概要

  • アクセスは階層化されていたことが確認:当初 23ANDME は、一般に約 14,000 件とされた全ユーザーアカウントの約 0.1%が、他サービスから再利用された認証情報でアクセスされたと発表した。その後のカナダ・英国の共同調査では、世界中で 18,222 件のアカウントが直接アクセスされたと報告された。これらのセッションを通じて、攻撃者は約 700 万人の顧客に属する DNA Relatives および Family Tree の情報をスクレイピングした。
  • 親族によって影響範囲が拡大:DNA Relatives にオプトインした顧客は、選択したプロファイル、祖先、関係情報をマッチング相手に見えるようにした。そのため攻撃者は、影響を受けるすべてのユーザーがパスワードを再利用する必要はなかった。この製品は、少数の有効なログインを、はるかに大規模な関係グラフを閲覧する権限に変換した。
  • 検出と対応が複数箇所で失敗:規制当局は、集中的なクレデンシャルスタッフィング期間、1 アカウントへの 100 万回以上のログインによる 7 月のプラットフォームクラッシュ、数百件のプロファイル移行試行、8 月の大規模窃取の主張を確認した。大規模なキャンペーンは、盗まれたデータが 2023 年 10 月に宣伝されるまで確認されなかった。その後、強制的な 2 段階認証、グローバルパスワードリセット、生 DNA ダウンロードの制限強化が行われた。
  • 説明責任は分散しているが、均等ではない:攻撃者は不正アクセス、スクレイピング、公表の責任を負う。パスワードを再利用した顧客が初期経路を作った。23ANDME だけが、認証のデフォルト、漏洩パスワードチェック、セッション権限、関係クエリ制限、テレメトリ、対応、通知を管理していた。その後の規制当局の判断、英国制裁金、集団訴訟和解、破産時の売却保護、係争中のカリフォルニア州執行訴訟は異なる法的問題を測定しており、証拠のない特定の遺伝的悪用の主張を裏付けるものはない。

1 つのパスワード、多くの人々

従来のアカウント乗っ取り件数は、攻撃者が侵入したアカウント数を問う。これはここでも必要だが、根本的に不完全である。DNA Relatives は、参加顧客に一連の遺伝的マッチを表示するために構築された。共同調査によると、サブスクリプションレベルに応じて、有効なアカウントでは 1,500 件または 5,000 件の DNA Relatives プロファイルを閲覧できた。マッチにより、表示名、予測関係、共有 DNA の割合、オプションの祖先情報、場所、生年、写真、姓、家系図フィールドが露出する可能性があった。23ANDME の現在の説明でも、共有モデルは明確である。参加者は遺伝的マッチに表示されることを選択し、選択された詳細がその関係コンテキスト内で可視化される。(23ANDME DNA Relatives プライバシーと表示設定)

それはオープンウェブにプロファイルを公開することとは異なっていた。可視性は、認証済みの 23ANDME アカウント、機能への参加、サービスが計算した遺伝的マッチ関係に条件付けられていた。しかし、条件付き共有でも、広範な権限サーフェスが生じる可能性がある。攻撃者が参加顧客になりすますと、サービスはそのセッションに他の人々から提供された情報を見る権限があるものとして扱った。その他の人々は固有のパスワードやより強力な認証を使用していたかもしれないが、それでもセキュリティは部分的に、最も脆弱な接続アカウントと、そのアカウントが取得できる情報を制限する制御に依存していた。

これが共有プロファイル問題である。侵害されたアカウント保持者と露出したデータ主体は、しばしば別人である。一方は認証情報を管理し、他方は可視プロファイルを提供し、プラットフォームが関係を定義しアクセスを付与する。この事象をパスワード再利用に全面的に帰する分析は、これらの役割を混同する。また、ログイン成功のたびにその価値を倍増させた製品設計上の決定を見落とす。

遺伝子サービスでは、関係情報が本質的にリレーショナルであるため、この区別が特に重要である。共有 DNA の割合は、少なくとも 2 人の間のつながりを表す。家系図には、アカウントを作成したことのない人も含まれる可能性がある。予測関係は比較データから生成され、運用上は一方だけが所有するものではない。ある顧客がマッチング機能に参加することに同意しても、その顧客が、別の顧客の侵害されたセッションがどのように検出または制約されるかについて技術的管理権を持つわけではない。

これらのいずれも、特定の遺伝的損害を立証するものではない。レビューされた記録は、雇用主、保険会社、政府機関、医療意思決定者が露出した情報を被害者に対して利用したことを示していない。しかし、不正なアカウントアクセス、自動収集、一部情報のオンライン投稿または提供、定義されたプロファイルフィールドやアカウントフィールドの露出は立証されている。説明責任は、これらの実証された事象と、規制当局が法的に評価を求められたリスクに基づくべきであり、作り話の二次的ストーリーに基づくべきではない。

証拠は 4 つの区分に分けられる

公的記録は 2 年間でより詳細になったが、ラベルが重要である。以下の 4 つの証拠カテゴリーを混同してはならない。

証拠の区分記録が裏付けるもの裏付けないもの
直接アカウントアクセス他サービスからの有効なユーザー名とパスワードのペアが、一連の 23ANDME アカウントに対して機能した。これらのアカウント内で利用可能な情報は様々で、祖先、健康、生の遺伝子型データが含まれる可能性があった。23ANDME 自身のパスワードデータベースが盗まれた、または直接アクセスされたすべてのアカウントが同じフィールドを含んでいた/失った、ということはない。
接続プロファイルのスクレイピング認証されたセッションが、接続されたアカウントを通じて可視化された DNA Relatives、祖先、Family Tree 情報を大規模にコピーするために使用された。約 700 万の個別アカウントのパスワードが破られた、またはすべての接続プロファイルが生 DNA や健康レポートを露出した、ということはない。
攻撃者の声明とリスト行為者が主張を行い、データを宣伝し、情報の一部をオンラインに投稿した。規制当局は、提供の証拠と企業のインシデント記録を検討した。すべての量の主張、ラベル、価格、動機、主張されたデータセットが正確だったということはない。8 月の 1,000 万人以上の顧客と 300 テラバイトという主張は、当時 23ANDME によってでっちあげと分類された。
法的記録および和解記録規制当局がカナダ法と英国法に基づいて判断を下し、英国は罰金を課した。民事請求は和解され、カリフォルニア州は後に州法に基づく申し立てを行った。和解が自認を意味する、申し立てが判決を意味する、またはある管轄区域の法的結論が自動的にすべての被害者を拘束する、ということではない。

