プレスリリース全文（PDF：256KB）

2017 年 2 月 27 日
独立行政法人情報処理推進機構
【注意喚起】学術組織を狙ったウェブサイト改ざんに注意
～放置サイト一掃のため、学術組織のウェブサイトは集中管理を～
昨年 12 月から今年 1 月にかけて、大学の研究室等のウェブサイトが多数改ざんされたとの報道がありまし
た。その主な原因は、大学等学術組織特有のウェブサイトの管理・運用の事情にあると考えられます。
そこで IPA は、ウェブサイトの管理・運用について、学術組織に向けた注意喚起を行います。
大学等の学術組織では公式ウェブサイトのほか、研究室やサークル等の単位で独自に開設・運営している
ウェブサイトが多数あります。そして、独自ウェブサイトはその役割が終了しても、閉鎖されないことがあ
ります。一方、組織側ではセキュリティ対策の実施体制が十分でなく、個々のウェブサイトを確実に把握・
管理できていないと考えられます。
その結果、多くの学術組織において、セキュリティ対策が不十分なウェブサイトが相当数放置されたまま
であるという状況が、多数のウェブサイト改ざんを招いている主な原因といえます。
学術組織では、研究室単体の情報のみでなく、企業との共同研究などの知的財産といった貴重な情報を保
有しています。そのため、ウェブサイトの改ざんを契機に、情報漏えいが一度発生してしまうと、関係組織
へのダメージは計り知れません。また、組織の評判に悪影響を及ぼします。
また、ウェブサイトが改ざんされると、閲覧しただけでウイルスに感染させられ、情報漏えいに繋がる可
能性もあります(*1)。その他、攻撃のための事前調査と考えられる事例も確認されています(*2)。
そのため、IPA では学術組織に向けて、ウェブサイトにおける以下の管理・運用方法を推奨します。
■
組織による集中管理を前提とした体制の構築と管理方法
一般的な企業と異なり、学術組織ではウェブサイトの管理は在籍の学生や在籍期間が限定されている教員
に委ねられる場合があります。しかし、卒業や異動などで担当者が不在になると、そのウェブサイトの管理
は誰にも継承されず、放置されてしまうことがあります。その結果、セキュリティ対策が疎かなウェブサイ
トが放置されることとなり、組織としての脅威になります。
1.
ソフトウェアの更新や脆弱性解消等のセキュリティ対策は個々のページの管理者（研究室やサー
クル単位）に極力任せず、組織のシステム管理部門による集中管理とする。
2.
公開しているページにセキュリティ上の問題が確認された場合に、組織のシステム管理部門が公
開停止等を実施できるよう、あらかじめ周知しておく。
3.
組織内に散在するウェブサイトをアンケート実施により把握する。

(*1)
(*2)
URL、設置目的、管理者の連絡先、ウェブサイトの公開見直し時期などを収集
日本サイバー犯罪対策センター：2017 年 2 月 2 日 R IG-EK 改ざんサイト無害化の取組 https://www.jc3.or.jp/topics/op_rigek.html
警察庁：2016 年 11 月 14 日 Web サイト改ざんに関する注意喚起について https://www.npa.go.jp/cyberpolice/detect/pdf/20161114.pdf
■
集中管理を前提とした運用を可能にする CMS 環境の設置検討
自組織での導入、あるいは外部クラウドサービス等による CMS 利用を検討する。

「CMS を用いたウェブサイトにおける情報セキュリティ対策のポイント」
https://www.ipa.go.jp/security/technicalwatch/20160928-1.html
前述のとおり、特有の事情により、学術組織におけるウェブサイトのセキュリティレベルは決して高いと
は言えません。しかし、同様の問題が潜在しているのは学術組織だけではないことを認識する必要がありま
す。例えば、個々の“独自のポリシー”だけで一切が仕切られているような組織でも、学術組織と同様の問
題を抱えていると認識し、集中管理によるウェブサイトの管理・運用を徹底する必要があります。
■ 本件に関するお問い合わせ先
IPA 技術本部セキュリティセンター大道／田村
Tel: 03-5978-7527 Fax: 03-5978-7552 E-mail: [email protected]
■ 報道関係からのお問い合わせ先
IPA 戦略企画部広報グループ白石
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: [email protected]

Download Report