メタバースにおけるサイバーセキュリティの課題とは

本人確認は、信頼を築くための中核的な要素であり、セキュリティ機能の核となってきました。システムへのアクセス許可や、送金やリース契約といった手続きの承認は、「あなたが誰であるか」を確認し、「あなた」の信頼性を立証できる方法に基づいて進められます。

フィッシングやソーシャルエンジニアリング攻撃は、現在のデジタル環境における最大の脅威であり続けています。悪質な人間があなたに近しい人になりすまし、バーチャル空間で悪意のある行為を実行するよう指示するリスクは、現在のバーチャル世界では悪化する一方です。

AIで作成された偽動画（ディープフェイク）も増加しており、仮想空間であればボイスチェンジャーを利用することで、別人になりすましたスピアフィッシング攻撃も簡単に実行できてしまいます。

さらに、バーチャルな世界では、今までにない方法で不正行為を行うことも可能です。たとえば、メタバース内のバーチャルなコンサートにおいて、追加料金のかかる「バックステージパス」を入手して、アイドルに会って質問したり感想を言い合ったりするとします。悪質な主催者は、一般人に歌手のふりをさせ、いくつもの偽りのバックステージ・イベントを作ることができます。そして、数千枚の偽物のパスを販売し、数十枚の本物の「バックステージパス」だけでは到底及ばないほど大きな利益を得ることができるのです。このような詐欺は、購入者を騙すだけでなく、正規のバックステージ・イベントを企画するビジネスにも悪影響を及ぼす可能性があります。極端な例ですが、コンサートが丸ごとディープフェイクによる「ものまね」で行われ、本物だと思い込んでいるファンに料金を請求する詐欺師もいます。

「なりすまし」防止のための考察

• メタバース・プラットフォーム・プロバイダーに向けて
  本人確認の信頼性を確立することが重要な優先事項となるでしょう。好みのクリエイターと交流したり、金融機関における顧客把握と同水準の本人確認と証明を使用してデジタル資産を交換したり、といったことが可能であるべきです。イノベーションを活用し、より強力な認証であるパスワードレス認証プロトコル（FIDOクレデンシャルや検証可能クレデンシャル（VC）など）を取り入れ、フィッシングやソーシャルエンジニアリング攻撃のリスクを低減することを検討してください。
• 消費者に向けて
  多要素認証を備えて、本人確認のプロトコルを策定しているプラットフォームやエコシステムパートナーの利用を検討してください。特に、金銭の移動のようなリスクの高い取引や交流については必須と考えてください。詐欺の可能性がある、検証されていないIDを見分ける方法を事前に理解しておきましょう。Twitterにおいては、有名人の認証済みアカウントにはチェックマークがついています。Facebookでも、友達になっている人と交流すると、同じ名前と写真を使用しているだけの人と見分けられるようになっています。利用しているメタバース・プラットフォームにも同様のコンセプトが採用されるはずです。もし、そのプラットフォームが適切なレベルのセーフガードを提供していなければ、詐欺師や悪意のある人々に狙われる危険性が高いと考える必要があります。
• 依存性
  メタバースは何百とありますが、個人のアバターやデジタル・アイデンティティが信頼できる互換性を獲得するためには、いくつもの関連アクターによる相互運用と共創が重要になるでしょう。業界のステークホルダーとセキュリティ・コミュニティが協力し、相互運用に関するプロトコルを確立、管理する必要があります。クラウドプロバイダーやセキュリティ研究者、ビッグ・テックやインターネットプロバイダーなどは、メタバース間で相互運用可能な安全な環境を実現するための重要な役割を担っています。

多数のメタバース専門家は「メタバースは相互運用性とポータビリティ（同様のサービスへの移行容易性）の問題を解決して初めて、クリティカルマス（商品やサービスが普及するために最低限必要とされる普及率）に達することができる」と述べています。IDの一元化によってこの問題を解決しようとしている大手IT企業もありますが「Web3の格となる原則に反する」という批判を受けています（Web3とは「インターネットは集中型ではなく分散型のコンピュータネットワークで運営されるべきという考え方に基づいた、インターネットの第3世代のこと）。