23ANDME の 2023 年 12 月の修正フォーム 8-K は、主要な企業説明である。そこでは、脅威アクターが、23ANDME のユーザー名とパスワードが他で侵害されたか利用可能だった認証情報と一致するユーザーアカウントの 0.1%にアクセスしたと述べている。また、アクターがこれらのアカウントを使用して、他のユーザーが DNA Relatives を通じて共有することを選択した祖先プロファイル情報を含むファイルに到達し、一部情報をオンラインに投稿したとも述べている。同社は、自社が認証情報の流出源である兆候はないとしている。(23ANDME 修正フォーム 8-K)

2025 年 6 月のカナダプライバシーコミッショナー事務局と英国情報コミッショナー事務局による共同報告書は、最も強固な公的再構築である。これは企業の提出書類、職員インタビュー、オープンソース資料、規制当局の分析に基づいている。また、重要な限界も記録している。規制当局は、要求したすべての文書を受け取ったわけではなく、特定の内部インシデントログやフォレンジックレポートを含めて、23ANDME が法的特権を主張したためである。これは調査結果を無効にするものではない。報告書が異常に詳細である一方で、基礎となるフォレンジック記録の完全な開示ではないことを意味する。(カナダ・英国共同調査報告書)

同社のブログ、証券取引委員会提出書類、規制当局報告書、裁判所承認の和解、その後の訴状は、異なる質問に答えている。可能な限り相互に裏付けるべきだが、一つの矛盾のない物語に強制するべきではない。初期の 0.1%という推定から、規制当局が後により 1 万 8222 アカウントとした数値への変更は良い例である。これは報告日、証拠の進展、集計方法を反映している。後から出たという理由だけで、一つの数字を嘘と呼ぶ許可にはならない。

2023 年 4 月から 10 月:攻撃の経時変化

4 月以前:保護がオプションの機密アカウント

インシデント当時、顧客はメールアドレスとパスワードでサインインできた。アプリケーションベースの多要素認証や Apple/Google のシングルサインオンは利用可能だがオプションだった。共同調査では、約 78%の顧客が MFA も SSO も使用しておらず、提供されていたアプリベースの MFA を使用していたのはわずか 0.2%だった。企業情報にアクセスする従業員アカウントでは MFA または SSO が必須だったが、顧客アカウントではそうではなかった。

この非対称性が重要である。内部インフラは第 2 要素を必要とすると扱われていたが、消費者アカウントはパスワードのみで、健康レポート、祖先結果、関係情報、生の遺伝子型データを要求する経路を露出できた。規制当局はまた、23ANDME が顧客向けサービスに対してクレデンシャルスタッフィングをシミュレートしておらず、その攻撃パターンに特化したインシデントプレイブックもなかったことを発見した。侵入テストはバックエンドインフラに重点を置いていた。

オプションの MFA は制御がないわけではない。それを有効にした顧客は意味のある保護を受け、規制当局は、このキャンペーンで MFA または Apple/Google SSO を使用していたアカウントはクレデンシャルスタッフィングに成功しなかったと述べている。しかし、オプトインの保護手段は、サービスが異常に機密性の高いデータとクロスアカウントの可視性を集中させることを選択した場合でも、採用リスクをユーザーに負わせる。適切な質問は、MFA が設定ページに存在したかどうかではない。成功したセッションが何を行えるかに対して、デフォルトの保証レベルが適切だったかどうかである。

4 月 29 日から 5 月 16 日:最初の集中期間

後の規制当局の年表は、キャンペーンを 2023 年 4 月 29 日から 9 月 20 日までとしている。最初の集中期間(5 月 16 日まで)に、9,974 件のアカウントがアクセスに成功した。クレデンシャルスタッフィングは、1 つのアカウントに対するブルートフォース推測とは異なる。攻撃者は他の侵害やソースから入手したユーザー名とパスワードのペアを試し、誰かがそれらを再利用していることを期待する。したがって、正しいログインは、監視が各アカウントを分離して調べる場合、普通に見える可能性がある。

経済性は攻撃者に有利である。認証情報コーパスはサービス間で再利用可能であり、ログイン試行は分散でき、自動化によって低い成功率でも実行可能なキャンペーンになる。サービスはボット対策、異常検知、顧客摩擦、サポートにコストを負う。攻撃者は、これらのコストを正当化するのに十分な成功セッションだけを必要とする。このケースでは、成功した各セッションは数千の関連プロファイルへのビューも開く可能性があり、有効な認証情報あたりの期待リターンがそのアカウントの内容だけよりもはるかに高くなる。

これがこの事象のアビューズコンタクト経済学である。攻撃者のサービスへの最初のコンタクトはログイン試行だった。成功したコンタクトは持続的なセッションになった。セッションはその後、他者の共有プロファイルへのクエリチャネルになった。横断が安価なままのすべての境界が抽出価値を増加させた:別のログイン、別のマッチページ、別の家系図リクエスト、別のプロファイルデータのバッチ。したがって、防御はパスワードチェックだけでなく、シーケンス全体に価格を付ける必要があった。

7 月 6 日:100 万回のログインとプラットフォームクラッシュ

規制当局の顧客ログイン記録の分析によると、7 月 6 日に、DNA サンプルのない無料アカウントにコンピュータプログラムが 1 日で 100 万回以上ログインした。この活動は一時的にプラットフォームをクラッシュさせ、プロファイル移行を開始しようとする失敗した試みに関連していた。このイベントは運用上目立った。また、構造的にも関連していた。プロファイル移行は、遺伝子プロファイルの管理をアカウント間で移動させる方法である。

23ANDME は調査し、不正な移行に対する措置を講じたが、この活動をより広範なクレデンシャルスタッフィングキャンペーンと結び付けなかった。プラットフォームクラッシュは自動的に侵害の証拠ではない。可用性インシデントには多くの原因がありうる。しかし、文脈においては、認証されたワークフローが異常な量で自動化されているというシグナルだった。規制当局が特定した説明責任の失敗は、1 つのグラフからキャンペーン全体を推測できなかったことではない。この異常をその後のイベントと結び付けられなかったことである。

