23andMe ハッキングを阻止できたものは何でしょうか?

23andMe ハッキングがどのようにして起こったのか、そしてさまざまなログイン アクセス制御ソリューションがどのようにしてそれを阻止できたのかを説明します。

2023 年 10 月 10 日、23andMe は悪意のある者が窃盗を行ったと発表しました。 何百万人ものユーザーの個人データ、遺伝データ、民族データ。さらに衝撃的なのは、ハッカーが 23andMe ユーザーの名前、写真、場所、遺伝的祖先情報を含むこのデータをダークウェブ上で販売しており、被害者が民族に基づいて標的にされる可能性があるということです。

この記事では、23andMe のハッキングがどのようにして起こったか、そして最も重要なこととして、23andMe がそもそもこのハッキングの発生を防ぐためにさまざまなログイン アクセス制御テクノロジーがどのように役立ったかについて考察します。

ハッカーはどのようにして 23andMe に侵入したのでしょうか?

23andMe ハッカーは、ほとんどの人が異なる Web サイトで同じユーザー名とパスワードの組み合わせを使用しているという事実を利用した「クレデンシャル スタッフィング」を悪用しました。基本的に、ハッカーはハッキングされた別の Web サイトからユーザー名とパスワードの組み合わせのリストを取得し、ターゲットとする Web サイトでそれらを試します。

この良い例は次のとおりです。 RockYou2021 データベース。これは、さまざまな Web サイトから盗まれた 84 億件の認証情報を含む、公開されているダーク Web ファイルです。おそらく、このリストまたは別のリストに認証情報が含まれている可能性があります。そのため、すべての Web サイトで固有のパスワードを使用することが非常に重要です。

ワシントンポストによると, 「地下フォーラムで販売用のデータを提供するオンライン投稿では、購入者が 1,000 ドルで 100 個のプロファイルを取得できる、または 100,000 ドルで最大 100,000 個のプロファイルを取得できると述べられています。」この侵害は約 1,400 万のアカウントに影響を与えました。

23andMe がクレデンシャル スタッフィングに対して脆弱だったのはなぜですか?

TechCrunchによると:

「23andMe は、この事件の原因は、顧客がパスワードを再利用したことと、遺伝子データが自分のものと一致する他のオプトイン ユーザーのデータを閲覧できるDNA Relativesと呼ばれるオプトイン機能のせいだと主張しました。ユーザーがこの機能を有効にしていれば、理論上、ハッカーが単一ユーザーのアカウントに侵入して複数のユーザーのデータを収集できることになります。」

パスワードを再利用することに罪がある場合 (ほとんどの人がそうです)、この種のハッキングに対して脆弱です。しかし、パスワードの使用方法が悪いとして顧客を責めるのは、あまり公平とは言えません。強力なパスワードを持つ 23andMe アカウントも脆弱でした。 「DNA Relatives」プログラムがユーザー データをどのように接続したかにより、弱いパスワードを持つアカウントが、強力なパスワードを持つアカウントを暴露してしまいました。

結局のところ、ユーザーが適切なパスワードを採用することに依存することは、アクセス制御に関しては失敗する戦略です。最近の統計によると:

• 13%の人がすべてのアカウントで同じパスワードを再利用しています ( 2019 Google 調査）
• 52% が複数のアカウントで同じものを使用しています ( 2019年のGoogle調査）
• わずか 35% (責任者) がアカウントごとに異なるパスワードを使用しています ( 2019年のGoogle調査）
• 2022 年に確認された侵害の81%は、脆弱なパスワード、再利用されたパスワード、または盗まれたパスワードによるものでした( LastPass レポート)

これらの統計を考慮すると、Web サイト管理者が次のことを行っていると結論付けるのは簡単です。できない適切なパスワードの実践方法はユーザーに依存してください。これにより、Web サイト所有者には、より適切なログイン/アクセス対策を実装するという明確な責任が課せられます。

1Password のようなパスワード マネージャーについてはどうですか?

パスワード マネージャーは、固有のパスワードを起動して追跡するための優れたソリューションを提供します。ほとんどの Web ブラウザには無料のパスワード マネージャーが含まれており、 1passwordのような有料サービスもあります。しかし、すべての顧客にパスワード マネージャーの使用を強制することはできません。顧客が接続して個人情報を自動的に共有するソーシャル メディア プラットフォームや 23andMe のようなサイトでは、適切なパスワードを使用しないユーザーは、パスワードを使用するユーザーを危険にさらすことになります。

また、パスワード マネージャーは絶対に安全というわけではありません。ハッカーがマスターパスワードを捕捉すると、すべてが入手されてしまいます。悪意のあるリンクをクリックして資格情報を漏らすフィッシング攻撃も問題です。ヨーク大学コンピューターサイエンス学部の Siamak Shahandashti 博士は、次の声明でこれらの脆弱性を強調しました。

