日本大学文理学部、学生ポータル改ざんの最終報告を公表-既知脆弱性を悪用されるも個人情報漏えいは確認されず|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月09日更新日時: 2026年06月09日

日本大学文理学部は2026年6月4日、同学部の情報掲示板サイト、学生ポータルシステムへの不正アクセスおよびウェブサイト改ざんに関する調査結果と対応について、最終報告を公表しました。

同学部は2026年3月12日付で、学生および教職員が利用する情報掲示板サイトにおいて第三者による不正アクセスが確認され、不適切な外部サイトが表示されるよう改ざんされていたと公表していました。

今回、外部専門機関による詳細調査が完了し、当該システムに存在した既知の脆弱性を悪用した不正アクセスが行われていたことが判明しました。攻撃者により、システム内へ不正なプログラムが設置され、不適切な外部サイトへ誘導される改ざんが発生していたとしています。

一方で、個人データの保管場所への不正アクセスや、個人情報を含むファイルの外部転送の痕跡は確認されませんでした。同学部は、これらの調査結果を踏まえ、学生および教職員の個人情報漏えいは発生していないものと判断しています。この記事のサマリー

日本大学文理学部が、学生ポータルシステムへの不正アクセスと改ざん事案の最終報告を公表しました。
対象は、学生および教職員が利用する情報掲示板サイトです。
外部専門機関の調査により、既知の脆弱性を悪用した不正アクセスが判明しました。
攻撃者により不正なプログラムが設置され、不適切な外部サイトへ誘導される改ざんが発生しました。
アクセス時にカジノサイトを模した不正な画面が表示される事象が確認されています。
利用者端末へのマルウェア感染などの二次被害報告は確認されていません。
個人データ保管場所への不正アクセスや、個人情報を含むファイルの外部転送の痕跡は確認されませんでした。
同学部は、学生および教職員の個人情報漏えいは発生していないと判断しています。
原因は、既知脆弱性への対応不足に加え、アクセス制御やアカウント管理の不備が重なったこととされています。

1 何が起きたか
2 経緯
3 被害状況
4 個人情報漏えいに関する調査結果
5 原因
6 関係者が注意すべきこと
7 教育機関が確認すべきポイント

何が起きたか

日本大学文理学部の情報掲示板サイトにおいて、第三者による不正アクセスが発生しました。

外部専門機関による調査の結果、当該システムに存在した既知の脆弱性が悪用され、システム内に不正なプログラムが設置されていたことが判明しました。

その結果、利用者が情報掲示板サイトへアクセスした際、不適切な外部サイトへ誘導される改ざんが発生しました。最終報告では、カジノサイトを模した不正な画面が表示される事象が確認されたと説明されています。

事象の発覚後、同学部は直ちに当該システムをネットワークから遮断し、被害拡大を防止しました。その後、安全対策を施した新たなサーバー環境を構築し、安全を確認したうえでサービスを再開しています。

経緯

今回の事案について、日本大学文理学部は2026年3月12日に初報を公表し、その後、外部専門機関によるフォレンジック調査を進めていました。

初報では、2026年1月10日22時20分に事象が発生し、2026年1月27日17時34分に検知したと説明されていました。今回の最終報告では、専門機関の調査により、令和6年9月1日12時13分より、当該システムに存在した既知の脆弱性を悪用した不正アクセスが行われていたことが判明したとされています。

時期	内容
令和6年9月1日12時13分	最終報告で、既知脆弱性を悪用した不正アクセスが開始されていたと説明
2026年1月10日22時20分	初報で事象の発生日時として説明
2026年1月27日17時34分	初報で検知日時として説明
2026年3月12日	本学ウェブサイト改ざんに関するおわびと報告を公表
2026年6月4日	外部専門機関の調査完了を受け、最終報告を公表

最終報告では、初報時点では調査中だった原因や個人情報漏えいの有無について、詳細な調査結果が示されています。

被害状況

日本大学文理学部は、当該システムへのアクセス時に、カジノサイトを模した不正な画面が表示される事象が発生したことを確認しています。

これは、システム内に設置された不正なプログラムにより、利用者を不適切な外部サイトへ誘導する改ざんが行われていたためです。

一方で、利用者端末へのマルウェア感染などの二次的被害については、現時点で報告は確認されていません。

項目	状況
不正アクセス	確認済み
不正プログラム設置	確認済み
外部サイト誘導	確認済み
表示された不正画面	カジノサイトを模した画面
利用者端末のマルウェア感染	報告は確認されず
個人情報漏えい	発生していないと判断

