前言
臺灣的科技圈刮起一陣元宇宙(Metaverse)炫風,引發十分熱烈的討論,預期現實中的生活方式將有機會搬至元宇宙世界,將工作、上學、休閒、生活到遊戲都整合到數位場景當中;元宇宙能發展須倚靠5G的環境建構,以低延遲、快速及連結穿戴裝置等應用,以即時地達成虛實整合,促成元宇宙的創新商業模式。[1]
然而,隨著元宇宙世界開花結果的同時,卻也將過去現實世界中的資安風險,帶入元宇宙世界中。例如,今年的1月,臺灣虛擬實境公司遭受駭客攻擊,癱瘓公司的伺服器,而成為臺灣首起的元宇宙資安事件。[2]
再者,去年有一位美國女性登入虛擬社群平臺(Horizon Worlds)[3],上線一分鐘內,其虛擬身份隨即遭3、4個男性虛擬帳號騷擾,「甚至還截圖上傳社群」,讓她害怕不已,立即退出此虛擬社群平臺。事件發生後,Meta公司採取立即的補救措施,為玩家設立「安全專區」,阻止未來騷擾事件的發生,並僅允許擊掌等有限互動。[4]
由上述幾個案例,可以了解當組織與個人享用元宇宙的應用時,也應洞察元宇宙資安風險,完善企業資訊防護能力。
因此,本文將聚焦討論元宇宙應用的資安及個資挑戰,分為四個面向來介紹:第一部分,我們將討論5G穿戴裝置或雲端儲存資料被駭客入侵的風險;再來,元宇宙平臺廠商的APP應用風險;接著,討論虛擬貨幣及NFT存在的法律爭議及資安議題;最後,檢討AI製作假新聞及變臉等資安風險。
5G穿戴裝置或雲端儲存資料被駭客入侵的風險
1.何謂5G?5G的資安風險?
5G核心網路的發展,是數位化應用的巨大革命,即機房將逐漸虛擬化,以取代過去昂貴且複雜的硬體設備,進一步降低核心網路部署的成本,也降低了對單一解決方案提供商的依賴(詳見圖1)。[5]
電信業者為了打造5G的網路環境,必須投入以下資源:
- 高速度:擴大小型基地台數,以提升上網頻寬至Gbps等級速率。
- 多連結:提出低耗電且能大量連結物聯網設備的商業應用。
- 低延遲:建構低延遲傳輸、交易即時且穩定及可靠的通訊環境。
圖1 電信業者打造5G的網路環境
因此,電信業者傾向採自建專網的模式,達成高速、多連結與低延遲的5G環境。主要因為專網具獨立運作之特質,能避免遭受公共網路壅塞之影響,確保聯網設備的通訊品質,完善物聯網應用的可靠度(如提供智慧工廠或是智慧醫療所需的遠端操作機械、或是無人搬運車),例如專網與公共網路採實體隔離的模式,既能滿足組織的各種數位創新應用,又能避免組織機敏資料外流。
隨著5G的虛擬創新應用崛起,資安威脅也將從「謀財」進階為「駭命」;主要因為5G的基礎架構與內藏各種資安威脅:
- 5G的網路架構,將產生新的異質接取的網路需求,而產生各種介面攻擊的風險;
- 5G網路資訊架構的虛擬化(SDN/NFV),也伴隨新型態的資安弱點。
- 開源軟體為主的5G應用系統,將採用大量的開源軟體,而潛藏許多資安漏洞及弱點。
舉5G的智慧工廠為例,當生產線機器人的作業系統採開源原始碼撰寫,將潛藏許多資安漏洞及弱點,當無完整的資安防護時,將易遭受惡意軟體的感染而停擺,造成鉅額損失。 再者,應用越來越普及的無人駕駛車輛,也隨5G聯網應用擴大,提升駭客遠端駭入系統的機率,產生油門或行駛系統失靈等風險,而危害乘客人身安全。
此外,近期因新冠肺炎疫情蔓延,遠距與智慧醫療的需求急迫,卻也潛藏許多資安風險,例如醫生進行遠距手術的過程,若遭受網路攻擊,而中斷手術,或駭客駭入醫療相關之監控系統,恐造成病患生命安危。
2.5G資安攻擊是新型態攻擊手法嗎?
