慶応大・成城大のサイト、W杯中継の不正接続被害

慶応大や成城大などのWebサイトの一部ページが、サッカーのワールドカップ（W杯）の「映像配信」をうたうページへ自動的に接続される状態だったことが6月18日、分かった。慶応大と成城大は、「被害の状況を確認する」とし、成城大はページの公開を停止した。今月12日には海上保安庁などのサイトが同様の被害に遭ったことが確認されている。他の大学や自治体にも同じ脆弱性を抱えたページが存在することから、被害はさらに拡大する恐れがある。

標的となったのは、慶応大アート・センターの「ノグチ・ルーム」のページや、成城大サイト内の「成城学園中学校高等学校」などのバーチャル見学のページ。インターネットで検索すると「公式LIVE放送」「W杯日本代表 無料視聴」などと表示される状態だった。クリックすると、無関係のW杯中継をうたうページに勝手に転送される。大分大でも被害が確認された。

荒らされた検索結果からページにアクセスすると、制御が乗っ取られた状態になり、勝手にW杯関連のページに移動するようになっていた。 18日午後4時の時点では、慶応大「ノグチ・ルーム」のページにアクセスすると、W杯関連に改竄された内容が表示された後、ポルトガル対コンゴ民主共和国戦の無料視聴をうたうページへ勝手に移動した。接続先のページでは、無料視聴のためにメールアドレスやパスワードの入力を促された。

一方、成城大のケースは自動的に接続されるページが異なり、オンライン決済を促す画面などが表示された。誘導に使用されたプログラムの保存先にも特徴があり、手口に違いがあった。

被害に遭ったサイトは同じ仮想現実（VR）用のソフトウェアの古いバージョンを使用していたとみられる。このソフトウェアには脆弱性に関する指摘があり、2025年11月に最新版が公開されていた。

産経新聞がVRコンテンツを公開しているサイトを調査したところ、多数の学校や自治体・企業のページに同じ脆弱性が存在することが分かった。奈良県香芝市のサイトの一部ページも、インターネットの検索結果がW杯の中継ページになっていることが確認された。（西山諒）