メタバース空間のサイバー脅威予測:メタバースorメタワース?
このレポートでは、現実世界とデジタル世界の急発展中の分野、メタバースに関する脅威予測を紹介します。メタバースの定義を洗練させながら、メタバースに対する脅威と、メタバース内部の脅威を明らかにしていきます。
「メタバース」という用語が初めて使われたのは、Neal Stephensonが1992年に発表したサイバーパンク小説『スノウ・クラッシュ』の中でした。この小説で描かれているのは、アバターを使って探索でき、プレイヤーに完全な没入型体験を提供する仮想世界です。現在、それに似た世界は、Roblox、Minecraft、Fortnite、Second Lifeといった大規模多人数同時参加型オンラインロールプレイングゲーム(MMORPG)で見られますが、こうしたゲームは『スノウ・クラッシュ』で描かれている没入型体験からはまだほど遠いと言わざるを得ません。
最新の概念では、メタバースは独立しながらもつながっている複数の仮想空間から構成されます。このため、1つの企業がメタバース全体を単独で構築することは不可能です。楽観的な見通しでも、本格的なメタバースが完全に展開されるのは5~10年掛かると見られています。Decentraland、Crypto Voxels、Minecraft、Second Lifeなどのメタバース的なゲームやアプリケーションは既に存在していますが、一般向けというよりも主にゲーマー向けに設計されています。トレンドマイクロでは、将来的にはリモートワーク、エンターテインメント、教育、ショッピングなどの日常的な活動が次世代のメタバース風アプリケーションで行われると考えています。こうしたアプリケーションの多くは当然、サイバー空間を共有します。最終的には、土台となるテクノロジー(ハードウェア、ソフトウェア、ネットワークインフラストラクチャ、および遍在性)が成熟した時点で、1つのメタバースへと変化を遂げるでしょう。この共有空間では、ユーザは簡単にアプリケーションを切り替えることができ、多様なハードウェアを使用してメタバースにアクセスすることができます。
しかしメタバースは、メタバース独自の特徴を悪用した犯罪も呼び寄せます。概要については本ブログで紹介し、リサーチペーパーで詳細を解説します。
そもそもメタバースとは何なのか?
メタバースとは何なのか、またインターネットという全体像にどのように収まるのかについては、さまざまな意見があります。トレンドマイクロでは、研究の助けとなるように、次のような暫定的な定義を作成しました。
メタバースは、クラウド分散型でマルチベンダーの没入対話型の動作環境であり、ユーザは多様なカテゴリのコネクテッドデバイス(静的、モバイルの両方)を使ってアクセスできる。メタバースでは、Web 2.0とWeb 3.0のテクノロジーを使用して、既存のインターネット上に対話層を実装する。メタバースは、VR/AR/MR/XR環境内で仕事やゲームを行うためのオープンプラットフォームとして提案されている。これは既存のMMORPGプラットフォームと同様の概念であるが、MMORPGはそれぞれが独自の1つの仮想世界を表すのに対し、メタバースではプレイヤーは複数の仮想空間を仮想資産とともにシームレスに移動することができる。メタバースは単に人間のユーザ向けのプラットフォームではない。スマートシティデバイスの通信層でもあり、この層によって人間とAIが情報を共有することができる。
本質的には、メタバースは体験のインターネット(IoX)となります。ただし、メタバースの概念の進化とともに、この定義も進化することが十分に予想されます。
メタバースに影響を及ぼす脅威とは?
まだ存在しておらず、私たちの想像どおりの形で存在することになるかどうかわからない製品空間に対するサイバー脅威を予測することは容易ではありません。トレンドマイクロでは、この点を踏まえて、メタバースについての理解を深め、メタバースに対する脅威とメタバース内部の脅威を特定するために意見を出し合いました。
NFT
メタバース内での非代替性トークン(NFT)の使用については、さまざまな意見が述べられています。NFTとは、ブロックチェーンに記録され、売買可能な一意のデータ単位です。NFTデータには、デジタル資産の所有権を検証するために、デジタルファイル(テキスト、写真、映像、音声など)のハッシュやリンクを含めることができます。NFTでは、資産の所有権は管理されますが、資産は保管されないため、ユーザはランサムウェア攻撃などの脅威にさらされます。ファイルがランサムウェアにより暗号化されると、NFTの所有者はファイルにアクセスできなくなります。さらに、土台となるブロックチェーンがシビル攻撃に弱い場合、資産が事実上盗まれる可能性があります。
また、詐欺師は「保護された」ファイルのデータの数ビットをわずかに改ざんすることによってNFTを模造し、本質的に同じデジタル資産を販売することもできます。Moxie Marlinspike氏が実証したように、NFT内に格納されているURLから返されるコンテンツを変更することにより、資産を操作することもできます。
さらに、資産の移転に関するセキュリティの問題もあります。メタバース空間の間でデジタル資産を移動すると、費用が発生します。その理由は、資産の検証が必要であること、そして互換性のない資産は「変換」しなければ技術的に異なるプラットフォームで使用できないためです。このために資産ブローカーを利用しますが、資産ブローカーを装った詐欺師がユーザをだます可能性があります。
ベストプラクティスと規則が確立されるまでは、仮想取引のルートは無法地帯のようになる危険性があります。ブロックチェーンテクノロジーに強固に根差しているのであれば、本質的に無秩序な市場になるでしょう。そこには、詐欺が発生した場合に助けてくれる明確な政府機関や法人組織は存在しません。この対話型空間から生まれる信頼感が原因で、フィッシング、ドライブバイダウンロードといった既存の攻撃の有効性も高まります。
