米ConsenSys、批判集まるメタマスクのユーザーデータ取得について釈明

米ConsenSysのプライバシーポリシー

米大手ブロックチェーン開発企業ConsenSysは24日、同社のプライバシーポリシーについて補足するブログ記事を投稿。暗号資産（仮想通貨）ウォレット「MetaMask」に関係するユーザーデータ取得は、規制当局の問い合わせへの対応を目的としたものではないと伝えた。

前日にConsensysは自社のプライバシーポリシーを更新し、MetaMaskユーザーにデフォルトのRPCプロバイダーとして「Infura」を指定したまま取引を行うと、IPアドレスとイーサリアム（ETH）ウォレットアドレスが（Infuraで）収集されていることを明記した。

The language in our privacy policy was updated on November 23rd.

Nothing has changed in the way MetaMask and Infura operate.

Here’s a statement clarifying what we do with user data (spoiler: nothing).https://t.co/4dDKMvcMvv
— MetaMask 🦊💙 (@MetaMask) November 24, 2022

プライバシーポリシーの文言が11月23日に更新されたが、MetaMaskとInfuraの運営方法に変更はない。これは、ユーザーデータの取り扱いを明確にするステートメントだ。

同社はプライバシーポリシーを更新した理由について語る一方、なぜユーザーデータを取得するのかについては述べていない。リプライ（返信）にはWeb3にプライバシー保護を期待してきたユーザーから批判的な意見が寄せられている。

24日のリリースで、ConsenSysは改めて以下のように確認している。

ユーザーがInfuraなどのRPCプロバイダーを通じてイーサリアムやその他のブロックチェーンとやりとりする場合（取引の送信や残高の要求など）、そのプロバイダーはサービスを提供するためにユーザーのIPとウォレットアドレスの両方を受け取る。これはInfura固有のものではなく、一般的なウェブアーキテクチャの仕組みと一致する。

ConsenSysによると、ポリシーの更新は同社のデータ収集方法をより詳細に説明することが目的で、MetamaskとInfuraの運用方法は以前と変更はない。透明性を提供するための行動であり、「RPC設定を変更できるMetaMaskの仕組みをユーザーに教育する」目的もあったと加えた。

MetamaskもInfuraも共に開発組織が米国を本拠とするConsenSys社の管理下にあるため、法令遵守や政府の召喚状対応も考慮したものと推測されたが、これについては「規制当局の問い合わせへの対応を目的としたものではない」と明言している。

また、「行き過ぎたデータ収集やデータ処理につながるものではない」と主張している。

関連：仮想通貨ウォレット・メタマスク、ユーザーデータ取得へ

RPCの設定とは

ConsenSysのプライバシーポリシー更新のきっかけは、11月2日にMakerDAOの有力者Chris Blec氏が指摘したこと。当時、ConsenSysがETHウォレットアドレスを収集する一方でMetamaskは収集しない、と説明し、Infuraの記述が欠如していたとされる。

Ethereum wallet addresses are listed as data harvested from users in the @ConsenSys privacy policy, which is linked from @infura_io & @MetaMask website footers.

But then it goes on to say that MM isn't collecting your addresses.

So which is it? What are they saying here? pic.twitter.com/5DrgAoqdJV
— Chris Blec (@ChrisBlec) November 1, 2022

RPCは、ブロックチェーンの大量データを保存するノードとの間で情報を通信する中継器。MetaMaskの初期設定でInfuraが指定されているInfuraはノードも実行しているため、トランザクションを発行するユーザーのIPアドレスを把握でき、それらを記録していたとされる。

多くのユーザーが恐れるのは、Infuraが保存するユーザーのウォレットアドレスとIPアドレスのセットが漏洩して個人情報が特定されるリスクが生じることだ。

本来、IPアドレスから住所や現在地などの場所までは特定できないとみなされているが、過去にはウォレットアドレスとIPアドレスを取得した犯罪者が、仮想通貨投資家を誘拐し、資産を強奪したとされる事例も報告されている。

My team and I discovered a critical privacy #vulnerability in the most popular #crypto #wallet.

Are you using MetaMask ?
Well, I have bad news for you – your #privacy is at risk!@samczsun @gakonst @VitalikButerin @cz_binance @phildaian https://t.co/ar30UMzR1G
— Alex Lupascu o.O (@alxlpsc) January 20, 2022

ConsenSysが言うように、ユーザーは自身でサードパーティ製のRPCに変更できる。しかし、RPCの変更はプロバイダーの信頼性の面で別のリスクが伴い、各社が同様のデータ収集を行っていないかプライバシーポリシーを確認する作業負担もユーザーに要求される。

以下の画像はウェブブラウザからMetamaskのカスタムRPCを設定する場面と、イーサリアムメインネットのサードパーティ製のRPCの一覧だ。

出典：DeFillama

出典：Chainlist

ConsenSysはまた、匿名化技術など、情報のエクスポージャーを最小限に抑えるための技術的な解決策を追求すると述べている。Yearn Finance等のDeFi開発者@fubuloubuはこれらのデータ収集方法について、「ウォレットアドレスとIPアドレスをそのまま保存するのではなく、匿名化されたデータ収集方法を採るべきだ」と指摘していた。

CoinPost App DL