メタバースにおける悪意:新たなフロンティアにおける既知のサイバー脅威との戦い
この記事のバージョンが掲載されました 情報セキュリティマガジン。ここで更新され、シンジケートされました。
A 数年前、サイバーセキュリティが西部開拓時代であることについてたくさん話しましたが、多くのサイバー攻撃がもたらす可能性のある生命への非常に現実的なリスクは言うまでもなく、より多くの人々がサイバーセキュリティ全般に関心を持つことが切実に必要でした。
2023年に向けて、特に多くの影響力のある国の政府レベルで、ある程度の進展が見られたことは喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアへの道のりは終わりがありません。現在のデジタル・ダーリンであるメタバースの出現により、コードレベルの脆弱性とソーシャル・エンジニアリングの双方にとって、新たな攻撃対象領域が拡大しています。
そして、私たちは煙と鏡の上で繁栄するこの新しい戦場での戦いに備えていないだけです。
複合現実にはリスクが伴う
今月のフレーバーとしての現在の地位にもかかわらず、メタバースのコンセプトは長い間存在してきました。オンラインプラットフォーム セカンドライフ 2003年から存在し、完全にカスタマイズ可能なオンラインユニバースで忠実なニッチ市場にサービスを提供してきました。ユーザーのアバターが音声チャットやテキストチャットでやり取りしたり、ゲームをプレイしたり、アディダスのような企業が公式のバーチャルストアを提供したりします。純粋なゲームの面では、フォートナイトやワールドオブウォークラフトなどの大規模マルチプレイヤーオンライン(MMO)ゲームは、プレイヤーに広大な世界を提供し、マイクロトランザクションや仮想アイテムへのリアルマネーの調達への依存度が高まっています。フォートナイトのみで作りました 43億ドルのマイクロトランザクション収益 市場に出てから最初の2年間。
メタバースのコンセプトが今後も定着しつつあるだけでなく、マーク・ザッカーバーグほどの規模になることは明らかです。 メインストリームにプッシュして。これは、ご存知の通り、インターネット(少なくともソーシャルメディアと一部の電子商取引)のエキサイティングな進化ですが、サイバー攻撃や有害なエクスプロイトの機会は気が遠くなるほどです。
メタバースの攻撃対象領域は広範囲に及んでおり、ウェブベースのソフトウェア、API、支払いゲートウェイをはるかに超えています。VR ヘッドセットやアクセサリーの周辺要素もコアデータへの脅威となります。これらのデバイスに搭載されているソフトウェアは、脆弱な場合にその対価を払うのに非常に便利なレッドカーペットです。
ラトガーズ大学のセキュリティ研究者が明らかにした」フェイスマイク」今年初め、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害にどのようにつながる可能性があるかを調査したこの種の研究は初めてでした。この調査は興味深いもので、脅威アクターがモーションセンサーを内蔵した仮想現実(AR/VR)ヘッドセットを使用して、音声に関連する顔のジェスチャーを記録する可能性があり、その結果、クレジットカード情報やパスワードなど、音声起動制御を介して伝達される機密情報が盗まれる可能性があることが示されています。この問題の根本原因はユーザー認証の欠如にあるようです。アクセスに許可を必要としない加速度計とジャイロスコープがあれば、複雑な顔の動き、骨から伝わる振動、空気中の振動を記録して、ユーザーのパターンに応じて、銀行の暗証番号から非常に制限の厳しい医療記録まで、あらゆるものを推測できます。
メタバースでは、あなたが行うすべての動きがデータポイントであり、緩いソフトウェアセキュリティを介してアクセスできれば、攻撃者が運を試そうとするインセンティブは計り知れません。
スマートコントラクトは賢い敵に直面している
メタエコノミーでは、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが求められます。現在、柴犬のようなさまざまな暗号通貨コミュニティでメタバースのミクロ経済が成長しています。バーチャル不動産やその他の無形資産商品を購入するには、 スマートコントラクト ブロックチェーンに保存されているものが使用されます。
