ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。
(編集:株式会社ラック・デジタルペンテストサービス部)

『存在』が盗まれる日~VRメタバースの脅威分析~

デジタルペンテストサービス部の仲上です。

週末、何してますか?忙しいですか?VRしてますか?

来る日も来る日もステイホームで気軽に旅行も飲み会もしづらい状況が続いています。

家電量販店でも手に入るVRバイス「Oculus Quest 2」の登場により、以前よりぐっとVRが身近になりました。ステイホームなおうち時間にVR全天球動画やVRゲームを通して、仮想空間でのお出かけ体験を楽しんでいる方も多いのではないでしょうか。

そんなVRの世界には、アバター姿で仲間と一緒に仮想空間に旅行に出かけたり、一緒にイベントで遊んだり、居酒屋で延々お話ししたりといった、現実空間と同じ、いや、それ以上のバーチャル体験ができてしまうVRメタバースと呼ばれるサービスがあります。

VR世界で活動するミュージシャンによるコンサートや演劇などのエンターテインメントや、クイズ大会やカンファレンス、美術展などが仮想空間内で開催され、世界各国から集まったVRメタバースの住人が楽しんでいます。

オンラインで人と会うといえばZoomやTeamsなどのオンライン会議がありますが、VRメタバースの空間では、声だけでなくしぐさなどの存在感も感じら、実際に会ってるような感覚でお話しできることから、ビジネスでのコミュニケーションの面でも注目されています。

今回は、昨今注目を集めるVRメタバースVR空間での生活のサイバーセキュリティと起こり得る脅威について考えてみます。

メタバースとは

f:id:lac_devblog:20210509130837p:plain

© Unity Technologies Japan/UCL

メタバースとは、仮想空間上に構築された「世界」です。
普段私たちはウェブサイトやアプリを通してネット上のサービスを利用していますが、メタバースではネット上に空間そのものが用意されています。
その空間の中に自分のデジタルな姿であるアバターを通じて入り、その世界を楽しんだり他のプレイヤーとのコミュニケーションを体験できます。

初期のメタバースの代表的なものには、2000年代に大きな注目を集めたSecondLifeがあります。現実のお金と交換可能な独自の通貨システムや土地の売買、3Dアイテムの生産や流通など先進的なシステムを備えていましたが、登場した時期が人類には早すぎました。

最近では、プレイヤーが全世界で3億人を超えるバトルロイヤルタイプのシューティングゲームであるFortniteがメタバースプラットフォームとしても機能しています。先日ゲーム内で開催されたアメリカの人気ミュージシャンのトラヴィス・スコットが出演したバーチャルライブのコンサートでは、同時に1200万人以上のプレイヤーがアバターで参加するなどゲーム以外を目的とした空間としての活用が進んでいます。

このようなメタバースVRに対応したのがVRメタバースです。

VRメタバースでは、プレイヤーがVRヘッドセットやコントローラを装着して空間にアクセスします。VRメタバースでは、プレイヤー自身が独自の空間を開発できるものが主流となっています。ネットの友人と一緒に自分の空間に集まったり、世界中のプレイヤーが自分が作った空間を訪問するという楽しみもあります。

f:id:lac_devblog:20210509200008p:plain

VRメタバース上の空間はUnityなどのゲームエンジンや独自ツールで開発できる。
建物や小物などの高品質なモデルデータもアセットとして無料・有料で提供されている。
アバターは筆者。

アプリを立ち上げヘッドセットを装着すれば、目の前に広がる仮想空間にアバター姿の友人たち、バーチャルな大自然でまったりしたり裏路地の居酒屋でVR飲みしたり、人気DJの出演するバーチャルクラブで踊ったりなど時間を忘れて世界に没入しているうちに気が付けば朝といったことも。(最近はVRの部屋でみんなで眠る、VR睡眠という世界も)

