カリフォルニア州司法長官ロブ・ボンタは、現在Chrome Holding Co.となっている23andMeが顧客の機密性の高い遺伝情報および個人情報を保護できなかったとして、同社に対し訴訟を提起した。
不適切なセキュリティ対策が原因となり、2023年に大きな注目を集めたデータ侵害が発生し、855,541人のカリフォルニア州民を含む約700万人の顧客の機密情報が流出した。
この事件は同年10月に明らかになった。脅威アクターが23andMeから盗んだ大量のレコードを販売しようとし、データサンプルを流出させたことがきっかけとなった。
カリフォルニア州に本社を置く同社は、流出したデータが本物であることを認め、弱い認証情報を使用しているアカウントを標的にしたクレデンシャルスタッフィング攻撃によって抽出されたものだと主張した。
その後まもなく、攻撃者はプラットフォームの「DNA Relatives(DNA親族)」機能を利用しているユーザーのデータを窃取し、さらにその機能を使用していない、より大規模な第2のアカウント群にもアクセスしていたことが明らかになった。
この事件では合計で約690万人の顧客のデータが流出し、遺伝データ、健康素因に関する情報、祖先・民族情報、生物学的親族、DNAマッチ情報などが含まれていた。
2023年末には、同社はすでに複数の訴訟に直面していた。2024年初頭には各国のデータ保護当局が調査を開始し、最終的には数百万ドル規模の制裁金が科せられ、同社は破産申請に追い込まれた。
ボンタ司法長官が提起した今回の訴訟では、23andMeがクレデンシャルスタッフィング攻撃に対する合理的な防御策を講じなかったこと、侵入を検知する複数の機会を見逃したこと、そして広範な侵害につながったDNA Relatives機能のコーディングエラーを発見できなかったことが主張されている。
データ保護上の失敗に加え、ボンタ司法長官は23andMeが事件の前後に行った誤解を招く公式声明についても指摘している。
具体的には、同社は事件前にセキュリティが高い基準を満たしていると主張していた。侵害発生後は事態の深刻さを矮小化しようとし、流出データの大部分は公開情報だったと示唆するとともに、パスワードの使い回しを理由に顧客を非難し、自社のシステムは侵害されていないと述べた。
司法長官は総じて、これらの行為がカリフォルニア州遺伝情報プライバシー法、カリフォルニア州合理的データセキュリティ法、カリフォルニア州消費者プライバシー法(CCPA)、虚偽広告法、不正競争防止法など、複数の州法に違反していると主張している。
訴状では、上記の違反行為の再発防止を求める差止命令とともに、事案に応じて1件あたり1,000ドルから7,500ドルの法定制裁金の賦課が求められている。
司法長官の声明では、カリフォルニア州民の遺伝データおよび生体材料の売却提案に関する破産手続きは別の訴訟であると明記されている。
検証のギャップ:自動化ペネトレーションテストが答えられる問いは一つ。本当に必要な問いは六つある。
自動化ペネトレーションテストツールは確かな価値をもたらすが、それは「攻撃者がネットワーク内を横断移動できるか」という一つの問いに答えるために作られたものだ。コントロールが脅威をブロックしているか、検知ルールが機能しているか、クラウド設定が堅牢かどうかを検証するために設計されたものではない。
本ガイドでは、実際に検証が必要な6つの対象領域を解説する。