7 月 28 日から 30 日:約 400 件の移行試行

7 月下旬、行為者は約 400 件のアカウントに関わるプロファイル移行を自動化しようとした。23ANDME は移行リクエストを無効化し、潜在的に影響を受けたアカウントを一時的にロックし、該当する顧客にパスワードリセットを要求し、異常な移行量のアラートを追加した。その内部調査では、米国顧客の 19 アカウントで限定的な情報がアクセスされたと結論付けた。

この対応は、認識されたワークフローに対して企業が狭く迅速に行動できることを示している。また、パスワード管理の弱点も露呈した。顧客は以前に使用したパスワードにアカウントをリセットできたのである。23ANDME は 8 月にその動作を変更した。しかし、調査はより広範な攻撃がすでに数千のアカウントにアクセスしていたことを特定しなかった。制御は症状に限定されていた。移行の悪用であり、その周りのアカウントアクセスとスクレイピングシステムではなかった。

8 月 10 日:でっちあげとされた主張

23ANDME はその後、1000 万人以上の顧客のデータと 300 テラバイトを持っていると主張する個人からカスタマーポータルメッセージを受け取った。従業員も同じ名前での同様の Reddit 投稿に気づいた。セキュリティチームは調査し、この主張をでっちあげと分類した。

この数字は攻撃者の主張であり、確認された尺度ではないため、そのようにラベル付けされるべきである。後の規制当局は 300 テラバイトや 1000 万人の顧客の窃取を検証しなかった。彼らの発見は調査の妥当性に関するものだった。侵害の主張は同社にとって稀であり、この主張は 7 月のクラッシュと移行試行の後に届いた。これらのイベントを総合的に見ると、より深い調査が必要だった。報告書は、より強力な 8 月の調査が 2 回目の集中期間前にキャンペーンを明らかにできた可能性があると結論付けた。

このポイントは悪用報告にとって重要である。受信箱は、信じがたい主張、恐喝、研究者の報告、顧客の苦情、ノイズで溢れる可能性がある。すべてのメッセージを真実として扱うことは不可能である。トリアージを最終決定として扱うことも危険である。高影響のサービスには、主張の新規性、クレーム提供者の成果物、同時期の異常、既知の攻撃経路を組み合わせるエスカレーションルールが必要である。悪用者が主張を提出するためのコストはほぼゼロかもしれない。完全なフォレンジック調査のコストはそうではない。ガバナンスが、独立したシグナルがそのコストを支払うことを正当化するのに十分な時期を決定する。

9 月:2 回目の集中期間

行為者は 9 月に集中的なクレデンシャルスタッフィングを再開し、追加で 4,364 のアカウントを侵害した。キャンペーンを通じて、規制当局は成功ログインと失敗ログインの比率に、5 月と 9 月に 2 つの可視的な歪みを見つけた。23ANDME は攻撃を検出できるツールを持っていたが、パターンに対してアラートするように設定されていなかった。閾値設定はほぼ手動であり、同社は疑わしい顧客アクセスをフィンガープリントするために利用可能なデバイス、ブラウザ、ネットワーク情報を使用しなかった。

これは、サービスに監視がなかったと言うよりも正確である。ウェブアプリケーションファイアウォール、IP ベースのルール、チャレンジ、レート制限、セキュリティオペレーション機能、SIEM ツール、バグ報奨金プログラムがあった。失敗は、制御セットが発生した攻撃をモデル化しなかったことである。分散キャンペーンは単純な IP ごとの制限を回避できる。正しい認証情報は重要なアカウントでのログイン失敗ロックアウトを回避できる。ログイン後のスクレイピングは、システムがグラフトラバーサル、クエリ繰り返し、セッション速度、集計関係リーチを測定しない限り、熱心な製品利用に見えるかもしれない。

10 月 1 日から 10 日:外部発見と初期封じ込め

10 月 1 日、行為者は盗んだデータを Reddit で宣伝した。23ANDME は 10 月 5 日にインシデントが本物であることを確認し、10 月 6 日にプロファイル情報が許可なくアクセスされたと発表した。当初の公開説明では、アクセスを認証情報の再利用に帰し、DNA Relatives プロファイルからの情報が取得された可能性があると述べた。(23ANDME インシデントと対応計画の更新)

封じ込めは一度に行われなかった。10 月 9 日、確認の 4 日後、23ANDME はアクティブセッションを無効化した。10 月 10 日に全顧客にメールし、グローバルパスワードリセットを要求し、MFA を推奨した。同社は 10 月 15 日に ICO に、カナダの事務所が要求した後の 10 月 18 日にカナダの規制当局に初期報告書を提出した。初期の規制当局報告書では、世界中で影響を受けた人口を 110 万 3647 人としていたが、10 月下旬の補足で 562 万 1179 人に引き上げた。

このシーケンスはセッション制御の重要性を示している。パスワードを変更しても、すでに認証されたセッションは必ずしも終了しない。対応計画は、トークンを個別に無効化し、他の認証情報をローテーションまたは失効させ、高リスクのエクスポートを停止し、証拠を保存し、下流のビューを特定する必要がある。規制当局は、最優先の顧客データイベントが確認された後に、すべてのセッションを無効化しリセットを義務付けるのに 4 日間は長すぎたと判断した。

2023 年 11 月から 2024 年 1 月:より強力なログイン、より遅い通知

11 月 2 日、23ANDME はセルフサービスの生 DNA ダウンロードを無効化した。この機能は 2024 年 2 月 27 日に追加の生年月日チェックとともに戻った。規制当局は、生年月日が強力な認証要素であることに疑問を呈した。なぜなら、それは公的に入手可能であったり他の侵害に存在する可能性があるからである。ただし、彼らは同社の後の保護策を全体として評価し、この 1 ステップだけで十分とは扱わなかった。

11 月 9 日、サービスはアプリケーション MFA または SSO を使用していない顧客に対してメールベースの 2 段階認証を必須とした。修正 SEC 提出書類は、この要件を 11 月初旬とし、新規および既存ユーザーは今後 2 段階認証が必要になると述べている。アプリベースの MFA はすでに存在しており、より早く必須にできたはずである。23ANDME は代わりに、摩擦の少ないメール方式を開発した。規制当局は、これによりアカウントが必要以上に長く露出したと結論付ける一方、2024 年末までに統合された修正制御セットが適切であることも受け入れた。

