Ars Technicaが、NVIDIA GPUが“共有クラウドの侵入口”になるという恐怖の現実を突きつけました

Ars Technicaが、NVIDIA GPUが“共有クラウドの侵入口”になるという恐怖の現実を突きつけました。

今回報じられたのは、NVIDIAのAmpere世代GPUに対する新型Rowhammer攻撃です。 ポイントは単なる「GPUのメモリが壊れる」話ではありません。

研究チームは、GDDR6メモリに意図的なビット反転を起こし、GPUのページテーブルを壊し、その先でホストCPU側の物理メモリにまで読み書き権限を広げられることを示しました。

つまり、共有GPUを使っているだけの低権限ユーザーが、最終的にLinuxホストのroot権限に到達し得る、ということです。

今回名前が出ている攻撃はGDDRHammerとGeForge。 対象として挙げられたのは、Ampere世代のRTX 3060とRTX 6000です。

特にGDDRHammerは、昨年のGPUHammerと比べて平均129回のビット反転を起こし、従来より大幅に強力になったとされています。 GeForgeでは、RTX 3060で1171回、RTX 6000で202回のビット反転が確認されたと報じられています。

ここがいちばん重いです。 これまでRowhammerは「CPUメモリの古典的な脆弱性」という印象が強かった。 でも今回の研究は、CPU側でいくら防御を積んでも、GPU側から殴られたら意味が薄れることを示しました。

GPUはAI学習、推論、レンダリング、科学計算で当たり前に共有されます。 しかも高価なGPUほど、クラウドや社内基盤で複数ユーザーにまたがって使われがちです。 1枚8000ドル級のGPUを何十人も共有する運用は珍しくありません。

その前提そのものが、いま揺れています。

さらに厄介なのは、研究者によるとIOMMUがBIOSで無効のままだと攻撃が成立しやすい点です。 そしてIOMMUは、互換性や性能の都合で初期状態では無効になっている環境が少なくありません。

つまり「特別にずさんな設定だから危ない」のではなく、普通に運用していたつもりの環境が危ない可能性があるわけです。 ECC有効化も緩和策として挙げられていますが、性能や利用可能メモリにコストが出ますし、Rowhammer系はECC回避の研究も積み上がってきました。

この話が怖いのは、NVIDIAが危ない、で終わらないところです。 AIインフラはここ1年で、モデルの性能競争からGPUの取り合いに軸足が移っていました。 誰もが「GPUをいかに確保するか」を競ってきた。

でも次は、そのGPUをどれだけ安全に共有できるかが経営課題になります。 GPUを増やすだけでは足りない。 クラウド事業者、研究機関、AIスタートアップ、大学、どこも「共有前提のセキュリティ設計」を見直さないと、計算資源そのものが攻撃面になります。

日本の企業にとっても無関係ではありません。生成AIの導入が進むほど、社内PoC、推論API、分析基盤でGPUを共同利用するケースは増えます。もし「GPUは計算装置であって、CPUほど危険ではない」という認識のままなら、その時点で時代遅れです。これからはGPUも権限境界の一部として扱う必要があります。

AI時代の勝負はモデルの賢さだけじゃない。GPUを共有した瞬間に、インフラ全体の安全保障が始まる。 今回の研究は、その残酷な現実をかなりはっきり見せています。