学術研究者たちは、SK Hynix製DDR5メモリチップの最新の保護機構を回避する新しいRowhammer攻撃のバリアントを考案しました。
Rowhammer攻撃は、特定のメモリセルの行に対して高速な読み書き操作を繰り返し行うことで、隣接するビットの値を0から1、またはその逆に変化させるほどの電気的干渉を引き起こす(ビット反転)ものです。
攻撃者は、データの破損、システム上での権限の昇格、悪意のあるコードの実行、または機密データへのアクセスを行う可能性があります。
Rowhammer攻撃に対する防御機構の一つに「Target Row Refresh(TRR)」があります。これは、特定の行への頻繁なアクセスを検知した際に追加のリフレッシュコマンドを発行し、ビット反転を防ぐものです。
権限昇格のためのDDR5ハンマリング
スイスのETHチューリッヒ大学コンピュータセキュリティグループ(COMSEC)とGoogleの研究チームは、「Phoenix」と呼ばれる新しいDDR5 Rowhammer攻撃を作成し、メモリチップ内のビット反転を利用して悪意のある活動を可能にしました。
テストは、メモリチップ市場で約36%のシェアを持つ大手メーカーHynixのDDR5製品で実施されましたが、このセキュリティリスクは他のベンダーの製品にも及ぶ可能性があります。
研究者たちは、HynixがRowhammer対策として実装した複雑な保護機構をリバースエンジニアリングし、その仕組みを解明した結果、特定のリフレッシュ間隔が対策によってサンプリングされていないことを発見し、これが悪用可能であることを突き止めました。
また、Phoenixが数千回に及ぶリフレッシュ操作を追跡・同期し、見逃した場合に自己修正する手法も開発しました。
TRR保護を回避するため、Phoenix攻撃のRowhammerパターンは128回および2608回のリフレッシュ間隔をカバーし、特定のアクティベーションスロットのみを正確なタイミングでハンマリングします。
このモデルを用いて、研究者たちはテストプール内の全15枚のDDR5メモリチップでビット反転を発生させ、初のRowhammerによる権限昇格エクスプロイトを作成しました。
テスト中、標準設定の一般的なDDR5システムでroot権限のシェルを取得するのに2分もかかりませんでした。
さらに、研究者たちはPhoenix攻撃手法を用いてターゲットシステムを乗っ取る実用的な悪用の可能性も検討しました。
ページテーブルエントリ(PTE)を標的にして任意のメモリ読み書きプリミティブを作成したところ、テストしたすべての製品が脆弱であることが判明しました。
別のテストでは、共存するVMのRSA-2048鍵を標的にしてSSH認証を突破し、DIMMの73%が危険にさらされていることを発見しました。
3つ目の評価では、sudoバイナリを書き換えてローカル権限をrootレベルに昇格させることが、テストしたチップの33%で可能であることが判明しました。
出典: COMSEC ETH Zurich
上記の表は、テストしたすべてのメモリチップがPhoenix攻撃で使われたRowhammerパターンのいずれかに脆弱であることを示しています。特に128回のリフレッシュ間隔による短いパターンの方がより効果的で、平均して多くのビット反転を引き起こします。
Phoenixは現在CVE-2025-6202として追跡されており、高い深刻度スコアを受けています。2021年1月から2024年12月までに製造されたすべてのDIMM RAMモジュールに影響します。
Rowhammerは業界全体のセキュリティ問題であり、既存のメモリモジュールに対しては修正できませんが、ユーザーはDRAMのリフレッシュ間隔(tREFI)を3倍にすることでPhoenix攻撃を防ぐことができます。
しかし、このような負荷はエラーやデータ破損を引き起こし、システムを不安定にする可能性があります。
「Phoenix: Rowhammer Attacks on DDR5 with Self-Correcting Synchronization」という技術論文が公開されており、来年のIEEE Symposium on Security and Privacyでも発表される予定です。
研究者たちはまた、Phoenix攻撃を再現するためのリソースをまとめたリポジトリも公開しています。これには、TRR実装のリバースエンジニアリングのためのFPGA(Field-Programmable Gate Array)を用いた実験や、PoCエクスプロイトのコードが含まれています。
