「23andMeにおける複数の個人情報漏洩」

「23andMeにおける複数の個人情報漏洩の影響と対策」

8月から10月まで、遺伝子検査会社23andMeとその利用者は、ダークウェブの投稿により、数百万人のユーザープロファイルと遺伝子データレコードが流出または侵害されたことにさらされました。サイバー犯罪者がリークしたデータレコードのさまざまなコレクションを販売しています。

BleepingComputerによれば、23andMeからの情報に基づくと、脅威の存在者が企業の一部のユーザーアカウントにクレデンシャルスタッフィングを用いてアクセスし、その後、DNAの親族マッチのデータをスクレイピングしました。23andMeによれば、DNA Relatives機能は参加者が遺伝子的な親戚とつながることを可能にします。これにより、参加者間のDNA比較を通じて親戚と最近の共通の祖先を特定できます。その後、ユーザーはデータをダウンロードできます。

23andMeのブログによれば、同社は犯罪者が他の侵害から再利用された資格情報を注入してユーザーアカウントにアクセスしたと考えています。同じ投稿によると、23andMeはシステム内でのデータセキュリティ事件の兆候やこれらの攻撃に使用されたアカウント資格情報の発生源を持っていません。

8月11日のDarkOwlのブログ投稿では、ユーザーの別名を持つDazhbogがHydra ダークウェブマーケットで23andMeの1,000万件のDNAレコードを販売していると主張しました。投稿者は300TB以上のデータを持っており、これを5000万ドルで売ると言っています。DarkOwlはダークネットのインテリジェンスプロバイダーです。DarkOwlのブログによれば、Dazhbogは23andMeのユーザーデータが不正にアクセスされたのは、APIサービスを使用した製薬会社が原因だと主張しています。8月14日に再度投稿されたDazhbogは、すべてのデータをイランの個人に販売したと述べています。Dazhbogはそれ以上の投稿はありませんでした。

• ChatGPTが知能的ですか？ 科学的なレビュー
• ラストでクロスプラットフォームのTFIDFテキストサマライザーを構築する
• 「ニュースレコメンデーションのための大規模な言語モデルとベクトルデータベース」

TechCrunchとDarkOwlの報告と、BBCニュースの報告とでは、Hydra Marketが8月には活動していたという矛盾があります。ただし、BBCの記事によれば、法執行機関はハイドラ犯罪グループの終結には至らず、彼らを見つけて逮捕できない限り、彼らはおそらく新しいプラットフォームを構築しようとするでしょう。

8月11日のハイドラの投稿に基づき、TechCrunchの記事によると、データセットは10月の最初の週に漏洩したユーザーレコードと一致しました。データセットは、2023andMeという遺伝子検査会社の100万人のユーザープロフィールを含んでいると、BleepingComputerの記事によれば、10月2日にAddka72424という別名を使った脅威アクターが、データベースへのリンクをBreachForumsというダークウェブ市場に投稿しました。投稿されたデータベースには、中国系のエスニシティを持つ人々の300,000件のレコードと、アシュケナジ系のエスニシティを持つ人々の100万件が含まれていました。

BleepingComputerの記事によると、10月3日には、ユーザーGolemがBreachForumsサイトに2023andMeのユーザーファイルが含まれるデータベースを投稿しました。投稿されたデータベースには、中国系のエスニシティを持つ人々の300,000件のレコードと、アシュケナジ系のエスニシティを持つ人々の100万件が含まれていました。

BleepingComputerの記事によると、10月4日付けの投稿では、BreachForumsの投稿者Golemが、「個別化されたデータセット、特定の起源推定、ハプログループの詳細、表現型情報、写真、数百人の潜在的な親族へのリンク、そして最も重要なこと、生データプロファイルを含むデータ」を所有していると主張しました。2023andMeの広報担当者は、BleepingComputerの記事によると、データの妥当性を確認しました。

ダークウェブの専門家であるCertified Information Systems Security Professional（CISSP）のLuke Rodeheffer氏は、盗まれたデータをダウンロードまたは購入する脅威アクターがエスニックグループを標的にした憎悪に基づく詐欺、フィッシング、詐欺、個人情報の盗難、またはそれ以上の攻撃ができると述べています。Luke Rodeheffer氏は、AlphaCentauri Cyberというサイバー脅威インテリジェンスおよびダークウェブ調査企業の創設者兼CEOでもあります。

