本稿では、メタバースにおいて想定されるリスクとその対策について、いくつかの具体例を紹介します。
英語の「超(meta)」と「宇宙(universe)」を組み合わせた造語であり、一般的にはインターネット上で提供される3次元の仮想空間やそのサービスを指しています。
メタバースの先駆けはリンデンラボ社が2003年に提供を開始した「Second Life」です。Second Lifeは現実世界とは異なる生活を送ることができる3次元の仮想世界であり、アバター(自分の分身となるキャラクター)を使ったユーザー同士の交流や、Second Lifeに参入した様々な企業が提供するサービスを受けることが可能です。
ここ数年でメタバース市場は急速に拡大しており、ゲーム、ショッピング、SNS、イベント開催など多岐に渡るメタバースサービスが提供されています。
多種多様なメタバースが登場することにより、メタバースのリスクは増大すると考えられます。メタバースの先駆けであるSecond Lifeでは、現実世界の通貨に換金可能なリンデンドルが窃取される被害がありました。
Second Lifeには、LSL(Linden Scripting Language)というスクリプト言語があり、スクリプトをアイテムに埋め込むことが可能です。悪意者が作成したリンデンドルの支払い処理が埋め込まれたアイテムを使用した際に、意図せず支払いを許可してしまったため、保有するリンデンドルを窃取されたとの被害報告がされています。
Second Lifeでは、スクリプト言語の使用という自由度の高さがこのような被害に結びつきましたが、スクリプト言語の使用可否に関わらず、仮想オブジェクトの取引において模造品を正規品と偽り販売するなどの詐欺行為により暗号資産(仮想通貨)を窃取される可能性が考えられます。
メタバースが従来のITサービスと異なる点として、以下の2点が挙げられます。
前者のアバターと仮想空間については、次章のメタバースで想定されるリスクの説明で述べますが、アバターを模倣したなりすまし、プライバシーを侵害する仮想空間設計などが考えられます。
後者の複数のサービスが密接している点は、このこと自体でリスクが発生するのではなく、このような環境下においては個々のリスクが結びついて被害へつながる恐れがあります。
例えば、従来のITサービスでは、SNSで詐欺に遭い、暗号資産の支払いを求められたとき、SNSと暗号資産取引所は別サービスなので、詐欺に遭ったユーザーが暗号資産取引所の口座は持っているとは限りません。SNSサービスから外に出たところで我に返ったり、知人に相談したりして詐欺であることに気が付くなど、サービスがサイロであることにより被害を免れることがあります。
一方、メタバースではアバター同士のコミュニケーションで詐欺に遭い、その流れで同じメタバースで提供されている個人間取引が可能なマーケットプレイスで支払いまで完了してしまうことがあり得ます。現実世界でオレオレ詐欺の電話で指示されたとおりにATMで振り込んでしまうのと同じようなことがメタバースという疑似現実世界では起き得るのです。
メタバースにおいて想定される主なリスクについて説明します。本稿で対象とするリスクの範囲は図2のとおりです。
悪意者の介在によって発生するサービスレイヤのリスクを対象とし、システムレイヤの脆弱性により発生するリスクや悪意者の有無に関わらず内在するリスクは対象外とします。また、本稿で取り上げるリスクはメタバースで想定されるリスクの例示であり、発生するリスクはメタバースで提供するサービスやその機能によって異なります。
図2:本稿で対象とするリスクの範囲
メタバースでは様々なサービスが提供されているため、アカウントを乗っ取られた場合、ショッピングにおける決済や暗号資産の換金、有償コンテンツの参照、有償イベントへの参加など被害は多岐に渡ります。
また、近い将来、現実世界に対するメタバースの比重が高まり、メタバースは現実世界に並ぶ生活空間となることが想定されます。そのような状況でアバターが乗っ取られた場合、プライバシー侵害やデジタルアイデンティティの毀損を招く恐れがあります。
図3:アカウント乗っ取りによる不正利用のイメージ
メタバースでは他のユーザーとアバターでコミュニケーションを取るため、主にアバターにより人物を特定することになります。
人間は9割の情報は視覚と聴覚から得ていると言われており、アカウントを乗っ取らずとも、アバターを模倣することで他人になりすますことができます。身元確認が不十分な個人間の取引において、知人になりすまして模造品を高額で販売するといった詐欺行為が想定されます。
図4:模倣したアバターでのなりすましによる詐欺行為のイメージ
悪意者がアカウントを大量に作成することにより、一人1アカウントを前提としたサービスで不正行為が可能です。例えば、メタバースで住民投票が行われる場合、一人が大量のアカウントを作成できると、一人が大量の投票権を得ることになり、他の住民が損失を被る可能性があります。
また、本来は一人1回限りのキャンペーンを大量のアカウントで利用することで、サービス事業者が多額の損失を被る可能性もあります。
