ワールドコインの「Orb」は安全なのか?個人情報収集に関する監査結果報告

by BITTIMES
目次

プライバシー・セキュリティ監査レポートを公開

ワールドコイン(WLD)は2024年3月14日に、同社が展開する虹彩認証装置「Orb」の個人情報収集などに関する監査結果をまとめた「プライバシー・セキュリティ監査レポート」を公開しました。

今回の監査はITセキュリティ企業「Trail of Bits」が実施したもので、ワールドコイン関連で以前から懸念の声が出ていた「虹彩スキャン装置Orbの個人情報収集」に関する説明もなされています。

ワールドコインでは、Orbで目の虹彩スキャンを行うことによって「World ID」を発行することが可能で、この作業を行うことによって仮想通貨WLDの無料配布を受けることができるようになっていますが、一部のユーザーからは個人情報流出などに対する懸念の声が上がっていました。

今回公開されたレポートはそのような懸念で認証を悩んでいる人にも注目の内容となっており、具体的には以下のような監査結果が報告されています。

Orbの最新版はApple風デザイン?

ワールドコインの虹彩認証装置Orb「Apple風デザインの新製品」が2024年前半に登場?

ワールドコインの虹彩認証装置Orb「Apple風デザインの新製品」が2024年前半に登場?

Worldcoin・Orbの監査結果報告:Trail of Bits

評価範囲について

Trail of Bitsは、2023年7月8日に凍結された「SemVer 3.0.10」のソフトウェアバージョンについて、2023年8月14日に評価を開始した。2024年3月14日の時点で、Orbsにデプロイされているソフトウェアの現バージョンは「4.0.34」で、最初のリリース日は2024年1月17日である。

Orb開発企業であるTools for Humanity(TFH)は、その実施を検証するために、取り組みの範囲を限定する一連の非網羅的な技術的主張を提供した。これらの申し立ては、2023年7月8日に凍結されたバージョンのソフトウェアリリースを対象としていた。

個人情報収集に関する監査結果

虹彩コード以外の個人情報は収集されない
デフォルトのサインアップフローの場合、虹彩コードを除く個人を特定できる情報(PII)はOrbによって収集されない。個人を特定できる情報がOrbの永続ストレージに書き込まれることはなく、虹彩コード以外のPIIがOrbから送信されたり、アップロードされることはない。

個人情報は暗号化されて安全に処理される
デフォルト以外のサインアップフローの場合、個人を特定できる情報(PII)はOrbによって安全に処理される。デバイス上に保持される唯一のPIIはOrbのSSD上にあり、非対称的に暗号化されている(*1)。OrbのSSDに保存されている非対称暗号化されたPIIはOrbで復号化できない。

ユーザーデバイスから機密情報を抽出しない
Orbはユーザーのデバイスから機密データを抽出しない。Orbがユーザーの携帯電話から収集する情報はQRコードのみである(*2)。

虹彩コードは安全に処理される
ユーザーの虹彩コードは安全に処理される。ユーザーの虹彩コードがOrbの永続ストレージに書き込まれることはない。ユーザーの虹彩コードは、Orbのバックエンドへの1つのリクエストにのみ含まれる(*3)。虹彩コードは承認されたサーバーにのみ送信でき、ネットワーク通信はエンドツーエンドで暗号化される。

【補足事項1,2,3について】

  1. 4.0.XXリリース以降、Orbはデータ保管オプションに関係なく、データをSSDに保存しなくなる。
  2. Orbソフトウェアバージョン3.0.10では、QRコードには128ビットUUID user_idと、ユーザーのデータ管理の選択を表すdata_policy bool、および内部使用のためのオプションのDataCollectionConfig構造体が含まれていた。ソフトウェアバージョン4.0.0では、QRコードが変更され、user_data_hashという名前のユーザーの公開キーを含む暗号化ハッシュが含まれるようになった。このハッシュは、ユーザーのデバイスへのデータを暗号化するときに正しい公開キーが使用されていることを検証するために使用される。
  3. ソフトウェアバージョン4.0.0では、新しい「個人保管」機能が追加され、虹彩コードと生体認証の追加コピーがユーザーの公開キーを使用してユーザーのデバイスに直接暗号化される。

