ワールドコインの「Orb」は安全なのか?個人情報収集に関する監査結果報告
プライバシー・セキュリティ監査レポートを公開
ワールドコイン(WLD)は2024年3月14日に、同社が展開する虹彩認証装置「Orb」の個人情報収集などに関する監査結果をまとめた「プライバシー・セキュリティ監査レポート」を公開しました。
今回の監査はITセキュリティ企業「Trail of Bits」が実施したもので、ワールドコイン関連で以前から懸念の声が出ていた「虹彩スキャン装置Orbの個人情報収集」に関する説明もなされています。
ワールドコインでは、Orbで目の虹彩スキャンを行うことによって「World ID」を発行することが可能で、この作業を行うことによって仮想通貨WLDの無料配布を受けることができるようになっていますが、一部のユーザーからは個人情報流出などに対する懸念の声が上がっていました。
今回公開されたレポートはそのような懸念で認証を悩んでいる人にも注目の内容となっており、具体的には以下のような監査結果が報告されています。
Orbの最新版はApple風デザイン?
Worldcoin・Orbの監査結果報告:Trail of Bits
評価範囲について
Trail of Bitsは、2023年7月8日に凍結された「SemVer 3.0.10」のソフトウェアバージョンについて、2023年8月14日に評価を開始した。2024年3月14日の時点で、Orbsにデプロイされているソフトウェアの現バージョンは「4.0.34」で、最初のリリース日は2024年1月17日である。
Orb開発企業であるTools for Humanity(TFH)は、その実施を検証するために、取り組みの範囲を限定する一連の非網羅的な技術的主張を提供した。これらの申し立ては、2023年7月8日に凍結されたバージョンのソフトウェアリリースを対象としていた。
個人情報収集に関する監査結果
・虹彩コード以外の個人情報は収集されない
デフォルトのサインアップフローの場合、虹彩コードを除く個人を特定できる情報(PII)はOrbによって収集されない。個人を特定できる情報がOrbの永続ストレージに書き込まれることはなく、虹彩コード以外のPIIがOrbから送信されたり、アップロードされることはない。
・個人情報は暗号化されて安全に処理される
デフォルト以外のサインアップフローの場合、個人を特定できる情報(PII)はOrbによって安全に処理される。デバイス上に保持される唯一のPIIはOrbのSSD上にあり、非対称的に暗号化されている(*1)。OrbのSSDに保存されている非対称暗号化されたPIIはOrbで復号化できない。
・ユーザーデバイスから機密情報を抽出しない
Orbはユーザーのデバイスから機密データを抽出しない。Orbがユーザーの携帯電話から収集する情報はQRコードのみである(*2)。
・虹彩コードは安全に処理される
ユーザーの虹彩コードは安全に処理される。ユーザーの虹彩コードがOrbの永続ストレージに書き込まれることはない。ユーザーの虹彩コードは、Orbのバックエンドへの1つのリクエストにのみ含まれる(*3)。虹彩コードは承認されたサーバーにのみ送信でき、ネットワーク通信はエンドツーエンドで暗号化される。
【補足事項1,2,3について】
- 4.0.XXリリース以降、Orbはデータ保管オプションに関係なく、データをSSDに保存しなくなる。
- Orbソフトウェアバージョン3.0.10では、QRコードには128ビットUUID user_idと、ユーザーのデータ管理の選択を表すdata_policy bool、および内部使用のためのオプションのDataCollectionConfig構造体が含まれていた。ソフトウェアバージョン4.0.0では、QRコードが変更され、user_data_hashという名前のユーザーの公開キーを含む暗号化ハッシュが含まれるようになった。このハッシュは、ユーザーのデバイスへのデータを暗号化するときに正しい公開キーが使用されていることを検証するために使用される。
- ソフトウェアバージョン4.0.0では、新しい「個人保管」機能が追加され、虹彩コードと生体認証の追加コピーがユーザーの公開キーを使用してユーザーのデバイスに直接暗号化される。
評価の結果
今回の監査では、3人のコンサルタントが合計6週間にわたって評価を実施した。監査人には「Orbsの実行時アクセス」に加えて「完全なソースコードへのアクセス権」が与えられた。
Trail of Bitsが調査した結果、Orbのコードに脆弱性は見つからなかった。
理論的にプロジェクトの目標に影響を与える可能性があるいくつかの未確認の懸念が特定され、影響を受けるコードはその後更新されたが、ワールドコインのプロジェクト目標に関連して直接悪用できるようなコードの脆弱性は発見されなかった。
セキュリティ強化のための推奨事項
・多層防御を強化するための追加の構成強化変更を推奨
監査結果では「Orbでは虹彩コード以外の個人情報は収集されず、流出もしない」と結論付けられているが、今後の構成・コード変更によって偶発的な情報漏洩が発生しないように、Orbの多層防御を強化するための追加の構成強化変更を推奨した。
・QRコードスキャンに使用されるライブラリの変更
QRコードのスキャンに使用されるライブラリに潜在的なメモリ安全性の問題が見つかったため、脆弱なライブラリが純粋なRustバーコードスキャンライブラリ「rxing」に置き換えられた。
セキュリティ評価は今後も継続
ワールドコインは今回の発表で、今後も第三者機関を通じたセキュリティ評価を行なっていく方針を語っており、システムの問題点を見つけた人に賞金を与える「バグ報酬金プログラム」についても説明を行なっています。
今回発表された報告内容やレポートの詳細は「ワールドコインの公式発表ページ」で確認することができます。
こちらの記事もあわせてどうぞ
64
$943.90 M USD
$124.12 M USD
仮想通貨ニュース|新着
ビットコインステーキング「Babylon(バビロン)」BABYトークンエアドロップを発表
カルダノ財団、デジタルIDプラットフォーム「Veridian」と「Veridian Wallet」を発表
「100万円分のビットコイン山分けキャンペーン」を開催:ビットバンク
フロリダ州選挙、仮想通貨支持者が勝利|業界支援の政治活動委員会(PAC)が影響力を増す
リップル、RLUSDを自社決済システムに統合|企業決済の需要を推進
三井住友FG・三菱UFJ、ステーブルコイン市場参入へ|初の円建て発行やRWAトークン化も
仮想通貨入門 - 基礎知識
仮想通貨がもらえるエアドロップとは?参加方法・注意点・税金などについて解説
仮想通貨HYPE(Hyperliquid)とは?基本情報・特徴・購入方法などを解説
仮想通貨DEX「Hyperliquid(ハイパーリキッド)」の特徴や使い方を徹底解説
ソラナ基盤の代表的なDeFiプロジェクトを紹介|特徴・運用方法・注意点も
ソラナ(SOL)基盤の代表的なDAppsを紹介|使い方や注意点も
ソラナ(Solana/SOL)系ミームコインとは?代表銘柄トップ5もあわせて紹介
市場分析・価格予想
トランプ関税ショックでビットコイン価格急落|仮想通貨市場は回復するのか
「ビットコイン時価総額は500兆ドルに」金や不動産が価値を失う|セイラー氏予測
ビットコイン価格「FRBの金融緩和・トランプ大統領の関税緩和」で底を打つ|10xリサーチ創設者
ビットコイン価格86,000ドルに回復|パウエルFRB議長「インフレのペースを緩める」
ビットコイン「100万ドル到達時に売る?売らない?」Redditユーザーの白熱議論
「ビットコインは究極の基軸通貨へ」25万ドルは始まりに過ぎない|ティム・ドレイパー氏
人気の仮想通貨ニュース
お得なキャンペーン情報
話題の仮想通貨の今後は?
BITTIMESライター募集
