DNA検査企業の23andMeは、昨年同社システム上で発生した極めて機微なゲノムデータの侵害について、被害者側に責任があると主張した。
2023年11月に裁判所へ提起された集団訴訟で被害者を代理する法律事務所Tycko & Zavareei LLPに宛てた書面回答の中で、23andMeは、アカウントにアクセスされたユーザーがパスワードを「過失により」使い回し、更新しなかったと非難した。
DNA検査企業は、これにより攻撃者が、別の侵害で入手したユーザー名とパスワードを用いてクレデンシャル・スタッフィング攻撃を仕掛けられたのだと主張した。
23andMe が自社の主張を展開
「23andMeは、ユーザーが自身のログイン認証情報を使い回したケース、すなわち、ユーザーが23andMe.comで使用していたのと同じユーザー名とパスワードを、過去にセキュリティ侵害の対象となった他のウェブサイトでも使用しており、さらに、23andMeとは無関係なこれら過去のセキュリティ事案の後に、ユーザーが過失によりパスワードを使い回し、更新しなかったケースにおいて、無許可の者が特定のユーザーアカウントにアクセスできたと考えている」と同社は、TechCrunchに送付された2023年12月11日付の書簡で述べている。
「したがって、この事案は、CPRA(カリフォルニア州プライバシー権法)の下で合理的なセキュリティ対策を維持しなかったという23andMeの主張される不備の結果ではない」と23andMeは付け加えた。
2023年10月に発生したこの事案では、約700万人の顧客情報がアクセスされ、その中には民族性や祖先など、一部ユーザーの系譜に関する情報を含む多数のファイルが含まれていた。
ハッカーは当初、クレデンシャル・スタッフィング攻撃により約1万4000件のユーザーアカウントにアクセスした。
その後、この情報を用いて、23andMeの「DNA Relatives(DNA親族)」機能に参加していた690万人のユーザーの個人データにアクセスした。同機能では、顧客はプラットフォーム上で親族と見なされる人々と、自身のデータの一部を自動的に共有する。
23andMeは書簡の中で、被害者はDNA Relatives機能に参加することで他のユーザーと情報を共有することを選択していたため、そもそも訴えは成り立たないとも主張した。
さらに同社は、攻撃者が潜在的にアクセスした情報には社会保障番号、運転免許証番号、支払い情報が含まれていないため、「金銭的損害」を引き起こすために利用できないと述べた。
23andMeの姿勢に批判
訴状(Bacus v 23andMe, Inc.)では、原告は、DNA検査企業がユーザーアカウントを保護するための合理的措置を講じておらず、その結果として侵害が発生したと主張している。
事案以降、23andMeはユーザーアカウントを保護するための新たなセキュリティ対策を追加したと確認した。これには、ログイン中のすべてのユーザーセッションの終了、全ユーザーアカウントでのパスワードリセットの要求、全顧客に二要素認証の使用を義務付けることが含まれる。
業界の専門家は、被害者に責任があるとする23andMeの主張をすぐに批判した。
comforte AGのサイバーセキュリティ専門家Erfan Shadabi氏は、ユーザーにはパスワード管理などの領域でベストプラクティスに従う義務がある一方で、企業にも、2FAポリシーの強制など、託された機微情報を保護する責務があるとコメントした。
「責任のすべてをユーザーに帰するのは、サイバーセキュリティという複雑な状況を単純化しすぎた欠陥のある議論だ」と同氏は述べた。
Salt SecurityのField CTOであるNick Rago氏は、侵害にクレジットカード情報のようなデータが含まれていないため金銭的被害は生じないという23andMeの主張は、完全に時代遅れだと述べた。
同氏は、系譜や関係性に関する情報が露出すれば、消費者をだまして詐欺を行う、身元を盗む、あるいは企業インフラ内で特権的なシステムアクセスを得るための標的型ソーシャルエンジニアリング攻撃を構築する上で、攻撃者にとって非常に有用になり得ると指摘した。
