2015-05-28
日本動物園水族館協会の情報流出とOpSeaWorldについてまとめてみた
インシデントまとめ | |
2015年5月27日、メディアが日本動物園水族館協会(以下JAZAと表記)の会員データが流出していると報じました。ここでは関連情報をまとめます。
公式発表
2015年5月27日現在、一般(関係者外)向けの発表は行われていない。(会員向けには注意喚起が行われていると報道有り)
タイムライン
| 日時 | 出来事 |
|---|---|
| 2014年12月6日 | OpSeaWorldのプレスリリースがpastebinに掲載。 |
| 2015年2月27日 | pastebinにJAZAから不正取得したと思われる情報が掲載。 |
| 2015年3月 | 警察からJAZAへ情報流出について連絡が行われる。 |
| 2015年3月2日 | JAZAから加盟組織へ情報流出について連絡が行われる。 |
| 2015年5月27日 | マスメディアがJAZAの情報流出について報道。*1 |
尚、追い込み漁関連のWAZAとJAZAの動きは次の通り。
| 日時 | 出来事 |
|---|---|
| 2014年3月28日 | WAZA/NGOのスイス会合において日本で追い込み漁中止に向けた協議を議題とする合同会議開催が決定*2 |
| 2014年8月10日 | WAZA、JAZA、NGO5団体の合同会議が開催*3 |
| 2014年8月28日 | JAZAとNGOの会合開催*4 |
| 2015年1月25日 | WAZAが追い込み漁へコメントを発表。*5 |
| 2015年4月22日 | WAZAがJAZAに対して会員資格停止を通告*6 |
| 2015年5月20日 | JAZAが理事会を開催し、WAZAに残留希望を伝えることを決定。*7 |
| 2015年5月21日 | WAZAがJAZAの決定を歓迎する意向を表明*8 |
被害詳細
- 日本動物園水族館協会から不正に取得したと思われる情報がpastebinに掲載されていた。
- 取材に対して二次被害は確認されていないとJAZAはコメントをしている。*9
pastebin 掲載情報
pastebinに掲載されていた情報は次の通り。加盟する水族館、動物園の飼育員に関する情報と報道。尚、電子メールアドレスは会員IDではない。
重複しているデータも見受けられるが、単純にカウントした件数は次の通り。
| 電子メールアドレス | 1,515件(ドメインは253件) |
|---|---|
| パスワード | 2,342件 |
| 電話番号 | 1,202件(重複を削除すると217件) |
被害を受けたWebサイト
- 報道情報を見る限り、「JAZA会員専用ページ」等が稼働するjdb.jaza.jpが不正アクセスを受けたと推定される。
- このWebサーバーには会議情報・報告資料や飼育生物の入手・繁殖に関する記録が保管されている。
- 当該Webサイトを開発・運用していた企業は「システムサイエンス」。事前・事後でセキュリティ対策を施していたと取材に対して回答。*10
原因・発端
- 2015年3月に警察から「情報が公開されている」とJAZAが連絡を受けたことにより発覚。*11
- 流出原因についてはSQLインジェクションによる可能性が報じられているが、JAZAからは明らかにされていない。
対策
OpSeaWorld の簡易調査
pastebinに掲載されていた声明文
JAZAから取得したと思われる情報とともに次の文面が掲載されていた。各メディアが「抗議する内容につながる情報」と報じているのはハッシュタグ「#OpSeaWorld」のことを指している?
We are Anonymous.
We are Legion.
We do not forgive.
We do not forget.
Expect us.
#OpSeaWorld
OpSeaWorldは当初アメリカの水族館「SeaWorld」をターゲットにしていた可能性
2014年12月6日にプレスリリースが公開されている。また連絡先情報もSeaworldのCEO等 同社6名の情報が掲載されていた。この活動が発展・派生(あるいは炎上)し、巡り巡ってJAZAが狙われた可能性がある。
今年3月にも似たような声明が掲載されているが、ここもSeaworldに対してであり、JAZAについては特に触れられていない。
OpSeaWorldのターゲットリスト
pastebin上にもこの活動の攻撃対象と思われるリストが掲載されているが、その理由に「seaworld」との関連性が説明つけられている。またこれらサイトの情報を探る行為も見受けられる。(Seaworldに対しても行われている。)
尚、このリストにJAZAは含まれておらず、国内では鴨川シーワールドが掲載されている。(そしてWAZAも入っている)
鴨川シーワールドはプレス公開後すぐに目をつけられていた
#Seaworld, developed a business relationship of drive fisheries with Kamogawa Seaworld in #Japan, main point of supply.
#OpSeaWorld #Profit
— #OpSeaWorld (@OpSeaWorld_) 2014, 12月 7対象リストと掲載されていた理由は次の通り。
| 対象 | 理由 |
|---|---|
| www.dolfinarium.nl | Guilty of giving Morgan to Seaworld and helping them import Icelandic Orcas |
| www.oceanpark.com.hk | guilty of dolphin dealing and sperm share with seaworld |
| www.marineland.fr | guilty of sperm share with seaworld |
| mundomarino.com.ar | guilty of sperm share with seaworld |
| www.kamogawa-seaworld.jp | quilty of dolphin deals and sperm share with seaworld |
| www.imata.org | ex sw trainer, now dolphin broker is on the board, sw heavily involved |
| www.waza.org | guilty of ignoring seaworldcruelty |
| www.oceanembassy.com | ex seaworldtrainer, now dolphin broker dealing in wild caught dolphins |
更新履歴
- 2015年5月28日 PM 新規作成
*1:サイバー攻撃で飼育員の情報ネット流出,NHK,2015年5月28日アクセス:魚拓
*2:世界動物園水族館協会(WAZA)との会合,エルザ自然保護の会ブログ,2015年5月28日アクセス
*3:世界動物園水族館協会(WAZA)、日本動物園水族館協会(JAZA)及び、日本のNGO5団体による合同会議,エルザ自然保護の会ブログ,2015年5月28日アクセス
*4:日本動物園水族館協会(JAZA)とNGOの会合,エルザ自然保護の会ブログ,2015年5月28日アクセス
*5:世界動物園水族館協会(WAZA)がイルカ猟へコメント,PEACE活動Blog,2015年5月28日アクセス
*6:日本のイルカ猟問題が、ついに動物園・水族館全体へ波及 WAZA(世界動物園水族館協会)がJAZA(日本動物園水族館協会)の会員資格停止を決定!,エルザ自然保護の会ブログ,2015年5月28日アクセス
*7:日本協会、WAZA残留希望へ 太地からイルカ購入せず,朝日新聞,2015年5月28日アクセス:魚拓
*8:イルカの入手方法変更、WAZAが「歓迎する」,読売新聞,2015年5月28日アクセス:魚拓
*9:日本動物園水族館協会にサイバー攻撃 飼育員情報が流出,朝日新聞,2015年5月28日:魚拓
*10:日本動物園水族館協会からの情報漏洩、AnonymousによるSQLインジェクション攻撃か,ITpro,2015年5月28日アクセス:魚拓
*11:JAZAのHPにサイバー攻撃、個人情報流出,読売新聞,2015年5月28日アクセス:魚拓
*12:サイバー攻撃「アノニマス」か 日本動物園水族館協会,産経新聞,2015年5月28日アクセス:魚拓