通知は層状に続けられた。DNA Relatives 情報が投稿されたかアクセスされたと判断された人々は 10 月に通知を受け取った。一部の Family Tree のみの明確化が 12 月に続いた。アカウントが直接スタッフィングされた人々は、確認からほぼ 3 か月後、同社がフォレンジック調査が完了したと発表してから 1 か月以上後の 2024 年 1 月まで、その事実について通知されなかった。共同報告書は、規制当局および個人への通知における欠落を指摘した。これには、生 DNA の露出可能性、攻撃期間、販売のための情報の投稿、一部のアカウントフィールドが含まれる。

アカウント、プロファイル、人々のカウント

このインシデントには、単位と日付を伴わない正直な単一の数字はない。

約 0.1%または約 14,000 アカウント:これは 2023 年 12 月初旬の同社の説明で、直接クレデンシャルスタッフィングされたアカウント数である。この割合は修正 8-K に現れた。当時の報道では、サービス人口に基づいて約 14,000 と換算された。

18,222 の直接アクセスアカウント:これは後に 23ANDME が 2024 年 7 月にカナダ・英国調査に提供した全世界の総数である:カナダで 769、英国で 611。これはより発展した公的規制当局記録における直接アカウント数である。

5,497,376 の DNA Relatives プロファイルと 1,468,791 の Family Tree プロファイル:これらは規制当局に報告された後の全世界のフィールドグループ数である。報告書は DNA Relatives と Family Tree のグループが相互排他的であり、DNA Relatives と祖先レポートの人口はそうではないと述べている。同社の 2024 会計年度フォーム 10-K は、カテゴリーを約 550 万の DNA Relatives プロファイルと 150 万の Family Tree プロファイルに丸めた。(23ANDME 2024 会計年度フォーム 10-K)

6,984,430 人の影響を受けた顧客(全世界):23ANDME は 2023 年 12 月 4 日にこの総数をカナダ規制当局に報告し、カナダでは 319,635 人だった。共同報告書は一般に約 700 万人の影響を受けた顧客と述べている。米国集団訴訟和解では後に、クラス範囲として約 640 万人の米国居住者を使用した。

これらの数字は、入れ子状で交差する人口を表しており、加算するための 4 つの数字ではない。直接アクセスされたアカウント保持者は DNA Relatives プロファイルも持っている可能性がある。ある人は祖先情報と関係プロファイルの両方を持っている可能性がある。Family Tree プロファイルはアカウント保持者またはツリーに表現された他の人物に関する可能性がある。正確さにはスキーマが必要である:人、アカウント、遺伝子プロファイル、関係記録、家系図ノード、レポート、ダウンロードされたファイルは異なるオブジェクトである。

生 DNA の数はさらに限定されている。2024 年 7 月、23ANDME は全世界で 18 の生 DNA ダウンロードと、生 DNA がアクセスまたは閲覧された 49 のインスタンスを報告した。規制当局は、オリジナルのクラウドプロバイダーログの欠落や設定ミスのカスタムログを含む、フォレンジック手法の弱点を特定した。2025 年 4 月、さらなる分析の後、23ANDME は行為者に起因する生 DNA ダウンロード数を全世界で 4 件に修正し、カナダと英国では 0 件とした。規制当局はその修正を独立して検証しなかった。

正しい結論は、700 万人の生 DNA がダウンロードされたということではない。記録はそれを裏付けていない。また、生 DNA が全く関与しなかったということでもない。後の企業の立場は 4 件の起因ダウンロードだったが、規制当局は方法論の不確実性を文書化している。まさにここで、フォレンジック記事は証拠の境界で止まらなければならない。

成功したセッションが明らかにできるもの

データはアクセス経路によっても分けなければならない。

直接アクセスされたアカウントの場合、利用可能なフィールドには、フルネーム、生年月日、出生時の性別、性自認、メール、国と郵便番号、身長と体重、祖先レポート、健康レポート、自己申告の健康状態、生の遺伝子型情報が含まれる可能性がある。18,222 のアカウントすべてがすべてのフィールドを含んでいたり、利用可能なすべてのフィールドがダウンロードされたわけではない。共同報告書は、健康レポートが関与したスタッフィングされたアカウント 8,217 件、自己申告の健康状態が関与したもの 63 件というより具体的な報告数を示している。

接続された DNA Relatives プロファイルの場合、露出した情報はより狭いが依然として機密性が高い:名前または表示名、自己申告の生年と場所、プロファイル画像、人種または民族的起源、予測関係、共有 DNA の割合、一致セグメント、オプションの祖先および家系図情報。これが乗数だった。行為者は直接アクセスされたアカウントの権限を通じてこれらの記録を閲覧した。

Family Tree プロファイルの場合、記録はリンクされた家系図に表現された情報に関する。家系図ノードは、独自のサービス顧客や生の遺伝子記録と軽々に同等視すべきではない。この製品は、表現されたすべての人物がテストされたアカウント保持者でなくても、親族や系統を記述できる。

攻撃者のリストについて、オファーや投稿の事実は、販売者が付したすべてのラベルを検証するものではない。規制当局は、一部のデータが宣伝され、影響通知でその事実を開示すべきだったと判断した。2026 年のカリフォルニア州の訴状は、標的リスト、身代金交渉、製品の脆弱性、企業声明について追加の主張を行っている。これらの主張は深刻だが、公開時点で訴状は開始された訴答であり、判決ではない。州の訴訟として引用し、確定事実に変換してはならない。(カリフォルニア州司法長官の訴状と発表)

この分離は、影響を受ける人々を同時に二つの誤りから守る:生ファイルではなかったからといって不正な祖先・関係の開示を過小評価すること、そして 700 万人の完全なゲノムが取得されたと誇張することである。いずれも説明責任を歪める。

製品設計が比率を可能にした

製品の目的はつながりだった。DNA Relatives は、顧客に幅広いマッチと家族関係を認識するのに十分なコンテキストを表示することで価値を生み出した。セキュリティ管理は、機能を無効にすることなく、すべての共有可視性を単純に排除することはできなかった。しかし、1 つのセッションがどれだけの権限を蓄積し、どれだけ迅速にその権限を行使できるかを管理することはできた。

少なくとも 5 つの設計上の疑問が続く。

第一に、関係グラフはログイン後すぐに同等に可視化されるべきか?新しいデバイス、異常な場所、最近回復したアカウントは、ステップアップ認証までビューを縮小できる。目的は本人の結果を隠すことではない。自己アクセスと他者のプロファイルへのバルクアクセスを区別することである。

