法律
カリフォルニア州司法長官、遺伝子企業が2023年の大規模漏洩を矮小化しつつ攻撃者に身代金を支払っていたと主張
カリフォルニア州司法長官ロブ・ボンタの事務所は、遺伝子企業23andMeが引き起こした壊滅的な2023年の情報漏洩に関するデータ保護上の不備を理由に、同社を提訴した。
ボンタと彼のチームは主張 [PDF]において、23andMeは保管していた機微な記録に対して十分なセキュリティ管理を実施せず、事後に顧客に対して事件の性質について虚偽の説明をしたと述べている。
「23andMeは何百万人もの人々の遺伝子データを収集しながら、そのデータを安全に保護するというカリフォルニア州法上の義務を果たさず、その後2023年のデータ漏洩の深刻さについて消費者に虚偽の説明をした」とボンタは木曜日に述べた。「我々の調査により、同社がユーザーデータを保護するための基本的な措置を講じていなかったことが判明した。そのデータには、消費者の機微な個人情報、家族の病歴、健康状態が含まれている。
「このデータがダークウェブ上で販売されたのは、アジア系アメリカ人・太平洋諸島系住民に対するヘイトや暴力、および反ユダヤ主義的なヘイトや暴力が高まっていた時期であり、そのデータが持つ極めて個人的かつ識別性の高い性質に明確に注目を集めるものであった。これは衝撃的であり、非常に危険なことだ。本日、私の事務所はカリフォルニア州法への全面的な違反を理由に23andMeを提訴する。」
今回の訴訟は、旧称23andMeであるChrome Holding Co.を相手取って提起された。TTAM Research Instituteは昨年、23andMeの資産を買収した。TTAM Research Instituteは、情報漏洩当時に23andMeのCEOを務め、同社の共同創業者の一人でもあるアン・ウォジスキーによって設立され、現在も彼女が率いている。
この非営利団体による23andMe資産の買収は2025年7月14日に完了し、同団体はそのデータを医学研究や教育の発展のために活用しながら、23andMeを非営利目的で運営することを約束した。
23andMeは引き続き従来通りの事業を継続しており、顧客から唾液サンプルを採取し、ネアンデルタール人の血がどの程度含まれているかや、自分のDNAがコリアンダーを好む・嫌う傾向に影響するかどうかといった興味深い情報を提供している。
「衝撃的」
訴訟を発表する際、ボンタの事務所は23andMeの大規模漏洩前後の出来事を表現するために「衝撃的(disturbing)」という言葉を3回以上使用した。経緯を振り返ると、2023年にGolemと名乗るサイバー犯罪者がフォーラムに現れ、何百万人もの23andMe顧客のデータを大量に提供すると主張した。
その後規制当局が実施した調査により、Golemが実際に侵害したのは約14,000件のアカウントに過ぎないことが判明した。しかし、同じDNAを一定割合共有する23andMeユーザー同士をつなぐ「DNA Relatives」機能を悪用することで、犯人は約700万人の顧客の詳細情報にアクセスできたことが明らかになった。
さらに、23andMeが侵入を5か月間にわたって検知できなかったこと、そしてGolemがアクセスした約14,000件のアカウントがクレデンシャルスタッフィング攻撃によって侵害されたことも明らかになった。
その後、多方面での責任のなすり合いが始まった。23andMeがすべてのアカウントでデフォルトとして2要素認証(2FA/MFA)を義務付けるべきだったことを認める代わりに、顧客がパスワードを使い回したことを非難するという判断は、予想通り大きな反発を招いた。
現在に至っても、23andMeは2FA/MFAなしでサービスを利用することを顧客に許可しているが、設定していないユーザーに対しては定期的に促す通知を送っている。
一方、規制当局は同社のセキュリティ慣行が不十分であると指摘したが、セキュリティ専門家の間では意見が分かれた。多くの専門家は、双方に責任があると見解が一致した。
そして罰金と和解が続いた。
英国の情報コミッショナーは、破産申請から3か月後の2025年6月に同社に230万ポンド(309万ドル)の罰金を科した。
その裁定において、2023年の米国当局の調査結果を引用し、同社が不十分なパスワード要件に依存していたと非難した。
情報コミッショナーは、23andMeが侵入を迅速に検知できなかったこと、および遺伝子データの一括ダウンロードを防止するための措置を講じなかったことを叱責した。
23andMeはまた、2024年に集団訴訟を3,000万ドルで和解した。
ボンタの事務所は、23andMeが顧客に対して行った説明は「誤解を招くものであり、重要な情報を省略または虚偽に伝えていた」と主張した。
「23andMeは、自社システム内でデータセキュリティ上の問題は発生していないと公表し、『DNA Relatives』機能から盗まれた情報は事実上公開情報であると主張して漏洩データの機密性を軽視し、顧客に責任を転嫁しようとした一方で、同社は脅威アクターと交渉を行い、身代金を支払っていた。その対価として、脅威アクターがオンラインに投稿した情報漏洩に関する不都合な情報の削除と、データ漏洩時に悪用された脆弱性を含む複数の23andMeのセキュリティ上の脆弱性に関する情報提供を求めていた。」
The Registerは23andMeの広報担当者にコメントを求めた。23andMeプラットフォームの唯一の広報担当窓口アドレスに送られた問い合わせを管理しているにもかかわらず、23andMe Research Instituteの代理として回答が届いただけだった。同研究所はChrome Holdingとの関係を否定したが、Chrome HoldingもTTAM Research Instituteも公開の連絡先を持っていない。
また、23andMeの運営者との連絡を取り次いでもらうこともできなかった。
研究所は次のように述べた。「23andMe Research Instituteは新たに設立された独立した非営利組織であり、カリフォルニア州司法長官が旧23andMeであるChrome Holding Co.に対して提起した申し立てに記載されている事項には関与していません。本訴訟は、23andMe Research Instituteの設立以前に旧商業法人に関連して発生した出来事および業務に関するものです。同研究所は本申し立てに関与しておらず、基礎となる訴訟においていかなる役割も担っていません。
「23andMe Research Instituteは、プライバシー、倫理、透明性、および責任あるデータ管理への強固なコミットメントのもと、非営利の科学・健康研究の推進に注力しています。」®
