2026年6月、大分大学をはじめ、複数の大学や公的機関のウェブサイトで、「バーチャルキャンパスツアー」(学内をパノラマ画像などで仮想的に散策できるコンテンツ)などのページが第三者により不正利用される事案が相次いで確認されている。
これらのページは公式サイトでありながら、外部の詐欺サイトへ自動転送される状態となっていた。
大分大学は6月19日、同学ウェブサイト上の「バーチャルキャンパスツアー」が悪用され、無関係な内容が表示される状態になったと発表。
同大学によると、原因は同ページで使用していたソフトウェアの脆弱性で、該当ページは閉鎖済み。
個人情報の流出などは確認されていないという。
同様の事案は和歌山大学でも発生した。
和歌山大学は6月17日、「バーチャルツアー」ページが6月12日頃に踏み台(不正利用の足掛かり)として悪用され、外部サイトへの不正転送が発生したと公表。
原因は使用ツールの脆弱性で、ページは閉鎖されている。
パノラマ画像による学内散策コンテンツであり、個人情報や機密情報の流出はないとしている。
和歌山大学はウェブサイトの総点検を実施し、再発防止に取り組む方針を示している。
先立つ6月12日頃には、海上保安庁の「坪田港防波堤灯台」のバーチャル見学ページでも同様の改ざんが確認されており、サッカーW杯の無料視聴をうたう外部ページへの自動転送が発生している。
ページは公開停止となっており、内部情報の流出調査が進められている。
その他事例として、慶應義塾大学のアート・センター「ノグチ・ルーム」ページや、成城大学のバーチャル見学ページなども影響を受け、W杯関連の詐欺ページ(メールアドレスやパスワード入力、オンライン決済を促す内容)への誘導が確認されている状況にある。
大分大学を含むこれらの被害は、仮想現実(VR)用ソフトウェアの古いバージョンの脆弱性を悪用したものとみられており、ソフトウェアについては昨年11月に最新版が公開され、脆弱性の指摘があったという。
一部報道によると、被害を受けたサイトは共通して同一のVRソフトウェア旧版を使用しており、検索結果の汚染(SEOポイズニング)により公式検索で不正ページが表示されやすくなる手口が共通していたことが挙げられている。
複数の学校や自治体・企業ページに同様の脆弱性が残存している可能性が指摘されており、被害拡大の懸念がある。
6月23日時点でいずれの事案においても、個人情報や機密情報の流出は確認されていないものの、各機関は該当ページの閉鎖や調査、ウェブサイト全体の点検を進められている。
ウェブサイト運用者は、VR・バーチャルツアーツールを含む外部ソフトウェアを最新版に更新し、定期的な脆弱性診断を実施することが推奨される。
また、利用者側も公式ドメインを確認し、不審な自動転送や入力要求があった場合は即座にブラウザを閉じるなどの対応が有効。
状況は今後も変化する可能性があるため、各機関の公式発表を随時確認していただきたい。
【参考】
https://www.wakayama-u.ac.jp/news/2026061700015/
https://www.oita-u.ac.jp/01oshirase/20260619html
https://www.sankei.com/article/20260612-FMXGZPRVLZKV7AKLSALKQ3GXUU/