「パスワード マネージャーの脆弱性は、ハッカーが資格情報を抽出し、商業情報を危険にさらしたり、従業員情報を侵害したりする機会を与えます。パスワード マネージャーは多くの機密情報の門番であるため、パスワード マネージャーの厳密なセキュリティ分析が重要です。

「私たちの調査では、悪意のあるアプリによるフィッシング攻撃は非常に実現可能性が高いことが示されています。被害者がだまされて悪意のあるアプリをインストールさせられた場合、そのアプリは自動入力プロンプトで正当なオプションとして表示され、成功する可能性が高くなります。」

結局のところ、パスワード マネージャーは何もないよりは優れており、安全性を確保するのに役立ちます。しかし、ユーザー アカウントが相互接続され個人情報を共有する方法により、パスワード マネージャーを使用しているユーザーさえも 23andMe 攻撃に対して脆弱でした。 Web サイト自体によるアカウント アクセスを保護するには、さらに何かを行う必要があります。

多要素認証 (MFA) についてはどうですか?

ログインのセキュリティを高めるために、多くの Web サイトでは多要素認証 (MFA) が使用されています。 MFA にはさまざまな種類があり、最も一般的なソリューションには、一時的な 2 要素 (2FA) パスコードをテキスト メッセージまたは電子メールで送信することが含まれており、ユーザーは追加の、しかし面倒な認証手順を実行する必要があります。

23andMe はユーザーに MFA を提供しませんでした。しかし、たとえそうであったとしても、テキスト メッセージや電子メール ベースの MFA ソリューションは以前ほど安全ではありません。ほとんどの場合、電子メールはパスワードによってのみ保護されます。また、ハッカーが SIM スワップを通じてスマートフォンを制御することは比較的一般的です。実際、これはSEC の Twitter アカウントに対する最近のハッキングで起こったことです。

研究者らは、テキスト メッセージ ベースの MFA がハッキングに対してますます脆弱になっていることにも同意しています。サイバーセキュリティ会社Proofpointによると、次のようになります。

「予想に反して、MFA（多要素認証）で保護されているテナントの間でアカウント乗っ取りが増加している」とセキュリティ企業プルーフポイントの研究者らはレポートで述べた。 「私たちのデータによると、過去 1 年間に侵害された全ユーザーの少なくとも 35% が MFA を有効にしていました。」

これらの脆弱性のため、企業はマイクロソフトのように現在、音声またはテキスト メッセージ認証を使用する 2 要素戦略の使用に対して警告しています。 Microsoft のアイデンティティ セキュリティ担当ディレクターである Alex Weinert 氏は次のように述べています。

「これらのメカニズム (テキスト メッセージ ベースの 2FA 戦略) は公衆交換電話網 (PSTN) に基づいており、現在利用可能な MFA 方法の中で最も安全性が低いと私は考えています。 MFA の採用により、これらの手法を突破しようとする攻撃者の関心が高まるにつれ、その差は広がるばかりです […] ただし、繰り返しになりますが、MFA は不可欠であることを意味します。私たちは、 MFA を使用するかどうかではなく、どのMFA 手法を使用するかを議論しているのです。 」

YubiKey のような物理的なセキュリティ キーについてはどうですか?

Yubico の Yubikeyなどの物理セキュリティ キーは、携帯電話やコンピュータに接続する小型のデバイスです。これらは、多要素認証プロセスに物理的な「要素」を追加します。 Google などの多くの企業は、従業員に職場アカウントにログインする際に Yubikey を使用することを要求しています。ユーザーがキーを接続しない場合、アクセスできません。

物理的なセキュリティ キーにより、強力なセキュリティ層が追加されます。ただし、組織が大きくなるほど、これらの戦略のコストは高くなります。キー 1 つあたりの価格は 50 ドルから最大 105 ドルで、大規模な組織の全従業員に Yubikey を提供するには高価です。また、鍵の送付や交換に伴う遅延や管理の手間も大きな負担となります。

さらに、23andMe のような公開 Web サイトには数百万人のユーザーがいます。公開 Web サイトやソーシャル メディア プラットフォームのすべてのユーザーに 50 ドルのハードウェア デバイスの購入を要求することは問題外です。

Cisco Duo のような包括的なセキュリティ ソリューションについてはどうですか?

