トロント大学の研究チームが、AIモデルの基盤であるGPU（グラフィックス処理ユニット）に新たなハードウェア脆弱性を発見した。この脆弱性は、従来CPUにのみ知られていた「Rowhammer攻撃」がGDDR6メモリを搭載したGPUにも有効であることを示している。GDDR6は高速なデータ転送を実現するため、AIやクラウド機械学習に広く使われるGPUの主要メモリ構成だ。 研究を主導した同大学の助教授、グルラージ・サイレシュワル氏らは、GPUのメモリセルを連続してアクセスすることで、隣接するセルのビットが誤って反転する現象を実証。この「GPUHammer攻撃」により、AIモデルの重み（パラメータ）の指数部にわずかなビット変更を加えるだけで、モデルの精度が80％から0.1％まで急落する可能性があると警告している。これは、医療画像診断や金融機関の不正検出システムなど、リアルタイムで信頼性が求められるAI応用に深刻な影響を及ぼす。 攻撃の実現には、GPUのメモリが直接基板に溶接されているため、CPUと異なり外部からのメモリ監視が困難な点が課題だった。研究チームはGPUの並列処理能力を活かし、最適なアクセスパターンを設計することで、わずかなビット反転を達成。当初は数回の失敗に直面し、攻撃の実現が困難だと判断したが、最終的に成功を収めた。 この脆弱性は、クラウド環境で複数ユーザーが共有するGPUに特に危険であり、攻撃者が他のユーザーのデータ処理を改ざんできるリスクを孕んでいる。研究チームは今年初めにNVIDIAに報告。同社は7月にセキュリティ通知を発表し、エラー訂正コード（ECC）の有効化を推奨した。しかし、研究チームはECCは機械学習処理を最大10％遅くするほか、複数ビットの攻撃には対応できない可能性を指摘した。 研究はUSENIX Security Symposium 2025で採択され、GPUのセキュリティがAIの信頼性を支える重要な分野であることを改めて示している。サイレシュワル氏は「AIが医療や金融など重要な分野で使われている今、ハードウェアレベルの脆弱性は未発見のままでは危険だ」と強調。今後のさらなる調査が不可欠と訴えている。