「ブロックチェーン」と言えば、ほとんどの普通の人(少し技術に精通している)は、それをデジタル通貨の未来と考えられるもののための安全で匿名のシステムとして理解しています。ただし、これには少し問題があります。侵入できないオンラインの要塞はなく、こうしたスマートコントラクトも例外ではありません。これらは本質的に小さなプログラムであり、ハッキングされる可能性があります。
スマートコントラクトは、整数オーバーフローとアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながる(非常に有害な)ブロックチェーン中心のバグなど、いくつかのかなり一般的な脆弱性のおかげで悪用されやすく、後者はユーザーが保存した暗号残高を使い果たす可能性があります。これらの攻撃はすべて、悪用されやすい脆弱性と安全でない設計基盤につながる貧弱なコーディングパターンによって可能になっています。
このテクノロジーは今後ますます広く使用されるようになりますが、現在の状況では、安全でフェイルセーフなメタバースを確保するために、十分なセキュリティ意識のある開発者を見つけるのに苦労するでしょう。特にデータや通貨が危機に瀕している場合、組織はメタバースへの関与の大きさを理解する必要があります... そして、これが当てはまらないシナリオを想像するのは難しいです。
規制されていない環境なのに、あなたは (今でも) 製品なんです
映画やテレビで見たように セカンドライフ、そしてビデオゲームやメタバース環境があれば、私たちは好きな人になれます。仮想世界では、可能性は想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力です。しかし欠点は、Metaのようなものの計画された規模では、あまりにも広大で、セキュリティの観点から気密になるような方法で取り締まるには分散化されすぎていることです。詐欺は避けられず、ソーシャルエンジニアリングの観点から見ると、熟練した犯罪者が対処すべきことはさらに増えるでしょう。
機密性の高いユーザーデータは新たな宝であり、メタバースはこれまで見てきた中で最も豊富で完全なデータソースとなる可能性を秘めています。 養子縁組予定 計画どおりに進みます。メタバース関連のソフトウェアビルドは現在の規制基準とコンプライアンス措置に準拠していると考えられますが、そのためには、急速に拡大するデジタル世界とその経済をサポートするのに適した更新が必要になります。この中核となるのは、メタバースへの貢献のセキュリティに責任を負う組織であり、社内のセキュリティ成熟度を高めて、ソフトウェアに取り組むすべての人、特に開発コホートがプロセスのあらゆる段階でセキュリティについて考え、実装できるようにすることです。
メタバースの成功に安全なコーディングが不可欠な理由
現実の世界でなりたいと思うすべてのアバターに代表される、無法地帯のデジタル次元を駆け巡るのは楽しいことかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはなりません。そして、実在の人物のデータや財務が危機に瀕している場合、それはゲームとはかけ離れた話です。
サイバーセキュリティでは、間違いが本当に壊滅的な結果をもたらす可能性があることを十分に認識しています。広く採用され、消費者の信頼が実を結ぶためには、メタバースのあらゆるコンポーネントの完全性を後回しにすることはできません。
組織は、ソフトウェアに積極的に取り組んでいる開発者のセキュリティスキルの向上に重点を置いて、セキュリティの成熟度を現実的に評価することから今すぐ計画を立てることができます。ラトガーズ大学の調査からわかるように、アクセス制御は広範囲にわたるデータ漏えいにつながる可能性のある強力な脆弱性の1つに過ぎず、セキュリティを意識した開発者は、コードが記述されるとき、そしてコミットされたコードを入力するかなり前にこれらの問題に対処するほうがはるかに適切です。
大規模なメタバースデータ漏えいが発生しても、サイバーセキュリティのスキル不足の言い訳に頼るだけでは解決しません。私たちの目の前には、できる限り最善を尽くすだけでなく、ソフトウェアセキュリティ基準を積極的に引き上げるためのツールがあります。今こそ、メタバースのアーキテクトのトレーニングに投資し、私たちが知っている製品やサービスを仮想的に再考することのメリットを享受する時です。