評価の結果

今回の監査では、3人のコンサルタントが合計6週間にわたって評価を実施した。監査人には「Orbsの実行時アクセス」に加えて「完全なソースコードへのアクセス権」が与えられた。

Trail of Bitsが調査した結果、Orbのコードに脆弱性は見つからなかった。

理論的にプロジェクトの目標に影響を与える可能性があるいくつかの未確認の懸念が特定され、影響を受けるコードはその後更新されたが、ワールドコインのプロジェクト目標に関連して直接悪用できるようなコードの脆弱性は発見されなかった。

セキュリティ強化のための推奨事項

多層防御を強化するための追加の構成強化変更を推奨
監査結果では「Orbでは虹彩コード以外の個人情報は収集されず、流出もしない」と結論付けられているが、今後の構成・コード変更によって偶発的な情報漏洩が発生しないように、Orbの多層防御を強化するための追加の構成強化変更を推奨した。

QRコードスキャンに使用されるライブラリの変更
QRコードのスキャンに使用されるライブラリに潜在的なメモリ安全性の問題が見つかったため、脆弱なライブラリが純粋なRustバーコードスキャンライブラリ「rxing」に置き換えられた。

セキュリティ評価は今後も継続

ワールドコインは今回の発表で、今後も第三者機関を通じたセキュリティ評価を行なっていく方針を語っており、システムの問題点を見つけた人に賞金を与える「バグ報酬金プログラム」についても説明を行なっています。

今回発表された報告内容やレポートの詳細は「ワールドコインの公式発表ページ」で確認することができます。

>>ワールドコイン関連の最新記事はこちら

こちらの記事もあわせてどうぞ

ワールドコインの「World ID認証拠点」を全国展開|国内事業パートナー募集開始:カンバンクラウド

ワールドコインの「World ID認証拠点」を全国展開|国内事業パートナー募集開始:カンバンクラウド
ワールドコイン「World ID 2.0」を発表|Minecraft・Redditなど様々なサービスに対応

ワールドコイン「World ID 2.0」を発表|Minecraft・Redditなど様々なサービスに対応
ワールドコイン(WLD)とは?分散型IDで仮想通貨を配布する話題のプロジェクト

ワールドコイン(WLD)とは?分散型IDで仮想通貨を配布する話題のプロジェクト

この記事が気に入ったら
いいね!しよう

関連のある仮想通貨ニュース

グランド・セフト・オート(GTA)での暗号資産・NFT利用を禁止:Rockstar Games

グランド・セフト・オート(GTA)での暗号資産・NFT利用を禁止:Rockstar Games
「Monero(モネロ)100万円突破への道」今後の価格予測2018年〜2021年版

「Monero(モネロ)100万円突破への道」今後の価格予測2018年〜2021年版
与沢 翼氏「10億円相当のシンボル(Symbol/XYM)を保有している」と公表

与沢 翼氏「10億円相当のシンボル(Symbol/XYM)を保有している」と公表
ブラジル中央銀行総裁「CBDC発行に必要な条件、2022年には整う可能性」

ブラジル中央銀行総裁「CBDC発行に必要な条件、2022年には整う可能性」
ブロックチェーンで旅行予約の「最低価格」を実現する ー TravelBlock

ブロックチェーンで旅行予約の「最低価格」を実現する ー TravelBlock
【速報】bitFlyer:仮想通貨「BAT」の取扱い開始|上場記念キャンペーンも開催中

