---
title: AMD SEV-SNPの概要と攻撃調査
tags: 
author: [山田ハヤオ](https://docswell.com/user/hayao)
site: [Docswell](https://www.docswell.com/)
thumbnail: https://bcdn.docswell.com/page/P7R95P39E9.jpg?width=480
description: AMD SEV-SNPの概要と攻撃調査 by 山田ハヤオ
published: April 09, 26
canonical: https://docswell.com/s/hayao/Z8N2LY-sevsnp
---
# Page. 1

![Page Image](https://bcdn.docswell.com/page/P7R95P39E9.jpg)

AMD SEV-SNP
アーキテクチャ・攻撃・防御
2026年4月
伊藤 駿
1/47


# Page. 2

![Page Image](https://bcdn.docswell.com/page/PJXQK3437X.jpg)

AMD SEV-SNP
用語説明（1/2）— 一般
TEE: Trusted Execution Environment（信頼された実行環境）
CVM: Confidential Virtual Machine（VM型TEE）
TCB: Trusted Computing Base（信頼の基盤となるコンポーネント群）
RA: Remote Attestation（遠隔構成証明）
vTPM: 仮想TPM（ソフトウェアによるTPM実装）
IMA: Integrity Measurement Architecture（Linuxのファイル整合性測定）
NPT: Nested Page Table（ネストされたページテーブル、HV管理）
DRAM: Dynamic Random Access Memory（主記憶装置）
AES-XTS: AES秘密鍵2つを使うブロック暗号化方式
2/47


# Page. 3

![Page Image](https://bcdn.docswell.com/page/3JK95YZNJD.jpg)

AMD SEV-SNP
用語説明（2/2）— AMD SEV-SNP固有
SEV: Secure Encrypted Virtualization（AMDのVM暗号化技術）
SEV-ES: Encrypted State（レジスタ状態の暗号化を追加）
SNP: Secure Nested Paging（メモリ完全性保護を追加）
AMD-SP: AMD Secure Processor（旧PSP、ARM Cortex-A5ベース）
RMP: Reverse Map Table（物理ページの所有権管理テーブル）
VMPL: Virtual Machine Privilege Level（VM内4段階特権）
SVSM: Secure VM Service Module（VMPL0で動作するサービス基盤）
VCEK/VLEK: Attestation Report署名鍵（チップ固有/CSP固有）
ASID: Address Space Identifier（VMごとの暗号鍵を選択する識別子）
GHCB: Guest-Hypervisor Communication Block（ゲスト-HV間通信）
3/47


# Page. 4

![Page Image](https://bcdn.docswell.com/page/LE3WK9DZE5.jpg)

AMD SEV-SNP
発表の構成
1. 第1部：アーキテクチャ
SEV → SEV-ES → SEV-SNP / RMP / Attestation / SVSM / vTPM
第2部：攻撃の調査
2. メモリ整合性 / 暗号文SC / 割り込み注入 / μarch SC / FW / 物理 / RMP初期化
第3部：考察
3. 課題整理 / 信頼チェーン / TDX比較 / クラウド採用 / 制限事項
4/47


# Page. 5

![Page Image](https://bcdn.docswell.com/page/8EDK3GP47G.jpg)

第1部：アーキテクチャ
第2部：攻撃の調査
第3部：考察
第1部：アーキテクチャ
5/47


# Page. 6

![Page Image](https://bcdn.docswell.com/page/V7PK43NVJ8.jpg)

AMD SEV-SNP
SEVとは何か
AMD Secure Encrypted Virtualization
VM全体をハードウェアレベルで暗号化・保護するConfidential Computing技術
ハイパーバイザーをTCB（Trusted Computing Base）から排除
クラウド環境で「CSPを信頼しなくてよい」世界を実現
3世代の進化
SEV
SEV-ES
SEV-SNP
世代
2017
2019
2021
年
メモリ暗号化（AES）
レジスタ状態の暗号化
メモリ完全性（RMP）
追加された保護
6/47


# Page. 7

![Page Image](https://bcdn.docswell.com/page/2JVVX4KRJQ.jpg)

AMD SEV-SNP
SEV初代：メモリ暗号化の基盤
AES暗号化エンジン
メモリコントローラ内蔵のAES暗号化エンジンがDRAM書込時に自動暗号化
ソフトウェアからは完全に透過的に動作
暗号化方式の進化
第1世代
第2世代
第4世代
世代
VM分離の仕組み
Naples
Rome
Genoa
プロセッサ
AES-128 XEX
AES-128 XEX
AES-256 XTS（FIPS 140-3）
方式
ASID: 各VMに固有の暗号鍵（VEK）を割り当て
C-bit: ページテーブル内のビットでPrivate/Sharedを選択
7/47


# Page. 8

![Page Image](https://bcdn.docswell.com/page/5EGLV1Q6JL.jpg)

