23andMe、690万人のDNAデータを含む個人情報が盗まれたと認める
米遺伝子検査企業の23andMeは、10月に報告した顧客情報漏えいの規模が、当初発表した1万4000人ではなく690万人だったことを認めた。顧客には2要素認証の採用を求めている。
米遺伝子検査企業の23andMeは12月4日(現地時間)、同社のサービスを利用した690万人の個人情報が10月に盗まれていたと、米TechCrunchなど複数の米メディアに認めた。
同社は10月に公式ブログで、サイバー攻撃に遭い、顧客プロフィール情報が漏えいしたことを発表していたが、対象となった顧客の人数などは公表していなかった。
10月初旬には、ハッキングフォーラムBreachForumsに23andMeユーザーのDNA情報を盗んだという投稿があった。その証拠として、ユダヤ系ユーザー100万人と中国人ユーザー10万人の情報とされるデータを公開した。
盗まれたデータには、氏名、誕生年、関係ラベル、親族と共有されているDNAの割合、祖先報告、自己報告された場所が含まれていたが、クレジットカード番号などはなかった。
同社は米証券取引委員会(SEC)に提出した文書で、23andMeのWebサイトで使用されているユーザー名とパスワードが他のWebサイトで使用されているものと同じである場合に、攻撃者がユーザーアカウントのごく一部(0.1%)にアクセスできたと判断したと説明している。人数にして約1万4000人に相当する。
だが、23andMeはメディア宛のメールで、ユーザーがデータの一部を他のユーザーと共有する機能「DNA Relatives」を有効にしていた約690万人の個人情報も攻撃者が取得できていたと説明した。
つまり、10月に報告していたユーザーの0.1%ではなく、ユーザーのほぼ半数の個人情報が漏えいしたことになる。
この侵害への対策として、23andMeはすべてのユーザーにパスワードのリセットと、2要素認証の使用を要求している。
関連記事
- 「日本のメーカーは狙われやすい」 ダークウェブ情報流出、主要30社で確認
「日本の製造業は、世界から狙われやすい業種」。国内の主要メーカー30社のダークウェブへのアカウント情報漏えい状況をセキュリティ企業が発表した。 - Google出資の遺伝子検査企業23andMeにFDAが販売停止命令
米食品医薬品局(FDA)が、唾液を分析することで潜在的な病気などの遺伝子情報を調べる23andMeのサービスが販売許可・承認を得ていないとして販売停止を命じた。 - Google出資のゲノム企業立ち上げ――Webベースの遺伝子情報サービス開始
米23andMeのサービスは、1件999ドル。唾液のサンプルを送付して、自分のDNA情報や病気のリスクなどのほか、祖先についての情報などを知ることもできる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.