23andMe、ハッカーが690万人のユーザーの祖先データを盗んだことを確認
(techcrunch.com)- 当初、直接侵害されたアカウントは約1万4,000人分とされていたが、DNA Relatives のつながりを通じて被害全体は 690万人 に拡大
- 約 550万人 のオプトインユーザーについて、氏名、生年、関係ラベル、親族と共有しているDNAの割合、祖先レポート、自己申告の所在地が流出
- 別途、約 140万人 は Family Tree のプロフィール情報にアクセスされ、表示名、関係ラベル、所在地、情報共有の有無などが含まれていた
- 23andMeは、顧客の パスワード再利用 により、他サービスから流出したパスワードでアカウントにアクセス可能になったと説明
- 1つのアカウント侵害がつながりのある親族情報の流出につながり、被害規模は23andMeが報告した全顧客1,400万人の約半数に上る
690万人に拡大した23andMeのデータ侵害
- 23andMeは金曜日、顧客の 0.1%、約1万4,000人の個人データにハッカーがアクセスしたと発表した
- 当時同社は、これらのアカウントを通じて、他のユーザーの祖先情報を含む「相当数」のファイルにもアクセスできたと述べたが、影響を受けた「他のユーザー」の人数は公表しなかった
- その後、23andMeの広報担当者は被害者全体が 690万人 であることを確認した
- この数字は、23andMeが報告した全顧客 1,400万人 の約半数にあたる
DNA RelativesとFamily Treeで流出した情報
- 約 550万人 は、23andMeの DNA Relatives 機能にオプトインしていたユーザーである
- この機能により、顧客は一部のデータを他のユーザーと自動的に共有できる
- ハッカーがアクセスしたデータには、氏名、生年、関係ラベル、親族と共有しているDNAの割合、祖先レポート、自己申告の所在地が含まれていた
- さらに約 140万人 のDNA Relativesオプトインユーザーは、Family Tree のプロフィール情報にアクセスされた
- 含まれていた情報は、表示名、関係ラベル、生年、自己申告の所在地、ユーザーが情報共有を選択していたかどうかである
- DNA Relativesはユーザーを親族とマッチングする仕組みのため、1つのアカウントがハッキングされると、アカウント保有者だけでなく、つながりのある親族の個人データも流出する可能性がある
- このつながりの構造が、直接侵害されたアカウント数をはるかに上回る被害範囲を生んだ
ハッキングフォーラムへの投稿とデータの真正性を示す手がかり
- 10月初め、あるハッカーが有名なハッキングフォーラムで、23andMeユーザーの DNA情報 を盗んだと主張した
- 侵害の証拠として、アシュケナージ系ユダヤ人の血統を持つユーザー100万人分と、中国人ユーザー10万人分のものだと主張するデータを公開した
- そのハッカーは、アカウント1件あたり 1〜10ドル でデータを販売すると提案した
- 2週間後、同じハッカーは同じハッキングフォーラムで、追加の 400万人 分の記録だと主張するデータを宣伝した
- 別のハッキングフォーラムでは、広く知られる広告より2カ月前に、23andMe顧客データだと主張するまとまりがすでに宣伝されていた状況も確認された
- 数カ月前の流出データを分析したところ、一部の記録は、趣味の研究者や系譜研究者がオンラインで公開していた遺伝データと一致した
- 2つのデータセットは形式こそ異なっていたが、一部の固有ユーザーデータと一般データが同じだった
- このため、ハッカーが流出させたデータは、少なくとも一部が実際の 23andMe顧客データ である可能性がある
23andMeが説明した侵害の原因
- 23andMeは10月の侵害公表で、顧客の パスワード再利用 を原因として挙げた
- ハッカーは、他社のデータ侵害で公開されたパスワードを使い、被害者のアカウントに総当たり攻撃の手法でアクセスできた
- 1つのアカウントへのアクセスがDNA Relativesのつながりをたどって他のユーザー情報へのアクセスにつながり、被害範囲が大きく拡大した
1件のコメント
Hacker Newsの意見
この事件は、「どうしてそんなにプライバシーを気にするの? 私が共有しても君には影響ないし、嫌ならやらなければいいじゃないか」という主張に対する完璧な反例だ
