第716号コラム:佐々木 良一 理事・顧問(東京電機大学 研究推進社会連携センター顧問・客員教授 兼 サイバーセキュリティ研究所 所長)
題:「メタバースとセキュリティ」

1 はじめに
メタバースという言葉が注目を浴びています。Wikipediaによるとメタバース (英:Metaverse) は、「コンピュータやコンピュータネットワークの中に構築された、現実世界とは異なる3次元の仮想空間やそのサービスのことを指す」とされています[1]。利用者はオンライン上に構築された3DCGの仮想空間に世界中から思い思いのアバターと呼ばれる自分の分身で参加し、相互にコミュニケートしながら買い物やサービス内での商品の制作・販売といった経済活動を行なったり、そこをもう一つの「現実」として新たな生活を送ったりすることが想定されているようです。このメタバースという言葉は英語の「超(meta)」と「宇宙(universe)」を組み合わせた造語とされています[1]。

画像処理をやっている先生と知り合いになり、何か協力して研究がやれればいいねという話から、画像処理技術もセキュリティ技術も重要な構成要素となると考えられるメタバースについて調べ始めました。メタバースは今後いろいろな形で発展が期待されるとともに、いろいろなリスクも解決すべき課題になっています。ここでは、メタバースのセキュリティリスクとその対策に重点を置いて、調査結果や検討状況を報告したいと思います。

2 メタバースの現状と今後
初期のメタバースの代表的なものとして、2000年代に大きな注目を集めたSecond Lifeゲームがよく上げられます。私自身はやったことはないのですが、現実のお金と交換可能な独自の通貨システムや土地の売買、3Dアイテムの生産や流通など先進的なシステムを備えていたようです。

また、近年においては、「マインクラフト」や「どうぶつの森」といったゲームもメタバースの一種だとされています。ゲーム以外にも利用の場が広がっており、アバターを使ったオンラインコンサートが実施されるなどの楽しみ方をするユーザーの数は年々増加し、2020年に実施されたトラヴィス・スコットのバーチャルコンサートでは、1230万人の人が参加したということです[1]。メタバースは現在はまだ存在せず、今後誕生するものであるといういう人たちもおり、メタバースをSFなどで描かれた人類の夢の世界を表すものでコンピュータが描いた社会に人間が実態として入っていく世界をイメージしているようです[2]。

メタバースが普及することにより次のような効果があるといわれています[3]。
(1)感染症を気にせずに、コミュニケーションを取れる
(2)非現実的・非日常的な体験が出来る
(3)新しい経済圏を創り出し、ビジネスチャンスが増える
(4)バーチャル化によりコストカットが見込める

今後も、ゲームや会議室システムがメタバースの中心になると考えられますが、Wikipediaによれば、次のような潜在的実現例を想定してるといいます[1]。
(1)開発者の一部は、作業の生産性を向上させるためにメタバーステクノロジーを使用することを提案
(2)教育セクター内では、学習のためのインタラクティブ環境を考慮に入れる方法として
(3)不動産セクターでバーチャルリアリティのホームツアーを主催するなどを検討

これ以外に工学分野では、3Dプリンターやレーザーカッターがハードウェアのスケッチツールとしてモノづくりを変えたように、メタバースはインタラクティブなサービスやコミュニティのラピッドプロトタイプ環境としてもとらえることができるといわれており、私はこの点に期待しています。

一方、次のような問題点も指摘されています[1]。
(1)各種依存症の問題:メタバースへの依存は、うつ病、不安神経症、肥満など、長期間にわたって精神的および肉体的な影響を与える可能性がある
(2)エコーチェンバー問題:メタバースは各人の信念に基づいて仮想世界をアルゴリズムで生成でき、メタバースは利用者への求心力を維持または増加させるために、偏ったコンテンツでユーザーの現実の認識をさらに歪める可能性がある
(3)セキュリティ問題

そのうちでも特に問題となるのが、セキュリティの問題だと考えられます。この点についてもう少し詳しく検討してみたいと思います。

3 メタバースに必要なセキュリティ
Google Scholarに「Metaverse and Security」を入力して検索すると、2018年から2020年でヒットする論文などの数が3年合計で242件なのに対し、2021年に284件、2022年では4月段階ですでに371件と急激に増えていることがわかります。著者についてはざっと見ただけですが、中国系の名前が多いように感じます。また、WEBページ上には論文以外のいろいろな記事があり、メタバースのセキュリティに関する記述が見られます。

そこでは、メタバースにおけるセキュリティの問題はいろいろな形で指摘されています。
アカマイの人が書いた記事では、ゲーム業界を例にしたセキュリティ上の問題として次の4点を挙げています[4]。
(1)アカウントの乗っ取り
(2)知的財産の窃盗(データ流出)
(3)不正利用
(4)アップタイムに対する脅威(DDoS など)

ゲーム業界はこのように常に攻撃されており、過去 1 年間で、Web 攻撃は340% 増加し、認証情報攻撃は 224% 増加したといわれています。このようなゲームのアカウントの状況は、さまざまな業界やサービスで今後、メタバースアカウントを扱う際の目安として考えるとよいでしょう。

