メタバースにおける悪意。新たなフロンティアで既知のサイバー脅威と闘う

2023年03月02日掲載
ピーテル・ダンヒョウ著
ケーススタディ

メタバースにおける悪意。新たなフロンティアで既知のサイバー脅威と闘う

2023年03月02日掲載
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

この記事のバージョンは、Infoseurity Magazineに掲載されました。 Infosecurity Magazineに掲載されました。.この記事は更新され、ここにシンジケートされています。

数年前、私たちは、サイバーセキュリティがいかに「ワイルド・ウエスト」であるか、そして、多くのサイバー攻撃がもたらす生命に対する非常に現実的なリスクは言うまでもなく、一般的に多くの人々が関心を持つことが切実に必要であることをよく話しました。 

2023年になると、特に多くの影響力のある国の政府レベルでは、ある程度の進展が見られるようになり、喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアを目指す旅は、終わりのないものです。デジタル時代の寵児、メタバースの出現は、コードレベルの脆弱性とソーシャルエンジニアリングの両方にとって、膨大な新しい攻撃対象領域を追加することになります。

そして、私たちは、煙と鏡に支配されたこの新しい土俵での戦いに備えることができないのです。

複合現実感には、リスクの激化が伴う

今月は「Flavor of the Month(今月のフレーバー)」であるにもかかわらず、メタバースのコンセプトは長い間存在してきた。オンライン・プラットフォームのSecond Lifeは 2003 年から存在し、完全にカスタマイズ可能なオンライン宇宙で、ユーザーのアバターが音声やテキストチャットで対話し、ゲームをプレイし、Adidas などの企業が公式バーチャルストアを提供するなど、ニッチな分野でサービスを提供しています。純粋なゲームとしては、Fortnite や World of Warcraft のような多人数参加型オンライン(MMO)ゲームが広大な世界をプレイヤーに提供し、マイクロトランザクション、つまり仮想アイテムに実際のお金を支払うことにますます依存している。フォートナイト」だけでも、発売後2年間で43億ドルのマイクロトランザクションの売上がありました。 

メタバースのコンセプトは今後も続くというだけでなく、マーク・ザッカーバーグ級の勢いでメインストリームに押し上げられようとしていることは明らかです。これは、私たちが知っているインターネット、少なくともソーシャルメディアと一部のeコマースの刺激的な進化ですが、サイバー攻撃や有害な悪用が行われる機会は、気が遠くなるようなものです。 

メタバースの攻撃対象は、ウェブベースのソフトウェア、API、決済ゲートウェイにとどまらず、広範囲に及びます。VRヘッドセットやアクセサリの周辺機器も、コア・データへの脅威となります。これらの機器に搭載されたソフトウェアが脆弱であれば、土に還るための非常に便利なレッドカーペットになります。 

ラトガース大学のセキュリティ研究者が今年初めに発表した「Face-Mic」は、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害につながる可能性を検証した初めての研究成果です。この研究は魅力的で、脅威者がモーションセンサーを内蔵した一部のバーチャルリアリティ(AR/VR)ヘッドセットを使って、音声に関連した顔のジェスチャーを記録し、クレジットカード情報やパスワードなど、音声で操作することで通信される機密情報を盗み出す可能性があることを示しています。この問題の根本的な原因は、ユーザー認証の不備にあるようです。加速度センサーとジャイロスコープがアクセス許可を必要としないため、複雑な顔の動き、骨に伝わる振動、空気に伝わる振動を記録し、ユーザーのパターンによって、銀行の暗証番号から高度に制限された医療記録までを推測するために使用される可能性があります。 

メタバースでは、あなたのすべての動きがデータポイントであり、もしソフトウェアのセキュリティが甘くてもアクセスが可能であれば、攻撃者が運試しをするインセンティブは非常に大きくなるのです。 

スマートコントラクトは、スマートな敵に直面している

メタ経済では、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが要求されます。今現在、柴犬のように様々な暗号通貨コミュニティでメタバースマイクロエコノミーが成長しています。仮想不動産やその他の無形商品を購入するために、ブロックチェーン上に保存されたスマートコントラクトが活用されています。

