**GPUBreach**は、攻撃者がGPU GDDR6メモリでRowhammerビットフリップを誘発し、権限昇格とシステム全体の侵害につながることを可能にします。 トロント大学の研究者によって開発されたこの攻撃は、4月13日にオークランドで開催されるIEEE Symposium on Security & Privacyで発表される予定です。 研究者らは、GDDR6におけるRowhammer誘発ビットフリップがGPUのページテーブル（PTE）を破損させ、権限のないCUDAカーネルに任意のGPUメモリ読み書きアクセスを許可できることを実証しました。 攻撃者は、この脆弱性を利用して、**NVIDIA**ドライバのメモリ安全性バグを悪用し、CPU側での権限昇格につなげることができます。これにより、**Input-Output Memory Management Unit (IOMMU)**の保護を無効にすることなく、システム全体を完全に侵害する可能性があります。 <div><figure><img width="900" src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/steps.jpg" height="224" alt="GPUBreach attack steps"><figcaption><strong>GPUBreach攻撃の手順</strong><br><em>出典: トロント大学</em></figcaption></figure></div> IOMMUは、直接メモリ攻撃から保護するハードウェアユニットです。各デバイスがアクセスできるメモリ領域を管理することで、デバイスがメモリにどのようにアクセスするかを制御および制限します。 ほとんどの直接メモリアクセス（DMA）攻撃に対して効果的な対策であるにもかかわらず、IOMMUはGPUBreachを阻止できません。 「GPUBreachは、GPU Rowhammer攻撃がデータ破損を超えて、実際の権限昇格につながる可能性があることを示しています」と研究者らは説明しています。 「GPUページテーブルを破損させることで、権限のないCUDAカーネルは任意のGPUメモリ読み書きアクセス権を取得し、その後、新たに発見されたNVIDIAドライバのメモリ安全性バグを悪用してCPU側での権限昇格につなげることができます。」 「その結果、IOMMUを無効にすることなく、システム全体をrootシェルまで侵害することが可能になります。これは、現在の研究と比較して、GPUBreachをより強力な脅威にしています。」 <div><figure><img src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/overview.jpg" data-src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/overview.jpg" width="664" height="405" alt="Overview of how GPUBreach works"><figcaption><strong>GPUBreachの仕組みの概要</strong><br><em>出典: トロント大学</em></figcaption></figure></div> 同じ研究者らは以前、GPUにおけるRowhammer攻撃が実用的であることを示した最初の攻撃である**GPUHammer**を実証しており、NVIDIAはユーザーに警告を発し、GDDR6メモリに対するこのような試みをブロックするためにシステムレベルのエラー訂正コード（ECC）の有効化を推奨していました。 しかし、GPUBreachは脅威を次のレベルに引き上げ、IOMMUが有効な状態でも、データを破損させるだけでなくroot権限を奪取することが可能であることを示しています。 研究者らは、AI開発やトレーニングワークロードで広く使用されている**NVIDIA RTX A6000 GPU**（GDDR6搭載）でその結果を例示しました。 <div><figure><img src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/compare.jpg" data-src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/compare.jpg" width="661" height="366" alt="Comparison to other attacks"><figcaption><strong>他のGPU攻撃との比較</strong><br><em>出典: トロント大学</em></figcaption></figure></div> ### 開示と緩和策 トロント大学の研究者らは、2025年11月11日に**NVIDIA**、**Google**、**AWS**、**Microsoft**に調査結果を報告しました。 Googleは報告を認め、研究者に600ドルのバグバウンティを授与しました。 NVIDIAは、2025年7月の既存のセキュリティ通知を更新して、新たに発見された攻撃の可能性を含める可能性があると述べています。 研究者らが実証したように、GPUが制御するメモリが信頼されたドライバの状態を破損させる可能性がある場合、IOMMUだけでは不十分であるため、リスクのあるユーザーはそのセキュリティ対策だけに頼るべきではありません。 エラー訂正コード（**ECC**）メモリは、シングルビットフリップを修正し、ダブルビットフリップを検出するのに役立ちますが、マルチビットフリップに対しては信頼性がありません。 最終的に、研究者らは、GPUBreachはECCを備えていないコンシューマーGPUでは完全に緩和策がないことを強調しました。 研究者らは、技術論文と、再現パッケージおよびスクリプトを含むGitHubリポジトリを含む作業の詳細を4月13日に公開する予定です。 NVIDIAはBleepingComputerに対し、エンタープライズ顧客環境では、Rowhammerスタイルの攻撃を防ぐためにシステムレベルのエラー訂正コードを有効にすることを推奨していると述べています。これは、HopperおよびBlackwellデータセンタークラスのGPUではデフォルトで有効になっています。