「東京ズーネット」が改ざん被害。迅速な対応をするも約2万1700件のメールアドレス流出は阻止できず
※10/31追加発表あり

約15分で改ざんされたページを削除
改ざん発覚後は迅速な対応で対処

朝日新聞によると、東京動物園協会のホームページが改ざんされ、メールマガジンの宛先として登録されていた約2万1700件のメールアドレスが流出したという。海外からの不正アクセスとみられている。
事件が発覚したのは、7日午前6時35分頃。都立動物園・水族園公式ホームページ「東京ズーネット」の記事約20本が書き換えられ、一部は英語で「動物たちは解放され自由に生きるべきだ」などと記されているのを職員が発見した。これを受け、東京動物園協会では、約15分後に改ざんされたページを削除、さらに約3時間後にはホームページを閉鎖。ホームページ改ざんに関しては迅速な対応で対処したが、不正アクセスによりメールマガジン登録者等のメールアドレス21,688件が流出した。

＜経緯＞

最新の脅威に対応できなかったシステムが原因!?
不正アクセスを防げず

東京動物園協会の古橋総務課長によると、
「ホームページのセキュリティ対策は外部のWeb管理会社に委託しており、脆弱性診断や不正アクセスを防ぐためのシステムも導入していたが、今回の改ざんは、そのシステムでは感知できなかった。一方、協会内には3人のホームページ担当者を置き、定期的にチェックを行っていた。改ざんを発見したのは、その担当者のひとり。事件後、調査したところによると、今導入しているシステムよりもホームページの脆弱性を早期に感知できるサービスがあることがわかったので、現在導入を検討している。情報セキュリティについては、それなりの対策を施していたが、日進月歩で進化しているインターネットの脅威を防ぎ切ることができなかった。今後は最新の脅威に合わせた対応が必要だと考えている」とのこと。

セキュリティの強化は
アナログとITの両輪で行うことが肝心

ホームページ改ざんの二次被害としては、閲覧者をウイルスに感染させる“水飲み場型攻撃”が考えられる。今回の事件でも改ざんされたページにウイルスが仕込まれていた可能性は考えられるが、「発見」→「改ざんページ削除」→「ホームページ閉鎖」の対応が迅速だったため、幸い被害は報告されていない。これは、協会内の管理体制がしっかりとしていたお陰といえるだろう。
一方、約1万1700件のメールアドレスが流出したことにより、システムの脆弱性を突かれた攻撃を受けると情報窃取を防ぐのは困難であるという事実が明らかになった。今回の場合、導入していたシステムが最新の脅威に対応できなかったという、IT面での対策の遅れが事故につながったと推測される。

セキュリティ強化は、組織内の体制づくりといったアナログ面の対策と定期的に利用しているサービスやシステムを見直すといったIT面の対策の両輪で行うことが肝心だ。
ホームページ改ざん・不正アクセス被害に遭わないためには、組織内の全端末OS、ソフトを常に最新の状態に保持することが最重要だが、加えて、定期的に（毎日）、ホームページの脆弱性診断や改ざんチェックを行うことのできるサービスを利用しつつ、目視での監視も行うべきである。

ズ―ネットでは、
厳重なセキュリティ基準を満たすための運用方法決定後
サービスを再開する予定

10月31日に発表された「都立動物園・水族園の公式ウェブサイト 「東京ズーネット」復旧のお知らせとお詫び」によると、不正アクセスに利用されたプログラムの脆弱性について修正をおこなうとともに、現時点で想定される多様な脆弱性についてウェブサイト全体の安全性を総点検し、対策として、ネットワークやアプリケーションなど各レベルにおけるプログラム改修やシステム変更、サーバ監視体制の強化等を既に実施したとのこと。
現在中止している下記のサービスに関しては、今後、個人情報の取扱方針とシステム上の構成を徹底的に見直し、厳重なセキュリティ基準を満たすための運用方法決定後、再開するそうだ。
・メールマガジン「ズー・エクスプレス」の登録・解除・配信
・「東京動物園友の会」郵便振替用紙請求フォーム*と入会継続のオンライン手続
・「ご意見・ご要望」フォーム*
・「東京メダカMAP」の情報提供フォーム*
・TokyoZooShopの通販
（*で示したサービスはEメールでのみ受付中）
>>詳しくはこちら