メタバースでパンデミック ソーシャルVRをハッキングする攻撃 ヘッドセットを乗っ取り、ユーザー間でも感染:Innovative Tech
チェコのBrno University of Technology、米Louisiana State University、米University of New Havenに所属する研究者らは、他人のVR HMDとコンピュータに侵入してソーシャルVRを介した攻撃が可能なことを実証した研究報告を発表した。
Innovative Tech:
このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
チェコのBrno University of Technology、米Louisiana State University、米University of New Havenに所属する研究者らが発表した論文「Rise of the Metaverse’s Immersive Virtual Reality Malware and the Man-in-the-Room Attack & Defenses」は、他人のVR HMD(ヘッドマウントディスプレイ)とコンピュータに侵入してソーシャルVRを介した攻撃が可能なことを実証した研究報告だ。
バーチャル環境で他の人とやりとりできるソーシャルVRアプリケーションで実験を行った。その結果、VRヘッドセットを乗っ取り、画面を見るやマイクをオンにする、コンピュータにウイルスをインストールすることなどが着用者に知られずに実行できたという。
またユーザーが滞在(通信)するバーチャルルームに、その部屋にいる全員から見えない透明アバターで進入し、こっそりと動き回りのぞき見る攻撃ができた。さらに、同じバーチャルルームを共有しているユーザー間で感染を広げる感染拡大にも成功した。
アバター同士がバーチャル空間でやりとりできるソーシャルVRには、Metaの「Horizon Worlds」(旧名:Facebook Horizon)、Microsoftの「AltspaceVR」「vTime」「VRChat」「Bigscreen」などのプラットフォームが存在する。これらは最近の技術であり、セキュリティへの対策が不十分な分野といえる。
VRは他の乗っ取りと違い、特有の情報が含まれており悪質な攻撃が行える。例えば、別の悪意ある映像を見せることで、HMD着用者を誘導し壁に激突させたり階段から落下させたりができる。
今回はVR HMDとそのコンピュータを通して、ソーシャルVRをハッキングする攻撃「MitR」(Man-in-the-Room)を提案する。MitRは、VRワームとbotネットを注入することで、Bigscreenプラットフォームを介して攻撃を行う。
マルウェアを仕込むことで、UnityスクリプトAPIのセキュリティ上の欠陥を悪用して、リモートでプログラムを実行したり、フォルダやファイルを開いたりできるようになる。攻撃者は、任意のパブリックまたは検出されたプライベートルームをターゲットとし、Bigscreenアプリケーションを制御する。
独自のC&Cプロトコルを開発し、C&Cサーバから被害者を制御する。これによって、攻撃者のアバターを不可視にしてバーチャルルーム内にいる被害者アバターの行動を気が付かれずにこっそりと盗み見ることができる。
さらに攻撃者は、ペイロードを混入して別のユーザーにペイロードを広げる攻撃ができる。そのため、被害者が他のユーザーと接触すると感染し、ペイロードが拡散される。このことからも、実世界のパンデミックのように何百万人ものユーザーに影響を与える可能性を持った重大な脆弱性といえる。
研究者らは今回の脆弱性を関連企業(Bigscreen社やUnity Technologies社など)に勧告し、技術水準を向上させるためにFOSS(Free and Open Source Software)で公開している。
Source and Image Credits: M. Vondrek, Ibrahim Baggili, Peter Casey, Mehdi Mekni, Rise of the Metaverse’s Immersive Virtual Reality Malware and the Man-in-the-Room Attack & Defenses, Computers & Security (2022), doi: https://doi.org/10.1016/j.cose.2022.102923
関連記事
- 指先の熱からパスワードを盗む攻撃 入力後のキーボードから押した場所を特定 6文字なら検出精度100%
スコットランドのUniversity of GlasgowとサウジアラビアのTaif Universityによる研究チームは、キーボードから人の指先の熱を検出し、熱画像を解析してユーザーの入力を推定、パスワードなどを取得する深層学習システムを提案した研究報告を発表した。 - “指紋画像”を盗み、スマートフォンや銀行口座を解除する攻撃 オーストラリアの研究者が発表
オーストラリアの研究者は、指紋読取装置からユーザーの指紋画像を取得する攻撃を提案した研究報告を発表した。取得した指紋画像を用い、スマートフォンや銀行口座、ドアのスマートロックなど他のシステムにアクセスするという悪用が行える。 - 声を“匿名化”するシステム「V-CLOAK」 人間っぽさを残した声に変換、声紋の個人情報漏えいを防ぐ
中国のZhejiang UniversityとWuhan Universityの研究チームは、音声の明瞭性と自然性、音色を保持したまま、リアルタイムに音声を匿名化するシステムを提案した研究報告を発表した。 - 肩に寄生するヘビ型ロボット 多関節を遠隔から操作 早稲田大などが技術開発
早稲田大学中島達夫研究室、カタールのQatar Universityの研究者らは、肩の上で動作するヘビ型ウェアラブルロボットを提案した研究報告を発表した。肩から出た8自由度のロボットを、遠隔から別のユーザーが視覚と聴覚のフィードバックを受けながら操作する。 - 最大8m先からスマホで話す相手の声を盗聴できる攻撃 ミリ波の反射を利用
中国の浙江大学とHIC-ZJU、崑山杜克大学、米University of Colorado Denver、米SUNY Buffaloによる研究チームは、スマートフォンで話している相手の声を最大8m先から盗聴できる攻撃を提案した研究報告を発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.