大学サイトで「意図しない転送」が発生する構図
慶應義塾大学や成城大学などで、公式サイト閲覧時に「W杯無料視聴」をうたう外部ページへ不正転送される事象が報告された。端末感染よりも、Webサイト側の改ざん・設定不備・周辺サービス侵害が原因となるケースが多い。信頼される学術ドメインは誘導の踏み台にされやすく、被害が表面化すると信用失墜と二次被害リスクが一気に拡大する。情シスは「転送を止める」だけでなく、侵入経路の特定と再発防止をセットで進める必要がある。
不正転送の主要パターンと確認観点
典型はHTMLやJavaScriptへのリダイレクトコード差し込みである。共通テンプレートが改ざんされると全ページに波及し、検索流入やスマホのみなど条件分岐で発見を遅らせることもある。次に多いのがCMS本体・テーマ・プラグインの既知脆弱性放置で、権限設計の甘さや共用アカウント運用が侵入を助長する。加えてDNS/レジストラの設定改ざん、外部解析タグやCDNなどサプライチェーン経由でも発生するため、コンテンツだけ見ても原因に到達しない。
原因究明では、改ざん箇所と変更時刻、侵入経路(管理画面/SSH/SFTP/委託先)、影響範囲(同居サイトやサブドメイン)を突き止める。バックドア追加やcron登録など持続化の有無も確認が必要だ。ログ(Web/WAF/管理画面)を相関し、異常なPOSTや海外IPからの管理操作を追うことが有効である。
情シスが優先すべき再発防止の実装
第一に、更新と資産管理を仕組みにすることだ。学内で分散運用されるCMSのバージョン、プラグイン、保守期限、担当部署を棚卸しし、更新停止サイトを可視化する。検証環境、計画停止、ロールバックまで含めて定常運用に落とし込む。第二に、要所の多要素認証と最小権限を徹底し、共用アカウントを廃止する。異動・退職時の棚卸しを手順化し、ドメイン管理や委託先ポータルも同水準で統制する。
第三に、改ざん検知と監視を強化する。ファイルチェックサム、管理画面操作ログ、WAFログを連携し、「特定UAだけ転送」などの兆候を早期に拾う。第四に、外部スクリプトを棚卸しして不要タグを削除し、CSPで読み込み先を制限する。委託先には権限範囲、緊急連絡、ログ提供、脆弱性対応SLAを契約で明確化する。最後に、復元演習を含むバックアップと初動手順(公開停止判断、告知テンプレ、窓口)を整備し、早期検知から復旧までの時間を短縮する。
イベント便乗型誘導への備えと利用者影響の最小化
大規模スポーツイベント期は「無料視聴」など強い誘因でフィッシングやマルウェア配布が増える。大学サイトが踏み台になると、閲覧者が偽サイトで情報入力するなど二次被害が現実化し、組織の説明責任も問われる。検索エンジンの警告表示で復旧後の流入が戻らないケースもあるため、平時から検知・封じ込め・復旧・周知の導線を整えておくべきだ。