図5:作成した大量アカウントによる不正行為のイメージ
購入した仮想オブジェクトは1つのメタバースのみで利用するのではなく、複数のメタバースでの共有が進むと想定されます。
メタバースAで購入したアクセサリーをメタバースBでも身に付けられるイメージです。このような場合、メタバース間で仮想オブジェクトを共有するために、メタバースAとメタバースBでアカウントの紐付けが行われます。
アカウントの紐付けによりメタバースAの仮想オブジェクトをメタバースBに持ち込むことができますが、メタバースBの認証強度が低く、かつメタバースBにおける仮想オブジェクトの扱いを制限していないと、メタバースBのアカウントが悪意者に乗っ取られ、メタバースAで正規ユーザーが購入した仮想オブジェクトをメタバースBで悪意者により不正に売却されてしまいます。
図6:メタバース間でのアカウント紐付を悪用した仮想オブジェクトの窃取のイメージ
メタバースでは、マーケットプレイスなどで仮想オブジェクトの売買が可能です。仮想オブジェクトの値決めは取引者間で自由に設定することができるため、資金の流れを複雑化・隠蔽することが可能です。
また、身元確認が不十分、匿名性の高い暗号資産による取引が可能なメタバースは、取引経路の追跡が困難でありマネーロンダリング(資金洗浄)に利用される恐れがあります。
図7:仮想オブジェクトの売買によるマネーロンダリングのイメージ
悪意者が著作者の許可なく電子書籍、動画、音楽、デジタルアートなどのデジタルコンテンツを複製して販売した場合、著作権の侵害となります。悪意の有無に関わらず、アバターに芸能人やキャラクターを使用すると、こちらも著作権の侵害となります。
また、メタバースプラットフォーム事業者がこれらの行為を防止する措置を怠った場合、プラットフォーム提供元としての管理責任を問われて損害賠償を請求されたり社会的評価を損ねる可能性があります。
図8:デジタルコンテンツ複製による著作権の侵害のイメージ
メタバースサービスによっては、アバターで透ける素材を再現するために、透明度を上げることが可能であり、これを利用して透明人間になるアバターを作れる場合があります。これを悪用すると、アバターの存在に気付かれることなく、他人の会話を盗み聞きすることができます。
また、メタバース内にユーザーがワールド*1を作成できる場合、ワールドの来訪者には知らせずに、盗聴・盗撮を行う機能を実装することにより、プライバシー侵害につながる恐れがあります。
また、将来的にメタバースが現実世界と深くリンクするようになった場合、それぞれの世界の活動内容の共通点からアバターと個人の関係を特定されたり、名寄せ*2により個人が使い分けている複数のアバターの情報が紐付けられるなど、プライバシーの侵害を引き起こすことが想定されます。
*1 メタバースサービスによってワールドやエリアの概念は異なるが、仮想空間を複数のワールドに分け、さらにワールドを複数のエリアに分けることが多い。
*2 氏名、メールアドレスなどの属性情報やCookie等の識別子を用いてデータベース間で突き合わせ、複数のアカウントの持ち主が同一人物であることを判別すること。
前述のリスクに対して、メタバースのプラットフォームやサービスを提供する事業者が実施すべき対策として以下が考えられます。リスクへの対策はサービスにおける影響度等を考慮する必要があるため、ここで取り上げた対策で十分とは言えません。
また図8のとおり、リスクと対策は一対一の関係ではなく、各リスクに対して抑止、予防、検知など複数の観点での対策が必要です。
図10:例示したリスクと対策の関係性
メタバースにログインする際の当人認証を強化することにより、アカウントの乗っ取りを防ぐことが可能です。求められる認証強度はサービスで提供する機能によって異なりますが、例えば決済など金銭処理が伴うサービスは悪意者に狙われやすく、パスワードによる知識認証だけではなく、少なくとも、知識認証、所持認証、生体認証のうち2つを使った二要素認証が望まれます。
他方で認証の強化はUXの低下を招く場合もあり、FIDO*3認証器を備えたヘッドマウントディスプレイによる虹彩認証など、セキュリティとUXを両立する方式の実装が期待されます。
*3 Fast IDentity Onlineの略語。ネットワーク上に生体情報などの秘密情報は流さず、認証器に格納された秘密鍵で署名したトークンで認証を行うため盗聴に強い。認証器の秘密鍵を用いるためにローカルで生体認証を実施する。
アカウント作成時の身元確認を強化することにより、不正が行われた際の犯人逮捕のための追跡性や逮捕リスクによる不正の抑止効果が期待できます。従来は対面や郵送での公的身分証明書による身元確認が主流でしたが、2018年に改正・施行された「犯罪による収益の移転防止に関する法律」でオンラインによる身元確認手法であるeKYC(electronic Know Your Customer)が規定されたことで、最近ではオンラインによる身元確認が主流となってきています。
