SF ファンは「メタバース」と聞いて、ニール・スティーヴンソンの「スノウ・クラッシュ」やウィリアム・ギブスンの「ニューロマンサー」を思い浮かべるでしょう。
セキュリティに関して言えば、2030年までに5兆ドルの価値を生み出すと予測されているこの新興デジタル環境をより的確に表すのは、実は「ロードサイド・ピクニック」かもしれない。これは、トレジャーハンターたちが謎めいて強力な装身具や象徴を探し求め、闇市場で売ろうとする、有害物質が蔓延するシュールで危険な風景を描いた小説だ。一体何が問題になるというのだろうか?
ジャンプ先:
- メタバースはユーザーとクリエイターにリスクをもたらす
- サイバーセキュリティのリーダーたちはリスクを認識しながらも前進している
- これまでと同じだが、3Dである
- ウェブと同様に、メタバースにはユーザーに対する買主の注意義務が伴う
- 3Dにおけるブランド評判リスク
メタバースは、地理的制約を受けず、明確なルールや規制もない、売買、採用、研修のための3Dデジタル世界へと進化しています。ビジネスチャンスに関しては、多くの目に見えない落とし穴、有害なゾーン、攻撃ベクトルが存在し、企業にとって危険地帯となっています。
参照:メタバース チートシート: 知っておくべきことすべて (無料 PDF) (TechRepublic)
情報セキュリティ企業Optivの技術セキュリティリーダー、ジョン・ツァンガリス氏によると、メタバースとWeb 3.0には2つの主なセキュリティ上の脅威があるという。
ユーザー教育の不足
新しいテクノロジーのユーザーオンボーディングエクスペリエンスは、セキュリティよりも機能やユースケースに重点が置かれています。使い方を理解してから安全に使用する方法を学ぶまでのこのギャップは、ソーシャルエンジニアリング攻撃の大きな脅威となります。
成長と革新が安全保障に優先する
メタバースの発展は、あらゆる技術の発展と同様に、セキュリティよりも先行しています。セキュリティが議論の的となると、多くの場合、断片的にまとめられたり、事後的に追加されたりします。
「これはまさにソーシャルエンジニアリングの問題です」とツァンガリス氏は述べた。「過去30年間、何か新しいものが登場するたびに、私たちは機能にばかり気を取られ、セキュリティのことなど考えも及ばないというテクノロジーイベントが何度もありました。メタバースでも、同じことが起こっています。」
インフォシスのサイバーセキュリティコンサルティングマネージングパートナーであり、メタバーススタンダードフォーラムの代表、ワシントン州知事ジェイ・インスリー氏の元技術政策顧問でもあるジョセフ・ウィリアムズ氏は、これは企業文化に蔓延していると語った。
「ブランドがメタバースで行っていることの多くは、社内のクリエイティブ担当者によって行われています。私の経験では、CISO(最高情報セキュリティ責任者)は参加を求められていないため、クリエイティブ担当者がブランドのためにメタバース体験を創造しているのです」とウィリアムズ氏は述べた。「サイバーセキュリティは後回しになり、私たちはこれらの資産を遡及的に保護しようとすることになります。サイバーセキュリティ担当者は、自社の資産と収集されているデータに何が起こっているのか、現実的な視点を提供する必要があります。私の経験では、クリエイティブ担当者はこうしたものを発明するのは非常に得意ですが、それに伴う法的義務を理解するのは非常に苦手です。」
サイバーセキュリティのリーダーたちはリスクを認識しながらも前進している
エクスポージャー管理会社 Tenable は最近、メタバースに関するレポートを発行し、構成の問題、拡大する脅威の状況、ブロックチェーンなど、IT およびサイバーセキュリティの専門家が検討しているセキュリティ上の影響について詳しく説明しています。
この調査は2022年10月と11月に実施され、米国、英国、オーストラリアのサイバーセキュリティ、DevOps、IT専門家1,500人を対象に実施されました。調査では以下の点が明らかになりました。
- 回答者のほぼ4分の3(74%)は、目に見えないアバターによる盗聴や「マン・イン・ザ・ルーム」攻撃がメタバースで発生する可能性が非常に高い、またはある程度高いと回答しました。
