「東京ズーネット」が改ざん被害。迅速な対応をするも約2万1700件のメールアドレス流出は阻止できず
※10/31追加発表あり

「東京ズーネット」が改ざん被害。迅速な対応をするも約2万1700件のメールアドレス流出は阻止できず ※10/31追加発表あり


アドレス約2万件が流出

東京動物園協会(東京都台東区)は7日、協会が管理・運営するホームページ(HP)が外部から不正に書き換えられ、メールマガジンの宛先として登録していた約2万1700件のメールアドレスが流出したと発表した。

(2016年7月8日 朝日新聞 朝刊)より抜粋


約15分で改ざんされたページを削除
改ざん発覚後は迅速な対応で対処

朝日新聞によると、東京動物園協会のホームページが改ざんされ、メールマガジンの宛先として登録されていた約2万1700件のメールアドレスが流出したという。海外からの不正アクセスとみられている。
事件が発覚したのは、7日午前6時35分頃。都立動物園・水族園公式ホームページ「東京ズーネット」の記事約20本が書き換えられ、一部は英語で「動物たちは解放され自由に生きるべきだ」などと記されているのを職員が発見した。これを受け、東京動物園協会では、約15分後に改ざんされたページを削除、さらに約3時間後にはホームページを閉鎖。ホームページ改ざんに関しては迅速な対応で対処したが、不正アクセスによりメールマガジン登録者等のメールアドレス21,688件が流出した。

<経緯>

7日
6時35分頃
職員が「東京ズーネット」の記事が改ざんされたことを確認
7日
6時45分頃
改ざんされたページを削除
7日
9時20分頃
「東京ズーネット」を閉鎖
7日
11時10分頃
不正アクセスによりメールマガジン「ズー・エクスプレス」登録者等の
アドレス(21,688件)の流出を確認

最新の脅威に対応できなかったシステムが原因!?
不正アクセスを防げず

東京動物園協会の古橋総務課長によると、
「ホームページのセキュリティ対策は外部のWeb管理会社に委託しており、脆弱性診断や不正アクセスを防ぐためのシステムも導入していたが、今回の改ざんは、そのシステムでは感知できなかった。一方、協会内には3人のホームページ担当者を置き、定期的にチェックを行っていた。改ざんを発見したのは、その担当者のひとり。事件後、調査したところによると、今導入しているシステムよりもホームページの脆弱性を早期に感知できるサービスがあることがわかったので、現在導入を検討している。情報セキュリティについては、それなりの対策を施していたが、日進月歩で進化しているインターネットの脅威を防ぎ切ることができなかった。今後は最新の脅威に合わせた対応が必要だと考えている」とのこと。

セキュリティの強化は
アナログとITの両輪で行うことが肝心

ホームページ改ざんの二次被害としては、閲覧者をウイルスに感染させる“水飲み場型攻撃”が考えられる。今回の事件でも改ざんされたページにウイルスが仕込まれていた可能性は考えられるが、「発見」→「改ざんページ削除」→「ホームページ閉鎖」の対応が迅速だったため、幸い被害は報告されていない。これは、協会内の管理体制がしっかりとしていたお陰といえるだろう。
一方、約1万1700件のメールアドレスが流出したことにより、システムの脆弱性を突かれた攻撃を受けると情報窃取を防ぐのは困難であるという事実が明らかになった。今回の場合、導入していたシステムが最新の脅威に対応できなかったという、IT面での対策の遅れが事故につながったと推測される。

「東京ズーネット」が 改ざん被害 迅速な対応をするも 約2万1700件の メールアドレス流出は 阻止できず

「東京ズーネット」が 改ざん被害 迅速な対応をするも 約2万1700件の メールアドレス流出は 阻止できず

セキュリティ強化は、組織内の体制づくりといったアナログ面の対策と定期的に利用しているサービスやシステムを見直すといったIT面の対策の両輪で行うことが肝心だ。
ホームページ改ざん・不正アクセス被害に遭わないためには、組織内の全端末OS、ソフトを常に最新の状態に保持することが最重要だが、加えて、定期的に(毎日)、ホームページの脆弱性診断や改ざんチェックを行うことのできるサービスを利用しつつ、目視での監視も行うべきである。

ズ―ネットでは、
厳重なセキュリティ基準を満たすための運用方法決定後
サービスを再開する予定

10月31日に発表された「都立動物園・水族園の公式ウェブサイト 「東京ズーネット」復旧のお知らせとお詫び」によると、不正アクセスに利用されたプログラムの脆弱性について修正をおこなうとともに、現時点で想定される多様な脆弱性についてウェブサイト全体の安全性を総点検し、対策として、ネットワークやアプリケーションなど各レベルにおけるプログラム改修やシステム変更、サーバ監視体制の強化等を既に実施したとのこと。
現在中止している下記のサービスに関しては、今後、個人情報の取扱方針とシステム上の構成を徹底的に見直し、厳重なセキュリティ基準を満たすための運用方法決定後、再開するそうだ。
・メールマガジン「ズー・エクスプレス」の登録・解除・配信
・「東京動物園友の会」郵便振替用紙請求フォーム*と入会継続のオンライン手続
・「ご意見・ご要望」フォーム*
・「東京メダカMAP」の情報提供フォーム*
・TokyoZooShopの通販
(*で示したサービスはEメールでのみ受付中)
>>詳しくはこちら

ホームページ改ざん・不正アクセス対策のポイント

POINT1
企業・組織内の全端末OS、ソフトを常に最新の状態に保持する
POINT2
サーバ内のソフトを常に最新の状態に保持する
POINT3
脆弱性診断や改ざんチェックを行うことのできるサービスを利用する
POINT4
システム任せにせず、定期的に目視によるチェックを行う