マーケットのさらなる拡大が予想される「メタバース」のセキュリティリスクとは

1. ますます期待が高まる「メタバース」とは

メタバースが大きく注目され始めたのはここ数年の出来事ですが、実はメタバースの概念やサービス自体は以前から存在していました。

メタバースは、一般的にはインターネット上に存在する仮想空間やサービスを総称するキーワードとして使用されていますが、統一された定義は現時点では存在しません。

技術的・社会的・経済的要因が組み合わさることで、近年ビジネスにおけるメタバースへの注目度が高まっており、2030年のメタバースの市場規模は2021年の約17倍へと拡大し、6,788億ドルに達するとも言われています。^※1

ビジネスシーンにおいて、メタバースはどのように活用されているのでしょうか。

一般消費者向けには、主に「Communication（会話・交流）」、「Experience（体験・体感）」を目的としたサービスにおいて活用されています。
 

■ Communication（会話・交流）

• 仮想空間上に再現したバーチャルオフィスでの打ち合わせ等の実施
• 仮想空間でのVR飲み会

■ Experience（体験・体感）

• 仮想空間での生活を楽しむことができるオンラインゲーム
• 仮想空間上に再現した店舗や物件展示場での接客、販売（小売業界や不動産業界等）
• 一般ユーザーや投資ファンドによるメタバース上の仮想不動産への投資

また、仮想空間を利用した新たな価値創出のために、「Simulation（試行・実験）」、「Analytics（行動解析）」を目的として企業が活用する事例も出てきています。
 

■ Simulation（試行・実験）

• 仮想空間上に再現した工場の製造ラインにおいて、製造ラインの新設や変更を事前シミュレーション（製造業）

■ Analytics（行動解析）

• VRゴーグルで収集できるデータを活用した授業中の生徒の集中度測定
• VRゴーグルで収集できるデータを活用した小売店での消費者の行動分析

このように多様な業界・シーンでメタバースの利活用が進んでおり、既存プレイヤーに留まらない様々なプレイヤーがメタバース市場への新規参入を進めています。

一方で、メタバースはまだまだ発展途上の技術であり、メタバース市場自体も未成熟です。仮想空間上での社会・経済活動の拡大に向けては多くの検討論点が存在しており、重要な論点の１つとしてサイバーセキュリティリスクが挙げられます。

ここからは、メタバースのサイバーセキュリティリスクとサービス提供者が留意すべき対策の視点・観点を紹介します。

2. ユーザーの「デジタルライフ」そのものに係るリスク

メタバースに係るサイバーセキュリティの検討に際しては、メタバースの以下の特徴を踏まえる必要があります。

■ メタバース上のアバターは、現実世界の自分自身と同等程度の機能・価値を持つこと

■ メタバース上で、現実世界と同様にビジネス取引といった経済活動や社会的交流を行うことができること

この特徴を踏まえると、メタバース上での「アカウント乗っ取り」や「なりすまし」という事案は従来の単なるセキュリティリスクではなく、メタバース上におけるアバターの“死”や経済活動の停止等、甚大な被害をもたらすリスクであると捉えることが肝要です。
 

■「アカウント乗っ取り」による被害

アカウントのログイン情報を第三者に入手され、メタバースのアカウントが乗っ取られた場合、経済的・社会的活動を行う“世界”が一つ奪われる、ということを意味する可能性があります。

つまり、個人情報や仮想資産の盗難、他のユーザーへの迷惑行為による本人の信用低下等、過去に蓄積してきたメタバース上の金銭的資産やアイデンティティ、社会的信用といったデジタル空間での自分自身の生活・人生が奪われることになりかねません。
 

■「なりすまし」による被害

悪意のある第三者が他人のアバターを模倣し、他人になりすました場合、その第三者によって自らが詐欺被害に遭う可能性があります。

また、悪意のある第三者が自分自身になりすまして他のユーザーへ迷惑行為を行った場合、自分自身への信用が失われ、メタバース上での経済的・社会的活動に支障が発生します。最悪の場合、メタバース空間から排除されることになり、デジタル空間上での自分自身の生活・人生を失ってしまう可能性すらあります。

