ワシントン大学の研究者らが、人気の系図ウェブサイトでDNAデータのセキュリティ上の欠陥を発見
カート・シュロッサー著
極めて個人的な個人情報窃盗とも言えるこの事件について、ワシントン大学の研究者らは、人気の系図ウェブサイトがセキュリティリスクに脆弱であり、人々が共有する遺伝子構成に関する情報が危険にさらされる可能性があると判定した。
火曜日に発表された調査結果で、ワシントン大学の科学者たちは、ユーザーが自身のDNA配列を、検査結果をアップロードした他のユーザーのDNA配列と比較できるサードパーティサイトであるGEDmatchを調査しました。ワシントン大学の調査によると、悪意のあるユーザーは、わずかな比較結果を利用するだけで、個人の重要な遺伝子マーカーを抽出したり、偽の遺伝子プロファイルを作成して他のユーザーの親族になりすましたりすることが可能です。
「遺伝子データは個人的なものだと思われがちですが、実際そうです。文字通り、個人の身体的アイデンティティの一部なのです」と、ポール・G・アレン・コンピュータサイエンス&エンジニアリング学部の博士研究員で、本研究の筆頭著者であるピーター・ネイ氏は述べています。「だからこそ、遺伝子データのプライバシーは特に重要になります。クレジットカード番号は変えられますが、DNAは変えられないのですから。」
GEDmatchは、23andMe、Ancestry.com、MyHeritageといった人気サービスの一つであり、人々が自分の民族的背景や遺伝子構成をより簡単に知ることができるようになっています。GEDmatchは全米の法執行機関からも注目を集めており、今年初めにシアトルで発生した事件をはじめ、数十年前の未解決事件の解決に貢献したとされています。BuzzFeed Newsは先週末、DNAプロファイルの公開データベースに「オプトイン」方式が導入されたことで、こうした取り組みが停滞していると報じました。
UWの研究者たちは、GEDmatchのセキュリティ上の欠陥を探るため、アカウントを作成し、複数の匿名プロファイルデータベースから遺伝子データを組み合わせ、実験的な遺伝子プロファイルをアップロードしました。研究チームは、攻撃者が標的のプロファイルを通じて、疾患にかかりやすい変異の有無を判断できるかどうかを判定するための具体的なテスト(UW Newsが全文を解説)を設計しました。また、攻撃者が標的のプロファイル全体を取得できるかどうかについても調査しました。
「遺伝情報は病状や、場合によっては他の非常に個人的な特性とも相関関係にあります」と、アレン・スクールの教授で共著者のルイス・セゼ氏は述べています。「情報が過剰に共有される時代であっても、法的、医学的、そして精神衛生上の理由から、遺伝情報は共有したくない情報である可能性が高いでしょう。しかし、遺伝情報がデジタル化されるにつれて、リスクは増大します。」
UWチームは調査結果をGEDmatchと共有し、GEDmatchは現在問題解決に取り組んでいると報じられています。ネイ氏は、遺伝子データのプライバシーを懸念するユーザーは、サイトからデータを削除するという選択肢もあると述べました。
「データを共有するかどうかは個人の判断であり、ユーザーはデータを共有する際には常に何らかのリスクが生じる可能性があることを認識すべきです」とネイ氏は述べた。「セキュリティはあらゆる業界のインターネット企業にとって難しい問題です。」
UW の研究はネットワークおよび分散システム セキュリティ シンポジウムで採択され、2 月にサンディエゴで発表される予定です。