「ブロックチェーン」と言えば、(少し技術に詳しい)ほとんどの一般人は、未来のデジタル通貨と考えられている安全で匿名性の高いシステムとして理解しています。しかし、これにはちょっとした問題がある。オンライン上の要塞に侵入不可能なものはなく、スマートコントラクトも例外ではないのだ。スマートコントラクトも例外ではなく、本質的には小さなプログラムであり、ハッキングされる可能性がある。

スマートコントラクトには、整数のオーバーフローやアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながるブロックチェーン中心のバグ(非常に有害)、後者は、ユーザーが保存した暗号の残高を引き出されることにつながるなど、かなり共通の脆弱性があるため悪用される可能性があるのだ。これらの攻撃はすべて、悪用可能な脆弱性につながる不適切なコーディングパターンと、安全でない設計の基本によって可能になります。

この技術はより広く使われるようになるでしょう。しかし、現状では、安全でフェイルセーフなメタバースを確保するために十分なセキュリティ意識のある開発者を見つけるのに苦労することになりそうです。特にデータや通貨が危機に瀕している場合、組織はメタバースへの参加の重大さを理解しなければなりません...そして、これが事実でないシナリオを想像することは困難です。

規制のない環境であり、あなたは(まだ)製品である

映画やテレビ、セカンドライフ、ビデオゲームで見てきたように、メタバース環境では、私たちが望む人物になることができます。仮想世界では、可能性はあなたの想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力となります。しかし、Metaのような計画的な規模では、あまりにも広大で分散化されているため、セキュリティの観点から完璧に管理することはできません。詐欺は避けられないでしょうし、熟練した犯罪者はソーシャルエンジニアリングの観点からさらに仕事をすることができるようになるでしょう。 

機密性の高いユーザーデータは新しい金であり、メタバースは、採用が計画通りに進めば、これまで見た中で最も豊富で完全なデータソースとなる可能性を秘めています。メタバースに関連するソフトウェアの構築は、現行の規制基準やコンプライアンス対策を遵守することが前提ですが、急速に拡大するデジタル宇宙とその経済をサポートするのに適したアップデートが必要になるでしょう。その核となるのは、メタバースへの貢献のセキュリティに責任を持つ組織であり、ソフトウェアに携わるすべての人がプロセスのあらゆる段階でセキュリティを考え、実装することを保証する社内のセキュリティ成熟度、特に開発者集団の成熟度です。 

メタバースの成功にセキュアコーディングが欠かせない理由

現実の世界でこうありたいという願望をすべて詰め込んだアバターで表現された無法地帯のデジタル次元を飛び回るのは楽しいかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはいけません。そして、現実の人々のデータや金銭が危険にさらされているとしたら、それはゲームとはとてもかけ離れたものです。 

サイバーセキュリティの分野では、ミスが本当に破壊的な結果をもたらすことをよく理解しており、普及と消費者の信頼を実現するためには、メタバースのあらゆるコンポーネントの完全性を後回しにするわけにはいきません。 

組織は、自社のセキュリティ成熟度の現実的な評価(assessment )を行い、ソフトウェアに積極的に取り組む開発者のセキュリティ・スキルを向上させることに重点を置いて、今すぐ計画を立て始めることができます。ラトガース大学の調査から分かるように、アクセス制御は広範なデータ漏洩につながる可能性のある脆弱性の一つに過ぎず、セキュリティ意識の高い開発者であれば、コードが書かれる段階で、そしてコミットされたコードに入る前に、これらの問題をうまく切り抜けることができるはずです。 

サイバーセキュリティのスキル不足という言い訳は、メタバースの大規模なデータ流出の後では通用しません。私たちの目の前には、できる限りのことをするだけでなく、ソフトウェアセキュリティの基準を積極的に向上させるためのツールが揃っています。今こそ、メタバースの設計者を育成するために投資し、私たちが知っているような製品やサービスを仮想的に再構築することで利益を得る時なのです。