誰がメタバース（中央主権型、分散型かは問わず）に接続しているかにかかわらず、自分のアバターやデジタル・アイデンティティ、資産（NFTや仮想通貨など）をさまざまなメタバースに持ち込めてしまえば、幅広いエコシステムに重大なセキュリティ・リスクや詐欺リスクを生み出してしまいます。

仮想通貨間の移動を行う取引所に対するハッキングの事例が広く話題になりましたが、信頼を維持するためには、安全で障害回復力のある接続を構築することが課題となっています。安全な環境での相互運用を可能にするため、自主規制やセキュリティの基本規格の設定も必要です。

さまざまなメタバースにおいて、特定のいくつかの攻撃を防ぐための原則を、企業が協力し合うことで定義するのは重要なステップです。あるメタバースで、自分のIDと結びついた独占的な資産のために一定の金額を支払った後、セキュリティが脆弱で不正防止のメカニズムが弱い別のメタバースでそれを盗まれてしまえば、相互運用性を維持する方法に根本的な断絶が生じ、より広いエコシステムの信頼が損なわれてしまうでしょう。

メタバースにおけるボットの開発と統合は、攻撃対象が増えるだけでなく、ユーザーの認証情報や機密情報を取得または窃取する新たな手段を生み出す恐れがあります。「メタバース・エコノミー」が花開くと、人々は苦労して稼いだお金をメタバースに投資し、製品を購入したり販売したりするようになります。すると、金銭的な誘因が発生するため、アカウントの乗っ取りや不正なアカウントへの資産移転が常態化してしまうおそれがあります。

相互に結び付いたメタバースにおいて、デジタル・アイデンティティへのアクセスを失うことは、Googleアカウントへのアクセスを失うのと同じような影響があると考えられます。悪質な人間は、検索履歴や位置情報履歴、電子メールに即座にアクセスし、ソーシャルメディアのアカウントや銀行の詳細情報を乗っ取ることで、さらに大きな損害を与えます。

将来的には、デジタル・アイデンティティのコントロールを失っている間に、独占資産や仮想通貨にアクセスし、お金や貴重な資産を他のアカウントに送金されてしまうといった事態も起こるかもしれません。盗まれたアカウントの復元にはかなりの時間を要する可能性があり、取り返しのつかない被害が出ることも少なくありません。そのため、個人情報の盗難を防ぐ安全な仕組みを構築し、認証情報が盗まれた場合に備えて潜在的な不正接続を検出し、正当なユーザーがアカウントを回復するための仕組みを整えることで、アカウントの乗っ取りを防ぐことが最も重要になるでしょう。

デジタル時代において、データは時としてお金よりも価値があり、メタバースが主流になるにつれ、その重要性はさらに増していくでしょう。VRやAR（拡張現実）などの没入型テクノロジーは、モバイル機器が生み出せる情報よりも多くの情報を収集する機会を作り出します。VRやARといった技術は、多くの信号同士を関連付けることができるため、現時点では解決困難な問題を解決できる可能性があります。たとえば、病気の早期発見やスポーツ選手のパフォーマンス向上、外国の繁華街で近くのレストランを探すナビゲーションなど、没入型技術はさまざまな場面で活用できる可能性を秘めています。

これらのデータをすべて保護することは非常に重要です。メタバースに潜む悪質な人間に不正取得されたデータを悪用されてしまえば、実害が及ぶ可能性があります。たとえば、体の動きや話し方といった情報が、特定の嗜好やその人がしそうな判断を予測するために収集・分析される可能性があります。同時に、この情報を悪用して、性的指向や政治的所属に関するネガティブなレッテルを被害者に張り付けることもできてしまいます。メタバース・プラットフォーム上に独自の体験を構築する開発者が増えるにつれ、そうしたデータの不正な収集や誤用を避けるため、一定のレベルのデータへのアクセスを許可するには、高度に審査され、積極的に監視されなければならなくなってきました。

メタバースの進化が急速に進む中、セキュリティ・リーダーはサイバー犯罪への警戒を続け、ステークホルダーと協力することで、包括的なサイバーセキュリティ・プログラムを構築する必要があります。これにより、すべてのステークホルダーの信頼を得るとともに、成長、革新、および成功のための空間と許諾を得ることができるのです。

本稿は、KPMGインターナショナルが2022年に発表した「Cyber considerations for the Metaverse」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。

全文はこちらから（英文）
Cyber considerations for the Metaverse