本文分享一些有關結合實體與數位世界的元宇宙當中可能出現的資安威脅。我們將更明確定義所謂的元宇宙,並介紹元宇宙本身跟其內部可能資遭遇的資安威脅。
「元宇宙」(metaverse) 一詞是由 Neal Stephenson 在他 1992 年的小說「Snow Crash」(《潰雪》) 當中所創。該詞描繪一個可讓玩家透過虛擬替身 (avatar) 在裡面自由探索的虛擬世界,該世界提供了一種完全沉浸式的體驗。今日,我們可以在許多大型多人線上角色扮演遊戲 (MMORPG) 當中看到類似的情境,如:Roblox、Minecraft、Fortnite、Second Life 等等,但這些遊戲還是無法跟 Snow Crash 當中描繪的沉浸式體驗相提並論。
今日,元宇宙的概念主要由多個獨立但卻相連的虛擬空間所組成。因此,沒有一個企業可以獨自打造出一整個元宇宙。目前最樂觀的估計,我們大概還需五至十年才能打造出一個成熟完整的元宇宙。不過在未來三至五年當中,我們預料市場上將出現越來越多「類元宇宙」的應用程式。目前已經有一些應用程式 (如 Decentraland 與 Crypto Voxels) 及遊戲 (如 Minecraft 和 Second Life) 存在。
目前的類元宇宙應用程式大多是針對遊戲玩家 (而非一般大眾) 所設計。未來,我們預料一些日常的工作,如:遠距上班、休閒娛樂、教育、購物等等,都將透過次世代的類元宇宙應用程式來完成。所以很自然地,這些應用程式彼此之間會共享一些虛擬空間,當它們的底層技術 (硬體、軟體、網路基礎架構、普遍性) 都成熟時,最終將進化成一個單一元宇宙。在這個共享的空間裡,使用者將自由在不同應用程式之間移動,並透過各種不同硬體來存取元宇宙。
不過,元宇宙也將衍生出一些獨有的犯罪型態,本文及另一篇相關研究報告就是要探討這項議題。
什麼是元宇宙?
對於什麼是元宇宙,以及它在更大的網際網路世界中的定位如何,人們的意見相當分歧。為了方便研究,我們在此暫時為元宇宙提供以下定義:
元宇宙是一種雲端分散式、多廠商、沉浸式互動作業環境,可讓使用者透過各種固定及行動連網裝置加以存取。它結合了 Web 2.0 與 Web 3.0 技術,在現有的網際網路基礎上提供一層互動機制。這是一個讓人們在虛擬、擴增、混合或延伸環境當中工作和玩樂的開放平台。這與現行的 MMORPG 平台類似,但由於每一個 MMPORG 都代表一個專屬虛擬空間,元宇宙將可讓玩家以及他們的虛擬資產在不同虛擬空間之間移動。元宇宙不僅是人類使用者的一個平台,未來也將成為智慧城市裝置的通訊層,讓人類及人工智慧 (AI) 跟這些裝置分享資訊。
基本上,這會是一個「Internet of Experiences (IoX)」(體驗聯網)。不過,我們也預料這樣的定義未來仍將隨著元宇宙概念的演進而變化。
元宇宙將面臨什麼威脅?
對於一個尚未存在的產品領域,我們很難預料它會有什麼樣的資安威脅,更何況其未來不一定是我們目前想像的樣子。在這樣的情況下,我們盡可能透過腦力激盪為元宇宙描繪出一個更清新的輪廓,並找出一些針對元宇宙本身以及元宇宙內部可能出現的資安威脅。
NFT
非同質化代幣 (NFT) 在元宇宙中的用途已經有許多討論。NFT 是獨特、以區塊鏈儲存、可用來販售和交易的資料單元。NFT 資料還可包括用來驗證該數位資產擁有者的雜湊碼 (hash) 或指向數位檔案 (如文字、照片、影片、聲音) 的連結。NFT 規定了資產的擁有者,但本身卻不儲存資產,使得使用者可能面臨勒索或其他威脅。如果檔案遭勒索病毒加密,NFT 的擁有者就無法存取這些檔案。更糟的是,如果其底層的區塊鏈遭到 Sybil 攻擊,那資產基本上就等於被偷。
此外,詐騙集團也可能複製一個 NFT,稍微修改一下「受保護」檔案的幾個位元,然後將這基本上相同的資產拿去販售。同時,資產伺服器也可能遭到篡改,正如 Moxie Marlinspike 所證明,只要修改從 NFT 內儲存的網址傳回的內容即可。
另一個資安問題牽涉到資產的轉移。在不同元宇宙空間之間移動數位資產,很可能會產生一些費用,因為需要經過驗證,而且不相容的資產必須經過「轉換」才能在另一個平台上使用。此時就會需要資產經紀人,而詐騙集團可以假冒成資產經紀人來詐騙使用者。