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

メタバースにおける悪意。新たなフロンティアで既知のサイバー脅威と闘う

2024年1月22日発行
Pieter Danhieux著

この記事のバージョンは、Infoseurity Magazineに掲載されました。 Infosecurity Magazineに掲載されました。.この記事は更新され、ここにシンジケートされています。

数年前、私たちは、サイバーセキュリティがいかに「ワイルド・ウエスト」であるか、そして、多くのサイバー攻撃がもたらす生命に対する非常に現実的なリスクは言うまでもなく、一般的に多くの人々が関心を持つことが切実に必要であることをよく話しました。 

2023年になると、特に多くの影響力のある国の政府レベルでは、ある程度の進展が見られるようになり、喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアを目指す旅は、終わりのないものです。デジタル時代の寵児、メタバースの出現は、コードレベルの脆弱性とソーシャルエンジニアリングの両方にとって、膨大な新しい攻撃対象領域を追加することになります。

そして、私たちは、煙と鏡に支配されたこの新しい土俵での戦いに備えることができないのです。

複合現実感には、リスクの激化が伴う

今月は「Flavor of the Month(今月のフレーバー)」であるにもかかわらず、メタバースのコンセプトは長い間存在してきた。オンライン・プラットフォームのSecond Lifeは 2003 年から存在し、完全にカスタマイズ可能なオンライン宇宙で、ユーザーのアバターが音声やテキストチャットで対話し、ゲームをプレイし、Adidas などの企業が公式バーチャルストアを提供するなど、ニッチな分野でサービスを提供しています。純粋なゲームとしては、Fortnite や World of Warcraft のような多人数参加型オンライン(MMO)ゲームが広大な世界をプレイヤーに提供し、マイクロトランザクション、つまり仮想アイテムに実際のお金を支払うことにますます依存している。フォートナイト」だけでも、発売後2年間で43億ドルのマイクロトランザクションの売上がありました。 

メタバースのコンセプトは今後も続くというだけでなく、マーク・ザッカーバーグ級の勢いでメインストリームに押し上げられようとしていることは明らかです。これは、私たちが知っているインターネット、少なくともソーシャルメディアと一部のeコマースの刺激的な進化ですが、サイバー攻撃や有害な悪用が行われる機会は、気が遠くなるようなものです。 

メタバースの攻撃対象は、ウェブベースのソフトウェア、API、決済ゲートウェイにとどまらず、広範囲に及びます。VRヘッドセットやアクセサリの周辺機器も、コア・データへの脅威となります。これらの機器に搭載されたソフトウェアが脆弱であれば、土に還るための非常に便利なレッドカーペットになります。 

ラトガース大学のセキュリティ研究者が今年初めに発表した「Face-Mic」は、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害につながる可能性を検証した初めての研究成果です。この研究は魅力的で、脅威者がモーションセンサーを内蔵した一部のバーチャルリアリティ(AR/VR)ヘッドセットを使って、音声に関連した顔のジェスチャーを記録し、クレジットカード情報やパスワードなど、音声で操作することで通信される機密情報を盗み出す可能性があることを示しています。この問題の根本的な原因は、ユーザー認証の不備にあるようです。加速度センサーとジャイロスコープがアクセス許可を必要としないため、複雑な顔の動き、骨に伝わる振動、空気に伝わる振動を記録し、ユーザーのパターンによって、銀行の暗証番号から高度に制限された医療記録までを推測するために使用される可能性があります。 

メタバースでは、あなたのすべての動きがデータポイントであり、もしソフトウェアのセキュリティが甘くてもアクセスが可能であれば、攻撃者が運試しをするインセンティブは非常に大きくなるのです。 

スマートコントラクトは、スマートな敵に直面している

メタ経済では、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが要求されます。今現在、柴犬のように様々な暗号通貨コミュニティでメタバースマイクロエコノミーが成長しています。仮想不動産やその他の無形商品を購入するために、ブロックチェーン上に保存されたスマートコントラクトが活用されています。

