MENU

2018/6/4 イスラエルのDNA検査サイト MyHeritageで、9228万件の個人情報流出が発覚

 

GDPR施行後初の、大規模な情報流出事件がありました。
なんと、9228万件の個人情報が流出したそうです。
制裁金は適用されるのでしょうか?

 

事件を起こしたのは、MyHeritage社。(HPはこちらです。 https://www.myheritage.jp/)
イスラエルを拠点にDNA検査サイトを運営している会社です。
DNA検査の他、ファミリーツリー(家系図)を作成してくれるサービスも行っているそうで、おもしろそうですね。

 

DNA情報というと、機微な情報、要配慮個人情報が含まれているのでは?と心配になりますね。。。
でも、MyHeritage社の発表によると、メールアドレスと暗号化されたパスワードとのことです。

 

事件の詳細は、MyHeritage社のブログに説明されています。

MyHeritage Statement About a Cybersecurity Incident(2018年6月4日)
https://blog.myheritage.com/2018/06/myheritage-statement-about-a-cybersecurity-incident/

 

Cybersecurity Incident: June 5-6 Update (2018年6月6日)
https://blog.myheritage.com/2018/06/cybersecurity-incident-june-5-6-update/

 

New: MyHeritage Adds Two-Factor Authentication (2FA) to Secure Your Account(2018年6月6日)
https://blog.myheritage.com/2018/06/new-myheritage-adds-two-factor-authentication-2fa-to-secure-your-account/

 

Cybersecurity Incident: June 10 Update (2018年6月10日)
https://blog.myheritage.com/2018/06/cybersecurity-incident-june-10-update/

 

GDPRの罰則の適用はされるか?

 

GDPRが2018年5月25日に施行していますが、あの高額な制裁金が初めて適用される可能性があるのでは?、と言われています。
2,000万ユーロか、全世界年間売上高の最大4%までというとても高額な罰金でしたね。

 

監督機関への報告は?

GDPRでは、「個人データの侵害(情報漏えい)が発生した場合、企業はその旨を監督機関に対し72時間以内に通知しなければならない」と定められています。

 

これについては、既に、MyHeritage社は、欧州の規制当局を含む関連当局に連絡しているとのことです。
6月4日にセキュリティ研究者が情報流出に気づいたことを報告し、その当日には、ブログでも公表していますので、とても迅速な対応ですね。
72時間どころか、当日中の報告ができるのは素晴らしいですね。GDPRを意識した対応なのでしょうか。

 

流出したデータは、メールアドレスと暗号化されたパスワードとのことで、パスワードに関しては、ちゃんと暗号化という安全管理措置も行っていますし、その後も適切な対処を行っているように見えますので、罰則の適用はないのでは、と思います。
これでもし制裁金が要求されたら、ちょっと厳しすぎですよね。

 

事件の経緯は?

以下、MyHeritage社のブログ発表記事の和訳です。

 

★2018年6月4日
MyHeritageのチーフインフォメーションセキュリティオフィサーは、2018年6月4日午後1時5分ごろ、セキュリティ研究者から、MyHeritage以外のプライベートサーバに電子メールアドレスとハッシュパスワードを含むmyheritageというファイルが見つかったというメッセージを受け取りました。当社の情報セキュリティチームは、セキュリティ研究者からファイルを受け取り、レビューし、その内容がMyHeritageに由来し、2017年10月26日までMyHeritageにサインアップしたユーザーの電子メールアドレスとそのハッシュパスワードをすべて含むことを確認しました。

 

MyHeritageの情報セキュリティチームは、ファイルを受信した直後にそのファイルを分析し、その内容がどのように取得されたかを判断し、MyHeritageシステムの潜在的な利用方法を特定する調査を開始しました。ファイルが合法であると判断し、侵害の日付である2017年10月26日までMyHeritageにサインアップしたユーザー92,283,889人の電子メールアドレスとハッシュパスワードを含みます。 MyHeritageはユーザーパスワードを格納するのではなく、顧客ごとにハッシュキーが異なる各パスワードの一方向ハッシュを格納します。これは、ハッシュされたパスワードにアクセスするすべての人が実際のパスワードを持っていないことを意味します。

 

セキュリティ研究者は、MyHeritageに関連する他のデータがプライベートサーバー上に見つかりませんでした。ファイル内のデータが加害者によって使用されたという証拠はありませんでした。 2017年10月26日(違反日)から現在まで、MyHeritageのアカウントが侵害されたことを示す活動はありませんでした。

 

私たちは、この侵入はユーザーの電子メールアドレスに限定されていると考えています。他のMyHeritageシステムが侵害されたとは考えられません。たとえば、クレジットカード情報はMyHeritageには保存されませんが、MyHeritageが利用する信頼できる第三者請求提供者(BlueSnap、PayPalなど)のみに保存されます。ファミリーツリーやDNAデータなどの他の種類の機密データは、MyHeritageによって電子メールアドレスを格納するものとは別の分離されたシステムに格納され、追加されたセキュリティレイヤーを含みます。これらのシステムが侵害されたと考える理由はありません