第二に、セッションの最大有用リーチは何か?製品は数千のマッチを計算できるが、それらを機械速度で配信したり、すべてのエンドポイントを通じて同じフィールドを露出する必要はない。ページネーション、セッションごとのバジェット、段階的開示、目的限定のエクスポートは、通常の発見を使いやすく保ちながら抽出コストを引き上げることができる。

第三に、どのクエリが関係データを明らかにするか?セキュリティテレメトリは製品を理解する必要がある。HTTP リクエストを数えるよりも、閲覧されたユニークプロファイル、家系図の拡張、祖先レポートの取得、共有セグメントクエリ、多数のアカウントにわたる反復トラバーサルを測定する方が強力である。攻撃は通常の関係利用パターンをすべて違反しながら、一般的なリクエスト閾値の下に留まることができる。

第四に、閲覧者のアカウントが侵害された後、どの同意が適用されるか?ある人はサービスを使用する遺伝的親族と共有することを選択したのであり、親族のパスワードを提示できる誰とでもではない。同意は閲覧者を認証できない。プラットフォームは、共有の選択が意味を持ち続ける条件を施行しなければならない。

第五に、接続された人物は露出経路を見たり取り消したりできるか?アカウントイベント履歴は直接アクセスされた顧客を助けるが、自分のプロファイルが他者のセッションを通じて閲覧された親族は自分自身のセッションログを自然には持たない。したがって、サービスはグラフ認識のインシデント分析と通知を必要とする。どのアカウントが侵入されたかだけでなく、各敵対的セッションがどの他のプロファイルに到達したかに答えられなければならない。

ここでデータ最小化が運用上の制御になる。オプションの場所、生年、姓を関係ビューのデフォルトから削除することで、マッチングを廃止することなく結果を減らすことができる。プロファイルの発見と詳細な祖先レポートを分離することで、ステップアップの境界を作れる。古いまたは非アクティブなプロファイルを制限することで、保持されたリーチを減らせる。これらはパスワードの講義ではなく、製品設計上の選択である。

MFA のデフォルトとパスワードの共有責任

顧客はパスワードを再利用すべきではない。再利用により、あるサービスでの侵害が別のサービスへの鍵になり、攻撃者がそれを利用する責任を負う。しかし、顧客の過失はプラットフォームの責任を免れさせるものではない。サービスは、認証情報の再利用が標準的な脅威モデルになるほど一般的であることを知っている。米国連邦取引委員会(FTC)は 2017 年に、機密性の高いアカウントを保護する企業は、攻撃者が大規模に盗まれた認証情報を自動化するため、認証技術を組み合わせるべきだと警告した。(FTC の安全なパスワードと認証に関するガイダンス)

23ANDME の責任は、セッションのリーチによって高められた。直接アクセスされた顧客は、再利用によって自身のアカウントをリスクにさらした。彼らは最大数千のマッチを露出する製品を構成したわけではない。接続された親族は、侵害されたパスワードを全く選択しなかった。企業はサービス全体でより強力な認証を必須にできる唯一のアクターだった。

規制当局は 3 つの予防上のギャップを特定した:必須 MFA、漏洩パスワードチェック、最小パスワード強度である。パスワードスクリーニングに関する記録は内部的に矛盾していた。一つの回答では、同社は侵害されたデータセットと照合していないとされた。別のインタビューでは、2021 年のデータセットから 2 万の頻出パスワードと照合していると述べられた。どちらのバージョンも、広範なコーパスに対する継続的なスクリーニングよりはるかに狭かった。

現在の技術ガイダンスは、階層化された制御をサポートしている。NIST SP 800-63B は、予想される、一般的な、または侵害された値に対して候補パスワードをチェックし、効果的なレート制限を行うことを求めている。また、パスワードはフィッシング耐性がないことを明言している。(NIST SP 800-63B) OWASP のクレデンシャルスタッフィングガイダンスは、コンテキスト MFA、デバイスと接続の信号、漏洩パスワードの特定、ユーザーイベントの可視性、防御全体のメトリクスを追加している。(OWASP クレデンシャルスタッフィング防止チートシート) これらはベンチマークであり、ある制御がすべての技術を阻止できたという証明ではない。

必須のメール 2 段階認証は、パスワードのみのログインに対する意味のある改善だったが、可能な限り最強の要因ではない。メールアカウントが同じ侵害されたパスワードを共有している場合、攻撃者は両方に到達できる。アプリケーション認証システムやフィッシング耐性のある方法は、より強力な分離を提供できる。成熟した設計では、広くアクセス可能な必須ベースラインと、より強力なオプション、リスクベースのステップアップ、強化された回復を組み合わせることができる。機能が存在することを単に発表するのではなく、採用とバイパス経路を測定する必要がある。

認証が成功したとき、スクレイピングはセキュリティイベントである

クレデンシャルスタッフィングは総試行に比べてたまにしか成功しなかったが、その後のスクレイピングがその成功を価値あるものにした。これは検出をログイン問題からセッション動作問題に変える。

規制当局は、数千のアカウントがアクセスされたにもかかわらず、5 か月間にわたってアラートがないことを発見した。彼らは成功ログインと失敗ログインの比率から、5 月と 9 月の攻撃期間を特定できた。また、23ANDME がフィンガープリンティングに必要なデバイス、ブラウザ、ネットワークデータを保持していたが、他の制御とプライバシー上の懸念を理由に、その目的に使用していなかったことも発見した。

そのトレードオフは注意に値する。デバイスフィンガープリンティングは、制限なく収集されたり広告目的に転用されたりすると、侵入的な追跡になりうる。答えはセキュリティの名の下に無制限の監視ではない。目的制限である:必要な最小限の信号を収集し、保持期間を定義し、不正テレメトリをマーケティングから分離し、透明性を提供し、アクセスを制限し、有効性をテストする。制御のプライバシーコストは設計レビューに含まれる。数百万の接続プロファイルをスクレイプ可能なままにすることのプライバシーコストも同様である。

サービスは集約制御も必要とする。単一の IP アドレスだけが有用な単位ではない。防御側は、認証情報ソースごとの試行、デバイスファミリー、ネットワークブロック、自動化フィンガープリント、セッションクラスター、プロファイルビューパターンを評価できる。閲覧されたユニークな親族の数にバジェットを設定し、均一なトラバーサルを検出し、ナビゲーションタイミングを人間の行動と比較し、リスクのあるエクスポートにチャレンジできる。目的は完璧なボット検出を主張することではない。抽出を遅く、騒がしく、高価にし、アナリストが行動できる証拠を生成することである。