Cisco Duoおよびその他の包括的なセキュリティ サービスは、高品質の 2 要素認証 (2FA) およびその他の認証ツールを提供し、パスワードをはるかに超えてログイン セキュリティを強化します。ユーザーは、電話、プッシュ通知、物理的なセキュリティ キーなどの追加手順を通じてアクセスを確認します。

Duo のような包括的なセキュリティ サービスは、ユーザー ベースが管理されている企業に最適です。ただし、23andMe や Facebook のような Web サイトで何百万人ものユーザーが利用できるように拡張することは、コストの観点から現実的ではありません。

その理由は次のとおりです。

• 拡張コスト: Duo などの包括的なセキュリティ サービスはユーザーごとに料金がかかります。ビジネスの観点から見て、何百万ものアカウントに課金するのは現実的ではありません。
• ユーザーの摩擦: Duo の多段階認証は、一部のユーザー、特に 2FA に慣れていないユーザーを妨げる可能性があります。
• 運用の複雑さ:何百万もの Duo アカウントを管理するには、専用のインフラストラクチャとリソースが必要です。

Google Authenticator のような認証アプリ ソリューションはどうですか?

Google Authenticator のような 2FA ソリューションの義務化は、23andMe ユーザーを保護する手頃な方法だったかもしれません。ただし、Google Authenticator にはいくつかの重要な脆弱性があることに注意することが重要です。

• フィッシング攻撃:攻撃者は、ユーザー名、パスワード、ワンタイム コードを盗む説得力のある偽のログイン ページを作成し、ハッカーがリモートからアカウントにアクセスできるようにします。
• ソーシャル エンジニアリング:欺瞞的な戦術により、ユーザーがワンタイム コードを共有したり、それを公開するマルウェアをダウンロードしたりするよう誘導する可能性があります。
• クラウド バックアップの脆弱性:多くのユーザーは、認証キーを保存するクラウドベースのバックアップを持っています。ハッカーは、クラウド ストレージ アカウントを侵害することで、この認証データにアクセスする可能性があります。
• ユーザーの負担: Google Authentator では、ユーザーが追加のアプリをダウンロードし、セキュリティ キーを入力する必要があります。その後、アプリにログインするたびに、一時的なパスコードをアプリから Web サイトに転送する必要があり、ログイン プロセスにかなりの手間と手間がかかります。
• 認証キーの傍受:ユーザーへの認証キー コードの配信が脆弱性のポイントとなります。ハッカーがこのコードを傍受したり、何らかの方法で入手した場合、Google 認証プロセス全体が危険にさらされ、リモート ハッカーがどこからでもアカウントにアクセスできるようになります。

これらの脆弱性にもかかわらず、Google Authenticator およびその他の認証アプリは、パスワードのみと比較して Web サイトのログイン セキュリティを大幅に向上させます。このような認証システムがあれば、23andMe の認証情報詰め込みハッキングを途中で阻止できたかもしれません。

Invysta のように、アクセス制御をログイン デバイス自体に結び付けるのはどうですか?

23andMe ハッキングを防ぐために有効だった可能性のある別の解決策があります。これはソフトウェアベースのテクノロジーです。インビスタテクノロジーグループ、これにより、23andMe ユーザーのログイン デバイスが即座に物理セキュリティ キーに変換され、(実際のキーを必要とせずに) 物理セキュリティ キーと同じレベルのセキュリティが提供される可能性があります。

Invysta は、各ユーザーのログイン デバイスにある一意のハードウェアおよびソフトウェアの識別子を検出し、それらの識別子を使用して複製不可能な「匿名アクセス キー」を作成することによって機能します。 Invysta は、23andMe ユーザーのスマートフォンやラップトップを物理的なセキュリティ キーに変換することで、追加のハードウェアを購入したり配布したりすることなく、何百万人ものユーザーがいる Web サイトに最高レベルのアクセス セキュリティを提供します。これにより、リモート ハッカーによる認証情報の取得が不可能になります。詰め込み攻撃。

もちろん、Invysta はまだ比較的知られていないテクノロジーであり、ほとんどの Web サイト所有者はその存在を知りません。しかし、やがて、このソリューションは、アクセス制御分野において強力でありながらコスト効率の高い戦略としての評判を築く可能性があります。

最終的な考え

この記事では、23andMe が顧客への攻撃を防ぐのに役立つ可能性のあるさまざまなログイン アクセス制御ソリューションについて検討しました。しかし、これらのソリューションの一部が現在機能しているからといって、将来も機能し続けるとは限りません。

23andMe などのサービスで DNA や民族データを含む、自分自身や家族に関する詳細をオンラインで共有するにつれて、進化し続けるデジタル セキュリティの領域がこれまで以上に重要になっています。実際、これはもはや私たちの経済的生活を確保することだけを目的としたものではありません。それは、憎悪犯罪、親密なプライバシー侵害、その他の恐ろしい脆弱性から家族を守ることです。

これらの危険は今後も増大し、変化し続けるため、より多くのサイバーセキュリティ ソリューションが市場に登場すると予想されます。これらの新しいテクノロジーを早期に実装することで、組織は 23andMe が最近被った経済的、風評的、物理的な安全上の損害を回避できる可能性があります。