23andMeで何が起きたのか
米国のDNA検査サービス23andMeは、ユーザーアカウントへの不正アクセスにより、遺伝情報に関連するデータが閲覧された可能性があると発表しました。
この不正アクセスは、他サービスから流出した認証情報を使ったログイン試行によって行われたとされています。
原因はシステム侵入ではなく、認証情報の再利用でした。
なぜ遺伝情報まで影響が及ぶのか
23andMeでは、DNA解析結果だけでなく、親族関係や民族的背景などの情報がアカウントに紐づいています。
- 遺伝的特徴
- 家系・親族情報
- 健康に関する推定情報
そのため、アカウントにアクセスされると、単なるプロフィール以上の情報が閲覧される可能性があります。
攻撃の仕組み
今回のケースは、いわゆる「クレデンシャルスタッフィング(credential stuffing)」と呼ばれる手法です。
- 他サービスで流出したID・パスワードを使う
- 同じ情報でログインを試す
- 成功したアカウントにアクセスする
ここが重要
この事件は、特別な攻撃ではなく、日常的な行動が原因で起きたという点です。
- パスワードの使い回し
- 長期間の放置
- 認証設定の未強化
個人ができる対策
- サービスごとに異なるパスワードを使う
- 二段階認証を設定する
- 不要なアカウントを削除する
まず確認すべきこと
最初に確認したいのは、自分のメールアドレスや認証情報が過去の漏えい情報に含まれていないかです。
プライバシー診断では、メールアドレスが過去の漏えい情報に含まれていないかを確認できます。
出典
- 23andMe公式発表(2023年10月)
- TechCrunch: 23andMe data breach coverage
- The Verge: 23andMe credential stuffing incident