狙われるDNAデータベース
警察も使う家系図サービスに
セキュリティ上の重大欠陥

米国の警察は、犯罪者を捕まえるために、ある民間のDNAデータベースを利用している。セキュリティ研究者によれば、遺伝子系図作成に使われるこのデータベースは、米国人の100万件のDNAデータが他国によって盗み出される恐れを伴う、セキュリティ上の危険因子になっているという。

「ジェドマッチ（GEDmatch）」と呼ばれるサービスのセキュリティ上の欠陥は、人々の健康に関わる遺伝情報を流出させる可能性がある。それだけではない。米国と対立する中国やロシアといった国家に対し、DNAサンプル1つで米国のほぼ誰についても個人を特定できるような、強力な生体情報データベースの作成を許してしまう危険性もある。

DNAプロファイルをクラウド・ソーシングによって収集するジェドマッチは、系図学に熱い関心を持つ人々によって立ち上げられ、親戚探しのためのツールとして、すべてボランティアの手によって運営されている。そのあり方は、オンラインでのDNAデータ共有の流れが、万人に対するプライバシー上のリスクをもたらす可能性を示している。しかもその影響は、自分自身の情報を共有する選択をしなかった人に対しても及ぶのだ。

「クレジットカードの番号は別のものに変えることができますが、自分のゲノムを交換することはできません」。そう話すのは、ワシントン大学の博士研究員であるピーター・ネイ博士だ。

コンピューター科学が専門のネイ博士は、ワシントン大学のDNAセキュリティ研究者であるルイ・セーズ博士、河野忠義教授と共同で報告書を作成し、10月29日にオンラインで公開した。この報告書には、研究チームがジェドマッチにアップロードしたDNAデータを使った攻撃法を新しく開発し、テストした過程が記されている。

研究チームは特別に設計したDNAプロファイルを使うことで、他のユーザーのDNAデータの90％以上の推測が可能な検索ができたという。

ジェドマッチの創設者であるカーティス・ロジャーズは、今年の夏、報告書を作成した研究者からこの脅威について警告を受けたことを認めた。

「私たちはもちろん、プライバシーについて気を配っていますし、こういった研究は良いことです」とロジャーズは話す。「ただ、どれだけのことをしても、系図作りをしようとする時には、常に何らかのプライバシー侵害の可能性が伴うでしょう。系図作りというのは、自分の情報を他の人の情報と比べる手続きなのですから」。

ゲノミクス研究者のラジブ・カーンは、ネイ博士たちの新しいセキュリティ研究について、熱心な人々にはすでに知られていた脆弱性を広範囲に知らしめるものだと評した。カーンは、消費者向けDNA解析サービス「インシトーム（Insitome）」で科学コンテンツ部門のトップを務めている。

通常の方法よりも多くのデータを集めるため「スクレイピング（scrape）」と呼ばれる手法がジェドマッチに対して使われていたことを、カーンは以前から認識していたという。カーンは、データの大部分をすばやく持ち去ることを狙った、より大規模な攻撃がすでに起きているのではないかと考えている。「私の推測では、すでに大きな攻撃があったことは、ほぼ確かだと思います」とカーンは話す。「各国政府は人々のデータを集めています。データをどのように使うのか、知る由もありません」。

データベースが、一斉攻撃、スクレイピング、スキャンなどにすでに直面した痕跡があるのか尋ねられると、ロジャーズは「それには触れたくありません」と話した。

「私がそうした痕跡を認識している、ということではありませんよ」と付け加えた。「私には分からないのです」。

ジェドマッチのWebサイトに対して国家安全保障当局から接触があったかどうかも尋ねたが、ロジャースはコメントを …