遺伝子検査会社の23andMe(現Chrome Holding Co.)は、顧客の遺伝子データを保護できなかったとする43州の司法長官連合からの訴えを受け、1,800万ドルを支払うことで和解に合意しました。
23andMeは2023年10月、大規模なデータ漏えいを公表しました。原因は2023年4月から9月までの5カ月間、気づかれずに続いていたクレデンシャルスタッフィング攻撃でした。
この事件では、脅威アクターが遺伝的祖先情報を含む690万人分の顧客データを窃取しました。その一部はその後ダークウェブで販売され、攻撃者は数百万件の遺伝子プロファイルを、データが本物である証拠としてリークしています。
ニューヨーク州司法長官のレティシア・ジェームズ氏は火曜日、声明で述べ、事件公表後に開始された複数州にまたがる調査により、同社にはパスワードのブロックリスト化や多要素認証といったクレデンシャルベースのサイバー攻撃に対する基本的な防御策や、十分なレート制限、侵入防止、漏えい検知の監視体制が欠如していたことが判明したとしています。
調査担当者はさらに、23andMeが不審なログイン活動への対処や既知の脆弱性の修正を怠っていたことも突き止めました。ジェームズ司法長官によると、同社は当初、侵害の発生自体を否定し、その後は顧客側のアカウント管理やパスワードの取り扱いに責任を転嫁していたということです。
攻撃者に先んじて、あらゆる階層をテストする
セキュリティチームが記録できている攻撃成功事例はわずか54%、アラートが発せられるのはたった14%にすぎません。残りは検知されないまま環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMとEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。