メタバースの暗黒面

今日のテクノロジーで最も頻繁に議論されるトピックの XNUMX つは「メタバース」です。これは、仮想世界と物理世界の交差点として大まかに説明されています。 まだ初期段階にあるため、完全には定義されておらず、まだ部分的に憶測の域を出ていません。

トレンド マイクロのインフラストラクチャ戦略担当バイス プレジデントであるビル マリク (上の写真) は、メタバースの完全な実装が完全に実現するまでには 10 ～ XNUMX 年ほどかかると見積もっています。 ただし、サイバーセキュリティの専門家は、事前に対処する必要があるいくつかの脅威をすでに予測しています.

Trend Micro による最近のレポートは、メタバースに持ち込まれたダーク Web であるダークバースの存在を警告しました。 規制当局や法執行機関による監視が欠如しているため、ダークバースはアンダーグラウンド マーケット、犯罪コミュニケーション、違法行為の場となっています。

「メタバースにより、個人やボットは基本的に監督、基準、規制、または法律なしで行動できます」とマリクは語った。 企業のリスクと保険. 「リスクの中には、組織の知的財産の盗難または改ざん、個人のプライバシーの侵害、および犯罪取引の可能性があります。」

レポートによると、ダークバース スペースは安全な場所にあり、適切な認証トークンを持っている人だけがアクセスできます。 通信は近接ベースのメッセージングに限定され、これらの市場は、マルウェアの販売、盗まれたデータの取引、現実世界の犯罪の計画など、違法行為の場として機能します。

マリク氏は、メタバースでビジネスを行っている正当な組織は、情報技術 (IT) と運用技術 (OT) を十分に保護する必要があると述べています。

「商取引は、製品またはサービスと知的財産を持っている売り手と、お金とビジネス要件を持っている買い手とを通信媒体を介して結びつけます」とマリクは言いました。 「メタバースでは、現実に見えるインフラストラクチャは、コンポーネントのセンシング、それらの物理的な相互関係、およびそれらの相互作用を処理するために機能する、従来の IT と OT の両方のさまざまな形式のテクノロジで構成されています。 ほとんどの IT プロトコルは保護できますが、OT には情報セキュリティとプライバシーの設計原則が欠けています。 したがって、悪意のある人物は、製品、サービス、または知的財産を盗んだり変更したり、購入者のお金を盗んだりリダイレクトしたり、ビジネス要件を盗み見たり、それらの間で流れるトランザクションを改ざんしたりして、商取引を妨害することができます。」

メタバースの扱いを複雑にするもう XNUMX つの要因は、それが何であるかを誰も完全に理解していないことです。 これは、組織のリスク管理者による深刻な失策や見落としにつながる可能性があります。

「メタバースは、従来の電子商取引や現代のデジタル トランスフォーメーションよりも大きなネットワーク帯域幅、処理能力、およびストレージ容量を必要とします」とマリク氏は述べています。 「最大の間違いは、メタバースが指揮するインフラストラクチャの要求を誤解することです。 それに近いのは、この環境が組織の攻撃面に追加する無数の脆弱性を理解できていないことです。」

メタバースは仮想世界と物理世界の交差点であるため、ソーシャル エンジニアリング、プロパガンダ、「フェイク ニュース」などの現実の問題がメタバースに浸透し、組織や個人がこの空間をナビゲートする方法を複雑にすることが予想されます。

「これらのリスクは現在大きな問題であり、時間とともに増加するだけです」とマリクは言いました。 「企業は、強化されたビジネス メール侵害、スピア フィッシング、およびランサムウェア攻撃に直面することになり、より大規模でより高価なターゲット、つまりコストのかかるメタバース インフラストラクチャ自体が狙われるようになります。 個人は、強化されたセンサーに満ちた感情的に魅力的な環境を見つけ、広告主や宣伝者に参加者への洞察を与え、影響力と説得力を高めることができます。」

マリク氏は、メタバースの強化された双方向性とデータ収集を使用して、悪意のある人物が人間の心理的傾向を悪用して目標を達成できると説明しました。

「私たちは心理学から、人は一瞬しか見えない視覚的イメージに反応することを知っています」とマリクは言いました。 「これらの反応は、ごく短い笑顔やしかめっ面などの微表情として現れます。 参加者がショーを楽しんでいる間、広告主はたとえば羊の XNUMX つのフレームをフラッシュし、参加者はそれを見て簡単に微笑むかもしれません。 画像も笑顔も参加者の意識に到達しないことに注意してください。 しばらくして、広告主が雄牛の画像を表示すると、参加者は一瞬眉をひそめる可能性があります。 広告主は、この参加者がそれらの画像に対して感情的な反応を示していることを知りました。 その後、参加者は XNUMX 人の候補者のニュース クリップを見ることができます。 最初の候補者が話している間に、広告主は羊の短い画像を挿入します。 参加者は画像を見ていませんが、「彼女はいい人だ」と思っています。 XNUMX 番目の候補が画面に表示されると、広告主は雄牛の画像を点滅させます。 「彼は不気味だ」と参加者は感じます。 広告主は、どちらのトリガーも意識的に見たことのない参加者に影響を与えることに成功しました。 このようにして、メタバースもまた、参加者のそれぞれについて膨大で詳細な洞察を得ることができます。」

組織や個人をメタバースのさまざまなリスクから守る XNUMX つの方法は、参加者に適切なトレーニングを提供して、悪意のある人物の餌食にならないようにすることだと、マリク氏は述べています。 しかし、それだけでは十分ではありません。

「メタバースの提供者はトレーニング スペースを提供できるため、参加者は判断力を働かせ、偽のニュース、噂、説得力のある手法に対処する練習を行うことができます」とマリク氏は述べています。 「しかし、この環境に資金を提供している企業には、ユーザーを賢くするための経済的インセンティブがありません。 有料の顧客 (収益を生み出す広告主やインフルエンサー) は、情報を知らない消費者を好むでしょう。 彼らはより簡単なターゲットになります。

「最終的には、メタバースを安全にするために規制と法律に訴える必要があります」と彼は言いました。 「それには時間がかかります。 今日のソーシャル メディアの巨人によるプライバシーの悪用とセキュリティの失効の進行中の暴露は、自主規制が機能しないことを示しています。 今後数年間でメタバースが脅威アクターによってどのように悪用されるかを検討するために、技術およびセキュリティ コミュニティが介入することも重要です。」