メタバースにおける悪意。新たなフロンティアで既知のサイバー脅威と闘う
この記事のバージョンは、Infoseurity Magazineに掲載されました。 Infosecurity Magazineに掲載されました。.この記事は更新され、ここにシンジケートされています。
数年前、私たちは、サイバーセキュリティがいかに「ワイルド・ウエスト」であるか、そして、多くのサイバー攻撃がもたらす生命に対する非常に現実的なリスクは言うまでもなく、一般的に多くの人々が関心を持つことが切実に必要であることをよく話しました。
2023年になると、特に多くの影響力のある国の政府レベルでは、ある程度の進展が見られるようになり、喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアを目指す旅は、終わりのないものです。デジタル時代の寵児、メタバースの出現は、コードレベルの脆弱性とソーシャルエンジニアリングの両方にとって、膨大な新しい攻撃対象領域を追加することになります。
そして、私たちは、煙と鏡に支配されたこの新しい土俵での戦いに備えることができないのです。
複合現実感には、リスクの激化が伴う
今月は「Flavor of the Month(今月のフレーバー)」であるにもかかわらず、メタバースのコンセプトは長い間存在してきた。オンライン・プラットフォームのSecond Lifeは 2003 年から存在し、完全にカスタマイズ可能なオンライン宇宙で、ユーザーのアバターが音声やテキストチャットで対話し、ゲームをプレイし、Adidas などの企業が公式バーチャルストアを提供するなど、ニッチな分野でサービスを提供しています。純粋なゲームとしては、Fortnite や World of Warcraft のような多人数参加型オンライン(MMO)ゲームが広大な世界をプレイヤーに提供し、マイクロトランザクション、つまり仮想アイテムに実際のお金を支払うことにますます依存している。フォートナイト」だけでも、発売後2年間で43億ドルのマイクロトランザクションの売上がありました。
メタバースのコンセプトは今後も続くというだけでなく、マーク・ザッカーバーグ級の勢いでメインストリームに押し上げられようとしていることは明らかです。これは、私たちが知っているインターネット、少なくともソーシャルメディアと一部のeコマースの刺激的な進化ですが、サイバー攻撃や有害な悪用が行われる機会は、気が遠くなるようなものです。
メタバースの攻撃対象は、ウェブベースのソフトウェア、API、決済ゲートウェイにとどまらず、広範囲に及びます。VRヘッドセットやアクセサリの周辺機器も、コア・データへの脅威となります。これらの機器に搭載されたソフトウェアが脆弱であれば、土に還るための非常に便利なレッドカーペットになります。
ラトガース大学のセキュリティ研究者が今年初めに発表した「Face-Mic」は、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害につながる可能性を検証した初めての研究成果です。この研究は魅力的で、脅威者がモーションセンサーを内蔵した一部のバーチャルリアリティ(AR/VR)ヘッドセットを使って、音声に関連した顔のジェスチャーを記録し、クレジットカード情報やパスワードなど、音声で操作することで通信される機密情報を盗み出す可能性があることを示しています。この問題の根本的な原因は、ユーザー認証の不備にあるようです。加速度センサーとジャイロスコープがアクセス許可を必要としないため、複雑な顔の動き、骨に伝わる振動、空気に伝わる振動を記録し、ユーザーのパターンによって、銀行の暗証番号から高度に制限された医療記録までを推測するために使用される可能性があります。
メタバースでは、あなたのすべての動きがデータポイントであり、もしソフトウェアのセキュリティが甘くてもアクセスが可能であれば、攻撃者が運試しをするインセンティブは非常に大きくなるのです。
スマートコントラクトは、スマートな敵に直面している
メタ経済では、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが要求されます。今現在、柴犬のように様々な暗号通貨コミュニティでメタバースマイクロエコノミーが成長しています。仮想不動産やその他の無形商品を購入するために、ブロックチェーン上に保存されたスマートコントラクトが活用されています。