AMD SEV-SNP
SEV初代の限界
防御できるもの
受動的メモリスヌーピング
コールドブート攻撃
防御できないもの
NPT操作（リマッピング）
メモリリプレイ
レジスタ漏洩・改竄
暗号化だけでは不十分
ハイパーバイザーがNPT（Nested Page Table）を自由に操作でき、ページの差替・再配置が可能
メモリ内容のリプレイ（古いデータの再注入）を検出する仕組みがない
VMEXIT時にレジスタ状態が平文でハイパーバイザーに露出 → SEV-ESで対策
8/47


# Page. 9

![Page Image](https://bcdn.docswell.com/page/4JQY6DK27P.jpg)

AMD SEV-SNP
SEV-ES：レジスタ保護の追加
Encrypted State
VMEXIT/VMRUN時にCPUレジスタ状態を自動暗号化・完全性保護
VMCBをControl Area（非暗号化）とVMSA（暗号化）に分離
GHCBプロトコル
4KBの共有メモリページでゲストが必要最小限の情報のみを露出
#VC例外（ベクタ29）でハイパーバイザーのエミュレーションをゲスト内で処理
VMGEXIT命令で制御を移転
残る限界
メモリリプレイ・エイリアシング・リマッピングは依然として可能
9/47


# Page. 10

![Page Image](https://bcdn.docswell.com/page/K74W4ZPPE1.jpg)

AMD SEV-SNP
SEV-SNP：RMPによるメモリ完全性
Reverse Map Table（RMP）
DRAM上の各4KBページに1エントリ（16バイト）を持つシステム全体のデータ構造
assigned
gpa
asid
validated
immutable
vmsa
フィールド
1
39
10
1
1
1
ビット幅
ゲストへの割り当て状態
マップ先ゲスト物理アドレス
所有VMのASID
ゲスト検証済みフラグ
変更不可フラグ
VMSAページフラグ
機能
RMPの特徴
メモリアクセス時にハードウェアがSPA（System Physical Address）でRMPを自動参照
不正なアクセス（ASID不一致・GPA不一致・未バリデート）は即座に例外を発生
ハイパーバイザーによるNPT操作・リプレイ・リマッピングを検出可能
10/47


# Page. 11

![Page Image](https://bcdn.docswell.com/page/LJ1Y4R9XEG.jpg)

AMD SEV-SNP
RMPの検証メカニズム
ハードウェアによるアクセス検証
メモリアクセス時にハードウェアがSPAでRMPを参照し、以下を検証:
1. ASIDの一致 — アクセス元VMが所有者か
2. GPAの一致 — マップ先が正しいか
3. バリデーション状態 — ゲストが承認済みか
不一致で即座に例外が発生 → リマッピング・リプレイ・エイリアシングをハードウェアレベルで阻止
ページバリデーション（2段階）
Step 1: HV が
RMPUPDATE
→ Guest-Invalid
→
Step 2: ゲストが
PVALIDATE
→ Guest-Valid
11/47


# Page. 12

![Page Image](https://bcdn.docswell.com/page/GJWGX1QK72.jpg)

AMD SEV-SNP
VMPL：VM内部の特権分離
Virtual Machine Privilege Levels
VM内部に4段階の特権レベルを提供
VMPL 0（最高権限）— SVSM
↓
VMPL 1 — ゲストOS
↓
VMPL 2-3 — アプリケーション
VMPL0でSVSMが動作し、ゲストOSとハードウェア的に隔離
12/47


# Page. 13

![Page Image](https://bcdn.docswell.com/page/4EZL6PWN73.jpg)

AMD SEV-SNP
各世代の防御能力比較
パッシブメモリスヌーピング
コールドブート
レジスタ漏洩・改竄
メモリリプレイ
メモリリマッピング
メモリエイリアシング
NPT操作
暗号文サイドチャネル
DoS
攻撃種別
SEV
対象外
SEV-ES
SEV-SNP
対象外
△
対象外
SEV: 受動的スヌーピングのみ防御 → SEV-ES: レジスタ保護を追加 → SEV-SNP: RMPで能動的攻撃も防御
暗号文サイドチャネルはSEV-SNPでも△（Zen 5のciphertext hidingで対策）
DoSはいずれの世代も脅威モデル外（可用性は保証しない設計）
13/47


# Page. 14

![Page Image](https://bcdn.docswell.com/page/Y76W2MG97V.jpg)

AMD SEV-SNP
Remote Attestation：AMD-SP
ハードウェアRoot of Trust
AMD-SP（旧称PSP）: ダイ上の32ビットARM Cortex-A5マイクロコントローラ
システムリセット時に最初に起動
オンチップBoot ROM → OTPヒューズのAMDルート署名鍵ハッシュが起点
SEV初代のAttestation（起動時のみ）
対称鍵（HMAC）ベース
LAUNCH_START → LAUNCH_UPDATE_DATA → LAUNCH_MEASURE → LAUNCH_SECRET → LAUNCH_FINISH
ランタイムAttestationなし
SEV-SNPの改善点
ゲスト主導・任意タイミングで実行可能
非対称鍵（ECDSA P-384）ベースに移行
14/47