アビューズコンタクト経済学は応答チャネルにも適用される。セキュリティチームは、顧客や研究者が疑わしい行動を報告するための低摩擦な方法を必要とするが、安価なチャネルはすべてノイズを引き寄せる。トリアージは成果物を保存し、報告をテレメトリにリンクし、組み合わされた信号に基づいてエスカレーションする必要がある。2023 年 8 月のメッセージは、主張を却下することが記録の終わりになってはいけない理由を示している。プラットフォームがすでに自動化でクラッシュし、数百の疑わしい移行試行を見ていた場合、誤った量の主張でさえ実際の活動クラスを指し示す可能性がある。

通知はアカウントではなく人を追う必要があった

同社は分析が進むにつれて、2023 年 10 月から 2024 年 1 月にかけて異なるグループに通知した。それは原則として理解できる。インシデントの範囲は変化し、時期尚早の確信は誤解を招く可能性がある。規制当局の調査結果はより具体的だった。接続プロファイルの対象者への 10 月の通知は、一部の情報が販売のために投稿されたことを述べていなかった。直接アクセスされたアカウント保持者への通知は後になり、すべてのアカウント設定フィールドや 4 月から 9 月の攻撃期間を一貫して記述していなかった。初期の規制当局報告書は、スタッフィングされたアカウントで生 DNA、健康、祖先レポートが影響を受けた可能性を省略していた。

通知設計は製品のデータモデルを継承した。対応システムが侵害されたアカウント ID のリストから始まると、自然にアカウント保持者に最初に連絡する。しかし、最大の影響を受けたグループは、他者のアカウントを通じてプロファイルが到達された人々で構成されていた。グラフ認識の侵害プロセスには露出台帳が必要である。敵対的セッション、ソースアカウント、ビューされたエンドポイント、接続プロファイル、利用可能なフィールド、取得されたフィールド、時間、管轄区域、通知ステータス。

その台帳は過剰通知も防ぐ。表示名と共有 DNA の割合が閲覧された人は、生の遺伝子型ファイルがダウンロードされたことを示唆する一般的な警告ではなく、その旨の通知を受け取るべきである。健康レポートアクセスのある直接アクセスされたアカウント保持者には異なるメッセージが必要である。アカウント保持者ではない家系図の対象者は、再び異なる法的かつ実用的なルートを必要とするかもしれない。

共同報告書は、侵害がカナダの PIPEDA と英国 GDPR の両方の下で通知閾値を超えたと判断した。また、それらの制度の下での遅延と内容不足も発見した。カナダのコミッショナーは改善された保護策がセキュリティ管理の問題を解決したと扱ったが、英国の規制当局は 155,592 人の英国ユーザーに関わる失敗と 2024 年末まで続く違反に対して、231 万ポンドの罰金を課した。(英国 ICO 23ANDME 執行記録) 罰金は侵害に対するグローバルな価格ではない。それは一つの当局の権限、人口、法的分析を反映している。

データの局所性はサーバーの場所だけではない

このインシデントは 3 つの異なる局所性を示している。

ストレージの局所性は、個人情報、サンプル、ログ、バックアップが物理的または契約的にどこに保持されているかを問う。これは転送メカニズム、政府アクセス、ベンダーリスク、顧客の期待にとって重要である。しかし、レビューされた証拠は、同じ製品を変更せずに別の国のサーバーに移動することで、有効な再利用認証情報が同じプロファイルを開くのを止められたことを示していない。

アクセスの局所性は、権限がどこで施行されるかを問う。このケースでは、決定的な境界は論理的だった。成功した顧客セッションは接続されたプロファイルに到達できた。より強力な認証、セッションリスク、クエリ制限、プロファイルレベルの認可は、すべてのバイトが同じ施設に残っていても、その局所性を変えたであろう。

法的局所性は、どの法律と規制当局が個人、管理者、処理、転送に付随するかを問う。カナダと英国の当局は、カナダと英国の居住者が影響を受け、それぞれの法律が適用されたため、米国企業を共同で調査できた。彼らの報告書は、別々の国別カウント、別々の通知義務、別々の結論を示している。調整は重複する事実調査を減らしたが、PIPEDA と英国 GDPR を一つの法律に統合したわけではない。

同社の現在のプライバシーステートメントは、遺伝情報、サンプル情報、自己申告情報、アカウントデータ、共有の選択を区別し、地域固有の権利と連絡先を提供している。また、アカウント削除は研究オプトアウトとサンプル廃棄をトリガーするとも述べている(ただし記載された制限に従う)。現在のポリシーは現在のコミットメントを評価するのに有用だが、すべての顧客が 2023 年に理解していたことや、過去の管理が約束通りに動作したことの証明ではない。(23ANDME 現在のプライバシーステートメント)

破産は法的局所性を具体的にした。23ANDME Holding Co. と子会社は 2025 年 3 月にチャプター11 を申請した。FTC 委員長は米国管財人に対し、機密性の高い遺伝子、サンプル、健康、関係情報の売却または移転は、プライバシー、選択、削除に関する約束を尊重しなければならないと警告した。(23ANDME 破産に関する FTC 書簡) カナダと英国の規制当局は、それぞれの管轄区域の人々への義務について米国当局に別途書簡を送った。(カナダ・英国共同破産プライバシー書簡)

2025 年 7 月、破産裁判所が承認した実質的にすべての事業資産の売却が、後に 23ANDME Research Institute と呼ばれる TTAM Research Institute に対して 3 億 500 万ドルで完了した。購入者は既存のプライバシー選択、削除、研究オプトアウトを尊重し、将来の特定の移転を適格な国内事業体でポリシーを採用するものに制限し、プライバシー諮問委員会を設置し、プライバシー手順について報告することを約束した。SEC 提出書類はクロージングを確認し、資産購入資料は保護策を説明している。(23ANDME 売却クロージング フォーム 8-K)

