メタバースにおける悪意:新たなフロンティアにおける既知のサイバー脅威との戦い
この記事のバージョンが掲載されました 情報セキュリティマガジン。ここで更新され、シンジケートされました。
A 数年前、サイバーセキュリティが西部開拓時代であることについてたくさん話しましたが、多くのサイバー攻撃がもたらす可能性のある生命への非常に現実的なリスクは言うまでもなく、より多くの人々がサイバーセキュリティ全般に関心を持つことが切実に必要でした。
2023年に向けて、特に多くの影響力のある国の政府レベルで、ある程度の進展が見られたことは喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアへの道のりは終わりがありません。現在のデジタル・ダーリンであるメタバースの出現により、コードレベルの脆弱性とソーシャル・エンジニアリングの双方にとって、新たな攻撃対象領域が拡大しています。
そして、私たちは煙と鏡の上で繁栄するこの新しい戦場での戦いに備えていないだけです。
複合現実にはリスクが伴う
今月のフレーバーとしての現在の地位にもかかわらず、メタバースのコンセプトは長い間存在してきました。オンラインプラットフォーム セカンドライフ 2003年から存在し、完全にカスタマイズ可能なオンラインユニバースで忠実なニッチ市場にサービスを提供してきました。ユーザーのアバターが音声チャットやテキストチャットでやり取りしたり、ゲームをプレイしたり、アディダスのような企業が公式のバーチャルストアを提供したりします。純粋なゲームの面では、フォートナイトやワールドオブウォークラフトなどの大規模マルチプレイヤーオンライン(MMO)ゲームは、プレイヤーに広大な世界を提供し、マイクロトランザクションや仮想アイテムへのリアルマネーの調達への依存度が高まっています。フォートナイトのみで作りました 43億ドルのマイクロトランザクション収益 市場に出てから最初の2年間。
メタバースのコンセプトが今後も定着しつつあるだけでなく、マーク・ザッカーバーグほどの規模になることは明らかです。 メインストリームにプッシュして。これは、ご存知の通り、インターネット(少なくともソーシャルメディアと一部の電子商取引)のエキサイティングな進化ですが、サイバー攻撃や有害なエクスプロイトの機会は気が遠くなるほどです。
メタバースの攻撃対象領域は広範囲に及んでおり、ウェブベースのソフトウェア、API、支払いゲートウェイをはるかに超えています。VR ヘッドセットやアクセサリーの周辺要素もコアデータへの脅威となります。これらのデバイスに搭載されているソフトウェアは、脆弱な場合にその対価を払うのに非常に便利なレッドカーペットです。
ラトガーズ大学のセキュリティ研究者が明らかにした」フェイスマイク」今年初め、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害にどのようにつながる可能性があるかを調査したこの種の研究は初めてでした。この調査は興味深いもので、脅威アクターがモーションセンサーを内蔵した仮想現実(AR/VR)ヘッドセットを使用して、音声に関連する顔のジェスチャーを記録する可能性があり、その結果、クレジットカード情報やパスワードなど、音声起動制御を介して伝達される機密情報が盗まれる可能性があることが示されています。この問題の根本原因はユーザー認証の欠如にあるようです。アクセスに許可を必要としない加速度計とジャイロスコープがあれば、複雑な顔の動き、骨から伝わる振動、空気中の振動を記録して、ユーザーのパターンに応じて、銀行の暗証番号から非常に制限の厳しい医療記録まで、あらゆるものを推測できます。
メタバースでは、あなたが行うすべての動きがデータポイントであり、緩いソフトウェアセキュリティを介してアクセスできれば、攻撃者が運を試そうとするインセンティブは計り知れません。
スマートコントラクトは賢い敵に直面している
メタエコノミーでは、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが求められます。現在、柴犬のようなさまざまな暗号通貨コミュニティでメタバースのミクロ経済が成長しています。バーチャル不動産やその他の無形資産商品を購入するには、 スマートコントラクト ブロックチェーンに保存されているものが使用されます。
