AMD、2017年以降のZen CPUにおける高深刻度の脆弱性を修正

AMDは、2017年からのZenアーキテクチャを採用したCPUに存在する高深刻度のセキュリティ脆弱性（CVE-2024-56161）を修正した。この脆弱性は、Secure Encrypted Virtualization（SEV）技術を用いた仮想マシンのメモリ暗号化に影響を及ぼし、ローカル管理者権限を持つ攻撃者が悪意のあるマイクロコードをロードすることで、機密情報の保護が損なわれる可能性があった。

対象となるのは、Zen 1からZen 4までのEPYCプロセッサで、具体的にはNaples 7001シリーズ、Rome 7002シリーズ、Milan 7003シリーズ、Milan-X 7003シリーズ、Genoa 9004シリーズ、Genoa-X 9004シリーズ、Bergamo/Siena 9004シリーズが含まれる。

この脆弱性はGoogleの研究者によって発見され、AMDは2024年12月に修正パッチを提供したが、クラウドプロバイダーやデータセンター事業者が適用する時間を考慮し、2025年2月に公表された。一般的なデスクトップユーザーには影響しないものの、セキュリティ対策の重要性を再認識させる事例である。

AMDが対応したCVE-2024-56161の詳細とは
影響を受けたAMD CPUと実際のリスク
AMDの対応と今後のセキュリティ対策の課題

AMDが対応したCVE-2024-56161の詳細とは

今回の脆弱性CVE-2024-56161は、AMDのSecure Encrypted Virtualization（SEV）技術を利用する環境で発生するものだ。この技術は、仮想マシンのメモリを暗号化し、ホストとゲストOSを分離することで、クラウド環境などの安全性を高める。しかし、この脆弱性により、ローカル管理者権限を持つ攻撃者が不正なマイクロコードをロードできる可能性が指摘された。

問題の原因は、CPUのROM内にあるマイクロコードパッチローダーの署名検証が不適切であったことにある。これにより、攻撃者が悪意のあるマイクロコードを適用し、システムの完全性を損なうリスクがあった。特にSEV-SNP環境では、メモリの暗号化だけでなく、データの完全性や改ざん防止機能が重要視されるため、この脆弱性は大きな影響を及ぼす可能性があった。

AMDはこの脆弱性の深刻度をCVSSスコア7.2（高深刻度）と評価し、2024年12月に修正パッチをリリースした。しかし、データセンターやクラウド事業者が対策を講じるまでの時間を考慮し、情報公開を2025年2月まで延期した。これは、大規模なインフラ環境でのパッチ適用には時間がかかるため、事前に対応を進める余地を確保する狙いがあったと考えられる。

影響を受けたAMD CPUと実際のリスク

この脆弱性の影響を受けるCPUは、Zen 1からZen 4までのアーキテクチャを採用したEPYCプロセッサ群だ。具体的には、Naples 7001シリーズ、Rome 7002シリーズ、Milan 7003シリーズ、Milan-X 7003シリーズ、Genoa 9004シリーズ、Genoa-X 9004シリーズ、Bergamo/Siena 9004シリーズが対象となる。

これらのプロセッサは主にデータセンター向けに提供されており、大規模なクラウドサービスやエンタープライズ環境で広く利用されている。実際のリスクとして、攻撃者がローカル管理者権限を取得した場合、不正なマイクロコードを適用し、仮想マシンの暗号化を無効化する可能性がある。

これにより、機密データが保護されない状態となり、クラウド環境におけるセキュリティモデルそのものが崩壊する恐れがあった。ただし、この攻撃が成功するためには、攻撃者がすでにシステム管理者権限を持っていることが前提となるため、完全に無防備な脆弱性ではない。

また、この脆弱性はデスクトップ向けのRyzenプロセッサには影響しないため、一般的な個人ユーザーが直ちに脅威にさらされる状況ではない。しかし、クラウドサービスを利用する多くの企業や機関にとっては、セキュリティリスクを考慮し、迅速なパッチ適用が求められる事態となった。

AMDの対応と今後のセキュリティ対策の課題

AMDは、この脆弱性を発見したGoogleの研究者との協力のもと、迅速にパッチを提供した。修正自体は2024年12月に行われたが、その後の公表タイミングについては慎重に調整された。これは、パッチ適用が完了する前に脆弱性の詳細が広まることで、攻撃のリスクが高まることを避ける意図があったと考えられる。

近年、プロセッサのセキュリティはますます重要な課題となっている。特にクラウド環境では、ハードウェアレベルの脆弱性がデータ保護に直接影響を与えるため、メーカーの対応スピードが問われる場面が増えている。AMDはEPYCシリーズの強化に力を入れており、2024年のデータセンター事業の収益は125.7億ドルに達した。

この成長の中で、セキュリティの確保が競争力の維持に直結することは明白だ。今後、AMDだけでなく、他の半導体メーカーにおいても、ハードウェアのセキュリティ対策がさらに強化されることが期待される。特に、マイクロコードの安全性確保や暗号化技術の改良が求められるだろう。

今回の事例は、どれほど高度な技術でも完全な安全性は保証できないことを改めて示した。データを守るためには、最新のパッチ適用だけでなく、日常的なセキュリティ対策の強化が不可欠である。

Source：Club386