標的型ソーシャルエンジニアリング攻撃の成功に端を発した最近の侵害の例として、JumpCloud、MGM、Caesarsに影響したものが挙げられる。
「こうした種類の攻撃は、特に脅威アクターが活動に用いる素材を作り上げるのを支援するAI技術の台頭により、標的となる個人について多くの情報を必要とせずに効果を発揮する」とRago氏は説明した。
23andMeのデータ侵害への反応から得られる5つの教訓
以下は、23andMeの書簡とそれに続く反応から得られる、Infosecurity Magazineによる重要な5つのポイントである。
1. MFAは必須にすべき
調査によれば、パスワードの使い回しのような慣行は広く見られ、個人や組織をクレデンシャル・スタッフィングのような手法に対して脆弱にしている。この状況では、オンラインアカウントの保護をパスワードだけに依存するのは不十分だ。23andMeは書簡で、被害者がパスワードを使い回したのは過失だと主張した一方で、以前は任意だったMFAを、その後顧客アカウントで必須化したことも確認している。
他の組織も、ログインプロセスの必須要素としてMFAを導入することを検討すべきであり、Microsoftはこの層がアカウント侵害攻撃の99.9%以上を阻止できると見いだしている。
2. すべてのデータ侵害は重大な被害をもたらし得る
23andMeは、攻撃者が被害者の金銭を直接狙えるデータにアクセスしていないため、侵害は法的請求の根拠にならないと示唆した。しかし、攻撃者は、特に生成AIツールの助けを借りて、あらゆる個人情報から高度な追撃型ソーシャルエンジニアリング攻撃を展開できることが知られている。
加えて、極めて機微な系譜および関係性情報の侵害は、被害者を他の脅威にさらす可能性がある。
3. ユーザーもオンラインセキュリティに一定の責任を負うべき
23andMeの姿勢は大きな批判にさらされているが、同時に、ユーザーのオンラインセキュリティに関する責任を完全に免除するのも必ずしも良い考えではない。例えば、被害者が玄関の鍵をかけていなかった場合、空き巣被害後に保険会社が支払いを行わないといったように、生活の他の領域でも過失には結果が伴う。
盲目的な「ユーザーを責めるな」というスローガンは、組織が発生するすべての侵害に責任を負うのであれば、個人が安全な行動に取り組む動機を弱める可能性がある。ユーザーが自身のオンラインセキュリティについてどの程度責任を負うのかについて、業界で議論することが重要だ。
4. サイバーセキュリティ啓発キャンペーンは改善が必要
近年、年次のサイバーセキュリティ啓発月間キャンペーンなど、一般市民にオンライン上の安全な行動を促すことに大きな重点が置かれてきた。しかし、パスワードの使い回しのような悪い慣行は、依然としてデータ侵害の主要因であり続けている。
サイバー犯罪者が無差別に被害者を狙う中で、公的部門と民間部門の双方による啓発キャンペーンが、より多くの人々の心に響くことが不可欠だ。
5. パスワードレスへの移行を加速すべき時
生体認証やパスキーなどのパスワードレス技術は近年進化しており、パスワード、さらにはMFAやパスワードマネージャーに代わる選択肢を提供する。例えば、生体認証はスマートフォンで標準となり、GoogleやApple and Microsoftといった大手テック企業は、プラットフォームからパスワードを恒久的に排除する方向へ最近大きく前進している。
しかし、パスワードは依然として多くの組織で主要な認証手段であり、クレデンシャル・スタッフィングのような単純な手法が脅威アクターにとって有効であり続けている。企業は、ユーザー名とパスワードからの移行を加速し、安全なパスワードレス選択肢の利用可能性が高まっていることを活用して、データ侵害のリスクを低減することが重要だ。
翻訳元: https://www.infosecurity-magazine.com/news/23andme-blames-user-breach/