【速報】bitFlyer:仮想通貨「BAT」の取扱い開始|上場記念キャンペーンも開催中

注目度の高い仮想通貨ニュース

Web3対応の携帯ゲーム機「SuiPlay0X1」登場|パソコン・スマホ両方のゲームに対応

Web3対応の携帯ゲーム機「SuiPlay0X1」登場|パソコン・スマホ両方のゲームに対応

2025年までにビットボットのトークンが、新たなAI技術で飛躍する可能性

2025年までにビットボットのトークンが、新たなAI技術で飛躍する可能性

Google検索「ビットコインアドレスの残高確認」が可能に|複数のアドレス形式に対応

Google検索「ビットコインアドレスの残高確認」が可能に|複数のアドレス形式に対応

ワールドコイン「虹彩情報の削除機能・18歳未満の利用防止措置」を導入

ワールドコイン「虹彩情報の削除機能・18歳未満の利用防止措置」を導入

シンボル(XYM)開発者Hatchet氏に質問できる「Symbol AMA」開催決定:Crypto Hiroba

シンボル(XYM)開発者Hatchet氏に質問できる「Symbol AMA」開催決定:Crypto Hiroba

ぺぺのカムバックを逃した?次のチャンスとして注目される仮想通貨

ぺぺのカムバックを逃した?次のチャンスとして注目される仮想通貨

大手仮想通貨取引所BINANCE「初の取締役会」を設置

大手仮想通貨取引所BINANCE「初の取締役会」を設置

自民党web3PT「2024年版のweb3ホワイトペーパー」公開|税制改正など様々な要望を記載

自民党web3PT「2024年版のweb3ホワイトペーパー」公開|税制改正など様々な要望を記載

TransBoden:新たなSolanaミームコイン、100%公正な方法で「$BODENX」のローンチに成功

TransBoden:新たなSolanaミームコイン、100%公正な方法で「$BODENX」のローンチに成功

【重要】OKCoinJapan「三菱UFJ銀行からの日本円入金」で一時的な制限措置

【重要】OKCoinJapan「三菱UFJ銀行からの日本円入金」で一時的な制限措置

Own The Doge:ドージコインでも有名な「かぼすちゃん」画像の権利を取得

Own The Doge:ドージコインでも有名な「かぼすちゃん」画像の権利を取得

「ビットコインはまだまだこれから」SkyBridge創業者の強気なBTC価格予想

「ビットコインはまだまだこれから」SkyBridge創業者の強気なBTC価格予想

仮想通貨ニュース | 新着記事一覧

仮想通貨まとめ一覧

Flare基盤のDeFi・DEX「BlazeSwap」とは?機能・使い方などを解説NEW

Flare基盤のDeFi・DEX「BlazeSwap」とは?機能・使い方などを解説
WoofSwapとは?Shibarium基盤トークンを売買できる分散型取引所(DEX)を紹介

WoofSwapとは?Shibarium基盤トークンを売買できる分散型取引所(DEX)を紹介
K9 Finance(KNINE)とは?Shibarium基盤のDeFiプラットフォームを紹介

K9 Finance(KNINE)とは?Shibarium基盤のDeFiプラットフォームを紹介
Bad Idea AI(BAD)とは?特徴・価格チャート・取扱う暗号資産取引所など

Bad Idea AI(BAD)とは?特徴・価格チャート・取扱う暗号資産取引所など
Astar(ASTR)の「dApp Staking」でステーキングする方法|画像付きでわかりやすく解説

Astar(ASTR)の「dApp Staking」でステーキングする方法|画像付きでわかりやすく解説
確定申告はいつからいつまで?知っておきたい「仮想通貨の税金」に関する知識

確定申告はいつからいつまで?知っておきたい「仮想通貨の税金」に関する知識

仮想通貨まとめの一覧へ

人気のタグから探す

ブロックチェーン(blockchain)

もっと見る

カルダノ・エイダコイン(Cardano/ADA)

もっと見る

Ripple(リップル)

もっと見る

人気の仮想通貨ニュース

話題の仮想通貨の今後は?

ピックアップ

人気のタグ

タグ一覧を見る

BITTIMESライター募集

バックナンバー