# Page. 15

![Page Image](https://bcdn.docswell.com/page/G75M2ZVD74.jpg)

AMD SEV-SNP
SEV-SNPのAttestation Report
ゲストが任意タイミングで取得可能（672バイト）
フィールド
POLICY
CURRENT_TCB
REPORT_DATA
MEASUREMENT
REPORTED_TCB
CHIP_ID
SIGNATURE
サイズ
8B
8B
64B
48B
8B
64B
512B
機能
DEBUG許可、SMT、AES-256要求等
現在のTCBバージョン
ゲスト指定任意データ（ノンス・公開鍵ハッシュ）
SHA-384起動測定ダイジェスト
VCEK導出用TCBバージョン
チップ固有識別子
ECDSA P-384署名
取得フロー
ゲストがMSG_REPORT_REQをVMPCK（VM Platform Communication Key）で暗号化しAMD-SPに送信
AMD-SPがVCEK/VLEKでECDSA P-384署名したレポートを返送
REPORT_DATAにノンスやvTPM EK公開鍵ハッシュを含めることでチャレンジ・レスポンスに対応
15/47


# Page. 16

![Page Image](https://bcdn.docswell.com/page/9J294RXMER.jpg)

AMD SEV-SNP
証明書チェーン
ARK → ASK → VCEK/VLEK
ARK（RSA-4096、自己署名、製品ライン別）
↓
ASK（RSA-4096、ARK署名）
↓
VCEK
VLEK
チップ固有＋TCB固有
CSP固有＋TCB固有
VCEK:
— TCB変更でVCEKも変化
VLEK: マルチテナント環境でチップIDを隠蔽（AWS採用）
KDF(Chip_Unique_Secret, REPORTED_TCB)
16/47


# Page. 17

![Page Image](https://bcdn.docswell.com/page/DEY4MD8PJM.jpg)

AMD SEV-SNP
Attestation検証の実践フロー
snpguest CLIによる検証ワークフロー（virtee/snpguest）
1.
2.
3.
4.
5.
snpguest report
— ゲストVM内でAttestation Reportを取得
— AMD KDS (
) からARK/ASK証明書を取得
— ReportのTCBバージョンに基づきVCEK証明書を取得
— ARK→ASK→VCEKの証明書チェーンを検証
— VCEK公開鍵でReport署名を検証
snpguest fetch ca
kdsintf.amd.com
snpguest fetch vcek
snpguest verify certs
snpguest verify attestation
AMD KDS APIエンドポイント
証明書チェーン:
VCEK証明書:
証明書はリクエスト時に動的生成（KDS内に保存されない）
GET /vcek/v1/{product}/cert_chain
GET /vcek/v1/{product}/{chip_id}?blSPL=...&snpSPL=...
17/47


# Page. 18

![Page Image](https://bcdn.docswell.com/page/VJNYW6QM78.jpg)

AMD SEV-SNP
SVSM（Secure VM Service Module）の詳細
Coconut SVSM — Rust製リファレンス実装
AMD, Microsoft, IBM, Red Hat, Google, SUSE等が共同開発
Confidential Computing Consortium（CCC）に参加
Linux 6.16でSNP SVSM vTPMドライバがマージ予定
SVSMが提供するサービス
サービス
vTPM
UEFI変数ストア
ライブマイグレーション
ブロックレイヤ
実装済み
計画中
計画中
計画中
状態
PCR測定 + SNP Reportバインディング
SecureBoot設定のカスタマイズ
Migration Agentとの連携
暗号化FS永続ストレージ
説明
18/47


# Page. 19

![Page Image](https://bcdn.docswell.com/page/YE9PXLDWJ3.jpg)

AMD SEV-SNP
vTPM・IMAによるランタイム整合性
vTPMの実装方式
SVSM/Paravisor方式（Azure等）:
VMPL0でTEE内に隔離
3層保護: メモリ暗号化 → VMPL0隔離
→ 起動時測定
HV管理方式（GCP等）: TEE外、HV
信頼が必要
EK公開鍵ハッシュをREPORT_DATA
に埋め込み可能
IMA
Linuxカーネルのファイル整合性測定
ファイルハッシュでPCR 10を拡張
vTPM上で標準TPMデバイスとして動
作
VMPL0方式ならHVによるPCR値改竄
を防止
19/47


# Page. 20

![Page Image](https://bcdn.docswell.com/page/GE8D2X3RED.jpg)

