政府IDの画像が流出したDiscordのデータ侵害は、中央集権的な認証システムに対する再調査を促し、 業界専門家の中にはゼロ知識証明(ZKP)を機密のIDデータを保存する代わりに 有力な代替手段として指摘する声があります。
The Guardianの報道によれば、企業は不正な行為者が第三者カスタマーサービス プロバイダーのシステムにアクセスし、限られた数のユーザーデータが露出したことを認めました。
侵害された情報には、ユーザー名、メールアドレス、請求情報、IPアドレス、 そして一部の場合には政府発行のID画像(パスポートや運転免許証)も含まれていました。
Discordはこの事件を受けてプロバイダーのアクセスを撤回し、 証拠を法執行機関に共有しました。
業界関係者によれば、この侵害はオンラインプラットフォームが行う アイデンティティ認証方法における広範な問題を明らかにしました。 これは個人文書を収集し保存するという慣行に根ざしています。
Yellow.comとの取材で、Concordium社の最高成長責任者Varun Kabra氏は、 プラットフォームが機密情報を一切保存しない場合、 そのようなリスクが大幅に軽減すると指摘しました。
Kabra氏は、ゼロ知識証明システムはユーザーの属性(年齢や管轄地域など)を 検証することを可能にし、プラットフォームが身分証明書をアクセスしたり 保持したりする必要がないと説明しました。
「ユーザーは暗号化された資格証を自分のローカルウォレットに保持し、 認定されたIDプロバイダーがコンプライアンスのために安全にコピーを保持します」 とKabra氏は述べました。「Discordが年齢認証のためにIDスキャンを保存する代わりに ZK資格証を使用していたら、最近の侵害では個人識別情報が露出することはなかったでしょう。」
Mercuryo社の最高業務責任者Arthur Firstov氏は、Discordの事例が 中央データベースが攻撃者にとって依然として魅力的な標的であることを示していると述べています。
「一度、機密情報がデータベースに保持されると、それは標的になる」と彼は述べ、 ZKPが個人情報を収集せずに検証を可能にする道筋を提供すると付け加えました。
「ZKPを使用することで、プラットフォームはある人が特定の要件を満たしていることを 確認できるが、実際のデータはユーザーの管理を離れることはない。 それにより、最初から盗む価値のあるものが存在しないということです。」
多くのプライバシー擁護者やセキュリティ専門家にとって、この侵害は プライバシーファーストの認証システムを通じてデジタル信頼を再構築する必要性を強調しています。
Firstov氏は、ゼロ知識技術の広範な使用がそれを達成するのに役立つと述べました。
「プライバシーは、オンラインでの交流において人々や企業に信頼を与えるものであり、 ゼロ知識技術は情報を明かすことなく信頼を証明することでそれを可能にします」と彼は述べました。
G-Knot社のCEO、Wes Kaplan氏は、この侵害がデジタルアイデンティティの領域における 予測可能な弱点を例証していると述べました。
「集中的かつ機密性の高いデータを収集することは責任を負うことです」と述べた。
Kaplan氏は、Discordの年齢認証プロセスが文書のアップロードではなく 暗号による証明に依存していれば、個人IDの侵害可能なデータベースは存在しなかったと指摘しました。
「広く使用されているプラットフォームにおいて、ZKを活用したアイデンティティ認証への 移行はもはや理論的なものではなく、必要となりつつあります」と彼は付け加えました。 「データ侵害が避けられない世界では、唯一の本当の防御はアイデンティティを盗むことができない ようにすることです。」
月間2億人以上のアクティブユーザーを持つDiscordは、英国やオーストラリアなどの市場で 顔年齢認証ツールを使用しています。
オーストラリアの今後施行される16歳未満のソーシャルメディア規制では、 プラットフォームは複数の年齢確認オプションと異議申立てプロセスを提供することが求められています。
しかし業界の専門家は、業界が文書に基づいた認証システムを完全に離れることをしなければ、 このような侵害は引き続きユーザーに不要なリスクをもたらすだろうと述べています。