横浜市「イーオのごみ分別案内」に不正アクセスによる改ざん被害、調査結果を公表

神奈川県横浜市は2月17日、「イーオのごみ分別案内」掲載ページから同市とは関係ないWebサイトに誘導される事象を確認し2月9日に休止を公表した件について、原因の調査・改修が終了したため2月17日午前12時から復旧すると発表した。ScanNetSecurity編集部は、横浜市とNTTドコモに取材を行った。

「イーオのごみ分別案内」は横浜市が株式会社NTTドコモと契約し提供する、AIを活用したチャットボットで、AIによって会話形式でごみの出し方を案内するサービス。運用費は1ヶ月100万円で、運用から10か月で203万件の利用があり、そのうちコールセンター営業時間外の利用数が5割を占め、コールセンターと比較し数百分の1のランニングコストとなっているという。

同市によると2月7日に、「イーオのごみ分別案内」掲載ページにアクセスすると同市とは関係ないWebサイトに自動的に誘導される事象について市民からメールで連絡があり、翌2月8日に同事象を確認、午後2時時点で掲載を休止するとともにNTTドコモと原因について調査を行っていた。

同市の調査結果によると、NTTドコモが管理する「イーオのごみ分別案内」サーバにおいてアクセス権の設定誤りがあったことが原因で第三者によるファイルの改ざんが発生、同市ではアクセス権を適切に設定するとともに複数のサーバを一元化することで安全性の向上を図った。