現在のデジタル最愛の要素であるメタバースの出現により、コードレベルの脆弱性とソーシャルエンジニアリングの両方に新たな攻撃対象領域が加わりました。そして、私たちは煙と鏡の上で繁栄するこの新しい競争の場での戦いに備えていないだけです。
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
この記事のバージョンが掲載されました 情報セキュリティマガジン。ここで更新され、シンジケートされました。
A 数年前、サイバーセキュリティが西部開拓時代であることについてたくさん話しましたが、多くのサイバー攻撃がもたらす可能性のある生命への非常に現実的なリスクは言うまでもなく、より多くの人々がサイバーセキュリティ全般に関心を持つことが切実に必要でした。
2023年に向けて、特に多くの影響力のある国の政府レベルで、ある程度の進展が見られたことは喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアへの道のりは終わりがありません。現在のデジタル・ダーリンであるメタバースの出現により、コードレベルの脆弱性とソーシャル・エンジニアリングの双方にとって、新たな攻撃対象領域が拡大しています。
そして、私たちは煙と鏡の上で繁栄するこの新しい戦場での戦いに備えていないだけです。
複合現実にはリスクが伴う
今月のフレーバーとしての現在の地位にもかかわらず、メタバースのコンセプトは長い間存在してきました。オンラインプラットフォーム セカンドライフ 2003年から存在し、完全にカスタマイズ可能なオンラインユニバースで忠実なニッチ市場にサービスを提供してきました。ユーザーのアバターが音声チャットやテキストチャットでやり取りしたり、ゲームをプレイしたり、アディダスのような企業が公式のバーチャルストアを提供したりします。純粋なゲームの面では、フォートナイトやワールドオブウォークラフトなどの大規模マルチプレイヤーオンライン(MMO)ゲームは、プレイヤーに広大な世界を提供し、マイクロトランザクションや仮想アイテムへのリアルマネーの調達への依存度が高まっています。フォートナイトのみで作りました 43億ドルのマイクロトランザクション収益 市場に出てから最初の2年間。
メタバースのコンセプトが今後も定着しつつあるだけでなく、マーク・ザッカーバーグほどの規模になることは明らかです。 メインストリームにプッシュして。これは、ご存知の通り、インターネット(少なくともソーシャルメディアと一部の電子商取引)のエキサイティングな進化ですが、サイバー攻撃や有害なエクスプロイトの機会は気が遠くなるほどです。
メタバースの攻撃対象領域は広範囲に及んでおり、ウェブベースのソフトウェア、API、支払いゲートウェイをはるかに超えています。VR ヘッドセットやアクセサリーの周辺要素もコアデータへの脅威となります。これらのデバイスに搭載されているソフトウェアは、脆弱な場合にその対価を払うのに非常に便利なレッドカーペットです。
ラトガーズ大学のセキュリティ研究者が明らかにした」フェイスマイク」今年初め、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害にどのようにつながる可能性があるかを調査したこの種の研究は初めてでした。この調査は興味深いもので、脅威アクターがモーションセンサーを内蔵した仮想現実(AR/VR)ヘッドセットを使用して、音声に関連する顔のジェスチャーを記録する可能性があり、その結果、クレジットカード情報やパスワードなど、音声起動制御を介して伝達される機密情報が盗まれる可能性があることが示されています。この問題の根本原因はユーザー認証の欠如にあるようです。アクセスに許可を必要としない加速度計とジャイロスコープがあれば、複雑な顔の動き、骨から伝わる振動、空気中の振動を記録して、ユーザーのパターンに応じて、銀行の暗証番号から非常に制限の厳しい医療記録まで、あらゆるものを推測できます。
メタバースでは、あなたが行うすべての動きがデータポイントであり、緩いソフトウェアセキュリティを介してアクセスできれば、攻撃者が運を試そうとするインセンティブは計り知れません。
スマートコントラクトは賢い敵に直面している
