読了時間:5分
出典:Andreas Prott(Alamy Stock Photo経由)
過去10年以上にわたり、マイクロプロセッサレベルでデータを保護するための多くの進歩が見られましたが、最近、学術研究者チームが50ドル未満で作成した小型ハードウェアモジュールによって、これらの防御が突破されました。
9月、ベルギーのKU Leuvenと英国のバーミンガム大学/ダラム大学の研究者は、「Battering RAM」と呼ぶ攻撃について詳細に記した技術論文を発表しました。この攻撃は、シンプルかつ安価に作成できるインターポーザーを利用し、チップメーカーの機密コンピューティング保護をバイパスします。この攻撃はシステムのマザーボードへの物理的アクセスが必要ですが、クラウドサーバーから機密データを流出させ、暗号化メモリの防御を突破することが可能です。
このチームは来月、Black Hat Europe 2025のセッションで研究成果を発表し、この攻撃ベクトルがクラウドプロバイダーとその顧客のデータをどのように危険にさらすかについて議論します。Dark Readingのインタビューで、研究チームの2人のメンバーは、暗号化メモリ保護が以前ほど強固ではなくなった理由と、その背景にあるパフォーマンスとのトレードオフについて説明しています。
「Battering RAM」の構築
この機密コンピューティングアーキテクチャの背後にあるコンセプトは非常にシンプルです。クラウドの普及が進む現代において、この技術は組織の機密データやワークロードを、クラウドプロバイダー自身を含む未承認の第三者によるアクセスや改ざんから保護します。IntelやAMDなどのマイクロプロセッサ企業は、チップの信頼実行環境(TEE)内にハードウェアベースのエンクレーブを作成し、機密データをオペレーティングシステムやハイパーバイザーを含むシステム全体から隔離することでこれを実現しています。
これらTEEの重要な要素がメモリ暗号化です。Intel SGX/TDXやAMD SEV-SNP技術には、CPUからシステムのダイナミックランダムアクセスメモリ(DRAM)へ移動するデータを保護する専用のメモリ暗号化エンジンがあります。「もちろん、CPU自体には多くのメモリがありません。これらの機密VMなどからのデータを保存するためには、外部DRAMが必要です」と、KU Leuven電気工学部のコンピュータセキュリティ・産業暗号グループ(COSIC)の研究者Jesse De Meulemeester氏は語ります。「しかし、DRAMは信頼できないと見なされているため、メモリ暗号化を実装したのです。」
De Meulemeester氏とその研究仲間は、メモリ暗号化を研究し、昨年「BadRAM」という攻撃手法を開発しました。これは、起動プロセス中にチップの設定を改ざんすることで暗号化メモリにアクセスする「不正」メモリモジュールを利用するものです。AMDとIntelはBadRAM攻撃を軽減するための新たな保護策を導入しましたが、研究チームはさらに影響の大きい機密コンピューティングのバイパス方法を発見しました。
Battering RAM攻撃では、CPUとDRAMの間のメモリパス上に物理的に設置する小型回路基板(インターポーザー)を作成しました。シンプルなアナログスイッチを用いて、インターポーザーはCPUに信号を送り、保護されたアドレスを攻撃者が制御する場所に送信させ、脅威アクターが暗号化メモリを改ざんまたはリプレイできるようにします。
BadRAMと同様に、この攻撃は物理アドレスのエイリアシングを操作して機密コンピューティングの防御をバイパスします。ただし、Battering RAMは起動プロセス中だけでなく、実行時に動的にメモリエイリアスを導入します。
インターポーザーは非常に安価に作成できます。物理的なハッキングは以前から暗号化データやセキュアエンクレーブにリスクをもたらしていましたが、こうしたハッキングに必要なツールは高価な場合があります。例えば、特殊な信号アナライザーを備えた商用DRAMインターポーザーは15万ドル以上することもあります。
「もはや10万ドルの領域ではありません」と、KU LeuvenのDistriNet研究ユニットの教授Jo Van Bulck氏は語ります。「実用性こそが我々の目標の一つでした。」
パフォーマンス向上がセキュリティ低下を招く
Van Bulck氏は、AMDやIntelがセキュリティ強化に取り組んできたことは評価すべきだとしつつも、「最近いくつかの開発で彼らは失敗した」と述べています。具体的には、チップメーカーは以前の設計から変更を加えたことで、暗号化メモリが物理攻撃に対してより脆弱になってしまいました。
AMDとIntelが導入したセキュリティの進歩は、メモリアクセスに複雑さをもたらしたとDe Meulemeester氏は説明します。例えば、初期の機密コンピューティングアーキテクチャは最大256MBのメモリしか保護できませんでした。しかし、現代の高性能コンピューティングや高度なAIモデルの世界では、それでは不十分です。
「もしAI推論を256MBのメモリで実行しようとしているなら、それは絶対に無理です」とDe Meulemeester氏は語ります。
最新の設計(Intel Scalable SGXやTDX、AMD SEVなど)では、メモリ暗号化が拡張され、DRAM全体をカバーするようになりました。しかし、これらの改善は一部の重要な保護を犠牲にしたようです。De Meulemeester氏によれば、チップメーカーは物理攻撃を防ぐために設計された2つのメモリ暗号化機能、すなわちソフトウェアとハードウェアが改ざんされていないことを証明するための暗号学的整合性チェック(アテステーション)と、エンクレーブ内のデータが過去のバージョンにロールバックされていないことを保証する新鮮性保護を廃止しました。
これらの物理攻撃に対する従来の保護がない場合、脅威アクターは安価なBattering RAMデバイスをクラウドデータセンターに設置して顧客に甚大な被害を与えるだけでなく、さらに大きな影響をもたらすサプライチェーン攻撃を実行する可能性もあります。De Meulemeester氏は、これらのデバイスは非常に小型であるため、悪意のある人物が製造工程中にマザーボードに設置できると説明します。また、インターポーザーはCPUやオペレーティングシステムから完全に見えないため、ハードウェアを検査しない限り検出される可能性は低いといいます。
「この問題に対して最も根本的な対策の一つは、整合性と新鮮性保護を備えた強力なメモリ暗号化モデルに戻すことです。これで完全に問題を解決できます」とDe Meulemeester氏は述べ、こうした変更はソフトウェアやファームウェアのアップデートではなく、メモリ暗号化方式の再設計によってのみ可能だと指摘します。
研究者たちは、AMDおよびIntelが研究に対して迅速に対応したものの、最終的にはBattering RAM攻撃は物理的アクセスが必要であることから範囲外と判断したと述べています。Van Bulck氏は、チップメーカーの見解を理解しつつも、物理攻撃のリスクは重大であり、顧客は機密コンピューティングの保護にも限界があることを知るべきだと考えています。
「IntelやAMDのような企業を批判することはできますが、彼らは攻撃を困難にするために多大な投資をしており、それは成功していると思います」とVan Bulck氏は語ります。「クラウドや機密コンピューティングへの移行により、これらのワークロードはスケールしなければなりません。それ自体は良いことですが、そのスケーラビリティには代償が伴います。」