「ブロックチェーン」と言えば、ほとんどの普通の人(少し技術に精通している)は、それをデジタル通貨の未来と考えられるもののための安全で匿名のシステムとして理解しています。ただし、これには少し問題があります。侵入できないオンラインの要塞はなく、こうしたスマートコントラクトも例外ではありません。これらは本質的に小さなプログラムであり、ハッキングされる可能性があります。
スマートコントラクトは、整数オーバーフローとアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながる(非常に有害な)ブロックチェーン中心のバグなど、いくつかのかなり一般的な脆弱性のおかげで悪用されやすく、後者はユーザーが保存した暗号残高を使い果たす可能性があります。これらの攻撃はすべて、悪用されやすい脆弱性と安全でない設計基盤につながる貧弱なコーディングパターンによって可能になっています。
このテクノロジーは今後ますます広く使用されるようになりますが、現在の状況では、安全でフェイルセーフなメタバースを確保するために、十分なセキュリティ意識のある開発者を見つけるのに苦労するでしょう。特にデータや通貨が危機に瀕している場合、組織はメタバースへの関与の大きさを理解する必要があります... そして、これが当てはまらないシナリオを想像するのは難しいです。
規制されていない環境なのに、あなたは (今でも) 製品なんです
映画やテレビで見たように セカンドライフ、そしてビデオゲームやメタバース環境があれば、私たちは好きな人になれます。仮想世界では、可能性は想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力です。しかし欠点は、Metaのようなものの計画された規模では、あまりにも広大で、セキュリティの観点から気密になるような方法で取り締まるには分散化されすぎていることです。詐欺は避けられず、ソーシャルエンジニアリングの観点から見ると、熟練した犯罪者が対処すべきことはさらに増えるでしょう。
機密性の高いユーザーデータは新たな宝であり、メタバースはこれまで見てきた中で最も豊富で完全なデータソースとなる可能性を秘めています。 養子縁組予定 計画どおりに進みます。メタバース関連のソフトウェアビルドは現在の規制基準とコンプライアンス措置に準拠していると考えられますが、そのためには、急速に拡大するデジタル世界とその経済をサポートするのに適した更新が必要になります。この中核となるのは、メタバースへの貢献のセキュリティに責任を負う組織であり、社内のセキュリティ成熟度を高めて、ソフトウェアに取り組むすべての人、特に開発コホートがプロセスのあらゆる段階でセキュリティについて考え、実装できるようにすることです。
メタバースの成功に安全なコーディングが不可欠な理由
現実の世界でなりたいと思うすべてのアバターに代表される、無法地帯のデジタル次元を駆け巡るのは楽しいことかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはなりません。そして、実在の人物のデータや財務が危機に瀕している場合、それはゲームとはかけ離れた話です。
サイバーセキュリティでは、間違いが本当に壊滅的な結果をもたらす可能性があることを十分に認識しています。広く採用され、消費者の信頼が実を結ぶためには、メタバースのあらゆるコンポーネントの完全性を後回しにすることはできません。
組織は、ソフトウェアに積極的に取り組んでいる開発者のセキュリティスキルの向上に重点を置いて、セキュリティの成熟度を現実的に評価することから今すぐ計画を立てることができます。ラトガーズ大学の調査からわかるように、アクセス制御は広範囲にわたるデータ漏えいにつながる可能性のある強力な脆弱性の1つに過ぎず、セキュリティを意識した開発者は、コードが記述されるとき、そしてコミットされたコードを入力するかなり前にこれらの問題に対処するほうがはるかに適切です。
大規模なメタバースデータ漏えいが発生しても、サイバーセキュリティのスキル不足の言い訳に頼るだけでは解決しません。私たちの目の前には、できる限り最善を尽くすだけでなく、ソフトウェアセキュリティ基準を積極的に引き上げるためのツールがあります。今こそ、メタバースのアーキテクトのトレーニングに投資し、私たちが知っている製品やサービスを仮想的に再考することのメリットを享受する時です。
