メタバースにおけるセキュリティの安全性は？不正利用によるリスクとその対策を解説

ここ数年、ITの発展とともに新たな技術が出てきています。その中で注目を集めているものとしてメタバースがあります。メタバースは近年、多くの企業でも使われ始め、お客様に新たな顧客体験を与えるツールとして着目されています。

特にテレワークが導入されたことにより、働き方や日々の過ごし方が大きく変わったのが着目された要因と言えるでしょう。

しかし、新しいサービスの反面、セキュリティに不安があるのではないでしょうか。
この記事ではそのメタバースの概要とセキュリティに関して紹介します。

メタバースとは

メタバースとはオンライン上で構築される3次元空間のことです。身近なものですと、どうぶつの森や最近のポケモンはメタバースのイメージに近いです。オンライン上で完全に構築されている空間ではないですが、広義で捉えるとメタバースにあたります。

メタバースでは3次元的にモノを捉えることができ、ライブなどをメタバースで行った場合には360度あらゆる角度からライブを楽しめることが出来ます。アバターなどを作るようなメタバースであれば、アバターをオンライン上で自由に動かすことができます。また、アバター同士でコミュニケーションを取ることも可能になります。

404 NOT FOUND | foRPro MEDIA｜プロフェッショナルの伴走者

foRPro MEDIAは、「プロの仕事に正当な報酬を」をビジョンに掲げ、プロのフリーランス、コンサルタント、エンジニアを支援する情報提供メディアです。”個”のキャリアを支援することで、ヒトのポテンシャルを解放することが、私たちの願いです。

for-professional.jp

メタバースとITサービスのセキュリティ面の違い

では、セキュリティの観点から見たときに従来のITサービスとメタバースではどのような違いがあるのでしょうか。

最も着目するべき点は「コミュニケーションプラットフォームとマーケットプレイスが同じ空間に存在している」という点ではないでしょうか。

例えば、これまでのコミュニケーションツールとしてはLINEやTwitterなどSNSツールが普及しています。しかし、これらのコミュニケーションツールを使って商品の購入などのマーケティングを行った場合、別のマーケットプレイスに誘導する必要があります。しかし、メタバースであれば同じ空間内でコミュニケーションを取りながら購入を進めてしまうことができます。その結果、詐欺などに合うリスクも高くなります。

404 NOT FOUND | foRPro MEDIA｜プロフェッショナルの伴走者

foRPro MEDIAは、「プロの仕事に正当な報酬を」をビジョンに掲げ、プロのフリーランス、コンサルタント、エンジニアを支援する情報提供メディアです。”個”のキャリアを支援することで、ヒトのポテンシャルを解放することが、私たちの願いです。

for-professional.jp

メタバースで想定されるリスク（STRIDE）

ここでは実際にメタバースでどのようなリスクがあるのか、STRIDEの観点から紹介します。

Spoofing identify（なりすまし）

メタバースでよくあるなりすましの例は「アカウントの乗っ取り」と「模倣したアバターによる詐欺」です。アカウントの乗っ取りは攻撃者が攻撃対象のIDやパスワードを入手し、攻撃対象のアバターになりすますことで、攻撃対象者のアバターで商品を買うなどの攻撃行為を行います。一方、メタバース空間ではアバターで人を識別することになります。そのため、アバターを似せることで知人になりすまして、詐欺を働くなどの攻撃行為を行うことになります。

Tempering with data（改ざん）

メタバースを構築しているシステムに侵入ができてしまうとあらゆる改ざんのリスクが発生します。金融情報や個人情報などはおそらく最上位のセキュリティで守られますが、例えば、メタバース空間内のBGMを制御されてしまうと多くのユーザーに不快な影響を与えてしまう可能性があります。

それ以外にもメタバース空間内のゲームのスコアを改ざんしてトップランカーになってしまうなどの攻撃行為も可能となります。

Repudiation（否認）

否認とは不正行為の痕跡を消したりする行為のことを指します。多くは改ざんやなりすましなど他の不正行為の証拠を消すために行います。例えば、なりすましを行った場合にはそのアバターの履歴自体をログから消してしまうなどの対応が考えられます。

ログまで消去するのは困難と言えますが、メタバース空間でもあり得ない攻撃行為とは言い切れないでしょう。

Information disclosure（情報漏洩）

メタバース空間では情報漏洩のリスクはかなり高いと言えます。アバターを利用した情報漏洩行為には大きく2つのパターンがあると考えられます。1つはなりすましから重要な機密情報・個人情報を聞き出されてしまうパターン、もう1つは第三者のアバターで立ち聞きされるパターンです。とくに、後者は透明なアバターを作成されてしまうと視覚的に検知が不可能になってしまうため、かなり情報漏洩のリスクが高い攻撃行為と言えるでしょう。

また、他のアプリケーションを利用するとメタバース空間に盗聴器や盗撮カメラが仕掛けられるようになってしまうかもしれません。そうすると、自身が意識していない間に情報を抜き取られてしまうなどのリスクも発生します。