メタエコノミーでは、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが求められます。現在、柴犬のようなさまざまな暗号通貨コミュニティでメタバースのミクロ経済が成長しています。バーチャル不動産やその他の無形資産商品を購入するには、 スマートコントラクト ブロックチェーンに保存されているものが使用されます。
「ブロックチェーン」と言えば、ほとんどの普通の人(少し技術に精通している)は、それをデジタル通貨の未来と考えられるもののための安全で匿名のシステムとして理解しています。ただし、これには少し問題があります。侵入できないオンラインの要塞はなく、こうしたスマートコントラクトも例外ではありません。これらは本質的に小さなプログラムであり、ハッキングされる可能性があります。
スマートコントラクトは、整数オーバーフローとアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながる(非常に有害な)ブロックチェーン中心のバグなど、いくつかのかなり一般的な脆弱性のおかげで悪用されやすく、後者はユーザーが保存した暗号残高を使い果たす可能性があります。これらの攻撃はすべて、悪用されやすい脆弱性と安全でない設計基盤につながる貧弱なコーディングパターンによって可能になっています。
このテクノロジーは今後ますます広く使用されるようになりますが、現在の状況では、安全でフェイルセーフなメタバースを確保するために、十分なセキュリティ意識のある開発者を見つけるのに苦労するでしょう。特にデータや通貨が危機に瀕している場合、組織はメタバースへの関与の大きさを理解する必要があります... そして、これが当てはまらないシナリオを想像するのは難しいです。
規制されていない環境なのに、あなたは (今でも) 製品なんです
映画やテレビで見たように セカンドライフ、そしてビデオゲームやメタバース環境があれば、私たちは好きな人になれます。仮想世界では、可能性は想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力です。しかし欠点は、Metaのようなものの計画された規模では、あまりにも広大で、セキュリティの観点から気密になるような方法で取り締まるには分散化されすぎていることです。詐欺は避けられず、ソーシャルエンジニアリングの観点から見ると、熟練した犯罪者が対処すべきことはさらに増えるでしょう。
機密性の高いユーザーデータは新たな宝であり、メタバースはこれまで見てきた中で最も豊富で完全なデータソースとなる可能性を秘めています。 養子縁組予定 計画どおりに進みます。メタバース関連のソフトウェアビルドは現在の規制基準とコンプライアンス措置に準拠していると考えられますが、そのためには、急速に拡大するデジタル世界とその経済をサポートするのに適した更新が必要になります。この中核となるのは、メタバースへの貢献のセキュリティに責任を負う組織であり、社内のセキュリティ成熟度を高めて、ソフトウェアに取り組むすべての人、特に開発コホートがプロセスのあらゆる段階でセキュリティについて考え、実装できるようにすることです。
メタバースの成功に安全なコーディングが不可欠な理由
現実の世界でなりたいと思うすべてのアバターに代表される、無法地帯のデジタル次元を駆け巡るのは楽しいことかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはなりません。そして、実在の人物のデータや財務が危機に瀕している場合、それはゲームとはかけ離れた話です。
サイバーセキュリティでは、間違いが本当に壊滅的な結果をもたらす可能性があることを十分に認識しています。広く採用され、消費者の信頼が実を結ぶためには、メタバースのあらゆるコンポーネントの完全性を後回しにすることはできません。
組織は、ソフトウェアに積極的に取り組んでいる開発者のセキュリティスキルの向上に重点を置いて、セキュリティの成熟度を現実的に評価することから今すぐ計画を立てることができます。ラトガーズ大学の調査からわかるように、アクセス制御は広範囲にわたるデータ漏えいにつながる可能性のある強力な脆弱性の1つに過ぎず、セキュリティを意識した開発者は、コードが記述されるとき、そしてコミットされたコードを入力するかなり前にこれらの問題に対処するほうがはるかに適切です。
