23andMeで起きたのは『使い回し認証情報』からのアクセスだった
23andMeは、他サービスから流出した認証情報の使い回し(credential stuffing)によって、一部アカウントが不正アクセスされたと説明しています。システム自体の侵入ではなく、既に漏れていた情報が入口として使われた形です。
ここで重要なのは、攻撃者は新しい情報を盗むだけでなく、すでに漏れている情報を組み合わせて再利用するという点です。
出典:23andMe公式発表、各種セキュリティ報道(2023年〜2024年)
1つのアカウントから広がる『関連データ』のリスク
23andMeでは、ユーザー同士の共有機能などにより、一部のアカウントから関連する他ユーザー情報にもアクセスできる構造がありました。
つまり、1つのアカウントが突破されると、単独の情報だけでなく、関連する情報まで影響が広がる可能性があります。
- プロフィール情報
- 家族・親族の関連データ
- 共有設定された情報
なぜメールアドレスが入口になるのか
今回のような攻撃の多くは、メールアドレスとパスワードの組み合わせから始まります。メールアドレスはほぼすべてのサービスでログインIDとして使われているため、1つ漏れると複数サービスに波及します。
- ログインIDとして使われる
- パスワードリセットの受信先になる
- 他サービスと共通で使われることが多い
メールアドレスは単なる連絡先ではなく、多くのサービスの入口です。
よくある危険な状態
- 複数サービスで同じパスワードを使っている
- 古いサービスのアカウントを放置している
- メールアドレスの漏えい状況を把握していない
これらが重なると、今回のように『過去の漏えい情報を使った攻撃』にそのまま当てはまります。
まず確認すべきこと
- 自分のメールアドレスが漏えい情報に含まれていないか確認する
- 同じパスワードを使い回していないか見直す
- 不要なアカウントを整理する
プライバシー診断では、メールアドレスが過去の漏えい情報に含まれていないかを確認できます。
情報源
- 23andMe公式発表(2023年〜2024年)
- 各種セキュリティメディア報道