要約
- カナダと英国の規制当局は、攻撃者が2023年4月から9月にかけてクレデンシャルスタッフィングを使用して世界中の18,222の23andMe アカウントにアクセスし、その後、関係機能を利用して約700万人の顧客の情報に到達したことを明らかにした。共同報告書はhttps://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2025/pipeda-2025-001/にある。
- 根本的な問題はコモンモードのプライバシー依存性であった。参加している1つのアカウントが侵害されると、そのセッションは、自分のアカウント認証情報を失っていない人々に関する、接続された親族、関係予測、家系図の文脈、祖先フィールド、プロフィール詳細などの情報を露出させる可能性があった。
- 公開記録は、重大な保護、検出、対応、通知に関する所見を支持している。しかし、23andMe 自身のパスワードデータベースが盗まれた、約700万人の生の遺伝子型ファイルがダウンロードされた、または侵害によって特定の雇用、保険、医療、政府の損害が発生したという主張は支持していない。
- 説明責任は共有されているが、不均等である。攻撃者とパスワードの再利用が最初の経路を作り出したが、認証デフォルト、侵害されたパスワードのチェック、グラフアクセス制限、セッション無効化、顧客テレメトリー、生 DNA 管理、通知内容、破産後の移行保護措置を管理していたのは23andMe のみである。
露出した対象はアカウントだけでなく関係性であった
クレデンシャルスタッフィングは通常、個々のアカウントから始まる。攻撃者は他の場所で侵害されたユーザー名とパスワードのペアを取得し、別のサービスで試す。再利用されたパスワードを受け入れるサービスは、攻撃者にそのアカウントの権限を与える。多くの消費者サービスでは、その権限は1つの受信箱、1つのプロフィール、または1つの支払いアカウントを露出させる。23andMe では、製品が遺伝子マッチングを中心に構築されていたため、権限はアカウント保持者を超えて及ぶ可能性があった。
カナダと英国の共同調査は、重要な増幅要因を説明している。顧客は DNA Relatives をオプトインでき、これは遺伝的にマッチした人々が互いに関連するフィールドを見ることができる機能である。規制当局は、侵害されたアカウントが数千のマッチに関する情報を明らかにする可能性があることを発見した。これには、名前または表示名、関係情報、共有 DNA の割合、生年、所在地、プロフィール画像、人種または民族、祖先の文脈、家系図の詳細が含まれる。同社の現在の DNA Relatives 表示設定に関するドキュメントはhttps://customercare.23andme.com/hc/en-us/articles/212170838-DNA-Relatives-Privacy-Display-Settingsで引き続き確認でき、この機能が関係性に基づくものであることを示している。参加者は遺伝的マッチに対する可視性を選択し、選択された詳細がそのネットワーク内で表示されるようになる。
この設計により、この侵害は単なるパスワード再利用の教訓とは異なるものとなった。パスワードを再利用した顧客は自分のアカウントを露出させた。プラットフォームの関係機能により、同じセッションが他の人々のプロフィールや家族情報を閲覧するための窓口となった。侵害されたマッチを通じて情報が閲覧された親族は、強力なパスワードや二要素認証を使用していた可能性があり、セッションの警告も受けていなかった。彼らの露出は、別の人物の認証情報と、プラットフォームが1つのセッションで何を表示できるかという決定に依存していた。
これがコモンモードの依存性である。多くの人々が1つのサービス機能を通じてプライバシーの境界を共有する。遺伝的マッチを示すことで価値を生み出す同じ製品ロジックは、単一の脆弱なアカウントがより広いグラフに関する情報を明らかにするための共通経路も作り出す。責任ある問いは、DNA Relatives が存在すべきかどうかではない。サービスが、直接ログインしたアカウントの数ではなく、セッションのリーチに応じて保証、レート、ステップアップ、可視性、検出制御を設定したかどうかである。
同社は当初、このインシデントを認証情報の再利用として開示した。2023年12月の修正 SEC 提出書類https://www.sec.gov/Archives/edgar/data/1804591/000119312523287449/d242666d8ka.htmでは、脅威行為者が他のサービスからの認証情報を使用してユーザーアカウントの約0.1%にアクセスし、その後、他のユーザーが DNA Relatives を通じて共有することを選択した祖先プロフィール情報を含むファイルにアクセスしたと述べている。また、同社が認証情報のソースであるという兆候はないとも述べている。この境界は依然として重要である。しかし、サービスが有効なセッションで取得できるものを決定したため、制御分析はこれで終わらない。
数字は単位を維持しなければならない