「ブロックチェーン」と言えば、(少し技術に詳しい)ほとんどの一般人は、未来のデジタル通貨と考えられている安全で匿名性の高いシステムとして理解しています。しかし、これにはちょっとした問題がある。オンライン上の要塞に侵入不可能なものはなく、スマートコントラクトも例外ではないのだ。スマートコントラクトも例外ではなく、本質的には小さなプログラムであり、ハッキングされる可能性がある。

スマートコントラクトには、整数のオーバーフローやアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながるブロックチェーン中心のバグ(非常に有害)、後者は、ユーザーが保存した暗号の残高を引き出されることにつながるなど、かなり共通の脆弱性があるため悪用される可能性があるのだ。これらの攻撃はすべて、悪用可能な脆弱性につながる不適切なコーディングパターンと、安全でない設計の基本によって可能になります。

この技術はより広く使われるようになるでしょう。しかし、現状では、安全でフェイルセーフなメタバースを確保するために十分なセキュリティ意識のある開発者を見つけるのに苦労することになりそうです。特にデータや通貨が危機に瀕している場合、組織はメタバースへの参加の重大さを理解しなければなりません...そして、これが事実でないシナリオを想像することは困難です。

規制のない環境であり、あなたは(まだ)製品である

映画やテレビ、セカンドライフ、ビデオゲームで見てきたように、メタバース環境では、私たちが望む人物になることができます。仮想世界では、可能性はあなたの想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力となります。しかし、Metaのような計画的な規模では、あまりにも広大で分散化されているため、セキュリティの観点から完璧に管理することはできません。詐欺は避けられないでしょうし、熟練した犯罪者はソーシャルエンジニアリングの観点からさらに仕事をすることができるようになるでしょう。 

機密性の高いユーザーデータは新しい金であり、メタバースは、採用が計画通りに進めば、これまで見た中で最も豊富で完全なデータソースとなる可能性を秘めています。メタバースに関連するソフトウェアの構築は、現行の規制基準やコンプライアンス対策を遵守することが前提ですが、急速に拡大するデジタル宇宙とその経済をサポートするのに適したアップデートが必要になるでしょう。その核となるのは、メタバースへの貢献のセキュリティに責任を持つ組織であり、ソフトウェアに携わるすべての人がプロセスのあらゆる段階でセキュリティを考え、実装することを保証する社内のセキュリティ成熟度、特に開発者集団の成熟度です。 

メタバースの成功にセキュアコーディングが欠かせない理由

現実の世界でこうありたいという願望をすべて詰め込んだアバターで表現された無法地帯のデジタル次元を飛び回るのは楽しいかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはいけません。そして、現実の人々のデータや金銭が危険にさらされているとしたら、それはゲームとはとてもかけ離れたものです。 

サイバーセキュリティの分野では、ミスが本当に破壊的な結果をもたらすことをよく理解しており、普及と消費者の信頼を実現するためには、メタバースのあらゆるコンポーネントの完全性を後回しにするわけにはいきません。 

組織は、自社のセキュリティ成熟度の現実的な評価(assessment )を行い、ソフトウェアに積極的に取り組む開発者のセキュリティ・スキルを向上させることに重点を置いて、今すぐ計画を立て始めることができます。ラトガース大学の調査から分かるように、アクセス制御は広範なデータ漏洩につながる可能性のある脆弱性の一つに過ぎず、セキュリティ意識の高い開発者であれば、コードが書かれる段階で、そしてコミットされたコードに入る前に、これらの問題をうまく切り抜けることができるはずです。 

サイバーセキュリティのスキル不足という言い訳は、メタバースの大規模なデータ流出の後では通用しません。私たちの目の前には、できる限りのことをするだけでなく、ソフトウェアセキュリティの基準を積極的に向上させるためのツールが揃っています。今こそ、メタバースの設計者を育成するために投資し、私たちが知っているような製品やサービスを仮想的に再構築することで利益を得る時なのです。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。