在一些最佳實務原則和規則建立之前,虛擬交易管道很可能會像處在美國西部拓荒時期一樣。如果是使用區塊鏈技術,那基本上就是一個無人監管的市場,沒有任何政府或法律機構可以提供協助,萬一遇到詐騙將求助無門。一些現有的攻擊,如:網路釣魚、偷渡式下載等等,在一個人們彼此信賴的互動空間當中也同樣能夠發揮作用。
黑暗元宇宙 (Darkverse)
所謂的「黑暗元宇宙」(Darkverse) 就像黑暗網路(Dark Web,簡稱暗網),未來將是一個不肖之徒交流的匿名世界。其半虛半實的現身方式能相當逼真地模擬真實的碰面,對犯罪集團從事非法活動很有幫助。反過來,它也可以成為一個安全的言論自由空間,對抗那些實行高壓統治的機構和政府。
黑暗元宇宙的世界可以設定只允許某些地方的使用者進入,藉此保護一些封閉的元宇宙社群。以地理位置為基礎的近距離通訊,會讓執法機關 (LEA) 不易攔截元宇宙的資料。
黑暗元宇宙尤其棘手的是某些嚴重的犯罪 (如兒童色情) 目前在網際網路上已經相當猖獗。這類犯罪在虛擬世界非常難以用法律來定罪,而且在執法上非常困難。
金融詐騙
元宇宙內大量的電子商務交易將引來犯罪集團對於金錢或數位資產的覬覦。元宇宙的世界將透過一種全新的數位經濟來運作 (使用比特幣、乙太幣、真錢、PayPal、電子轉帳等等),其匯率將由自由市場決定 (很可能無法管制)。而這將成為市場操弄者的肥羊,一家只存在於元宇宙內的企業將不受任何政府管轄,因此可逃避所得稅。元宇宙中的投資人很可能遭遇到龐式騙局和證券詐騙。錯綜複雜的數位貨幣、數位資產、法定貨幣系統都可能像 2022 年 Terra/LUNA 虛擬加密貨幣那樣一夕崩盤。
數位貨幣對於需要收款的使用者確實方便,但如果使用者遇到詐騙,或是交易發生問題,發行者將面臨複雜的金融問題,甚至可能違反法規。當一名使用者遭到詐騙或被搶,如果是使用去中心化數位貨幣,那幾乎就是求助無門,不可能報案或採取法律行動。
在元宇宙中,我們預料會出現為了人為操控數位資產價值而偽造推薦、背書和投資的情況。例如,虛擬「土地」的價值純粹取決於人們的認知,而這可能被很多因素操弄。
社交工程
所謂的社交工程(social engineering )手法,是指專門用來讓人們上當的各種人際互動技巧,其目的大多為了破解保全系統,或騙取敏感資訊。當歹徒預先掌握了受害者的詳細資訊時,社交工程手法就更容易成功。在元宇宙裡,經營者可利用一些個人資訊 (如眼睛、體態、聲音、移動軌跡等等) 來進行準確的情緒分析,這些都是他們蒐集來的資料,並且可能失竊或遭到濫用。
犯罪集團或國家會尋找一些對於某議題較為敏感的族群,然後對他們投放一些精心設計的言論來影響他們。元宇宙將是深偽技術 (Deepfake) 犯罪的溫床,因為結合了語音與視覺的元素將使得意見傳達更有影響力 (也因此成為一種操弄工具)。
此外,元宇宙經營者還必須小心遭人滲透,滲透者會借用官方人員的數位分身來誤導元宇宙使用者。由於數位分身的資產很容易被蒐集和複製,因此 Deepfake 也許並非那麼必要。歹徒只需冒用官方人員數位分身的外觀 (skin),就可以在元宇宙內做壞事,進而對被冒名的公司造成負面效應。
此外,歹徒也可以在元宇宙中假扮成醫師來提供錯誤的醫療建議給病患並收取費用。其他一些較普遍的詐騙手法包括:建立假的新聞世界作為一種蒐集情報的 VR 陷阱、惡意的廣告商販售含有木馬程式的數位產品等等。
由於元宇宙的世界超越了現實的疆界,因此人們很容接觸到跨國詐騙集團,而且裡面的社交工程犯罪也將更為嚴重。
結論
元宇宙將是擴增實境、混合實境與虛擬實境的下一步演進。在新技術的推波助瀾下,使用者將獲得一種全然的沉浸式體驗:Internet of Experiences (IoX),使用者會覺得自己好像在參加真實世界的活動一樣。
元宇宙是網際網路之上額外附加的一層,目的在為所有裝置提供一種通透的連結。但開發人員似乎並未聽取擁有數十年資歷的專家提出的建議,在設計時考慮到資安與隱私。人們應盡一切的努力來防止元宇宙變成一個充斥各種犯罪集團的危險空間。開發人員應該一開始就從技術與社交層面加入防護機制,少了這些防護機制,元宇宙有可能將淪為一個比今日網際網路更危險的虛擬世界。
原文出處:Forecasting Metaverse Threats: Will it Become Metaworse?