2026年5月、Bruce Schneierのブログで取り上げられたのは、NVIDIAのGPUに対するRowhammer攻撃の新しい成果です。
一言でいうと、グラフィックスカードのメモリを“物理的に揺さぶって”ビットを書き換え、最終的にホストPC全体を乗っ取るという、かなり怖い話です。
しかも今回は、ただの「メモリのビット化け」では終わりません。研究チームは、GPU側のメモリ破損を起点に、CPUメモリまで自由に読み書きできる状態を作り、マシン全体の完全侵害につなげています。個人的には、これは「GPUは計算用の部品だから安全」という発想がもう通用しないことを、かなりはっきり突きつけた出来事だと思います。
Rowhammerは、DRAMの弱点を突く攻撃です。
DRAMは、ざっくり言えば「電気の状態で0/1を保存するメモリ」ですが、ある行を何度も高速に読み出すと、近くの行のビットが勝手に反転することがあるんですね。これが“hammer”の由来です。何度も叩いて、横の行まで壊してしまうイメージです。
本来は、そんなことでセキュリティが破られるなんて普通は考えたくないのですが、現実にはこれが攻撃に使われてきました。
そして今回のポイントは、CPUではなくGPUでも同じ発想が通じたことです。ここがかなり面白いし、かなり厄介でもあります。
元記事では、独立した2つの研究チームが、それぞれ別のカードで攻撃を実証したと紹介しています。
対象になったのは、NVIDIAのAmpere世代のGPUです。
研究内容の中心は、GPUのGDDRメモリに対してRowhammerを仕掛け、bitflipを起こしてGPUのページテーブルやページディレクトリを壊すことでした。
ここで出てくる「ページテーブル」や「ページディレクトリ」は、簡単にいえば**“どのメモリをどこに割り当てるかを管理する地図”です。
この地図を書き換えられると、攻撃者は本来アクセスできないメモリ領域に手が届くようになります。つまり、メモリの住所録を壊して、勝手に別人の部屋に入る**ようなものです。
1つ目の論文は GDDRHammer: Greatly Disturbing DRAM Rows—Cross-Component Rowhammer Attacks from Modern GPUs。
元記事によると、この攻撃ではGPU上でbitflipを起こし、CPUメモリ全体への任意読み書き権限を得て、最終的にホストマシンを完全侵害できるとされています。
ここで重要なのは、GPUが単に“被害を受ける側”ではなく、攻撃の起点になるという点です。
しかも、その先にあるのがCPUメモリなので、GPUを狙った攻撃がシステム全体の乗っ取りにつながるわけです。いや、これは正直かなりイヤです。
2つ目の論文は GeForge: Hammering GDDR Memory to Forge GPU Page Tables for Fun and Profit。
こちらも大筋は似ていますが、攻撃対象が少し違っていて、last-level page tableではなくlast-level page directory を操作する、と説明されています。
元記事によると、この研究では
を誘発できたそうです。
そして、GPUメモリ空間への読み書き権限を奪ったうえで、ホストCPUメモリも同様に支配する流れが確認されています。
Proof-of-conceptでは、root shell window を開いて、ホスト上で管理者権限のコマンドを実行するところまで到達しています。
これは「理論上危ない」ではなく、かなり露骨に「実際にやってみせた」話です。こういうのは、セキュリティ界隈では重いです。怖いけど、研究としては非常にインパクトがあります。
元記事にはUpdate Friday, April 3として、さらに新しい研究の話も追加されています。
3つ目のRowhammer攻撃が発表され、こちらはRTX A6000に対してroot shellへの権限昇格を示したとのことです。
特筆すべきは、IOMMUが有効でも動くとされている点です。
IOMMUは、簡単に言うとGPUや他のデバイスが、勝手にどのメモリにも触れないようにする仕組みです。
CPU側のメモリ保護の、デバイス版のガードレールみたいなものだと思えば近いです。
最初の2つの攻撃は、元記事によればIOMMUが無効であることが前提でした。しかもこれはBIOSのデフォルト設定だと書かれています。
つまり、メーカーや管理者がちゃんと有効化していない環境では、攻撃のハードルがかなり下がるわけです。
でも、3つ目の研究はその前提をひっくり返してきた。
ここが本当に重要で、「IOMMUを入れれば安心」という単純な話ではなくなってきたということです。
この手の攻撃が怖いのは、単なるメモリ破壊では終わらず、権限昇格や完全侵害に直結するところです。
ふつう、GPUは「計算を速くするための部品」です。
でも実際には、GPUもメモリを持っていて、OSやドライバ、ページテーブルと連携しています。つまり、かなり深いところでシステム全体とつながっているんですね。
だから、GPUの中で起きたbitflipが、巡り巡って
という流れになってしまう。
これはまさに、下の層で起きた異常が上の層に“波及”していくタイプの事故です。セキュリティの世界では、こういうのが一番やっかいです。根っこに近いところが壊れるので、防ぎにくいからです。
個人的には、今回の話は「またRowhammerか」では済まないと思います。
むしろ、Rowhammerが“CPUだけの古い話”ではなく、GPUやその周辺設計にまで広がったという点が本質でしょう。
しかも、GPUは近年、AI処理やクラウド基盤でも重要な役割を担っています。
つまり、こういう脆弱性が実運用の現場に刺さると、影響範囲はかなり広いはずです。研究として面白いだけでなく、インフラの安全性に直結する話なんですよね。
また、今回のような攻撃を見ると、「ソフトウェアで完璧に守ればいい」という発想の限界も感じます。
物理現象として起きるbitflipを、ソフトウェアだけで完全に封じるのは難しい。
もちろん対策はありますが、根本的にはハードウェア設計やメモリ保護の考え方そのものを見直す必要があるのではないかと思います。
ここは冷静に言っておくべきですが、こうした攻撃が成立するには条件があります。
元記事で明示されているように、少なくとも最初の2件はIOMMU無効が前提でしたし、対象も特定のNVIDIA Ampere世代カードです。
なので、一般家庭のPCが今すぐ全部危ない、という単純な話ではありません。
ただし、「条件がそろうと現実に完全侵害まで行ける」ことが示されたのは非常に大きいです。
セキュリティは、普段は条件がそろわないからこそ守られている面があります。そこが崩れると、一気に現実味が増します。
今回のSchneierの紹介記事は、GPUのRowhammer攻撃が研究室レベルの奇抜なネタではなく、実際にホストマシンの完全侵害へつながる脅威だと示した点で重要です。
特に印象的なのは、
という流れです。
正直、これはかなり面白いし、かなり怖いです。
「GPUは計算専用だから安全」という感覚は、そろそろ本気で見直す時期に来ているのではないかと思います。
参考: Rowhammer Attack Against NVIDIA Chips - Schneier on Security
