23andMe、ハッカーが690万人の祖先データを盗んだことを確認

23andMeハッキング事件: 690万人の祖先データ盗難を確認

• 遺伝子検査会社23andMeは、ハッカーが顧客の個人データにアクセスし、約1万4,000人分の個人情報と、ほかのユーザーの祖先に関するプロフィール情報を含む相当数のファイルにアクセスしたと発表した。
• ハッカーは、23andMeのDNA親族機能に同意した約550万人分の個人情報にアクセスしており、盗まれたデータには氏名、出生年、親族関係ラベル、親族と共有するDNAの割合、祖先レポート、自己申告の所在地が含まれる。
• また、DNA親族機能に同意した約140万人のユーザーについても家系図プロフィール情報がアクセスされ、これには表示名、親族関係ラベル、出生年、自己申告の所在地、情報共有の有無が含まれる。

ハッカーフォーラムでのデータ流出広告

• 10月初旬、あるハッカーが有名なハッキングフォーラムで23andMeユーザーのDNA情報を盗んだと主張し、アシュケナージ系ユダヤ人の子孫100万人分と中国人ユーザー10万人分のデータを公開し、個別アカウントのデータに対して1ドルから10ドルを要求した。
• その後、同じハッカーが同じフォーラムで追加の400万人分の記録を宣伝し、TechCrunchは別のハッカーがすでに2カ月前、別のハッキングフォーラムで盗まれた23andMe顧客データを宣伝していたことを発見した。
• TechCrunchが分析した数カ月前に流出したデータは、趣味で遺伝学情報をオンラインに投稿していた人々の記録と一致する部分があり、ハッカーが流出させたデータが少なくとも部分的には本物の23andMe顧客データであることを示唆している。

パスワード再利用によるデータ流出

• 23andMeは10月に公表したインシデント開示で、データ流出は顧客がパスワードを再利用したことによって発生したと明らかにした。
• ハッカーは、他社のデータ流出で公開されたパスワードを使い、被害者のアカウントをクレデンシャルスタッフィング攻撃で侵害できた。
• DNA親族機能はユーザー同士を親族としてマッチングする仕組みのため、1人のアカウントが侵害されると、アカウント所有者だけでなくその親族の個人データも閲覧でき、被害者数が増加した。

GN⁺の意見

この記事で最も重要な点は、遺伝子検査サービスの23andMeが大規模なデータ流出事件に見舞われたことだ。この事件は、約690万人のユーザーの祖先データがハッカーによって盗まれた事実を明らかにしており、これは23andMe顧客の半数近くに相当する。データ流出はパスワード再利用が原因であり、オンラインセキュリティの重要性を改めて思い起こさせる。この記事が興味深い理由は、個人の遺伝情報がいかに機微なデータであるか、そしてその情報がどのようにして悪意ある者の手に渡り得るかを示している点にある。これは、個人情報保護とサイバーセキュリティに対する一般の認識を高めるきっかけになり得る。