メタバースは、拡張現実(AR)、仮想現実(VR)、複合現実(MR)、拡張現実(XR)、IoT、AI、機械学習、分散型台帳技術といった新興技術で構成されています。メタバースに似たアプリケーションは既にいくつか存在し、主にゲーマー向けです。しかし、今後3~5年の間に、リモートワーク、エンターテイメント、教育、ショッピングといった分野で、メタバースに似たアプリケーションがさらに増えると予想されています。
トレンドマイクロは新たなレポートの中で、技術、ハードウェア、ネットワークインフラが成熟すれば、多くのメタバース型アプリケーションが自然に融合し、それに伴いサイバー脅威の可能性も高まると指摘している。現在適用可能なものもあれば、3~5年後に適用可能なものもあると、同社は述べている。
メタバースにおけるサイバー脅威
トレンドマイクロは、潜在的な脅威のカテゴリーを 8 つ概説しました。
1. NFT
非代替性トークン(NFT)は、ブロックチェーンに保存され、売買可能な固有のデータ単位です。セキュリティ上の懸念事項としては、NFTは資産の所有権を規定するものの、保管場所を提供しないため、整合性の問題が挙げられます。「これは、身代金要求やその他の犯罪的攻撃につながる可能性があります」とトレンドマイクロは述べています。「NFTデータファイルがランサムウェア攻撃で暗号化された場合、ユーザーは所有権を保持しますが、身代金を支払わない場合は資産へのアクセスをブロックされる可能性があります。」
2. ダークバース
ダークバースはダークウェブに似ていますが、「メタバース内に存在する点が異なります。ユーザーが疑似的に物理的に存在するため、ある意味ではダークウェブよりも危険です。」報告書によると、ダークバースは違法行為や犯罪行為を助長・実行するために作られたとのことです。また、この空間は抑圧的な組織や政府に対する言論の自由のために利用される可能性もあります。違法行為や犯罪行為の場となる可能性もあるのです。
参照: 人工知能倫理ポリシー(TechRepublic Premium)
3. 金融詐欺
犯罪者は「メタバースで発生する膨大な量の電子商取引取引に惹かれ、そこに引き寄せられるでしょう。ユーザーを食い物にし、金銭を盗み、デジタル資産を奪おうとする者が多く現れるでしょう。」
4. プライバシーの問題
大企業が中心となって作成・ホストする、無料で利用できる仮想世界のグループが出現するでしょう。しかし、その見返りとして、「メタバースのパブリッシャーは、メタ空間のあらゆる側面を管理し、膨大なユーザーデータを収集し、収集したデータを収益化するでしょう。たとえユーザーがホストできるオープンソースのメタバース世界が存在したとしても、それをホストするパブリッシャーは依然としてユーザーデータを収集し、収益化することができます。」ユーザー行動がかつてないほど可視化されることから、トレンドマイクロは、データ主権などのプライバシー問題がメタバースにおける大きな懸念事項になると予測しています。
5. サイバーフィジカル脅威
空間ウェブは3Dで存在するコンピューティング環境であり、「数十億台の接続デバイスを介して実現され、VR/AR/MR/XRインターフェースを介してアクセスされる、現実と仮想現実の融合」です。メタバースは、空間ウェブのインタラクティブなアプリケーション層となります。IoTとサイバー世界のこの統合は、中間者攻撃やデジタルツインへの不正アクセスといったサイバーフィジカルな脅威につながる可能性があります。報告書は、「加害者が身元を明かさずに複数のアバターを作成できるため」、いじめや恋愛詐欺などの犯罪が発生すると示唆しています。
6. 仮想現実/拡張現実/複合現実/拡張現実の脅威
トレンドマイクロによると、メタバースにはVRとMRの両方が存在し、VRメタバースのような空間は2〜3年以内に登場し、AR / MRメタバース空間は少なくとも4〜5年はかかるとのことだ。ユーザーはメタバース内で新しいアイデンティティと人生を作り出すことができるため、「悪意のある人物は仮想世界を利用して現実世界の犯罪を計画し、リハーサルするだろう」。犯罪者は、ユーザーアバターが料金を支払ったサービスにアクセスできないようにしようとする。例えば、建物や仮想空間へのアクセスや退出を阻止するなどだ。NFTのセクションで述べたように、悪意のある人物は、ユーザーが料金を支払ったサービスにアクセスできるようにするために身代金を要求する。企業は、メタバース内に現実世界の店舗のデジタルレプリカを作成する。犯罪者は、これらのデジタルストアを別のメタバース空間にコピーして、買い物客を騙すだろう。
7. ソーシャルエンジニアリング
ソーシャルエンジニアリングは、心理的な操作を用いてユーザーを欺き、セキュリティ上のミスを犯させたり、機密情報を漏らさせたりします。「犯罪者や国家機関は、特定の話題に敏感な脆弱なグループを探し出し、彼らを標的としたナラティブ(物語)を流布して影響を与えます。こうしたナラティブは、現在の世界的な問題を増幅させるために利用される可能性があります。」ディープフェイクは犯罪に利用される可能性があり、犯罪者はメタバース空間に侵入して公式アバターになりすまし、ユーザーをその空間に誘導することができます。また、サービスプロバイダーになりすまし、虚偽の情報を提供して金銭を受け取る可能性もあります。
参照:メタバース チートシート: 知っておくべきことすべて (無料 PDF) (TechRepublic)
8. 従来のIT攻撃
トレンドマイクロは、現在の脅威シナリオがメタバースでも発生する可能性が非常に高いと予測しており、
- 分散型サービス拒否攻撃
- ランサムウェア
- メタバースアプリケーションAPIが公開されると、悪意のあるコードを作成したり、フィッシング攻撃を仕掛ける悪意のある人物が現れます。
- API呼び出しまたは実行時に既存のテクノロジーが使用されている場合のクラウド固有の攻撃
- メタバース アプリケーションは、サイバー フィジカル AR インタラクションを可能にするために、多くの IoT デバイスと通信するため、脆弱なデバイスとなります。
今すぐセキュリティモデルを計画する
トレンドマイクロは、「私たちが思い描いていたメタバースは実現不可能、あるいは実現不可能であり、メタバース構想全体が新たな方向へと転換する可能性が高い」と指摘しています。しかし、メタバースには巨額の投資が投入されているため、今こそメタバース向けのセキュリティモデルの開発に着手すべき時です。
「これは、常に進化するコンセプトを探求し、現在存在しない製品やサービスのためのセキュリティガイドラインを作成しようとしているため、困難な課題です」とセキュリティ企業は指摘する。しかし、「脅威を予測し、早期に行動することで、メタバースのようなアプリケーションと将来のメタバースの両方を保護することができます。」