現在のデジタル最愛の要素であるメタバースの出現により、コードレベルの脆弱性とソーシャルエンジニアリングの両方に新たな攻撃対象領域が加わりました。そして、私たちは煙と鏡の上で繁栄するこの新しい競争の場での戦いに備えていないだけです。
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
この記事のバージョンが掲載されました 情報セキュリティマガジン。ここで更新され、シンジケートされました。
A 数年前、サイバーセキュリティが西部開拓時代であることについてたくさん話しましたが、多くのサイバー攻撃がもたらす可能性のある生命への非常に現実的なリスクは言うまでもなく、より多くの人々がサイバーセキュリティ全般に関心を持つことが切実に必要でした。
2023年に向けて、特に多くの影響力のある国の政府レベルで、ある程度の進展が見られたことは喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアへの道のりは終わりがありません。現在のデジタル・ダーリンであるメタバースの出現により、コードレベルの脆弱性とソーシャル・エンジニアリングの双方にとって、新たな攻撃対象領域が拡大しています。
そして、私たちは煙と鏡の上で繁栄するこの新しい戦場での戦いに備えていないだけです。
複合現実にはリスクが伴う
今月のフレーバーとしての現在の地位にもかかわらず、メタバースのコンセプトは長い間存在してきました。オンラインプラットフォーム セカンドライフ 2003年から存在し、完全にカスタマイズ可能なオンラインユニバースで忠実なニッチ市場にサービスを提供してきました。ユーザーのアバターが音声チャットやテキストチャットでやり取りしたり、ゲームをプレイしたり、アディダスのような企業が公式のバーチャルストアを提供したりします。純粋なゲームの面では、フォートナイトやワールドオブウォークラフトなどの大規模マルチプレイヤーオンライン(MMO)ゲームは、プレイヤーに広大な世界を提供し、マイクロトランザクションや仮想アイテムへのリアルマネーの調達への依存度が高まっています。フォートナイトのみで作りました 43億ドルのマイクロトランザクション収益 市場に出てから最初の2年間。
メタバースのコンセプトが今後も定着しつつあるだけでなく、マーク・ザッカーバーグほどの規模になることは明らかです。 メインストリームにプッシュして。これは、ご存知の通り、インターネット(少なくともソーシャルメディアと一部の電子商取引)のエキサイティングな進化ですが、サイバー攻撃や有害なエクスプロイトの機会は気が遠くなるほどです。
メタバースの攻撃対象領域は広範囲に及んでおり、ウェブベースのソフトウェア、API、支払いゲートウェイをはるかに超えています。VR ヘッドセットやアクセサリーの周辺要素もコアデータへの脅威となります。これらのデバイスに搭載されているソフトウェアは、脆弱な場合にその対価を払うのに非常に便利なレッドカーペットです。
ラトガーズ大学のセキュリティ研究者が明らかにした」フェイスマイク」今年初め、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害にどのようにつながる可能性があるかを調査したこの種の研究は初めてでした。この調査は興味深いもので、脅威アクターがモーションセンサーを内蔵した仮想現実(AR/VR)ヘッドセットを使用して、音声に関連する顔のジェスチャーを記録する可能性があり、その結果、クレジットカード情報やパスワードなど、音声起動制御を介して伝達される機密情報が盗まれる可能性があることが示されています。この問題の根本原因はユーザー認証の欠如にあるようです。アクセスに許可を必要としない加速度計とジャイロスコープがあれば、複雑な顔の動き、骨から伝わる振動、空気中の振動を記録して、ユーザーのパターンに応じて、銀行の暗証番号から非常に制限の厳しい医療記録まで、あらゆるものを推測できます。
メタバースでは、あなたが行うすべての動きがデータポイントであり、緩いソフトウェアセキュリティを介してアクセスできれば、攻撃者が運を試そうとするインセンティブは計り知れません。
スマートコントラクトは賢い敵に直面している
メタエコノミーでは、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが求められます。現在、柴犬のようなさまざまな暗号通貨コミュニティでメタバースのミクロ経済が成長しています。バーチャル不動産やその他の無形資産商品を購入するには、 スマートコントラクト ブロックチェーンに保存されているものが使用されます。
