ブロックチェーンセキュリティ企業CertiKがワールドコインの脆弱性を指摘。今後どうなる?
ブロックチェーンセキュリティ企業CertiKは、WorldcoinプロトコルにおいてOrbオペレーターへの不正アクセスを可能にする脆弱性を明らかにしました。
最近のTwitterのスレッドで、CertiKはこの脆弱性が、誰でも正当な企業であることや審査の面接に合格するなどの必要な基準を満たさずに、Orbオペレーターになるための検証要件を回避できるようにしたと説明しました。
「このセキュリティの脆弱性を通じて、悪意のある攻撃者はWorldcoinオペレーターの受け入れプロセスの検証と厳格な参加基準を回避できるでしょう」と企業は述べています。
通常のプロセスでは、厳格な識別検証に合格した正当な企業のみが、ユーザーの虹彩情報を収集するOrb操作を実行できます。
CertiKは、ホワイトハットの開示手続きを通じてWorldcoinにこの問題を報告し、プロジェクトのセキュリティチームが迅速に脆弱性を修正しました。
「CertiKはその後、修正が脅威を軽減したことを確認しました」と企業は述べています。
特に、CertiKの開示は、WorldcoinがNethermindとLeast Authorityによって実施されたセキュリティ監査の報告を公表したわずか一週間後に来ました。
監査は、コードの脆弱性や敵対的な行動への対策、悪意のある攻撃や搾取方法に対する保護など、さまざまな分野をカバーしていました。
Nethermindの監査は、セキュリティ評価中に26項目を特定し、そのうち24項目が検証段階後に修正され、1項目が軽減され、1項目が認められました。
一方で、Least Authorityはプロトコルで3つの問題を発見し、6つの提案を提供しました。これらはすべて、Worldcoinによれば、解決されたか、解決が計画されています。
ケニア停止の中でWorldcoinはさらなる問題に直面
先週、ケニアの内務省は、その活動の真正性、合法性、セキュリティ、金融サービス、データ保護に関する懸念を挙げ、Worldcoinの登録を停止する命令を出しました。
公式発表で、省は関連機関がプロジェクトの調査を開始したと述べました。
内務大臣Kithure Kindikiは当時、「関連するセキュリティ、金融サービス、データ保護機関は、上記の活動の真正性と合法性を確認するための調査と捜査を開始しました」と述べました。
Worldcoinは、OpenAIのCEOであるSam Altmanと共同設立され、20億ドル以上の評価額で、人間を眼球スキャンで確認し登録することによって、「人物確認の証明」ネットワークを作成することを目指しています。
プロジェクトはデビュー以来、注目を集めた批判を受けています。
暗号資産(仮想通貨)が公正に分配されるように、Worldcoinが人々の虹彩と目をスキャンしているため、プライバシーとセキュリティに対する懸念がいくつか表明されました。
生体認証データの収集は、この機密情報がどのように保存、保護、および潜在的に使用されるかについての疑問も提起しました。
さらに、Worldcoinの同意取得方法に疑問を持っている人もいます。
2022年のMIT Reviewによる調査では、Worldcoinが欺瞞的なマーケティング手法を使用し、開示された以上の個人データを収集し、意味のある情報提供の同意を得られなかったことがわかりました。
最近、フランスの情報技術と自由委員会(CNIL)やドイツのバイエルン州当局を含む欧州の規制当局が、プロジェクトの調査で協力していることが明らかになりました。
追伸
ワールドコインの整備が進んでどんどん盛り上がる仮想通貨。
そんな中、ビットコインを超える3つの通貨があるというのですが・・・
