超大規模の漏洩、しかもDNA情報…!
遺伝子検査で有名なアメリカの企業23andMeが、10月に顧客1万4000人分の個人情報がハッカーによって盗まれていたことを発表しました。
しかし、TechCrunchの報道では、自分の祖先や遠い親戚が判明するDNA Relativesという機能を使っていた約690万人分のDNA情報を含むデータが流出しているとのことです。1万4000人分どころの話ではなかったようです。
本当の数字は?
23andMeが最初に報告した数は、顧客の0.1%、約1万4000人とのことでしたが、690万人となるとその約5万倍の数となります。先日23andMeの広報担当者は、DNA Relatives機能を使っている約550万人のユーザーのデータがハッカーに盗まれていたとメールで回答。
盗まれたデータには、個人の名前、生まれ年、関係性、親戚と共有したDNAの割合、祖先の情報と地理情報が含まれています。
さらにDNA Relatives機能を使っている140万人のユーザーの家系図プロフィールにもアクセスがあったことを明らかにしています。合わせて690万人ということになりますね。
広報担当者は、盗まれたデータには祖先の情報と一致するDNAセグメント(特に親戚とのDNAが一致する染色体)、祖先の出生地と家族の名前、プロフィール写真、およびユーザーが「自己紹介」に入力した情報も含まれている可能性があると述べました。
1万4000件から紐づいて690万件
広報担当者によると、この数字の食い違いはハッカーがデータに直接アクセスしたかどうかの違いだということ。
調査の結果、ハッカーはユーザーアカウントのごく一部(0.1%、約1万4,000件)にアクセスしたと結論付けました。
と述べています。
しかし、DNA Relatives機能を使っていると他のユーザーに関するデータも見ることができるので、1万4000件の侵害されたアカウントに紐づいた親戚など、非常に多くのアカウントに影響が出た結果となってしまいました。
さらに怖いのは、DNA Relativesは23andMeのアカウントを作成する際に、デフォルトで「機能オン」となっているデータ共有項目のひとつ。他にも共有していることはたくさんあるとの見方です。
23andMeの広報担当者は、このハッキングはクレデンシャルスタッフィング攻撃と呼ばれるもので、ユーザーが23andMeにサインアップする際に、過去に漏洩しているユーザー名とパスワードを再利用して作成されたアカウントにハッカーが侵入したと報告されています。
パスワードの再利用は危険を招く可能性がありますが、一般的なオンラインプラットフォームでは、大規模なクレデンシャルスタッフィングを防ぐためのセキュリティ対策が通常はされているものです。
漏洩元は23andMeではないと主張
当社のシステム内で侵害またはデータセキュリティの問題が発生したとの指摘はありません。また23andMeがこの攻撃で使用されたアカウント資格情報の漏洩元であったという指摘もありません。
と広報担当者は述べています
ハッキング攻撃後、23andMeはすべてのユーザーにパスワードの変更を強制したとのことですが、残念ながら、漏洩してしまったDNA情報を変更するのは不可能です…。DNA情報を悪用する犯罪もこれから増えていくのでしょうか。