「ブロックチェーン」と言えば、ほとんどの普通の人(少し技術に精通している)は、それをデジタル通貨の未来と考えられるもののための安全で匿名のシステムとして理解しています。ただし、これには少し問題があります。侵入できないオンラインの要塞はなく、こうしたスマートコントラクトも例外ではありません。これらは本質的に小さなプログラムであり、ハッキングされる可能性があります。
スマートコントラクトは、整数オーバーフローとアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながる(非常に有害な)ブロックチェーン中心のバグなど、いくつかのかなり一般的な脆弱性のおかげで悪用されやすく、後者はユーザーが保存した暗号残高を使い果たす可能性があります。これらの攻撃はすべて、悪用されやすい脆弱性と安全でない設計基盤につながる貧弱なコーディングパターンによって可能になっています。
このテクノロジーは今後ますます広く使用されるようになりますが、現在の状況では、安全でフェイルセーフなメタバースを確保するために、十分なセキュリティ意識のある開発者を見つけるのに苦労するでしょう。特にデータや通貨が危機に瀕している場合、組織はメタバースへの関与の大きさを理解する必要があります... そして、これが当てはまらないシナリオを想像するのは難しいです。
規制されていない環境なのに、あなたは (今でも) 製品なんです
映画やテレビで見たように セカンドライフ、そしてビデオゲームやメタバース環境があれば、私たちは好きな人になれます。仮想世界では、可能性は想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力です。しかし欠点は、Metaのようなものの計画された規模では、あまりにも広大で、セキュリティの観点から気密になるような方法で取り締まるには分散化されすぎていることです。詐欺は避けられず、ソーシャルエンジニアリングの観点から見ると、熟練した犯罪者が対処すべきことはさらに増えるでしょう。
機密性の高いユーザーデータは新たな宝であり、メタバースはこれまで見てきた中で最も豊富で完全なデータソースとなる可能性を秘めています。 養子縁組予定 計画どおりに進みます。メタバース関連のソフトウェアビルドは現在の規制基準とコンプライアンス措置に準拠していると考えられますが、そのためには、急速に拡大するデジタル世界とその経済をサポートするのに適した更新が必要になります。この中核となるのは、メタバースへの貢献のセキュリティに責任を負う組織であり、社内のセキュリティ成熟度を高めて、ソフトウェアに取り組むすべての人、特に開発コホートがプロセスのあらゆる段階でセキュリティについて考え、実装できるようにすることです。
メタバースの成功に安全なコーディングが不可欠な理由
現実の世界でなりたいと思うすべてのアバターに代表される、無法地帯のデジタル次元を駆け巡るのは楽しいことかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはなりません。そして、実在の人物のデータや財務が危機に瀕している場合、それはゲームとはかけ離れた話です。
サイバーセキュリティでは、間違いが本当に壊滅的な結果をもたらす可能性があることを十分に認識しています。広く採用され、消費者の信頼が実を結ぶためには、メタバースのあらゆるコンポーネントの完全性を後回しにすることはできません。
組織は、ソフトウェアに積極的に取り組んでいる開発者のセキュリティスキルの向上に重点を置いて、セキュリティの成熟度を現実的に評価することから今すぐ計画を立てることができます。ラトガーズ大学の調査からわかるように、アクセス制御は広範囲にわたるデータ漏えいにつながる可能性のある強力な脆弱性の1つに過ぎず、セキュリティを意識した開発者は、コードが記述されるとき、そしてコミットされたコードを入力するかなり前にこれらの問題に対処するほうがはるかに適切です。
大規模なメタバースデータ漏えいが発生しても、サイバーセキュリティのスキル不足の言い訳に頼るだけでは解決しません。私たちの目の前には、できる限り最善を尽くすだけでなく、ソフトウェアセキュリティ基準を積極的に引き上げるためのツールがあります。今こそ、メタバースのアーキテクトのトレーニングに投資し、私たちが知っている製品やサービスを仮想的に再考することのメリットを享受する時です。
