カリフォルニア州は、2023年のデータ漏洩をめぐるセキュリティ上の不備や誤解を招く発言の疑いについて、DNA検査会社23andMeの旧経営陣を提訴した。
2026年5月27日、ロブ・ボンタ司法長官は、23andMeの破産手続き後に同社の残存資産を管理Chrome Co.を相手取り、サンフランシスコ高等裁判所に訴訟を提起した。
カリフォルニア州の訴状は、23andMeが機密データを保護するための合理的なセキュリティ対策を講じていなかったと非難し、同州の複数のプライバシー法および消費者保護法に違反したと主張している。また、同社が自社のセキュリティ対策について誤解を招くような発言を行ったとも非難している。
2023年のこの攻撃では、23andMeのログインページに対して、昔ながらの「クレデンシャルスタッフィング」の手法が用いられた。攻撃者は約5か月間、誰にも気づかれることなくシステム内に潜伏していた。直接的な被害は小規模で、影響を受けたアカウントは約1万4000件にとどまったが、攻撃者にとっては、700万人弱の顧客データを盗み出すのに、それだけで十分だった。
侵入者は、同プラットフォームの主力機能である「DNA Relatives」を通じて、これらのアカウントからさらに攻撃範囲を広げた。この機能は、DNAの類似性に基づいてユーザーが誰と血縁関係にあるかを特定できるものであった。訴訟では、この機能に重大なコーディング上の欠陥があったため、犯行グループが血縁関係でつながった他の数百万人のユーザーからデータを不正に取得することが可能になったと主張されている。
「被害者非難」の主張が証拠となった
情報漏洩が公表された後、23andMeは被害者の代理人に対し、以前に侵害されたサイトからパスワードを流用したユーザー側に責任があるとする書簡を送付した。同社は、流出したデータはユーザー自身の意思で提供されたものであり、「金銭的損害」をもたらすことはないとの見解を示した。
しかし、遺伝子データの盗難による被害は、金銭的な損失にとどまらない。盗まれた遺伝子情報により、犯人は個人の遺伝的ルーツを特定することが可能になった。
報道によると、このデータはダークウェブ上で、こうした情報を売り文句として販売されていたとのことで、売り手は例えばアジア系アメリカ人・太平洋諸島系(AAPI)やユダヤ系の顧客に関する記録を提供することができた。ボンタ検事局は、当時、反ユダヤ主義による暴力事件が増加傾向にあったことを指摘した。
この書簡ではユーザーに責任を転嫁しようとしているものの、パスワードの流用によって直接侵害されたアカウントはわずか約1万4000件にとどまった。残りのデータは、23andMe社の自社製品を通じて流出したとされる。訴状によると、「DNA Relatives」のコーディングミスにより、侵害された1万4000件のアカウントに関連するユーザーだけでなく、同サービスに登録していたすべてのユーザーのデータが流出していた。
州は損害賠償を請求できるか?
カリフォルニア州は、違反1件につき1,000ドルから7,500ドルの法定罰金を科す方針だ。影響を受けたユーザーのうち85万5,541人がカリフォルニア州民であるため、罰金総額は急速に膨れ上がる可能性がある。
問題は、州が訴訟に勝訴した場合、そのうちのどれだけの額を回収できるかという点だ。23andMeは2025年3月に連邦破産法第11章に基づく破産手続きを申請し、その後、1500万人以上の顧客のゲノムデータを含む資産の大部分を、23andMeの元CEOであるアン・ウォジッキ氏が設立した非営利団体「TTAMリサーチ・インスティテュート」に売却した。 カリフォルニア州およびその他の数州は、「遺伝Privacy 」を根拠にこの売却に反対したが、連邦破産裁判官はこれを承認した。各州は現在、この決定に対して控訴している。
23andMeの名残であるペーパーカンパニー、Chrome Co.は、その売却により3億500万ドルを受け取った。しかし、残された資産を漁ろうとする動きはすでに始まっている。
他の規制当局もすでに措置を講じている。英国情報コミッショナー事務所は、カナダのPrivacy との合同調査を経て、昨年6月に23andMeに対し231万ポンドの罰金を科した。連邦裁判所は当初、米国の顧客の請求の大部分を対象とする3,000万ドルの集団訴訟和解案を承認した。その後、この和解金は5,000万ドルに増額され、2026年1月に最終承認を受けた。
お客様ができること
23andMeで検査を受けた場合でも、情報漏洩時の標準的な対応策は依然として有効です。他のサイトで再利用していたパスワードはすべて変更し、多要素認証が利用可能な場合は必ず有効にしてください。クレデンシャルスタッフィング攻撃は、すでに他の場所で流出したユーザー名やパスワードに対してのみ有効です。また、23andMeや今回の情報漏洩自体を名指しにしたフィッシング攻撃にも注意してください。さらに、DNA検査サービスを利用するメリットとセキュリティ上のリスクを慎重に比較検討することをお勧めします。
なぜなら、この問題には、いかなる罰金や和解金でも解決できない側面があるからだ。ダークウェブで売買された盗まれた遺伝子データは、取り戻すことができない。パスワードは変更できるが、DNAはそうはいかない。
誰にも見られていないかのように、自由に閲覧してください。
Malwarebytes Privacy VPN 接続をVPN 、ユーザーの行動を一切記録しません。だから、次に読む記事が自分事のように感じられることはありません。無料でお試しください →