「ブロックチェーン」と言えば、(少し技術に詳しい)ほとんどの一般人は、未来のデジタル通貨と考えられている安全で匿名性の高いシステムとして理解しています。しかし、これにはちょっとした問題がある。オンライン上の要塞に侵入不可能なものはなく、スマートコントラクトも例外ではないのだ。スマートコントラクトも例外ではなく、本質的には小さなプログラムであり、ハッキングされる可能性がある。
スマートコントラクトには、整数のオーバーフローやアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながるブロックチェーン中心のバグ(非常に有害)、後者は、ユーザーが保存した暗号の残高を引き出されることにつながるなど、かなり共通の脆弱性があるため悪用される可能性があるのだ。これらの攻撃はすべて、悪用可能な脆弱性につながる不適切なコーディングパターンと、安全でない設計の基本によって可能になります。
この技術はより広く使われるようになるでしょう。しかし、現状では、安全でフェイルセーフなメタバースを確保するために十分なセキュリティ意識のある開発者を見つけるのに苦労することになりそうです。特にデータや通貨が危機に瀕している場合、組織はメタバースへの参加の重大さを理解しなければなりません...そして、これが事実でないシナリオを想像することは困難です。
規制のない環境であり、あなたは(まだ)製品である
映画やテレビ、セカンドライフ、ビデオゲームで見てきたように、メタバース環境では、私たちが望む人物になることができます。仮想世界では、可能性はあなたの想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力となります。しかし、Metaのような計画的な規模では、あまりにも広大で分散化されているため、セキュリティの観点から完璧に管理することはできません。詐欺は避けられないでしょうし、熟練した犯罪者はソーシャルエンジニアリングの観点からさらに仕事をすることができるようになるでしょう。
機密性の高いユーザーデータは新しい金であり、メタバースは、採用が計画通りに進めば、これまで見た中で最も豊富で完全なデータソースとなる可能性を秘めています。メタバースに関連するソフトウェアの構築は、現行の規制基準やコンプライアンス対策を遵守することが前提ですが、急速に拡大するデジタル宇宙とその経済をサポートするのに適したアップデートが必要になるでしょう。その核となるのは、メタバースへの貢献のセキュリティに責任を持つ組織であり、ソフトウェアに携わるすべての人がプロセスのあらゆる段階でセキュリティを考え、実装することを保証する社内のセキュリティ成熟度、特に開発者集団の成熟度です。
メタバースの成功にセキュアコーディングが欠かせない理由
現実の世界でこうありたいという願望をすべて詰め込んだアバターで表現された無法地帯のデジタル次元を飛び回るのは楽しいかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはいけません。そして、現実の人々のデータや金銭が危険にさらされているとしたら、それはゲームとはとてもかけ離れたものです。
サイバーセキュリティの分野では、ミスが本当に破壊的な結果をもたらすことをよく理解しており、普及と消費者の信頼を実現するためには、メタバースのあらゆるコンポーネントの完全性を後回しにするわけにはいきません。
組織は、自社のセキュリティ成熟度の現実的な評価(assessment )を行い、ソフトウェアに積極的に取り組む開発者のセキュリティ・スキルを向上させることに重点を置いて、今すぐ計画を立て始めることができます。ラトガース大学の調査から分かるように、アクセス制御は広範なデータ漏洩につながる可能性のある脆弱性の一つに過ぎず、セキュリティ意識の高い開発者であれば、コードが書かれる段階で、そしてコミットされたコードに入る前に、これらの問題をうまく切り抜けることができるはずです。
サイバーセキュリティのスキル不足という言い訳は、メタバースの大規模なデータ流出の後では通用しません。私たちの目の前には、できる限りのことをするだけでなく、ソフトウェアセキュリティの基準を積極的に向上させるためのツールが揃っています。今こそ、メタバースの設計者を育成するために投資し、私たちが知っているような製品やサービスを仮想的に再構築することで利益を得る時なのです。
デジタル時代の寵児、メタバースの出現は、コードレベルの脆弱性とソーシャルエンジニアリングの両方において、膨大な新しい攻撃対象領域を追加することになりました。そして、私たちは、煙と鏡に覆われたこの新しい舞台での戦いに備えることができないのです。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