この記事のバージョンが掲載されました 情報セキュリティマガジン。ここで更新され、シンジケートされました。
A 数年前、サイバーセキュリティが西部開拓時代であることについてたくさん話しましたが、多くのサイバー攻撃がもたらす可能性のある生命への非常に現実的なリスクは言うまでもなく、より多くの人々がサイバーセキュリティ全般に関心を持つことが切実に必要でした。
2023年に向けて、特に多くの影響力のある国の政府レベルで、ある程度の進展が見られたことは喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアへの道のりは終わりがありません。現在のデジタル・ダーリンであるメタバースの出現により、コードレベルの脆弱性とソーシャル・エンジニアリングの双方にとって、新たな攻撃対象領域が拡大しています。
そして、私たちは煙と鏡の上で繁栄するこの新しい戦場での戦いに備えていないだけです。
複合現実にはリスクが伴う
今月のフレーバーとしての現在の地位にもかかわらず、メタバースのコンセプトは長い間存在してきました。オンラインプラットフォーム セカンドライフ 2003年から存在し、完全にカスタマイズ可能なオンラインユニバースで忠実なニッチ市場にサービスを提供してきました。ユーザーのアバターが音声チャットやテキストチャットでやり取りしたり、ゲームをプレイしたり、アディダスのような企業が公式のバーチャルストアを提供したりします。純粋なゲームの面では、フォートナイトやワールドオブウォークラフトなどの大規模マルチプレイヤーオンライン(MMO)ゲームは、プレイヤーに広大な世界を提供し、マイクロトランザクションや仮想アイテムへのリアルマネーの調達への依存度が高まっています。フォートナイトのみで作りました 43億ドルのマイクロトランザクション収益 市場に出てから最初の2年間。
メタバースのコンセプトが今後も定着しつつあるだけでなく、マーク・ザッカーバーグほどの規模になることは明らかです。 メインストリームにプッシュして。これは、ご存知の通り、インターネット(少なくともソーシャルメディアと一部の電子商取引)のエキサイティングな進化ですが、サイバー攻撃や有害なエクスプロイトの機会は気が遠くなるほどです。
メタバースの攻撃対象領域は広範囲に及んでおり、ウェブベースのソフトウェア、API、支払いゲートウェイをはるかに超えています。VR ヘッドセットやアクセサリーの周辺要素もコアデータへの脅威となります。これらのデバイスに搭載されているソフトウェアは、脆弱な場合にその対価を払うのに非常に便利なレッドカーペットです。
ラトガーズ大学のセキュリティ研究者が明らかにした」フェイスマイク」今年初め、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害にどのようにつながる可能性があるかを調査したこの種の研究は初めてでした。この調査は興味深いもので、脅威アクターがモーションセンサーを内蔵した仮想現実(AR/VR)ヘッドセットを使用して、音声に関連する顔のジェスチャーを記録する可能性があり、その結果、クレジットカード情報やパスワードなど、音声起動制御を介して伝達される機密情報が盗まれる可能性があることが示されています。この問題の根本原因はユーザー認証の欠如にあるようです。アクセスに許可を必要としない加速度計とジャイロスコープがあれば、複雑な顔の動き、骨から伝わる振動、空気中の振動を記録して、ユーザーのパターンに応じて、銀行の暗証番号から非常に制限の厳しい医療記録まで、あらゆるものを推測できます。
メタバースでは、あなたが行うすべての動きがデータポイントであり、緩いソフトウェアセキュリティを介してアクセスできれば、攻撃者が運を試そうとするインセンティブは計り知れません。
スマートコントラクトは賢い敵に直面している
メタエコノミーでは、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが求められます。現在、柴犬のようなさまざまな暗号通貨コミュニティでメタバースのミクロ経済が成長しています。バーチャル不動産やその他の無形資産商品を購入するには、 スマートコントラクト ブロックチェーンに保存されているものが使用されます。
