トロント大学のChris Lin、Joyce Qu、Gururaj Saileshwarらは、GDDR6搭載のNVIDIA A6000 GPUに対し、約1万2,000回の連続読み取りで隣接セルのビットを反転させるRowHammer攻撃「GPUHammer」を実証した。
たった1ビットのフリップによりImageNet DNNモデルの精度が80%から0.1%に低下することを確認した。
NVIDIAは2025年7月12日にシステムレベルECCの有効化を推奨し、その適用で3%~10%の推論性能低下と6.25%のメモリ容量減少が生じる。H100やRTX 5090など新しいGPUはオンチップECCを備え影響を受けない。
同時期にNTT社会情報研究所とCentraleSupélecは、FALCONポスト量子署名向けRowHammer「CrowHammer」で単一ビット反転による鍵回復を実証した。
From: 
GPUHammer: New RowHammer Attack Variant Degrades AI Models on NVIDIA GPUs
【編集部解説】
GPUHammerは、CPUメモリに限られていたRowHammer攻撃をGPU専用メモリに拡張した点で画期的です。GDDR6の高いリフレッシュレートやレイテンシの壁を、並列化されたハンマリングカーネルで突破し、リフレッシュウィンドウあたり約50万回のアクティベーションを実現しています。これにより、標的型攻撃の実用性が一段と高まりました。
クラウド環境では、複数テナントが同一GPUを共有するケースも多く、GPUHammerにより他ユーザーのAIモデルを意図的に劣化させるリスクが浮上しています。対策となるシステムレベルECCは、3%~10%の性能低下と6.25%のメモリ容量減少を伴うため、セキュリティとパフォーマンスの最適なバランスを見極める必要があります。
責任開示は2025年1月15日に行われ、NVIDIAは7月12日にアドバイザリを発出しました。研究者らは8月12日のエンバーゴ終了後にGitHub(https://github.com/sith-lab/gpuhammer)でPoCコードを公開予定です。
同時期にNTT社会情報研究所とCentraleSupélecが発表したCrowHammerは、FALCONポスト量子署名のRCDTを逆累積分布テーブルとして利用し、数億の署名から単一ビットで鍵を完全回復できることを示しました。これは量子耐性暗号の安全性にも大きな問いを投げかけています。
この発見は、AIワークロードの安全性を確保するためにハードウェア設計段階でSecure by Designを徹底する要請を強化し、今後のAI規制や標準化への影響も無視できません。
【用語解説】
RowHammer攻撃
DRAMの隣接セルへの繰り返しアクセスで電気的干渉を引き起こし、ビットフリップを誘発するハードウェア脆弱性。
GPUHammer
NVIDIA GPUのGDDR6メモリを標的にした初のRowHammer変種。約1万2,000回のアクセスでビットフリップを起こし、AIモデルを劣化させる。
CrowHammer
NTT社会情報研究所とCentraleSupélecが開発したRowHammer攻撃で、FALCONポスト量子署名の逆累積分布表を利用し、数億の署名から秘密鍵を回復可能とする手法。
【参考リンク】
NVIDIA公式サイト(外部)
AI・グラフィックス・データセンター向けGPUの世界的リーダー。
NVIDIA RTX A6000製品情報(ELSA)(外部)
48GB GDDR6メモリ搭載のプロ向けGPU。ECC対応。
NTT社会情報研究所(外部)
サイバーセキュリティやプライバシー技術の研究開発を行うNTTの研究機関。
CentraleSupélec公式サイト(外部)
フランスの名門工学系グランゼコール。
【参考記事】
NVIDIA shares guidance to defend GDDR6 GPUs against Rowhammer attacks(外部)
NVIDIAがシステムレベルECC有効化の必要性と、最小1万2,000回のアクティベーションでビットフリップが誘発される実証結果を解説。
GPUHammer: Rowhammer Attacks on GPU Memories are Practical (PDF)(外部)
論文全文。GDDR6特有の課題と並列ハンマリングによる攻撃実現の詳細を技術的に解説。
Row hammer – Wikipedia(外部)
RowHammer攻撃の基本原理と歴史的背景をまとめた英語版百科事典。
【編集部後記】
AIモデルの信頼性を支えるのは、ハードウェア設計の安全性です。皆さんが利用するクラウドサービスやワークステーションでは、システムレベルECCが適切に設定されているでしょうか。
性能低下とのトレードオフもありますが、安全性をどう確保すべきか、一緒に考えてみませんか?
