日本動物園水族館協会が同協会に加盟する動物園や水族館の会員情報を漏洩させたことが2015年5月27日、明らかになった。国際的な抗議集団である「Anonymous(アノニマス)」を名乗る何者かが、インターネット上に同協会の会員専用ページから盗んだとみられるメールアドレスとパスワード、電話番号の項目を含む2347件のデータを公開していた。公開日付は2015年2月27日だった。うち1600件強がメールアドレスか電話番号、もしくはその両方を含んでいた。
日本動物園水族館協会は2015年3月に情報漏洩の事実を認識したという。「事態が分かった後で対策を取り、現時点では問題は起こっていない」(同協会)。流出の原因や事前のセキュリティ対策、事後の対応などの詳細については「遠方で開催されている総会でほとんどの者が月末まで出払っているため回答できない」とした。
同協会のウェブサイトの開発と運用はシステムサイエンス(仙台市)が受託している。同社は流出に関して「事前にセキュリティ対策は施していた。事後も対策を施した」と話す。
ある動物園の職員はネット上のデータを確認し、「確かにメールアドレスと、会員専用ページのパスワード、電話番号が漏れている。だが会員ページのIDは漏れていない」と話す。この園には2015年3月2日、会員ページに登録したメールアドレスあてに協会からハッキングに関する連絡が届き、パスワード変更などの指示があったという。
会員ページは日本動物園水族館協会からのお知らせや会議の通知、どの園館にどんな動物や生物がいるか、会議の発表資料などを閲覧できるページ。金銭をやり取りできるような機能はなく、「情報漏洩は嫌がらせではないか」と前述の動物園職員は話す。
流出の原因は会員専用ページがサイバー攻撃を受けたこととみられる(写真)。アノニマスの動向に詳しいソフトバンク・テクノロジーの辻伸弘シニアセキュリティエバンジェリストは「SQLインジェクションの手口を使ったのではないか。インターネット上に公開されたデータも同手口で抜き出したデータをそのまま張り付けたように見える」と推測する。
ネット上にデータを公開したページには「We are Anonymous」という文言と、今回の活動が「OpSeaWorld」と呼ぶオペレーション(一連の活動)であるとの記載がある。OpSeaWorldはイルカやシャチなどの動物愛護を訴えている。ただ辻氏は「(今回の攻撃は)何かしらの抗議であるだろうが、こうした行為を面白半分で行うAnonymousもいる」と話す。また「Anonymousの名前を使っているだけで主義主張のない便乗抗議であったり、動物愛護を掲げる集団がAnonymousのブランドを使っていたりする可能性もある」とし、攻撃者を安易に断定することに注意を呼びかけている。