ダークバース
ダークバースはダークWebに似ており、悪意のあるユーザが交流する匿名の空間になるでしょう。この疑似物理的な存在は秘密の会合に使われる現実の空間を模したもので、犯罪者が違法行為を円滑に進めるのに適しています。その一方で、圧政的な団体や政府に対抗して自由に発言するための安全な空間にもなり得ます。
ダークバースの世界は、ユーザが指定された物理的な場所にいる場合にのみアクセス可能になるように設定できます。こうすることで、閉じたメタバースコミュニティが保護されます。位置ベースのメッセージや近接メッセージが使用されるため、法執行機関(LEA)によるメタバースのデータの傍受は困難となるでしょう。
ダークバースが特に問題となるのは、児童ポルノなどの深刻な犯罪がすでにインターネットで大きな問題になっているためです。このような犯罪は法律的観点から言うと定義が不十分であり、LEAが仮想空間で取り締まるのはきわめて困難です。
金融詐欺
メタバースでのeコマース取引は量が多いため、金銭やデジタル資産を盗もうと企む犯罪者にとって魅力的です。メタバースでは、新たなデジタル経済(ビットコイン、イーサリアム、現金、ペイパル、e-Transferなどを使用)が運用され、為替レートは自由な(かつおそらく無秩序な)市場によってコントロールされます。これは市場を操ろうとする犯罪者にとって格好の標的となります。メタバースにのみ存在する企業は、どの管轄にも属さず、所得税の回避が可能な場合があります。また、メタバースの投資家は投資詐欺や証券詐欺の被害に遭う可能性があります。さらに、デジタル通貨、デジタル資産、不換紙幣が絡み合ったシステムは、2022年に暗号通貨Terra/Lunaで発生したような暴落を引き起こす危険性があります。
デジタル通貨は資金を受け取るのには便利ですが、ユーザが詐欺に遭ったり、取引に問題が発生したりした場合、パブリッシャは金融に関する複雑な問題に、おそらく規制レベルで直面することになります。ユーザが詐欺や盗難に遭っても、分散型デジタル通貨を使用していると、支援を得ることも、告訴することも、法的措置を講じることもほぼ不可能です。
メタバースでは、偽の推薦、宣伝、投資によってデジタル資産の価値が人為的につり上げられると予想できます。たとえば、仮想的な「土地」の価値は印象に大きく依存しており、さまざまな要因によって操作可能です。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、ユーザをだましてセキュリティ上のミスを起こさせたり、機密情報を漏洩させたりすることを狙った、人間の間の悪意あるやり取りを幅広く指します。詐欺師が標的について詳しい情報を持っていれば、ソーシャルエンジニアリングを用いた詐欺の成功率が上がります。メタバースでは、オペレータは視線、身体、音声、動作追跡などの個人情報を使用して、正確な感情分析を実施できます。このデータはすべて収集され、盗難または悪用されるおそれがあります。
犯罪者や国家アクタは、特定のトピックに敏感で無防備な集団を探し、その集団に的を絞ったストーリーを投下して影響を与えようとするでしょう。メタバースは犯罪目的のディープフェイクにとって理想的です。音声と映像を組み合わせれば、強力な意見表明手段(および操作ツール)になるからです。
メタバースのオペレータは、公式のアバターになりすましてメタバースユーザを誤った方向に導こうとする侵入者にも警戒する必要があります。この場合、アバターの資産を容易に収集して複製できるため、ディープフェイクは必要ないかもしれません。公式のアバタースキンになりすますことができれば、メタバース空間に侵入して悪事を働き、なりすましを受けた企業のイメージを悪化させることが可能です。
犯罪者がメタバースを利用して医師になりすまし、患者に偽の医療アドバイスを与えて支払いを受ける可能性もあります。より広い意味での詐欺としては、フェイクニュースの世界を構築して機密情報収集用のVRハニーポットとして使用したり、悪意のある広告主がトロイの木馬化されたデジタル製品を販売したりすることが可能です。
メタバースは物理的境界を超越するため、人々は世界中の詐欺師に簡単にさらされ、ソーシャルエンジニアリング犯罪が深刻化するでしょう。
まとめ
拡張現実、複合現実、仮想現実の次なる進化段階がメタバースです。メタバースは、新たなテクノロジーを使用して完全な没入型体験、すなわち体験のインターネット(IoX)をユーザに提供します。メタバースでは、ユーザは現実世界の出来事に参加しているかのような印象を抱きます。
メタバースは、あらゆるデバイスに対して透過的な接続を提供することを目的としてインターネットに追加される層です。しかし、開発者が数十年の経験を持つ先人のアドバイスを聞き入れて、セキュリティとプライバシーに配慮した設計を行っている様子はありません。メタバースが、犯罪者がはびこる不正で危険な空間になるのを防ぐために、あらゆる手段を講じることが必要です。開発者は技術的および社会的な保護手段を最初から取り入れるべきです。このような保護手段がなければ、メタバースは現在のインターネットよりもさらに危険な空間、すなわちメタワースになる可能性があります。
詳細については、このトピックについてのトレンドマイクロのリサーチペーパーをお読みください。
/forecasting-metaverse-threats-will-it-become-metaworse/Metaverse%20cover%20with%20JP%20Title.jpg)
参考記事:
Forecasting Metaverse Threats: Will it Become Metaworse?
By: Fyodor Yarochkin, Vladimir Kropotov, Zhengyu Dong, Paul Pajares, and Ryan Flores