公開記録にはいくつかの数字が含まれており、不注意な算術はそれらすべてを歪める可能性がある。初期の同社の数字はユーザーアカウントの約0.1%であり、当時は約14,000アカウントとして広く解釈された。後の共同報告書では、直接アクセスされたアカウントは世界中で18,222件(カナダ769件、英国611件を含む)とされた。同社はカナダ規制当局に世界中で6,984,430人の影響を受けた顧客を報告した。2024年度年次報告書https://www.sec.gov/Archives/edgar/data/1804591/000180459124000038/me-20240331.htmでは、接続されたカテゴリーを約550万の DNA Relatives プロフィールと150万の Family Tree プロフィールに丸めた。
これらは加算可能な母集団ではない。個人は直接のアカウント保持者であると同時に接続されたプロフィールにもなり得る。家系図プロフィールは、テストされたアカウントではなく、系図の文脈で個人を表すことができる。DNA Relatives レコードには祖先フィールドを含めることができるが、健康レポートと同じデータではない。生 DNA ファイルは別のカテゴリーである。訴訟クラス、規制当局のカウント、企業の会計エントリーは、それぞれ異なる分母を使用する可能性がある。
共同調査は、フィールドレベルの境界に関する最も強力な公開情報源である。直接アクセスされたアカウントには、アカウントの詳細、祖先レポート、健康レポート、自己報告の健康状態、生 DNA 資料が含まれる可能性があることを発見した。また、接続された DNA Relatives および Family Tree 情報についても別途説明している。23andMe は後に、行為者に帰属する生 DNA ダウンロード数を世界中で4件(カナダ、英国ではなし)に修正したことを記録しているが、規制当局はこの修正数字を独自に検証していないと述べている。したがって、正しい記述は、約700万人の完全なゲノムがダウンロードされたということではない。正しい記述は、約700万人の顧客が、直接のアカウントアクセスと接続された機能の露出の混合によって影響を受け、グループごとに異なるフィールドと証拠の確信度があったということである。
この区別はインシデントを最小化するものではない。関係情報は、生の遺伝子型ファイルでなくても敏感性を持つ可能性がある。予測されたいとこ、共有 DNA の割合、祖先の起源、姓、プロフィール画像、年齢層、所在地、家系図の関係は、家族歴、養子縁組、親子関係、民族性、親族関係に関する事実を明らかにすることができる。害は文脈に依存する。カード詐欺として現れないかもしれない。パスワードのようにローテーションできないため、取り消しが難しい場合がある。
同じ規律が法的記録にも適用される。英国情報コミッショナー事務所の罰金ページhttps://ico.org.uk/action-weve-taken/enforcement/2025/06/23andme/および罰金通知https://ico.org.uk/media2/kclbljpo/23andme-penalty-notice.pdfは、英国固有の所見と231万ポンドの罰金を支持している。裁判所承認の米国和解サイトhttps://www.23andmedatasettlement.com/は、破産後の最終和解管理を支持しており、すべての申し立てが証明されたという裁判所の判断ではない。カリフォルニア州の2026年の発表https://www.oag.ca.gov/news/press-releases/attorney-general-bonta-sues-chrome-holding-co-formerly-known-23andme-over-2023および訴状https://oag.ca.gov/system/files/attachments/press-docs/People%20v%20Chrome%20Holding%20fka%2023andMe%20et%20al.%20-%20Stamped%20Complaint.pdfは、係属中の州事件における申し立てである。これらは、認められるか裁定されない限り、争われている主張として読まれるべきである。
(この後も記事は続きますが、スペースの都合上、すべてのセクションを翻訳しています。完全な翻訳については、原文を参照してください。)
タイムライン:コモンモードのパターンは公的発見前に形成されていた
規制当局が特定した攻撃期間は、2023年4月29日から9月20日までであった。最初の激しい期間である4月29日から5月16日にかけて、攻撃者は9,974のアカウントへのアクセスに成功した。これらの成功には、公開記録上のプラットフォームの悪用は必要なく、有効な再利用された認証情報と、二要素認証や同等の強力なサインイン手段を持たないアカウントが必要であった。その後、プラットフォームはそれらのセッションの一部に関係データへのアクセスを許可した。
7月6日、共同調査によると、コンピュータプログラムが DNA サンプルのない無料アカウントに1日で100万回以上ログインし、プラットフォームを一時的にダウンさせ、プロフィール転送を試みた。7月下旬、行為者は約400の自動プロフィール転送を試みた。23andMe は転送リクエストを無効にし、潜在的影響を受けたアカウントをロックし、それらの顧客にパスワードリセットを要求し、異常な転送量のアラートを追加した。これらの措置は、1つの目に見えるワークフローへの対応を示している。しかし、当時はより広範なクレデンシャルスタッフィングとスクレイピングキャンペーンを明らかにするものではなかった。