また、マイナンバーカードのような一人1枚しか持つことができず偽造が困難な公的身分証明書を用いることにより、特定のユーザーによる大量アカウントの作成を防止することが可能です。
身元確認で収集したユーザーの属性情報は、サービス事業者や個人との取引で利用されますが、プライバシー保護のためにCP(Claims Provider)*4を介して必要最低限の属性情報をユーザーの同意により開示する仕組みが望ましいです。例としては、酒類の購入において年齢を開示しなくても20歳以上であることをCPが証明してくれる仕組みが考えられます。
サービス事業者の身元確認は、メタバースプラットフォーム事業者がメタバース内でサービスを提供する法人として適切か審査を行い、ユーザーが取引を判断するためにサービス事業者の属性情報を開示することが適切と考えられます。個人間取引では売り手が一定の情報を取引前に開示することが想定されます。
*4 サービスの利用に必要なクレーム(属性情報の集合)を提供するエンティティ。メタバースプラットフォーム事業者がクレームプロバイダーの役割を担う場合もあれば、外部機関がその役割を担う場合もある。
メタバース間のアカウント紐付を狙った不正行為としては、認証強度の低い紐付け済アカウントを乗っ取る方法と、身元確認が不十分なアカウントを作成して不正に紐付けする方法があります。
対策として、アカウント紐付先のメタバースのセキュリティレベルが自社のメタバースのセキュリティレベルと同等以上であることを確認する必要があります。システム的なセキュリティも確認が必要ですが、アカウント紐付においては、上記の対策①当人認証と対策②身元確認の強度の確認が重要です。
仮想オブジェクトに対して、仮想オブジェクトの作成者、所有者や取引価格の履歴などの属性情報を持たせることにより、購入前にこれらの情報を確認することで仮想オブジェクトの模造品や複製品を判別することが可能です。
仮想オブジェクトに属性情報を持たせる方法のひとつとして、NFT(Non-Fungible Token)という改ざん困難なブロックチェーン技術を使った仕組みが考えられます。NFTを利用することで仮想オブジェクトの真正性を証明できますが、他方でNFTの属性情報から個人の仮想オブジェクトの売買情報が調べられるというプライバシー上の懸念があり、開示する属性情報を制限するなどの考慮が必要です。
メタバースをワールドやエリアといった複数の空間に分けて、各ワールド、各エリアで活動可能な内容を制限することで不正行為を抑止できると考えられます。
行動制限の内容はサービスの特性によって変わりますが、例として、マーケットプレイスエリア以外では仮想オブジェクトの売買ができない、闘技場エリア以外ではアバターへの攻撃ができない、特定のワールドには15歳未満のユーザーは入ることができないなどの制限が考えられます。
また、ユーザーがアバターやワールドを設計できるサービスにおいては、視認性の低いアバターの作成や、盗聴・盗撮等のプライバシーを侵害する空間設計ができないよう、設計の自由度を下げて制限を設けることが望まれます。
メタバースサービスの利用規約に禁止事項を記載することで、不正行為を抑止すると同時に不正行為が発生したときに利用規約に基づいて対処することが可能です。例として、一人が複数アカウントを作成する行為の禁止を利用規約に記載しておけば、一人による複数アカウントの作成を検知した際に利用規約に基づき該当アカウントの凍結が可能です。
ユーザーを対象とした利用規約だけでなく、メタバースプラットフォーム事業者からサービス提供事業者へ対する利用規約も必要です。サービス提供事業者によるワールド内へのサブリミナル広告設置など、ユーザーにとって不利益となる行為を禁止事項として記載します。
不正を防止するための対策を行っていても、悪意者は対策の隙間を狙って不正を行うため、不正が発生したときに迅速に検知する仕組みを構築し、被害の拡大を防止する必要があります。
サービスのユースケース毎に不正な行動パターンを監視するルールベース検知アルゴリズム、平常時の行動を逸脱した異常なふるまいを監視するアノマリー検知アルゴリズムを組み合わせて監視することが有効です。
メタバースが新しい可能性を秘めている一方で、様々なリスクがあることを説明しました。メタバースは疑似現実世界に入り込む特性上、従来のITサービスと比較して多くのプライバシー情報を収集可能ですが、ユーザーがそのリスクを正しく認識することは困難です。
メタバースでは、ユーザーがリスクを正しく理解し、意思決定するためのコミュニケーション手段を人間中心(People-Centric)に考え、提供するユーザブルセキュリティも考慮する必要があります。
本稿では、メタバースで想定される一般的なリスクとその対策を挙げましたが、メタバースで提供するサービスやその機能によって発生するリスクや必要な対策は異なるため、サービスの企画段階からビジネスモデル、サービス仕様のセキュリティリスクを洗い出し、対策していくことが重要です。メタバースサービスを企画する際は、弊社のデジタルサービス向けリスク分析支援をご活用ください。