GPUメモリ経由でPC完全掌握、新型Rowhammer攻撃の衝撃

GPUのメモリを「叩く」だけで、マシン全体を乗っ取れる。2つの独立した研究チームが、その手法を同時に証明した。

GDDR6メモリの脆弱性がシステム全体を危険にさらしている

NVIDIA製GPUのGDDR6メモリを標的にした2つの新しい攻撃手法、GDDRHammerとGeForgeが公開された。どちらも独立した研究チームが開発し、GPUメモリのビットフリップを悪用してCPU側のメモリまで完全に読み書きできることを実証している。

ここが重要だ。従来のRowhammer攻撃はCPU側のDRAMを狙うものだった。今回の研究はその常識を覆し、GPU側から攻撃を仕掛けてCPU側の防御をすべて迂回するという、まったく新しい攻撃経路を切り開いた。

Rowhammer（ロウハンマー）とは、DRAMの物理的特性を悪用した攻撃手法だ。メモリの特定の行を繰り返し読み書きすることで、隣接する行のビットが反転する現象を引き起こす。2014年に発見され、CPU側のDDRメモリでは10年以上にわたって研究が続けられてきた。

両論文は2026年5月にサンフランシスコで開催される第47回IEEE Symposium on Security and Privacyで発表される予定であり、攻撃コードもGitHubで公開されている。

GPU Memory Exploits

Cross-Component Rowhammer Attacks from Modern GPUs

Clemson

研究の詳細と実証デモは、研究チームが開設した専用サイト gddr.fail で確認できる。ドメイン名からして、この問題の深刻さを物語っている。

「8回」から「1,171回」へ——64倍の破壊力

この攻撃がどれほど危険かを理解するには、前段階の研究との比較が欠かせない。

2025年7月、トロント大学の研究チームがGPUHammerを発表した。NVIDIA RTX A6000のGDDR6メモリで8回のビットフリップを達成し、AIモデルの精度を80%から0.1%に低下させた。当時はこれだけでも衝撃だったが、あくまで「データの破損」にとどまっていた。

今回のGDDRHammerとGeForgeは次元が違う。GDDRHammerはGPUの並列処理能力を活用した新しいハンマリング技術で、従来の約64倍のビットフリップを達成した。GeForgeに至っては、RTX 3060に対して1,171回、RTX 6000に対して202回のビットフリップを引き起こしている。

そして決定的な違いは、単なるデータ破損ではなく「マシン全体の完全掌握」を実現したことだ。GeForgeの実証デモでは、RTX 3060を攻撃してLinux上でルートシェルを開くことに成功している。権限のないGPUカーネルから、ホストマシンの最高権限を奪い取ったのだ。

つまり、攻撃者はGPUメモリのビットを反転させるだけで、CPUのメモリ全体を自由に読み書きし、最終的にマシンを完全に支配できる。ウイルス対策ソフトはこの攻撃をほぼ検知できない。ハードウェアレベルで権限が付与されるためだ。

攻撃の仕組み──「メモリ・マッサージ」という巧妙な手口

2つの攻撃は、アプローチこそ異なるが、同じ目標にたどり着く。

GDDRHammerはUNC Chapel Hill、ジョージア工科大学などの合同チームが開発した。NVIDIAの標準メモリアロケータ（cudaMalloc）に存在する欠陥を突き、GPUのページテーブルとユーザーデータの分離を破壊する。25枚のGDDR6搭載GPUを対象にRowhammer特性を調査し、AmpereからAda世代の6000シリーズまでテストしている。

GeForgeはパデュー大学、クレムソン大学などの合同チームが開発した。こちらは「メモリ・マッサージ」と呼ばれる手法でGPUのページディレクトリを書き換え、ホストメモリへのアクセス権を偽造する。

GDDRHammerがページテーブル（PT）を、GeForgeがページディレクトリ（PD0）を標的にしているという違いはあるが、最終的にはどちらもGPUとホストメモリの両方に対する読み書き権限の奪取を達成している。

どちらの攻撃も、成功の前提条件がある。BIOS設定でIOMMU（入出力メモリ管理ユニット）が無効になっていることだ。IOMMUが有効であればGPUがホストメモリの制限領域にアクセスすることを防げるが、互換性とパフォーマンスを優先して、ほとんどのシステムでデフォルトで無効になっている。

