機密VMは性能カウンタで裸に——NDSS 2025「CounterSEVeillance」がSEV‑SNPの前提を揺さぶる

今日の深掘りポイント

• 機密コンピューティングの中心であるAMD SEV‑SNPが、ハードウェア性能カウンタを介したサイドチャネルで秘密情報を漏洩し得ることが学術研究で実証されました。RSA‑4096の秘密鍵やTOTPの6桁コードまで復元可能と示され、クラウドでの「特権者からの秘匿」という前提を揺るがします。
• 本件はマルチテナントなクラウド主権・規制対応（医療・金融・公共）に波及し、国家安全保障や産業競争力の文脈での「ハードウェア信頼の限界」を突きつけます。ハイパーバイザ側の緩和策と運用ガバナンスの即時見直しが必要です。
• 技術的には「暗号化メモリの破り」ではなく、「秘密依存の制御フロー・オペランド特性が性能カウンタに反映される」系の漏洩です。恒久対策はハードウェア設計とランタイムの両輪が必要で、短期はクラウド事業者の構成制御とワークロード側の秘密最小化・一定時間化が現実解です。

はじめに

NDSS 2025で報告された「CounterSEVeillance」は、AMD SEV‑SNPの機密VMに対し、CPUのパフォーマンスカウンタを情報源とするサイドチャネル攻撃を実証した研究です。報道によれば、悪意あるハイパーバイザ（あるいは同等の特権を持つ攻撃者）が性能カウンタを用いて、秘密に依存する制御フローやオペランドの特徴を推定し、RSA‑4096の秘密鍵を数分オーダーで抽出、TOTPの6桁コードも復元し得るとされています。SNPは機密性・整合性保護を提供しますが、マイクロアーキテクチャ由来の副作用までは完全に消せないという、機密計算が抱える根源的リスクが浮き彫りになりました。

参考: NDSS 2025 – CounterSEVeillance（Security Boulevard）

深掘り詳細

事実（論文で示された主張）

• AMD SEV‑SNP上の機密VMに対し、CPUのパフォーマンスカウンタから得られるイベントの統計を解析することで、秘密依存の制御フローやデータ特性が漏洩し得ることを示した研究です。
• 報道ベースでは、数百種に及ぶカウンタの露出（228種が悪用可能とされる）を調査し、秘密鍵抽出など具体的攻撃の成立を示しています。
• 実証例として、RSA‑4096秘密鍵の抽出に8分未満、TOTPの6桁コード復元が可能であるとされています。
• 攻撃者モデルは、「ハイパーバイザやホストで性能カウンタを取得・制御できる特権者」に相当し、ゲストVMのメモリ暗号そのものを破るのではなく、カウンタ変動に現れる統計的相関を狙います。
• 上記は、SEV‑SNPの保護対象外になりがちなサイドチャネルを活用した、特権側からの観測という点に特徴があります。

出典: Security Boulevardの記事概要

インサイト（編集部の見立て）

• 本質は「暗号化メモリの堅牢さ」ではなく、「機密VMの実行が残すマイクロアーキテクチャ的痕跡を、ホストの特権者が高解像度で観測できる」ことにあります。クラウドの信頼境界は、メモリ平文アクセス禁止だけでは不十分で、観測面（計測・スケジューリング・割り込み制御）を含む設計が必要になります。
• 従来のキャッシュや分岐予測系サイドチャネルに比べ、性能カウンタは「ノイズに強い統計」「スケジューラ制御で測定区間を切り出せる」「ハードウェア支援で取得容易」という利点があり、特権者にとって攻撃の摩擦が低いです。
• 実運用への含意は二層に分かれます。短期的には、クラウド事業者（ハイパーバイザ運用側）がホストのPMU/IBS等をどう扱うか（無効化・フィルタ・隔離）というガバナンス問題です。長期的には、ハードウェア側で「ゲスト実行中はホスト側カウンタを匿名化/抑止する」などのアーキテクチャ的機構が問われます（これは仮説ですが、恒久対策の方向性として不可避です）。
• ゲスト側からの検知・防御は原理的に難しく、アテステーションに「観測面の制約（PMU無効化・隔離）」といった運用誓約/証明を含められるかが鍵になります。現行のアテステーションでは十分に表現できない可能性があり、標準化アジェンダになり得ます（こちらも現時点では編集部の見立てです）。
• 実証で示された鍵抽出時間や復元可能性は、研究としての妥当性と実効性のバランスが取れており、新規性が高い一方、現場での影響は「直ちに広域で乱用される」タイプではなく、標的性が高い領域（国家、金融、サプライチェーンの要衝）でのリスクが相対的に大きいです。対応は急務ですが、冷静なリスク分解と責任分界の整理が必要です。

脅威シナリオと影響

以下はMITRE ATT&CKのタクティクスに沿った仮説的シナリオです（ATT&CKはマイクロアーキテクチャ系サイドチャネルを直接分類しないため、成果物ベースで整合するタクティクス/テクニックにマッピングします）。