大規模なメタバースデータ漏えいが発生しても、サイバーセキュリティのスキル不足の言い訳に頼るだけでは解決しません。私たちの目の前には、できる限り最善を尽くすだけでなく、ソフトウェアセキュリティ基準を積極的に引き上げるためのツールがあります。今こそ、メタバースのアーキテクトのトレーニングに投資し、私たちが知っている製品やサービスを仮想的に再考することのメリットを享受する時です。
この記事のバージョンが掲載されました 情報セキュリティマガジン。ここで更新され、シンジケートされました。
A 数年前、サイバーセキュリティが西部開拓時代であることについてたくさん話しましたが、多くのサイバー攻撃がもたらす可能性のある生命への非常に現実的なリスクは言うまでもなく、より多くの人々がサイバーセキュリティ全般に関心を持つことが切実に必要でした。
2023年に向けて、特に多くの影響力のある国の政府レベルで、ある程度の進展が見られたことは喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアへの道のりは終わりがありません。現在のデジタル・ダーリンであるメタバースの出現により、コードレベルの脆弱性とソーシャル・エンジニアリングの双方にとって、新たな攻撃対象領域が拡大しています。
そして、私たちは煙と鏡の上で繁栄するこの新しい戦場での戦いに備えていないだけです。
複合現実にはリスクが伴う
今月のフレーバーとしての現在の地位にもかかわらず、メタバースのコンセプトは長い間存在してきました。オンラインプラットフォーム セカンドライフ 2003年から存在し、完全にカスタマイズ可能なオンラインユニバースで忠実なニッチ市場にサービスを提供してきました。ユーザーのアバターが音声チャットやテキストチャットでやり取りしたり、ゲームをプレイしたり、アディダスのような企業が公式のバーチャルストアを提供したりします。純粋なゲームの面では、フォートナイトやワールドオブウォークラフトなどの大規模マルチプレイヤーオンライン(MMO)ゲームは、プレイヤーに広大な世界を提供し、マイクロトランザクションや仮想アイテムへのリアルマネーの調達への依存度が高まっています。フォートナイトのみで作りました 43億ドルのマイクロトランザクション収益 市場に出てから最初の2年間。
メタバースのコンセプトが今後も定着しつつあるだけでなく、マーク・ザッカーバーグほどの規模になることは明らかです。 メインストリームにプッシュして。これは、ご存知の通り、インターネット(少なくともソーシャルメディアと一部の電子商取引)のエキサイティングな進化ですが、サイバー攻撃や有害なエクスプロイトの機会は気が遠くなるほどです。
メタバースの攻撃対象領域は広範囲に及んでおり、ウェブベースのソフトウェア、API、支払いゲートウェイをはるかに超えています。VR ヘッドセットやアクセサリーの周辺要素もコアデータへの脅威となります。これらのデバイスに搭載されているソフトウェアは、脆弱な場合にその対価を払うのに非常に便利なレッドカーペットです。
ラトガーズ大学のセキュリティ研究者が明らかにした」フェイスマイク」今年初め、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害にどのようにつながる可能性があるかを調査したこの種の研究は初めてでした。この調査は興味深いもので、脅威アクターがモーションセンサーを内蔵した仮想現実(AR/VR)ヘッドセットを使用して、音声に関連する顔のジェスチャーを記録する可能性があり、その結果、クレジットカード情報やパスワードなど、音声起動制御を介して伝達される機密情報が盗まれる可能性があることが示されています。この問題の根本原因はユーザー認証の欠如にあるようです。アクセスに許可を必要としない加速度計とジャイロスコープがあれば、複雑な顔の動き、骨から伝わる振動、空気中の振動を記録して、ユーザーのパターンに応じて、銀行の暗証番号から非常に制限の厳しい医療記録まで、あらゆるものを推測できます。
メタバースでは、あなたが行うすべての動きがデータポイントであり、緩いソフトウェアセキュリティを介してアクセスできれば、攻撃者が運を試そうとするインセンティブは計り知れません。
スマートコントラクトは賢い敵に直面している
メタエコノミーでは、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが求められます。現在、柴犬のようなさまざまな暗号通貨コミュニティでメタバースのミクロ経済が成長しています。バーチャル不動産やその他の無形資産商品を購入するには、 スマートコントラクト ブロックチェーンに保存されているものが使用されます。