親族が23andMeにゲノム情報をアップロードすると、私の選択とは無関係に私に関する情報も明らかになる
同じ背景を共有する人たちの行動データを収集する場合にも、まったく同じことが当てはまると人々に気づいてほしい
もっとよくあるのは単に「どうしてそんなにプライバシーを気にするの?」で、そもそもなぜプライバシーが重要なのか理解していない場合が多い
この事件も、実際の被害を示すまでは、他の漏えい事故より強い反論になるのは難しい
今回、祖先関連データが盗まれた人たちに実際に何が起きると見ているのか気になる
23andMeは、それでも顧客がサービスを使うかどうかを決めて利点と欠点を比較できたが、Equifaxでは融資の申請から就職応募まで影響する評価システムに強制的に組み込まれ、第三者が販売したデータを吸い上げて私の個人情報を保有していた
漏えい後も実効性のある救済はなく、なりすましの可能性が非常に高いにもかかわらず、過ちを認める代わりに形式的な「信用モニタリング」だけを提供した
結局、問題を作った信用情報機関が、同意なしに情報を共有・配布しながら何の責任も負っていない
プライバシーを軽く見る安易さのせいで他人までより悪い立場に置かれる、無知で自己破壊的な論理だと思う
他人が自分の情報を共有することを、その一部が自分と重なっているという理由だけで止められるようなプライバシーモデルは、あまり思い浮かばない
流出したのは家系図・親族関係に近いデータのようだ
盗まれたデータには、氏名、出生年、関係ラベル、親族と共有するDNAの割合、祖先レポート、自己申告の所在地が含まれていたという
似た話として、「収入はいくら?」「あなたの郵便物を読んでもいい?」「家の鍵をもらってもいい?」と尋ねればいい
抽象的な考えは苦手な人もいるが、物理世界に持ち込めば誰でもその不快さをすぐ理解する
感謝祭当日、みんなの受信箱に埋もれるのにちょうどいいタイミングで送られた利用規約の変更と、どれほど関係があるのか気になる
この変更は集団訴訟を禁じようとし、法的措置の前に「非公式」の60日間手続きを経させ、拘束力のある仲裁へ追い込むものだ
23andMeの弁護士が作ったこの条項によれば、顧客として実質的な法的権利はほとんどないに等しい
少なくともドイツでは、一方に過度に有利な契約は裁判所に持ち込まれれば無効になる
その結果がどうなるのかはよくわからない
「新しい規約全体をお読みいただくことをお勧めします。規約に同意しない場合は、このメールを受け取った日から30日以内にお知らせください。その場合、既存の利用規約が引き続き適用されます。30日以内に通知がない場合、新しい規約に同意したものとみなされます。」
通知用メール: legal@23andme.com
今後、実質的な意味でのプライバシーが維持可能だと考える人がいるのか気になる。
機械学習アルゴリズムは顔認識なしでも 歩き方だけで人を識別 する方法を学んでおり、キーボードの打鍵音だけで入力テキストを解読する方向にも進んでいる。
すべての公開データの全体的な手がかりと、十分に発達したアルゴリズムがあれば、極端な対策を漏れなく適用しなくても、私たちが今日合理的だと考えるプライバシーを維持する方法はあるのだろうか。
価値判断をしたいわけではなく、進行中の傾向がそう見えるという意味。
何もしなければ彼らが勝つが、公に議論すれば少なくとも 安全装置 を設けられる可能性はある。
もちろん正直に言えば全部終わっていて EvilCorp が勝つので、戦うことにエネルギーを使って自分で狂っていくだけなのかもしれない。
抵抗は無意味だ。
Fortinet のような企業が、アパートやコンドミニアムの入口にカメラを置き、通行人をスキャン・分析する「自動ドアマン」を作ろうとしていたからだ。
関係者の誰からも倫理意識はほとんど見られなかった。
必要なのは忘れられる権利を明文化する強力な立法だ。
識別の自動化そのものが本質的に間違っているとは思わないが、同意なしに可能な限りあらゆる人間を識別しようとする企業の試みは大きく間違っていると思う。
「なぜこの情報を隠そうとするのか」への答えは、結局のところ「[ある人または集団] が [私的データ] を使って私に [悪い結果] をもたらし得る」という恐れに行き着く。
人々が本当に気にしているのはデータそのものではなく、悪い結果のリスクだ。
この傾向が正しいなら、焦点はそうした悪い結果を生み出し得る社会的取引における 非対称な権力の不均衡 を防ぐことに置かれるべきだ。
