過去所談的釣魚攻擊、詐騙、勒索軟體等網路潛在資安風險,在即將到來的元宇宙(metaverse)世界同樣會發生嗎?如果答案肯定,那麼駭客攻擊手法會有什麼改變?
這是趨勢科技的元宇宙資安部門(Metaverse Security)負責人古炎秋(Sam Ku),帶領新團隊每天在思索的問題。
今年3月,趨勢科技的「VR研究團隊」晉升成「元宇宙資安部門」
而看似瞄準未來的元宇宙資安部門,前身竟是趨勢科技內部的「VR研究團隊」。
時間回到2016年,順應VR/AR元年的潮流,古炎秋在趨勢科技內部成立VR研究團隊,主要開發VR/AR穿戴裝置裡面的「內容」,「比如我們幫政府做VR資安戰情室,將一些攻擊、入侵的資料視覺化,然後放在VR裝置裡面以3D呈現,這個project到現在都還在繼續。」
但他隨後發現,VR/AR穿戴裝置在市場上的推廣沒有想像中順利,「痛點有很多個,第一個是頭罩(穿戴裝置)太重了;第二個是暈眩的問題,有些人一戴上去就覺得頭暈;再來就是裝置價格過於昂貴,在Meta還沒推出比較便宜的Oculus前,裝置的價格大約落在新台幣2、3萬元。」外界一開始對於VR/AR技術的預期是市場需求會一路飆升,可惜錯估了大部分使用者的體驗感受與消費能力。
直到2021年年底,科技巨頭Facebook宣布將公司更名為Meta,開始暢談對「元宇宙」的美好想像時,VR/AR穿戴裝置成為元宇宙共通的入口,再一次成為話題。
這次,古炎秋帶領部門成員一同將眼光擴展到整個「元宇宙」:一方面希望確實發揮趨勢科技本身的優勢,提前為元宇宙可能衍生的資安議題做準備,另方面持續挖掘VR/AR技術的發展契機,並推動VR研究團隊擴建成為元宇宙資安部門。
元宇宙的潛在資安威脅?可能源自兩大核心技術應用
古炎秋認為,元宇宙的資安威脅可能存在於兩項元宇宙的核心技術:區塊鏈、VR/AR。
「區塊鏈的資安威脅很明顯、直接,就是(加密貨幣)詐騙,現在已經實際發生了,而且造成非常多的損失。」古炎秋指出,根據美國聯邦貿易委員會(Federal Trade Commission, FTC)按年度報告的加密貨幣詐騙損失,2020年累積1.3億美元、2021年累積6.8億美元,到了2022年第一季便累積3.29億美元,可見損失力道驚人。
古炎秋說明,區塊鏈上的交易金額平均落在10~20萬美元,而且普遍被當成個人投資或投機所用,如此龐大的資金池自然吸引全世界駭客的目光。
「區塊鏈交易很容易遇到釣魚網站、交易權限不明確的問題。」古炎秋解釋,當使用者想要運用加密貨幣進行轉帳、投資時,經常遇到駭客利用釣魚網站(連結)來騙取NFT轉帳的權限,「你可能在看不懂(權限內容)的情況下就直接按同意、連接到加密貨幣錢包,然後錢就被盜走了。」
「 資安攻擊總是出現在最有利可圖的地方。 」古炎秋繼續補充,外加上區塊鏈技術帶來「去中心化金融(Decentralized Finance, DeFi)」的體驗,沒有任何組織能夠替被害人追回被詐騙的錢,「你如果真的被詐騙,錢就追不回來了。如同元宇宙裡流行的一句話,do your own research(DYOR),你會被詐騙是因為你研究不夠,要自己承擔所有風險。」
那VR/AR呢?「以目前情況來講,最明顯的資安問題是『隱私』。」古炎秋指出,當人們透過VR/AR穿戴裝置進入元宇宙,這些裝置(如頭盔裝置、遙控手把)裡必定藏有許多感測器、攝影機、陀螺儀,用來蒐集使用者身上的所有行為,「像我們可以從中獲取用戶的生理狀況、心理狀況、年齡、性別等具體資料,甚至,未來能夠從頭盔裝置判定用戶的所在位置,全面掌握隱私資訊。」而上述的隱私洩漏情況會比Web2時代更嚴重。
有關VR/AR裝置所帶來的隱私外洩機率,現在還沒有可靠的量化數據。古炎秋解釋:「VR/AR穿戴裝置在市場上還沒有普及,以及廠商所提供的公開資料沒有那麼多,所以我們連VR/AR裝置到底賣了多少台?都只能靠顧問單位推斷市值、出貨量。」
元宇宙的資安威脅當然不只如此,還包含AI Deepfake、勒索軟體等等,「所有的駭客攻擊,都是衝著金錢(虛擬貨幣)利益而來。」古炎秋總結說道。
傳統資安公司進擊元宇宙市場,一切都有可能
面對上述的潛在資安風險,趨勢科技的元宇宙資安部門兵分兩路。
在區塊鏈資安部分,趨勢科技一方面嘗試提供防詐騙服務,即協助客戶檢查每筆交易的權限問題、取消所有不必要的授權。另一方面,針對大型NFT交易所提供「自動化智慧合約審計」服務,「智慧合約上鏈以後便不能修改,假設合約出現漏洞就容易引來攻擊,偏偏區塊鏈上面都是錢,攻擊所造成的損失難以想像。」有鑑於此,推出自動化智能合約審計服務,期望降低出錯風險。
而在VR/AR部分,古炎秋表示仍在觀望中,「VR/AR現在做資安,效益是不大的,因為多數人都還沒有設備。」趨勢科技現階段會以推廣應用為目標,如先前所提到的開發VR/AR實況內容。
以上各項服務都是未來進行式,因此有關合作夥伴、營收等細節,趨勢科技表示暫時無法透露。但古炎秋表示,今年的目標比較像是試水溫,「我們(趨勢科技)是外界看來比較傳統的資安公司,在這樣的情況下,想要進入元宇宙資安市場是否是好的選擇?我不太確定,所以會在第一年積極嘗試各種策略,來試試整個市場能否接受我們進到這個領域。」