正直なところ、「デフォルトで無効」という設計判断そのものが、この攻撃の最大のイネーブラーだ。

どのGPUが影響を受けるのか

公開されたデモで攻撃が確認されたのは、GeForce RTX 3060とワークステーション向けRTX A6000（いずれもAmpere世代）だ。

研究チームはこの2機種以外にも、RTX 3080、RTX 4060、RTX 4060 Ti、RTX 5050をテストしたが、これらではビットフリップが確認されなかったと報告している。メモリチップのTRR（Target Row Refresh）緩和策やベンダー固有の保護機能の違いが原因とみられるが、より広範なGPUモデルへの調査は今後の課題として残されている。

GDDR7を搭載するGeForce RTX 50シリーズは、オンダイECC（エラー訂正符号）が標準実装されており、単一ビットフリップに対する耐性がある。HBMメモリを搭載するA100やH100なども同様だ。

ただし研究チームは、ECCを突破する攻撃手法（ECCploitやECC.fail）がすでに存在することを指摘しており、将来的なマルチビットフリップ攻撃への懸念は消えていない。

NVIDIAの対応──「7月の通知を見てくれ」

NVIDIAの対応は、控えめに言っても物足りない。

Ars Technicaの取材に対し、NVIDIAの担当者は「脆弱かどうか、どう対処すべきかについては、2025年7月に公開したページを参照してほしい」と回答したという。あのページは前世代の攻撃（GPUHammer、8回のビットフリップ、AIモデル精度の低下）に対するものだ。

今回は1,171回のビットフリップとルートシェルの奪取という、まったく異なるレベルの脅威が示されている。それに対して同じ通知を指し示すだけというのは、問題の深刻さの認識にギャップがあると言わざるを得ない。

NVIDIAが推奨する緩和策は2つある。IOMMUの有効化と、ECC（エラー訂正符号）の有効化だ。しかしIOMMUを有効にすると互換性やパフォーマンスに影響があり、ECCを有効にするとVRAM容量が約6.25%減少し、推論ワークロードで最大10%の性能低下が生じる。

どちらも「副作用のない解決策」とは言いがたい。

最大のリスクはクラウド環境にある

個人ユーザーにとっての直接的なリスクは限定的だ。攻撃にはGPUへの同時アクセスが必要であり、自分だけが使うPCで悪用される可能性は低い。野生での悪用事例もまだ報告されていない。

問題はクラウド環境だ。高性能GPU（8,000ドル＝約128万円以上のものも珍しくない）は、クラウド上で数十人のユーザーが共有して使うことが一般的になっている。マルチテナント環境で1人の悪意あるユーザーがこの攻撃を実行すれば、同じGPUを使う他のユーザーのデータやAIモデルを改ざんし、最悪の場合はホストマシン全体を掌握できる。

RSA Conference 2026（2026年3月）では、GPUのセキュリティ監視がまったくの盲点であることが指摘された。従来のセキュリティツールはCPUとOSの動作しか監視しておらず、GPU側の不正な動作は完全に見えないのだ。

この問題は技術的に面白いだけでなく、AIインフラの信頼性そのものに関わる。医療画像診断や金融取引の判定に使われるAIモデルが、ハードウェアレベルで静かに壊されるリスクが現実になった。

10年越しの脆弱性が、新しい舞台を見つけた

Rowhammerは2014年に発見された、もう10年以上の歴史を持つ脆弱性だ。CPUのDDR3メモリから始まり、DDR4、LPDDR、そして今回GDDR6へとその影響範囲を広げてきた。

研究者たちはCPU側のRowhammer対策を10年かけて積み上げてきたが、GDDRHammerとGeForgeはその対策をすべて無意味にする迂回路を示した。CPU側をどれだけ堅牢にしても、GPU経由でCPUメモリに到達できるなら意味がない。

半年後にこの記事を読み返したとき、NVIDIAがまだ「7月の通知を見てくれ」と言っていないことを願う。

参照元

• gddr.fail - GPU Memory Exploits（研究チーム公式ページ）

他参照

• Ars Technica - New Rowhammer attacks give complete control of machines running Nvidia GPUs