NVIDIAは、GDDR6メモリを搭載したグラフィカル・プロセッサに対するRowhammer攻撃から保護するために、システムレベルのエラー訂正コードを有効化するようユーザーに警告している。
トロント大学が発表した新しい研究により、NVIDIA A6000 GPU(グラフィカル・プロセッシング・ユニット)に対するRowhammer攻撃の実用性が実証されたため、同社はこの推奨を強化しています。
「我々は、NVIDIA RTX A6000(48GB GDDR6)を4つのDRAMバンクでGPUHammerを実行し、8つの異なるシングルビットフリップと、テストしたすべてのバンクでのビットフリップを観測しました。
「フリップを誘発する最小活性化回数(TRH)は~12Kであり、DDR4の先行研究と一致している。
「これらのフリップを使用して、GPU上でRowhammerを使用した初のML精度劣化攻撃を行った。
Rowhammerは、ソフトウェアプロセスでトリガー可能なハードウェア障害であり、メモリセルが互いに近すぎることに起因する。この攻撃はDRAMセルで実証されたが、GPUメモリにも影響を及ぼす可能性がある。
この攻撃は、十分な読み書き操作でメモリ行にアクセスすることで機能し、隣接するデータ・ビットの値が1から0に反転したり、逆に反転したりすることで、メモリ内の情報が変更される。
その結果、サービス拒否状態やデータ破損、あるいは特権の昇格が発生する可能性がある。
システムレベルのエラー訂正コード(ECC)は、冗長ビットを追加し、データの信頼性と正確性を維持するために1ビットエラーを訂正することにより、データの完全性を維持することができます。
VRAMが大規模なデータセットやAIワークロードに関連する精密な計算を処理するワークステーションやデータセンターのGPUでは、ECCを有効にして、その動作における重大なエラーを防止する必要があります。
NVIDIAのセキュリティ通知は、トロント大学の研究者が、システムレベルECCが有効化されていない「GDDR6メモリを搭載したNVIDIA A6000 GPUに対する潜在的なRowhammer攻撃」を示したことを指摘している。
この学術研究者は、GPUメモリ上のビットを反転させる攻撃手法であるGPUHammerを開発した。
GDDR6では、CPUベースのDDR4に比べてレイテンシが高く、リフレッシュが速いため、ハンマー攻撃は困難ですが、研究者らはGPUメモリバンクに対するRowhammer攻撃が可能であることを実証することができました。
研究者のGururaj Saileshwar氏は、GPUHammerはA6000 GPU上で1回のフリップでAIモデルの精度を80%から1%以下に低下させることができると強調した。
RTX A6000以外にも、GPUメーカーは以下の製品でシステムレベルECCを有効にすることを推奨している:
データセンター向けGPU
- アンペアA100、A40、A30、A16、A10、A2、A800
- エイダL40S、L40、L4
- ホッパー:H100、H200、GH200、H20、H800
- ブラックウェルGB200、B200、B100
- チューリングT1000、T600、T400、T4
- ボルタ:テスラV100、テスラV100S
ワークステーションGPU
- アンペアRTXA6000、A5000、A4500、A4000、A2000、A1000、A400
- エイダRTX:6000、5000、4500、4000、4000 SFF、2000
- Blackwell RTX PRO(最新のワークステーション・ライン)
- チューリングRTX:8000、6000、5000、4000
- VoltaQuadro GV100
組み込み/産業用
- Jetson AGX Orin インダストリアル
- IGX Orin
GPUメーカーは、Blackwell RTX 50シリーズ(GeForce)、Blackwell Data Center GB200、B200、B100、およびHopper Data Center H100、H200、H20、GH200のような新しいGPUには、オンダイECC保護が内蔵されており、ユーザーの介入は必要ないと指摘している。
システム・レベルECCが有効かどうかを確認する1つの方法は、システムのBMC(ベースボード管理コントローラ)とRedfish APIなどのハードウェア・インターフェース・ソフトウェアを利用するアウトオブバンド方式を使用して、「ECCModeEnabled」ステータスを確認することです。
NSM Type 3 や NVIDIA SMBPBI のようなツールもコンフィギュレーションに使用できますが、NVIDIA Partner Portal にアクセスする必要があります。
システムのCPUからnvidia-smiコマンドラインユーティリティを使用してECCをチェックし、サポートされている場合は有効にする、2番目のインバンド方式もあります。
Sailshwar氏は、これらの推奨方法によって、すべてのワークロードにおいて、ML推論の速度が最大10%低下し、メモリ容量が6.5%低下すると見積もっています。
Rowhammerは、データの破損を引き起こしたり、脆弱なGPUが配備されている可能性のあるクラウドサーバーのようなマルチテナント環境での攻撃を可能にしたりする可能性のある、現実的なセキュリティ上の懸念を表している。
しかし、本当のリスクはコンテキストに依存するものであり、Rowhammerを確実に悪用するのは複雑で、特定の条件、高いアクセス率、正確な制御を必要とするため、実行が困難な攻撃となります。
更新 7/12– 研究へのリンクと研究者が提供した詳細を追加。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
2025年に共通する8つの脅威
クラウド攻撃はより巧妙になっているかもしれないが、攻撃者は驚くほど単純なテクニックで成功している。
本レポートでは、何千もの組織におけるWizの検知結果から、クラウドを駆使する脅威者が使用する8つの主要なテクニックを明らかにします。
Comments