個人情報漏えいに関する調査結果

今回の最終報告で最も重要な点は、個人情報漏えいについての調査結果です。

同学部は、外部専門機関によるログ解析に加え、システム構築ベンダーおよび同学部において、調査結果を包括的に精査したとしています。

調査対象は、ポータルシステム単体にとどまりません。同一ネットワーク内にあるデータベース、周辺サーバー群、仮想化基盤、VPNなどのアクセスログについても網羅的に調査を行ったと説明しています。

その結果、以下は確認されませんでした。

調査項目	結果
個人データの保管場所への不正アクセス	痕跡なし
個人情報を含むファイルの外部転送	痕跡なし
ユーザーデータの流出	確認されず
データベース接続情報の流出	確認されず

一部、個人情報を含まないシステム設定情報が閲覧された可能性はあるとされています。ただし、その情報にはユーザーデータやデータベース接続情報は含まれていないと説明されています。

これらの調査結果を踏まえ、同学部は本件において学生および教職員の個人情報漏えいは発生していないものと判断しました。

原因

日本大学文理学部は、今回の不正アクセスの原因について、システムの一部における脆弱性への対応不足に加え、アクセス制御およびアカウント管理といった管理体制の不備が重なったことと説明しています。

原因区分	内容
脆弱性管理	既知脆弱性への対応不足
アクセス制御	適切な制御が不十分だった可能性
アカウント管理	管理体制に不備があった可能性
監視・点検	不正ファイル設置や不審アクセスを早期検知する仕組みの強化が必要

教育機関のポータルサイトや情報掲示板は、学生、教職員、事務部門が日常的に利用するシステムです。外部公開される部分や認証前にアクセスできる機能が存在する場合、既知脆弱性の放置は改ざんや不正プログラム設置につながる可能性があります。

関係者が注意すべきこと

日本大学文理学部は、本件に関連して、同学関係者を名乗る不審な電話やメールが発生する可能性があるとして注意を呼びかけています。

学生、教職員、関係者は、少しでも不審な点がある場合、記載された連絡先への折り返し連絡、URLのクリック、添付ファイルの開封、パスワード等の入力を行わないよう注意が必要です。

注意すべき連絡	内容
学部関係者を名乗るメール	不審なリンクや添付ファイルに注意
パスワード確認依頼	メールや電話で認証情報を入力・回答しない
システム再設定案内	公式サイトや既知の連絡先で確認
不審な電話	折り返し先をメール本文の番号で判断しない
添付ファイル	開封前に送信元と内容を確認

個人情報漏えいは確認されていないとされていますが、ウェブサイト改ざん事案の公表に便乗したフィッシングやなりすまし連絡が発生する可能性はあります。公式サイトや学内の正規連絡経路で確認することが重要です。

教育機関が確認すべきポイント

今回の事案は、大学や学校が運用するポータルサイト、情報掲示板、学内システムに共通する課題を示しています。

教育機関では、複数の学部、研究室、事務部門、外部ベンダーが関与し、システムの管理権限や保守体制が分散しやすい傾向があります。古いWebアプリケーションやCMS、独自開発システム、外部公開サーバーが残っている場合、既知脆弱性が放置されるリスクがあります。

確認すべき項目は以下です。

確認項目	内容
外部公開システム	学生ポータル、掲示板、シラバス、研究室サイト、学科サイトの棚卸し
脆弱性管理	OS、ミドルウェア、CMS、プラグイン、独自アプリの更新状況
アカウント管理	退職者、異動者、委託先、保守アカウントの棚卸し
アクセス制御	管理画面、VPN、DB、ファイルサーバーへのアクセス範囲
ログ監視	Webアクセスログ、認証ログ、改ざん検知ログの定期確認
不正ファイル点検	Web公開ディレクトリ内の不審ファイルやWebシェル確認
ベンダー管理	保守契約、責任分界、緊急時連絡体制の確認