VR乗っ取るインセプション攻撃、没入感を悪用　なりすましも

クリストファー・ノーラン監督の映画『インセプション』では、レオナルド・ディカプリオ演じるキャラクターがテクノロジーを利用してターゲットの夢に入り込み、情報を盗み出して、潜在意識に虚偽の情報を挿入するというシーンがある。

実質現実（VR）における新しい「インセプション攻撃」も、同じように機能する。シカゴ大学の研究チームは、メタの 「クエスト（Quest ）」VRシステムのセキュリティ脆弱性を悪用して、ユーザーのヘッドセットを乗っ取り、機密情報を盗み、生成AIの助けを借りてソーシャル・インタラクションを操作することに成功した。

この攻撃はまだ実際には使用されていない。ハッカーがVRヘッドセットのユーザーのWi-Fiネットワークにアクセスする必要があるため、実行のハードルが高いのだ。ただし、この攻撃は非常に洗練されており、ターゲットとなったユーザーはフィッシング、詐欺、グルーミングなどのリスクに対して非常に脆弱になってしまう。

この攻撃でハッカーは 、クエストVRシステムに悪意のあるコードを注入するアプリを用いて、VRシステムのホーム画面とユーザーの元の画面と同じに見えるアプリのクローンを起動する。侵入に成功すると、ハッカーはその人がヘッドセットを使用して実行するすべてのことを確認、記録、変更できてしまう。これには音声、ジェスチャー、キーストローク、ブラウジング・アクティビティ、さらにはユーザーのソーシャル・インタラクションの追跡も含まれる。さらにハッカーは、ユーザーが他の人に送るメッセージの内容を変更することさえできる。この研究は、MITテクノロジーレビューに独占的に共有されたもので、まだ査読は受けていない。

メタの広報担当者は、この研究結果について検討する予定であると述べ、「当社はバグ報奨金プログラムやその他の取り組みの一環として、常に学術研究者と協力しています」と述べた。

VRヘッドセットは近年徐々に人気が高まっている。しかし、製品自体の開発に比べてセキュリティ研究が遅れており、VRにおけるハッカーからの攻撃に対する現在の防御策は不足している。さらに、VR体験の没入感の高い性質が、ユーザーが罠にはまったことを気づきにくくしている。

「今回のことで衝撃を受けたのは、今日のVRシステムがいかに脆いものかということです」。研究チームを指揮したシカゴ大学のヘザ …

人気の記事ランキング

1. Bringing the lofty ideas of pure math down to earth 崇高な理念を現実へ、 物理学者が学び直して感じた 「数学」を学ぶ意義
2. Promotion Innovators Under 35 Japan × CROSS U 無料イベント「U35イノベーターと考える研究者のキャリア戦略」のご案内
3. The 8 worst technology failures of 2024 MITTRが選ぶ、 2024年に「やらかした」 テクノロジー8選
4. Google’s new Project Astra could be generative AI’s killer app 世界を驚かせたグーグルの「アストラ」、生成AIのキラーアプリとなるか
5. AI’s search for more energy is growing more urgent 生成AIの隠れた代償、激増するデータセンターの環境負荷

▼Promotion