NVIDIA AI ツールキットの重大な欠陥によりクラウドサービスが危険にさらされる

Wiz のサイバーセキュリティ研究者は、現在 CVE-2025-23266 として識別され、NVIDIAScape というニックネームが付けられている重大な欠陥を発見しました。この欠陥により、攻撃者はコンテナの境界を回避し、ホスト マシンへの完全なルート アクセスを取得できる可能性があります。

このバグは、NVIDIA Container Toolkit 1.17.7 までのすべてのバージョンに影響し、CVSS の深刻度スケールで 9.0 (重大) と評価されています。また、Kubernetes クラスターで GPU コンテナの管理に広く使用されている NVIDIA GPU Operator バージョン 25.3.0 までにも影響があります。

この脆弱性は、共有GPUインフラストラクチャ上で顧客が独自のAIコンテナを実行できるマネージドAIクラウドサービスにとって特に深刻な影響を及ぼします。このようなマルチテナント環境では、悪意のあるコンテナ1つが、同じマシン上の他のユーザーのデータやモデルを侵害する可能性があります。

Wiz によれば、この問題は大手クラウド プロバイダーが使用するセットアップを含むクラウド環境の約 37% に影響を及ぼします。

欠陥の仕組みの詳細

Wizの研究者が解説の中で説明したように、この脆弱性はツールキットがOCI（Open Container Initiative）フック、特にcreateContainerフックを処理する方法に起因しています。このフックがトリガーされると、コンテナイメージから環境変数が継承され、これが悪用される可能性を高めます。

Dockerfile で LD_PRELOAD 環境変数を設定し、悪意のある .so ファイルを含めることで、攻撃者はホスト システム上の特権プロセスにコードを挿入できます。

NVIDIAの推奨事項

NVIDIAはセキュリティ情報でこの脆弱性を認め、「権限の昇格、データの改ざん、情報漏洩、サービス拒否」につながる可能性があると警告した。同社はまた、Container Toolkitバージョン1.17.8とGPU Operatorバージョン25.3.1にもこの脆弱性を修正した。

NVIDIAは、ホストがインターネットに接続されているかどうかにかかわらず、すべてのユーザーに即時アップグレードを推奨しています。攻撃者は、ソーシャルエンジニアリング、汚染されたコンテナイメージ、または侵害されたリポジトリを通じてアクセスを取得する可能性があります。

即時更新が不可能なシステムの場合、NVIDIA は、問題の中心である enable-cuda-compat フックを無効にすることを推奨しています。

セキュリティチームは、信頼できないイメージや公開イメージから構築されたコンテナを実行するホスト、特に共有GPU環境において、パッチ適用を優先的に実施することをお勧めします。また、インターネットへの露出は必ずしもエクスプロイトの実行に必要ではないことにも留意してください。攻撃者はソーシャルエンジニアリングやサプライチェーンへの侵入を利用して悪意のあるイメージを配信する可能性があります。

インフラの弱点のパターン

NVIDIA Container Toolkitが批判にさらされるのは今回が初めてではありません。2024年には、Wiz Researchが同じツールキットに影響を与える別のコンテナエスケープ脆弱性、CVE-2024-0132を発見しました。専門家は、これらのインシデントは、未来のAIの悪用だけでなく、基盤となるインフラストラクチャがAIシステムに最も差し迫ったリスクをもたらすことを浮き彫りにしていると指摘しています。

「AIのセキュリティリスクをめぐる誇大宣伝は、未来的なAIベースの攻撃に焦点が当てられる傾向があるが、増え続けるAI技術スタックにおける『旧来の』インフラの脆弱性は、セキュリティチームが優先すべき差し迫った脅威であり続けている」と研究チームは記している。

NVIDIAScapeは、AIが進化を続ける中で、それを支えるインフラを軽視してはならないことを改めて認識させてくれます。NVIDIA GPUは今日のAI開発の多くを支えるエンジンとして機能しており、それらを管理するシステムの欠陥は、より広範なデジタルエコシステムにとって重大なリスクとなります。