Denial of service（サービス拒否攻撃）

サービス拒否攻撃にも2つのパターンがあります。1つは利用者をターゲットとしたサービス拒否攻撃です。利用者がメタバース空間にログインできないなどのケースです。もう1つはメタバース空間にある特定のサービスを利用できなくするケースです。利用者をターゲットとする場合には、なりすましや情報漏洩などを通じてパスワードを変更してログイン出来なくしてしまうなどが考えられます。特定のサービスを利用できなくする場合には大量のサービス要求を送り、サーバーの処理速度を低下させたり、サーバーをダウンさせたりするDoS攻撃などが考えられます。

Elevation of privilege（権限昇格）

権限昇格とは一般ユーザーのアカウントを不正な方法によって管理者相当の権限を付与し、通常では使用できない操作を使用可能にする攻撃行為です。例えば、プロフィールを改ざんすることで管理者権限が手に入ってしまうとメタバース空間上に大きな影響を与えてしまいます。

被害事例

ここではメタバースで実際にあった被害事例に関して紹介します。

Second Life

Second Lifeとはまだメタバースという言葉が一般的になる前の2003年にアメリカのサンフランシスコに本社があるLinden Lab社がリリースしたソフトウェアです。Second Lifeはほぼすべてのコンテンツがユーザーによって構築された3Dの仮想空間です。今、普及してきている暗号資産（仮想通貨）取引や仮想空間上の土地を売買する不動産取引、自由なイベント作成などありとあらゆることができます。2007年ごろから徐々に衰退していきましたが、2006年ごろにはユーザー数が100万人を突破するなど多くのユーザーに親しまれていました。

このSecond Lifeですが、2007年に2つの重大な脆弱性が発見されました。

1つ目がユーザーのパスワードなどを盗むことができる脆弱性であり、これはアプリケーションをインストールする過程で登録される「secondlife://」URIハンドラの設計ミスに起因することがわかりました。

2つ目がSecond Life内で流通している通貨である「リンデンドル」をユーザーから奪いとることが可能であるという脆弱性です。「リンデンドル」は米国ドルへと換金が出来てしまうため、大きなリスクです。これはSecond Lifeと連動しているQuick Timeという動画再生プレイヤーの脆弱性が要因であり、Quick Timeから悪意あるウェブサイトにSecond Lifeソフトウェアを誘導することでアバターからすべてのリンデンドルを奪ってしまうとのことです。

あくまで脆弱性が発見されただけですが、大きなリスクがあったセキュリティ事故と言えます。
（参考：Second Lifeでリンデンドルが盗難の恐れ–ハッカーが指摘）

対策

ここではメタバースを利用するにあたってどのような対策をすればよいのか、個人向け法人向けの2つに分けて紹介します。

個人向け

まずは個人向けのポイントを2つ紹介します。個人向けの対策に関しては他のサービスと大きく変わりません。

ログインID・パスワードは強固なものにする

これは他のあらゆるサービスで言えることですが、ログインID、パスワードを強固なものに設定するようにしましょう。パスワードの攻撃方法にはディクショナリアタックと呼ばれる辞書にある単語をベースにパスワードを推定する方法もあるので、ランダム英数字（記号）でパスワードを作成するようにすると良いでしょう。

二段階認証を設定

2つ目のポイントは二段階認証を設定することです。ログインIDとパスワードだけでなく、メールアドレスやSMSメールを利用してワンタイムパスワードを受信し、そのワンタイムパスワードを入力するような設定です。二段階認証を利用することで強固なセキュリティを実現できます。

近年では多くのアカウントで二段階認証を可能にする設定が組み込まれていますので、設定可能なアカウントであれば設定するようにすると良いでしょう。

法人向け

ここでは法人向けの対策を紹介します。

IPアドレス制限を追加する

一つはIPアドレスの制限を追加することです。ファイアウォールなどを利用して制限を掛けることで不要なアクセスを制御できます。

多要素認証をつける

企業側として多要素認証を導入するのも一つの手です。多要素とは知識情報（パスワードなど）、生体情報（指紋、声紋など）、所持情報（スマホ、ICカード）などから複数の情報を用いてログインすることです。組み合わせることでなりすましなどのリスクを低減できます。

eKYCサービスを導入する

eKYCサービスとはオンライン上で本人確認を完結することです。例えば、本人確認書類をアップロードする機能やユーザーの顔写真を送付してもらう機能などが挙げられます。メタバース空間ではアバターの精度が重要になりますので、アバター登録時などに本人確認を行うことで強固なセキュリティを実現できます。

不正アクセス検知システムを導入する

ファイアウォールでも確実にすべての不正アクセスをブロックできるとは限りません。そこで不正アクセス検知システムが必要になります。不正アクセス検知システムでは侵入パターンを予め抑えておき、そのケースの不正侵入がある場合にアラートを出すケースや通常とは異なるパケットが来た場合にアラートを出すなどのケースがあります。

不正アクセス検知システムを利用することで、さらに不正アクセスをブロックすることができ、よりセキュリティを高めることができます。

まとめ

今回の記事では、メタバースのセキュリティにおける安全性について解説しました。コンサルティング案件などを探している方、事例を知りたい方は、ぜひfoRProまでご相談ください。