この記事のバージョンは、Infoseurity Magazineに掲載されました。 Infosecurity Magazineに掲載されました。.この記事は更新され、ここにシンジケートされています。
数年前、私たちは、サイバーセキュリティがいかに「ワイルド・ウエスト」であるか、そして、多くのサイバー攻撃がもたらす生命に対する非常に現実的なリスクは言うまでもなく、一般的に多くの人々が関心を持つことが切実に必要であることをよく話しました。
2023年になると、特に多くの影響力のある国の政府レベルでは、ある程度の進展が見られるようになり、喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアを目指す旅は、終わりのないものです。デジタル時代の寵児、メタバースの出現は、コードレベルの脆弱性とソーシャルエンジニアリングの両方にとって、膨大な新しい攻撃対象領域を追加することになります。
そして、私たちは、煙と鏡に支配されたこの新しい土俵での戦いに備えることができないのです。
複合現実感には、リスクの激化が伴う
今月は「Flavor of the Month(今月のフレーバー)」であるにもかかわらず、メタバースのコンセプトは長い間存在してきた。オンライン・プラットフォームのSecond Lifeは 2003 年から存在し、完全にカスタマイズ可能なオンライン宇宙で、ユーザーのアバターが音声やテキストチャットで対話し、ゲームをプレイし、Adidas などの企業が公式バーチャルストアを提供するなど、ニッチな分野でサービスを提供しています。純粋なゲームとしては、Fortnite や World of Warcraft のような多人数参加型オンライン(MMO)ゲームが広大な世界をプレイヤーに提供し、マイクロトランザクション、つまり仮想アイテムに実際のお金を支払うことにますます依存している。フォートナイト」だけでも、発売後2年間で43億ドルのマイクロトランザクションの売上がありました。
メタバースのコンセプトは今後も続くというだけでなく、マーク・ザッカーバーグ級の勢いでメインストリームに押し上げられようとしていることは明らかです。これは、私たちが知っているインターネット、少なくともソーシャルメディアと一部のeコマースの刺激的な進化ですが、サイバー攻撃や有害な悪用が行われる機会は、気が遠くなるようなものです。
メタバースの攻撃対象は、ウェブベースのソフトウェア、API、決済ゲートウェイにとどまらず、広範囲に及びます。VRヘッドセットやアクセサリの周辺機器も、コア・データへの脅威となります。これらの機器に搭載されたソフトウェアが脆弱であれば、土に還るための非常に便利なレッドカーペットになります。
ラトガース大学のセキュリティ研究者が今年初めに発表した「Face-Mic」は、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害につながる可能性を検証した初めての研究成果です。この研究は魅力的で、脅威者がモーションセンサーを内蔵した一部のバーチャルリアリティ(AR/VR)ヘッドセットを使って、音声に関連した顔のジェスチャーを記録し、クレジットカード情報やパスワードなど、音声で操作することで通信される機密情報を盗み出す可能性があることを示しています。この問題の根本的な原因は、ユーザー認証の不備にあるようです。加速度センサーとジャイロスコープがアクセス許可を必要としないため、複雑な顔の動き、骨に伝わる振動、空気に伝わる振動を記録し、ユーザーのパターンによって、銀行の暗証番号から高度に制限された医療記録までを推測するために使用される可能性があります。
メタバースでは、あなたのすべての動きがデータポイントであり、もしソフトウェアのセキュリティが甘くてもアクセスが可能であれば、攻撃者が運試しをするインセンティブは非常に大きくなるのです。
スマートコントラクトは、スマートな敵に直面している
メタ経済では、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが要求されます。今現在、柴犬のように様々な暗号通貨コミュニティでメタバースマイクロエコノミーが成長しています。仮想不動産やその他の無形商品を購入するために、ブロックチェーン上に保存されたスマートコントラクトが活用されています。
「ブロックチェーン」と言えば、(少し技術に詳しい)ほとんどの一般人は、未来のデジタル通貨と考えられている安全で匿名性の高いシステムとして理解しています。しかし、これにはちょっとした問題がある。オンライン上の要塞に侵入不可能なものはなく、スマートコントラクトも例外ではないのだ。スマートコントラクトも例外ではなく、本質的には小さなプログラムであり、ハッキングされる可能性がある。
