セキュリティ

遺伝子検査ツールの23andMeがハッキングにより690万人分の遺伝的データを盗まれる


遺伝子検査ツールの23andMeが、ハッキング被害によりユーザーデータが漏えいしたと報告しています。23andMeには遺伝的に親類に当たる人物を見つけることができるDNA Relativesという機能があるのですが、この機能を通じて共有することができる一部のユーザープロフィール情報が漏えいしたようです。23andMeは海外メディアにデータ漏えいしたユーザーの遺伝的データは690万人分にもおよぶことを明かしました。

23andMe confirms hackers stole ancestry data on 6.9 million users | TechCrunch
https://techcrunch.com/2023/12/04/23andme-confirms-hackers-stole-ancestry-data-on-6-9-million-users/


23andMe admits hackers accessed 6.9 million users’ DNA Relatives data - The Verge
https://www.theverge.com/2023/12/4/23988050/23andme-hackers-accessed-user-data-confirmed

23andMeが最初にハッキングにあった可能性を公表したのは現地時間の2023年10月9日20時25分で、この時は「第三者のフォレンジック専門家や連邦法執行機関と協力して調査を進めている」とだけユーザーに通知しており、被害の詳細は不明でした。


その後、10月20日21時35分に「進行中のセキュリティ調査の一環として、お客様のプライバシーを保護するための追加予防措置としてDNA Relativesの一部の機能を一時的に無効にしました」と発表。

11月6日7時45分には「本日よりアカウントの追加保護層として、メールの2段階認証を利用することをすべてのお客様に義務付けます。新規ユーザーはアカウント作成時に自動的にメールの2段階認証へ登録させられます。また、認証アプリを使用していない既存のユーザーも、2段階認証に自動登録され、次回のサインイン時に確認コードを含むメールを受け取るようになります」と述べ、ログイン時の2段階認証が義務付けられたことを明かしました。

そして12月1日15時45分に、「第三者のフォレンジック専門家の支援を受けて調査を完了しました。当社では法律上の義務に従い、影響を受けるお客様に通知を行っています。23andMeはすべての既存顧客にパスワードのリセットを要求し、すべての新規・既存ユーザーに2段階認証の利用を義務付けるなど、ユーザーデータをさらに安全に保護するための措置を講じています。23andMeは今後もシステムとデータ保護に投資していきます」と発表していました。

Addressing Data Security Concerns - 23andMe Blog
https://blog.23andme.com/articles/addressing-data-security-concerns


23andMeはハッキング被害にあったことを公式ブログ上で報告していたものの、どの程度のユーザーが被害にあったかなどの詳細は明かしていませんでした。しかし、海外メディアのThe VergeやTechCrunchが23andMeに直接問い合わせたところ、690万人分のユーザーデータが漏えいしたことが判明しています。

23andMeの広報担当者であるアンディ・キル氏は、今回のハッキング被害は同じ遺伝子構成を持ったユーザーを照合する機能であるDNA Relativesを有効にしている約550万人分のユーザーデータと、140万人分の家系図プロフィールにアクセスされたと明かしました。

なお、ハッキングにより盗まれたデータには、ユーザーの氏名・誕生日・関係ラベル・親戚と共有されているDNAの割合・祖先報告・自己申告された所在地などの情報が含まれます。


アメリカの証券取引委員会に提出された書類によると、ハッキング攻撃を仕掛けてきた攻撃者はデータ漏えいしたアカウントの資格情報を悪用して不正アクセスを行うクレデンシャルスタッフィング攻撃を使用した模様。これにより23andMeユーザーの0.1%に相当する約1万4000件のユーザーアカウントに直接アクセスすることができるようになったそうです。ここから攻撃者はDNA Relativesを使って他の何百万人分の遺伝的プロフィール情報を入手したものと思われます。

キル氏はThe Vergeに対し、「当社のシステム内でデータセキュリティインシデントが発生したことや、23andMeがこれらの攻撃に使用されたアカウントの資格情報の漏えい元であることを示す兆候はまだありません」と語りました。

この記事のタイトルとURLをコピーする

・関連記事
トヨタがランサムウェアグループ「Medusa」の攻撃を受けデータ漏えいしたことを認める - GIGAZINE

ソニーがセキュリティ侵害で約6800人分の従業員データが流出したことを認める - GIGAZINE

MicrosoftのAI研究部門がMicrosoft Azure経由で38TBもの内部機密データを漏えいしていたと判明 - GIGAZINE

企業のIT専門家の3分の1が「データ侵害を隠匿した」とインタビューで回答 - GIGAZINE

Amazon・Apple・Microsoftなどが資格情報の流出でデータセンターへ物理的に侵入される危機に直面していることが発覚 - GIGAZINE

情報漏えいの被害額が過去最高を記録、コスト増のツケは消費者に - GIGAZINE

in セキュリティ, Posted by logu_ii

You can read the machine translated English article here.