- 回答者の約 77% は、メタバースにおいて、アバターを使用して音声や顔の特徴を複製したり、ビデオ録画を乗っ取ったりする可能性が非常に高い、またはある程度高いと考えています。
- メタバースにおける脅威を抑制する能力に自信があると答えたのはわずか 48% でした。
- 93% もの企業が、メタバースでサービスを提供する前に、強固なサイバーセキュリティ計画が必要であると認めました。
しかし、この研究では次のようなことも判明しました。
- 回答者の約 86% が、メタバース内のサービス間でユーザーの個人識別情報を共有することに抵抗がないと回答しました。
- 世界の企業の3分の1未満(28%)が、過去6か月間にメタバースイニシアチブを開発していると回答しました。
- 回答者の半数以上 (58%) が、今後 6 か月以内にメタバースでビジネスを行う予定であると回答しました。
- 半数未満 (44%) がメタバースで顧客エンゲージメントを強化する機会があると考えている一方で、41% がトレーニングを改善するためのチャネルであると考えていると回答し、別の 41% がメタバースによってコラボレーションが強化されると述べています。
「一つの課題は、世の中に非常に多くの異なる『メタバース』が存在することです」と、本研究の共著者であり、Tenableのシニアリサーチエンジニアであるサトナム・ナラン氏は述べています。「ゲーム、ブロックチェーン、SandboxやDecentralandといったプラットフォームなど、様々なプロジェクトが存在しています。そのため、これほど多くの異なるメタバースが存在する中で、企業がどこに集まっているのかを把握することが課題となっています。」
これまでと同じだが、3Dである
最終的には、スピアフィッシング、マルウェア、ランサムウェアなどの脆弱性をめぐる課題により、メタバースはサイバーセキュリティの永続的な猫とネズミのゲームを拡大するだろうとウィリアムズ氏は指摘し、メタバースと Web 3.0 には Web 2.0 に存在する法的制限とグレーゾーンも伴うと指摘した。
「一般的に、現実世界で適用される法律はすべてメタバースにも適用されます」とウィリアムズ氏は述べた。「しかし、やや曖昧になるのは、法的関連性の概念です。メタバースにいる場合、あなたはどの国にいるのでしょうか?インターネット上の商取引に関しては、この点は明確ではありません。カリフォルニアで誰かにセクハラ行為をした場合、例えばカンボジアで行った場合には適用されない一連の法律が適用されます。証拠のルールや罰則も異なるでしょう。」
ウェブと同様に、メタバースにはユーザーに対する買主の注意義務が伴う
ツァンガリス氏は、悪意のある行為者にとって新たな攻撃対象領域として、ウェアラブル端末や3D体験などが挙げられ、心理的攻撃やトラウマを誘発する策略に悪用される可能性があると指摘した。NFTをめぐるメタバース特有の犯罪や、暗号トークンに紐付けられた偽の投資は、明らかに危険な状況だ。
「教育の部分が遅れています」とツァンガリス氏は述べた。「メタバースとその構成要素は非常に新しいため、教育と実装の間に大きな隔たりがあります。インターフェースをシンプルかつ安全なものにし、ユーザーがその中間点を理解できるよう教育する必要があります。」
3Dにおけるブランド評判リスク
ウィリアムズ氏は、アディダス、ナイキ、スターバックスが取り組んでいる種類のブロックチェーンやメタバースのプログラムは、取引に現実世界のユーザーの具体的なアイデンティティとのつながりが必要となるため、リスクを伴うと説明した。
「大きなサイバーリスクの一つは、その繋がりにあります」と彼は述べた。「現実世界の安全を確保するだけでも大変なのに、Amazonで何かを買うとしたら、それがすべてデジタルで、その後物理的に配達されなければならないとしたら、配達に関する情報は、メタバースにまで及ぶサイバーセキュリティリスクとなります。」
企業はメタバースに足を踏み入れて、その体験の利点を測ろうとしているが、それにもサイバー上の意味合いがある。
「メタバースでブランドに関連した悪質な活動があった場合、それが現実世界に悪影響を及ぼすでしょうか?」とウィリアムズ氏は述べた。「ソーシャルメディアで起こっていることを踏まえると、そうなることは予測できると思います。メタバースにおいて最も懸念すべきことは、ブランドを守ることであり、メタバースでブランドを創造することではないのです。」
