ニュース

研究室・サークルなどの“放置サイト”一掃に向け集中管理を、学術組織を狙ったサイト改ざん多発

 独立行政法人情報処理推進機構(IPA)は27日、研究室やサークルが独自に開設・運営するウェブサイトの改ざん被害を抑えるため、学術組織に対して注意喚起を行った。

 研究室やサークルの独自ウェブサイトはその役割が終了した場合でも、閉鎖されないことがある。一方、組織側では個々のウェブサイトの把握・管理ができておらず、多くの学術組織において、セキュリティ対策が不十分なウェブサイトが相当数放置されたままになる。これがウェブサイト改ざんを招く主な原因となっている。

 これは、学術組織ではウェブサイトの管理が学生や在籍期間が限定されている教員に委ねられることに関係してくる。卒業や異動などで担当者が不在になると、ウェブサイトの管理が継承されず、セキュリティ対策が厳かなウェブサイトが放置されることになる。

 学術組織では、研究単位の情報だけでなく、企業との共同研究などの知的財産など貴重な情報を保有する。そのため、ウェブサイトの改ざんを契機に、情報漏えいが一度発生すると関係組織へのダメージが大きくなり、組織への評判に悪影響を及ぼす。

 ウェブサイトの改ざんにより、閲覧しただけでウイルスに感染させられ、情報漏えいに繋がる可能性もある。そのほか、攻撃のための事前調査(アクセス回数や閲覧者などウェブサイトの利用状況)と考えられる事例も確認されている。

 IPAでは、ソフトウェアの更新や脆弱性解消などのセキュリティ対策は、研究室やサークル単位など個々のページの管理者に極力任せず、組織のシステム管理部門による集中管理を促している。公開しているページにセキュリティ上の問題が確認された場合、組織のシステム管理部門が公開停止などを実行できるように、あらかじめ周知する体制を整えること、組織内に散在するウェブサイトをアンケート実施により把握することを推奨。URL、設置目的、管理者の連絡先、ウェブサイトの公開見直し時期などを収集する必要がある。

 また、自組織での導入、あるいは外部クラウドストレージなどによるCMS利用を検討する必要があるとしている。CMSを使ったウェブサイト構築・運用のポイントとしては、情報セキュリティ対策が実施されているCMSの選定、適切なアクセス権の設定と確認、CMSで利用している拡張機能の見直し、アカウントの適切な管理の4点を挙げている。