HOME IPAについて新着情報プレス発表　【注意喚起】学術組織を狙ったウェブサイト改ざんに注意

プレス発表　【注意喚起】学術組織を狙ったウェブサイト改ざんに注意

～放置サイト一掃のため、学術組織のウェブサイトは集中管理を～

2017年2月27日
独立行政法人情報処理推進機構

昨年12月から今年1月にかけて、大学の研究室等のウェブサイトが多数改ざんされたとの報道がありました。その主な原因は、大学等学術組織特有のウェブサイトの管理・運用の事情にあると考えられます。
そこでIPAは、ウェブサイトの管理・運用について、学術組織に向けた注意喚起を行います。

大学等の学術組織では公式ウェブサイトのほか、研究室やサークル等の単位で独自に開設・運営しているウェブサイトが多数あります。そして、独自ウェブサイトはその役割が終了しても、閉鎖されないことがあります。一方、組織側ではセキュリティ対策の実施体制が十分でなく、個々のウェブサイトを確実に把握・管理できていないと考えられます。
その結果、多くの学術組織において、セキュリティ対策が不十分なウェブサイトが相当数放置されたままであるという状況が、多数のウェブサイト改ざんを招いている主な原因といえます。

学術組織では、研究室単体の情報のみでなく、企業との共同研究などの知的財産といった貴重な情報を保有しています。そのため、ウェブサイトの改ざんを契機に、情報漏えいが一度発生してしまうと、関係組織へのダメージは計り知れません。また、組織の評判に悪影響を及ぼします。
また、ウェブサイトが改ざんされると、閲覧しただけでウイルスに感染させられ、情報漏えいに繋がる可能性もあります^(*1)。その他、攻撃のための事前調査と考えられる事例も確認されています^(*2)。
そのため、IPAでは学術組織に向けて、ウェブサイトにおける以下の管理・運用方法を推奨します。

組織による集中管理を前提とした体制の構築と管理方法

一般的な企業と異なり、学術組織ではウェブサイトの管理は在籍の学生や在籍期間が限定されている教員に委ねられる場合があります。しかし、卒業や異動などで担当者が不在になると、そのウェブサイトの管理は誰にも継承されず、放置されてしまうことがあります。その結果、セキュリティ対策が疎かなウェブサイトが放置されることとなり、組織としての脅威になります。

ソフトウェアの更新や脆弱性解消等のセキュリティ対策は個々のページの管理者（研究室やサークル単位）に極力任せず、組織のシステム管理部門による集中管理とする。
公開しているページにセキュリティ上の問題が確認された場合に、組織のシステム管理部門が公開停止等を実施できるよう、あらかじめ周知しておく。
組織内に散在するウェブサイトをアンケート実施により把握する。
➢URL、設置目的、管理者の連絡先、ウェブサイトの公開見直し時期などを収集

集中管理を前提とした運用を可能にするCMS環境の設置検討

自組織での導入、あるいは外部クラウドサービス等によるCMS利用を検討する。
➢「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」
https://www.ipa.go.jp/security/technicalwatch/20160928-1.html

前述のとおり、特有の事情により、学術組織におけるウェブサイトのセキュリティレベルは決して高いとは言えません。しかし、同様の問題が潜在しているのは学術組織だけではないことを認識する必要があります。例えば、個々の“独自のポリシー”だけで一切が仕切られているような組織でも、学術組織と同様の問題を抱えていると認識し、集中管理によるウェブサイトの管理・運用を徹底する必要があります。