「ブロックチェーン」と言えば、ほとんどの普通の人(少し技術に精通している)は、それをデジタル通貨の未来と考えられるもののための安全で匿名のシステムとして理解しています。ただし、これには少し問題があります。侵入できないオンラインの要塞はなく、こうしたスマートコントラクトも例外ではありません。これらは本質的に小さなプログラムであり、ハッキングされる可能性があります。
スマートコントラクトは、整数オーバーフローとアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながる(非常に有害な)ブロックチェーン中心のバグなど、いくつかのかなり一般的な脆弱性のおかげで悪用されやすく、後者はユーザーが保存した暗号残高を使い果たす可能性があります。これらの攻撃はすべて、悪用されやすい脆弱性と安全でない設計基盤につながる貧弱なコーディングパターンによって可能になっています。
このテクノロジーは今後ますます広く使用されるようになりますが、現在の状況では、安全でフェイルセーフなメタバースを確保するために、十分なセキュリティ意識のある開発者を見つけるのに苦労するでしょう。特にデータや通貨が危機に瀕している場合、組織はメタバースへの関与の大きさを理解する必要があります... そして、これが当てはまらないシナリオを想像するのは難しいです。
規制されていない環境なのに、あなたは (今でも) 製品なんです
映画やテレビで見たように セカンドライフ、そしてビデオゲームやメタバース環境があれば、私たちは好きな人になれます。仮想世界では、可能性は想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力です。しかし欠点は、Metaのようなものの計画された規模では、あまりにも広大で、セキュリティの観点から気密になるような方法で取り締まるには分散化されすぎていることです。詐欺は避けられず、ソーシャルエンジニアリングの観点から見ると、熟練した犯罪者が対処すべきことはさらに増えるでしょう。
機密性の高いユーザーデータは新たな宝であり、メタバースはこれまで見てきた中で最も豊富で完全なデータソースとなる可能性を秘めています。 養子縁組予定 計画どおりに進みます。メタバース関連のソフトウェアビルドは現在の規制基準とコンプライアンス措置に準拠していると考えられますが、そのためには、急速に拡大するデジタル世界とその経済をサポートするのに適した更新が必要になります。この中核となるのは、メタバースへの貢献のセキュリティに責任を負う組織であり、社内のセキュリティ成熟度を高めて、ソフトウェアに取り組むすべての人、特に開発コホートがプロセスのあらゆる段階でセキュリティについて考え、実装できるようにすることです。
メタバースの成功に安全なコーディングが不可欠な理由
現実の世界でなりたいと思うすべてのアバターに代表される、無法地帯のデジタル次元を駆け巡るのは楽しいことかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはなりません。そして、実在の人物のデータや財務が危機に瀕している場合、それはゲームとはかけ離れた話です。
サイバーセキュリティでは、間違いが本当に壊滅的な結果をもたらす可能性があることを十分に認識しています。広く採用され、消費者の信頼が実を結ぶためには、メタバースのあらゆるコンポーネントの完全性を後回しにすることはできません。
組織は、ソフトウェアに積極的に取り組んでいる開発者のセキュリティスキルの向上に重点を置いて、セキュリティの成熟度を現実的に評価することから今すぐ計画を立てることができます。ラトガーズ大学の調査からわかるように、アクセス制御は広範囲にわたるデータ漏えいにつながる可能性のある強力な脆弱性の1つに過ぎず、セキュリティを意識した開発者は、コードが記述されるとき、そしてコミットされたコードを入力するかなり前にこれらの問題に対処するほうがはるかに適切です。
大規模なメタバースデータ漏えいが発生しても、サイバーセキュリティのスキル不足の言い訳に頼るだけでは解決しません。私たちの目の前には、できる限り最善を尽くすだけでなく、ソフトウェアセキュリティ基準を積極的に引き上げるためのツールがあります。今こそ、メタバースのアーキテクトのトレーニングに投資し、私たちが知っている製品やサービスを仮想的に再考することのメリットを享受する時です。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