目前,5G電信業者正快速推展企業專網應用,與科技業合作發展智慧工廠,並改變傳統產業的生產流程;但5G垂直應用領域,也新增許多資安威脅,包含非法攔截訊號、隱私洩露、DDoS攻擊、偽造的基地台、資源竊取、外部網路威脅種種新的威脅。但是實際上,5G資安攻擊並非為新的攻擊手法,而是駭客重新包裝舊的攻擊手法,但因5G發展後,讓元宇宙將與生活更加緊密結合,使資安威脅水漲船高。
就此,我國通傳會因應5G 資安威脅,推動有五大資安防護面向(詳見圖2),打造安全、可信賴的5G系統設置與管理、安全的5G軟體更新與部署管理、5G網路資安事件即時處理,並建立資安事件通報與應變機制、5G網路上下游供應鏈資安管理,以持續精進5G資通安全防護措施[6],相對以嚴格的管理規則,規範臺灣電信業者,舉例來說雲端業者要進入電信機房建構邊緣計算服務,需另提資安管理規則。
未來,我國須持續關注國際5G相關法規發展面向,如分析歐洲電信標準協會ETSI之相關5G資安規範,以具體落實至我國的5G資安監理模式。
圖2 NCC 5G資安防護推動方向
元宇宙平臺的APP應用風險
元宇宙的發展應用,能融入一般人民的生活中,須結合行動及穿戴式APP應用,卻產生各種資安威脅,其大致上可以分成七種:有運用行動裝置勒索程式(加密使用者資料,勒索使用者換取解密金鑰)、越權廣告程式盜取使用者資料(未經使用者同意取得或獲取過多權限,取用使用者敏感性資料)、費率服務盜用程式(在背景偷用一些高費率服務,讓使用者的手機帳單費用無故飆高)、免越獄植入木馬(竊取憑證,將木馬程式安裝在沒有越獄的裝置上)、有漏洞程式庫/程式開發套件(處理敏感性資料程式庫及開發工具漏洞被利用)、偽造的程式ID(可讓惡意程式假冒正常程式的Android FakeID漏洞)、內建瀏覽器跨站來源存取漏洞(惡意程式可能存取正常網站所使用的資料和Cookie,取得敏感性資料)。
就此,國內外資安組織為了強化APP應用的資安防護量能,提供資安檢測的相關規範, 如2011年起就有OWASP Mobile Risks Top 10 ,至2015年有工業局行動應用App基本資安檢測基準V3.2,到2017年則為Mobile Security Testing Guide (MSTG) V1.1.3。
其中,我國經濟部工業局行動應用App基本資安檢測基準,為針對行動應用程式之功能分類,訂定各類別之安全要求分為三類:
L1:無須使用者身分鑑別之行動應用程式,須檢測之項目共 15 項。
L2:須使用者身分鑑別之行動應用程式,須檢測之項目共 29 項。
L3:含有交易行為之行動應用程式,須檢測之項目共 34 項。
而MSTG則是針對行動App的安全性及逆向工程之指引手冊,包含軟體開發流程各階段的安全要求、App端、裝置及Server端指引項目。包含7大面向、共62項測試項目(App:50項、Server:9項、 Both:3項),從架構、設計、威脅模型分析準則、資料儲存和隱私要求、加密驗證、身份驗證和對談管理準則、網路通訊規範、平臺互動規範、程式碼品質與建立設定要求。
元宇宙中虛擬貨幣的資安議題
1.何謂NFT?
NFT的意思是「非同質代幣(Non-Fungible Token)」,概念就是奠基在區塊鏈技術之上的代幣,每一個代幣都標誌著一個獨特的數位資料,就像是一種數位所有權證明,標誌著數位物品的所有人與交易紀錄。其有三個特性:
- 真實唯一性:更容易防偽、鑑真解決假貨問題。
- 流動性:改善傳統藝術品市場的流動性。
- 證明所有權很容易:解決藝術、影視、音樂產業著作、移轉及分潤問題。
2.OpenSea NFT交易所漏洞,用戶加密貨幣遭竊
因為NFT的發展,使元宇宙中的數位所有權的創作或擁有者,能透過NFT交易平臺,更快速的搓合買賣雙方,卻也衍生許多資安議題,舉例來說2021年10月有資安廠商發現NFT 交易所 OpenSea 存有資安漏洞[7],使駭客能藉此,利用惡意程式竊走 NFT使用者錢包之加密貨幣[8]。所以,若要預防元宇宙NFT駭侵,須重視以下資安措施:
