ワールドコインの「Orb」は安全なのか?個人情報収集に関する監査結果報告
プライバシー・セキュリティ監査レポートを公開
ワールドコイン(WLD)は2024年3月14日に、同社が展開する虹彩認証装置「Orb」の個人情報収集などに関する監査結果をまとめた「プライバシー・セキュリティ監査レポート」を公開しました。
今回の監査はITセキュリティ企業「Trail of Bits」が実施したもので、ワールドコイン関連で以前から懸念の声が出ていた「虹彩スキャン装置Orbの個人情報収集」に関する説明もなされています。
ワールドコインでは、Orbで目の虹彩スキャンを行うことによって「World ID」を発行することが可能で、この作業を行うことによって仮想通貨WLDの無料配布を受けることができるようになっていますが、一部のユーザーからは個人情報流出などに対する懸念の声が上がっていました。
今回公開されたレポートはそのような懸念で認証を悩んでいる人にも注目の内容となっており、具体的には以下のような監査結果が報告されています。
Orbの最新版はApple風デザイン?
Worldcoin・Orbの監査結果報告:Trail of Bits
評価範囲について
Trail of Bitsは、2023年7月8日に凍結された「SemVer 3.0.10」のソフトウェアバージョンについて、2023年8月14日に評価を開始した。2024年3月14日の時点で、Orbsにデプロイされているソフトウェアの現バージョンは「4.0.34」で、最初のリリース日は2024年1月17日である。
Orb開発企業であるTools for Humanity(TFH)は、その実施を検証するために、取り組みの範囲を限定する一連の非網羅的な技術的主張を提供した。これらの申し立ては、2023年7月8日に凍結されたバージョンのソフトウェアリリースを対象としていた。
個人情報収集に関する監査結果
・虹彩コード以外の個人情報は収集されない
デフォルトのサインアップフローの場合、虹彩コードを除く個人を特定できる情報(PII)はOrbによって収集されない。個人を特定できる情報がOrbの永続ストレージに書き込まれることはなく、虹彩コード以外のPIIがOrbから送信されたり、アップロードされることはない。
・個人情報は暗号化されて安全に処理される
デフォルト以外のサインアップフローの場合、個人を特定できる情報(PII)はOrbによって安全に処理される。デバイス上に保持される唯一のPIIはOrbのSSD上にあり、非対称的に暗号化されている(*1)。OrbのSSDに保存されている非対称暗号化されたPIIはOrbで復号化できない。
・ユーザーデバイスから機密情報を抽出しない
Orbはユーザーのデバイスから機密データを抽出しない。Orbがユーザーの携帯電話から収集する情報はQRコードのみである(*2)。
・虹彩コードは安全に処理される
ユーザーの虹彩コードは安全に処理される。ユーザーの虹彩コードがOrbの永続ストレージに書き込まれることはない。ユーザーの虹彩コードは、Orbのバックエンドへの1つのリクエストにのみ含まれる(*3)。虹彩コードは承認されたサーバーにのみ送信でき、ネットワーク通信はエンドツーエンドで暗号化される。
【補足事項1,2,3について】
- 4.0.XXリリース以降、Orbはデータ保管オプションに関係なく、データをSSDに保存しなくなる。
- Orbソフトウェアバージョン3.0.10では、QRコードには128ビットUUID user_idと、ユーザーのデータ管理の選択を表すdata_policy bool、および内部使用のためのオプションのDataCollectionConfig構造体が含まれていた。ソフトウェアバージョン4.0.0では、QRコードが変更され、user_data_hashという名前のユーザーの公開キーを含む暗号化ハッシュが含まれるようになった。このハッシュは、ユーザーのデバイスへのデータを暗号化するときに正しい公開キーが使用されていることを検証するために使用される。
- ソフトウェアバージョン4.0.0では、新しい「個人保管」機能が追加され、虹彩コードと生体認証の追加コピーがユーザーの公開キーを使用してユーザーのデバイスに直接暗号化される。
評価の結果
今回の監査では、3人のコンサルタントが合計6週間にわたって評価を実施した。監査人には「Orbsの実行時アクセス」に加えて「完全なソースコードへのアクセス権」が与えられた。
Trail of Bitsが調査した結果、Orbのコードに脆弱性は見つからなかった。
理論的にプロジェクトの目標に影響を与える可能性があるいくつかの未確認の懸念が特定され、影響を受けるコードはその後更新されたが、ワールドコインのプロジェクト目標に関連して直接悪用できるようなコードの脆弱性は発見されなかった。
セキュリティ強化のための推奨事項
・多層防御を強化するための追加の構成強化変更を推奨
監査結果では「Orbでは虹彩コード以外の個人情報は収集されず、流出もしない」と結論付けられているが、今後の構成・コード変更によって偶発的な情報漏洩が発生しないように、Orbの多層防御を強化するための追加の構成強化変更を推奨した。
・QRコードスキャンに使用されるライブラリの変更
QRコードのスキャンに使用されるライブラリに潜在的なメモリ安全性の問題が見つかったため、脆弱なライブラリが純粋なRustバーコードスキャンライブラリ「rxing」に置き換えられた。
セキュリティ評価は今後も継続
ワールドコインは今回の発表で、今後も第三者機関を通じたセキュリティ評価を行なっていく方針を語っており、システムの問題点を見つけた人に賞金を与える「バグ報酬金プログラム」についても説明を行なっています。
今回発表された報告内容やレポートの詳細は「ワールドコインの公式発表ページ」で確認することができます。
こちらの記事もあわせてどうぞ
仮想通貨ニュース|新着
DOGE・SHIB・BTC・APTが当たるルーレットキャンペーン開催へ:ビットトレード
Solidion Technology、ビットコイン投資戦略を発表|余剰資金の大部分を割り当て
Web3インフラ提供のGetBlock「Shibarium」をサポート|DApps開発をより簡単に
DMM Crypto「Seamoon Protocol」のプロジェクト中止を発表|SMPトークンなど今後の対応は?
18州が仮想通貨関連で米SECを提訴「業界に対する違憲的な権力行使」
ペンシルバニア州議員、ビットコイン準備金法案を提出|最大7億ドル投資の可能性
仮想通貨入門 - 基礎知識
【年利最大9%】ソラナ(SOL)をステーキングで増やす方法|画像付きで解説
【年利40%以上】フレア(Flare/FLR)をラップ&デリゲートで増やす方法|画像付きで解説
シバイヌDEX「ShibaSwap」の使い方|流動性提供の方法などをまとめた解説動画公開
各種仮想通貨を「Shibarium基盤BONE」に簡単交換|ガス代補充機能の使い方を解説
NFTマーケットプレイス「Magic Eden」とは?機能や使い方などを解説
仮想通貨ビットコインの買い方をわかりやすく解説|取引所と販売所の違いなども紹介
市場分析・価格予想
「ビットコインは100万ドルを超える」ビットワイズ幹部、根拠と共に提唱
ビットコイン、目標価格は255,000ドル?著名アナリストの価格予想と重要なサポートライン
ポリマーケット市場「BTCが年末までに10万ドル突破」を予測|10%から65%へ
ビットコイン、トランプ氏勝利で76,000ドル到達|ドージコインの価格上昇も近い?
米大統領選後もポリマーケットの躍進は続く?選挙と関係ないトピックで取引
「2025年までに20万ドル」バーンスタインのビットコイン価格予想
人気の仮想通貨ニュース
お得なキャンペーン情報
話題の仮想通貨の今後は?
BITTIMESライター募集