この記事のバージョンが掲載されました 情報セキュリティマガジン。ここで更新され、シンジケートされました。
A 数年前、サイバーセキュリティが西部開拓時代であることについてたくさん話しましたが、多くのサイバー攻撃がもたらす可能性のある生命への非常に現実的なリスクは言うまでもなく、より多くの人々がサイバーセキュリティ全般に関心を持つことが切実に必要でした。
2023年に向けて、特に多くの影響力のある国の政府レベルで、ある程度の進展が見られたことは喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアへの道のりは終わりがありません。現在のデジタル・ダーリンであるメタバースの出現により、コードレベルの脆弱性とソーシャル・エンジニアリングの双方にとって、新たな攻撃対象領域が拡大しています。
そして、私たちは煙と鏡の上で繁栄するこの新しい戦場での戦いに備えていないだけです。
複合現実にはリスクが伴う
今月のフレーバーとしての現在の地位にもかかわらず、メタバースのコンセプトは長い間存在してきました。オンラインプラットフォーム セカンドライフ 2003年から存在し、完全にカスタマイズ可能なオンラインユニバースで忠実なニッチ市場にサービスを提供してきました。ユーザーのアバターが音声チャットやテキストチャットでやり取りしたり、ゲームをプレイしたり、アディダスのような企業が公式のバーチャルストアを提供したりします。純粋なゲームの面では、フォートナイトやワールドオブウォークラフトなどの大規模マルチプレイヤーオンライン(MMO)ゲームは、プレイヤーに広大な世界を提供し、マイクロトランザクションや仮想アイテムへのリアルマネーの調達への依存度が高まっています。フォートナイトのみで作りました 43億ドルのマイクロトランザクション収益 市場に出てから最初の2年間。
メタバースのコンセプトが今後も定着しつつあるだけでなく、マーク・ザッカーバーグほどの規模になることは明らかです。 メインストリームにプッシュして。これは、ご存知の通り、インターネット(少なくともソーシャルメディアと一部の電子商取引)のエキサイティングな進化ですが、サイバー攻撃や有害なエクスプロイトの機会は気が遠くなるほどです。
メタバースの攻撃対象領域は広範囲に及んでおり、ウェブベースのソフトウェア、API、支払いゲートウェイをはるかに超えています。VR ヘッドセットやアクセサリーの周辺要素もコアデータへの脅威となります。これらのデバイスに搭載されているソフトウェアは、脆弱な場合にその対価を払うのに非常に便利なレッドカーペットです。
ラトガーズ大学のセキュリティ研究者が明らかにした」フェイスマイク」今年初め、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害にどのようにつながる可能性があるかを調査したこの種の研究は初めてでした。この調査は興味深いもので、脅威アクターがモーションセンサーを内蔵した仮想現実(AR/VR)ヘッドセットを使用して、音声に関連する顔のジェスチャーを記録する可能性があり、その結果、クレジットカード情報やパスワードなど、音声起動制御を介して伝達される機密情報が盗まれる可能性があることが示されています。この問題の根本原因はユーザー認証の欠如にあるようです。アクセスに許可を必要としない加速度計とジャイロスコープがあれば、複雑な顔の動き、骨から伝わる振動、空気中の振動を記録して、ユーザーのパターンに応じて、銀行の暗証番号から非常に制限の厳しい医療記録まで、あらゆるものを推測できます。
メタバースでは、あなたが行うすべての動きがデータポイントであり、緩いソフトウェアセキュリティを介してアクセスできれば、攻撃者が運を試そうとするインセンティブは計り知れません。
スマートコントラクトは賢い敵に直面している
メタエコノミーでは、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが求められます。現在、柴犬のようなさまざまな暗号通貨コミュニティでメタバースのミクロ経済が成長しています。バーチャル不動産やその他の無形資産商品を購入するには、 スマートコントラクト ブロックチェーンに保存されているものが使用されます。
