情報保護の観点から監査
サム・アルトマン氏らによる暗号資産(仮想通貨)プロジェクト「Worldcoin(ワールドコイン)」は14日、第三者機関であるITセキュリティ企業Trail of Bitsによる監査結果を発表した。
オーブが情報を安全に処理していることを検証し、セキュリティ上の推奨事項を提案している。
Trail of Bitsは、IDを作成するためにユーザーの虹彩データを読み取るデバイス「Orb(オーブ)」のソフトウェアを検証した形だ。2023年7月8日時点でのバージョン3.0.10について、8月14日に評価を開始している。
Trail of Bitsはまず、サインアップフローにおいては虹彩コード以外の、個人を特定できる情報(PII)はオーブによって収集されず、その永続ストレージに書き込まれることもないことを確かめた。
また、オプトイン・サインアップの場合も、PIIはオーブによって安全に処理され、デバイス上に保持される唯一のPIIはオーブのSSD上にあり、暗号化されていると述べた。
さらに、オーブがユーザーの携帯電話から収集する情報はQRコードのみであり、その他の個人情報などを引き出すことはないとしている。
最後に、ユーザーの虹彩コードはオーブの永続ストレージに書き込まれず、安全に処理されると確認した。
セキュリティ上の推奨事項に対応済
今回、Trail of Bitsにはオーブへの実行時アクセスに加えて、完全なソースコードへのアクセスが与えられ、6週間調査が行われた。
Trail of Bitsは、「ワールドコインのプロジェクト目標に関連して直接悪用できるようなコードの脆弱性は発見されなかった」と結論している。
攻撃者は、デジタル証明書のいずれかをコントロールしない限りは、ユーザーの虹彩コードを取得することはできないと分析した格好だ。
Trail of Bitsは、オーブのセキュリティを強化するための推奨事項も挙げている。まず、QRコードのスキャンに使用されるライブラリに潜在的なメモリ安全性の問題があったため、純粋なRustバーコードスキャンライブラリ「rxing」に置き換えることだ。
また、アップデートの際にセキュリティ問題が発生しないように、サインアップフローの構成を強化することである。いずれも、ワールドコインのチームが監査後、勧告に従って対処済だとされる。
ワールドコインは、今後も第三者機関によるセキュリティ評価を行っていくと宣言した。問題点を見つけた者に賞金を与えるバグ報奨金プログラムも実施するとしている。
背景として、ワールドコインに対して各国当局が情報保護の観点から懸念を示しているところだ。最近では韓国の個人情報保護委員会がワールドコインによる個人情報収集について調査を開始すると発表した。
仮想通貨初心者向け特集
| イチから学ぶ仮想通貨投資、ビットコインの買い方まで徹底解説 | どれを買えばいい?仮想通貨(ビットコイン、アルトコイン)銘柄の選び方 |
| 人気銘柄別、日本国内の仮想通貨取引所、おすすめ5選 | 仮想通貨の仕組み【初心者向け図解】暗号技術と問題点について |
| CoinPostアプリで優位性を | Twitter投稿が3億円の価値に|大企業も注目する「NFT」の仕組みと可能性 |
