Last Updated on 2024-06-12 07:21 by admin
イギリスとカナダのプライバシー当局は、2023年10月に発見されたグローバル遺伝子検査会社23andMeのデータ侵害について共同で調査を行うと発表した。2023年10月6日、23andMeはブログ投稿を通じて、サイバー犯罪者が特定のアカウントから情報を取得し、ユーザーのDNA親族プロファイルに関する情報を含むことを確認した。後の調査で、攻撃者が約0.1%、つまり1400万人の顧客のうち約14,000人のユーザーアカウントに直接アクセスしたことが判明した。攻撃者は、クレデンシャルスタッフィングと呼ばれる手法を使用してアカウントにアクセスした。この手法では、他の侵害から盗まれたユーザー名とパスワードの組み合わせを試し、サービスにログインできるかを確認する。これらの組み合わせは通常、ダークウェブで販売される。人々がアカウント間でパスワードを再利用することが多いため、サイバー犯罪者はこれらの組み合わせを購入し、他のサービスやプラットフォームでログインを試みる。これらのアカウントの一部からは、ユーザーの遺伝学に基づく健康関連情報が盗まれた。クレデンシャルスタッフィングを通じてほとんどのデータがアクセスされたことが判明し、23andMeは被害者の法的代表者に被害者自身を非難する手紙を送った。
カナダのプライバシー委員会のPhilippe Dufresneと英国情報委員会のJohn Edwardsは、二つのオフィスのリソースと専門知識を活用して、23andMeのデータ侵害について共同で調査を行うと述べた。プライバシー監視機関は、侵害によって露呈した情報の範囲と被害者に対する潜在的な害、23andMeがその管理下にある高度に機密性の高い情報を保護するために適切な安全対策を講じていたか、および同社がカナダと英国のプライバシーおよびデータ保護法に基づいて二つの規制当局と被害者に対して適切な通知を行ったかどうかを調査する。共同調査は、ICOとOPC間の了解覚書に従って行われる。
【ニュース解説】
グローバル遺伝子検査会社23andMeが2023年10月にデータ侵害を経験したことが発表されました。この侵害では、サイバー犯罪者が特定のアカウントから情報を取得し、その中にはユーザーのDNA親族プロファイルに関する情報も含まれていました。侵害されたアカウントは23andMeのユーザーの約0.1%、約14,000人に上ります。攻撃者は、以前の侵害から盗まれたユーザー名とパスワードの組み合わせを使用してこれらのアカウントにアクセスしたとされています。この手法はクレデンシャルスタッフィングと呼ばれ、パスワードの再利用が原因で成立します。
この事件を受けて、カナダとイギリスのプライバシー当局が共同で調査を行うことを発表しました。調査の焦点は、侵害によって露呈した情報の範囲、被害者に対する潜在的な害、23andMeが保有する高度に機密性の高い情報を保護するための安全対策の適切性、そして適切な通知が行われたかどうかです。
この事件は、個人の遺伝情報のような高度に機密性の高いデータを扱う企業にとって、セキュリティ対策の重要性を改めて浮き彫りにします。遺伝情報は、個人の健康状態や遺伝的特徴に関する極めてプライベートな情報を含んでおり、不正アクセスによって露呈するリスクは非常に高いものです。このような情報が悪用されると、個人のプライバシー侵害はもちろん、保険の不公平な取り扱いや職場での差別など、さまざまな潜在的な害が考えられます。
また、この事件はパスワードの再利用がいかにリスクを高めるかを示しています。多くの人が同じパスワードを複数のサービスで使用しているため、一箇所でのデータ侵害が連鎖的に他のサービスへの不正アクセスを引き起こす可能性があります。これにより、個人はより多くの情報を失うリスクにさらされます。
このような背景から、個人はパスワードの管理により注意を払い、異なるサービスで異なるパスワードを使用する、二要素認証を活用するなどのセキュリティ対策を講じることが推奨されます。また、企業はユーザーのデータを保護するために、最新のセキュリティ技術を導入し、定期的なセキュリティチェックを行うことが重要です。この事件は、データ保護に関する規制の強化や、企業によるセキュリティ対策の徹底が今後さらに求められることを示唆しています。
from 23andMe data breach under joint investigation in two countries.