「ブロックチェーン」と言えば、ほとんどの普通の人(少し技術に精通している)は、それをデジタル通貨の未来と考えられるもののための安全で匿名のシステムとして理解しています。ただし、これには少し問題があります。侵入できないオンラインの要塞はなく、こうしたスマートコントラクトも例外ではありません。これらは本質的に小さなプログラムであり、ハッキングされる可能性があります。
スマートコントラクトは、整数オーバーフローとアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながる(非常に有害な)ブロックチェーン中心のバグなど、いくつかのかなり一般的な脆弱性のおかげで悪用されやすく、後者はユーザーが保存した暗号残高を使い果たす可能性があります。これらの攻撃はすべて、悪用されやすい脆弱性と安全でない設計基盤につながる貧弱なコーディングパターンによって可能になっています。
このテクノロジーは今後ますます広く使用されるようになりますが、現在の状況では、安全でフェイルセーフなメタバースを確保するために、十分なセキュリティ意識のある開発者を見つけるのに苦労するでしょう。特にデータや通貨が危機に瀕している場合、組織はメタバースへの関与の大きさを理解する必要があります... そして、これが当てはまらないシナリオを想像するのは難しいです。
規制されていない環境なのに、あなたは (今でも) 製品なんです
映画やテレビで見たように セカンドライフ、そしてビデオゲームやメタバース環境があれば、私たちは好きな人になれます。仮想世界では、可能性は想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力です。しかし欠点は、Metaのようなものの計画された規模では、あまりにも広大で、セキュリティの観点から気密になるような方法で取り締まるには分散化されすぎていることです。詐欺は避けられず、ソーシャルエンジニアリングの観点から見ると、熟練した犯罪者が対処すべきことはさらに増えるでしょう。
機密性の高いユーザーデータは新たな宝であり、メタバースはこれまで見てきた中で最も豊富で完全なデータソースとなる可能性を秘めています。 養子縁組予定 計画どおりに進みます。メタバース関連のソフトウェアビルドは現在の規制基準とコンプライアンス措置に準拠していると考えられますが、そのためには、急速に拡大するデジタル世界とその経済をサポートするのに適した更新が必要になります。この中核となるのは、メタバースへの貢献のセキュリティに責任を負う組織であり、社内のセキュリティ成熟度を高めて、ソフトウェアに取り組むすべての人、特に開発コホートがプロセスのあらゆる段階でセキュリティについて考え、実装できるようにすることです。
メタバースの成功に安全なコーディングが不可欠な理由
現実の世界でなりたいと思うすべてのアバターに代表される、無法地帯のデジタル次元を駆け巡るのは楽しいことかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはなりません。そして、実在の人物のデータや財務が危機に瀕している場合、それはゲームとはかけ離れた話です。
サイバーセキュリティでは、間違いが本当に壊滅的な結果をもたらす可能性があることを十分に認識しています。広く採用され、消費者の信頼が実を結ぶためには、メタバースのあらゆるコンポーネントの完全性を後回しにすることはできません。
組織は、ソフトウェアに積極的に取り組んでいる開発者のセキュリティスキルの向上に重点を置いて、セキュリティの成熟度を現実的に評価することから今すぐ計画を立てることができます。ラトガーズ大学の調査からわかるように、アクセス制御は広範囲にわたるデータ漏えいにつながる可能性のある強力な脆弱性の1つに過ぎず、セキュリティを意識した開発者は、コードが記述されるとき、そしてコミットされたコードを入力するかなり前にこれらの問題に対処するほうがはるかに適切です。
大規模なメタバースデータ漏えいが発生しても、サイバーセキュリティのスキル不足の言い訳に頼るだけでは解決しません。私たちの目の前には、できる限り最善を尽くすだけでなく、ソフトウェアセキュリティ基準を積極的に引き上げるためのツールがあります。今こそ、メタバースのアーキテクトのトレーニングに投資し、私たちが知っている製品やサービスを仮想的に再考することのメリットを享受する時です。
%20(1).avif)
.avif)
