REPORT | WorldCoinのOrbsに脆弱性はなく、新しい監査報告書が指摘

WorldCoinのORB技術は、個人を特定できる情報（PII）の処理および保存に関して、特に厳格なプライバシー・プロトコルを遵守しているとする、新たな監査報告書が述べています。

監査はサイバーセキュリティ企業Trail of Bitsによって実施され、2024年3月13日に発表されました。この報告書によると、ORBソフトウェアには脆弱性がなく、WorldCoinが行った多くの主張が検証されたとのことです。

監査は、WorldCoinによるバイオメトリクス・データの収集に関して世界各地の複数の規制当局が懸念を表明したことを受け、2023年8月14日に開始されました。その結果、一部の規制当局は同社の事業を全面的に禁止しました。これには、同社の活動が公衆の間で騒動を引き起こしたケニアでの停止も含まれます。

Trail of Bitsの監査は、orbのソフトウェアを入念に精査することを目的としており、とりわけ個人を特定できる情報（PII）の取り扱いと、ユーザーの虹彩コードの管理に重点を置いていました。

デフォルトのオプトアウトによる登録プロセスでは、orbは虹彩コードを除き、個人を特定できる情報（PII）を収集しません。この虹彩コードは持続的に保存されることも、orbの外部に送信されることもありません。ユーザーがオプトインを選択する場合、ユーザーのPIIは、orbであっても復号できない形で、orbのソリッドステートドライブ（SSD）上で暗号化されており、データのプライバシーへの強いコミットメントが示されています。

さらに、監査は、orbがユーザーのデバイスから追加の機微データを抽出しないことを確認しました。収集される情報はQRコードからのものだけであり、プライバシーに関するベストプラクティスに沿った、データ収集の最小限主義的なアプローチが徹底されています。

重要なのは、重要なバイオメトリクス・データである虹彩コードが、その収集および送信のプロセス全体を通じて安全に取り扱われており、無許可のアクセスや傍受のリスクを実効的に低減していることです。

監査では、セキュリティをさらに強化するためにorbのソフトウェアおよびハードウェアの構成について追加の強化を示唆し、改善すべき領域も特定されました。

これに対し、WorldCoinは、QRコードのスキャンに用いられていた脆弱なライブラリを、より安全な代替手段に置き換えるといった変更を実施しています。

Trail of Bitsの監査は、WorldCoinがテクノロジーのセキュリティとプライバシーを守るために継続して行っている取り組みの一側面にすぎません。ORB技術が、ユニバーサル・ベーシック・インカムを提供するというWorldCoinプロジェクトの使命にとって極めて重要であることを踏まえると、こうした厳格なセキュリティ評価は、ユーザーの信頼とプロジェクトの整合性を維持するうえで不可欠です。