遺伝子検査企業「23andMe」にて、一部のユーザーデータがハッキング被害により情報流出する事態が発生している。
23andMeは「DNA Relatives」というサービスを提供しており、これはユーザーが自身の遺伝子情報を共有し、共通の遺伝子配列を持つ他のユーザーとの遺伝的なつながりを探索できる機能を有していることから、非常に機密性の高い情報が含まれている。
ハッカーは複数のユーザーのログイン情報を推測し、DNA Relativesを悪用して他のユーザー情報を収集したとみられている。
DNA Relativesを有効にしていたユーザーは約690万人になるとのことで、当該ユーザーの個人情報がハッカーに取得できていた可能性が懸念されている。
調査からハッカーは10月頃「BreachForums」というプラットフォーム上にアシュケナージ系ユダヤ人に関する100万件のデータポイントや、中国系ユーザーも数十万人分のデータを投稿しており、著名人の情報が含まれたプロファイルを販売していたことが確認されている。
ハッカーはクレデンシャルスタッフィング攻撃により23andMeのデータへ直接アクセスを試行し成功したと判明しているが、当該攻撃被害によるリスクや被害の全体像は不明で引き続きの調査が進行中という。
23andMeはシステムが侵害された形跡はなく、ハッカーにより投稿されたデータも正当性は確認されていない説明しているが、他の情報流出事件でのログイン情報の再利用を防ぐためにユーザーに対しパスワード変更と二要素認証の使用を呼び掛けている。
【参考記事】
https://wired.jp/article/23andme-credential-stuffing-data-stolen/
https://gigazine.net/news/20231205-23andme-confirms-hackers-stole-6-9-million/