TechCrunchによると、脅威アクターのGolemは10月17日に追加のデータプロファイルを4.1百万件投稿しました。BleepingComputerによると、新しいBreachForumsの投稿には、イギリスとドイツの人々の記録が含まれていました。DailyMailによると、脅威アクターはイギリスとドイツをターゲットにし、イスラエルを支持しているためです。

コメント要求に応答して、2023andMeの広報担当であるAndy Killは、会社のブログの開示情報を繰り返しました。

同じ23andMeのブログ記事で、同社はユーザーに二要素認証を使用し、他のサイトでのパスワードの再利用を避けるようにと呼びかけています。この遺伝子検査会社は、データの漏洩は受けていないし、内部のシステムやセキュリティに問題はないと断言しています。

弁護士のAlessandra Messingによると、2023andMeの顧客の情報が漏洩したことで影響を受けた人々に対して、同社は十分な責任を持っていないと述べています。なお、23andMeは収集および分析する情報の性質を考慮すると、より高い責任を負うべきだとのことです。

「この侵害が発生し、その後責任を利用者にシフトして責任を負わず、一切の責任を持たないことは少々無神経です」とメッシングは述べました。

10月20日付けの手紙で、上院議員ビル・キャシディ（LA-R）は、上院保健・教育・労働・年金委員会の上位メンバーであり医師でもあるキャシディ氏が、23andMeのCEOであるアン・ウォジチキに11月3日までに回答するよう求める内容を含む質問を行いました。この手紙はSenate.govで入手できます。

キャシディ氏の質問は、1,300,000人のアシュケナジム系および中国系顧客のデータ漏洩を参照し、23andMeがシステムにおいて犯罪ハッカーが最初に脆弱性を悪用した時期や詳細を提供していなかったことを明示しています。キャシディ氏は、この漏洩がグローバルな反ユダヤ主義と反アジア主義が広がる中で起きたと指摘し、犯罪者が情報の価格を上げて悪意を持った者からの脅威を高める可能性があると指摘しました。キャシディ氏はまた、23andMeがユーザー情報をどのように保護し、侵害が可能となったのかについても11の質問を行いました。

ヘルスケアインフォセキュリティによると、23andMeに対して少なくとも16件の集団訴訟が提起されています。集団訴訟Tulchinsky v. 23andMe, incでは、Reese LLPの弁護士たちは、23andMeに対して、原告およびクラスのメンバーの個人を特定できる情報（PII）を適切に保護し保護しなかったために訴訟が提起されたと主張しています。また、被告の情報ネットワーク内に格納されている情報。

「遺伝子検査会社の23andMeは、HIPAA、CCPA、GDPRなどの規制に基づきデータを保護する法的義務を負っています。また、彼らの投資の持続可能性に影響を及ぼす可能性のある出来事やリスクについて投資家に開示する法的義務もあります」と、AIパワードのサードパーティサイバーリスク管理会社であるビソトラストのCEO兼共同創設者であるポール・ヴァレンテ氏は語りました。

「stuffingやsprayingなどの大規模なパスワード攻撃は新しいものではありません。これらは10年以上にわたって一般的なものでした。資格のあるセキュリティチームにとって、このような攻撃は予測可能であり、検出可能です」とヴァレンテ氏は述べています。「パスワードの再利用とその結果の攻撃がわずかなアカウントの妥協に帰せられることは容易ですが、数百万のアカウントがパスワードstuffingの対象となると、潜在的な過失の明白な兆候となります。」

アディラン・ティルマル 、セキュアソフトウェアデザイン企業であるセキュリティコンパスのシニアソリューションエンジニアによれば、結局のところ、企業がデータを保護する内部のサイバーセキュリティ対策を使用していても、利用者がパスワードを再利用するかどうかに関わらず責任があるかどうかは、裁判所が個別のケースごとに判断する質問です。

誰もが脅威行為者が23andMeでstuffされた資格情報が他の組織の侵害から来たかどうかを確認していません。

集団訴訟に関しては、公開されたhttps://dockets.justia.com/docket/california/candce/5:2023cv05369/419693のドケットによれば、この事件は2023年10月19日にカリフォルニア北部地区のアメリカ合衆国地方裁判所に提出されました。担当判事はスーザン・バン・キューレンです。10月20日に、裁判所は23andMe, Inc.に召喚状を発行しました。

事件管理記録は2024年1月16日までに提出される予定であり、最初の事件管理会議は2024年1月23日に予定されています。

デイビッド・ギアーは、サイバーセキュリティに関連する問題に焦点を当てるジャーナリストです。 アメリカ、オハイオ州クリーブランドから執筆しています。

We will continue to update VoAGI; if you have any questions or suggestions, please contact us!