「ブロックチェーン」と言えば、ほとんどの普通の人(少し技術に精通している)は、それをデジタル通貨の未来と考えられるもののための安全で匿名のシステムとして理解しています。ただし、これには少し問題があります。侵入できないオンラインの要塞はなく、こうしたスマートコントラクトも例外ではありません。これらは本質的に小さなプログラムであり、ハッキングされる可能性があります。
スマートコントラクトは、整数オーバーフローとアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながる(非常に有害な)ブロックチェーン中心のバグなど、いくつかのかなり一般的な脆弱性のおかげで悪用されやすく、後者はユーザーが保存した暗号残高を使い果たす可能性があります。これらの攻撃はすべて、悪用されやすい脆弱性と安全でない設計基盤につながる貧弱なコーディングパターンによって可能になっています。
このテクノロジーは今後ますます広く使用されるようになりますが、現在の状況では、安全でフェイルセーフなメタバースを確保するために、十分なセキュリティ意識のある開発者を見つけるのに苦労するでしょう。特にデータや通貨が危機に瀕している場合、組織はメタバースへの関与の大きさを理解する必要があります... そして、これが当てはまらないシナリオを想像するのは難しいです。
規制されていない環境なのに、あなたは (今でも) 製品なんです
映画やテレビで見たように セカンドライフ、そしてビデオゲームやメタバース環境があれば、私たちは好きな人になれます。仮想世界では、可能性は想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力です。しかし欠点は、Metaのようなものの計画された規模では、あまりにも広大で、セキュリティの観点から気密になるような方法で取り締まるには分散化されすぎていることです。詐欺は避けられず、ソーシャルエンジニアリングの観点から見ると、熟練した犯罪者が対処すべきことはさらに増えるでしょう。
機密性の高いユーザーデータは新たな宝であり、メタバースはこれまで見てきた中で最も豊富で完全なデータソースとなる可能性を秘めています。 養子縁組予定 計画どおりに進みます。メタバース関連のソフトウェアビルドは現在の規制基準とコンプライアンス措置に準拠していると考えられますが、そのためには、急速に拡大するデジタル世界とその経済をサポートするのに適した更新が必要になります。この中核となるのは、メタバースへの貢献のセキュリティに責任を負う組織であり、社内のセキュリティ成熟度を高めて、ソフトウェアに取り組むすべての人、特に開発コホートがプロセスのあらゆる段階でセキュリティについて考え、実装できるようにすることです。
メタバースの成功に安全なコーディングが不可欠な理由
現実の世界でなりたいと思うすべてのアバターに代表される、無法地帯のデジタル次元を駆け巡るのは楽しいことかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはなりません。そして、実在の人物のデータや財務が危機に瀕している場合、それはゲームとはかけ離れた話です。
サイバーセキュリティでは、間違いが本当に壊滅的な結果をもたらす可能性があることを十分に認識しています。広く採用され、消費者の信頼が実を結ぶためには、メタバースのあらゆるコンポーネントの完全性を後回しにすることはできません。
組織は、ソフトウェアに積極的に取り組んでいる開発者のセキュリティスキルの向上に重点を置いて、セキュリティの成熟度を現実的に評価することから今すぐ計画を立てることができます。ラトガーズ大学の調査からわかるように、アクセス制御は広範囲にわたるデータ漏えいにつながる可能性のある強力な脆弱性の1つに過ぎず、セキュリティを意識した開発者は、コードが記述されるとき、そしてコミットされたコードを入力するかなり前にこれらの問題に対処するほうがはるかに適切です。
大規模なメタバースデータ漏えいが発生しても、サイバーセキュリティのスキル不足の言い訳に頼るだけでは解決しません。私たちの目の前には、できる限り最善を尽くすだけでなく、ソフトウェアセキュリティ基準を積極的に引き上げるためのツールがあります。今こそ、メタバースのアーキテクトのトレーニングに投資し、私たちが知っている製品やサービスを仮想的に再考することのメリットを享受する時です。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
