慶應義塾大学や成城大学など複数の大学サイトで、閲覧者が意図しない外部ページ(「W杯 無料視聴」などをうたうサイト)へ転送される事象が報告された。公的機関のサイトでも同様の不正転送が話題になった直後であり、「なぜ大学の公式サイトが広告・詐欺まがいのページへ飛ばされるのか」「何が脆弱だったのか」を不安視する声は大きい。結論から言えば、こうした事象の多くは“利用者の端末がウイルスに感染した”というより、Webサイト側の設定不備や改ざん、あるいは周辺システムの侵害によって発生する。
不正転送の典型パターン
「大学のトップページにアクセスしたら勝手に別サイトへ飛んだ」という現象は、技術的にはいくつかの経路で起きる。代表例は次の通りだ。
HTML・JavaScriptの差し込みによる転送
最も一般的なのは、ページ内に外部スクリプトやリダイレクト処理(JavaScript、meta refresh、iframeなど)が埋め込まれるケースである。トップページや共通ヘッダ/フッタなど、訪問者が必ず通るテンプレートが改ざんされれば、影響範囲は瞬時に広がる。改ざん者は目視で気づきにくい短いコードや難読化したスクリプトを用い、特定の条件(検索エンジン経由、スマホのみ、一定時間帯のみ)でのみ転送するよう仕掛けることもある。
CMSやプラグインの脆弱性悪用
大学サイトは学内の広報・学部・研究室など多数の部署が更新に関わるため、WordPress等のCMSが広く使われる。CMS本体、テーマ、プラグインのいずれかに既知の脆弱性が残っていると、管理画面への侵入やファイル改ざんにつながる。特に更新停止したプラグイン、長期間アップデートされていないテーマ、権限設計が甘い運用(複数人が管理者権限、共用アカウント)などは攻撃者に狙われやすい。
DNS・ドメイン設定の乗っ取りや誤設定
サイトの中身を改ざんしていなくても、DNS設定が書き換えられると、閲覧者は攻撃者の用意したサーバへ誘導される。大学ではドメイン管理が情報系部門、外部委託先、学内の別部署に分散していることがあり、アカウント管理が複雑化しやすい。レジストラやDNS事業者の管理画面に対する認証強度が低いと、メール認証の乗っ取りなどから設定変更される危険がある。
外部配信リソース(広告・解析・CDN)経由のサプライチェーン
アクセス解析タグ、フォーム、チャットウィジェット、学内ポータル連携など外部スクリプトを読み込む構成では、その供給元が侵害されると大学サイト側も“踏み台”になる。大学が直接改ざんされていなくても、訪問者のブラウザ上で不正な転送が実行される点が厄介だ。
「W杯無料視聴」誘導が増える背景
大規模スポーツイベント時期には、違法配信やフィッシングを装った誘導が急増する。「無料視聴」「限定配信」といった強い誘因はクリック率が高く、マルウェア配布、偽のサブスク登録、個人情報窃取など様々な不正の入口になり得る。攻撃者にとって大学サイトは、(1)信頼されやすいドメイン、(2)アクセスが多い、(3)多数の担当者・多様なシステムで攻撃面が広い、という点で格好の媒介となる。
被害の本質は「信用の毀損」と二次被害
この種の不正転送は、直接の金銭被害が大学側に即座に発生しない場合でも、深刻な影響をもたらす。第一に、公式サイトの信頼が損なわれ、受験生・保護者・研究協力先に不安を与える。第二に、閲覧者が偽サイトで情報を入力したり不正アプリを入れたりすれば、大学が二次被害の起点として責任を問われる可能性がある。第三に、検索エンジンやブラウザのセーフブラウジング機能によって「危険なサイト」と判定されれば、復旧後もしばらく流入が戻らないことがある。
原因究明で見るべきポイント
再発防止には、単に不正コードを削除して終わりにしない姿勢が重要だ。原因究明で最低限確認すべき観点は次の通りである。
・改ざん箇所の特定:どのファイル/テンプレート/DBレコードがいつ変更されたか
・侵入経路の特定:CMS脆弱性、認証情報漏えい、SFTP/SSHの不正ログイン、委託先経由など
・影響範囲の評価:同一サーバ上の他サイト、学部・研究室サイト、サブドメイン、関連システムへの横展開
・持続化の有無:バックドア、管理者アカウント追加、cron登録、WAF回避用の二段階スクリプト
教育機関が優先して行うべき対策
更新と資産管理を「組織の仕組み」にする
CMS・プラグイン更新は技術論より運用論である。各部署が独自にサイトを持つ場合でも、バージョン、プラグイン一覧、保守期限、担当者を一元管理し、更新が止まったサイトを可視化することが第一歩だ。更新適用の検証環境、計画停止、ロールバック手順まで含めて、定常業務として回す必要がある。
認証強化と権限分離
管理画面、ドメイン管理、サーバ管理(SSH/SFTP)、委託先ポータルなど、要所に多要素認証を必須化する。共用アカウントは禁止し、最小権限(編集者・投稿者・管理者の適切な分離)を徹底する。退職・異動時のアカウント棚卸しも事故を減らす。
改ざん検知とログ監視
ファイル改ざん検知(チェックサム)、管理画面操作ログ、Webサーバアクセスログ、WAFログを相関させ、異常なPOSTや未知の管理者ログインを早期検知する。特に「特定のUser-Agentだけ転送」「海外IPからの管理画面アクセス」といった兆候は、転送が顕在化する前に見つけられる場合が多い。
外部スクリプトと委託先リスクの点検
読み込んでいる外部リソースを棚卸しし、不要なタグを削除する。供給元を信頼できる事業者に限定し、改ざん耐性を高めるためにコンテンツセキュリティポリシー(CSP)を設計する。制作会社・保守会社にはアクセス権限と責任範囲、緊急時連絡、ログ提供、脆弱性対応SLAを契約上明確にする。
バックアップとインシデント対応の訓練
バックアップは「ある」だけでは不十分で、復元できることが重要だ。復元演習、改ざん時の公開停止判断、告知文テンプレート、関係部署連携(広報・法務・情報システム)を事前に整備しておく。転送系は外部から発見されることも多いため、通報受付窓口を明示しておくと初動が早まる。
利用者側が取れる自衛策
閲覧者側としては、大学公式サイトから突然「無料視聴」「登録が必要」などのページへ飛ぶ場合、安易に情報入力しないことが重要だ。ブラウザのアドレスバーのドメイン確認、別端末・別回線での再確認、大学の公式SNSやお知らせで障害情報が出ていないかの確認が有効である。万一入力してしまった場合は、パスワード変更やカード利用明細の確認など早期対応が望ましい。
まとめ:Webは「公開資産」だからこそ守りを標準化する
大学サイトの不正転送は、単発の改ざん事件ではなく、分散運用・更新停滞・外部依存といった構造課題が表面化したものだ。教育機関のWebは社会に向けた公共的な窓口であり、攻撃者にとっても影響力が大きい。技術対策(WAF、CSP、改ざん検知)と運用対策(資産管理、権限統制、委託先管理、訓練)をセットで標準化し、再発を前提に“早く気づいて早く戻す”体制まで含めて整備することが、信頼回復と被害最小化への近道となる。