AMD SEV-SNP
TCBの構成
TCBに含まれるもの
AMD CPU + AMD-SP
AMD-SPファームウェア（4コン
ポーネント）
ゲスト側: OVMF、SVSM、OS、
アプリ
TCBに含まれないもの
ハイパーバイザー / VMM
ホストOS・ホストBIOS
他のVM・DMAデバイス
CSPインフラ全般
TCBバージョン管理
4コンポーネント: BOOT_LOADER、TEE、SNP FW、MICROCODE（各SVNで追跡）
CommittedTcb: ロールバック下限 / CurrentTcb: 現在実行中 / ReportedTcb: VCEK導出用
20/47


# Page. 21

![Page Image](https://bcdn.docswell.com/page/LELM28V27R.jpg)

AMD SEV-SNP
第1部のまとめ
アーキテクチャの要点
SEVは3世代にわたり暗号化→レジスタ保護→メモリ完全性と防御範囲を拡張
SEV-SNPの核心はRMPによるページ単位の所有権管理
Remote AttestationはSEV-SNPでゲスト主導・非対称鍵ベースに進化
SVSMがVMPL0でvTPM等のセキュリティサービスを提供（Coconut SVSM開発中）
Attestation検証はsnpguest CLI + AMD KDSで実行可能
vTPMはSVSM/Paravisor方式（TEE内）とHV管理方式（TEE外）が混在、IMAと連携しランタイム整合性を測
定
21/47


# Page. 22

![Page Image](https://bcdn.docswell.com/page/4JMY86G9JW.jpg)

第1部：アーキテクチャ
第2部：攻撃の調査
第3部：考察
第2部：攻撃の調査
22/47


# Page. 23

![Page Image](https://bcdn.docswell.com/page/PJR95PZ979.jpg)

AMD SEV-SNP
攻撃の分類体系
2017〜2025年：28件以上の主要攻撃を7カテゴリに分類
1
2
3
4
5
6
7
#
メモリ整合性保護の欠如
暗号文サイドチャネル
割り込み・例外注入
マイクロアーキテクチャSC
Attestation・FW攻撃
物理メモリ操作
RMPアーキテクチャ初期化
カテゴリ
SEV / SEV-ES
全世代
SEV-SNP
全世代
全世代
SEV-SNP
SEV-SNP
主な対象
6
5
2
5
4
2
1
件数
23/47


# Page. 24

![Page Image](https://bcdn.docswell.com/page/PEXQK393JX.jpg)

AMD SEV-SNP
Cat.1：メモリ整合性保護の欠如
SEV/SEV-ES が対象 — SNPのRMPで根本解消
攻撃
SEVered
SEVurity
CrossLine
年
2018
2020
2021
核心手法
NPT再マッピングでHTTPレスポンスを差替、79.4 KB/sでVM全メモリ抽出
XEX tweak関数を逆算し暗号化オラクル構築。SEV-ESに任意コード注入（100%成功）
VMCB内ASID書換で被害者VEKを再利用、4KBあたり113.6msで復号
暗号化だけではメモリ保護として不十分 → SEV-SNPのRMPがこのカテゴリを根本的に解
消
24/47


# Page. 25

![Page Image](https://bcdn.docswell.com/page/3EK95YPNED.jpg)

AMD SEV-SNP
Cat.2：暗号文サイドチャネル
同一アドレス＋同一平文＝同一暗号文（AES-XEXの決定論的性質）→ RMPを完全に回避
し全世代に影響
攻撃
CipherLeaks
体系的暗号文分析
Heracles
Relocate-Vote
対策
年
2021
2022
2025
2025
核心手法
VMSA暗号文変化パターンからRSA秘密鍵抽出
CipherLeaksをカーネルスタック・ヒープに一般化
SNP_PAGE_MOVE APIで選択平文オラクル。バイト粒度のメモリ漏洩
空間的疎密バイアスによる暗号文投票攻撃。LLM推論トークン漏洩
Zen 5（Turin）でciphertext hidingを導入（HVからの暗号文読取をHW制限）
25/47


# Page. 26

![Page Image](https://bcdn.docswell.com/page/L73WK9XZ75.jpg)

AMD SEV-SNP
Cat.3：割り込み・例外注入
ハイパーバイザーが割り込み配送を制御する矛盾を突く
WeSee（2024 IEEE S&P）
Heckler（2024 USENIX Sec）
悪意ある#VC例外注入→ GHCBの
任意メモリ読み書き→ 2891回の
#VCでroot shell取得
注入でレジスタ値を間接
操作→ OpenSSH/sudo認証バイ
パス
CVE-2024-25742
int 0x80
CVE-2024-25742/43/44
対策: Restricted Injection / Alternate Injectionモード
26/47


# Page. 27

![Page Image](https://bcdn.docswell.com/page/87DK3G24JG.jpg)

