MetaのXRヘッドセットのQuestシリーズが累計販売台数2,000万台を突破し、Appleも初のXRデバイスの発売を発表するなど、近年メタバースへの注目はより一層高まっています。

　

一方で、暗号資産のハッキングなどのセキュリティリスクの懸念も存在しており、「メタバースの活用においてどんなリスクがあるのか知りたい」という方も多いのではないでしょうか？

　

そこで今回は、セキュリティリスクとその対策を事例とともに分かりやすくご紹介します。

　

本記事は、以下のような方におすすめの記事となっています。

　

• メタバース活用における潜在的なセキュリティリスクを把握したい
• メタバース活用におけるセキュリティリスクへの対策を知りたい

　

本記事を読めば、メタバース活用におけるセキュリティリスクと対策について、一気にキャッチアップできる内容となっておりますので、ぜひ最後までご一読ください。

また、メタバース総研では、1000社以上のご担当者様からご好評をいただいている、国内外の最新のメタバース/XR活用事例101選をまとめたレポートを無料で配布しております。

ご興味のある方は、以下リンクからダウンロードしてご活用ください。

⇒【担当者必見】メタバース/XR活用事例101選の資料ダウンロードはこちら(無料)

メタバースにおける５つのセキュリティリスク

メタバースにおけるセキュリティリスクとして以下の5つが挙げられます。

　

• ①個人情報や企業の機密情報のハッキング
• ②デジタルアセットの盗難やウォレットのハッキング
• ③メタバース空間の改ざん・ハッキング
• ④匿名性を悪用した詐欺などの犯罪
• ⑤盗聴・盗撮によるプライバシー侵害

　

それぞれについて分かりやすく紹介していきます。

①個人情報や企業の機密情報のハッキング

1つ目は、個人情報や企業の機密情報のハッキングです。悪意のあるハッカーがメタバース空間のセキュリティの脆弱性を狙い、メタバースに関する個人や企業の情報をハッキングすることにより、情報が流出してしまうリスクが考えられます。

　

メタバース空間での活動データは従来のWeb上での活動データよりもリッチなものになる可能性があり、それらのデータが流出することは個人にとっても、企業にとっても大きな損害をもたらすと考えられます。

②デジタルアセットの盗難やウォレットのハッキング

2つ目は、デジタルアセットの盗難やウォレットのハッキングです。メタバース上で利用されるアバターやファッションアイテムや土地などのデジタルアセットは、今後多くのケースでNFTを活用して取引が行われると考えられています。

　

これに伴い、そのやりとりを行う暗号資産、デジタルアセットのウォレットがハッキングされるリスクが生じます。例えば、2018年に暗号資産取引所であるCoinCheckがハッキングされ、約580億円相当の仮想通貨が流出するという事件がありました。

③メタバース空間の改ざん・ハッキング

3つ目は、メタバース空間の改ざん・ハッキングです。悪意のあるハッカーがメタバース空間のセキュリティの脆弱性を狙い、メタバース空間を改ざん・ハッキングしてしまうというリスクが考えられます。メタバースが人々の生活により普及し、様々な活動が行われるようになっていればいるほど、企業やユーザーは大きなダメージを受けることとなります。

④匿名性を悪用した詐欺などの犯罪

4つ目は、匿名性を悪用した詐欺などの犯罪です。メタバースの特徴として、見た目や名前など全てのプロフィールを自由に設定でき、現実世界と異なる人格で様々な活動を楽しめるという点があります。一方で、悪意のあるユーザーがその特徴を悪用し、匿名のアバターの姿で詐欺などの犯罪行為を犯すというリスクが考えられます。

⑤盗聴・盗撮によるプライバシー侵害

5つ目は、盗聴・盗撮によるプライバシー侵害です。メタバースのサービスによっては、アバターの透明度を上げることも可能であり、これを利用して自分のアバターの存在に気づかれることなく、他人の会話を盗み聞きすることもできます。将来的にメタバースが現実世界と深くリンクするようになった場合、アバターから個人が特定され、プライバシーの侵害に繋がることが想定されます。