この記事のバージョンが掲載されました 情報セキュリティマガジン。ここで更新され、シンジケートされました。
A 数年前、サイバーセキュリティが西部開拓時代であることについてたくさん話しましたが、多くのサイバー攻撃がもたらす可能性のある生命への非常に現実的なリスクは言うまでもなく、より多くの人々がサイバーセキュリティ全般に関心を持つことが切実に必要でした。
2023年に向けて、特に多くの影響力のある国の政府レベルで、ある程度の進展が見られたことは喜ばしいことです。しかし、私たちにとって、真に安全なコードとより安全なソフトウェアへの道のりは終わりがありません。現在のデジタル・ダーリンであるメタバースの出現により、コードレベルの脆弱性とソーシャル・エンジニアリングの双方にとって、新たな攻撃対象領域が拡大しています。
そして、私たちは煙と鏡の上で繁栄するこの新しい戦場での戦いに備えていないだけです。
複合現実にはリスクが伴う
今月のフレーバーとしての現在の地位にもかかわらず、メタバースのコンセプトは長い間存在してきました。オンラインプラットフォーム セカンドライフ 2003年から存在し、完全にカスタマイズ可能なオンラインユニバースで忠実なニッチ市場にサービスを提供してきました。ユーザーのアバターが音声チャットやテキストチャットでやり取りしたり、ゲームをプレイしたり、アディダスのような企業が公式のバーチャルストアを提供したりします。純粋なゲームの面では、フォートナイトやワールドオブウォークラフトなどの大規模マルチプレイヤーオンライン(MMO)ゲームは、プレイヤーに広大な世界を提供し、マイクロトランザクションや仮想アイテムへのリアルマネーの調達への依存度が高まっています。フォートナイトのみで作りました 43億ドルのマイクロトランザクション収益 市場に出てから最初の2年間。
メタバースのコンセプトが今後も定着しつつあるだけでなく、マーク・ザッカーバーグほどの規模になることは明らかです。 メインストリームにプッシュして。これは、ご存知の通り、インターネット(少なくともソーシャルメディアと一部の電子商取引)のエキサイティングな進化ですが、サイバー攻撃や有害なエクスプロイトの機会は気が遠くなるほどです。
メタバースの攻撃対象領域は広範囲に及んでおり、ウェブベースのソフトウェア、API、支払いゲートウェイをはるかに超えています。VR ヘッドセットやアクセサリーの周辺要素もコアデータへの脅威となります。これらのデバイスに搭載されているソフトウェアは、脆弱な場合にその対価を払うのに非常に便利なレッドカーペットです。
ラトガーズ大学のセキュリティ研究者が明らかにした」フェイスマイク」今年初め、バーチャルリアリティヘッドセットの音声コマンド機能が、「盗聴攻撃」として知られる深刻なプライバシー侵害にどのようにつながる可能性があるかを調査したこの種の研究は初めてでした。この調査は興味深いもので、脅威アクターがモーションセンサーを内蔵した仮想現実(AR/VR)ヘッドセットを使用して、音声に関連する顔のジェスチャーを記録する可能性があり、その結果、クレジットカード情報やパスワードなど、音声起動制御を介して伝達される機密情報が盗まれる可能性があることが示されています。この問題の根本原因はユーザー認証の欠如にあるようです。アクセスに許可を必要としない加速度計とジャイロスコープがあれば、複雑な顔の動き、骨から伝わる振動、空気中の振動を記録して、ユーザーのパターンに応じて、銀行の暗証番号から非常に制限の厳しい医療記録まで、あらゆるものを推測できます。
メタバースでは、あなたが行うすべての動きがデータポイントであり、緩いソフトウェアセキュリティを介してアクセスできれば、攻撃者が運を試そうとするインセンティブは計り知れません。
スマートコントラクトは賢い敵に直面している
メタエコノミーでは、分散化、非物質化、柔軟性、そしてもちろん妥協のないセキュリティが求められます。現在、柴犬のようなさまざまな暗号通貨コミュニティでメタバースのミクロ経済が成長しています。バーチャル不動産やその他の無形資産商品を購入するには、 スマートコントラクト ブロックチェーンに保存されているものが使用されます。
