TWITTER
FACEBOOK
はてブ
「メタバースを使ってイベントをしてみたい!」と検討されている企業様の中で、メタバース利用における安全面を心配される方も多いのではないでしょうか。
実際に弊社にもセキュリティ面について気にされる企業様も多くいらっしゃいます。
今回の記事では、メタバースのセキュリティリスクについて解説していきます。
どのようなリスクが考え得るのか、それに対する対策などについてご紹介しますので、利用検討中の方はぜひ参考にされてみてください。
目次
|メタバースとは?
「メタバース」とは、その造語が示す通り、「超越した宇宙」という意味を持つ概念です。
この言葉は、「メタ」が「超越した」や「高次の」という意味を含み、「バース」が「ユニバース(宇宙)」を指すことから形成されています。
一般的には抽象的で理解しづらい概念ですが、例えばコロナ禍で人々を楽しませた「あつまれ どうぶつの森」を思い浮かべると、少しイメージしやすくなるかもしれません。
このゲームは、個性豊かな動物たちと新たな住民としてプレイヤーが暮らす、ひとつのメタバースです。
つまり、メタバースとは、現実世界に存在しながらも、オンライン上で実際の世界と同じような体験や交流が可能な3次元の仮想空間を指しています。
ここでは、人々は自身のアバターを通じて新たな世界を探索し、創造し、共有することができるのです。
↓↓メタバースについて詳しく知りたい方はこちら!↓↓
|メタバースにおいて発生しうるセキュリティリスク
では、メタバース空間におけるセキュリティリスクとしてどのようなものが発生しうるのでしょうか。
1つずつ解説していきます。
アカウントの乗っ取り・なりすまし
個人が所有するアカウントに不正ログインすることで、アカウントを乗っ取り、その個人になりすますことが可能となります。
メタバース空間ではアバターで活動するため、中身のユーザーが誰なのかわからない、変わっていたとしてもほぼ気が付くことができないという恐ろしさがあります。
これにより、商品の不正売買や有料イベントへの無断参加による詐欺被害が発生すると考えられます。
データの改ざん
メタバース空間、運営元への不正アクセスやハッキングにより、メタバース上のデータが書き換えられてしまう可能性もあります。
メタバース内ではユーザーや企業と空間を共有し、様々な活動が行われています。
ですので、その一部でも改ざんされてしまうと多数のユーザーが被害を被ることになります。
個人情報・機密情報の流出
メタバース空間、運営元への不正アクセスやハッキングにより、個人情報や機密情報が流出する被害も考えられます。
これにより、現実世界と同様に個人および企業へ甚大な被害を及ぼす危険性があります。
メタバースに限らず元来よりセンシティブ情報の流出は重大な問題として世間から見られていますので、無視することは出来ないリスクといえます。
盗難
メタバース上で用いられている仮想通貨やNFTアイテムの盗難被害も発生しています。
仮想通貨は現実の通貨として換金することもできますし、NFTアイテムも貴重なものはそれ相応の価値を持っていることもあります。
本人が意図せず「ある行為をしたら勝手に盗まれてしまう」といったプログラムやスクリプトを組み込むことができるのもメタバース空間の恐ろしさと言えるでしょう。
著作権侵害
メタバース上ではNFTアイテムの作成や売買が可能です。
いまや有名ブランドやアーティストもオリジナルのNFTアイテムを販売していることも珍しくありません。
しかし現実同様にNFTアイテムにも著作権が存在しますので、著作権を持つ者の許可なく勝手に作られたアイテムが知らないところで売買されるという被害も発生しています。
↓↓メタバースにおける著作権関連について詳しく知りたい方はこちら!↓↓
盗聴・盗撮
メタバース上ではアバターで活動します。
様々なアバターを自由に作ることができる楽しさがあります。
しかし、その透明度を上げることにより透明アバターとして盗聴や盗撮を行うリスクも起こり得ます。
また、誰でもワールドを作成できるスタイルのメタバースでは仕様として盗聴や盗撮ができる仕組みが組み込まれているというケースも考えられます。
