロテオーム規模でのタンパク質構造予測を加速する方法
NVIDIAが、タンパク質が単体ではなく相互作用によって生物学的プロセスを制御する点に着目し、プロテオーム規模でのタンパク質構造予測を高速化する手法を提案している。
Kubernetes上でSlurmを使用した大規模GPUワークロードの実行
NVIDIAが、オープンソースのクラスタ管理システムSlurmをKubernetesと統合し、大規模GPUワークロードを効率的に管理・スケジューリングする方法を紹介している。SlurmはTOP500システムの65%以上で採用されている実績を持つ。
約30行のPythonとNVIDIA nvCOMPでチェックポイントコストを削減
NVIDIAが、LLM学習時のチェックポイント保存コストを削減するPythonスクリプトを公開した。約30行のコードでモデル重み・オプティマイザ状態・勾配の圧縮保存を実現し、ストレージコストとI/O負荷を低減できる。