これらの条件は、データガバナンスが所有権変更を通じて資産として無制限に移転するのではなく、義務として存続できることを示している。それらは地理を完全な保護策にするわけではなく、個別の同意が法的に移転に必要だったかどうかの紛争を消し去るわけでもない。州司法長官は提案された売却に異議を唱え、顧客は削除とサンプル廃棄の選択肢を通知されたが、取引は裁判所の権限と交渉された条件の下で完了した。教訓は、破産が自動的にプライバシーの約束を取り消すとか、プライバシーポリシーがすべての債権者や州法の質問を解決できるということではない。スチュワードシップ条件、削除能力、管轄区域固有の権利は、証拠と人員がより強い、窮地に陥る前に設計される必要がある。

コストは異なるものを測定する

23ANDME は 2024 会計年度に 460 万ドルのインシデント費用を報告し、主に技術コンサルティング、法務、その他アドバイザーに対して、280 万ドルの保険回収見込みで相殺された。これらは企業の対応コストであり、顧客の損害評価ではない。

民事訴訟は別の数字セットを生み出した。提案された米国集団訴訟和解は、3000 万ドルの非回収型基金で始まり、破産手続きに移行した。最終的な構造は、最低 3000 万ドル、最高 5000 万ドルの基金、適格請求のための現金カテゴリー、5 年間のプライバシー、医療、遺伝子モニタリングを提供した。破産裁判所は 2026 年 1 月 30 日に最終承認を与えた。公式和解サイトによると、クラスは約 640 万人の米国居住者に関係し、現金請求の期限は過ぎ、分配は破産整理を待っている。(23ANDME データ和解公式サイト)

和解は民事請求を解決し、その条件に従って対象請求を解放する。それはすべての答弁された主張が真実だったという裁判所の認定ではなく、和解給付は請求者が特定の遺伝的悪用を被った証拠ではない。モニタリングのラベルは、露出を覆す技術的能力と誤解されるべきではない。それは定義されたサービス給付とリスク支援メカニズムである。

2025 会計年度のフォーム 10-K は、当時構造化されていた集団訴訟、仲裁、州裁判所の和解全体で 3750 万ドルの総コミットメントを、訴訟および規制エクスポージャーとともに説明していた。その提出は後の破産調整と承認以前のものなので、後の裁判所管理の基金説明に置き換えるべきではない。複数の紛争チャネルが一つのインシデントの周りに蓄積したことの有用な証拠として残る。(23ANDME 2025 会計年度フォーム 10-K)

英国の罰金は、定義された管轄区域と期間に対する公法違反を測定する。2026 年のカリフォルニア州の訴状は別の公的執行措置であり、遺伝情報プライバシー法、カリフォルニア州消費者プライバシー法、合理的セキュリティ法、消費者保護法の下での失敗を主張している。また、2025 年の共同報告書を超える事実も主張している。それらは認められるか立証されるまで主張に過ぎない。民事和解、規制裁罰金、保険回収、破産売却収入は別々の列に属する。それらを一つの「侵害コスト」に合算すると、財政的にきれいだが法的には無意味な合計になる。

修正はテスト可能なほど具体的になった

2024 年 12 月 31 日までに、23ANDME はより広範な制御セットを実装したとカナダ・英国の調査官に伝えた。規制当局は、これらの措置を総体として、特定した保護策の懸念を解決するのに十分であると受け入れ、英国の規制当局はその時点から同社が関連するセキュリティ要件を満たしていると扱った。これは意味のある好意的な判断であり、境界がある。所有権や組織変更後の永続的な有効性を認証するものではない。

報告された変更には、最小 12 文字のパスワード、登録、ログイン、リセット時のはるかに大きな漏洩パスワードコーパスとの照合、必須のメール 2 段階認証、生データおよび健康データのダウンロードに関する保護、生 DNA 配信前の 48 時間の遅延、シミュレートされたクレデンシャルスタッフィング演習、改訂された監視、253 以上の新しい SIEM アラート、行動ベースのセッション監視、ダークウェブ監視、信頼できるブラウザ機能、ダウンロード可能なアカウントイベント履歴が含まれる。製品、セキュリティ、エンジニアリングのガバナンスも強化された。

制御の目録は制御の結果と同じではない。有用な次のステップは、悪用可能な詳細を要求せずに証拠を求めることである。

説明責任の質問公的証拠継続的テスト
再利用されたパスワードが単独で機密アカウントを開けるか?必須のメール 2SV または SSO、アプリケーション MFA が利用可能。各要素で保護されるログインの割合、回復バイパス率、高リスクセッションのステップアップ、要素リセットの悪用。
既知の漏洩パスワードは拒否されるか?登録、サインイン、リセット時に広範な漏洩クレデンシャルスクリーニングが報告された。コーパスの鮮度、カバレッジ、偽陽性処理、認証成功前に停止された試行。
1 つのセッションが数千の親族を列挙できるか?行動監視と新しいアラートが報告された。関係クエリバジェットに関する公開詳細は限定的。セッションごとに閲覧されたユニークプロファイル、自動トラバーサル検出、エンドポイントクォータ、チャレンジ効果、バルクアクセス例外。
分散キャンペーンを検出できるか?クレデンシャルスタッフィングシミュレーション、比率認識ルール、253 以上のアラート、拡張ログが報告された。攻撃フェーズ別の検出時間、演習でのアラート再現率、低速度シナリオ、アナリストのクロージャ品質。
顧客はアカウント活動を検査できるか?信頼できるブラウザとダウンロード可能なアカウントイベント履歴機能が報告された。セッション、エクスポート、要素変更履歴の完全性、保持、通知配信、ユーザー報告された異常のフォローアップ。
より強力な証明なしに生データを退出できるか?追加の検証と 48 時間の遅延が導入された。ステップアップの強度、キャンセルワークフロー、ダウンロードログの整合性、ストレージプロバイダーログとの独立した調整。
インシデント対応は接続された人々をマッピングできるか?規制当局はより良いプロセスと通知を要求した。公開されたグラフレベルの応答メトリックは限定的。間接的にビューされたプロファイルの特定までの時間、フィールド固有の通知精度、管轄区域マッピング。
所有権や財政的苦境で制御は存続するか?売却条件は削除、同意、監視のコミットメントを保持した。人員、諮問委員会報告、セキュリティ予算、独立した保証、将来の移転コンプライアンス。

48 時間の遅延は、安全な通知とキャンセルと組み合わされたときに良い摩擦を示している。それは敵対的セッションから即時の抽出を奪い、正規ユーザーに反応する時間を与える。しかし、信頼できる連絡チャネルのない遅延は損失を延期するだけである。生年月日チェックは、他の場所ですでに見える情報に依存しながら儀式を追加するかもしれない。制御は連鎖として評価されるべきである。