まさにもう一つの世界とも言えるのがVRメタバースです。

VRメタバースで考えるべきサイバーセキュリティと脅威

インターネットとVRの技術を利用して現実空間と同じような体験をできてしまうVRメタバースは、今後様々な場面に活用シーンが広がると考えられます。これまでのウェブやアプリといったインターネットサービスと異なる、VRメタバースで考えられる脅威にはどのようなものがあるでしょうか。
これからバーチャルな空間での生活場面が増えていく時代を迎えるにあたって、どのような脅威が存在するのかを考えることはとても重要です。

ここでは、アバターやワールドの作成が自由に開発でき、他のプレイヤーと共有できる架空のVRメタバースサービス「Gottani Space」を対象にVRメタバースでの脅威を考えてみたいと思います。

VRメタバースの構成

f:id:lac_devblog:20210509131841p:plain

VRメタバースサービスGottani Spaceの利用モデル

架空のサービス「Gottani Space」は、VR空間上でプレイヤー同士が仮想空間上でコミュニケーションを楽しんだり、自分の制作した空間を共有できるVRメタバースサービスです。

このサービスでは、プレイヤーは自分で制作したワールドデータ(仮想空間データ)をサービスにアップロードし、他のプレイヤーと共有できます。
自分自身のアバターデータは操作できるのは基本的に自分専用ですが、他のプレイヤーからも表示する必要があるためモデルデータはサービス上に保存されています。

プレイヤーは自分が選択したアバターの姿となってワールドに入り、他のプレイヤーと同じ空間でワールド内の探索や会話、イベント体験を楽しめます。

脅威モデリング手法STRIDE

VRメタバースにおける脅威を考える上で、脅威モデリング手法であるSTRIDEを使用します。STIRDEはマイクロソフト社によって提唱された脅威導出の方法で、サービスにどのような脅威が考えられるのかを次の6つの観点で網羅的に分析できます。

①Spoofing:なりすまし。正規の利用者に悪意のある攻撃者がなりすます 
②Tampering:改ざん。データの悪意ある書き換え
③Repudiation:否認。攻撃の証拠を隠滅し身元を隠す
④Information disclosure:情報漏洩。秘匿すべき情報が窃取または公開される
⑤Denial of service:サービス拒否攻撃。サービスを止めてしまい使えなくする
⑥Elevation of privileg:権限昇格。管理者の権限を不正に奪い悪用する

これらの6つの脅威カテゴリーの頭文字をとってSTRIDEとされています。

本来は対象となるサービスのデータフローを図式化し、フローごとに詳細な上記の観点で分析を図っていきますが、ここでは簡易的にVRメタバースで起こり得る脅威についてSTRIDEの観点で考えてみます。

①Spoofing(なりすまし)

VRメタバースにおいてなりすましは、プレイヤーの存在そのものを脅かします。
記録や情報を盗み出される情報漏えいだけでなく、勝手にコミュニケーションがとられるなどの被害が発生し、本人の知らないことろで信頼が失われる可能性があります。VRメタバースの利用用途が広がれば、勝手な契約や詐欺などに悪用される恐れもあります。

攻撃者は次のような手順でプレイヤーへのなりすましを行うと考えられます。

・認証情報(IDやパスワード)の窃取
VRメタバースに接続するためのIDやパスワードを狙います。
VRメタバースサービス運営者を騙ったフィッシングによる窃取や、辞書型やリスト型攻撃による不正ログインなどが考えられます。
サービス側では多要素認証の導入、プレイヤー側は他のサイトとのパスワードの使いまわしをしないなどの対策が有効です。

ID・パスワードに紐づいてアバターモデルデータやワールドデータも登録されているため、ID・パスワードの管理は厳重に行う必要があります。

アバターモデルの窃取

VRメタバース上で使用されているアバターモデルは、現実のファッション同様に自分自身の姿を個性的にカスタマイズでき、プレイヤーの人格を認識する上で重要な要素です。その人個人のアバターモデルが他人に悪用されてしまうと、他のプレイヤーから視覚的に見分ける方法はありません。

一般的なVRメタバースサービスでは、アバターデータやワールドデータは他のプレイヤーの端末にもキャッシュデータとしてダウンロードされます。また、接続時にはメモリ上にも展開されています。