 

我々が取ったステップ

 

インシデントを習得した直後に、インシデント対応調査チームを立ち上げてインシデントを調査しました。また、独立した有力なサイバーセキュリティ企業と連携して包括的な法医学的レビューを実施して侵入の範囲を決定するための迅速な対策を講じています。そのような事態を未然に防止するための措置についての評価と勧告を行うことができます。

 

私たちは、GDPRのように関係当局に知らせるための措置を講じる。

 

私たちはすぐに、すべてのMyHeritageユーザーがすぐに利用できるようになる次期2要素認証機能についての作業を迅速化する予定です。これにより、パスワードを利用することに興味があるユーザは、パスワードに加えてモバイルデバイスを使用して自分自身を認証することができます。

 

★6月10日
これは、私たちが6月4日に最初に報告したMyHeritageに影響を与えたデータ侵害に関する更新であり、ここでさらに更新されています。この違反で、MyHeritageのユーザー9,230万人の電子メールアドレスとハッシュパスワード(これらは実際のパスワードではない)のファイルが、インターネット上の私設サーバー上のセキュリティ研究者によって発見され、MyHeritageのCISO(最高情報セキュリティ責任者)。 MyHeritageは直ちに違反を報告し、その状況に対処するための対策を講じ、上記のブログ投稿リンクに概略を示し、さらにこのアップデートで説明しました。

 

6月7日から、ユーザーに個別に電子メールを送信して、その事件について知らせ、MyHeritageでパスワードを変更するように依頼しました。また、複数のウェブサイトで同じパスワードを使用する人は、悪い習慣であることを忘れないでください。パスワードを変更する必要があります。これは一般的なセキュリティ上の予防措置です。使用するすべてのサービスに一意のパスワードを設定する方が安全です。

 

ユーザーへの電子メールでは、2要素認証を有効にすることをお勧めします。これは、6月6日にリリースしたMyHeritageのアカウントを保護するための重要なレイヤーです。有効にすると、誰かが自分のパスワードを知っていても権限のないアクセスからアカウントを保護できます。 2要素認証では、MyHeritageに番号を付けることで、携帯電話を指定してアカウントにリンクします。その後、新しいコンピュータ、タブレット、または電話からMyHeritageにログインするたびに、または最後のログインから1ヶ月が経過した場合、MyHeritageは6桁の確認コードをテキストメッセージ(SMS)として携帯電話に送信し、 MyHeritageにログインしてログインを正常に完了させる必要があります。詳細および有効にする方法については、アナウンスをご覧ください。何千人ものユーザーがすでにTwo-Factor認証を有効にしており、アカウントの保護を楽しんでいます。

 

インシデントについて非常に多くのユーザーに電子メールを送信しているので、これには時間がかかります。あなたがMyHeritageのユーザーで、メールをまだ受信していない場合は、辛抱強くお待ちください。すぐに受信します。

 

6月5日、私たちはMyHeritageですべてのパスワードの有効期限を切ったので、これで完了です。期限切れのパスワードでMyHeritageにログオンするユーザーは、新しいパスワードを設定する必要があります。新しいパスワードは、ユーザーの電子メールアドレスに送信された電子メールを含むプロセスで、以前のパスワードが破損した場合でも、新しいパスワードを設定してアカウントへのアクセスを回復することができます。

 

私たちは、MyHeritageのアカウントのセキュリティをさらに強化するための追加的な対策を講じています。これらの手順は、ユーザーに不便を与える可能性があります。たとえば、長期間Webサイトにログオンし、ログアウトしてログインし直していないユーザーは、新しいパスワードを設定し、より頻繁にログインする必要があることがわかります。余分なセキュリティは、不便の価値があります。

 

この事件についてご不明な点があるMyHeritageユーザーは、privacy@myheritage.comの電子メールまたはフリーダイヤル(米国)+1 888 672 2875の電話でセキュリティカスタマーサポートチームにご連絡ください。 24/7。私たちは明日24/7サポートチームに加わる40人の追加フルタイムサポートメンバーを募集し、この事件の顧客サポートニーズの増加に対応しています。私たちは、電話回線で待ち時間が長くなることが予想されます。あなたが電話して長い列であなたを見つけたら、私たちにボイスメールを残してください。できるだけ早くあなたに電話をします。これまでのサポートに連絡したユーザーの大部分は、違反からの回復努力に非常に同意しており、ほとんどが新しいパスワードの設定やTwo-Factor認証の追加のプロセスの支援を求めています。

 