必須のメール 2SV にも同じことが当てはまる。それは、23ANDME のパスワードだけが利用可能な場合、このキャンペーンの単純なバージョンをブロックする可能性が高い。メールアカウントも侵害されている場合、より弱くなる。より強力な要素は、すべてのユーザーに対して推奨され、特に重要なアクションに対しては必須とされるべきである。プラットフォームは、サポートインタラクションが最も簡単なバイパスになることを許さずに、要素を失った人々のための回復経路を維持する必要がある。

誰が何を制御したか

脅威アクターは、盗まれた認証情報をテストし、アカウントに侵入し、製品機能を自動化し、プロファイルをスクレイピングし、情報を投稿または提供する決定を制御した。制御が弱かったからといって、犯罪の意図が企業に移されるわけではない。

認証情報を再利用した顧客は、サービス間でのパスワード選択を制御し、一意のパスワードと利用可能な MFA を使用すべきだった。彼らの責任は現実的だが限定的である。彼らは監視、機能認可、セッション無効化、自分のアカウントを通じて可視化される親族の数を制御しなかった。

接続された親族とプロファイル対象者は、一部の共有選択とオプションフィールドを制御した。彼らはマッチしたすべてのアカウントのセキュリティや、パスワードのみのログイン後に広範な可視性を付与するというプラットフォームの決定を制御しなかった。機能へのオプトインは敵対的な自動化への同意ではない。

23ANDMEは、顧客認証ベースライン、パスワードスクリーニング、セッションおよびエクスポート設計、マッチ可視性、テレメトリ、インシデントトリアージ、応答タイミング、データマッピング、通知を制御した。また、感度モデルを選択し、従業員アカウントの保護と顧客アカウントの保護を比較できた。これが、同社が再利用された認証情報を生み出したわけではないにもかかわらず、実務上の説明責任が最も重くサービスにのしかかる理由である。

規制当局と裁判所は、特定の法律と手続きの範囲内で救済を制御した。カナダと英国のコミッショナーは、それぞれの居住者に対する保護策と通知について判断を下すことができた。英国当局は罰金を課すことができた。破産裁判所は売却と和解条件を承認できた。カリフォルニア州は州の訴訟を提起できる。いずれもすべての顧客やすべての質問に対する普遍的管轄権を持たない。

後継機関は、資産売却後に運営サービスと継承されたスチュワードシップコミットメントを管理する。旧公開持株会社(Chrome Holding Co. に改名)は破産分配と訴訟に関連し続ける。顧客がどの事業体が製品を運営し、データを保持し、和解義務を負い、削除要求を受け取るかを知る必要があるため、明確な命名が重要である。

不明のままのこと

公的記録には、完全なフォレンジックレポート、すべてのインシデントログ、完全な敵対的インフラ、正確な認証情報ソース、すべてのエンドポイントコード、完全なクエリ履歴は含まれていない。規制当局は、要求された資料の不足と、生ダウンロードログの弱点を明示的に指摘した。確信のある説明はこれらのギャップを保持しなければならない。

23ANDME 自身の認証情報ストアが侵害されたことは立証されていない。同社は一貫して、ユーザー名とパスワードのペアを提供した兆候は見つからなかったと述べ、規制当局は他のインシデントで盗まれた認証情報を使用したクレデンシャルスタッフィングキャンペーンと説明した。

約 700 万の生の遺伝子型ファイルや健康レポートがダウンロードされたことは立証されていない。最大の人口は DNA Relatives、祖先、Family Tree 情報に関するものである。直接アカウントのフィールドと生データイベントは、より小さく、別にカウントされるカテゴリーである。

すべての攻撃者の宣伝が正確だった、特定のイデオロギー的動機が記録の選択やマーケティングを推進した、または主張されたすべての記録がユニークだったことは立証されていない。情報が機密性の高い祖先カテゴリーを使用してマーケティングされたという事実は、通知とリスク評価にとって重要である。動機と下流の使用には依然として証拠が必要である。

レビューされた資料では、特定の人物が雇用差別、保険拒否、医療傷害、法執行の標的化、またはこのイベントによる個人情報盗難を被ったことは立証されていない。それらは遺伝子および個人情報データに関する考え得る懸念だが、可能性は発見ではない。

また、修正が無期限に有効であり続けることも立証されていない。規制当局は 2024 年末までの統合措置を受け入れた。破産、労働力変更、新しい機関への移管により、継続的な保証が特に重要になる。あるレビューを通過した制御は、構成変更、予算圧力、新しい製品経路を通じて劣化しうる。

説明責任は他者のアカウントの端から始まる

インシデントは機能した認証情報で始まった。サービスが直接アクセスされた人物の自身の記録以上の権限をそれらの認証情報に付与したため、大量露出になった。これが、23ANDME を超えて持ち運ぶ価値のある説明責任のレンズである。

家族、チーム、患者、学生、家系図、ソーシャルグラフを中心に構築された任意のプラットフォームは、ある人物を別の人物のセッションを通じて露出する可能性がある。したがって、正しい分母は侵害されたアカウントではない。侵害された権限から到達可能な人々と記録である。正しい制御は、単により強力なログインではない。より強力なログインに加えて、制限されたセッションリーチ、製品認識のスクレイピング検出、信頼できるエクスポート証拠、迅速な封じ込め、人物レベルの通知である。

データ主権は同じ論理に従う。国内サーバーは、リモートセッションがグローバルな関係グラフを横断できる場合、ローカル制御を作り出さない。プライバシーポリシーは、売却中に削除、同意、移転義務が消える場合、選択を保持しない。法的管轄区域はシステムアーキテクチャにきれいにマップされないため、サービスはデータとともに居住性、権利、通知状態を運ぶ必要がある。

最も防御可能な結論は、最も大きな侵害の見出しよりも狭く、企業の最初の説明よりも要求が多い。パスワードの再利用が扉を開けた。製品設計がそれを広げた。監視は繰り返しの通過を認識できなかった。対応と通知は異なる日付でその異なる部分を閉じた。後の制御、規制当局の判断、裁判所の条件は、測定可能な説明責任の記録を作成した。残された義務は、ある人物のアカウントがもはや数千の他の人生への安価な抽出経路になり得ないことを継続的に証明することである。