AMD SEV-SNP
Cat.4：マイクロアーキテクチャサイドチャネル
攻撃
SEV-Step
CacheWarp
CounterSEVeillance
年
2023
2024
2025
核心手法
APICタイマー精密制御による命令レベルシングルステッピング
INVD命令でキャッシュラインを古い状態に巻戻し。RSA秘密鍵を約6秒で抽出
228個のパフォーマンスカウンタ+シングルステッピングでRSA-4096鍵を8分未満で抽出
CacheWarpの重要性
SNP整合性保護を破った最初のSW攻撃（CVE-2023-20592）— INVD命令によるキャッシ
ュ不整合はRMPで検出不可
27/47


# Page. 28

![Page Image](https://bcdn.docswell.com/page/VJPK431VE8.jpg)

AMD SEV-SNP
Cat.5：Attestation・ファームウェア攻撃
攻撃
Insecure Until Proven Updated
undeSErVed trust
One Glitch
CVE-2024-56161
年
2019
2021
2021
2025
核心手法
CEK抽出＋FWロールバックで証明書偽造
16Bブロック順列非依存の測定値を悪用しROPチェーン構築
SVI2バス電圧グリッチでPSP署名検証バイパス。カスタムFWデプロイ
マイクロコード署名検証に安全でないハッシュ。RDRANDが常に4を返すPoC
Root of Trustへの影響
One Glitch = SEV-SNPを破った最初の公開攻撃
CVE-2024-56161 = CVSS 7.2、マイクロコードの正当性を根底から脅かす
28/47


# Page. 29

![Page Image](https://bcdn.docswell.com/page/2EVVX4YREQ.jpg)

AMD SEV-SNP
Cat.6-7：物理攻撃・RMP初期化
BadRAM（2025 IEEE S&P）
Battering RAM（2025）
RMPocalypse（2025 CCS）
SPD改竄（〜$5）で
物理アドレスエイリ
アス生成→ 非暗号化
RMPを直接操作
DDR4インターポーザ
（〜$50）で動的エ
イリアス。ブート時
検証を通過後に攻撃
RMP初期化中のTMR
解除タイミングでダ
ーティキャッシュラ
インを注入。234ms
未満で99.9%成功
CVE-2024-21944
CVE-2025-0033
（CVSS 8.2）
29/47


# Page. 30

![Page Image](https://bcdn.docswell.com/page/57GLV196EL.jpg)

AMD SEV-SNP
全攻撃の時系列マップ（2017-2025）
攻撃名
SEVered
Insecure Until Proven Updated
SEVurity
CipherLeaks
CrossLine
One Glitch
undeSErVed trust
Systematic Ciphertext
SEV-Step
CacheWarp
WeSee
Heckler
BadRAM
Heracles
RMPocalypse
CVE-2024-56161
2018
2019
2020
2021
2021
2021
2021
2022
2023
2024
2024
2024
2025
2025
2025
2025
年
SEV
●
●
●
●
●
●
●
●
●
ES
●
●
●
●
●
●
●
●
●
SNP
●
●
●
●
●
●
●
●
●
●
●
—
—
—
CVE-2020-12966
—
—
CVE-2021-26311
CVE-2021-46744
—
CVE-2023-20592
CVE-2024-25742
CVE-2024-25742
CVE-2024-21944
—
CVE-2025-0033
CVE-2024-56161
CVE
30/47


# Page. 31

![Page Image](https://bcdn.docswell.com/page/4EQY6DW2JP.jpg)

AMD SEV-SNP
第2部のまとめ
攻撃研究のトレンド
初期（2017-2020）: メモリ整合性の欠如を突く攻撃 → SEV-SNPで解消
中期（2021-2022）: 暗号文サイドチャネルが台頭 → RMPを完全回避
近年（2023-2025）: 整合性保護・FW・物理層への多角的攻撃が増加
SNP対象攻撃が年々増加 — 防御を破る研究の活発化を示す
31/47


# Page. 32

![Page Image](https://bcdn.docswell.com/page/KJ4W4ZKP71.jpg)

第1部：アーキテクチャ
第2部：攻撃の調査
第3部：考察
第3部：考察
32/47


# Page. 33

![Page Image](https://bcdn.docswell.com/page/LE1Y4RXX7G.jpg)

AMD SEV-SNP
残された課題
決定論的暗号化
割り込み配送の制御権
AES-XEXの「同一入力=同一出力」が
RMPを迂回する暗号文SCの根源。4年
以上攻撃の温床
HVをTCBから排除しつつ割り込み配
送を委ねる矛盾。WeSeeで#VC注入
→root shell
Root of Trustへの攻撃
物理攻撃面の拡大
電圧グリッチ（One Glitch）やマイク
ロコード署名検証の脆弱性がHW Root
of Trustを脅かす
$5〜$50で全保護を無効化可能。RMP
がDRAMに非暗号化で格納される設計
が根本原因
33/47


