REPORT | WorldCoinのOrbsに脆弱性はないと、新しい監査報告書が指摘

WorldCoinのORB技術は、特に個人を特定できる情報(PII)の処理と保存に関して厳格なプライバシープロトコルを遵守していると、新しい監査報告書は述べています。

この監査はサイバーセキュリティ企業Trail of Bitsによって実施され、2024年3月13日に公開されました。結果として、ORBソフトウェアに脆弱性はなく、WorldCoinが行った多くの主張が検証されました。

監査は2023年8月14日に開始され、世界中の複数の規制当局からの懸念により、WorldCoinの生体認証データ収集に関する問題が浮上し、一部の規制当局はその運営を全面的に禁止しました。これには、同社の活動が一般市民の間で騒動を引き起こしたケニアでの一時停止も含まれます。

Trail of Bitsの監査は、特に個人を特定できる情報(PII)の取り扱いと、ユーザーの虹彩コードの管理に焦点を当てて、ORBのソフトウェアを綿密に精査することを目的としていました。

デフォルトのオプトアウト登録プロセスでは、ORBは虹彩コードを除き、個人を特定できる情報(PII)を収集しません。この虹彩コードは永続的に保存されず、ORBの外部に送信もされません。ユーザーがオプトインを選択した場合でも、そのPIIはORBのソリッドステートドライブ(SSD)に暗号化されて保存され、ORB自身でも解読できない方式で管理されており、データプライバシーへの堅固なコミットメントを示しています。

さらに、監査はORBがユーザーのデバイスから追加の敏感なデータを抽出しないことも確認しました。収集されるのはQRコードからの情報だけであり、最小限のデータ収集を行うことで、プライバシーの最良の実践に沿ったアプローチを採用しています。

重要な点として、虹彩コードは生体認証データの重要な部分であり、その収集と送信の過程で安全に取り扱われており、不正アクセスや傍受のリスクを効果的に軽減しています。

また、監査はORBのソフトウェアとハードウェアの設定をさらに強化するための改善点も指摘しており、セキュリティを一層向上させる提案がなされています。

これに対し、WorldCoinはQRコードスキャンに使用されていた脆弱なライブラリをより安全な代替品に置き換えるなどの変更を実施しています。

Trail of Bitsの監査は、WorldCoinの技術のセキュリティとプライバシーを守るための継続的な取り組みの一側面に過ぎません。ORB技術は、ユニバーサルベーシックインカムを提供するというWorldCoinプロジェクトの使命にとって重要な要素であるため、これらの厳格なセキュリティ評価は、ユーザーの信頼とプロジェクトの完全性を維持するために不可欠です。