スマートコントラクトには、整数のオーバーフローやアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながるブロックチェーン中心のバグ(非常に有害)、後者は、ユーザーが保存した暗号の残高を引き出されることにつながるなど、かなり共通の脆弱性があるため悪用される可能性があるのだ。これらの攻撃はすべて、悪用可能な脆弱性につながる不適切なコーディングパターンと、安全でない設計の基本によって可能になります。
この技術はより広く使われるようになるでしょう。しかし、現状では、安全でフェイルセーフなメタバースを確保するために十分なセキュリティ意識のある開発者を見つけるのに苦労することになりそうです。特にデータや通貨が危機に瀕している場合、組織はメタバースへの参加の重大さを理解しなければなりません...そして、これが事実でないシナリオを想像することは困難です。
規制のない環境であり、あなたは(まだ)製品である
映画やテレビ、セカンドライフ、ビデオゲームで見てきたように、メタバース環境では、私たちが望む人物になることができます。仮想世界では、可能性はあなたの想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力となります。しかし、Metaのような計画的な規模では、あまりにも広大で分散化されているため、セキュリティの観点から完璧に管理することはできません。詐欺は避けられないでしょうし、熟練した犯罪者はソーシャルエンジニアリングの観点からさらに仕事をすることができるようになるでしょう。
機密性の高いユーザーデータは新しい金であり、メタバースは、採用が計画通りに進めば、これまで見た中で最も豊富で完全なデータソースとなる可能性を秘めています。メタバースに関連するソフトウェアの構築は、現行の規制基準やコンプライアンス対策を遵守することが前提ですが、急速に拡大するデジタル宇宙とその経済をサポートするのに適したアップデートが必要になるでしょう。その核となるのは、メタバースへの貢献のセキュリティに責任を持つ組織であり、ソフトウェアに携わるすべての人がプロセスのあらゆる段階でセキュリティを考え、実装することを保証する社内のセキュリティ成熟度、特に開発者集団の成熟度です。
メタバースの成功にセキュアコーディングが欠かせない理由
現実の世界でこうありたいという願望をすべて詰め込んだアバターで表現された無法地帯のデジタル次元を飛び回るのは楽しいかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはいけません。そして、現実の人々のデータや金銭が危険にさらされているとしたら、それはゲームとはとてもかけ離れたものです。
サイバーセキュリティの分野では、ミスが本当に破壊的な結果をもたらすことをよく理解しており、普及と消費者の信頼を実現するためには、メタバースのあらゆるコンポーネントの完全性を後回しにするわけにはいきません。
組織は、自社のセキュリティ成熟度の現実的な評価(assessment )を行い、ソフトウェアに積極的に取り組む開発者のセキュリティ・スキルを向上させることに重点を置いて、今すぐ計画を立て始めることができます。ラトガース大学の調査から分かるように、アクセス制御は広範なデータ漏洩につながる可能性のある脆弱性の一つに過ぎず、セキュリティ意識の高い開発者であれば、コードが書かれる段階で、そしてコミットされたコードに入る前に、これらの問題をうまく切り抜けることができるはずです。
サイバーセキュリティのスキル不足という言い訳は、メタバースの大規模なデータ流出の後では通用しません。私たちの目の前には、できる限りのことをするだけでなく、ソフトウェアセキュリティの基準を積極的に向上させるためのツールが揃っています。今こそ、メタバースの設計者を育成するために投資し、私たちが知っているような製品やサービスを仮想的に再構築することで利益を得る時なのです。
この記事のバージョンは、Infoseurity Magazineに掲載されました。 Infosecurity Magazineに掲載されました。.この記事は更新され、ここにシンジケートされています。
数年前、私たちは、サイバーセキュリティがいかに「ワイルド・ウエスト」であるか、そして、多くのサイバー攻撃がもたらす生命に対する非常に現実的なリスクは言うまでもなく、一般的に多くの人々が関心を持つことが切実に必要であることをよく話しました。