# Page. 34

![Page Image](https://bcdn.docswell.com/page/GEWGX1NKJ2.jpg)

AMD SEV-SNP
防御の4層信頼チェーン
第1層: HW Root of Trust OTPヒューズ、AMD-SP Boot ROM
↓
第2層: FW TCB PSP BL/OS, SEV-SNP FW, μcode → VCEK導出
↓
第3層: 起動時整合性 OVMF/SVSMの測定 → MEASUREMENT, vTPM
PCR 0-7
↓
第4層: ランタイム整合性 IMA → vTPM PCR 10 → TPM Quote + SNP
Reportバインディング
34/47


# Page. 35

![Page Image](https://bcdn.docswell.com/page/47ZL6P3NJ3.jpg)

AMD SEV-SNP
残存する攻撃面
技術的な残存リスク
暗号文SC: Zen 5以前には遡及適用さ
れない
μarch SC: パフォーマンスカウン
タ・キャッシュ競合
IMAの限界: TOCTOU、eBPF/ROP/ヒ
ープOFはカバー外
物理攻撃: $5〜$50で実行可能
AMDの立場
μarch SCは脅威モデル外と主張
物理攻撃も脅威モデル外と主張
サプライチェーン攻撃を考慮すると
議論の余地あり
Zen 5のciphertext hidingが主要な対
策
35/47


# Page. 36

![Page Image](https://bcdn.docswell.com/page/YJ6W2MX9JV.jpg)

AMD SEV-SNP
Intel TDXとの技術比較
項目
暗号化単位
整合性保護
暗号方式
Attestation
TCBサイズ
性能OH（メモリ）
CVE数（2024中頃）
TDXへの主要攻撃
AMD SEV-SNP
VM全体（ASIDベース）
RMP
AES-256 XTS（Genoa〜）
AMD-SP + VCEK/VLEK
AMD-SP FW + CPU
5-15%
49件
Intel TDX
Trust Domain（KeyIDベース）
PAMT + TDX Module
AES-128/256 XTS（MKTME）
TDX Module + SGX QE + DCAP
TDX Module + CPU + UEFI
3-10%
9件（TDXDown等）
TDXDown（CCS 2024）: シングルステッピング+命令カウント攻撃
Google-Intel共同監査（2025）: 5CVE+35件の弱点。CVE-2025-30513はマイグレーション中のTOCTOU
36/47


# Page. 37

![Page Image](https://bcdn.docswell.com/page/GJ5M2ZXDJ4.jpg)

AMD SEV-SNP
クラウドでのConfidential VM採用状況
項目
SEV-SNP
TDX
Attestation署名
検証サービス
vTPM
AWS
M6a/C6a/R6a系
—
VLEK
自前検証
なし（SNP RAのみ）
Azure
DCasv5/ECasv5
DCesv5/ECesv5
VCEK/VLEK
MAA（無料）
Paravisor内（VMPL0）
GCP
N2D
C3系
VCEK
Cloud Attestation
Shielded VM（HV管理）
Azureが最も成熟: VMPL分離でHVをTCBから完全排除、MAA+Key Vault HSM連携
AWS: VLEK採用でチップID隠蔽、vTPMは未提供（SNP Attestationのみ）
GCP: go-sev-guestによる検証、vTPMはHV管理（TEE外）
37/47


# Page. 38

![Page Image](https://bcdn.docswell.com/page/LE3WK94QE5.jpg)

AMD SEV-SNP
制限事項と今後
現在の制限
I/O保護: DMAはSWIOTLBバウンスバ
ッファ経由で性能低下
性能: CPU 2-8%、メモリ5-15%、
NFV最大20%のオーバーヘッド
マイグレーション: MA方式で同一シ
ステム内に限定的
vTPM
: エフェメラル（永続化未実装）
次世代技術
SEV-TIO: PCI-SIG TDISP準拠。PCIe
デバイスを直接TEEに統合しバウンス
バッファ不要に
Segmented RMP: NUMAノード局所
配置でマルチソケット性能改善
Secure AVIC: 割り込みコントローラ
のセキュリティ向上
Linux 6.19: PCIeリンク暗号化基盤
がマージ
38/47


# Page. 39

![Page Image](https://bcdn.docswell.com/page/8EDK3GQW7G.jpg)

AMD SEV-SNP
結論
SEV-SNPの安全性は
単一技術ではなく多層防御に依存する
8年間で28件以上の攻撃が示す通り、暗号化だけではVMを保護できない
決定論的暗号化: 暗号文SCの根本原因 → Zen 5 ciphertext hidingで対策
2024-2025年の攻撃: 整合性保護・RMP初期化・μcode署名検証と異なる防御層を各々突破
今後: HW・FW・SWの多層防御の継続的強化が不可欠
39/47