アバターモデルを窃取するには、不正ログインの他、キャッシュデータからの抽出、メモリ上に展開されたデータからの抽出、サービスのサーバ上に保存されたデータの取得などが考えられます。

f:id:lac_devblog:20210509195640p:plain

不正利用によって増殖し他人の家に無断で押しかける筆者のアバター(イメージ)

これらの脅威には、サーバやクライアントアプリを含めたサービス提供側でのデータの抽出や解読を困難にする仕組みの導入などの対策が求められます。またサーバ上に保存されているデータについても暗号化や権限管理による制限が必要です。

・他人を装ったプレイヤー

アバターデータの窃取と同様に、他人を装ったプレイヤーの存在も脅威と考えられます。VR空間では相手の存在を、アバター・声・しぐさ・名前といった現実よりも限られた情報で認識しています。他人のアバターを窃取や再現し、声や動きを合成音声やしぐさの解析によって再現できれば、その人をVRメタバース内でのみ知る人にとっては本人との識別は非常に難しいものと言えます。
動画ではAIで作られた偽動画であるDeepFakeが大きな問題になっていますが、VR空間上での人格のなりすましはまさに魂のDeepFakeと言えるでしょう。

 

VRメタバースを通してプレイヤーに提供するサービスを考える際は、これらのなりすましを前提とした本人確認の仕組みを考えなければなりません。

②Tampering(改ざん)

VRメタバースではプレイヤーが作成したアバターやワールドのデータを、サービスを通して共有できる仕組みを備えています。攻撃者による改ざんは、制作したプレイヤーの意図とは異なる動作により、他のプレイヤーへの被害を生む恐れがあります。

・ワールドデータの改ざん

仮想空間の体験にVRヘッドセットを使用するVRメタバースでは、不快な画像や映像、神経に過敏に反応させる危険な演出効果(極端な色の変化や高速な光の点滅など)をプレイヤーの視界全体に表示させる嫌がらせが問題となります。これらは心理的・精神的な悪影響だけでなく、嘔吐や倦怠感などの身体的な被害を生じる場合があり、最悪の場合重大な症状のきっかけとなる恐れがあります。

攻撃者がワールドデータを改ざんしてこれらの効果を埋め込み、遊びに来た善意のプレイヤーに被害を生じさせるなどの不正行為が考えられます。

プレイヤーのアバターモデル同様に、サービス提供側でのワールドデータの保護が求められます。

・プロフィール情報の改ざん

VRメタバースでは、オンラインゲーム同様に信頼度をスコア化した信頼度レベルシステムを搭載しているサービスもあります。信頼度レベルに応じて独自のアバターのアップロードやワールドデータの共有が許可される、といった具合で信頼度スコアが活用されています。

これらの信頼度スコアは、プレイ時間やVRメタバース内でのソーシャルな繋がりといったアクティビティの積み重ねによってスコアが上昇するように設計されています。

これらの値の改ざんにより、作り立てのアカウントでも他のプレイヤーに被害をもたらすようなワールドやアバターのデータの共有が可能になる恐れがあります。

③Repudiation(否認)

否認とは、サービス上での操作履歴などの隠滅により不正行為の証拠を無くし、攻撃者の特定をできなくする脅威です。過去の情報から攻撃者の特定ができなくなるため、対処が非常に困難になります。

VRメタバース上では、サービス内に保存されている行動履歴の改ざん、操作ログの改ざん、メッセージの改ざんなどによる否認が考えられます。

④Information disclosure(情報漏洩)

情報漏えいは、情報を保持すべき当事者以外の第三者が不正に情報を入手する脅威です。

VR空間内での盗聴・盗撮

現実世界と同様にVR空間内でも盗聴・盗撮の危険があります。デジタルな世界であるVR空間では原理上「見えない」アバターの存在が可能です。

VRメタバース空間では、一つのワールドデータを基にして同時に複数の世界が生成できます。例えば満員になっている「仮想秋葉原ワールド」にアクセスするに、もう一つの自分たちしかアクセスできない「仮想秋葉原ワールド(自分たち専用)」を生成して、その空間内で遊べるような仕組みです。このような仕組みはワールドのインスタンス化と呼ばれています。

