デジタルIDプロジェクト「ワールドコイン」は第三者監査を受け、その報告書を公開した。
この監査はセキュリティ会社トレイル・オブ・ビッツ(Trail of Bits)が実施し、報告されたプロジェクト目標に関連して「直接的に悪用可能な脆弱性は見つからなかった」と結論付けた。
ワールドコインは、電話番号やメールアドレスの登録、または「オーブ」と呼ばれるデバイスで虹彩をスキャンすることで、人間であることを証明するシステムを提供している。この登録を行うと、実際の人間であることを証明できる「ワールドID」を取得できる。
プロジェクトは、ChatGPTを手掛けるOpenAIの共同創業者サム・アルトマン氏によって共同設立された。アルトマン氏は、AIボットが人間として効果的に振る舞うことが間もなく可能になることを恐れ、ワールドコインを設立したという。
プライバシー擁護派は、ワールドコインがユーザーの虹彩スキャンデータをハッカーや政府に漏洩するリスクがあると批判している。
ワールドコインの報告書によると、トレイル・オブ・ビッツは2023年8月14日に評価を開始した。同社にはバージョン3.1.10が提供され、評価目的で2023年7月8日に「凍結」された。現在のバージョンは「4.0.34」となっている。
監査人はコード内の潜在的な脆弱性を調査するために6週間を費やした。ハッカーがユーザーの虹彩スキャンを入手するために利用可能ないくつかの攻撃手法を検討したが、「プロジェクト目標として記述された関連で、オーブのコードに直接悪用可能な脆弱性は発見されなかった」と結論付けている。具体的には、攻撃者が信頼できる証明書のいずれかを制御していない限り、ユーザーの虹彩コードを入手することはできないと監査人は指摘した。
「虹彩コードはオーブの永続的なストレージに書き込まれておらず、オーブのバックエンドへの単一のリクエストにのみ含まれていると考えられる。この設定はより安全にするために改善されるべきだが、攻撃者が信頼できる証明書のいずれかを制御している場合を除き、通常の攻撃者がオーブのネットワークトラフィックから虹彩コードを抽出することは不可能だ」と報告している。
報告書によると、監査人はオーブのセキュリティ向上のために2つの勧告を行った。1つ目は、将来の変更がセキュリティ問題を引き起こさないように、サインアップフローの設定を「強化」することだ。2つ目は、サインアップ時にQRコードをスキャンするために使用されるZBarライブラリを、純粋なRustバージョンに置き換えることだ。ワールドコインチームはこれらの推奨された変更を実施したとしている。
ワールドコインのプライバシーを巡る議論はしばらく続くかもしれない。3月6日、スペインのデータ保護機関(AEPD)は、ワールドコインがデータ保護法に違反しているかを調査する時間が必要だとして、プロジェクトに対する差し止め命令を出した。これに対し、ワールドコインはこれらの法律に違反していないと主張し、スペイン政府がEU法を迂回して差し止め命令を出していると反論した。
翻訳・編集 コインテレグラフジャパン