# Page. 40

![Page Image](https://bcdn.docswell.com/page/V7PK43LXJ8.jpg)

AMD SEV-SNP
参考文献（1/7）— アーキテクチャ・暗号文SC
AMD, "SEV-SNP FW ABI Specification," Rev. 1.54, #56860.
https://www.amd.com/content/dam/amd/en/documents/developer/56860.pdf
AMD, "SEV-SNP — Strengthening VM Isolation with Integrity Protection and More," 2020.
https://www.amd.com/content/dam/amd/en/documents/epyc-business-docs/white-papers/SEV-SNP-strengthening-vm-isolation-with-integrity-protectionand-more.pdf
Coconut SVSM Project, Confidential Computing Consortium.
virtee/snpguest — SEV-SNP Attestation Report取得・検証ツール.
M. Morbitzer et al., "SEVered," EuroSec, 2018.
https://arxiv.org/abs/1805.09604
L. Wilke et al., "SEVurity," IEEE S&P, 2020.
https://arxiv.org/abs/2004.11071
M. Li et al., "CrossLine," ACM CCS, 2021.
https://arxiv.org/abs/2008.00146
M. Li et al., "CipherLeaks," USENIX Security, 2021.
https://www.usenix.org/conference/usenixsecurity21/presentation/li-mengyuan
40/47


# Page. 41

![Page Image](https://bcdn.docswell.com/page/2JVVX4Q3JQ.jpg)

AMD SEV-SNP
参考文献（2/7）— 暗号文SC（続）・割り込み注入
M. Li et al., "Systematic Ciphertext Side Channels on AMD SEV-SNP," IEEE S&P, 2022.
https://ieeexplore.ieee.org/document/9833768
B. Schlüter et al., "Heracles," ACM CCS, 2025.
https://heracles-attack.github.io/
Y. Yan et al., "Relocate-Vote," USENIX Security, 2025.
https://relocatevote.org/
B. Schlüter et al., "WeSee," IEEE S&P, 2024.
https://ahoi-attacks.github.io/wesee/
B. Schlüter et al., "Heckler," USENIX Security, 2024.
https://ahoi-attacks.github.io/heckler/
L. Wilke et al., "SEV-Step," IACR TCHES, 2024(1).
https://arxiv.org/abs/2307.14757
R. Zhang et al., "CacheWarp," USENIX Security, 2024.
https://cachewarpattack.com/
S. Gast et al., "CounterSEVeillance," NDSS, 2025.
https://www.ndss-symposium.org/ndss-paper/counterseveillance-performance-counter-attacks-on-amd-sev-snp/
41/47


# Page. 42

![Page Image](https://bcdn.docswell.com/page/5EGLV1WYJL.jpg)

AMD SEV-SNP
参考文献（3/7）— FW攻撃・物理・RMP・TDX
R. Buhren et al., "Insecure Until Proven Updated," ACM CCS, 2019.
https://arxiv.org/abs/1908.11680
L. Wilke et al., "undeSErVed trust," IEEE WOOT, 2021.
https://uzl-its.github.io/undeserved-trust/
R. Buhren et al., "One Glitch to Rule Them All," ACM CCS, 2021.
https://arxiv.org/abs/2108.04575
J. Eads et al., "CVE-2024-56161," Google Security Research, 2025.
https://github.com/google/security-research/security/advisories/GHSA-4xq7-4mgh-gp6w
J. De Meulemeester et al., "BadRAM," IEEE S&P, 2025.
https://badram.eu/
J. De Meulemeester et al., "Battering RAM," IEEE S&P, 2026.
https://batteringram.eu/
B. Schlüter, S. Shinde, "RMPocalypse," ACM CCS, 2025.
https://rmpocalypse.github.io/
L. Wilke et al., "TDXDown," ACM CCS, 2024.
https://uzl-its.github.io/tdxdown/
K. Swidowski et al., "Security Assessment of Intel TDX," 2026.
https://arxiv.org/abs/2602.11434
42/47


# Page. 43

![Page Image](https://bcdn.docswell.com/page/4JQY6D367P.jpg)