特にメタバースは相互コミュニケーションができるツールとしても重宝されていますので、その中で個人情報のやり取りがあった場合は個人の特定に至ってしまう可能性も考えられます。
サイバー攻撃
拡大を見せているメタバースは、DDoS攻撃の次の標的になり得ると言われています。
DDoS攻撃とは意図的に大量のアクセスを行いサーバーを応答不能させるサイバー攻撃のことです。
近年ではゲーム業界を狙ったものが頻発しており、対策することは非常に難しいと言われています。
|実際にメタバースで発生したセキュリティ被害事例
では、これまでにどのようなセキュリティ被害が発生しているのでしょうか。
一部をご紹介します。
個人情報流出
オンラインゲームのプラットフォームとして有名なRobloxにおいて、2022年12月におよそ4,000人の個人情報流出が発生しました。
発覚したのは2023年に入ってからで、そこまでは誰も気が付かなかったとのこと。
流出した個人情報は名前や電話番号、住所、生年月日だけでなくIPアドレスも含まれていたそうです。
商標権侵害
2021年、アーティストのメイソン・ロスチャイルドが、高級ブランド『エルメス』の商品として知られる『バーキン』を模倣した『メタバ―キン』を制作し、無許可でNFTとして出品した事件が発生しました。
これに対しエルメスは訴訟を起こし、2023年2月に勝訴。同年6月にはメタバーキンの販売を永久差し止めが受理されています。
盗難
ブロックチェーンについて調査しているエリプティック社によると、2021年〜2022年の1年間で盗難被害のあったNFTの総額が1億ドルにのぼったとのことです。
特にSNSを介した被害が全体の約2割を占めているそうですが、発覚していないだけでNFTの盗難被害は多発しているという見方を示しています。
また、メタバース空間Seecond Lifeで仮想通貨として使用されているリンデンドルが盗まれたという被害も発生しています。
「リンデンドルを支払う」というスクリプト言語が埋め込まれたアイテムを使用することで、使用者が意図しない形で盗難被害が起きてしまったようです。
|【個人】メタバースでのセキュリティ対策
では、私たちはセキュリティ被害から身を守るためにどのような行動をとるべきなのでしょうか。
ここでは個人向けにポイントを解説します。
ログインIDやパスワードを複雑なものにする
まず、ログインIDやパスワードはできるだけ複雑なものにしましょう。
具体的には以下の点がポイントです。
- 文字列は長めに設定する(12文字以上が望ましい)
- 小文字や大文字、記号など複数文字を混ぜたものにする
- 誕生日や住所に関連したものは避ける
- 1234や1111など、単純で同一文字の並びは避ける
- パスワードは使いまわさない
不正アクセスを試みる際、パスワード解読の為に可能な組み合わせをすべて試してログインする手口があります。
もしその時に複雑なパスワードを設定していれば、解読に時間がかかりセキュリティ被害に遭う確率が下がります。
Google Choromeなどでは自動で安全なパスワードを生成してくれるものもありますので、自分で考えることができないという方はぜひそういったツールも使ってみてくださいね。
二段階認証を利用する
二段階認証とは、認証を2度実施する方法です。
2回の認証をクリアしなければログインはできませんので、セキュリティを強固にすることができます。
二段階認証には、主に以下の2種類があります。
- ログインIDとパスワードを2回入力させる
- トークンやSMSなど異なる方法でログインさせる
特に後者に関しては、ログインIDとパスワード以外の認証作業が必要となるため、よりセキュリティが強固になります。
|【企業】メタバースでのセキュリティ対策
次に、企業向けにセキュリティ被害への対策をご紹介します。
個人での対策に加えて実施することでセキュリティ品質を高く保つことができますので、ぜひ導入を検討されてみてはいかがでしょうか。
IPアドレス制限の適用
外部からの不正ログインに対し、アクセスできるIPアドレスをあらかじめ制限しておくことは非常に有効といえます。
特にメタバースオフィスを利用したり、社内でのメタバースイベント等を行う場合には友好的です。