それでは、サービス提供者はどのような視点・観点でメタバースに係るセキュリティ対策を検討する必要があるのでしょう。

「アカウント乗っ取り」「なりすまし」等のリスク自体は新しいものではないため、新たなセキュリティ対策が求められるというわけではないものの、前述のとおり、メタバースは発展途上の技術・サービスであるため、サービス提供者は企画段階からサイバーセキュリティリスクを整理し、リスクに応じて、以下のような対策を検討することが肝要です。
 

■「アカウント乗っ取り」への対策

• 強固な認証システムの導入
  
  メタバース空間で経済活動を行うことを前提とした場合、アカウントの乗っ取りを防ぐために、少なくとも二要素認証を実装することが望まれます。
  
  現在、VRゴーグルを利用したままスムーズに認証できるように、虹彩認証を導入する等、利便性とセキュリティを両立した方式が検討されています。
   

■「なりすまし」への対策

• 身元確認機能の導入
  
  他人になりすましたアバターの作成を防ぐとともに、アバターを現実世界の本人と紐づけることで不正抑止効果が期待できるため、公的身分証明書を用いてオンラインで身元確認を実施することが望まれます。
  
  また、メタバース内のサービス提供事業者の信頼性を担保するために、メタバースプラットフォーム提供者は事前にサービス提供事業者を審査することが望まれます。
  
  
• アバターの真正性を証明する仕組みの導入
  
  アバターのなりすましによるリスクを低減させるために、アバターの真正性を証明する仕組みを導入することが望まれます。
  そうした仕組みの具体例としては、以下の仕組みがあります。^※3
  • アバターの出自や所有者情報を管理するとともに、生成したアバターをNFT化することで、アバターに唯一性を示す情報を付与する
  • その上で、「電子透かし」をアバターに埋め込むことで、アバターがオリジナルかコピーかを判別できるようにし、アバターの真正性を証明する
     

■「アカウント乗っ取り」「なりすまし」両者に共通する対策

• 不正を検知・対応するための仕組みの導入
  
  「アカウント乗っ取り」や「なりすまし」による被害の拡大を防止するために、不正を迅速に検知し対応するための仕組みを導入することが望まれます。
  
  不正検出ルール（シグネチャ型/アノマリ型/両者の組み合わせ）を定義したうえで、不正検出時に該当アカウントを即座にロックする等、被害の拡大を防止するための仕組みが必要になります。

3. さいごに

メタバースはさらならマーケットの拡大が見込める一方で、サイバーセキュリティリスクの大きさを鑑みると、「セキュアなメタバースであること」が、メタバース提供者がメタバース市場を勝ち抜くための土台（前提）であると捉えることができます。

各企業では、メタバースに関する法規制やサイバーセキュリティのプラクティスが未成熟な現状であるからこそ、このタイミングでメタバースのサイバーセキュリティに先進的に取り組むか否かが、今後のメタバース市場におけるポジションを決定付ける可能性があるという視点で検討・推進をされることが肝要です。

≪参考文献≫

※1:Grand View Research,” Metaverse MARKET ESTIMATES & TREND ANALYSIS TO 2028”,（参照 2023-03-17）

※2:Diarkis,“メタバースカオスマップ”, https://8714815.hs-sites.com/metaverse-caosmap, （参照 2023-03-17）

※3:凸版印刷, アバターの真正性を証明する管理基盤「AVATECT™」を開発, https://www.toppan.co.jp/news/2022/02/newsrelease220218_1.html, （参照 2023-03-17）

執筆者

北町 任／Takashi Kitamachi
デロイト トーマツ サイバー合同会社

デロイト トーマツ サイバー合同会社所属。会計系の大手コンサルティング会社を経て現職。製造業を中心に、取引先を含めたサプライチェーン全体のサイバーセキュリティー戦略や製品セキュリティー戦略の策定などに従事。

萬代 大輔／Daisuke Mandai
デロイト トーマツ サイバー合同会社

大手インフラ系事業会社を経て、2020年よりデロイト トーマツ サイバー合同会社に入社。サイバーセキュリティ戦略立案、ガバナンス態勢構築、セキュリティアセスメント、グローバル法規制調査等のアドバイサリー経験を有する。

※所属などの情報は執筆当時のものです。