プライベートに作成されたインスタンスでは、プライベートな内容や守秘義務が課されるような会話が行われているかもしれません。

このような空間に第三者がアクセスができてしまう場合、見えないアバターを通して発言や行動が盗聴・盗撮される恐れがあります。

f:id:lac_devblog:20210510024158p:plain

ここにいる

サービス側のインスタンスの権限管理が行われることはもちろん、プレイヤー側も接続に必要なインスタンスIDやパスワードなどの取り扱いに注意が必要です。

・空間に仕掛けられた盗聴器や盗撮カメラ

ワールドの仕組みを悪用し、そのワールドに訪問したプレイヤーの行動や発言を記録される可能性が考えられます。

盗聴器や隠しカメラと同じように、ワールドデータ内に仕込まれた音声や画像を記録する仕組みにより、そのワールド内でのプレイヤー同士の会話や出来事が、知らない間に録音・撮影され第三者に送信されているかもしれません。

このような機能の悪用を防ぐには、サービス側でワールドを作成する機能に対して通信先の制限や使用可能な機能の制限などを適切に行う必要があります。

 

アバターを通してVR空間内で行われるコミュニケーションは、当人にとっては現実世界と同様にリアルな体験と等しい価値を持ちます。これらに対する盗聴・盗撮は、体験そのものの窃取と言え、リアル世界と同等に大きな問題です。

⑤Denial of Service (サービス拒否)

いわゆるDoS攻撃とも呼ばれるもので、コンピュータの負荷を上昇させ、サービスの提供を不可能にする脅威です。

・プレイヤーのパソコンやVR機器へのDoS攻撃

ネット上で提供されているVRメタバースサービスそのものへの攻撃も一般的なウェブサービス同様対策が必要ですが、ワールドやアバターが自由に開発できるVRメタバースでは、プレイヤーが仮想空間への接続に使用しているVR機器やパソコンに対するDoS攻撃が考えられます。

表示させた瞬間にパソコンがクラッシュするアバターや、接続した瞬間に高負荷で表示が止まってしまうようなワールドなど、プレイヤーが制作可能な機能を悪用した攻撃は実際に既存のVRメタバースでも問題となり様々な手段で対策が行われてきました。

盗聴対策と同様に、アバターやワールドの表示や処理負荷に対するレギュレーションを設定し、アップロード時に検査するなどの処置が必要です。

⑥Elevation of Privilege:権限昇格

権限昇格は、一般のプレイヤーのアカウントを不正な方法によって管理者に昇格し、通常では使用できない管理機能の使用を可能にする脅威です。

・プロフィール改ざんによる管理者権限の取得

サービスの仕様によっては、ユーザプロフィールへのフラグ設定などを改ざんし、管理者機能を有効にする攻撃が考えられます。

バーチャル空間の広がりは、現実空間の悪意を飲み込むのか

VRメタバースにおいて考慮すべきサイバー脅威について、STRIDEの脅威分析手法を用いて考えてみました。これらの脅威については既存運営されているVRメタバースが直面し、様々な方法や技術によって解決が図られています。
しかし、VR空間において考えなければならない脅威はまだあります。
それは、VR空間上で行われる悪意に根差した人の行動そのものです。

人種差別や民族差別、ジェンダーや趣味趣向の差別、そして言葉による暴力やイジメなどの悪質なヘイト行為やハラスメントがVR空間上で行われる可能性は、現実空間と同様に存在します。
これらの悪質な行動に対しては、現実世界と同様に同様に対処していく必要があります。

国境や地理的距離を超えたグローバルでオープンなVRメタバースの健全な発展は、プレイヤーであり市民である私たちひとりひとりのモラルが実現すると考えます。

それでは、よきVRライフを!