小心黑暗元宇宙 (Darkverse) 及網路與實體結合的資安威脅

趨勢科技呼籲小心防範元宇宙的風險

【2022 年 9 月 22日台北訊】 全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 近日在一份新發布的報告中提出警告:目前尚缺乏法律管控的「黑暗元宇宙」(Darkverse) 可能將迅速催生一個全新的元宇宙網路犯罪產業。同時,趨勢科技也在本週CYBERSEC 2022 台灣資安大會的 xSecurity 論壇中發表「元宇宙的受攻擊面」 (Attack surface on Mataverse) 演說,提到元宇宙相關的資安威脅,當前正在發生的區塊鏈資安與NFT詐騙,隨著時間推進與應用場景的演變,未來將陸續浮現更多AI深偽技術及VR/AR威脅。

「元宇宙是否將成為更危險的虛擬世界:分析體驗聯網 (IoX) 的網路資安威脅」(Metaverse or MetaWorse? Cyber Security Threats Against the Internet of Experiences) 完整報告

元宇宙將引發的五大威脅統整如下:

•       NFT 將成為網路釣魚、勒索、詐騙以及其他攻擊的目標,隨著 NFT 因持有權無法偽造的特性而逐漸成為元宇宙中的重要商品,它也將成為駭客集團的攻擊目標,而犯罪集團將同步從使用者與項目方雙面夾擊。

•       黑暗元宇宙 (Darkverse) 將成為非法犯罪活動的溫床,因為它不易被執法機關追蹤、監控和滲透。事實上,警政單位可能要花好幾年的時間才能跟上,在無法獲得認證金鑰的情況下,警政單位將很難滲透黑暗元宇宙內經營的地下市場,因為使用者只能在指定的實體地點進入黑暗元宇宙的世界,而這對原本就封閉的犯罪圈來說,等於是多了一層安全保障。

•       炒作元宇宙中的房地產與 NFT 進行洗錢,將成為網路犯罪集團漂白犯罪所得的最新管道。

•       社交工程、宣傳與假新聞,犯罪集團和國家駭客甚至利用AI深偽技術來偽裝成知名人士,透過網路與實體結合的方式發揮更大影響力,並運用更誘人的話術瞄準一些對特定議題敏感的族群進行宣傳。

•       隱私權將被重新定義,「類元宇宙」虛擬環境背後的經營者將更全面掌握使用者的一舉一動,基本上,當使用者進入了他們的世界,即完全失去人們所認知的隱私權。 

趨勢科技Metaverse Security 部門負責人古炎秋指出:「元宇宙是一個未來將重塑網際網路新紀元且產值高達數十億美元的高科技願景。儘管我們仍無法確切知道它將如何發展,但我們現在就必須開始思考它將如何被駭客所利用。由於成本昂貴以及管轄權的問題,執法單位在元宇宙發展的早期幾年勢必鞭長莫及。所以資安界必須站出來,否則未來它將演變成另一個有如美國西部拓荒時期的世界。」

趨勢科技已預見黑暗元宇宙將成為元宇宙版本的黑暗網路 (Darkweb),駭客將肆無忌憚在裡面從事各種非法活動, 黑暗元宇宙將成為各種犯罪的避風港,從金融詐騙、電子商務詐騙,到 NFT 竊盜、勒索病毒等等。元宇宙兼具網路與實體的特性,為犯罪集團開啟新的大門。

趨勢科技古炎秋表示,區塊鏈與NFT投資方應多加重視權限問題、小心網路釣魚、仔細檢查每筆交易、取消所有不必要的授權、也建議安裝防詐騙瀏覽器延伸工具;而項目方則該善用智能合約的審計與測試,包含採用人工方式進行並以自動化審計與測試輔助來增加效率。

此外,網路犯罪集團可能將瞄準一些關鍵基礎設施業者的「數位孿生」,對工業控制系統進行破壞或勒索。或者,也可能在元宇宙使用者的全身人機介面裝備當中安裝惡意程式,對使用者造成人身傷害,像是製造暈眩或導引至現實生活的錯誤地點。

儘管目前距離元宇宙真正發展成熟還有好多年的時間,但一些「類元宇宙」空間未來必將加速普及。趨勢科技的報告試圖開啟元宇宙相關網路威脅的緊急對話,目前我們應該開始思考的問題包括:

•       該如何拿捏元宇宙中的使用者活動和言論?誰該負起責任?

•       侵犯著作權的行為將如何執法監督?

•       使用者該如何知道他們正在互動的對象是真人還是機器人?未來是否會有一種「圖靈測試」(Turing Test) 以檢驗對方是 AI 還是人類?

•       是否有方法可以保障隱私權,防止元宇宙被少數幾家科技巨頭壟斷。

•       執法機關如何克服在元宇宙中大規模防治犯罪的高昂成本,並解決管轄權的問題?