- Phoenix RowHammerの亜種はDDR5デスクトップシステムに影響し、SK Hynix製チップ上の既知のすべての緩和策を回避
- 攻撃者はデフォルトのシステム設定のままで、数分以内にroot権限を取得し、RSAキーを盗むことが可能
- 研究者はリフレッシュレートを3倍にすることを推奨、DRAMデバイスはパッチ適用ができず長期的に脆弱なまま
標準的な製品グレードのデスクトップシステムが、DDR5チップに影響を与えるハードウェアベースのセキュリティ脆弱性であるRowHammerの亜種に、史上初めて脆弱であることが判明しました。
RowHammerはダイナミック・ランダム・アクセス・メモリ(DRAM)チップに影響し、攻撃者が特定のメモリセルの行を繰り返しアクセス(「ハンマリング」)することで、メモリ内容を操作できるようにします。
これにより、実際に隣接する行へアクセスすることなく、隣接行のビットが反転する電気的干渉が発生し、権限昇格、リモートエクスプロイト、さまざまなモバイル脆弱性につながります。
権限昇格とrootアクセス
この脆弱性は10年以上前に初めて発見され、これまでに複数回パッチが提供されてきました。しかし、RAMチップの性能向上とメモリセルの高密度化により、RowHammer攻撃のリスクは増大しています。
今回新たに発見された攻撃はPhoenixと呼ばれ、CVE-2025-6202として追跡されています。深刻度スコアは7.1/10(高)とされ、韓国の半導体メーカーSK Hynix製チップ上の既知のすべての緩和策を回避することに成功しています。
「SK Hynix製DDR5デバイスでRowHammerビット反転を大規模に確実に引き起こせることを証明しました」とETHチューリッヒは述べています。「また、オンダイECC(エラー訂正コード)でもRowHammerは防げず、DDR5でもRowHammerのエンドツーエンド攻撃が依然として可能であることも証明しました。」
研究者らは、デフォルト設定のDDR5システムで2分以内に権限昇格を引き起こし、rootアクセスを取得できると主張しています。実際の用途としては、同一ホスト上の仮想マシンのRSA-2048キーを盗み、SSH認証を突破することが挙げられます。別のシナリオでは、sudoバイナリを使ってローカル権限をrootユーザーに昇格させることも可能です。
「実際に流通しているDRAMデバイスはアップデートできないため、今後何年も脆弱なままとなります」とアナリストは論文で述べています。「私たちはリフレッシュレートを3倍にすることを推奨します。これにより、テストシステム上ではPhoenixによるビット反転を防ぐことができました。」この文脈で、2014年にRowHammerが初めて公表された後、IntelやDRAMメーカーがリフレッシュレートの増加やターゲット行リフレッシュ(TRR)機構を緩和策として導入したことも付け加えておく価値があるでしょう。
