2023年のデータ侵害をめぐり、カリフォルニア州が23andMeを提訴　700万人に影響

カリフォルニア州が遺伝子データ企業に動く

カリフォルニア州司法長官ロブ・ボンタ氏は、かつて23andMeとして知られ、現在はChrome Holding Co.となっている企業を、700万人のユーザーの機微な情報を流出させた2023年の侵害をめぐって提訴した。原文によると、被害を受けたユーザーのうち855,541人はカリフォルニア州の住民だった。

訴訟は、セキュリティ慣行と顧客へのコミュニケーションの両方を問題にしている。ボンタ氏は、同社が健康関連の遺伝子データ、祖先や民族性の詳細、生物学的親族に結びつく情報を含む、極めて機微な個人情報・遺伝子情報を保護できなかったと非難している。

州の主張

23andMeは以前、悪意ある第三者が credential stuffing によってアクセスし、以前の侵害で盗まれた認証情報を使ったと説明していた。しかし、記事で要約されたカリフォルニア州の訴状は、遺伝子データを扱う企業であればその攻撃手法を予見し、防御すべきだったと主張している。

ボンタ氏の主張はさらに踏み込む。彼は、23andMeが共同で関わっていた系譜サイト MyHeritage での侵害を把握していたのに、認証情報の再利用を防がず、十分に確認もしなかったと述べている。記事はまた、23andMeがユーザーに MyHeritage アカウントへの登録を促していたため、重なりはより重大だったと伝えている。

侵害がどう広がったか

訴訟は、最初のアカウント乗っ取りだけを問題にしているわけではない。原文によると、攻撃者はまず credential stuffing により約1万4,000件のアカウントにアクセスし、その後 DNA Relatives 機能の脆弱性を利用して、さらに数百万人分の顧客データに到達した。

ボンタ氏は、同社のセキュリティ管理があまりにも弱く、攻撃者は5か月間も検知されずに活動できたと述べている。また、盗まれたユーザーデータがすでにダークウェブで売買され始め、身代金要求が出た後になって初めて調査を始めたとも主張している。

開示と被害

訴訟のもうひとつの重要な点は、23andMeが顧客への通知の際に侵害を過小評価したとされることだ。ボンタ氏は、同社が重要情報を省き、DNA Relatives 機能は本質的に公開されたものだと主張した一方で、攻撃者とは非公開で交渉していたと論じている。

原文は特に深刻な側面も加えている。売りに出されたデータセットには、アジア系アメリカ人および太平洋諸島系のユーザー、さらにユダヤ系ユーザーに関する情報が含まれていたとされる。州の見方では、この文脈により、通常のプライバシー侵害を超えた標的型悪用のリスクが高まった。

この事件が重要な理由

これは単なる消費者向けテクノロジー企業への侵害訴訟ではない。遺伝子データは、健康傾向、家族関係、祖先特性を明らかにしうるため、パスワードのように簡単にリセットできない、別次元の機微性を持つ。したがってカリフォルニア州の事件は、その基礎情報が生物学的に親密で、かつ潜在的に永続的であるとき、データ保護への期待がどこまで高まるのかを問うものだ。

業界全体にとっても、この訴訟はおなじみの攻撃手法への警告だ。credential stuffing は新しいものではなく、州の立場は、特に企業が非常に機微な記録を託されている場合、一般的な攻撃パターンは弱い防御の言い訳にはならない、ということのように見える。

この事件は、コンシューマー向けゲノミクスにおけるセキュリティ設計と侵害開示の期待を形作る可能性がある。少なくとも、規制当局が遺伝子データの失敗を通常のサイバーインシデント以上のものとして扱う用意があることを示している。

この記事は Engadget の報道に基づいています。元記事を読む。