VR乗っ取るインセプション攻撃、没入感を悪用　なりすましも

クリストファー・ノーラン監督の映画『インセプション』では、レオナルド・ディカプリオ演じるキャラクターがテクノロジーを利用してターゲットの夢に入り込み、情報を盗み出して、潜在意識に虚偽の情報を挿入するというシーンがある。

実質現実（VR）における新しい「インセプション攻撃」も、同じように機能する。シカゴ大学の研究チームは、メタの 「クエスト（Quest ）」VRシステムのセキュリティ脆弱性を悪用して、ユーザーのヘッドセットを乗っ取り、機密情報を盗み、生成AIの助けを借りてソーシャル・インタラクションを操作することに成功した。

この攻撃はまだ実際には使用されていない。ハッカーがVRヘッドセットのユーザーのWi-Fiネットワークにアクセスする必要があるため、実行のハードルが高いのだ。ただし、この攻撃は非常に洗練されており、ターゲットとなったユーザーはフィッシング、詐欺、グルーミングなどのリスクに対して非常に脆弱になってしまう。

この攻撃でハッカーは 、クエストVRシステムに悪意のあるコードを注入するアプリを用いて、VRシステムのホーム画面とユーザーの元の画面と同じに見えるアプリのクローンを起動する。侵入に成功すると、ハッカーはその人がヘッドセットを使用して実行するすべてのことを確認、記録、変更できてしまう。これには音声、ジェスチャー、キーストローク、ブラウジング・アクティビティ、さらにはユーザーのソーシャル・インタラクションの追跡も含まれる。さらにハッカーは、ユーザーが他の人に送るメッセージの内容を変更することさえできる。この研究は、MITテクノロジーレビューに独占的に共有されたもので、まだ査読は受けていない。

メタの広報担当者は、この研究結果について検討する予定であると述べ、「当社はバグ報奨金プログラムやその他の取り組みの一環として、常に学術研究者と協力しています」と述べた。

VRヘッドセットは近年徐々に人気が高まっている。しかし、製品自体の開発に比べてセキュリティ研究が遅れており、VRにおけるハッカーからの攻撃に対する現在の防御策は不足している。さらに、VR体験の没入感の高い性質が、ユーザーが罠にはまったことを気づきにくくしている。

「今回のことで衝撃を受けたのは、今日のVRシステムがいかに脆いものかということです」。研究チームを指揮したシカゴ大学のヘザ …

人気の記事ランキング

1. One option for electric vehicle fires? Let them burn. EV電池火災、どう対応？「燃え尽きるまで待つしかない」と専門家
2. Promotion Innovators Under 35 Japan × CROSS U 好評につき第2弾！研究者のキャリアを考える無料イベント【3/14】
3. From COBOL to chaos: Elon Musk, DOGE, and the Evil Housekeeper Problem 米「DOGE暴走」、政府システムの脆弱性浮き彫りに
4. AI crawler wars threaten to make the web more closed for everyone 失われるWebの多様性——AIクローラー戦争が始まった
5. How Silicon Valley is disrupting democracy テックラッシュ時代の到来、 「シリコンバレー流」が 本当に破壊したもの

▼Promotion