社外からのアクセスをカットすることで機密情報の共有も安心してできるでしょう。
多要素認証の利用
近年、不正の手口は巧妙化しています。
ですので、IDやパスワードの入力だけではセキュリティを突破される可能性があります。
そこで、既に多くの企業で導入されている多要素認証の利用がおすすめです。
下記のような複数の要素で認証することで、セキュリティを強固にすることができます。
- 知的情報(パスコード、PINコード、秘密の質問)
- 所持情報(SMS認証、ハードウェアトークン)
- 生体情報(指紋認証、静脈認証、声紋認証、位置情報)
本人確認におけるeKYCの活用
近年、本人確認の際に『eKYCサービス』が利用されるケースが増えています。
これはスマホやパソコンなどを用いて、オンライン上で本人確認を行う方法を指します。
これまでは郵送や対面での確認が主流でしたが、オンライン市場の広がりにより手軽かつセキュリティ面でも安心なeKYCが利用されるようになりました。
この方法において利用者は「写真付きの本人確認書類」や「利用者本人の顔をその場で撮影」しなければいけません。
利用者本人の写真を撮影する際には、目を動かしたり横を向いたりなどの動作も必要になります。
ですので、事前に撮影した写真が使えないという点もセキュリティを強固にしているポイントといえます。
不正アクセス検知システムの導入
ログインするごとに本人確認をすることはセキュリティ品質を高めることに繋がります。
しかし不正者以外の一般ユーザーからすると手間であり、メタバース空間に入る前に離脱してしまう可能性が高くなります。
この時に最適なものが、『不正アクセス検知システム』です。
このシステムを利用することで、全てのユーザーを対象とせず不正アクセスの疑いがあるユーザーにのみ本人確認を実施することが可能です。
また、機械やなりすましによる不正なアクセス、同一人物が複数アカウントを作成した際にも事前に検知してくれる仕組みになっています。
さらに、このシステムではシステム自体が自動的に検知してくれるので、人間の目で見張っておく必要がなくなります。
非常に便利なシステムですので、ぜひ企業でも導入されてみてはいかがでしょうか。
ユーザーの自由度を制限
参加するユーザーは何も設定しなければ個人の自由でアバターの設定や様々な場所へ移動し、行動をすることが可能です。
しかし、ある程度リスクを回避するためには自由度を制限することも必要です。
例えば、アバターは透明にできない、この場所には移動できない、この行動は設定しないなど、ほかのユーザーや企業を守るためにも最低限のルールは必要ですよね。
|警視庁でもメタバースでサイバー犯罪に備えた取組みが開始
こうしたメタバースの広がりやサイバー犯罪の増加を受け、遂に日本の警視庁でもメタバースを活用した取組みが始まります。
2023年6月に大日本印刷は、警視庁のメタバースを利用したサイバーセキュリティ訓練の委託先として採用されたことを発表しました。
大日本印刷が提供している「ロールプレイング型のメタバース構築サービス」を活用して、2024年1月にサービス提供を予定しています。
警視庁としても、昨今の国外からのサイバー攻撃の増加にともない、不測の事態に備え実務で迅速かつ適切に対応できるように強化することが目的です。
具体的には、メタバース上に警視庁サイバーセキュリティセンターを構築し、警視庁職員を中心とした受講生を対象に、訓練を行います。
また、サイバーセキュリティの対応力を底上げし、より多くの方に体験してもらう目的もあります。
↓↓警視庁のメタバースにおける取組みについて詳しく知りたい方はこちら!↓↓
|まとめ
いかがでしたでしょうか。
今回はメタバースにおけるセキュリティをテーマに、どのような被害が起こり得るのか、私たちはどのように対策すべきかについて解説しました。
今後メタバースでのイベント事例は増加していく可能性があり、誰しもメタバースを利用する可能性があります。
開催時にはぜひ今回ご紹介した内容を踏まえたうえで、安全なイベントが開催できるよう検討してみてください。
メタバースにおけるセキュリティ面で何かご不明な点がある場合は、ぜひ弊社monoAI technologyにご相談いただければと存じます。
