TEE.fail：DDR5メモリを標的にする新たな攻撃手法

佐々山 Tacos

2025.10.30

2025年10月30日：サイバーセキュリティ関連ニュース

TEE.fail：DDR5メモリを標的にする新たな攻撃手法により、インテル・AMDのTEEから鍵を盗め出せるように

SecurityWeek – October 29, 2025

インテルおよびAMDのCPUベースのセキュリティ技術を破る新たな攻撃手法「TEE.fail」の詳細を、パデュー大学およびジョージア工科大学の研究者が開示。最近報告された類似の手法「WireTap」や「Battering RAM」との大きな違いは、DDR4メモリだけでなくDDR5メモリに対しても有効な点だという。

TEE.failは、インターポーザと呼ばれるデバイスを標的PCのCPUとメモリの間に配置するところからスタート。つまり、攻撃者には標的システムへの物理的なアクセスが必要となる。その後、攻撃者はこのインターポーザでDRAMとの間のバストラフィックを解析。取得したデータを使うことで、インテルのTDXおよびAMDのSEV-SNPのTEE（信頼された実行環境）実装から暗号鍵を抽出できるという。

加えて、NVIDIAのGPUコンフィデンシャルコンピューティングの侵害に利用可能な構成証明鍵を抽出することも可能で、これにより攻撃者はTEE保護のない状態でAIワークロードを実行できるようになるとされる。なお、こうしたコンフィデンシャルコンピューティング技術はデータセンターやクラウドコンピューティングに用いられており、ホストシステムを侵害した攻撃者や悪意ある内部関係者からコードやデータを守るための設計になっている。

なお、TEE.failではインポーザをDIMMにはんだ付けする必要があるが、研究者らが回路図を公開した自作インターポーザは、市販電子部品を使用した場合でも1,000ドル未満で製作可能であるとのこと。研究者らは携帯版も開発しており、レポート記事の中で17インチのブリーフケースに収まる様子を映した写真も共有。このタイプのインポーザであればデータセンターに持ち込まれたり飛行機の座席下に置かれていたりしてもおかしくないことを示唆した。

ドイツ国内のExchangeサーバー、10台中9台が依然サポート終了済みソフトウェアを稼働

The Register – Wed 29 Oct 2025

マイクロソフトは2025年10月14日にOffice 2016とOffice 2019のサポートを終了したものの、それから2週間がたった今も、ドイツ国内におけるExchangeサーバーの92％が引き続きサポート終了済みソフトウェアを稼働させているという。ドイツ連邦政府情報セキュリティ庁（BSI）が警鐘を鳴らした。

マイクロソフトは9月にサポート終了について警告していたものの、BSIが把握しているドイツ国内の公開Exchangeサーバー約33,000台の大半が、依然としてOutlook Web Access 2019以前のバージョンを稼働中。該当する組織には、数千社に及ぶ企業や、病院・診療所、学校・大学、社会福祉機関、地方自治体などの公共機関が含まれるという。

BSIはセキュリティ勧告の中で、Exchange Serverの深刻な脆弱性が深刻な影響を及ぼした事例を紹介。もしこれらの重大な脆弱性が再び発見されたとしてもマイクロソフトから修正のための更新プログラムは提供されなくなると指摘した。このため影響を受けたExchangeサーバーは直ちにオフラインにせねばならなくなり、そうなると組織の通信能力は著しく制限される。加えてBSIは、「フラットなネットワーク構造と不十分なセグメンテーション・ハードニング」のためにExchangeサーバーの侵害は「組織のネットワーク全体への完全な侵害へと急速に拡大する」ケースが多いとした上で、結果として情報漏洩や、ランサムウェア感染によるデータの暗号化および身代金要求、さらに数週間にわたる業務停止といった影響が生じる恐れについて注意を促した。

該当する組織には、サポート対象のサブスクリプションエディション（SE）にアップグレードするか、代替ソリューションを見つけるかのいずれかの対応が求められる。

Qilinランサムウェアグループについて研究者らが警告、今年だけで数百の組織を攻撃

The Record – October 29th, 2025

サイバーセキュリティ研究者らが、今年1年で数百もの組織を攻撃しているQilinランサムウェアグループについて注意喚起した。

Qilinは遅くとも2022年7月から存在するグループだが、ここ数年でオペレーションを拡大。今ではRaaSとして活動するようになっており、2025年における最も活発なサイバー犯罪オペレーションの1つとして勢いづいている。10月だけを見ても、リークサイトに被害者として掲載された組織の数は185組以上。これには、日本の飲料大手アサヒや米国の自治体、電力会社などが含まれる。

サイバーセキュリティ企業Cisco Talosの報告によれば、2025年2月以降、Qilinは毎月40以上の被害組織の情報をリーク。多い月では100組近くなることもあったという。部門別では製造部門の被害が最も多く、全体のおよそ23%。これに、専門・科学サービス業（約18%）、卸売業（約10%）が続いている。

数々のQilin関連インシデントに対応してきたCisco Talosは、各攻撃で用いられた単一の侵入手法を特定することはできなかったとしつつも、多くのケースにおいて、ダークウェブ上で見つかった盗難管理者認証情報がVPNへの不正アクセスに使われていたと指摘。同社はまた、Cyberduckと呼ばれるオープンソースツールが、Qilinランサムウェア関連の攻撃でデータ抽出のために広く悪用されるようになっていることなども伝えている。

さらに別のサイバーセキュリティ企業Comparitechによれば、同社が追跡した2025年のQilinの攻撃700件のうち、およそ半数が米国を狙ったものだったという。加えて、フランス、カナダ、韓国、スペインの組織も多く標的にされていると報告した。同社のデータリサーチ部門長であるRebecca Moody氏は、RaaSグループとしての活動に切り替えたことにより、Qilinは攻撃規模の拡大を実現し、より多くの組織をより高い成功率で攻撃できるようになったのだろうと指摘している。