Kernel DMA Protection

Kernel DMA Protection（カーネルDMA保護）は、Thunderboltなどの高速外部インターフェースを通じたDMA（Direct Memory Access）攻撃からシステムを保護するハードウェアベースのセキュリティ機能です。

DMA攻撃とは

• 直接メモリアクセス: デバイスがCPUを介さずメモリに直接アクセス
• 攻撃手法: 悪意のあるデバイスがメモリ内容を読取・改竄
• 対象: Thunderbolt、PCIe、FireWire等
• 数秒で実行: 物理アクセスがあれば高速

保護メカニズム

1. IOMMU使用: Input-Output Memory Management Unit
2. メモリ分離: デバイスごとにアクセス可能領域を制限
3. 事前認証: 信頼できるデバイスのみ許可
4. VT-d/AMD-Vi: Intel/AMDの仮想化技術活用

ハードウェア

• CPU: Intel VT-d または AMD-Vi対応
• チップセット: IOMMU機能搭載
• UEFI: 最新版ファームウェア
• Thunderbolt: コントローラー側の対応

ソフトウェア

# Windows 10/11での確認
msinfo32
# 「Kernel DMA保護」の項目を確認

# PowerShellでの詳細確認
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\\Microsoft\\Windows\\DeviceGuard

BIOS/UEFI設定

Intel Platform:
- VT-d: Enabled
- Thunderbolt Security: User Authorization
- Pre-boot DMA Protection: Enabled

AMD Platform:
- IOMMU: Enabled
- SVM Mode: Enabled

OS側設定

Windows:

• 自動有効（対応ハードウェアの場合）
• グループポリシーで追加制御可能

Linux:

# カーネルパラメータ
intel_iommu=on iommu=pt

# Thunderboltポリシー
echo 2 > /sys/bus/thunderbolt/devices/domain0/security

Thunderboltセキュリティレベル

| レベル | 説明 | セキュリティ | |--------|------|-------------| | なし | すべて許可 | 低 | | ユーザー承認 | 手動承認必要 | 中 | | セキュア接続 | 事前承認デバイスのみ | 高 | | DP only | DisplayPortのみ | 最高 |

セキュリティ向上

1. Evil Maid攻撃防止: 物理アクセス時の保護
2. メモリダンプ防止: DMA経由の情報漏洩阻止
3. ゼロデイ対策: 未知のDMA脆弱性にも有効
4. 暗号鍵保護: メモリ内の機密情報保護

互換性

• 透過的動作: 正規デバイスは通常通り使用可能
• パフォーマンス: ほぼ影響なし
• 既存周辺機器: 大半は問題なく動作

非対応ケース

• レガシーデバイス: 古いThunderboltデバイス
• 特殊用途: 一部の開発ツール
• eGPU: 初回接続時に設定必要

トラブルシューティング

# デバイス承認（Windows）
Get-PnpDevice | Where-Object {$_.Class -eq "Thunderbolt"}

# Linux での承認
echo 1 > /sys/bus/thunderbolt/devices/0-1/authorized

### ポリシー管理
- **MDM統合**: Intune等で一元管理
- **承認リスト**: 組織承認デバイスの事前登録
- **監査ログ**: 接続履歴の記録


### ベストプラクティス
1. **定期的な確認**: ファームウェア更新
2. **最小権限の原則**: 必要なデバイスのみ承認
3. **物理セキュリティ**: 併用が重要
4. **ユーザー教育**: 承認プロセスの周知


- **USB4統合**: より広範な保護
- **AI連携**: 異常なDMAパターン検知
- **クラウド認証**: デバイスの信頼性確認