概要
違反をおかけして申し訳ありません。悪いニュースです。しかし、実際のパスワードではない電子メールアドレスやハッシュされたパスワード、MyHeritageのユーザーアカウントやデータへの不正アクセスの証拠を超えて何かが漏洩しているという証拠はありませんでした。 DNAデータは、追加のセキュリティレイヤーによって保護され、ユーザーの資格情報を保管する同じシステム上には存在しません。ユーザーは独自のDNAデータをダウンロードすることができますが、その手順にはパスワード入力だけでなくユーザーのメールボックスによる承認も必要であるため、パスワードを知っている人でさえできません。私たちの内部統計は、過去1年間にDNAデータのダウンロードが増加していないことを示しました。以前のパスワードは期限切れとなり、アカウントにアクセスすることはできません。アカウントをさらに保護するために、Two-Factor認証が利用できるようになりました。他のメジャーなDNAや系譜のウェブサイトでは利用できません。

 

要約すると、これらの措置により、ユーザーのデータのプライバシーとセキュリティへのコミットメントがさらに実証されることを願っており、今回の事件によりMyHeritageがこれまで以上に安全になると確信しています。

 

ユーザーの信頼に感謝し、状況を把握し続けるつもりです。

 

MyHeritageチーム

関連ページ

2019/01/22 GoogleがGDPR違反で5000万ユーロの制裁金
2019/01/22 Google、フランス当局からGDPR違反で5000万ユーロの罰金が課されました。GDPRの見せしめ制裁がついにきました。 GDPR(EU一般データ保護規則)関連の最新情報を紹介します。
2019/01/22 十分性認定 欧州委員会との合意が発表!
十分性認定 欧州委員会との合意が発表されました 個人情報保護委員会のHPに、報道発表資料がUPされました。 GDPR(EU一般データ保護規則)関連の最新情報を紹介します。
2018/12/26 日本の十分性認定は、1月中になる見込み
年末の12/26に、個人情報保護委員会から現在の状況の報告がありました! 日本の十分性認定は、1月中になる見込みとのことです。 GDPR(EU一般データ保護規則)関連の最新情報を紹介します。
2018/7/19 Googleに過去最高5700億円の制裁金(競争法違反)
2018/7/19 Google(グーグル)に過去最高5700億円の制裁金が課されることになりました。競争法違反です。
2018/7/17 十分性認定の最終合意+EPAとSPAが発表!
2018/7/17 十分性認定の最終合意が発表されました。やっとですね。この日には、日EU経済連携協定(EPA)と、戦略的パートナーシップ協定(SPA)も締結されました。
2018/7/10 Facebookの情報流出事件の制裁金はいくらに?
2018/07/10 Facebook(フェイスブック、FB)の情報流出事件に制裁金が科される方針だそうです。一体いくらになるのでしょうか?
2018/6 FastBooking社 情報流出事件 プリンスホテルなどで被害
2018/6 FastBooking(ファストブッキング)社 情報流出事件 GDPR施行後初の情報漏洩事件で、プリンスホテル、ホテルニューオータニ、東京ドームホテル、リッチモンドホテルなどで個人情報の漏洩被害がありました。
2018/6/1 個人データ相互移転 日欧が合意※十分性認定を実質合意
2018/6/1 ついに、個人データ相互移転を日欧が合意しました。日本の十分性認定が実質合意されたことを指します。
2018/5/25 GoogleとFacebook、GDPR施行初日に提訴される
GDPR(EU一般データ保護規則)が、2018/5/25、いよいよ施行開始しました。そして、なんとGoogleとFacebookなど4社が、GDPR施行初日にオーストリアのプライバシー団体noybに、GDPR施行初日にいきなり提訴されました
2018/5/25 いよいよGDPRが施行開始しました!
GDPR(EU一般データ保護規則)が、2018/5/25、いよいよ施行開始しました。十分性認定は施行日までに間に合わなかった日本、データ移転のための対策はできていますか?
2018/5 GDPRが施行直前。プライバシーポリシーの更新が相次いでます。
GDPR(EU一般データ保護規則)の発効が、2018/5/25、と近づいてきています。各企業からのGDPR対応のためのプライバシーポリシーの更新のお知らせが増えました、
2018/4/25 ガイドライン(案)のパプリックコメントを募集開始
2018年04月25日 個人情報保護委員会の作成したガイドライン案がパブリックコメント意見募集を開始しました。 「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」
2018/3/28 「EU域内にいる個人の個人データを取り扱う企業の皆さまへ」個人情報保護委員会
3月28日個人情報保護委員会より、 「EU域内にいる個人の個人データを取り扱う企業の皆さまへ」というお知らせがされました。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
2018/3/29 データ保護影響評価(DPIA)の実施に関するガイドライン
2018年03月29日 JETROのホームページに、データ保護影響評価(DPIA)の実施に関するガイドラインが公開されました。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
2018/3/28 SCC(標準的契約条項)の和訳が公開されました。
3月28日SCC(標準的契約条項)の和訳がJETROに公開されました。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
2018/2 日本の十分性認定がほぼ確実の見通しになりました!
【速報】2018/2 日本の十分性認定がほぼ確実の見通しになりました! GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。