- 切勿點擊可疑連結或附件:駭客經常使用網絡釣魚電子郵件,引誘使用者點擊,注入惡意程式,達成破壞MetaMask錢包憑據,故切勿隨意點擊可疑的NFT連接或附件。
- 啟用雙重身份驗證:啟用雙重身份驗證,可確保詐騙者無法使用惡意程式,盜取數位資產。其中,雙重身份驗證機制,包含指紋掃描及臉部識別等生物特徵。
- 驗證NFT賣家帳戶:當買家購買NFT時,請驗證NFT賣家的帳戶真實性,如透過社交媒體或Discord個人資料,確認賣家身份。
- 建立高強度密碼:加密貨幣錢包和各種NFT帳戶使用獨特的強密碼,以提高駭客竊取數位資產之難度。
- 反覆檢查NFT價格:買家購買NFT前,請於OpenSea等官方交易平臺上,交叉確認價格,若售價遠低於合法交易網站價格,即有可能為騙局。
- 勿分享認證密碼:不應該與任何人分享認證密碼,降低錢包受竊風險。
3.2022年3月美國總統拜登簽署首個加密貨幣行政命令
由前文可知,元宇宙的使用、交易及應用,存在許多資安風險。就此,2022年3月美國總統拜登簽署首個加密貨幣行政命令[9],以打擊不法洗錢、保護消費者利益,並促進沒有金融服務的地區使用新技術解決問題,該行政命令的具體方針[10]如下:
- 保護消費者及美國企業:該命令明確指導財政部與其他機關強化合作,以保護美國消費者、企業,滿足漸增的數位資產投資需求,以適應市場變化。
- 加強金融機構監管:鼓勵金融監管機構制定適當的加密貨幣監管辦法,以保護美國與全球金融穩定,以降低其統性風險。
- 打擊非法金融:協調美國相關機構共同打擊非法金融,降低國家安全風險,並與盟友合作,降低加密貨幣的非法風險。
- 促進技術與經濟競爭力:美國商業部建立加密貨幣框架,引導各機構發展數位資產政策,並發展數位資產的技術,以鼓勵加密貨幣廠商進行研發與營運。
- 支持負責任的創新技術:支持技術創新並確保負責任地開發與使用,優先考慮隱私、安全、打擊非法利用等,並減少對氣候的影響。
- 鼓勵Fed評估、研究及發展數位貨幣(CBDC):優先讓美國參與跨國數位貨幣(CBDC)試驗,以確保美國於該技術領先國際。
4.我國虛擬通貨交易之監理
2018年11月我國修調「洗錢防制法」第5條,將「虛擬通貨平臺及交易業務之事業」納入管制;後續,2021年7月金管會依洗錢防制法第5條第2項規定,公告「虛擬通貨平臺及交易業務事業防制洗錢及打擊資恐辦法」,規定虛擬通貨平臺及交易業務事業建立洗錢防制內部控制與稽核制度,以確認客戶身份、記錄保存,並申報一定金額以上交易,及通報疑似洗錢或資恐等交易帳戶。
再者,金管會於2020年1月發布證券型虛擬通貨發行(STO)管理辦法,滿2年卻無任何業者申請,故該會於2022年1月宣布修改規定[11],放鬆STO之監管力道:
- 修正STO管理辦法規定:證券商於無重大違反STO管理辦法前提,單一平臺受理首檔STO交易後,能再接受第二檔以上STO,間隔期間將由1年縮短為6個月。並將原單一平臺募資上限,由1億元提高至2億元。
- 開放境外華僑及外國人得投資:金管會將修正相關函令,並請櫃買中心修正STO管理辦法及相關配套措施,開放境外華僑及外國人得投資募資金額3,000萬元(含)以下的STO。
- STO屬結合金融科技的新興募資模式:金管會仍將兼顧金融穩定和創新作法,循序漸進調適各項法規。
另外,虛擬通貨的發行銷售經常採多層次傳銷模式[12],故須以多層次傳銷管理法進行規定,採報備監理模式進行,使其傳銷商之收入來源以合理市價推廣,並以銷售商品為主,不得以介紹他人參加為主要收入來源。
元宇宙中運用AI製作假新聞及變臉等威脅
不法人士運用AI於元宇宙中製作假新聞及變臉威脅,就屬2021年網紅利用AI將知名人士的臉部合成至A片中,震驚一時,使得2022年5月立法院併案審查《刑法》性私密影像修正草案版本,取得增訂《妨害性隱私及不實性影像罪》專章共識,凸顯元不法人士於宇宙中,利用AI製作假新聞及變臉之風險。
1.何謂AI製作假新聞及變臉?
