Meta QuestのAttestation APIとは？VR・MRの安心利用に必須！

Meta Questデバイスは、Meta Quest社が開発したヘッドセット型のVR・MRデバイスです。

2023年にはMeta Quest 3が発売されており、デジタルゲームやエンターテイメントなどの用途でVRを楽しむ際に活用することが大きく期待されています。（*1）

この記事ではMeta Questの概要とMeta Questのセキュリティ対策に利用できるAttestation APIとはどのようなものかを解説します。

Meta QuestとはMeta社のVR・MRデバイス

Meta Questは、PCやスマートフォンなど他デバイスに接続しなくても独立して使用可能なスタンドアロン型です。
ここでは簡単にMeta Quest 2とMeta Quest 3の機能を比較しています。（*2）

特徴	Meta Quest 3	Meta Quest 2
発売日	2023年10月10日	2020年10月13日
チップセット	Snapdragon XR2 Gen2	Snapdragon XR2 Gen1
ディスプレイ解像度	2064 x 2208、1218 PPI、25 PPD	1832 x 1920、773 PPI、20 PPD
ストレージ	128GB、512GB	128GB、256GB
DRAM	8GB	6GB
バッテリー持続時間	5,060mAh（2.2時間駆動）	3,640mAh（2時間駆動）
サイズ（W×L×H）	160×184×98mm	145×185×103mm
パススルーの忠実度	カラー(4MP、18 PPD)	グレースケール
価格	128GB：74,800円、512GB：96,800円	128GB：47,300円、256GB：53,900円

Meta Quest 3はMeta Quest 2と比べてスリム化したほか、ヘッドセットを外さずに現実世界を見ることができるパススルー機能が搭載されています。
6つのカメラとセンサーにより白黒ではなくフルカラーで現実世界がみられるのです。

また、Meta Quest 3は、Meta Quest 2よりもチップセットやRAMが強化されており、ディスプレイ解像度が高性能になっていて、グラフィック性能が2倍以上向上しています。

今後活用が期待されている用途

VR・MRは観光や展示会、研修など幅広い分野に利用されています。
例えば、Meta Quest 3が発売された2023年10月10日から11月19日までは、最新VRゲームの体験プレイを行っています。
また、Meta Quest 3とTVアニメ「推しの子」とのコラボCMなど、さまざまなコンテンツが登場しています。（*3）

さらに、雪まつりのVR体験や観光名所について360度VR映像化、AR体験のように観光地・物産をVRやMRで再現できれば、現地はもとよりプロモーションとして活用する余地があります。（*4）

また、企業でもショールームやイベントをVR体験することで自由度の高い表現を行ったり運営費を抑えたりする活用も増えてきているのです。

Meta QuestのAttestation APIとは不正利用を防止するためのAPI

Meta QuestのAttestation APIとは、Meta Questのデバイスで実行されるアプリの安全性を確保して不正利用を防止するためのAPIです。

不正検知が必要となる背景とは

Meta Questなどのデバイスが拡充することで、VR・MR・ARがさまざまな分野に活かされるようになっています。
しかし、利用が拡大すると同時にセキュリティ上の問題にも対応しなければなりません。
不正検知ツールは、VR空間内での不正行為や、VR空間そのものに対する不正な改ざんなど情報の欠損・不整合を予防するために欠かせません。

VRアプリの改変は、そのアプリの利用規約によって異なりますが、違法であることが一般的です。
もしVRアプリが不正に改変されると、アプリの動作が変更されたり、元のアプリにはない機能が追加されたりします。
また、セキュリティ上の問題があればユーザーの情報や決済が不正に使用されてしまうこともあるのです。
そこで、VR・MR・ARのアプリには、不正検知ツールを導入して不正行為の予防と、情報の信頼性確保を図っているのです。

不正被害の具体例

インターネット空間で起こりうるセキュリティ上の問題には以下などがあります。（*5）

順位	個人	組織
1位	フィッシングによる個人情報等の詐取	ランサムウェアによる被害
2位	ネット上の誹謗・中傷・デマ	サプライチェーンの弱点を悪用した攻撃
3位	メールやSMS等を使った脅迫・詐欺の手口による金銭要求	標的型攻撃による機密情報の窃取
4位	クレジットカード情報の不正利用	内部不正による情報漏えい
5位	スマホ決済の不正利用	テレワーク等のニューノーマルな働き方を狙った攻撃
6位	不正アプリによるスマートフォン利用者への被害	修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）
7位	偽警告によるインターネット詐欺	ビジネスメール詐欺による金銭被害
8位	インターネット上のサービスからの個人情報の窃取	脆弱性対策の公開に伴う悪用増加
9位	インターネット上のサービスへの不正ログイン	不注意による情報漏えい等の被害
10位	ワンクリック請求等の不正請求による金銭被害	犯罪のビジネス化（アンダーグラウンドサービス）

引用：独立行政法人 情報処理推進機構｜情報セキュリティ10大脅威 2023

Attestation APIの概要

Meta Quest向けのAttestation APIとは、安全してVRアプリが使えるように、不正な改変や潜在的なセキュリティ侵害から保護する目的で開発されているAPIです。
Meta QuestのAttestation APIはネイティブ版とUnityが公表されています。

Attestation API対応可能なセキュリティ対策

Meta QuestのAttestation APIはアプリの完全性と真正性を検証するためのAPIです。
対応可能なセキュリティ対策は以下の5つです。（*6）

• 安全なデバイス認証
• ハードウェアベースの利用禁止
• 財務・業務データの保護
• 外部データの悪用防止
• 著作権侵害対策

Attestation APIの仕組み

Meta QuestのAttestation APIは、開発者に構成証明トークンを提供することで、アプリがMetaデバイスで改ざんされていないかを確認することが可能です。（*7）
そのためクライアント側のAPIはMetaサーバーとの通信が必要で、APIの呼び出しにはWi-Fi接続が必須です。
また、APIコールの上限は100件／日（50件／時）で、一度発行されたトークンの有効期限は24時間です。

1. ノンスの生成：アプリサーバーがノンス（1回限り使用できるランダムなデータ）を生成してアプリクライアントに送信
2. Attestation APIの呼び出し：アプリクライアントがAPIを使用してトークンを取得
3. セキュリティシグナル：APIが必要なシグナルを収集し、Metaサーバーに送信
4. トークンの生成：Metaサーバーがシグナルを基にトークンを生成
5. トークンの受け取り：アプリクライアントがAPIからトークンを受け取る
6. サービスリクエスト：アプリがトークンを自身のサーバーに送信
7. トークン認証リクエスト：アプリサーバーがMetaサーバーにトークンの検証リクエストを送信
8. トークンの認証：Metaサーバーがトークンを検証し、結果をアプリサーバーに送信
9. サービスの提供：アプリサーバーがトークンの認証結果に基づき、サービスをアプリクライアントに提供

まとめ

Meta QuestのAttestation APIとは、Meta Questを利用する際に生じる可能性がある不正な改変や潜在的なセキュリティ侵害から保護するために必要となるAPIです。
Meta Questの利用拡大が期待されるなか欠かせないAPIだと言えるでしょう。

参考URL
*1 https://www.meta.com/jp/quest/quest-3/
*2 https://www.meta.com/jp/quest/compare/
*3 https://prtimes.jp/main/html/rd/p/000000007.000072655.html
*4 https://group.ntt/jp/nttxr/topics/topics00096/
*5 https://www.ipa.go.jp/security/10threats/10threats2023.html
*6 https://www.moguravr.com/meta-quest-attestation-api/
*7 https://developer.oculus.com/documentation/native/ps-attestation-api/?locale=ja_JP