Ledger社、秘密鍵復元サービスをローンチへ バックドアに懸念の声も
ウォレットの新サービス
暗号資産(仮想通貨)ウォレット企業のLedger社は16日、新しいブロダクト「Ledger Recover」を近くローンチするとを発表した。
このプロダクトは、ユーザーが使用するかどうかを選択できるサービス。シークレットリカバリーフレーズ(以下、リカバリーフレーズ)をバックアップしたいユーザーが利用するサービスだが、このプロダクトの提供について批判や懸念の声が多く上がった。
リカバリーフレーズはシードフレーズやニーモニックフレーズなどとも呼ばれ、仮想通貨ウォレットを利用するのに不可欠である。12個や24個の単語からなり、ウォレットを復元して、ウォレットに関連づけられた仮想通貨にアクセスする場合などにリカバリーフレーズは利用される。
Ledger Recoverは、リカバリーフレーズを3つに分けて暗号化し、Ledger社など第三者の企業にそれぞれを保管してもらうことができるようにするサービス。ツイートでは秘密鍵を3分割すると説明しているが、公式ウェブサイトにはリカバリーフレーズを3つに分けると記載がある。「ソーシャルリカバリー」に分類されるこのサービスは本来、ユーザーの利便性や安全性を高めることが目的だ。
このサービスは16日に初めて発表されたものではなく、公式ウェブサイトには「よくある質問」のページを以前に開設済み。また、これから機器を限定して、近くソフトローンチするとも書かれている。
批判の声
今回の発表に合わせ、このサービスには批判や懸念の声が多く上がった。例えば、ポリゴン(MATIC)のプロトコルを開発するPolygon Labsで最高情報セキュリティ責任者を務めるMudit Gupta氏は、以下のように述べている。
リカバリーフレーズ(ツイートでは「鍵」)を3つに分けることは問題ではなく、それは良い考えだと思う。
今回の問題は、リカバリーフレーズをそれぞれ預かった3つの企業が鍵を復元できてしまうことだ。
ツイッター以外の媒体でも批判や懸念の声が上がっているが、Ledger社はあくまでユーザーが選択して利用するサービスであることを強調。第三者がリカバリーフレーズを復号できる問題についてLedger社は、「The Block」に以下のように説明している。
3つに分解されたシードフレーズは、ユーザーがID認証した後、Ledger社のデバイスでだけ復号できる。
シードフレーズを預かる企業は、決してユーザーのシードフレーズにアクセスできない。
なお、ID認証が必要になり、身分証明書にシードフレーズが紐づく点にも批判や懸念の声が上がった。
関連:「米国対象者91432件、日本対象者1372件」情報漏洩した仮想通貨ウォレット仏Ledgerがリスト公開
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します