事象

東京動物園・水族園のホームページが外部からのウェブサイトにより改ざんを受けるとともに、メールマガジン登録者等のメールアドレス、問合せをした人の個人情報が流出した。

• 都立動物園・水族園ホームページの不正アクセス(続報)｜東京都

影響範囲

• 東京動物園・水族園のホームページ「東京ズーネット」の改ざん
• 情報流出
  • メールマガジン「ズー・エクスプレス」登録者等のアドレス（21,688件）
  • 「東京動物園友の会」への加入について問合せした人（868件）の個人情報（氏名、郵便番号、住所、電話番号、メールアドレス、協会への連絡事項）

原因

調査中

対応経緯

• 平成28年7月7日午前6時35分頃 職員が都立動物園・水族園公式ホームページ「東京ズーネット」の記事が改ざんされたことを確認
  • サイト内の「ニュース」が改ざんされ、英語で「動物を自由にしろ」などのメッセージが書かれていた。6日夜に確認した際は、異常はなかった。*1
• 同日午前6時45分頃 改ざんされたページを削除
• 同日午前9時20分頃 「東京ズーネット」を閉鎖
• 同日午前11時10分頃 不正アクセスによりメールマガジン「ズー・エクスプレス」登録者等のアドレス（21,688件）の流出を確認
• 7日午後11時頃 不正アクセスにより「東京動物園友の会」への加入について問合せした人（868件）の個人情報（氏名、郵便番号、住所、電話番号、メールアドレス、協会への連絡事項）が流出したことを確認
• 7月8日 東京都建設局のウェブサイトにアナウンスを掲載
  • 都立動物園・水族園のホームページに不正アクセス発生｜東京都 （アナウンスは7月7日付。サイト掲載日は7月8日）
  • 都立動物園・水族園ホームページの不正アクセス(続報)｜東京都

考察

本事象で特筆すべきは、指定管理者が運営するウェブサイトであったということです。

都立動物園・水族園は指定管理者により管理されており、今回改ざん・情報流出したウェブサイトも指定管理者か運営しているものでした。 このような場合に、自治体としてどのように対応すべきかは検討しておく必要があります。

東京都サイバーセキュリティ基本方針においては、以下の規定があります。

７ 外部委託事業者等への対策

東京都の業務を受託する事業者及び派遣職員並びに公の施設の管理を行う指定管理者に当該業務等を行わせる場合においては、セキュリティ対策上遵守させるべき事項を契約又は協定等において明記するとともに、本基本方針及び対策基準と同様の水準での情報セキュリティを確保できるよう、東京都が必要な措置をとるものとする。

今回の場合は、協定において東京都と同等の水準での情報セキュリティを確保するように定められていたか、都がどのように確認していたかが問題です。 もし、これらが不十分であった場合は改善する必要がありますね。