以前は機密文書が漏えいすることを考えるだけで気が狂いそうだったが、個人情報がどれほどずさんに扱われているかを見て、ほぼ確実に起こることだと気づいた。
プライバシー法が比較的しっかりしているオーストラリアでさえ、Optus の大規模ハッキングで人口の半分近くのクレジットカード情報が盗まれ、Medibank のハッキングでは民間医療保険の顧客のかなりの情報が流出した。
住宅ローンを申し込む中で、近所の小さなモーゲージ仲介業者でさえ毎年数百〜数千件の機密性の高い身分証明書類をメールで受け取り、取引終了後も削除していないことを知った。
オーストラリアの多くの企業は、氏名・住所・生年月日だけで本人確認をしているが、普通は5分も検索すれば簡単に見つかる。
Telstra のアカウントには、何年も前から管理変更を防ぐための PIN を設定していたが、ある日電話したらパスワードすら聞かれずにそのまま処理されてしまった。
プライバシーが尊重されるには、詐欺の責任を実際の被害者である 企業 に負わせるしかないと思う。
「身元が盗まれた」という古いジョークも、実際には身元が盗まれたのではなく、企業の検証手続きが失敗したのに損失責任を避けようとして責任転嫁しているだけだ。
だから最近はクレジットカードしか使っていない。
不正利用が起きたときにチャージバックでき、自分の金への無断アクセスを実質的に防げるほぼ唯一の仕組みだからだ。
最近、かなり不気味なことがあった。
数か月前に受診した病院から電話があり、DNA 解析プログラム に参加してほしいと言われた。
「一番いい点は、何もしていただく必要がないことです。前回採取した血液サンプルを使えます」と言うのだ。
当然断ったが、私に知らせもせず、私と結び付いた生物学的サンプルを保管していて、事後的に DNA 解析までできるという点が信じがたかった。
米国のプライバシー法が事実上存在しないことの証拠のように感じる。
EU では同意なしにサンプルを凍結保存することはできず、凍結していないサンプルも数日程度しか認められない。
ウィキの記事はスウェーデン語 בלבדだ。
予想どおりと言うべきか、あるいは興味深いことに、警察はこのデータにアクセスできなかったが、2003年に政府閣僚が殺害された後、容疑者のサンプルを確保した。
知られている限り、その後使われたことはない。
シニカルに見ることもできるが、現時点では警察による登録簿の利用は定着しておらず、裁判所が統制している。
ならばプライバシー法はあるということではないか。
古い結果やサンプルを整理する過程の一段階だった可能性もある。
何かつじつまが合わない。
「23andMeはデータ漏えいが顧客のパスワード使い回しによって発生したと説明した」とあるが、一度に1万4000件のアカウントが突破されたなら、そのパスワードはどこから出てきたのだろうか。
LastPassのような別の関連流出があったのではないか。
また、ハッカーが「DNA Relatives」機能で690万人の個人情報にアクセスしたのなら、もともと突破された1万4000件の各アカウントに固有の親族がおよそ492人いたことになる。
私は何か見落としているのだろうか。
攻撃者が大規模な分散ネットワークでデータをかき集めた可能性もあるが、そもそも検知や保護がなかった可能性の方が高い。
ただ、自分のアカウントで親族数を確認しようとしてログインしたところ、23andMeはパスワード使い回しを理由にログインを止め、リセットを要求してきた。
このアカウントでは常に非常に強力なパスワードを使っており、どこにも使い回したことはなく、2段階認証も有効にしていた。
会社自身も、原因が使い回しパスワードだったという説明に完全には自信を持てていないように見える。
使い回していないそのパスワードをリセットして確認してみると、DNA親族パネルには60ページあり、各ページに25人ずつ表示されていたので、合計1500人分の親族を持っていけることになった。
無作為の1万4000件のアカウントからこれを吸い上げれば、かなり大規模なネットワークを作れる。
過去のさまざまなパスワード流出を集めた巨大なリストは公然と入手でき、攻撃者に限らず誰でもアクセスしやすい。
1400万人超のユーザーのうち0.1%に当たる1万4000人が、他所で流出したパスワードを使い回していた可能性は十分に妥当だ。
Troy Huntの取り組みに関する昨日のHNでの議論にもあったように、そうしたパスワードを明示的に検知して無効化していないならなおさらだ。
