米決済企業のスクエア(現ブロック)は昨年7月、ハードウェア暗号資産(仮想通貨)ウォレットを開発すると発表した。
世界で最も急成長しているPOS(ポイント・オブ・セールス:販売時点情報管理)テクノロジーを開発した人たちが、ウォレットをデザインするということで、使いやすさと普及においてエキサイティングな進展が約束された。
さらにそれから数カ月後には、CEOのジャック・ドーシー氏がスクエアに全力を傾けるためにツイッターのCEOを辞任し、テックの世界を騒がせた。
ブロックの指紋認証型ウォレット
しかし、長年にわたるドーシー氏とビットコイン(BTC)との蜜月のなかで初めて、彼の計画と、暗号資産のベテランたちの好みに大きな食い違いが生じているのかもしれない。
ブロックは11日、同社のハードウェアウォレットでは、ユーザーが資金にアクセスするための主要な方法はデフォルトで指紋認証にすると発表したのだ。もちろんブロックは、「顧客が選択できる別のアクセス方法も検討する」とも言っている。
少なくとも携帯電話のような消費財の場合、生体認証を追加する理由は通常、単なる利便性であるが、厄介な影響がもたらされることもある。
テックスタートアップの支援を行うYコンビネータの元社長で、こちらもウェブ2.0の世界からやって来たサム・アルトマン(Sam Altman)氏は2021年夏、ワールドコインと呼ばれるトークンを発表した。
これに対し、エドワード・スノーデン氏をはじめとする人たちが、ユーザーの生体認証データ流出のリスクがあることと、被害者にとっては深刻で永続的な影響がもたらされる可能性を指摘した。
公共政策シンクタンクAmerican Enterprise Instituteの非情な資本主義者たちさえも、ワールドコインの計画は反社会的と批判していることから、大いなる問題を抱えた計画であったことは明らかだ。
ブロックの計画は確かに、ワールドコインのものとは重要な点で異なっており、正当化しやすいものだ。例えば、計画されているウォレットはシングルユーザーデバイスであるため、スマートフォンと同じように、生体認証データをローカルに保存することができる。
一方のワールドコインは、虹彩スキャンハッシュの中央集権型データベースを必要とするという、最大級の警戒が必要なお粗末なセキュリティアーキテクチャの典型という感じであった。
しかし、ローカルでの処理と保管であっても、深刻なリスクは存在する。究極的に言ってしまえば、インターネットでアクセスできるローカルデータは、真に安全とは言えないのだ。指紋データの流出が一生におよぶ影響をもたらすことを考えれば、少しの流出の可能性も真剣に吟味する必要がある。
同様に心配なのは、指紋を暗号資産ウォレット認証の主要な方法とすることで、秘密鍵管理にそれほど重点が置かれなくなる可能性があることだ。そうなると、ユーザーにとってはさらなるリスクがもたらされることになる。
ハードウェアウォレットだけに秘密鍵を保存していて、そのハードウェアが指紋によって管理されている場合、全財産を失うリスクは、下がるのではなく、上がるのだ。
発表の内容とタイミングを見ると、ブロックはこのようなリスクをしっかりと認識しているようだ。「(指紋セキュリティの)制約を認識しており、それに合わせて設計を行う必要がある」と、発表文書には書かれている。
さらに、コミュニケーション業界においては、人々にあまり注目されたくないニュースを金曜日に発表するのが恒例だ。記者たちはおおむね仕事を仕上げ、幸せな週末を楽しみにしているからだ。この点から、ブロックが反応を最小限に抑えようとしていたと考えていいだろう。
それでもブロックは、極めて厄介な難題に取り組んでおり、現行の計画は反射的な反応ではなく、思慮深い反応に値する。発表文では、「安全だが簡単に」使えるウォレットを設計し、ユーザーエクスペリエンスと安全性を両立させることが最優先という点を明確にしている。
「開発中のウォレットのハードウェアの部分で奇抜なインターフェイスを採用することで、顧客に新しい行動をとるよう強制したくはない」と、ブロックは説明し、「そうではなく、モバイルアプリケーションをエクスペリエンスの中心にすることで、慣れ親しんだ直感的な操作が生まれるだろう」と続けた。
使いやすさと安全性のバランス
良かれ悪しかれ、私たちは小型デバイスでの指紋によるアクセスに非常に慣れ親しんでいる。そのため、指紋認証を採用することは、シリコンバレーのハードウェア設計者の観点からは、完全に理に適っているのだ。
製品は大衆向けであるべきで、あまり賢くない子供でも使えるのが理想という前提が、ブロックのような比較的機敏な企業であっても、ビジネスモデルと文化に織り込まれている。
しかし、このような論理は、ユーザーエクスペリエンスをより優れた一段と直感的なものにすることを優先しようという、暗号資産業界内での多くの呼びかけとも一致する。これはウォレットに限った話ではなく、分散型取引所(DEX)などあらゆるものが対象だ。
問題は、暗号資産やセキュリティの専門家らが指摘する通り、スムーズなユーザーエクスペリエンスは、セキュリティリスクとはほとんど切っても切れないという点だ。
例えば、暗号資産ウォレットを手がけるメタマスク(MetaMask)のテイラー・モナハン(Taylor Monahan)氏は、人々が秘密鍵を適切に保管しないという結果をもたらした、別の「使いやすさ」のための機能を挙げている。
メタマスクに参加する前に、モナハン氏が開発したウォレット「MyCrypto/MEW」の初期バージョンに搭載された機能である。具体的に言うと、この機能は人々がしばしば書き留めるのを忘れてしまう、すべてのウォレット情報の自動ダウンロード/表示機能であった。
ゆくゆくは、セキュリティと使いやすさをちょうど良く両立させる暗号資産製品が生まれるだろう。しかし率直に言って、現在その方向へと急いで向かう企業は、教育を蔑ろにすることで、エコシステム全体に悪影響を与えているのだ。
結局のところフロントエンドのデザインによって、暗号資産システムをウェブ2.0システムと同じくらいスムーズで楽なものにできるという前提自体が、根本的に間違っていると判明するかもしれない。
暗号資産の複雑性は、分散化とは切っても切れないもので、そのような複雑性を「取り除いてしまう」ことは常に、盗みを働こうとしている人にとって、新たな攻撃目標を与えてしまうことになる。
|翻訳・編集:山口晶子、佐藤茂
|画像:Lukasz Stefanski / Shutterstock.com
|原文:Jack Dorsey, Block and the Perils of Making Crypto User-Friendly