AMD SEV-SNP
参考文献（4/7）— 追加の攻撃論文
F. Du et al., "Secure Encrypted Virtualization is Unsecure," 2017.
https://arxiv.org/abs/1712.05090
M. Li et al., "Exploiting Unprotected I/O in AMD's SEV," USENIX Security, 2019.
https://www.usenix.org/conference/usenixsecurity19/presentation/li-mengyuan
Z. Zhao et al., "The SEVerESt Of Them All," ACM AsiaCCS, 2019.
https://dl.acm.org/doi/10.1145/3321705.3329820
M. Morbitzer et al., "SEVerity," IEEE WOOT, 2021. CVE-2020-12967.
https://arxiv.org/abs/2105.13824
M. Li et al., "TLB Poisoning Attacks on AMD SEV," ACSAC, 2021.
https://dl.acm.org/doi/10.1145/3485832.3485876
W. Wang et al., "PwrLeak," DIMVA, 2023.
https://link.springer.com/chapter/10.1007/978-3-031-35504-2_3
"HyperTheft," ACM CCS, 2024.
https://dl.acm.org/doi/10.1145/3658644.3690317
"CipherSteal," IEEE S&P, 2025.
https://github.com/Yuanyuan-Yuan/CipherSteal
L.-C. Chiang, S.-W. Li, "ReloadReload," ACM ASPLOS, 2025.
https://dl.acm.org/doi/10.1145/3676641.3716017
"A Close Look at RMP Entry Caching," ACM HASP, 2025.
https://dl.acm.org/doi/10.1145/3768725.3768727
43/47


# Page. 44

![Page Image](https://bcdn.docswell.com/page/K74W4Z1ME1.jpg)

AMD SEV-SNP
参考文献（5/7）— AMD公式仕様書・ブレティン
AMD Specs: FW ABI #56860 / SVSM #58019 / SEV API #55766 / GHCB #56421
https://www.amd.com/en/developer/sev.html
AMD, "AMD64 Architecture Programmer's Manual, Vol. 2"（RMP, PVALIDATE等の命令仕様）
AMD, "Protecting VM Register State with SEV-ES," 2017 / "AMD Memory Encryption," 2021
AMD, "SEV-SNP Attestation: Establishing Trust in Guests"
https://www.amd.com/content/dam/amd/en/documents/developer/lss-snp-attestation.pdf
virtee/snphost（管理）/ AMDESE/AMDSEV（セットアップ）
AMD Security Bulletins: SB-1004, 1013, 1023, 1033, 3008, 3010, 3013, 3015, 3019/7033, 3021, 3040
https://www.amd.com/en/resources/product-security.html
44/47


# Page. 45

![Page Image](https://bcdn.docswell.com/page/LJ1Y4RGYEG.jpg)

AMD SEV-SNP
参考文献（6/7）— Linuxカーネル・クラウド
Linux Kernel: AMD Memory Encryption
https://docs.kernel.org/arch/x86/amd-memory-encryption.html
Linux Kernel: SEV — KVM
https://docs.kernel.org/virt/kvm/x86/amd-memory-encryption.html
Linux Kernel: SEV Guest API
https://docs.kernel.org/virt/coco/sev-guest.html
B. Singh, "Add AMD SEV-SNP Hypervisor Support," LKML, 2021.
https://lore.kernel.org/lkml/20210324170436.31843-1-brijesh.singh@amd.com/T/
"Add AMD SEV-SNP Guest Support," LWN.net.
https://lwn.net/Articles/886131/
Azure Confidential Computing
https://learn.microsoft.com/en-us/azure/confidential-computing/
AWS, "AMD SEV-SNP for Amazon EC2 instances"
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sev-snp.html
Google Cloud, "Confidential VM overview"
https://cloud.google.com/confidential-computing/confidential-vm/docs/
45/47


# Page. 46

![Page Image](https://bcdn.docswell.com/page/GJWGX1K172.jpg)

AMD SEV-SNP
参考文献（7/7）— SVSM・その他
AMDESE/linux-svsm / Coconut SVSM / virtee/snpguest
"Confidential Guest Services with SVSM on SEV-SNP," KVM Forum, 2022
"SEV-SNP Firmware Hot-loading for KVM," KVM Forum, 2025
N. Haghighat, "Confidential VMs Explained," ACM SIGMETRICS, 2025.
https://dl.acm.org/doi/10.1145/3700418
"Remote attestation of SEV-SNP confidential VMs using e-vTPMs," 2023.
https://arxiv.org/abs/2303.16463
"The Road to Trust: Building Enclaves within Confidential VMs," NDSS, 2025.
https://www.ndss-symposium.org/ndss-paper/the-road-to-trust-building-enclaves-within-confidential-vms/
B. Kollenda, "General overview of AMD SEV-SNP and Intel TDX," FAU.
https://sys.cs.fau.de/extern/lehre/ws22/akss/material/amd-sev-intel-tdx.pdf
"Reversing the AMD Secure Processor (PSP)," dayzerosec, 2023.
https://dayzerosec.com/blog/2023/04/17/reversing-the-amd-secure-processor-psp.html
"Exploring AMD Platform Secure Boot," IOActive.
https://www.ioactive.com/exploring-amd-platform-secure-boot/
QEMU, "AMD Secure Encrypted Virtualization (SEV)" documentation.
https://www.qemu.org/docs/master/system/i386/amd-memory-encryption.html
46/47


# Page. 47

![Page Image](https://bcdn.docswell.com/page/4EZL6PZX73.jpg)

ご清聴ありがとうございました
47/47