不法人士利用AI技術透過萃取(Extraction)足夠的圖像,訓練人臉替換模型[13],進而訓練(Training)此替換模型,並使用自動編碼器完成訓練[14],再使用兩個共享相同的編碼器,訓練源人臉及目標人臉,直到原人臉能替換(Replacement)目標人臉。最後,將Deepfake圖像插入到所需的影音中,使合成人臉的角度與目標人物頭部的角度相似,創造(Creation)假的合成人臉。
2.影響國家安全與自由(Threat to National Security and Democracy)
假新聞的認知作戰[15],將造成社會、經濟及國家安全不同程度的影響。舉例來說,境外敵對勢力可能偽造政治人物或公職人員受賄、辱罵種族或通奸等影音內容,引發社會公憤,干擾民主選舉。
境外敵對勢力也可能利用假影音,煽動人民對立,引發區域或暴力浪潮,甚至偽造總統“宣布”戰爭或緊急流行病,引發恐慌,達成認知作戰之目的。
3.AI製作假新聞及變臉可能的解決方案
知名論文IEEE PAMI 《模式分析與機器智慧彙刊》[16],提出光體積變化描記圖法(Photo plethysmo graphy,PPG),以辨識AI變臉,即透過電腦辨識臉部血液輕微跳動感,及皮膚出現區域性的顏色變化,辨識出DeepFake 的假人臉[17]。
4.國際AI立法趨勢
除了上述的AI辨識技術解決方案外,國際上也有國家開始嘗試以立法管制AI,如2022年4月歐盟執行委員會提出「人工智慧管理法草案」,依AI發展及使用風險分成四類,包含不可接受的風險、高風險、有限風險及最小風險;一旦AI的發展技術或是應用,被政府認定為不可接受風險時,其行為或是服務應當完全被禁止,如獨裁國家利用AI技術進行社會信用等級之計算,應被禁止。
結論
科技日新月異,元宇宙再度重新給我們更多對於未來的想像,然而,種種發生在實體世界所發生的事情,都可能在元宇宙發生,然而是否可直接套用過去實體世界的監管方式,仍然有待商確。
更困難的是,新問題也因元宇宙的發展運用而生,包含隱私、虛擬貨幣洗錢及假新聞與認知作戰等議題,衝擊社會、經濟、甚至國家安全。因此,我國政府除了須要鼓勵研究元宇宙的各項創新外,更須評估其對應的資安風險,針對國內的各項法規進行修調,並建立各種配套措施。
注釋
[2]https://tw.news.yahoo.com/%E9%A6%96%E5%AE%97-%E9%A7%AD%E5%AE%A2%E5%85%A5%E4%BE%B5%E5%85%83%E5%AE%87%E5%AE%99-%E7%99%B1%E7%98%93-%E8%99%9B%E6%93%AC%E5%B1%95%E9%96%93-%E6%90%8D%E5%A4%B1%E4%B8%8A%E7%99%BE%E8%90%AC-003515309.html
[3] 虛擬社群平臺Horizon Worlds是由原臉書現為Meta公司打造的元宇宙虛擬實境(VR)平臺。
[7]OpenSea 帳號係透過第三方加密貨幣錢包軟體來運作, 詳見https://technews.tw/2022/01/27/opensea-hacked/
[8] 例如從某個 NFT 藝術品的連結按讚,觸發錢包軟體對 OpenSea 發出登入要求;同時,製作一個含有惡意程式碼的NFT,等待受害者開啟;其攻擊步驟為:
(1)駭客上傳夾有JavaScript惡意程式碼,以SVG 檔注入OpenSea平臺上。
(2)使用者點擊上述(圖)檔案,瀏覽器將自動開啟新頁籤,於storage.opensea.io網域中,執行JavaScript程式碼。
(3)駭客於SVG檔中安插另一段程式碼。
(4)駭客成功開啟用戶的加密貨幣錢包。
[9] 詳見:https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/09/fact-sheet-president-biden-to-sign-executive-order-on-ensuring-responsible-innovation-in-digital-assets/
[10] 參酌https://www.blocktempo.com/whitehouse-annouce-the-executive-order-of-biden-and-circle-ceo-says-it-is-a-biggest-opportunity/
[11]參酌https://tw.news.yahoo.com/news/%E5%85%A9%E5%B9%B4%E7%84%A1%E4%BA%BA%E5%95%8F%E6%B4%A5-%E9%87%91%E7%AE%A1%E6%9C%83%E6%94%BE%E5%AF%ACsto%E4%B8%89%E8%A6%8F%E5%AE%9A-201000861.html
[12] 林繼恆等(2021),新興金融科技遭濫用於犯罪之研究成果報告書,司法官學院犯罪防治研究中心。
[13] 資料來源https://www.gov.uk/government/publications/cdei-publishes-its-first-series-of-three-snapshot-papers-ethical-issues-in-ai/snapshot-paper-deepfakes-and-audiovisual-disinformation
[14] 包含兩部分組成神經網路,利用編碼器獲取人臉圖像,並壓縮為低維的潛在人臉,再透過解碼器重建臉部。
[15] 資料來源:https://blogs.scientificamerican.com/observations/why-are-deepfakes-so-effective/
https://www.lawfareblog.com/deepfakes-looming-crisis-national-security-democracy-and-privacy
[16] 三位分別來自紐約州立大學賓漢頓分校和英特爾(Intel,NASDAQ: INTC)公司的研究人員提出,資料來源詳見:https://businessfocus.io/article/150432/deepfake-%E5%BF%83%E8%B7%B3%E8%A1%80%E6%B5%81-%E7%A0%B4%E8%A7%A3%E6%B3%95
[17] 對造真實影片及DeepFake 演算法生成的影片,前者的雜訊卻很少,後者DeepFake產生的 PPG 信號有許多雜訊。