「ブロックチェーン」と言えば、ほとんどの普通の人(少し技術に精通している)は、それをデジタル通貨の未来と考えられるもののための安全で匿名のシステムとして理解しています。ただし、これには少し問題があります。侵入できないオンラインの要塞はなく、こうしたスマートコントラクトも例外ではありません。これらは本質的に小さなプログラムであり、ハッキングされる可能性があります。
スマートコントラクトは、整数オーバーフローとアンダーフロー、リプレイ攻撃、リエントランシー攻撃につながる(非常に有害な)ブロックチェーン中心のバグなど、いくつかのかなり一般的な脆弱性のおかげで悪用されやすく、後者はユーザーが保存した暗号残高を使い果たす可能性があります。これらの攻撃はすべて、悪用されやすい脆弱性と安全でない設計基盤につながる貧弱なコーディングパターンによって可能になっています。
このテクノロジーは今後ますます広く使用されるようになりますが、現在の状況では、安全でフェイルセーフなメタバースを確保するために、十分なセキュリティ意識のある開発者を見つけるのに苦労するでしょう。特にデータや通貨が危機に瀕している場合、組織はメタバースへの関与の大きさを理解する必要があります... そして、これが当てはまらないシナリオを想像するのは難しいです。
規制されていない環境なのに、あなたは (今でも) 製品なんです
映画やテレビで見たように セカンドライフ、そしてビデオゲームやメタバース環境があれば、私たちは好きな人になれます。仮想世界では、可能性は想像力によってのみ制限され、その柔軟性はユーザーにとって大きな魅力です。しかし欠点は、Metaのようなものの計画された規模では、あまりにも広大で、セキュリティの観点から気密になるような方法で取り締まるには分散化されすぎていることです。詐欺は避けられず、ソーシャルエンジニアリングの観点から見ると、熟練した犯罪者が対処すべきことはさらに増えるでしょう。
機密性の高いユーザーデータは新たな宝であり、メタバースはこれまで見てきた中で最も豊富で完全なデータソースとなる可能性を秘めています。 養子縁組予定 計画どおりに進みます。メタバース関連のソフトウェアビルドは現在の規制基準とコンプライアンス措置に準拠していると考えられますが、そのためには、急速に拡大するデジタル世界とその経済をサポートするのに適した更新が必要になります。この中核となるのは、メタバースへの貢献のセキュリティに責任を負う組織であり、社内のセキュリティ成熟度を高めて、ソフトウェアに取り組むすべての人、特に開発コホートがプロセスのあらゆる段階でセキュリティについて考え、実装できるようにすることです。
メタバースの成功に安全なコーディングが不可欠な理由
現実の世界でなりたいと思うすべてのアバターに代表される、無法地帯のデジタル次元を駆け巡るのは楽しいことかもしれませんが、すべての「キャラクター」の背後に人間がいることを決して忘れてはなりません。そして、実在の人物のデータや財務が危機に瀕している場合、それはゲームとはかけ離れた話です。
サイバーセキュリティでは、間違いが本当に壊滅的な結果をもたらす可能性があることを十分に認識しています。広く採用され、消費者の信頼が実を結ぶためには、メタバースのあらゆるコンポーネントの完全性を後回しにすることはできません。
組織は、ソフトウェアに積極的に取り組んでいる開発者のセキュリティスキルの向上に重点を置いて、セキュリティの成熟度を現実的に評価することから今すぐ計画を立てることができます。ラトガーズ大学の調査からわかるように、アクセス制御は広範囲にわたるデータ漏えいにつながる可能性のある強力な脆弱性の1つに過ぎず、セキュリティを意識した開発者は、コードが記述されるとき、そしてコミットされたコードを入力するかなり前にこれらの問題に対処するほうがはるかに適切です。
大規模なメタバースデータ漏えいが発生しても、サイバーセキュリティのスキル不足の言い訳に頼るだけでは解決しません。私たちの目の前には、できる限り最善を尽くすだけでなく、ソフトウェアセキュリティ基準を積極的に引き上げるためのツールがあります。今こそ、メタバースのアーキテクトのトレーニングに投資し、私たちが知っている製品やサービスを仮想的に再考することのメリットを享受する時です。
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
