VMScape Spectre BTI攻撃がAMDおよびIntel CPU上でVMの分離を破る

研究者たちは、悪意のある仮想マシンユーザーがLinux上のKVM/QEMUなどのホストハイパーバイザーから機密情報を漏洩させることができる、Spectreに似たCPUの分岐ターゲットインジェクション攻撃を実証しました。

この新しい攻撃はVMScapeと名付けられ、AMDおよびIntelのCPUの投機的実行機能を悪用して、クラウドインフラやデータセンターを含む仮想化環境におけるゲストとホストの分離層を突破します。VMScapeは、広く使用されているKVM/QEMUハイパーバイザーのデフォルト構成に対して成功裏に実証され、ホストからディスク暗号化キーを抽出するために使用されました。

CVE-2025-40300として追跡されているVMScapeは、2018年1月にGoogleの研究者によって公開されたSpectre分岐ターゲットインジェクション（Spectre-BTI）脆弱性と同じ原理に基づいています。この公開は投機的実行に関する広範な研究を引き起こし、関連するCPUの脆弱性が多数発見されるきっかけとなりました。

投機的実行は、CPUのパフォーマンス最適化技術であり、プログラムが条件分岐に遭遇した際にどのコードパスを取るかを予測します。CPUは予測されたパスに沿って命令を事前に実行し、その結果をキャッシュに保存して高速アクセスを可能にします。Spectreのような攻撃は、この挙動を利用してCPUに機密データをキャッシュに露出させるコードパスを実行させ、攻撃者がサイドチャネル技術でそれを抽出できるようにします。

IntelとAMDは、新しいプロセッサや古いCPU向けのマイクロコードアップデートでSpectre-BTIへの対策を導入しましたが、チューリッヒ工科大学（ETH Zurich）の研究者は、これらの防御策が仮想化環境では不十分であることを示しました。

「保護ドメイン分離の体系的な分析により、現行のメカニズムは粒度が粗すぎることが分かりました。すべてのAMD Zen CPU（最新のZen 5を含む）では、分岐予測器がホストとゲストの実行を区別できず、実用的なクロス仮想化BTI（vBTI）攻撃プリミティブを可能にします」と研究者たちは論文で述べています。「Intelの最新CPUはより良い分離を提供しますが、それでもギャップが存在します。」

ユーザーノードハイパーバイザーへの攻撃

既存のSpectre-BTI対策は主に、カーネル空間からユーザー空間へのメモリ漏洩を防ぐことに焦点を当てています。しかし、仮想化環境ではQEMUのような一部のハイパーバイザーコンポーネントがユーザー空間で動作し、機密データを扱う場合があります。

例えば、KVMはLinuxカーネルモジュールであり、QEMUのようなタイプ2ハイパーバイザーとCPUの仮想化機能（Intel VTまたはAMD-V）の間を仲介し、仮想マシンにハードウェアアクセラレーションを提供します。QEMUは仮想マシンの作成や仮想デバイスの割り当てを管理します。

VMScapeは、VM内部のプロセス（ゲストユーザー）とホスト上のQEMUプロセス（ホストユーザー）間でvBTI攻撃プリミティブを実現し、これにより機密情報の漏洩が可能となります。研究者たちは、AMD Zen 4 CPU上で動作するQEMUに対する実証攻撃で、ディスク暗号化キーを特定し、1,092秒で32B/sの速度で流出させることに成功しました。

Linuxカーネルのメンテナーは、各VMEXIT命令（ゲストが特権命令を実行した際に発生）ごとに間接分岐予測バリア（IBPB）を追加することで、VMScapeへの対策をすでに実装しています。研究者たちは、この対策が一般的なシナリオではごくわずかなパフォーマンスオーバーヘッドしかもたらさないことを発見しました。

「ほとんどのシステムは何らかのvBTIプリミティブに対して脆弱です」と研究者たちは指摘しています。「VMScapeは仮想化環境のみに影響するため、ローカルVMで信頼できないコードを一切実行しないシステムは直接的な攻撃対象にはなりません。それでも、クラウドサービスの広範な利用を考えると、脆弱なハードウェア上で動作するインフラに依存している可能性が高いでしょう。」

Xenハイパーバイザーはこの問題の影響を受けませんが、Microsoft Hyper-V、VMware、VirtualBoxなどKVMに依存しない他のハイパーバイザーへの影響は不明です。研究者たちは、AMD、Intel、KVMを担当するLinuxカーネルのメンテナーに調査結果を開示しました。