2023年になると、特に多くの影響力のある国の政府レベルでは、ある程度の進展が見られるようになり、喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアを目指す旅は、終わりのないものです。デジタル時代の寵児、メタバースの出現は、コードレベルの脆弱性とソーシャルエンジニアリングの両方にとって、膨大な新しい攻撃対象領域を追加することになります。
そして、私たちは、煙と鏡に支配されたこの新しい土俵での戦いに備えることができないのです。
複合現実感には、リスクの激化が伴う
今月は「Flavor of the Month(今月のフレーバー)」であるにもかかわらず、メタバースのコンセプトは長い間存在してきた。オンライン・プラットフォームのSecond Lifeは 2003 年から存在し、完全にカスタマイズ可能なオンライン宇宙で、ユーザーのアバターが音声やテキストチャットで対話し、ゲームをプレイし、Adidas などの企業が公式バーチャルストアを提供するなど、ニッチな分野でサービスを提供しています。純粋なゲームとしては、Fortnite や World of Warcraft のような多人数参加型オンライン(MMO)ゲームが広大な世界をプレイヤーに提供し、マイクロトランザクション、つまり仮想アイテムに実際のお金を支払うことにますます依存している。フォートナイト」だけでも、発売後2年間で43億ドルのマイクロトランザクションの売上がありました。
メタバースのコンセプトは今後も続くというだけでなく、マーク・ザッカーバーグ級の勢いでメインストリームに押し上げられようとしていることは明らかです。これは、私たちが知っているインターネット、少なくともソーシャルメディアと一部のeコマースの刺激的な進化ですが、サイバー攻撃や有害な悪用が行われる機会は、気が遠くなるようなものです。
メタバースの攻撃対象は、ウェブベースのソフトウェア、API、決済ゲートウェイにとどまらず、広範囲に及びます。VRヘッドセットやアクセサリの周辺機器も、コア・データへの脅威となります。これらの機器に搭載されたソフトウェアが脆弱であれば、土に還るための非常に便利なレッドカーペットになります。
ラトガース大学のセキュリティ研究者が今年初めに発表した「Face-Mic」は、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害につながる可能性を検証した初めての研究成果です。この研究は魅力的で、脅威者がモーションセンサーを内蔵した一部のバーチャルリアリティ(AR/VR)ヘッドセットを使って、音声に関連した顔のジェスチャーを記録し、クレジットカード情報やパスワードなど、音声で操作することで通信される機密情報を盗み出す可能性があることを示しています。この問題の根本的な原因は、ユーザー認証の不備にあるようです。加速度センサーとジャイロスコープがアクセス許可を必要としないため、複雑な顔の動き、骨に伝わる振動、空気に伝わる振動を記録し、ユーザーのパターンによって、銀行の暗証番号から高度に制限された医療記録までを推測するために使用される可能性があります。
メタバースでは、あなたのすべての動きがデータポイントであり、もしソフトウェアのセキュリティが甘くてもアクセスが可能であれば、攻撃者が運試しをするインセンティブは非常に大きくなるのです。
スマートコントラクトは、スマートな敵に直面している
メタ経済では、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが要求されます。今現在、柴犬のように様々な暗号通貨コミュニティでメタバースマイクロエコノミーが成長しています。仮想不動産やその他の無形商品を購入するために、ブロックチェーン上に保存されたスマートコントラクトが活用されています。
「ブロックチェーン」と言えば、(少し技術に詳しい)ほとんどの一般人は、未来のデジタル通貨と考えられている安全で匿名性の高いシステムとして理解しています。しかし、これにはちょっとした問題がある。オンライン上の要塞に侵入不可能なものはなく、スマートコントラクトも例外ではないのだ。スマートコントラクトも例外ではなく、本質的には小さなプログラムであり、ハッキングされる可能性がある。
スマートコントラクトには、整数のオーバーフローやアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながるブロックチェーン中心のバグ(非常に有害)、後者は、ユーザーが保存した暗号の残高を引き出されることにつながるなど、かなり共通の脆弱性があるため悪用される可能性があるのだ。これらの攻撃はすべて、悪用可能な脆弱性につながる不適切なコーディングパターンと、安全でない設計の基本によって可能になります。
