ユーザーの個人情報がオンラインで公開されてから数日後、遺伝子検査会社23andMeは「安全のため」全ユーザーにパスワードのリセットを求めていると発表した。
23andMeは金曜日、ハッカーが一部ユーザーのデータを入手したことを認めたが、この事件をデータ侵害と呼ぶまでには至らなかった。同社は、ハッカーが23andMeユーザーの「特定のアカウント」にアクセスしたと述べ、そのユーザーのパスワードはサービス固有のものではないと説明した。これは、過去のデータ侵害で既に公開されているパスワードを用いてハッカーが被害者のアカウントに侵入しようとする、よくある手口である。
23andMeの発表は、ハッカーがハッキングフォーラムBreachForumsで23andMeのユーザーデータと思われるサンプルを宣伝し、個々のプロフィールを1ドルから10ドルで販売する2日後に行われました。TechCrunchが確認したこのサンプルには、ユダヤ系アシュケナージ人のユーザー100万人分のユーザーデータが含まれていました。BreachForumsの別のユーザーは、23andMeの中国人ユーザー10万人分のデータを所有していると主張していました。
お問い合わせ
23andMeの事件について、さらに詳しい情報をお持ちですか?ぜひお聞かせください。ロレンツォ・フランチェスキ=ビッキエライ氏へのご連絡は、Signal(+1 917 257 1382)、Telegram、Keybase、Wire(@lorenzofb)、または[email protected]までメールで安全にご連絡ください。また、 SecureDrop経由でTechCrunchにご連絡いただくことも可能です。
23andMeによると、このデータはDNA Relatives機能にオプトインしたユーザーから「収集」されたもので、この機能を有効にすると、ユーザーは自動的にデータを他のユーザーと共有できます。理論上、ハッカーはこの機能を有効にしたユーザーのアカウントに侵入するだけで、複数の被害者のデータを入手することが可能になります。
23andMeは月曜日遅くにウェブサイトでアップデートを公開し、全ユーザーにパスワードの変更を強制し、「多要素認証の使用を奨励している」と発表した。
プライバシー保護のため匿名を希望した23andMeのユーザーは、同社から受け取ったメールを共有した。その中で23andMeは、「現時点では、当社のシステム内でデータセキュリティインシデントが発生した、もしくは、これらの攻撃に使用されたアカウント認証情報が23andMeから提供されたという兆候はない」と述べている。
このユーザーはTechCrunchに対し、2012年から23andMeのベータテスターを務めており、データベースとつながりが拡大し、「いとこや両親の隠れた兄弟姉妹までも発見」してきたと語った。23andMeは「素晴らしい製品」だが、同社は「多くのことを知っている」ため、今回の出来事は「悲しい」ことだとユーザーは述べた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
本稿執筆時点で、すべてのユーザーがパスワードのリセットを促すメールを受け取ったかどうかは不明だ。
23andMeの別のユーザーは、TechCrunchに対し、パスワードリセットメールがまだ届いていないと話した。代わりに、ログインしようとしたところ、「23andMeはパスワードのセキュリティ強化のため、すべてのパスワードをリセットしています。23andMe固有の新しいパスワードを設定してください」という新しいメッセージが表示されたという。
「ログインできなかったので、『パスワードを忘れた場合』をクリックしてアカウントを更新し、再度ログインしました」と、プライバシー保護のため匿名を希望したユーザーは述べた。
ユーザーは、見たログインページのスクリーンショットを共有しました。
23andMeは、漏洩したデータが正当なものであることを確認したか、ユーザーのセッショントークンをすべて失効させたか(つまり、23andMeはユーザーがログインしていたすべてのデバイスからログアウトさせた)、パスワードポリシーを変更したかなど、一連の質問に回答しなかった。代わりに、同社の広報担当者アンディ・キル氏は、ブログ記事を引用し、引き続き更新していくと述べた。
ハッキングされたとされるデータが水曜日に表面化し、23andMe がユーザーにパスワードのリセットを求めたのはその 5 日後だったことを考えると、サイバーセキュリティ専門家は、同社はこの事件に対してもっと迅速に対応できたはずだと指摘した。
「組織には、ユーザーがクレデンシャルスタッフィングのリスクを回避できるよう、積極的にサポートしてほしいと思っています。23andMeのケースでは、クレデンシャルスタッフィング攻撃が判明した時点で、パスワードの強制リセットといった対応はもっと早くできたはずです」と、SocialProof SecurityのCEOでハッカーのレイチェル・トバック氏はTechCrunchに語った。「最終的には、組織にはこのリスクを軽減するために、事後対応ではなく、事前対応に重点を置くようになってほしいと思っています。そして、事後対応は迅速に行う必要があります。」
ハッカーは2か月前に23andMeの盗まれたデータを宣伝した
Lorenzo Franceschi-Bicchierai 氏は TechCrunch のシニアライターであり、ハッキング、サイバーセキュリティ、監視、プライバシーなどをカバーしています。
ロレンゾからの連絡を確認したり連絡を受けたりする場合は、[email protected]にメールを送信するか、Signal の +1 917 257 1382 に暗号化されたメッセージを送信するか、Keybase/Telegram の @lorenzofb にメッセージを送信してください。
バイオを見る