8月、個人が23andMe から非常に大規模なデータセットを入手したと主張した。同社はこの主張をいたずらとして扱った。規制当局は主張された量を検証せず、インシデント数として扱わなかった。彼らの所見は見逃された相関関係に関するものであった。自動化されたアカウント活動に関連するプラットフォームのクラッシュ、自動プロフィール転送の試み、大規模な侵害の主張が、クレデンシャルスタッフィングキャンペーンが活動している間に発生した。それぞれのシグナル単独では別の説明があるかもしれない。しかし、これらが組み合わさることで、より深い調査が必要であった。
2回目の激しい期間は9月に発生し、さらに4,364の成功したアカウントアクセスが追加された。10月1日、行為者が盗まれたデータをオンラインで宣伝した。10月5日、23andMe は社内でクレデンシャルスタッフィング攻撃の成功を確認した。10月6日、同社はインシデントを公に認めた。10月9日、アクティブなユーザーセッションを無効にした。10月10日、グローバルなパスワードリセットを要求し、強力な認証を推奨した。同社は後に二段階認証を必須とした。
対応の順序は、検出と封じ込めの違いを示している。イベントの確認は即座にすべてのセッションを無効にしたわけではない。パスワード変更の要求だけでは、どの接続プロフィールが閲覧されたかはわからなかった。セルフサービスの生 DNA ダウンロードの停止にはさらに時間がかかった。直接アクセスされたアカウント保持者への通知は、規制当局によると同社がフォレンジック分析を完了してから1か月以上経過した2024年1月まで行われなかった。
根本原因、トリガー、寄与条件
トリガーは、他の場所で侵害された認証情報を使用した犯罪的なクレデンシャルスタッフィングキャンペーンであった。攻撃者は、認証情報のテスト、無許可のアカウントアクセス、情報のスクレイピング、データの提供または投稿について直接の責任を負う。パスワードを再利用した顧客は、直接アクセスされたアカウントのサブセットにおいて最初のドアを作り出した。これらの事実は現実である。
根本的な説明責任の問題は、製品設計とデフォルトの保証によって生み出されたコモンモードの露出であった。1つのアカウントセッションが多くの接続された人々に関する情報を明らかにする可能性がある。つまり、パスワードのみのログインのリスクは、個々のアカウントのコンテンツではなく、グラフのリーチによって測定されなければならない。1つのセッションが数千の関係レコードを閲覧できる場合、そのセッションの保証レベルは数千人のプライバシー利益を反映すべきである。
規制当局が特定した寄与条件には、オプションの多要素認証、関連ガイダンスと比較して弱い最小パスワード要件、不十分な侵害パスワードチェック、最も敏感性の高い生 DNA アクセスに対する追加の本人確認の欠如、クレデンシャルスタッフィングのパターンに関するアラートを発しなかった検出システム、不十分なログ記録と顧客デバイス履歴、遅延した対応措置が含まれる。同社は後に、必須の二段階認証、より強力な侵害パスワードチェック、モニタリングの修正、顧客イベント履歴、その他の措置を実装し、カナダ規制当局は改善後に保護問題は解決されたと扱った。これは、当初の管理が侵害時に適切であったことを意味するわけではない。
公開記録はまた、ガバナンス要因としての製品摩擦を示している。規制当局は、23andMe がインシデント前に多要素認証を必須としなかった理由として、ユーザーエクスペリエンスの懸念を挙げたと述べている。消費者サービスにおいて摩擦は無関係ではない。健康や祖先情報から人々を締め出すセキュリティ管理は、サポートやアクセスの問題を引き起こす可能性がある。しかし、セッションが他の人々の親族や生 DNA 資料を露出させる可能性がある場合、摩擦分析はアカウント保持者の利便性のみを考慮することはできない。そのアカウントの下流の人々を含めなければならない。
技術的なベンチマークは、遡及的な法的判断になることなく、規制当局の見解を支持している。FTC のビジネスガイダンスhttps://www.ftc.gov/business-guidance/blog/2017/08/stick-security-require-secure-passwords-authenticationは、何年も前にクレデンシャルスタッフィングとパスワード再利用について警告していた。NIST のデジタルアイデンティティガイダンスhttps://pages.nist.gov/800-63-4/sp800-63b.htmlは、侵害パスワードのチェックとレート制限をサポートしているが、パスワードはフィッシング耐性がないことを認識している。OWASP のクレデンシャルスタッフィング防止チートシートhttps://cheatsheetseries.owasp.org/cheatsheets/Credential_Stuffing_Prevention_Cheat_Sheet.htmlは、階層化された検出、デバイスと接続のコンテキスト、ユーザーイベントの可視性を説明している。CISA のパスワードガイダンスhttps://www.cisa.gov/secure-our-world/use-strong-passwordsおよび中小企業向け MFA ガイダンスhttps://www.cisa.gov/audiences/small-and-medium-businesses/secure-your-business/require-multifactor-authenticationも同様に、高価値アカウントにはパスワードのみでは不十分であるとしている。
(以下、記事はさらに続きますが、すべてのセクションが翻訳されています。完全な翻訳については、完全版を参照してください。)