また、LACの仲上竜太氏は脅威モデリング手法STRIDEを用いて、メタバース上の脅威を以下のようにリストアップしています[5]。
(1)Spoofing(なりすまし):悪意のある攻撃者が正規の利用者を装うなりすまし。特に認証情報の窃盗による、アバターモデルの悪用など。
(2)Tampering(改ざん):悪意を持ってデータを書き換える改ざん。特にワールドデータやプロファイルデータの改ざん。
(3)Repudiation(否認):攻撃の証拠を隠滅し身元を隠す否認。サービス上での操作履歴などの隠滅により不正行為の証拠を無くし、攻撃者の特定をできなくする脅威。サービス内に保存されている行動履歴の改ざん、操作ログの改ざん、メッセージの改ざんなどによる否認など。
(4)Information disclosure(情報漏洩):秘匿すべき情報を窃取または暴露する情報漏洩。見えないアバターを通してVR空間内の発言や行動が盗聴・盗撮される恐れ。
(5)Denial of Service (サービス拒否):サービスを止めてしまい使えなくするDoS攻撃:プレイヤーのパソコンやVR機器へのDoS攻撃。
(6)Elevation of Privilege(権限昇格):管理者の権限を不正の奪い悪用する権限昇格。権限昇格は、一般のプレイヤーのアカウントを不正な方法によって管理者に昇格し、通常では使用できない管理機能の使用をプロフィール改ざんによる等により可能にする脅威。
仲上氏のアプローチは抜けを少なくするシステマティックなものになっていると考えられます。

また、学会ではWangらがメタバースに対するセキュリティ上の脅威を分析し、下記のように7つに大別しています[6]。
(1)Identity-related threats (識別関連の脅威)
(2)Data-related threats (データ関連の脅威)
(3)Privacy-related threats (プライバシー関連の脅威)
(4)Network-related threats (ネットワーク関連の脅威)
(5)Economy-related threats (経済関連の脅威)
(6)Physical/Social Effect (物理的/社会的効果)
(7)Governance-related threats (ガバナンス関連の脅威)
そして、これらの脅威をさらに細かく分類しています。以上のような例示を参考に主要な脅威をまとめると表1のようになるかと考えられます。

表1 メタバースのセキュリティにおける主な脅威

〇は関連する記述があるもの

これらの調査結果から、いろいろな脅威が考えられますが、次のようなことが起きてしまうため、メタバースにおいてはなりすましの脅威が最も大きいと考えることができそうです[7]。
(1)個人情報が流出してしまう
(2)企業の機密情報を流出してしまう
(3)故意に悪質な操作をされてしまう
(4)不正な購入・契約を結ばれてしまう
(5)アカウントが利用できなくなってしまう

4 今後の研究課題
事業者としてメタバースを利用するときは、利用者に安心してサービスを利用してもらうために、次の4つのなりすまし対策が必要になるといえるでしょう。
(1)なりすましを低減する
(a)多要素認証をつける
(b)IPアドレス制限などを追加する
(2)なりすましを発見する
(a)不正アクセス検知システムを導入する
(b)eKYCサービスを導入する

ここで、eKYCというのは、電子本人確認(Know Your Customer)のことで、スマホやパソコンなどオンライン上で本人確認を完了できる方法です。eKYCでは、「写真付きの本人確認書類の準備」や「利用者本人の容貌をその場で撮影」し、その比較などで偽物を見破ろうというものです。見破るうえで普段と違う挙動の発見をAIを用いてやるなどのことが当然考えられます。この辺りは、画像処理とセキュリティの接点で面白い研究テーマになるかもしれないと思っているところです。ただし、すでに製品も出ており、新しい切り口を見つけないと平凡な研究になりそうだという不安も感じているところです。

私自身は、1984年に開始したセキュリティ自体の研究、2003年のデジタルフォレンジックの研究、2004年のリスクアセスメントやリスクコミュニケーションの研究、2020年のリモートメンテナンスを用いた異常原因の動的切り分け方式の研究など、人があまりやらないうちから将来のニーズに着目しニーズ志向で研究をやってきました。今回、研究テーマを検討するにあたりもう一つすっきりしないのは、画像処理とセキュリティの接点での研究テーマというシーズ志向のアプローチになっているからかもしれないという思いもあります。老人が快適になるメタバースの使い方などニーズを明確にしてから研究テーマを絞り込んだ方が良いのかとも思っています。研究者として残された時間も少ないなか、最終的に研究対象とするかどうかはわかりませんが、メタバース周辺の研究テーマをもう少し追いかけてみることにしようと思っています。

参考文献
[1] 「メタバース」Wikipedia 2022年4月15日
https://ja.wikipedia.org/wiki/%E3%83%A1%E3%82%BF%E3%83%90%E3%83%BC%E3%82%B9
[2]  西原愛「メタバースの10の疑問に答える」日経コンピュータ2022年3月31日号pp54-59
[3]  「メタバースのメリットやデメリットは?できることや問題点を解説!」トレンドブログ https://enakyo-kh.jp/metaverse-merit-demerit/
[4] Jonathan Singer「メタバースに向かって今取り組むべきセキュリティのトレンド」  https://www.akamai.com/ja/blog/trends/security-trends-to-address-now-on-our-way-to-the-metaverse
[5] 仲上竜太 「『存在』が盗まれる日~VRメタバースの脅威分析~」ラック・セキュリティごった煮ブログ https://devblog.lac.co.jp/entry/2021/05/10/162300
2022年4月14日
[6] Wang, Y., Su, Z., Zhang, N., Liu, D., Xing, R., Luan, T. H., & Shen, X. (2022). A Survey on Metaverse: Fundamentals, Security, and Privacy. arXiv preprint arXiv:2203.02662.
https://arxiv.org/pdf/2203.02662.pdf
[7] 「メタバースでなりすましされた場合のリスクとは? 対策5つを紹介!」
https://frauddetection.cacco.co.jp/media/knowhow/4284/

【著作権は、佐々木氏に属します】