東京都サイト消失、破壊型攻撃と委託先運用の教訓

インシデント対応

東京都が運営する「都民向け金融セミナー」の申込サイトが、外部からの攻撃でサイト本体・管理画面・申込者情報ごと消失しました。盗む攻撃ではなく「壊す」攻撃で、申込者20名分の情報(暗号化された氏名・メールアドレス)が一時失われましたが、委託先による復元で現在は確認できる状態に戻っています。情報流出の可能性は低いとされますが、情シスにとっては「委託運用しているサイトが丸ごと消える」リスクを突きつける事例です。

この記事でわかること

  • 何が起きたのか(破壊型の被害と発見の経緯)
  • 「流出しなかった」ことをどう評価すべきか
  • 委託先に任せたWebサイトで情シスが押さえるべき運用の勘所
  • 復旧・再発防止の実務チェックポイント

何が起きたのか

東京都産業労働局の発表および報道によると、経緯は次のとおりです。

項目 内容
対象 都が業務委託で運営する「都民向け金融セミナー」公式申込サイト
発見 2026年7月6日、受託業者が管理画面にアクセスしようとした際に消失を確認
被害 ウェブサイト本体・管理画面・申込者情報が消失(データの破壊)
影響情報 申込者20名の暗号化された氏名・メールアドレス
攻撃の痕跡 サーバに対する外部からの攻撃の痕跡が確認された
流出 破壊にとどまり、外部への流出の可能性は低いと説明
復旧 受託業者がログ解析後に復元。現在は申込者情報をすべて確認可能
暫定対応 外部からの管理画面アクセスを遮断。申込受付はサーバの安全確認後に再開予定

件数だけ見れば小さな事案です。しかし注目すべきは、情報を「抜かれた」のではなく、サイトと管理画面ごと「消された」という点です。

なぜ「破壊型」に注意が必要か

近年のインシデントは暗号化して身代金を要求するランサムウェアが目立ちますが、金銭を要求せず単にデータやシステムを破壊するタイプの攻撃(ワイパー型・改ざん破壊)も一定数存在します。今回のように公開Webの管理画面が突破されると、コンテンツ改ざんだけでなく「全消去」まで一気に進むことがあります。復旧できるかどうかは、平時のバックアップとログ保全がすべてを分けます。

「流出しなかった」をどう評価するか

今回は「流出の可能性は低い」「情報は暗号化されていた」と説明されています。これは前向きな材料ですが、情シスとしては次の点を冷静に押さえておきたいところです。

  • 「流出の可能性は低い」は現時点の評価。破壊型でログまで消されると、実際に持ち出されたかを完全に立証するのは難しい場合があります。断定は避け、続報を追う姿勢が現実的です。
  • 暗号化=安全ではない。保存データの暗号化は有効な備えですが、鍵管理や復号可能な経路が攻撃者の手に渡っていれば意味が薄れます。「暗号化してあったから安心」と社内説明で言い切らない方が無難です。
  • 破壊自体が立派なインシデント。流出がなくてもサービス停止・申込者への説明・信頼低下という実害は発生します。

委託先まかせにしない ― 情シスの勘所

今回の申込サイトは業務委託で運営されていました。多くの組織で、キャンペーンサイトやセミナー申込フォームは外部委託や部門主導で立ち上がり、情シスの管理台帳から漏れがちです。ここが最大の落とし穴です。

現場目線の課題

正直なところ、事業部門が広報やイベントのために立てた外部サイトまで、情シスが細部まで把握するのは容易ではありません。「いつの間にか公開されていた」「契約書は総務にあり構成は業者しか知らない」という状態は珍しくなく、いざ事故が起きてから初めて全体像を把握する、というのが実務の実感です。だからこそ、平時に最低限の共通ルールを敷いておく価値があります。

押さえておきたい確認ポイント

  • 資産の可視化:外部委託・部門運用を含め、公開しているWebサイト/フォームを棚卸しし、管理台帳に載せる。
  • 管理画面の露出制御:管理画面のインターネット直結を避け、IP制限・多要素認証・不要な公開の停止を委託先と取り決める。
  • バックアップと復旧試験:バックアップの取得だけでなく「本当に戻せるか」の復旧テストを契約に含める。今回の早期復旧はログとバックアップが機能した好例です。
  • ログの保全:攻撃の痕跡調査に不可欠。攻撃者に消されない場所(別サーバ・改ざん検知)へ退避する設計を求める。
  • インシデント時の連絡・役割分担:検知・一次対応・公表・利用者連絡の責任範囲を委託契約で明確にしておく。

情シスはどうすべきか(公的指針への誘導)

委託先管理やインシデント対応の型は、自前でゼロから作るより公的機関の指針を土台にするのが近道です。まずは次を参照してください。

あわせて、フォーム運用に関わる担当者・委託先への地道な啓発(不審なアクセスの兆候、管理画面の扱い)も、事故の芽を摘む意味で軽視できません。

まとめ

  • 破壊型の被害:東京都の金融セミナー申込サイトが外部攻撃で消失。流出可能性は低いが、破壊自体が実害を伴うインシデント。
  • 復旧を分けたのはバックアップとログ:早期復元の裏には平時の備えがある。「戻せる」状態を契約と運用で担保する。
  • 委託・部門運用の可視化が要:管理台帳から漏れた公開サイトこそ危険。棚卸し・管理画面の露出制御・役割分担を平時に固める。

関連情報

出典

タイトルとURLをコピーしました