バイオテクノロジー企業でありDNA収集サービスを提供する23andMeは、顧客のアカウントが不正アクセスされていたにもかかわらず、その攻撃を5ヶ月間検出できなかったことを認めました。カリフォルニア州の司法長官ロブ・ボンタに提出されたデータ侵害通知によると、攻撃者は2023年4月29日から9月27日までの間、クレデンシャルスタッフィング技術を使用していました。この不正行為は、内部のセキュリティツールによってではなく、Redditの投稿を見た後の10月に初めて検出されました。
23andMeによると、攻撃者はDNA Relatives機能を有効にしていた14,000のアカウントに侵入し、その結果、690万人の個人データが露出した可能性があります。DNA Relatives機能は、DNAの一致度に基づいて関連する個人を見つけることを可能にする23andMeの主要な機能です。クレデンシャルスタッフィングによってアカウントが侵害された場合、わずかなDNAの共有率を持つ人々のデータも攻撃者によって収集された可能性があります。
侵害された場合に盗まれた可能性のあるデータの種類には、最終ログインデータ、関係ラベル(男性、女性、中性)、予測される関係(例:大おば)、DNAの共有率、アカウント表示名などの基本的なプロファイル情報が含まれます。表示名は23andMeで設定可能で、フルネームから名前の最初のイニシャルまでの範囲のオプションがあります。オプションとして、ユーザーはDNAを共有する人々と追加情報を共有することを選択することもでき、祖先のレポート、一致するDNAセグメント(どの染色体が一致しているか)、居住地、祖先の出生地、家族名、プロフィール写真、出生年、家族の木、個人のバイオなどが含まれます。
クレデンシャルスタッフィング攻撃は、適切な資格情報を使用してアカウントにアクセスされたため、組織が検出するのが難しい場合がありますが、悪意のある活動を検出するのに役立つさまざまなコントロールを実装することができます。たとえば、エンドポイントソリューションは、大量のアカウントへのログインを試みる単一のソースを検出し、そのIPアドレスをブロックして、さらなる侵入試みを防ぐことができます。しかし、クレデンシャルスタッフィングを根本的に止める主な方法は、業界が長い間勧めているように、2要素認証または多要素認証を有効にすることです。23andMeは、侵害を検出した後の11月に、デフォルトで2FAを義務付け始めました。
23andMeは、侵害がユーザーの過失によるものであり、同社のセキュリティ対策の失敗が原因ではないと主張しています。同社は、ユーザーが23andMe.comと他の以前にセキュリティ侵害を受けたウェブサイトで同じユーザー名とパスワードを使用し、これらの過去のセキュリティインシデントに続いてパスワードを更新しなかったため、不正アクターが特定のユーザーアカウントにアクセスできたと信じています。したがって、このインシデントは、CPRAの下で合理的なセキュリティ対策を維持するという23andMeの主張された失敗の結果ではありません。
この「責任転嫁」の手紙が漏れたことで、情報セキュリティ業界の多くの人々が23andMeに対して反発し、2FA/MFAの欠如を批判の中心に据えました。一方で、他のセキュリティ専門家は、ユーザーが以前の侵害後にログイン情報を変更しなかったため、実際にはユーザーに過失があると述べる人もいました。
23andMeは、利用規約を変更して、被害者の法的行動を起こす能力を制限しようとしました。新しい60日間の紛争解決期間を導入し、不満を持つ顧客は法的オプションを追求する前にまず非公式に紛争を解決しようとする必要があると規定しました。
23andMeは、コメントの要請に対してすぐには応答していません。
【ニュース解説】
バイオテクノロジー企業である23andMeが、顧客のアカウントが不正アクセスされていたにもかかわらず、その攻撃を5ヶ月間検出できなかったことを認めたというニュースが報じられました。攻撃者はクレデンシャルスタッフィングという技術を用いて、2023年4月29日から9月27日までの間にアカウントに侵入していました。この不正行為はRedditの投稿を通じて10月に初めて発見され、内部のセキュリティツールでは検出されませんでした。
クレデンシャルスタッフィング攻撃は、既に漏洩しているユーザー名とパスワードを利用して、正規のログイン情報としてシステムにアクセスする手法です。このような攻撃は、ユーザーが異なるサービスで同じログイン情報を使用している場合に発生しやすく、一度情報が漏洩すると複数のサービスでアカウントが危険にさらされるリスクがあります。
この事件により、DNA Relatives機能を有効にしていた14,000のアカウントが侵入され、690万人の個人データが露出した可能性があるとされています。DNA Relativesは、DNAの一致度に基づいて親族を見つける機能であり、侵害されたアカウントを通じて、関連する個人のデータが攻撃者によって収集された可能性があります。
このような攻撃を防ぐためには、2要素認証(2FA)や多要素認証(MFA)のような追加のセキュリティ対策を講じることが有効です。しかし、23andMeは侵害を検出した後の11月になってから、2FAをデフォルトで義務付けるようになりました。
23andMeは、侵害がユーザーの過失によるものであると主張し、自社のセキュリティ対策の失敗が原因ではないとしています。しかし、この主張は情報セキュリティ業界から批判を受けており、特に2FA/MFAの導入が遅れた点が問題視されています。
この事件は、個人情報のセキュリティに関する議論を再燃させるとともに、企業が顧客のデータを保護するためにどのような措置を講じるべきか、またユーザー自身がどのように自己防衛すべきかという問題を浮き彫りにしました。また、企業が利用規約を変更して被害者の法的行動を制限しようとする動きに対しても、消費者の権利を守るための規制や法的枠組みの重要性が改めて注目されています。将来的には、このようなデータ侵害が発生した際の企業の責任と対応、そしてユーザーのセキュリティ意識の向上が、より一層求められることになるでしょう。