この技術はより広く使われるようになるでしょう。しかし、現状では、安全でフェイルセーフなメタバースを確保するために十分なセキュリティ意識のある開発者を見つけるのに苦労することになりそうです。特にデータや通貨が危機に瀕している場合、組織はメタバースへの参加の重大さを理解しなければなりません...そして、これが事実でないシナリオを想像することは困難です。
規制のない環境であり、あなたは(まだ)製品である
映画やテレビ、セカンドライフ、ビデオゲームで見てきたように、メタバース環境では、私たちが望む人物になることができます。仮想世界では、可能性はあなたの想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力となります。しかし、Metaのような計画的な規模では、あまりにも広大で分散化されているため、セキュリティの観点から完璧に管理することはできません。詐欺は避けられないでしょうし、熟練した犯罪者はソーシャルエンジニアリングの観点からさらに仕事をすることができるようになるでしょう。
機密性の高いユーザーデータは新しい金であり、メタバースは、採用が計画通りに進めば、これまで見た中で最も豊富で完全なデータソースとなる可能性を秘めています。メタバースに関連するソフトウェアの構築は、現行の規制基準やコンプライアンス対策を遵守することが前提ですが、急速に拡大するデジタル宇宙とその経済をサポートするのに適したアップデートが必要になるでしょう。その核となるのは、メタバースへの貢献のセキュリティに責任を持つ組織であり、ソフトウェアに携わるすべての人がプロセスのあらゆる段階でセキュリティを考え、実装することを保証する社内のセキュリティ成熟度、特に開発者集団の成熟度です。
メタバースの成功にセキュアコーディングが欠かせない理由
現実の世界でこうありたいという願望をすべて詰め込んだアバターで表現された無法地帯のデジタル次元を飛び回るのは楽しいかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはいけません。そして、現実の人々のデータや金銭が危険にさらされているとしたら、それはゲームとはとてもかけ離れたものです。
サイバーセキュリティの分野では、ミスが本当に破壊的な結果をもたらすことをよく理解しており、普及と消費者の信頼を実現するためには、メタバースのあらゆるコンポーネントの完全性を後回しにするわけにはいきません。
組織は、自社のセキュリティ成熟度の現実的な評価(assessment )を行い、ソフトウェアに積極的に取り組む開発者のセキュリティ・スキルを向上させることに重点を置いて、今すぐ計画を立て始めることができます。ラトガース大学の調査から分かるように、アクセス制御は広範なデータ漏洩につながる可能性のある脆弱性の一つに過ぎず、セキュリティ意識の高い開発者であれば、コードが書かれる段階で、そしてコミットされたコードに入る前に、これらの問題をうまく切り抜けることができるはずです。
サイバーセキュリティのスキル不足という言い訳は、メタバースの大規模なデータ流出の後では通用しません。私たちの目の前には、できる限りのことをするだけでなく、ソフトウェアセキュリティの基準を積極的に向上させるためのツールが揃っています。今こそ、メタバースの設計者を育成するために投資し、私たちが知っているような製品やサービスを仮想的に再構築することで利益を得る時なのです。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
この記事のバージョンは、Infoseurity Magazineに掲載されました。 Infosecurity Magazineに掲載されました。.この記事は更新され、ここにシンジケートされています。
数年前、私たちは、サイバーセキュリティがいかに「ワイルド・ウエスト」であるか、そして、多くのサイバー攻撃がもたらす生命に対する非常に現実的なリスクは言うまでもなく、一般的に多くの人々が関心を持つことが切実に必要であることをよく話しました。
2023年になると、特に多くの影響力のある国の政府レベルでは、ある程度の進展が見られるようになり、喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアを目指す旅は、終わりのないものです。デジタル時代の寵児、メタバースの出現は、コードレベルの脆弱性とソーシャルエンジニアリングの両方にとって、膨大な新しい攻撃対象領域を追加することになります。
