安全な情報処理を検証
ワールドコイン(Worldcoin)が、第三者機関であるITセキュリティ企業トレイルオブビッツ(Trail of Bits)による監査結果を3月14日報告した。
ワールドコインは、AIチャットボットサービス「ChatGPT」を提供する米オープンエーアイ(OpenAI)のCEOサム・アルトマン(Sam Altman)氏が立ち上げた暗号資産(仮想通貨)プロジェクト。
ワールドコインは「オーブ(Orb)」と呼ばれるボール状のデバイスで虹彩をスキャンし、各人それぞれの虹彩の特徴をデジタルコードに変換することで個人を識別する「World ID」を発行する。これによりワールドコインは世界的なIDシステムの構築を目指している。
今回の報告では、「オーブ」が安全に情報処理していることの検証と、セキュリティ強化の上での推奨事項が提示された。
トイレイルオブビッツは今回、オーブのソフトウエアを検証している。2023年7月8日時点でのバージョン3.0.10について、8月14日に評価を開始している。
ちなみに2024年3月14日時点での、オーブに配備されているソフトウェアのバージョンは4.0.34であり、リリース日は2024年1月17日である。
トレイルオブビッツの検証では次のことが確かめられた。
まず、デフォルトのオプトアウトサインアップフローでは、虹彩コード以外の個人を特定できる情報(PII)はオーブによって収集されないとのこと。
またオーブ上の永続的ストレージにPIIが書き込まれることもなく、虹彩コード以外のPIIがオーブから出ることはないという。
オプトインサインアップフローの場合も、PIIはオーブによって安全に処理され、デバイス上に保持される唯一のPIIはオーブのSSD上にあり、暗号化されるとのこと。
またオーブがユーザーの携帯電話から収集する情報はQRコードのみであり、オーブがユーザーのデバイスから機密データを抽出することはないとのことだ。
またユーザーの虹彩コードはオーブの永続ストレージに書き込まれることはないという。ユーザーの虹彩コードは、オーブのバックエンドへの1回のリクエストにのみ含まれ、虹彩コードは承認されたサーバーにのみ送信され、ネットワーク通信はエンドツーエンドで暗号化されるとのことだ。
今回トレイルオブビッツにはオーブへの実行時アクセスと、完全なソースコードへのアクセスが与えられ、合計6週間のレビューを実施したという。
報告書では、潜在的な攻撃対象について触れらているが、「私たちの分析では、記述されたプロジェクト目標に関連して直接悪用できるような脆弱性は、オーブのコードからは発見できなかった」と結論づけられている。
またトレイルオブビッツの審査で、理論的にはプロジェクト目標に影響を及ぼす可能性のある未確認の懸念事項がいくつか特定され、影響を受けたコードはその後更新されたことが報告されている。
しかし監査では、プロジェクト目標が既知の脆弱性または通常の実行中に直接侵害されるような事例は特定されていないとのことだ。
推奨事項に対処済
またトレイルオブビッツは、オーブのセキュリティを強化するための推奨事項を提示している。
まずは、構成やコードに対する今後のアップデートの際に漏洩などのセキュリティ問題が発生しないように、サインアップフローの構成を堅牢化する変更を推奨した。
つぎにQRコードのスキャンに使用されるライブラリに潜在的なメモリ安全性の問題があったことを受け、脆弱なライブラリを純粋なRustバーコードスキャンライブラリ「rxing」に置き換えたという。
ワールドコインは、今後も第三者機関によるセキュリティ評価を行っていくとし、追加レポートが入手でき次第コミュニティに共有すると報告している。
またワールドコインはバグ報奨金プログラムを通じてワールドコインプロジェクトの案税制を保っていくとした。
個人情報保護の観点からの懸念受けて
今回ワールドコインが第三者機関による調査を行ったのは、各国当局からの個人情報保護についての懸念を受けてのことと思われる。
ワールドコインのウェブサイトによると、虹彩スキャンに登録した人の数は120カ国で400万人を超えた。しかしこのプロジェクトはアルゼンチンからドイツに至るまで、個人情報保護の活動団体から批判を浴びている。
韓国や香港でもデータプライバシーの観点から調査が開始されている。
昨年10月には、ケニア政府の合同特別調査委員会が同国規制当局に対し、ケニアでのワールドコインの事業停止を勧告。今年に入り2月には香港の個人情報保護委員会(PCPD)が、ワールドコインの香港事務所6つに立ち入り調査を行い、また韓国の個人情報保護委員会もワールドコインについて調査開始を発表している。
AEPDは3月6日、不十分な情報、未成年からのデータ収集、同意の撤回を認めないことに関する苦情を受けて、ワールドコインに対し、個人情報保護の観点からリスクがあるとして、最長3カ月間の活動禁止を要請した。
ワールドコインは3月、スペインでの営業禁止を受け、同国のデータ保護規制当局に対して訴訟を起こしたことを発表している。
現在オーブでの虹彩スキャンは無料ででき、スキャンしたユーザーは暗号資産「Worldcoin(WLD)」を受け取れる。この「WLD」の配布により、ベーシックインカム実現も計画されている。
関連ニュース
- サムアルトマンのワールドコイン(WLD)、スペインから営業禁止を受け提訴
- サムアルトマンの「ワールドコイン(WLD)」、スペインが活動停止要請。個人情報保護で
- ワールドコイン(WLD)、データプライバシーの懸念で香港で捜査中
- ワールドコイン(WLD)関連企業TFHがSolanaウォレット「Ottr」買収。チームは「World App」開発に移行
- 韓国の個人情報保護委員会、ワールドコイン(WLD)の調査開始
参考:ワールドコイン
images:Reuters