ロサンゼルス — カリフォルニア州司法長官は木曜日、州内の約700万人に影響を与えた2023年の情報漏えい事件で、同社が機密ユーザーデータの保護を怠ったとして、旧23andMeとして知られる遺伝子検査会社を告訴した。
ロブ・ボンテ司法長官は、昨年3月に破産申請を行った後、23andMeがブランド名を変更したChrome Holding Co.に対して訴訟を起こした。 23andme は、顧客に自分の祖先や特定の健康状態に対する遺伝的素因に関する情報を提供する、消費者に直接提供する DNA 検査キットで知られています。
この訴訟は、23andMeに対するさまざまな民事罰と、同社がカリフォルニア州のプライバシー保護法にこれ以上違反することを禁止する差し止め命令を求めている。
同社は、2023年に大規模なセキュリティ侵害に遭い、その結果約14,000のアカウントがアクセスされ、それを通じて700万人近くの顧客のデータを盗むことができたと認めた。このサイバー攻撃では、弱いパスワードや共通のパスワードを使用したり、複数のアカウント間でパスワードを再利用したりする顧客の傾向を悪用した「クレデンシャルスタッフィング」が使用されました。
ボンテ氏の事務所は、これは既知の攻撃であり、企業は防御方法を知っておくべきだと述べた。攻撃者は、23andMe の元パートナーの 1 つである MyHeritage に影響を与えた 2017 年 10 月の大規模なデータ侵害による認証情報を含め、盗んだユーザー アカウントの認証情報を使用しました。この侵害の後、23andMe は顧客にパスワードのリセットや多要素認証の使用を求めるなどの一般的なプロトコルに従わなくなりました。
23andMeは電子メールでコメントを求めたが、すぐには返答はなかった。
「23andMeのセキュリティ対策が非常に緩かったため、攻撃者は5カ月以上も23andMeのシステム内で検知されずに活動することができた。驚くべきことに、23andMeが調査を開始したのは、攻撃者が盗んだユーザーデータをダークウェブで売りに出し、身代金を要求するために23andMeに連絡を取った後だった」と原告らは訴状で述べている。
2023年10月、盗まれたデータがダークウェブ上で販売されていることが明らかになり、特に発表では、約110万件の消費者データがアジア太平洋地域のユーザーとアシュケナージ系ユダヤ人のものであると述べられた。
ボンタ氏はプレスリリースで、「ダークウェブでのこのデータの販売は、米国と太平洋諸島民の間で反アジア感情が高まり、反ユダヤ主義の憎しみと暴力が高まる中で起こった」と述べた。 「それは信じられないほど不安で危険です。」
盗まれたデータの中には、生の遺伝データ、健康報告書、他の親族と共有したDNA、親族の場所や生年などが含まれていた。
訴状によると、23andMeは侵害を公に通知した後も、侵害の深刻さと侵害における同社の役割について消費者に誤解を与え続けたという。
同社は、2023年10月に盗まれたデータが販売用にダークウェブに投稿されたときに初めて侵害を知ったと述べた。しかし訴訟では、同社は7月の「ユーザーのログイン試行回数の不審な増加」や、8月のユーザーデータ侵害と販売の可能性を論じたレディットの投稿など、数カ月前に現れた危険信号を適切に調査しなかったとしている。
訴訟によれば、遺伝データには「最高レベルの保護の1つ」が必要であり、カリフォルニア州法ではそれを保護するために「より高度な法的義務を課している」という。
ボンタ氏はまた、カリフォルニア州の遺伝情報プライバシー法では、企業は遺伝情報を第三者に販売する前に顧客の同意を得ることが求められていると主張し、23アンドミーの破産と資産売却の際に顧客の遺伝データが取り扱われないよう介入した。しかし、販売は続行されることが許可された。
2024年、23andMeは個人情報が漏えいした顧客の保護を怠ったとして同社を告発する集団訴訟で3,000万ドルの和解金を支払うことに同意した。この金額は米国内の顧客の請求の大部分を解決するために5,000万ドルに引き上げられ、23andMeの破産を監督する連邦判事によって1月に最終承認が与えられた。