ユーザー名とパスワードが23andMeから流出したのなら、それは使い回しの問題ではなく、23andMeの認証情報リストを見つけてクラックしただけだ。
別のWebサイトの流出リストや、複数サイトの流出をまとめたリストに23andMeユーザー1万4000人分が重なっていても、少しも不思議ではない。
調べると23andMeの顧客は1400万人で、1万4000件のアカウント流出は1000件に1件が突破された計算になる。
私のDNA親族リストには1500人強が表示される。
各アカウントが1/1000の確率でハッキングされたとすると、私の親族の誰一人ハッキングされなかった確率は(1-1/1000)^1500 = 0.223だ。
少なくとも1人の親族がハッキングされた確率は0.777になる。
私が平均的だと仮定すれば、ハッキングされたアカウントを親族に持つ人は約1080万人いると見積もられ、これは690万人という数字に十分近く見える。
23andMeを本気で使ってみようと思ったことは一度もない。
ハッカーのせいではなく、政府がその情報をどう使うかが気になるからだ。
ただ家系図を知りたいだけで、どこかの親族が犯罪容疑をかけられることに加担したくはない。
プライバシーや個人識別情報への懸念は十分理解しているが、私にとっては、自分が何者なのかをよりよく理解できたこと、そしてとても温かく迎えてくれた親族を見つけられたことに明らかな価値があった。
結局のところトレードオフだ。
検査をして結果を送った後、会社側のテストデータや情報が破棄されるか、あるいはデータが家の外に出ない家庭用検査が可能ならやってみたい。
企業がなぜこのデータを保持し続けるのか理解しがたい。
とてつもない責任負担だ。
この場合は親族関係の特定機能のためかもしれないが、その機能がリスクを負うほどの価値があるのかは疑問だ。
私が見た、この技術で解決された事件は、もし自分のしたことが本当にひどいことをする人を止める助けになったのなら、進んでよかったと思えるようなものばかりだった。
遺伝情報データベースを手に入れたら彼らが何をしたか、想像してみればいい。
偶然にも昨日、別スレッドでadameasterlingがクレデンシャルスタッフィング攻撃について書いた素晴らしいコメントを読んだ。[1]
「Troy Huntは本当に貴重な存在だ。Webアプリケーション開発者なら、クレデンシャルスタッフィング攻撃への保護をしない言い訳はない。最善の防御はおそらく2段階認証だが、Huntのハッシュ化パスワードデータベースと照合するのも非常に有効で、ユーザーに追加の作業を求めない」という内容だった。
そのコメントは60日前の投稿なのに23andMe[2]を例に挙げており、今回の件はTechCrunchの記事でも言及されている。
[1] https://news.ycombinator.com/item?id=38521106
[2] https://news.ycombinator.com/item?id=37794379
この時点では、データを集める会社ならいずれハッキングされるように感じる。
「起こるかどうか」ではなく、いつ起こるかの問題だ。
マーケティング資料を送りたいというのは正当な理由ではない。
セキュリティに投資することが、たいてい事業上の優先事項ではないからだ。
経営陣だけでなく、強制とインセンティブによって現場担当者に対してもそう働く。
こうした大規模ハッキングの大半は、善意で通常の監査をするだけでも見つけられる、よく知られた脅威に起因している。
「朗報です。ついにゲノム監視サービスの提供を開始しました。月額79.99ドルをお支払いいただければ、誰かがあなたの遺伝記録にアクセスしようとするたびに通知を受け取れます!」 — 23andMe
「隠すものがないなら、何を恐れる必要があるのか?」
私が恐れるのは、権力のある立場にいる愚かな人間たちだ
犯罪捜査の手法としてのDNAマッチングは、もともと問題が多かった
「DNA証拠は、多くの人が信じているほど信頼できるものではない」
https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
「DNA検査の偽りの約束」
https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
「法医学DNA証拠がいかに冤罪につながりうるか」
https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/