メインコンテンツへスキップ

執筆者 足立 照嘉 | 2022年11月14日

メタバースやアプリの連携など相互接続性の向上によって私たちは新たな価値を享受するとともに、そこに付随するサイバーリスクは一層複雑なものとなっていく。更にサイバー攻撃はより高度なものとなり、その影響も甚大なものとなる。今一度確認すべき自社のサイバーセキュリティに取り組むための第一歩とは?
Risk & Analytics|Corporate Risk Tools and Technology|Cyber Risk Management
N/A

より精度高く

EUの機関であるユーロポール(欧州刑事警察機構)のユーロポール・イノベーション・ラボが、「メタバースにおける警察 法執行機関が知っておくべきこと」と題した報告書を公表した。*1メタバースによって生み出される新たな機会と課題などについて検討するよう警察に促すために作成された資料であるが、メタバースがどこに向かうのかを垣間見ることもできる興味深い報告書だ。

本稿前回の記事では、仮想ワークスペースでのコラボレーションは現実世界の業務を補完したり、一部の業務が完全にメタバース上へ置き換わる可能性もあると述べた。これらを悪用することで改ざんされた仮想世界へと誘導し誤った行動を促したり、メンタルヘルスの問題を悪化させることができる可能性があると述べられている。更に、ランサムウェアを用いたサイバー攻撃をVRゴーグルなどのデバイスに対して行うことで、特に効果的なサイバー攻撃となる可能性もあるとしている。

また、より精度の高い体験を得るためには、私たち自身もより多くの生体情報をメタバース上に提供することになる。具体的には、様々なセンサー、視線のトラッキング、顔のトラッキング、触覚へのフィードバックなどである。これらのデータを盗むことによって、より精巧な”なりすまし”や、個人情報の窃取、そして詐欺行為などが可能になるともしている。

この報告書では、加害者に対する被害者の立場への認識や共感を没入型体験によって生み出し、DV加害者が被害者の視点を疑似体験することにフランスでは既に用いられているといった事例が紹介されている。
しかし、多くの問題に対する明確な答えは報告書において示されていない。これから技術の確立や規格の統一などが行われていく中で、これらの問題を解決する手段が組み込まれていくことが、メタバース実現に必須の課題となる。

個人情報へのアクセス

ところで、メタバースへの高い期待から、その社名をMeta Platformsに変更した米ソーシャルメディア企業の旧Facebook。
同社は10月、355個のAndroidアプリと47個のiOSアプリからなる合計402個もの悪意あるアプリを特定したことを明らかにした。*2既にこれらのアプリはアプリストアから削除されているが、そのリストも公表されており、およそ4割が写真加工アプリだった。*3

これらの悪意あるアプリをAndroidもしくはiPhoneにインストールした場合、アプリの利用に際して「Facebook でログイン」するよう求められる場合がある。ここに、FacebookにログインするためのIDやパスワードなどの認証情報を入力することで、悪意あるアプリにこれらの情報が窃取される。

認証情報が盗まれると攻撃者は個人のアカウントへのフルアクセスを取得し、Facebookで繋がっている友人にメッセージを送ったり、個人情報にアクセスしたりする可能性がある。

万が一、これらのアプリをインストールして、認証情報を窃取されてしまった場合、すぐにデバイスからアプリを削除することが推奨されている。
また、パスワードをリセットし、新しい強力なパスワードを作成する。この時に注意すべきことは、他のウェブサイトなどのパスワードを使いまわさないこと。そして、多要素認証(MFA)を有効にすることで、セキュリティを強化することが推奨されている。
ログインアラートの機能を有効にすることで、何者かがあなたのアカウントにアクセスしようとしている場合には通知されるようにすることもできる。

この問題は直接的にメタバースの問題というわけではないが、相互にアプリや機能が連携することで、リスクを連鎖させることも可能となってしまう。

CISAの推奨事項

さて、Facebookで多要素認証(MFA)を有効にすることで、セキュリティを強化することが推奨されていると述べたが、これはFacebookに限ったことではない。
米CISA(国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁)の提供する、「サイバーセキュリティを維持するためにできる 4 つのこと」においても、その一つにあげられているので、ここではその4つのポイントについて見ていきたい。*4

  • 多要素認証 (MFA) を有効にする。
  • 強力なパスワードを使用する。
  • フィッシングを認識したら報告する。
  • ソフトウェアを更新する。

これらはごく一般的なことを述べており、このようなアドバイスは多くの場面で目にされてきたことだろう。ところが、これらのセキュリティ対策には技術的にも組織的にも対応する必要があり、社内で計画して実装し、サポートしていく必要があるため、業界によっては取り組まれてはいないこともあり、あらためてこのガイダンスにて述べられている。

多要素認証と強力なパスワードについては前述したので、ここではフィッシングを認識したら報告するための仕組み作りについて考えてみたい。

フィッシングかどうかを認識するには、従業員はトレーニングを受けることでリスクを認識する必要がある。そして、フィッシングを報告するためのプロセスが必要になる。案外この報告のためのプロセスや、対応手順が十分にまとめられていない、もしくは機能しないものであることが多く見受けられるので注意が必要だ。

機能していない事例としては、例えば日系企業の海外拠点の場合、駐在員の帰任などの情報が反映されておらず、いざという時の連絡先が無効だったりすることもある。

まずはIT資産の把握

最後に、有事の際の対応手順についてもう一つ。

同じく米CISAが10月にDDoS(分散型サービス拒否)攻撃に対応するためのガイダンスを公表した。*5
DDoS攻撃を受けてしまうと、不正アクセスでシステムが過負荷の状態となり、本来アクセスしたいユーザがアクセスできなくなる。その結果、サービスの低下、生産性の損失、大規模な修復コスト、評判の低下につながる可能性があるとガイダンスでも述べられている。

そして、このような攻撃の被害に遭った場合には、回復するのが難しいと指摘しており、これらの潜在的な影響に対処するための手順を、インシデント対応と運用の継続に関する手順書に含めておく必要があるとアドバイスしている。
また、DDoS 攻撃は通常、システムとデータの機密性と完全性に影響を与えないが、マルウェアの展開やデータの流出など、他の種類のサイバー攻撃から注意をそらすために使用される可能性があるともしている

DDoS攻撃によるリスクを軽減するためには、組織はインターネットに接続されたすべての資産とそれらに影響を与える可能性のある脆弱性を認識すること。ユーザーが企業ネットワークに接続する方法を特定すること。DDoS 保護サービスを実装し、既存の防御を理解していることを確認する必要があるとしている。

組織はインターネットに接続されたすべての資産を認識するということは、メタバースに接続されたセンサーについても同様のことが言える。
今一度確認すべき自社のサイバーセキュリティに取り組むための第一歩は、自社のIT資産を常に把握し続けることだ。


出典

*1 Policing in the metaverse: what law enforcement needs to know

*2 Protecting People From Malicious Account Compromise

*3 facebook/malware-detection

*4 4 Things you an do to see yourself in cyber

*5 Understanding and Responding to Distributed Denial-of-Service Attacks

執筆者

サイバーセキュリティアドバイザー
Corporate Risk and Broking

ロンドンを拠点に活動するサイバーセキュリティ専門家。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。


Contact Us