そして、私たちは、煙と鏡に支配されたこの新しい土俵での戦いに備えることができないのです。
複合現実感には、リスクの激化が伴う
今月は「Flavor of the Month(今月のフレーバー)」であるにもかかわらず、メタバースのコンセプトは長い間存在してきた。オンライン・プラットフォームのSecond Lifeは 2003 年から存在し、完全にカスタマイズ可能なオンライン宇宙で、ユーザーのアバターが音声やテキストチャットで対話し、ゲームをプレイし、Adidas などの企業が公式バーチャルストアを提供するなど、ニッチな分野でサービスを提供しています。純粋なゲームとしては、Fortnite や World of Warcraft のような多人数参加型オンライン(MMO)ゲームが広大な世界をプレイヤーに提供し、マイクロトランザクション、つまり仮想アイテムに実際のお金を支払うことにますます依存している。フォートナイト」だけでも、発売後2年間で43億ドルのマイクロトランザクションの売上がありました。
メタバースのコンセプトは今後も続くというだけでなく、マーク・ザッカーバーグ級の勢いでメインストリームに押し上げられようとしていることは明らかです。これは、私たちが知っているインターネット、少なくともソーシャルメディアと一部のeコマースの刺激的な進化ですが、サイバー攻撃や有害な悪用が行われる機会は、気が遠くなるようなものです。
メタバースの攻撃対象は、ウェブベースのソフトウェア、API、決済ゲートウェイにとどまらず、広範囲に及びます。VRヘッドセットやアクセサリの周辺機器も、コア・データへの脅威となります。これらの機器に搭載されたソフトウェアが脆弱であれば、土に還るための非常に便利なレッドカーペットになります。
ラトガース大学のセキュリティ研究者が今年初めに発表した「Face-Mic」は、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害につながる可能性を検証した初めての研究成果です。この研究は魅力的で、脅威者がモーションセンサーを内蔵した一部のバーチャルリアリティ(AR/VR)ヘッドセットを使って、音声に関連した顔のジェスチャーを記録し、クレジットカード情報やパスワードなど、音声で操作することで通信される機密情報を盗み出す可能性があることを示しています。この問題の根本的な原因は、ユーザー認証の不備にあるようです。加速度センサーとジャイロスコープがアクセス許可を必要としないため、複雑な顔の動き、骨に伝わる振動、空気に伝わる振動を記録し、ユーザーのパターンによって、銀行の暗証番号から高度に制限された医療記録までを推測するために使用される可能性があります。
メタバースでは、あなたのすべての動きがデータポイントであり、もしソフトウェアのセキュリティが甘くてもアクセスが可能であれば、攻撃者が運試しをするインセンティブは非常に大きくなるのです。
スマートコントラクトは、スマートな敵に直面している
メタ経済では、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが要求されます。今現在、柴犬のように様々な暗号通貨コミュニティでメタバースマイクロエコノミーが成長しています。仮想不動産やその他の無形商品を購入するために、ブロックチェーン上に保存されたスマートコントラクトが活用されています。
「ブロックチェーン」と言えば、(少し技術に詳しい)ほとんどの一般人は、未来のデジタル通貨と考えられている安全で匿名性の高いシステムとして理解しています。しかし、これにはちょっとした問題がある。オンライン上の要塞に侵入不可能なものはなく、スマートコントラクトも例外ではないのだ。スマートコントラクトも例外ではなく、本質的には小さなプログラムであり、ハッキングされる可能性がある。
スマートコントラクトには、整数のオーバーフローやアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながるブロックチェーン中心のバグ(非常に有害)、後者は、ユーザーが保存した暗号の残高を引き出されることにつながるなど、かなり共通の脆弱性があるため悪用される可能性があるのだ。これらの攻撃はすべて、悪用可能な脆弱性につながる不適切なコーディングパターンと、安全でない設計の基本によって可能になります。