メタバースにおける犯罪事例３選

メタバースにおける犯罪事例として以下の3つが挙げられます。

　

• ①Robloxのユーザーの個人情報が大量に流出
• ②NFTプラットフォームにおいて総額１億ドル超の盗難トラブル
• ③エルメスの高級バッグ・バーキンを模倣した「メタバーキン」が無断で出品

　

それぞれについて分かりやすく紹介していきます。

　

※メタバース/XR活用を検討する際に、必ず押さえておきたい５大メタバース/XRプラットフォームの特徴や活用方法、選び方をまとめた資料をダウンロード頂けます。
⇒有名５大メタバース/XRプラットフォーム徹底比較資料のダウンロードはこちら(無料)

①Robloxのユーザーの個人情報が大量に流出

2023年7月、メタバースゲームプラットフォームRobloxにおいて、Robloxの開発者カンファレンスに参加した約4,000人のユーザーの情報が流出していたことが明らかとなりました。流出した情報の中には、氏名や生年月日のほか住所、メールアドレス、IPアドレスなど秘匿性の高い情報も含まれていたとのことです。

　

氏名等の流出はなりすましなどの悪質行為につながり、また、IPアドレスの流出はユーザーをサイバー攻撃や不正アクセスの危険にさらすことになるおそれもあります。

　

このように、メタバースサービスを提供する企業は、大量のユーザー情報を保有することになるため、常に流出・漏洩というリスクがつきまとうことになります。

②NFTプラットフォームにおいて総額１億ドル超の盗難トラブル

ブロックチェーン分析会社のエリプティックは2022年8月に、NFTの盗難被害が同年7月までの1年間で1億ドル（約137億円）を超えたと発表しました。また、NFTコレクション「Moonbirds」などを手掛けるProofの共同創設者Kevin Rose氏は2023年1月、自身のウォレットがハッキングされ、高額なNFTが盗まれたと公表しました。

　

このように、セキュリティの穴をついたNFTなどのデジタルアセットの盗難被害は相次いで発生しています。

　

また、デジタルアセットを盗まれたユーザーが、プラットフォームを提供する企業に対して、盗まれたデジタルアセットに相当する金額を補償するよう求めてくる可能性もあります。

③エルメスの高級バッグ・バーキンを模倣した「メタバーキン」が無断で出品

2021年、NFTの取引プラットフォームで、アーティストであるメイソン・ロスチャイルド氏により、エルメスの高級バッグであるバーキンを模倣した「メタバーキン」が出品されました。

　

しかし、エルメスブランドの許可を得ずに販売されていたため、知的財産権の侵害行為として、アメリカで裁判にまで発展する結果となりました。連邦地方裁判所は、知的財産権の侵害を認め、ロスチャイルド氏に約1750万円の損害賠償を命じました。

　

メタバース上では様々なデジタルアセットが取引されることから、メタバースのユーザーがブランドやコンテンツを模倣したデジタルアセットを無断で作成・販売した場合などに、ブランドやコンテンツの権利者との間でトラブルが発生する事態は今後も増えていくと考えられます。

　

また、場合によっては、メタバースのプラットフォームを提供する企業に対しても責任追及がなされる可能性があります。

セキュリティリスクに対して企業が取るべき６つの対策

セキュリティリスクに対して企業が取るべき対策として、以下の6つが挙げられます。

　

• ①ユーザーに多要素認証を要求
• ②eKYCサービスを導入
• ③IPアドレスを制限
• ④不正アクセス検知システムを導入
• ⑤ユーザーへのサービス利用制限
• ⑥利用規約による不正行為の禁止

　

それぞれについて分かりやすく紹介していきます。

　

※300事例の分析に基づく、企業のメタバース/XR活用でよくある失敗とベストプラクティスをまとめた資料をダウンロード頂けます。
⇒メタバース/XRのビジネス活用しくじり大全の資料ダウンロードはこちら(無料)

①ユーザーに多要素認証を要求

多要素認証とは、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証することを指します。

3要素には以下のような情報が該当します。

　

