23andMeは最近、データ侵害を公表しました。ハッカーが約14,000件の顧客アカウントに不正アクセスしたというものです。これは同社の膨大な顧客基盤の0.1%に相当します。10月初旬に明らかになったこのdent、「dent・スタッフィング」と呼ばれる手法の悪用を浮き彫りにしました。これは、ハッカーが他の侵害から漏洩した可能性のある既知のパスワードを利用してアカウントに侵入する手法です。
23andMeはハッカーがユーザーの祖先に関するファイルにアクセスしたと発表
侵害されたデータには、当初14,000人のユーザーの祖先情報が含まれていました。これらのアカウントの一部では、ユーザーの遺伝子に基づく健康関連情報も漏洩しました。しかし、この侵害の影響は直接影響を受けた顧客だけにとどまりませんでした。これは、23andMeのDNA Relatives機能によるものです。この機能は、ユーザーが特定の情報を、この機能を有効にした他のユーザーと共有することで、相互につながったプロフィールのネットワークを構築できるものです。
その結果、ハッカーは被害者のアカウントにアクセスすることで、その被害者に紐づく個人の個人データを閲覧できる可能性がありました。同社は当初の14,000件を超える正確な数字は明らかにしていませんが、他のユーザーの祖先に関するプロフィール情報を含む「相当数」のファイルが侵害されたことを認めています。特に、23andMeはこれらの数字に関する説明を求める問い合わせに回答しなかったため、ユーザーは侵害の範囲について懸念を抱いています。
この情報漏洩を受け、23andMeは直ちに対策を講じ、ユーザーにパスワードのリセットと変更を促しました。さらに、セキュリティ強化に不可欠な多要素認証の導入を推奨しました。11月6日までに同社はより積極的な姿勢を示し、全ユーザーに2段階認証の使用を義務付け、ユーザーアカウントの保護をさらに強化しました。その後、ハッキングフォーラムで公表された盗難データの分析結果から、ユーザーの遺伝的祖先に関する情報が含まれていることが判明しました。
攻撃の影響と業界の反応
一部のデータセットは公開されている系図記録の詳細と一致しており、漏洩した情報は長年にわたりオンライン上で流通していた可能性があることが示唆されています。ハッカーが数百万人のユーザーの記録とされるものを、1人あたり1ドルから10ドルの価格で販売しようとしたことで、状況はさらに悪化しました。この侵害が最初に世間の注目を集めたのは、ハッカーが著名なハッキングフォーラムで、ユダヤ系アシュケナージ系ユーザー100万人と中国人ユーザー10万人のデータを宣伝したことでした。
その後、同じハッカーは提供範囲を拡大し、さらに400万人のユーザーレコードを追加しました。驚くべきことに、別のフォーラムでは別のハッカーが以前、盗まれた23andMeのユーザーデータ300テラバイトを所有していると主張し、データベース全体、あるいは一部のデータに対して多額の金額を要求していました。この広範なデータ漏洩を受けて、23andMeのセキュリティ対策は進化しました。パスワードの強制リセットと多要素認証の推奨は、侵害の影響を軽減するための最初のステップでした。
その後、二段階認証の義務化は、ユーザーのセキュリティ強化と不正アクセス防止を目的として実施されました。23andMeの情報漏洩、同社だけにとどまりませんでした。その後、AncestryやMyHeritageといった他のDNA検査会社も、ユーザーに二段階認証を義務付けることで、セキュリティ対策の強化に着手しました。この事件dent機密性の高い遺伝子データや個人データを扱う企業が直面する課題の増大を浮き彫りにし、悪意のある攻撃者からユーザー情報を守るための強固なサイバーセキュリティ対策の必要性を浮き彫りにしました。