• シナリオ1：クラウド事業者内部不正/侵害による鍵窃取

  • 前提: 攻撃者はクラウドのハイパーバイザ/ホスト管理権限を獲得（TA0001 Initial Access/TA0003 Persistence/TA0004 Privilege Escalationに相当、具体的にはT1078 Valid AccountsやT1098 Account Manipulationの可能性）
  • 行為: 対象SEV‑SNP VM実行中にホストPMUを用いて性能イベントを収集し、RSA秘密鍵を復元（成果物としてはTA0006 Credential Access、特にT1552.004 Private Keysの利用局面に該当）
  • 影響: 復元鍵でTLS終端のMITM、SSH横展開（TA0008 Lateral MovementのT1021 Remote Services）、署名悪用（TA0005 Defense Evasion/TA0003 PersistenceのT1553 Subvert Trust Controls: Code Signingに類似の成果物利用）

• シナリオ2：SaaSのTOTP窃取によるアカウント乗っ取り

  • 前提: ハイパーバイザ特権から、対象SaaSの認証処理VMを観測
  • 行為: TOTP生成時の演算パターンを性能カウンタ経由で復元し、6桁コードを推定（成果物としてはTA0006 Credential Accessの一形態）
  • 影響: 短時間のアカウント乗っ取り、機密データへのアクセス、監査回避のため通常のAPI経路での操作（TA0011 Command and Controlの正規プロトコル悪用、TA0005 Defense Evasion）

• シナリオ3：サプライチェーンのビルド署名鍵狙い

  • 前提: ビルドサーバを機密VMで隔離している組織のIaaS基盤が侵害
  • 行為: 署名操作時に性能カウンタ観測で鍵を抽出
  • 影響: 正規署名付きマルウェア投入（TA0005 Defense Evasion/TA0003 Persistenceでの信頼悪用）、広域なサプライチェーン侵害

共通する特徴は「特権者（あるいは特権を奪取した攻撃者）前提」「ゲスト側からの検知困難」「成果物は資格情報や鍵」という点です。インシデント発生時の影響半径が大きく、規制対応や監査においても説明責任が問われます。

セキュリティ担当者のアクション

短期（今すぐできること）

• クラウド事業者への即時確認事項

  • SEV‑SNPホストでのPMU/IBS等の扱い（無効化、ゲスト実行時の排他・除外設定、記録/監査）を文書化し、契約・コンプライアンスに反映します。
  • ハイパーバイザ/ホストの変更管理と職務分離、PMUアクセスの監査ログ有無、緊急時のアクセス承認フローを確認します。
  • 機密VMのアテステーションに、観測面のコントロール（PMU隔離・デバッグ無効）に関する保証を含められるか協議します（現行で難しい場合、その限界をリスク台帳に明記します）。

• 機密ワークロード側の緩和

  • 長期秘密鍵の滞留最小化：リモート署名（KMS/HSMによるkey‑less署名）、エフェメラル鍵、鍵分割・ラップの導入を検討します。
  • クリプト実装の一定時間化・ブラインディング：RSA演算のブラインディング、データ依存分岐/メモリアクセスを避けるライブラリの採用を推進します。
  • 認証要素の再設計：TOTPのような短寿命秘密が性能カウンタで推定されるリスクを踏まえ、FIDO2/WebAuthn等の公開鍵認証やハードウェアトークンへの移行を加速します。
  • ノイズ注入や負荷平準化は限定的効果に留まる可能性が高く、あくまで補助的と位置づけます（仮説）。

• インシデント対応計画の更新

  • 「特権者による観測に起因する資格情報漏洩」を新たなシナリオとして追加し、鍵ローテーションの自動化（短時間でのTTL短縮・再配布）、証明書再発行の一括手順、サプライチェーン通知手順を整備します。
  • 監査証跡にPMU/デバッグインタフェース利用の統制・監査状況を含め、第三者監査の対象にします。

中期〜長期（設計・調達・標準化）

• 調達・アーキテクチャ要件の明文化

  • 「ゲスト実行中のホスト性能カウンタ抑止/匿名化」「観測面のアテステーション項目化」「ハイパーバイザによるカウンタフィルタの強制」を、次期ハードウェア/ハイパーバイザ要件としてベンダに提示します（方向性の提言であり、実装可否はベンダのロードマップに依存します）。
  • キャパシティ計画に「PMU無効化時の可観測性低下」を織り込み、運用監視の代替指標を設計します。

• 標準化コミュニティへのフィードバック

  • 機密VMのアテステーションに「観測面制御」を載せる拡張、サイドチャネルに関する保証のための共通プロファイル策定を働きかけます。
  • SOC・内部監査・コンプライアンスにまたがるガバナンスモデル（特権アクセスの二重承認、可観測性とプライバシーの両立）の文書化を進めます。

リスク評価の現実感

• 研究は学会採択という信頼性の高さがあり、新規性と実効性の両面で無視できない重みがあります。一方で、攻撃者に特権前提が必要で、標的性の高い攻撃である点は運用判断に重要です。クラウド委託のガバナンスを強めれば、短期の行動可能性は十分あります。過度に悲観せず、責任共有モデルの再定義と証跡強化を優先するのが現実的です。

参考情報

• 概要記事: NDSS 2025 – CounterSEVeillance: Performance Counter Attacks on AMD SEV‑SNP（Security Boulevard）

注記

• 本稿は公開情報（上記リンク）に基づく分析です。技術的詳細・評価指標の正確性は、論文本文およびベンダの公式アドバイザリの公開とともにアップデートが必要です。仮説として提案した対策や標準化の方向性は、今後のベンダ実装と業界合意に依存します。