• 知識情報：パスコード、PINコード、秘密の質問
• 所持情報：SMS、ワンタイムパスワード
• 生体情報：指紋、静脈、声紋

　

多要素認証を導入することで、セキュリティを強化することができます。

　

一方で、認証の強化はユーザー体験を悪化させてしまう可能性もあるため、VRヘッドセットによる虹彩認証（人間の目の中にある虹彩という部位で個人を識別する認証方法）を導入し認証を簡略化するなど、セキュリティの強化とユーザー体験の向上を両立させることが重要となります。

②eKYCサービスを導入

eKYCサービスとは、スマホやPCを使用して、オンライン上で本人確認を完結できる仕組みであり、なりすまし防止に役立ちます。

　

eKYCサービスでは、写真付きの本人確認書類の準備や、利用者本人の顔をその場で撮影をしなければなりません。さらに利用者本人の写真を撮影する際、目を動かしたり横を向いたりなどの動作も求められます。そのため、ユーザーに大きな負担を強いることになりますが、なりすましをほぼ確実に防ぐことができます。

③IPアドレスを制限

IPアドレスの制限とは、未登録のIPアドレスからのアクセスを制限することです。メタバースのアカウントや運営ページへのアクセスを自社のIPアドレスのみに制限することによって、外部からの不正アクセスを防ぐことができます。

　

なお、メタバースの利用者がアクセスするのは運営ページではなく、サービスそのものであるため、アクセス制限の対象とはなりません。あくまでも社内データへの不正アクセスを防止するための措置となります。

④不正アクセス検知システムを導入

不正アクセス検知システムとは、機械による不正ログインや、同一人物による複数アカウントの登録、なりすましログインなどを検知するシステムです。

　

不正検知システムを導入することで、不正の疑いがあるユーザーにのみ多要素認証やeKYCを課すといったことができます。

⑤ユーザーへのサービス利用制限

ユーザーに対し、サービスの利用制限やメタバース空間の行動制限を設けるといったことも、不正行為の抑止に繋がります。

　

例えば、あるエリア以外では仮想オブジェクトの売買ができないようにする、特定のワールドには15歳未満のユーザーの入室を禁止するといった制限が考えられます。

　

また、ユーザー自身がアバターやワールドを設計できるサービスにおいては、視認性の低いアバターの作成や、盗聴・盗撮等のプライバシーを侵害する空間設計ができないよう、設計の自由度を下げて制限を設けることが望ましいです。

⑥利用規約による不正行為の禁止

メタバースサービスの利用規約に禁止事項を記載することで、不正行為を抑止するとともに、不正行為が発生したときに利用規約に基づいて対処することが可能です。

　

例えば、一人のユーザーが複数アカウントを作成する行為の禁止を記載しておくことで、その行為を検知した際に利用規約に基づき該当アカウントを凍結するといった対応ができます。

　

ユーザーとのトラブルを避けるために、サービスの禁止行為・制限事項は何かを明確に記載しておくことが重要です。

費用対効果・実現性が高いメタバース活用方法

メタバースの知見が不足しており、メタバース活用の企画や開発に課題を抱えていませんか？

そのような課題はメタバース総研のコンサルティング・開発支援サービスで解決することができます。

是非メタバース総研にお問い合わせください。

豊富な経験・ナレッジを活かした戦略・企画策定

数多くの企業様に対するコンサルティングや国内最大級のビジネス特化型メタバースメディアの運営で培った豊富な知見を活用し、成果につながる戦略・企画を策定します。

強力なパートナーシップによる最適なアプローチ設計

各領域の業界を代表するソリューション提供企業とのパートナーシップを構築。案件毎に中立的な立場から、費用対効果の高いアプローチを設計します。

経験豊富なクリエイター・エンジニア・コンサルタントによる並走支援

業界トップクラスの経験/スキルを有するクリエイター・エンジニア・コンサルタントから、最適なメンバーをアサイン。戦略立案から実行まで並走し、社内のリソース不足を解決します。

「課題や依頼内容が明確になっていない」、「社内で合意が取れていない」場合でも問題ございません。メタバース総研へのお問い合わせをお待ちしております。