この技術はより広く使われるようになるでしょう。しかし、現状では、安全でフェイルセーフなメタバースを確保するために十分なセキュリティ意識のある開発者を見つけるのに苦労することになりそうです。特にデータや通貨が危機に瀕している場合、組織はメタバースへの参加の重大さを理解しなければなりません...そして、これが事実でないシナリオを想像することは困難です。
規制のない環境であり、あなたは(まだ)製品である
映画やテレビ、セカンドライフ、ビデオゲームで見てきたように、メタバース環境では、私たちが望む人物になることができます。仮想世界では、可能性はあなたの想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力となります。しかし、Metaのような計画的な規模では、あまりにも広大で分散化されているため、セキュリティの観点から完璧に管理することはできません。詐欺は避けられないでしょうし、熟練した犯罪者はソーシャルエンジニアリングの観点からさらに仕事をすることができるようになるでしょう。
機密性の高いユーザーデータは新しい金であり、メタバースは、採用が計画通りに進めば、これまで見た中で最も豊富で完全なデータソースとなる可能性を秘めています。メタバースに関連するソフトウェアの構築は、現行の規制基準やコンプライアンス対策を遵守することが前提ですが、急速に拡大するデジタル宇宙とその経済をサポートするのに適したアップデートが必要になるでしょう。その核となるのは、メタバースへの貢献のセキュリティに責任を持つ組織であり、ソフトウェアに携わるすべての人がプロセスのあらゆる段階でセキュリティを考え、実装することを保証する社内のセキュリティ成熟度、特に開発者集団の成熟度です。
メタバースの成功にセキュアコーディングが欠かせない理由
現実の世界でこうありたいという願望をすべて詰め込んだアバターで表現された無法地帯のデジタル次元を飛び回るのは楽しいかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはいけません。そして、現実の人々のデータや金銭が危険にさらされているとしたら、それはゲームとはとてもかけ離れたものです。
サイバーセキュリティの分野では、ミスが本当に破壊的な結果をもたらすことをよく理解しており、普及と消費者の信頼を実現するためには、メタバースのあらゆるコンポーネントの完全性を後回しにするわけにはいきません。
組織は、自社のセキュリティ成熟度の現実的な評価(assessment )を行い、ソフトウェアに積極的に取り組む開発者のセキュリティ・スキルを向上させることに重点を置いて、今すぐ計画を立て始めることができます。ラトガース大学の調査から分かるように、アクセス制御は広範なデータ漏洩につながる可能性のある脆弱性の一つに過ぎず、セキュリティ意識の高い開発者であれば、コードが書かれる段階で、そしてコミットされたコードに入る前に、これらの問題をうまく切り抜けることができるはずです。
サイバーセキュリティのスキル不足という言い訳は、メタバースの大規模なデータ流出の後では通用しません。私たちの目の前には、できる限りのことをするだけでなく、ソフトウェアセキュリティの基準を積極的に向上させるためのツールが揃っています。今こそ、メタバースの設計者を育成するために投資し、私たちが知っているような製品やサービスを仮想的に再構築することで利益を得る時なのです。
始めるためのリソース
セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。
セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化
セキュアバイデザイン(SBD)構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率(ROI)とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。
始めるためのリソース
明らかになった:サイバー業界はセキュア・バイ・デザインをどのように定義しているか
最新のホワイトペーパーでは、当社の共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士が、CISO、AppSecリーダー、セキュリティ専門家を含む20人以上の企業セキュリティリーダーと対談し、このパズルの重要なピースを見つけ出し、Secure by Design運動の背後にある現実を明らかにしました。セキュア・バイ・デザインは、セキュリティ・チーム全体で共有された野心ですが、共有されたプレイブックはありません。
